Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.

Teil 5: Sichere Konfiguration

Eine schlecht konfigurierte IT-Landschaft ist wie Salto ohne Netz und doppelten Boden: ein Spiel mit dem Feuer! Bei einem Unfall ist der Schaden oft riesengroß. IT-Systeme müssen neu aufgesetzt, Kunden vertröstet und Lieferanten besänftigt werden. Zu allem Überfluss ist Ihr Unternehmen nicht mehr handlungsfähig bis der Schaden behoben wurde. Sie müssen Mitarbeiter nach Hause schicken, Arbeitsplätze stehen auf dem Spiel. Auf jeden Fall sind hohe Kosten und Verlust der Reputation zu erwarten. Saubere Konfiguration und regelmäßige Kontrolle der Systeme beugen vor.

Server und Netzwerk-Komponenten sicher konfigurieren

Das Unternehmensnetzwerk spielt eine sehr wichtige Rolle als Teil der IT-Infrastruktur. Anwendungen werden heute sehr oft über lokale Netze oder sogar das Internet betrieben.

Sie müssen die Verfügbarkeit, Integrität und Vertraulichkeit der transportierten Daten sicherstellen, damit diese nicht in falsche Hände gelangen oder manipuliert werden können.

Die Grundeinstellungen, die vom Hersteller einer Switches oder Routers vorgenommen werden, sind meist nicht auf Sicherheit optimiert, sondern auf einfache Installation und Betrieb. Ähnlich verhält es sich bei Betreibssystemen. Diese sind häufig darauf ausgelegt, jedem Anwender möglichst einfach auf möglichst viele Features Zugriff zu gewähren und neue Programme installieren zu lassen. Beim Einsatz von IT-Systemen im Unternehmen ist dies jedoch nicht wünschenswert.

Der erste Schritt bei der Grundkonfiguration eines Netzwerkgerätes oder eines Servers ist es daher, die Grundeinstellungen überprüfen und entsprechend der Sicherheitsrichtlinie Ihres Unternehmens anzupassen. Die Grundkonfiguration ist naturgemäß stark vom eingesetzten Betriebssystem abhängig.

Ziele einer sicheren Grundkonfiguration

Zu den Zielen einer sicheren Grundkonfiguration gehört:

  • dass das System gegen „einfache“ Angriffe über das Netzwerk abgesichert ist,
  • kein normaler Benutzer durch Zufall oder Neugierde auf sensible Daten zugreifen kann, die nicht für ihn bestimmt sind,
  • kein normaler Benutzer beim normalen Arbeiten mit dem System durch Bedienungsfehler oder Leichtsinn („Was passiert, wenn ich diese Datei lösche?“) schweren Schaden am System oder an Daten anderer Benutzer verursachen kann, und
  • dass auch für die Arbeiten der Systemadministratoren oder IT-Dienstleister die Auswirkungen kleinerer Fehler so weit wie möglich begrenzt werden.

Achten Sie insbesondere darauf, dass alle Passwörter neu gesetzt werden. Viele Netzwerkgeräte werden, auch heute noch, mit Standardpassworten ausgeliefert. Diese müssen unbedingt geändert werden, insbesondere wenn Sie bei der Einrichtung des Gerätes nicht explizit dazu aufgefordert werden.

Legen Sie Wert darauf, dass auf Servern nur die Programme installiert werden, die Sie für die Arbeit benötigen. Bei Netzwerk-Komponenten sollten die Dienste abgeschaltet werden, die nicht benötigt werden. Jedes Stück Software, jeder Dienst der nicht genutzt wird, kann als Einfallstor für Hacker und Computerschädlinge dienen. Und weil nicht produktiv genutzt, wird ein Angriff oft nicht oder sehr spät bemerkt!

Führen Sie ein Rollen- und Berechtigungskonzept ein und genehmigen Sie die Zugriffe auf Daten und Anwendungen entsprechend. Benutzerkonten, die nicht gebraucht werden, werden gelöscht oder zumindest so deaktivert, dass damit keine Anmeldung am System möglich ist.

Die Benutzerkonten von Systemadministratoren müssen so geschützt werden, dass normale Benutzer keinen Zugriff darauf haben.

Vergessen Sie auch die Dienste nicht, die im Netzwerk eingesetzt werden. Dazu gehören die automatische Adressvergabe (DHCP) und die Namensauflösung (interner DNS). Haben Angreifer Zugriff auf diese Dienste, können sie sich leicht Zugriff zum Netzwerk verschaffen oder interne Informationen über die Netzwerkstruktur erhalten – eine echte Goldgrube für Hacker.

Regelmäßige Updates einspielen

Ein Windows-System ohne aktuelle Updates ist wie Autofahren auf der Autobahn ohne Airbag und Sicherheitsgurte. Es funktioniert, aber im Falle eines Unfalls ist der Schaden groß. Aber auch für andere Betriebssysteme wie Linux und Apple ist die regelmäßige Installation von Updates überlebenswichtig. Und gerade auch Netzwerkkomponenten benötigen die entsprechende Updatepflege!

