Trügerische Sicherheit

IT-Sicherheit ist nicht nur eine Frage der Sicherheit

IT-Sicherheitslösungen einzusetzen sind state-of-the art. Sie nicht einzusetzen ist grob fahrlässig und man gefährdet nicht nur seine Stabilität der Geschäftsprozesse, sondern auch die eigenen Daten und die der Mitarbeiter und Kunden. Kommt ein solcher Vorfall an die Öffentlichkeit ist der Imageschaden immens. Genau aus diesem Grund existieren zahlreiche IT-Sicherheitslösungen am Markt, die mehr oder weniger je nach Anwendungsgebiet zum Einsatz kommen. Jedes Unternehmen, sei es auch noch so klein, vertraut auf diese Lösungen und wägt sich in Sicherheit. Aber diese Sicherheit ist trügerisch. Warum?

Wir treffen auf viele Beispiele, warum die Sicherheit in Unternehmen trotz dem Einsatz diverser Sicherheitslösungen gefährdet ist. Da ist zum einen gerade in kleinen Unternehmen die trügerische Vorstellung, dass man ja viel zu klein ist und es sowieso nichts zu holen gibt. Diese Meinung ist absolut falsch, denn bereits nach wenigen Minuten der Inbetriebnahme sogar eines einzelnen Servers klopfen die ersten Hacker an die Tür. Einem Test des TÜV Süd zur Folge ist es erwiesen, dass besonders kleine Infrastrukturen massigen Angriffen ausgesetzt werden. In einem Nachbau einer kleinen Infrastruktur (Honeynet) konnte der TÜV Süd nachweisen, dass auf eine kleine Infrastruktur wie der hier nachgestellten rund 11 Angriffe pro Stunde erfolgten. Das ist enorm dafür, dass ja nichts zu holen ist.

Oftmals ist es ja nicht unbedingt der Zwang etwas „holen“ zu wollen. Allein die Ausnutzung von Schwachstellen im System, um beispielsweise von hieraus neue Angriffe auf weitere Ziele zu starten oder SPAM-Mails zu versenden, bieten seinen Reiz.

Und da kommen wir direkt zum nächsten Punkt. Auch IT-Sicherheitslösungen müssen aktualisiert werden um Schwachstellen zu schließen oder auf neue Angriffstaktiken reagieren zu können. Erfolgt diese Aktualisierung nicht, so steht, totz einer Security-Lösung, Haus und Hof offen für jedermann. Gezielte Spionageattacken werden oft durch Trojaner realisiert, die mittels Rootkits auf den Systemen installiert werden. Nicht aktualisierte IT-Sicherheitslösungen erkennen diese Angriffe eventuell nicht und es wird den Angreifern extrem leicht gemacht die hauseigenen Systeme zu infiltrieren.

Solche Aktualisierungen sind aber nicht nur in IT-Sicherheitslösungen erforderlich. Die gesamte Infrastruktur braucht solche Aktualisierungen, angefangen vom Desktop-PC bis hin zu mobile Devices, Servern, Firewalls, Storagesystemen und so weiter.

Firewalls sind ein Stichwort. Die Aufgabe einer Firewall ist es, in einfachen Worten, bösartigen Traffic zu unterbinden und den gewünschten Traffic zu erlauben. Was nun „bösartig“ ist und „was erlaubt ist“ wird für die Firewall in ein Regelwerk gepackt, welches die Firewall abarbeitet. Auf Grund des Regelwerkes entscheidet diese Firewall, welche IT-Services von welcher Quelle erreicht werden dürfen und welche nicht. Leider erleben wir es immer wieder, dass es keine Audits der Firewall-Regeln selbst gibt. Einmal eingerichtete Regeln bleiben ein Firewall-Leben lang bestehen und werden sogar bei Migrationswechsel zu neuen Systemen mit übernommen. Das Ergebnis sind löchrige Firewalls. Die Sicherheit der Systeme und Daten sind gefährdet.

