030 99 404 12-0 mail@it-service.berlin

Konzeptionelle IT-Sicherheit

In den 2000er-Jah­ren war eine „Sicher­heits­soft­ware“ unver­zicht­bar, wo immer Com­pu­ter ein­ge­setzt wur­den. In den letz­ten Jah­ren hat sich das Bild geän­dert. Aus ein­fa­chen Com­pu­ter­vi­ren wur­den aus­ge­feil­te, mona­te­lang andau­ern­de und sehr geziel­ten Angrif­fen über das Inter­net. Gleich­zei­tig wird „Anti­vi­rus­soft­ware“ unter Sicher­heits­exper­ten als „Schlan­gen­öl-Soft­ware“ bezeich­net. Sie kos­tet, aber sie bringt nichts. Sie berei­tet aller­lei Pro­ble­me, aber sie hält so gut wie kei­nen ech­ten Angriff ab.

Nach jahr­zehn­te­lan­ger Markt­be­ob­ach­tung betrach­ten wir IT-Sicher­heit ganz­heit­lich und dif­fe­ren­zie­ren zwi­schen „abso­lut unver­zicht­bar“ und sinn­vol­len Zusatz­op­tio­nen. Dar­aus haben wir das Kon­zept der „Sicher­heits­trep­pe“ ent­wi­ckelt. Sie zeigt, wel­che Schrit­te mög­lich und sinn­voll sind, um ein ange­mes­se­nes Schutz­ni­veau beim Ein­satz ver­netz­ter Infor­ma­ti­ons­tech­nik zu errei­chen. Es wer­den gän­gi­ge und weni­ger übli­che Maß­nah­men und ihr durch­schnitt­li­cher Nutz­wert aufgeführt.

Dabei ist zu beach­ten, dass ein abso­lut siche­rer Schutz unmög­lich ist und getrof­fe­ne Maß­nah­men in einem sinn­vol­len Ver­hält­nis zum Gefähr­dungs­po­ten­ti­al ste­hen müs­sen. Die Sicher­heits­trep­pe ori­en­tiert sich an den Bedürf­nis­sen von Pri­vat­kun­den und klei­ne­ren bis mit­tel­gro­ßen Fir­men­kun­den. Die dabei getrof­fe­nen Über­le­gun­gen las­sen sich auch bei­spiels­wei­se auf in höchs­tem Maße ange­grif­fe­ne Regie­rungs­or­ga­ni­sa­tio­nen anwen­den; jedoch wird eine sol­che Orga­ni­sa­ti­on bei den ein­zel­nen Stu­fen anders ent­schei­den als ein klei­ner Handwerksbetrieb.

Down­load hier: Die Sicher­heits­trep­pe des IT-Service.berlin

Die roten Stufen: Die Basics der IT-Sicherheit

Aktu­el­les Betriebssystem
Kri­ti­sche Pro­gram­me und sons­ti­ge Apps
Anti­vi­rus­soft­ware

Betrach­ten wir einen gewöhn­li­chen Com­pu­ter, der in einer Fir­ma oder Woh­nung steht (sie­he LAN und WAN): Zunächst soll­te das Betriebs­sys­tem aktu­ell sein, das heißt, es soll­ten alle Updates instal­liert sein. Wenn das Gerät sta­tio­när betrie­ben wird und es kein gro­ßes LAN mit vie­len Gerä­ten ist, wird der Com­pu­ter aber durch den Rou­ter vor Angrif­fen aus dem Inter­net recht gut geschützt. Angreif­bar ist er so vor allem von ande­ren Gerä­ten im Netz­werk – die aber ihrer­seits bei­spiels­wei­se schon erfolg­reich ange­grif­fen wor­den sein müssen.

