NET 10/2021

11 10/21 www.net-im-web.de Security Day in Dietzenbach eine sichere, eine öffentliche Zone und das Internet gliedern konnte, muss man heute an den verschiedensten Stellen des Netzes mit Berührungen mit dem Internet rechnen. Man kann nicht mehr einfach eine interne Zone als sicher definieren, eine DMZ als relativ sicher und das Internet als unsicher und darauf die Sicherheitsstruk- turen aufbauen, sondern muss vielmehr mit Intelligenz innerhalb des Netzes die Sicherheit auf anderen Wegen herstellen, als dies bislang in den meisten Konzepten dargestellt wurde. Und: Man darf die Intelligenz und das Know-how der Angreifer nicht unterschätzen: Eine von Sophos unter- suchte Attacke auf einen VMWare ESXi- Server beispielsweise hat ergeben, dass die Werkzeuge die die Einbrecher ins Netz nutzten, exakt auf das spezielle Vorhaben zugeschnitten war. Derlei Aufwand treiben sie allerdings nur, wenn das jeweilige Ziel auch genügend lukrativ erscheint. Man darf diese Art des Angriffs auch nicht mit den Scriptkiddies früherer Zeiten verwech- seln, die aus Spaß am Hack versuchten Systeme zu kapern. Hinter den heutigen Attacken stehen handfeste wirtschaftliche Interessen. Gerade deshalb sind die Attacken heute professioneller und zielgerichteter, als sie einmal waren. Wer schon einmal einen Webserver betrieben und die Log- files studiert hat, der kennt das „Grund- rauschen“ des Internet: Pro Minute erlebt ein offen im Netz stehender Server etwa 20 bis 1000 Login-Versuche mit falschen Login-Daten und Webseitenabrufe, die mangels installiertem Redaktionssystem (Wordpress, Drupal) ins Nichts führen. Oder sie erleben Login-Versuche im Ak- kord. Eine vernünftige Passwort-Strategie ist deshalb für Unternehmen heute tatsäch- lich Pflicht geworden. Dabei ist es weniger wichtig, dass die Passworte oft gewechselt werden denn, dass sie tatsächlich einem Brute-Force-Angriff standhalten. Sicherheit reglementieren Genau dieses Horror-Szenario sollte man als verantwortungsbewusster IT-Sicherheits- chef regelmäßig durchgehen: Ein Penetra- tionstest möglichst mit externen Experten als Durchführenden sorgt da für das Ver- trauen in die eigenen Absicherungsmaß- nahmen – und auch in die Zuverlässigkeit des gesamten Firmennetzes: Man kann sich nämlich sicher sein, dass man im Zuge der letzten Updates, Umkonfigurationen oder Neuinstallationen sich nicht auch neue Schwachstellen eingehandelt hat. Oder man erkennt sie im schlimmsten Fall lange bevor ein Schaden auftritt. Home Office als „New normal“ Völlig unvorbereitet traf die Corona-Pande- mie viele Arbeitgeberm die ihre Mitarbeiter Knall auf Fall ins HomeOffice schickten/schi- cken mussten.schon die Anschaffungskosten für einen gewaltigen Stapel Notebooks trafen die Arbeitgeber überraschend – die Kosten für eine sichere Einbindung der Geräte ins Firmennetz waren für viele zunächst nicht zu stemmen. Allerdings öffnete man so nolens volens ein neues Einfallstor ins Firmennetz, das man nun schnellstmöglich stopfen muss. In allererster Linie geht es dabei darum, den Mitarbeitern zu verdeutlichen wie wichtig ihr alltägliches IT-Verhalten für die Sicherheit des gesamten Unternehmens ist. „Mitarbeiter müssen dahingehend sen- sibilisiert werden, auch im Homeoffice die bekannten und etablierten Sicherheitsregeln weiterhin zu befolgen und dynamisch an die neue Situation anzupassen“, führt Petra Weiss, Cybersecurity-Awareness-Beauftrag- te von Controlware aus. „So sollte auch zu Hause der Bildschirm vor allzu neugierigen Familienangehörigen gesperrt und das Ge- rät am Ende des Arbeitstags weggeschlossen werden. Auch gehören nicht mehr benötigte dienstliche Dokumente und Ausdrucke nicht in den Hausmüll, sondern sollten sicher auf- bewahrt und zu einem späteren Zeitpunkt fachgerecht imUnternehmen entsorgt werden – umnur zwei Beispiele zu nennen“. Und das funktioniert – schon wegen der menschlichen Faulheit – nicht auf Empfehlungsbasis, weil man Empfehlungen „notfalls“ auch ignorieren kann. Hier sind klare Anweisungen wichtig. Das Problem beim Absichern von Home-Office- und Mobil-Arbeitsplätzen ist nicht dasWissen ummögliche Gefahren, oft auch nicht, dass man wissentlich gegen Vor- schriften wie die DSGVO verstößt, sondern dass man gerade zuHause achtlos mit solchen Vorschriften umgeht. Es muss in klarer Form darauf hingewiesen werden, dass die aus Vor- schriften erwachsenden Verhaltensweisen im Home Office ebenso zu gelten haben wie im Büro. Erst dann ist sichergestellt, dass man mit dem ans Firmennetz angeschlossenen Gerät ebenso umgeht, wie mit einem, das direkt im Firmengebäude steht. Allerdings ist die Umgebung für ans Firmennetz angeschlossene Mobil- oder Home-Office-Rechner meistens sehr feindlich (aus Sicht der IT-Sicherheit). ImHomeOffice warten auch schon einmal die Virenfarmen der Kinder darauf, endlich einmal einen gut gewarteten Firmenrechner zu ruinieren. Und unterwegs nutzt man mit dem Notebook auch ein freies WLAN – im Ernstfall gehen auch sehr vertrauliche Daten dann unver- schlüsselt übers Funknetz: Als Anwender hat man weder einen Einfluss auf die Qualität der Verschlüsselung noch darauf, wer gleichzeitig das Netz benutzt und nur darauf wartet, solche vertraulichen Daten mitzuschneiden. Deshalb ist die Nutzung eines VPN ins Firmennetz eine wesentliche Maßnahme, um die nötige Sicherheit zu erreichen: Die Daten werden so auf ihremWeg durchs Netz verschlüsselt, eventuelle Lauscher erhalten nicht mehr als einen unverständlichenHaufen aus Einsen und Nullen. Und zugleich kann man als IT-Verantwortlicher dafür sorgen, dass die Regeln des Hauses bezüglich Web- Nutzung, private Emails und derlei mehr auchmobil oder imHome Office eingehalten werden. www.controlware.de