360 Grad IT-Security – Risiken systematisch aufspüren

Dies ist ein Ausschnitt aus unserem eBook 360 Grad IT-Security – Passender Rundumschutz für moderne IT-Infrastrukturen. Sie können sich das eBook hier downloaden.

Inwieweit die vorher zitierten Studien für ein konkretes Unternehmen zutreffen, muss freilich immer im Einzelfall geklärt werden. Als erster Schritt kann eine Bestandsanalyse dazu beitragen, mögliche Gefährdungen und Verbesserungspotenziale aufzuzeigen.

Erste Postitionsbestimmung per Checkliste

Als hilfreiches Werkzeug bietet sich ein Fragenkatalog, wie die folgende Checkliste an. Diese adressiert vornehmlich Sicherheitsthemen um den Anwender und seine Arbeitsumgebung und kann damit dringliche Themen im Bereich der IT-Sicherheit eingrenzen. Damit ersetzt der Fragenkatalog zwar keinen umfassenden Security-Audit, kann allerdings im Rahmen von Security Projekten wertvolle Hinweise liefern sowie Management oder IT-Entscheider bei einer Positionsbestimmung unterstützen.

21

1. Zugänge

  • Existiert eine Regelung für den Umgang mit Zugangsberechtigungen?
  • Existiert eine Regelung für den Umgang mit besonderen Zugangsberechtigungen (Wartungsarbeiten, Weitergabe unter bestimmten Umständen)?
  • Existiert eine Kennwortrichtlinie?
  • Existieren Richtlinien zur Kennwortgeheimhaltung?
  • Haben Sie Kennwortänderungsrichtlinien?
  • Werden erteilte Zugangsberechtigungen regelmäßig hinterfragt?
  • Gibt es einen Handlungsablauf bei Zugangsverlust, Kennwortverlust?
  • Existieren nicht personalisierte oder anonyme Zugangsberechtigungen?

2. Grundsätze

  • Besteht eine Regelung für den Umgang mit Arbeitsmitteln, IT-Equipment und Daten?
  • Existieren Regelungen zur Aktualisierung bereit gestellter IT-Systeme (z.B. Windows Updates, Antivirus Updates)?
  • Bestehen Richtlinien, die eine regelmäßige Verbindung zum Firmennetzwerk regeln, z.B. für Updates?
  • Haben Sie Ablaufpläne bei IT-Sicherheitsvorfällen?
  • Existieren Genehmigungsrichtlinien für Datenverarbeitung durch andere Abteilungen oder gar Dritte?
  • Bestehen Bestimmungen für die private Nutzung von Informationstechnologien?
  • Gibt es eine Verschwiegenheitserklärung für Mitarbeiter in Ihrem Unternehmen?
  • Besitzen Sie eine Broschüre beziehungsweise Material zur Aufklärung Ihrer Mitarbeiter über IT-Sicherheitsrisiken?

3. Netzwerk

  • Besteht eine Richtlinie für das Verbinden von Endgeräten mit dem Firmennetzwerk?
  • Besteht eine Richtlinie für das Verbinden von firmeneigenen Endgeräten an Fremdnetzwerke?
  • Haben Sie Ihre Mitarbeiter im Umgang mit dem „World Wide Web“ sensibilisiert beziehungsweise geschult?
  • Nutzen Sie Cloud-Dienste und haben Sie auf deren besonderen Gefahren hingewiesen, sind Ihre Mitarbeiter zur Sensibilität angehalten?

22

4. Datenschutz & Datensicherheit

  • Bestehen Richtlinien zur Speicherung und Nutzung von Daten?
  • Haben Sie Ihre Mitarbeiter bezüglich des Umgangs mit sensiblen Daten geschult?
  • Haben Sie Ihre Mitarbeiter bezüglich Fremdzugriffe auf Ihre Infrastruktur sensibilisiert?
  • Haben Sie eine Richtlinie für den Umgang mit Druckausgaben?
  • Besitzen Sie eine Richtlinie für eine regelmäßige Datensicherung?
  • Verarbeiten Sie Daten, die einer gesonderten Archivierungsordnung unterliegen?
  • Besteht eine Richtlinie zur Sicherung von Daten vor Drittzugriff?
  • Haben Sie Ihre IT-Entscheider und/oder IT-Administratoren im Umgang mit der elektronischen Datenvernichtung geschult?
  • Besitzen Sie eine Richtlinie, die den Umgang mit externen Datenträgern regelt?
  • Sind Ihre Mitarbeiter im Umgang mit Antiviren-Tools geschult?
  • Existiert eine Richtlinie bezüglich des Verlusts von Daten?
  • Haben Sie Ihre Mitarbeiter über Risiken im Umgang mit Office-Lösungen informiert? Wissen Sie, dass Office-Dokumente zum Teil versteckte Daten enthalten können?
  • Haben Sie eine Regelung für den Umgang mit Daten und IT-Equipment im Ausland?

5. IT-Kommunikation

  • Existiert eine Regelung für den Umgang mit E-Mails?
  • Existiert eine Regelung für den Umgang mit Instant-Messaging-Lösungen?
  • Existiert eine Regelung, die das Aufzeichnen von Kommunikationsdaten regelt (Ton, Text, Video)?

