Nach­dem wir im vor­an­ge­gan­ge­nen Blog­ar­ti­kel “IT-Secu­ri­ty – wel­che Gefah­ren gibt es?” mög­li­che Gefah­ren im Bereich der IT-Sicher­heit ken­nen­ge­lernt haben, möch­te wir nun in die Hand­lungs­emp­feh­lung ein­stei­gen und im fol­gen­den Bei­trag Schutz­me­cha­nis­men gegen ver­schie­de­ne Bedro­hungs­va­ri­an­ten vorstellen.

Sen­si­bi­li­sie­rung und Schu­lung der Mitarbeitenden

Aus unse­rer Sicht einer der aus­schlag­ge­bends­ten Punk­te für eine erfolg­rei­che Umset­zung einer IT-Sicher­heits-Stra­te­gie ist die Sen­si­bi­li­sie­rung und Schu­lung der Mitarbeitenden.

Warum? – weil durch TOM’s(technisch und orga­ni­sa­to­ri­sche Maß­nah­men) nicht 100% der Gefah­ren beho­ben wer­den kön­nen. Zudem erfol­gen immer noch eine große Anzahl der Angrif­fe auf die “Schwach­stel­le Mensch”, sodass die Auf­merk­sam­keit der Kol­le­gin­nen und Kol­le­gen auf die ver­schie­de­nen Angriffs­va­ri­an­ten gelenkt wer­den müs­sen. Wesent­li­che The­men in einer Schu­lung kön­nen sein:

  • Ein­schleu­sen von Schad­soft­ware mit­tels unbe­darf­tem Öff­nen von Anhän­ge in E‑Mails
  • Besuch kom­pro­mit­tier­ter Web­sei­ten im Internet(Drive-By-Exploits)

Eini­ge Bei­spie­le für Social-Engi­nee­ring-Angrif­fe aus den Medi­en fin­den Sie hier.

Soft­ware­up­dates

Um gene­rell nicht von Sicher­heits­lü­cken in bestehen­der Soft­ware betrof­fen zu sein, emp­fiehlt es sich die Updates für ihre Ser­ver, Work­sta­tions und Anwen­dungs­pro­gram­me unver­züg­lich nach Bereit­stel­lung durch den Her­stel­ler bereitzustellen.

Gene­rel­le Gefah­ren erge­ben sich hier­bei vor allem durch Diens­te, die Anhän­ge aus dem Inter­net her­un­ter­la­den, wie bei­spiels­wei­se Brow­ser, E‑Mail-Pro­gram­me, PDF-Rea­der etc.

 
Angriffs­flä­chen minimieren

Ein logi­sches Prin­zip, dem ein Unter­neh­men fol­gen soll­te, ist, die Soft­ware vom Ser­ver, PC, Lap­top zu deinstal­lie­ren, die gene­rell nicht benö­tigt wird. Auch die auto­ma­ti­sche Aus­füh­rung von akti­ver Inhal­te und Skrip­te soll­te nach Mög­lich­keit ver­zich­tet werden.

Im Web­brow­ser trifft dies ins­be­son­de­re auf Brow­ser-Plugins, wie Flash, Java und Sil­ver­light zu. Durch das Ver­zich­ten auf Skrip­te wird eine Infek­ti­on ver­hin­dert, da sich der schad­haf­te Anhang nicht mehr ver­se­hent­lich aus­brei­tet. Mit Hilfe des Win­dows App­Lo­cker und Device­Guard kann zudem nach­hal­tig die Aus­füh­rung von Schad­pro­gramm ver­hin­dert werden.

Dar­über hin­aus kann mit­tels Ent­kopp­lung von Brow­ser und Arbeits­platz-Rech­ner die Angriffs­flä­che deut­lich redu­ziert werden(Stichwort: Remo­te-Con­trol­led Browser/Terminal Ser­ver, Surf-VM).

Behand­lung von E‑Mails/Spam auf dem Client/Server

Neben der Aus­füh­rung akti­ver Inhal­te bei Verndung von HTML-Mails soll­ten für MS-Office-Doku­men­te fol­gen­de Ein­stel­lun­gen kon­fi­gu­riert werden:

  • JS/VBS: auto­ma­ti­sches Aus­füh­ren bei Dop­pel­klick verhindern
  • Makros im Cli­ent (per Grup­pen­richt­li­nie) deaktivieren
  • Ver­trau­ens­wür­di­ge Orte für Makros im AD konfigurieren
  • Signier­te Makros verwenden

Ser­ver­sei­tig soll­ten grund­sätz­lich fol­gen­de Datei­en blo­ckiert bzw. in Qua­ran­tä­ne ver­scho­ben werden:

  • Alle aus­führ­ba­ren Anhän­ge, auch wenn diese in Archi­ven ent­hal­ten sind. Bei­spie­le (nicht abschlie­ßend): .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf
  • Ver­schlüs­sel­te Archi­ve / Zip-Dateien.
  • MS-Office-Doku­ment-Makros (MIME/HTML-Kodie­rung betrachten)