Updates werden oft als notwendiges Übel gesehen: sie kommen immer zur falschen Zeit, hin und wieder schlagen sie fehl und müssen mühsam korrigiert werden, und meist kann Mann/Frau in der Zeit nicht arbeiten. Aber: Ist Ihr System nicht auf dem neusten Stand, bieten Sie ein leichtes Ziel für Cyber-Kriminelle. Schon der Besuch einer Website kann dann fatale Folgen haben.

Windows-Updates kommen traditionell am zweiten Dienstag im Monat. Sie schließen Sicherheitslücken, beseitigen nervige Bugs und liefern neue Funktionen. Schalten Sie dazu einfach auf Ihren Windows-Clients das automatische Update an. Bei Windows-Servern könenn Sie zwar auch das automatische Update einrichten, ebenso bei anderen Betriebssystemen. Je nach Einsatzzweck des (Linux- oder Windows-) Servers ist dies aber nicht unbedingt sinnvoll: Viele Updates erfordern einen Neustart des Systems. Dies ist bei laufendem Geschäftsbetrieb kaum vertretbar.

Bei Netzwerkkomponenten besteht die Gefahr, dass Netzwerkverbindungen für die Dauer des Updates nicht verfügbar sind und somit die ganze Firma nicht arbeiten kann.

Unser Tipp:

Richten Sie einmal im Monat einen eigenen „Patchday“ ein. Dies ist ein fester Zeitraum in dem die notwendigen Updates auf Server und Netzwerkkomponenten eingespielt werden. Profis machen das sogar an mehreren Tagen bzw. Nächten. Zu einem Zeitpunkt sind die Server dran, zu einem anderen die Netzwerkkomponenten.

Konfiguration regelmäßig überprüfen

Ein agiles Unternehmen führt immer wieder neue Systeme ein, schaltet alte ab oder fügt bestehenden IT-Systemen neue Funktionen oder Programme hinzu. Und ständig ändert sich die Konfiguration. Daher ist es wichtig, die IT-Systeme in regelmäßigen Abständen systematisch zu überprüfen und fehlerhafte Konfigurationen zu korrigieren. Wir empfehlen, solch eine Überprüfung mindestens zweimal im Jahr durchzuführen. Das Intervall hängt natürlich stark davon ab, wie oft sich in der IT-Landschaft etwas ändert und sollte daher als Richtwert verstanden werden.

Erstellen eines Systemverzeichnisses (System inventory)

Ein Verzeichnis aller eingesetzten IT-Systeme ist eigentlich eine Selbstverständlichkeit. Dieses Verzeichnis, engl. System Inventory,  dient dazu, den Überblick zu behalten über die Systeme, die Sie in Ihrem Unternehmen betreiben und zu kennen. So wissen Sie immer, wann ein Gerät angeschafft wurde, welches Betriebssystem installiert ist und welche Konfiguration es haben soll.

Eine ganz einfache Möglichkeit, so ein Verzeichnis zu führen kann ein internes Wiki sein (z.B. Confluence, MediaWiki oder Xwiki). Experten schwören auf ein automatisiertes System, das einige Vorteile bietet:

  • Die Konfigurationen werden automatisch erfasst und aktuell gehalten
  • Der Patch-Status wird überwacht und der Verantwortliche bekommt eine Information über anstehende Updates.
  • Sie haben stets auf Abruf einen aktuellen Stand über den Patch-Status im Unternehmen und sehen gleichzeitig, welche Geräte ggf. ersetzt werden müssen, weil sie zu alt sind etc.

Das System Inventory ist wichtig für die IT-Sicherheit, da es hilft, alle Systeme regelmäßig auf neue Updates zu überprüfen. Ohne so ein Verzeichnis geraten viele IT-Komponenten schnell aus dem Fokus des Verantwortlichen und bieten so ein Einfallstor für Cyber-Kriminelle und Computer-Schädlinge.

Definieren einer Grundkonfiguration für alle IT-Geräte

Schlussendlich empfiehlt es sich, eine Grundkonfiguration für alle eingesetzten IT-Geräte zu definieren. Diese legt fest, welche Mindestanforderungen eingehalten werden müssen, um die Daten und Informationen, die verarbeitet werden, zu schützen. Gleichzeitig lässt die Grundkonfiguration aber Modifikationen der einzelnen Systeme zu, sofern sie nicht die Basis „aushebeln“. Damit erhalten Sie sich die notwendige Flexibilität im Unternehmen.

Die Grundkonfiguration sollten Sie als Unternehmer insbesondere auch dann definieren, wenn Sie Ihre IT von einem externen Dienstleister betreiben lassen. Denn es sind schließlich IHRE Daten und Geschäftsgeheimnisse, die auf dem Spiel stehen!

Wir unterstützen Sie gerne bei der Umsetzung. Kontaktieren Sie uns.

Leave a Comment

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

rechte und rollen