Netzwerk Security - der 10-Punkte-Plan für Ihre IT

Das Netzwerk ist das Rückgrat Ihrer IT-Infrastruktur. Es ist gleichermaßen wichtig wie verletzlich. Das Problem ist, dass jedes vulnerable Element zu einem Einfallstor für Schadsoftware werden kann. Selbst wenn Sie für Ihr Netzwerk ein gutes Sicherheitskonzept haben, kann bereits eine übersehene Schwachstelle Ihre gesamte IT gefährden. Lassen Sie Ihre Netzwerksicherheit prüfen, bevor Cyberkriminelle dies tun. Die Spezialisten von Adey Meselesh haben dafür einen ganzheitlichen 10-Punkte-Plan entwickelt, der umfassend die größten Risikofaktoren abdeckt. Dabei werden Probleme nicht nur identifiziert, sondern auch gleich behoben. Wo möglich, werden Open-Source-Tools oder Bordmittel verwendeter Betriebssysteme genutzt. Das vermeidet unnötige laufende Kosten.

1. Es beginnt mit einem Test: Das Network Security Assessment

Die Auditierung Ihres Netzwerkes sollte vorher geplant und schriftlich fixiert werden. Beim Network Security Assessment dürfen keine netzwerkfähigen Komponenten vergessen werden, zum Beispiel Drucker. Auch IoT-Hardware wie IP-Kameras sind beliebte Angriffsziele von Hackern. Neben des technischen Zustands Ihrer IT-Infrastruktur gehören Arbeitsabläufe auf den Prüfstand. Hierzu zählt der Umgang mit sensiblen Informationen wie Passwörtern und die Weitergabe von sicherheitsrelevanten Daten. Der eigentliche Härtetest ist das Penetration-Testing auf die vorher festgelegten Ziele. Mindestens ebenso wichtig sind die anschließende sorgfältige Aufbereitung und Analyse der Ergebnisse.

2. Für mehr Sicherheit: Active Directory sinnvoll einsetzen

Das Active Directory (kurz: AD) ermöglicht es, Autorisierungen und Authentifizierungen zentral zu steuern. Wir empfehlen, alle Rechner innerhalb des Netzwerks in das Berechtigungskonzept des AD aufzunehmen. Hierdurch lassen sich Zugriffsrechte feingranular zentral steuern. Jeder Nutzer erhält nur die unbedingt notwendigen Privilegien. Auch eine Backup-Strategie für Nutzerdaten kann und sollte in diesem Zuge implementiert werden. Gruppen-Richtlinien sorgen dafür, dass sicherheitsrelevante Vorgaben, etwa eine vorgegebene Komplexität von Passwörtern, verpflichtend für alle Nutzer sind.

3. Es geht immer noch etwas härter: Server und Workstations absichern

Das Härten von Systemen beschäftigt sich damit, die Angriffsfläche zu verkleinern. Betriebssysteme und besonders Server-Systeme sind zumeist universell vorkonfiguriert. Das dient unter anderem der Nutzerfreundlichkeit. Doch jeder Dienst, jede unnötig installierte Software und jeder geöffnete Port eines Systems bilden potenzielle Angriffsziele für Cyberkriminelle. Auch die benötigte Software wird einem kritischen Blick unterzogen. Für wiederholt anfällige Programme finden sich meist Alternativen, die ohne Komforteinbußen mehr Sicherheit versprechen. Zu weiteren Standardmaßnahmen zählen die Aktivierung von Verschlüsselung, das Vermeiden von Standard-Passwörtern, die Aktivierung automatischer Updates und das Nutzen von Sicherheitsfunktionen wie der Defender-Anwendungssteuerung unter Windows.

4. Flickwerk nicht erwünscht: Das Patch-Management

Es werden immer wieder sicherheitsrelevante Fehler in Softwareprodukten nahezu aller Hersteller bekannt. Dieser Umstand ist letztlich nicht zu vermeiden und spricht grundsätzlich nicht gegen den Einsatz eines bestimmten Produkts. Wichtig ist der Umgang eines Herstellers mit bekanntgewordenen Sicherheitslücken. So ist das zeitgerechte Informieren von Kunden und die Bereitstellung von Sicherheits-Patches Indikator für einen verantwortungsvollen Umgang mit dem Thema Sicherheit. Entsprechend gehört es zur Betrachtung der Netzwerksicherheit, dass verfügbare Sicherheitsupdates lokalisiert und eingespielt werden. Zudem muss eine Dokumentation erfolgen, damit der Patch-Level aller Komponenten im System nachvollziehbar ist.

5. Aktiver Schutz: Endpoint Protection

Trotz regelmäßig kursierender anderslautender Empfehlungen, ein dedizierter Virenschutz innerhalb von Netzwerken ist sinnvoll. Im geschäftlichen Umfeld ist ein regelmäßiger Austausch von Dateien, zum Beispiel als Anhang von E-Mail-Nachrichten, meist unumgänglich. Diese vor dem Öffnen nicht einem Virenscan mit möglichst aktuellen Signaturen zu unterziehen, kann nur als fahrlässig bezeichnet werden. Professionelle cloudbasierte Security-Suiten wie die Endpoint Protection und dessen Nachfolger Endpoint Security von Marktführer Symantec haben sich auf das Absichern von jeglichen Endgeräten im Netzwerk spezialisiert. Hierzu zählen auch Mobilgeräte und IoT-Hardware. Zudem bringen sie noch weitere sinnvolle Funktionen mit. Beispielsweise eine Intrusion-Detection, Ransomware-Schutz und das Absichern des Active Directory. Gegenüber kostenfreien Lösungen hat eine Lösung wie Symantec Endpoint Protection Vorteile bei der Aktualität von Virensignaturen und verhaltensbasierter Erkennung von Schadsoftware.