In diesem Zusammenhang sei noch das Benutzermanagement zu nennen. Fast schon wie ein Klassiker erleben wir besonders in kleineren Umgebungen, dass Benutzer einmal eingerichtet mit allen Rechten ein Systemleben lang existieren. Hat der Mitarbeiter das Unternehmen schon längt verlassen, hätte er rein theoretisch noch Zugriff auf dessen Systeme, da ja der Benutzer noch existent und nicht gesperrt ist. Besonders bei der Verwendung von Cloud-Services, die ja von überall aus erreichbar sind, kann das zu einem Problem führen. Wir empfehlen daher regelmäßige Audits über das Rechte- und Rollenkonzept in Ihrem Unternehmen. Dieses ist besonders empfehlenswert bei Administratoren-Accounts.

In diesem Zusammenhang ist auch das Zertifikatsmanagement zu nennen. Um eine noch sichere Infrastruktur zu etablieren haben einige Unternehmen eine Public Key Infrastructure (PKI) eingeführt, um mit Hilfe von Zertifikaten den Zugriff auf IT-Services zu steuern. Besonders in verteilten Umgebungen oder beim Einsatz von Cloud-Technologien kann das ein probates Mittel zur Zugangssteuerung sein. Ein unzureichendes Zertifikatsmanagement und mangelnder oder fehlerhafter Einsatz der Certificate Revocation List kann hier zu einer fatalen Fehleinschätzung der Sicherheit führen.

Ein weiteres Highlight in unserer Top-Ten-Liste stellt die Tatsache dar, dass gekaufte Appliances oder vorkonfigurierte Systeme oft viele Standard-Parameter behalten. Da sind zunächst einmal der Login des Administrators genannt, der zu einem erstaunlich hohem Prozentsatz auf dem Standardwert verbleibt. Jeder, der diese Werte kennt, kann sich nun als Administrator an diesem System anmelden und fatale Schäden anrichten. Besonderes Augenmerk ist dabei auch auf den Remotezugriff von Administratoren zu legen. Hacker kennen meist die Standardwerte und probieren diese auch gerne durch. Übrigens ist dieses nicht nur ein Problem von kleinen und mittelständischen Unternehmen. Auch große Konzerne  stehen diesem Problem gegenüber.

Fast schon ein Klassiker ist mangelnde oder unzureichende Dokumentation. Auch ein Thema welches nicht nur den Mittelstand trifft sondern auch Konzerne. Fehlen diese Dokumentationen oder sind diese mangelhaft ausgeführt, werden notwendige Wartungen gar nicht oder stümperhaft durchgeführt – oder, solange das wissende Personal verfügbar ist, eben nur von diesem Personal. Damit ist Dokumentation ein wesentlicher Bestandteil von IT-Sicherheit, der leider sehr oft vergessen wird.

Lust but not least und erstaunlich, dass man es noch antrifft: Passwörter unter der Tastatur. Besonders in kleineren Umgebungen, in denen es keine Passwort-Handling-Prozeduren gibt, werden gerne extrem schwere und absolut nicht für Menschen merkbare Passwörter verwendet um die Sicherheit zu erhöhen. Die Folge: Passwörter werden unter die Tastatur oder an anderer geeigneter Stelle notiert um schnell darauf Zugriff zu haben. Unterschiedliche Cloud-Services mit unterschiedlichen Logins begünstigen diesen alten Trend, da jeder Cloud-Service für sich seine eigenen Benutzer-Credentials erfordert. Bei diesem Vorgehen kann sogar die harmlose Putzfrau zum Spion werden.

Um Herr der Lage zu werden ist es absolut erforderlich ein Mindestmaß an Sicherheits-Management im Unternehmen zu etablieren. Dazu bietet unser IT-Checkup eine gesunde Basis und hilft Ihnen dabei, die richtigen Maßnahmen zu ergreifen. Auch und insbesondere in kleineren Infrastruktur-Umgebungen ist es ein hilfreicher Ratgeber, da viele der Lösungen nicht kompliziert sind und sich schnell und einfach umsetzen lassen.

IT-Checkup für Ihre IT-Sicherheit!

Wir von Knowhere Consulting haben aus rund 30 Jahren Erfahrung einen IT-Checkup entwickelt, der Ihnen ein ideales Werkzeug zur Determinierung von IT-Sicherheitsmaßnahmen aufzeigt, die in Abhängigkeit zu Ihrer Unternehmensgröße sinnvoll sind. Es ist dabei kein Beratungsprodukt von der Stange, sondern ein individueller Auditbericht mit einem individuellen Maßnahmenplan. Und das Ganze zu einem attraktiven Preis ab 79 €.