Durch fol­gen­de Maß­nah­men las­sen sich dar­über hin­aus die Annah­me von Spams am Mail-Ser­ver reduzieren:

  • Imple­men­tie­rung von SPF (Sen­der-Poli­cy-Frame­work) auf dem SMTP-Ser­ver hel­fen, bereits die Annah­me von nicht legi­ti­men E‑Mails zu redu­zie­ren. Hier­bei ist jedoch zu prü­fen, ob signi­fi­kan­te Sei­ten­ef­fek­te auf­tre­ten, die eigent­lich gewünsch­te E‑Mail-Kom­mu­ni­ka­ti­on unterbinden.
  • Grey­lis­ting ver­hin­dert effek­tiv die Zustel­lung von E‑Mails von den meis­ten Spam-Bots.
  • Auch soll­te der eige­ne E‑Mail Ser­ver die Annah­me von E‑Mails mit inter­nem Absen­der (SMTP-Enve­lo­pe und From-Hea­der) von Extern ableh­nen (Anti-Spoo­fing)

Netz­wer­ke und Netzlaufwerke

Mit­tels Netz­werk­seg­men­tie­rung ist es mög­lich Schä­den zu begren­zen, da nicht der Zugriff auf alle Netze gege­ben wird. Es kön­nen vom befal­le­nen Sys­tem nur die Nach­bar­sys­te­me erreicht wer­den. Wich­tig ist hier­bei ein sorg­sa­mer Umgang mit Administrator-Accounts.

Dazu pas­send soll­te die Abla­ge von Doku­men­ten auf Netz­lauf­wer­ken statt auf dem loka­len Rech­ner erfol­gen. Neben der Berech­ti­gungs­struk­tur, die für ein­zel­ne Benutzer/Benutzergruppen ver­ge­ben wer­den kön­nen, kann auch die Siche­rung über den zen­tra­len Daten­si­che­rungs­dienst erfol­gen, sodass die Daten im bes­ten Fall nicht ver­lo­ren gehen.

Virenschutz/Firewall

Es ist emp­feh­lens­wert eine pro­fes­sio­nel­le Anti­vi­ren­soft­ware ein­zu­set­zen, um einen Viren­schutz auf den End­ge­rä­ten erfolg­reich umzu­set­zen. Sinn­voll ist in die­sem Rah­men, dass kon­se­quent alle Modu­le der Soft­ware genutzt wer­den, um den best­mög­li­chen Schutz zu gewährleisten.

Im Gegen­satz zu den End­ge­rä­ten soll­te bei Gate­ways ein Black-/White­lis­ting-Dienst über die Fire­wall genutzt wer­den, um Ver­bin­dun­gen zu bös­ar­ti­gen URLs zu unter­bin­den. Zudem soll­ten auch immer nur die Ports geöff­net wer­den, die unbe­dingt not­wen­dig sind.

Im Busi­ness-Bereich emp­fiehlt sich hier aus­schließ­lich der Ein­satz von pro­fes­sio­nel­ler Viren-Schutz­soft­ware und Fire­wall-Sys­tem, da nur diese aus­rei­chend Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten und eine zen­tra­le Admi­nis­tra­ti­on anbieten.

Back­ups / Datensicherungskonzept

Jedes Unter­neh­men soll­te über eine Daten­si­che­rungs­kon­zept ver­fü­gen, um im Not­fall die Wie­der­her­stel­lung der Daten ermög­li­chen zu kön­nen. Back­ups sind ein wich­ti­ges Instru­ment um im Not­fall schnell wie­der agie­ren zu können.

Hier­bei gibt es unter­schied­li­che Vari­an­ten, die je nach Bedarfs­fall zum Ein­satz kom­men kön­nen, wie bei­spiels­wei­se das Back­up mit einem RAID-Sys­tem, das Cloud-Back­up oder mit NAS. Da bei Angrif­fen jedoch oft­mals durch die Angrei­fer gezielt nach den Back­ups gesucht wird, ist es emp­feh­lens­wert auch immer ein Off­line-Back­up vor­lie­gen zu haben, ent­we­der auf einem getrenn­ten Tape, einem getrenn­ten Archiv oder in einem vom eige­nen Netz kom­plett getrenn­ten Cloud-Speicher.

Sie sehen, dass es ver­schie­de­ne Schutz­me­cha­nis­men gibt, um sich vor den unter­schied­li­chen Gefähr­dung durch Cyber­an­grif­fe zu schüt­zen. Wich­tig ist, dass nicht nur in einer aus­ge­wo­ge­nen Kom­bi­na­ti­on das Schutz­le­vel in ihrem Unter­neh­men erhöht wer­den kann. Das Thema IT-Sicher­heit soll­te aus unse­rer Sicht Chef­sa­che sein, um die Wich­tig­keit einer IT-Sicher­heits-Stra­te­gie zen­tral in der Unter­neh­mens­stra­te­gie zu verankern.