6. Ohne geht's nicht: Das Cloud-Backup

Das Einzige, was wirklich vor Datenverlust schützt, ist ein Backup! Allerdings kommt es darauf an, dass alle wichtigen Daten von der Datensicherung erfasst werden, die Sicherung regelmäßig erfolgt und dass das Backup an einem sicheren Ort verwahrt wird. Infrage kommen nur automatisierte Vorgänge. Manuelle Datensicherungen können vergessen oder fehlerhaft ausgeführt werden. Als dezentraler Speicherort bietet sich Cloudspeicher an. Oftmals sorgen Anbieter bereits dafür, dass Daten redundant an unterschiedlichen Standorten vorgehalten werden. Besonderes Augenmerk muss allerdings dem Zugangsschutz und dem Standort der Cloud gelten. Ansonsten drohen nicht zuletzt rechtliche Konflikte mit Vorschriften wie der Datenschutzgrundverordnung (DSGVO).

7. Cloud-Verschlüsselung

Verschlüsselung ist heutzutage - steigender Rechenleistung zum Trotz - als elementarer Bestandteil aller sicheren Datentransfers und Datenspeicherungen zu betrachten. Die Verwendung sicherer Verschlüsselungsalgorithmen, eine korrekte Implementation der Technik und komplexe Authentifizierungsmerkmale vorausgesetzt, ist Verschlüsselung normalerweise nicht zu knacken. Dies bedeutet, dass eine korrekt abgesicherte Cloud-Speicherlösung für die Ablage von Daten wie die eines Backups erste Wahl ist. Aber auch für andere cloudbasierte Dienste sollte auf die Verwendung von Verschlüsselung geachtet werden.

8. Sichere Kommunikation: Unternehmenseigene E-Mail-Adressen

Die Verwendung eines firmeneigenen Domainnamens in der E-Mail-Adresse von Mitarbeitern ist nicht nur ein Zeichen von Professionalität. Sie sorgt auch dafür, dass Phishing-Versuche oder Social-Hacking-Attacken erschwert werden. Haben Sie die Kontrolle über Ihren Mail-Server, so sind Mechanismen wie Spamfilter, Transportverschlüsselung einheitlich anwendbar. Auch eine Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME ist auf diese Weise zu realisieren.

9. Ihr persönlicher Torwächter: Die Firewall

Eigentlich gehört die Firewall zur Grundausstattung eines jeden handelsüblichen PCs oder Routers. Im Unterschied zu einer persönlichen Firewall für den Privatbereich haben professionelle Lösungen mit deutlich mehr erwünschtem oder notwendigem eingehenden Netzwerkverkehr umzugehen. Eine gute Alternative zu den meist kostenintensiven Hardware-Firewall-Lösungen ist die Open-Source-Software pfSense. Das PF steht als Abkürzung für Paketfilter. Die Software pfSense kann auf unterschiedlichen Plattformen betrieben werden. Sowohl eine dedizierte Hardware als auch virtuelle oder cloudbasierte Lösungen sind umsetzbar. Sie alle haben eines gemeinsam: Abgesehen vom Administrationsaufwand und möglicher Server-Mieten fallen keine weiteren Kosten an.

10. SIEM: Monitoring der Netzwerk-Sicherheit

Die Abkürzung SIEM steht für Security Information and Event Management. Ein entsprechendes System hat folgerichtig die Aufgabe Sicherheitsinformationen und -vorfälle zu verarbeiten. Unsere Experten von Adey Meselesh setzen auch hier mit Security Onion auf ein flexibles Open-Source-Tool. Der Einsatz von Security Onion ist auf lokaler Hardware, in virtuellen Maschinen und auch in der Cloud möglich. Die Software ist in der Lage, Logprotokolle und Ausgaben von Intrusion-Detection-Sensoren im Netzwerk zu überwachen. Natürlich gehört auch das Melden von festgestellten Unregelmäßigkeiten zum Funktionsumfang.

Keine Zeit zu verlieren - das Thema IT-Sicherheit ist aktueller denn je

Die Anzahl der Cyber-Angriffe auf Unternehmen steigt seit Jahren. Parallel nehmen die Auswirkungen und Schadenshöhen, etwa durch Attacken mit Verschlüsselungs-Trojanern, zu. Für Angriffe verwendete Schadsoftware wird auf dem Schwarzmarkt des Internets, dem sogenannten Darknet, maßgeschneidert verkauft. Als Verantwortlichem eines Unternehmens, das auf seine IT-Infrastruktur angewiesen ist, zeigen wir Ihnen gerne unsere praktischen Möglichkeiten zur Verbesserung des Schutzes vor Angriffen auf. Auch unser Network Security Assessment kann keinen hundertprozentigen Schutz versprechen. Aber es hilft gegen viele gängige Angriffe und sorgt im Notfall dafür, dass Sie schnell wieder auf Ihre Daten zugreifen können.