6. Regeln zur Privatnutzung

  • Ist die Überwachung der IT-Nutzung geregelt?
  • Ist die Speicherung persönlicher privater Daten im Firmennetzwerk geregelt?
  • Ist die Installation von Anwendungen durch Anwender geregelt?
  • Dürfen Ihre Mitarbeiter mit firmeneigener Infrastruktur auf private (Web-) Mail- Accounts zugreifen?
  • Dürfen Ihre Mitarbeiter privat den Internet zugang Ihrer Firma nutzen?
  • Dürfen Ihre Mitarbeiter aus privaten Gründen auf soziale Netzwerke zugreifen?

7. Anwendungen

  • Besitzen Sie firmeneigene Softwarestandards?
  • Besitzen Sie eine Sonderregelung für bestimmte Softwarekategorien?
  • Tolerieren Sie bestimmte Anwendungsarten?
  • Existiert eine Regelung für verbotene Anwendungen?

8. Hardware

  • Sind Ihre Mitarbeiter zur Befolgung von Handbüchern angehalten?
  • Haben Sie eine Regelung zur Aufbewahrung von IT-Equipment und Daten?
  • Haben Sie die Weitergabe von IT-Equipment geregelt?
  • Existieren Regelungen bezüglich des Verlustes von IT-Equipment?
  • Existiert eine Regelung zur Nutzung von privaten oder firmenfremden Endgeräten in Ihrem Netzwerk?
  • Existiert eine Regelung für den Umgang mit mobilen Endgeräten?

23

Angriffsszenarien

Um Risikofaktoren zu erkennen lohnt es sich, bislang selbstverständlich eingesetzte Technologien kritisch zu hinterfragen und schrittweise auf mögliche Sicherheitsschwachstellen abzuklopfen. Eine solche Risikobetrachtung muss auf unterschiedlichen Ebenen stattfinden: Data Plane (Datenverkehr), Control Plane (Steuerungsebene) und Management Plane (Verwaltungsebene). Neben technischen Aspekten sind zudem organisatorische sowie menschliche Faktoren zu betrachten. Als Beispiel soll im Folgenden ein Client betrachtet werden, der per MPLS auf Anwendungen zugreift, die auf einem entfernten Terminal Server laufen.

24

Anwender als Zielscheibe

Bereits beim Anwender bieten sich hier in der Regel verschiedene Angriffspunkte. So sehen sich Nutzer auf Webportalen damit konfrontiert, dass deren Fensterfläche zu großen Teilen aus Werbung Dritter besteht. Das überfordert nicht nur Endanwender, sondern erleichtert Fremden auch das Einschleusen gefährlicher Drive-byDownloads – die ohne Zutun des Nutzers Schwachstellen des Browsers ausnutzen, Schadcode ausführen oder zeitversetzt und schwer nachvollziehbar nachladen.

Auch E-Mails stellen für Cyberkriminelle ein wertvolles Vehikel dar, um schädliche Software ins Unternehmen zu schleusen, mit der die Mustererkennung klassischer Stateful Inspection Firewalls überfordert ist. In sozialen Netzen aktive Mitarbeiter machen es Angreifern besonders leicht, individuelle Angriffe zu entwerfen. Profile auf Facebook, Xing oder LinkedIn liefern oftmals wertvolle Informationen zu Hobbys und beruflicher Position. So ist es nicht nur ein Leichtes, lohnende Angriffsziele zu finden. Darüber hinaus liefern die späteren Opfer mit ihren Hobbies und Interessen auch noch wertvolle Hinweise darauf, mit welchen Schlüsselreizen eine E-Mail sehr wahrscheinlich Klicks auf verlinkte Malware provozieren kann.

25

Do change a running system

Ein Praxisbeispiel: Bei einer Netzwerkanalyse konnte die CEMA eine saubere und störungsfreie VoIP-Kommunikation feststellen. Trotz der reibungslosen Funktion hatte die IT des jeweiligen Unternehmens aber offenbar nur unzureichende Kenntnis über die eingesetzten Technologien, denn: Alle Gespräche wurden unverschlüsselt geführt, ein Mitschnitt war problemlos zu erstellen. Hier sollten sich Administratoren im Zweifel von der geflügelten Weisheit „never change a running system“ verabschieden und für die Sicherheit ihrer Infrastruktur nochmals Hand anlegen.

Mögliche Risiken sind auch bei vermeintlich sicheren Netzwerkverbindungen über MPLS nicht auszuschließen. Ein MPLSBackbone stellt ein geteiltes Medium dar, das von einem Provider zur Verfügung gestellt und von mehreren Kunden genutzt wird. Weil mehrere Organisationen auf eine Infrastruktur zugreifen, existieren aber auch Angriffsszenarien auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit: So könnten per MPLS auch Fremdsysteme erreichbar sein. Somit müssen Unternehmen auch für Providernetze eine Grundschutzbetrachtung anstellen und ihre eigene Sicherheit beispielsweise per Site-to-Site VPN gewährleisten.

eBook hier downloaden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.