Es ist durch­aus zu ver­ant­wor­ten, noch für zwei, drei Jah­re ein abge­lau­fe­nes Betriebs­sys­tem (für das es kei­ne Updates mehr gibt) zu ver­wen­den. Erfah­rungs­ge­mäß ist das Gerät danach so lang­sam, dass es sowie­so aus­ge­tauscht wird. Bei die­sem Aus­tausch soll­te auf ein aktu­el­les Betriebs­sys­tem gewech­selt werden!

Als nächs­tes müs­sen die wich­tigs­ten Anwen­dun­gen aktu­ell gehal­ten wer­den. Das sind vor allem der Brow­ser, das E‑Mail-Pro­gramm und die PDF-App. Der Sta­tus kann über­wacht wer­den. Angrif­fe auf Lücken in die­sen Pro­gram­men begin­nen inzwi­schen teil­wei­se nur Stun­den nach dem Bekannt­wer­den von Sicher­heits­lü­cken. Die Pro­gram­me aktua­li­sie­ren sich in der Regel selbst, der Sta­tus kann vom IT-Dienst­leis­ter über­wacht wer­den. Mona­te­lang mit nicht aktua­li­sier­ten Anwen­dun­gen unter­wegs zu sein ist ein erheb­li­ches Risi­ko. Oft erfor­dern Angrif­fe über die­se Sicher­heits­lü­cken nicht ein­mal ein manu­el­les Zutun des Benutzers.

Auch alle ande­ren Anwen­dun­gen auf einem Com­pu­ter kön­nen Sicher­heits­lü­cken ent­hal­ten. Die­se sind aber weni­ger angreif­bar, son­dern oft nur unter sehr spe­zi­el­len Umständen.

Ein Viren­schutz­pro­gramm ist etwas, was dazu gehört. Sol­che Pro­gram­me ver­su­chen, über Signa­tu­ren von bekann­ten Com­pu­ter­vi­ren die­se zu iden­ti­fi­zie­ren und zu blo­ckie­ren. Außer­dem gibt es Mecha­nis­men der Ver­hal­tens­er­ken­nung, das heißt, das Schutz­pro­gramm ver­sucht zu erken­nen, wenn eine Anwen­dung etwas gefähr­li­ches macht, und will die­se dann blockieren.

Die signa­tur­ba­sier­te Erken­nung hilft aber nur bei bekann­ten Viren, und auf jeden Fall immer erst, wenn der Her­stel­ler das Virus zu gesicht bekom­men hat (sie­he Blog zur Ver­zö­ge­rung). Bei erfolg­rei­chen Angrif­fen kann­te das Anti­vi­rus­pro­gramm den Schäd­ling meis­tens noch nicht.

Von Sicher­heits­exper­ten wer­den Anti­vi­rus­pro­gram­me oft als „Schlan­gen­öl“ bezeich­net (sie­he Golem). Sie brin­gen fast nichts, machen aber vie­le Pro­ble­me (und schaf­fen teil­wei­se sogar sel­ber neue Sicher­heits­lü­cken). Jedoch gehö­ren sie ein­fach dazu, schon um gegen­über Ver­si­che­rungs­fir­men im Scha­dens­fall nach­wei­sen zu kön­nen, dass etwas unter­nom­men wurde.

Seit etwa 2012 hat sich unter Win­dows-Betriebs­sys­te­men der „Win­dows Defen­der“ sehr gemau­sert. Er ist kos­ten­los und in allen aktu­el­len Micro­soft-Betriebs­sys­te­men eingebaut.

Auf iOS und Android haben Anti­vi­rus­pro­gram­me nur ein­ge­schränk­te Rech­te und kön­nen daher gar kei­nen Schutz bie­ten. Sie sind rei­ne Augenwischerei.

Wir gehen davon aus, dass wohl aus­nahms­los alle Fir­men, Behör­den und Insti­tu­tio­nen, über deren „Hacks“, Ver­schlüs­se­lungs­vor­fäl­le und Erpres­sungs­tro­ja­ner, über die seit vie­len Jah­ren fast monat­lich berich­tet wur­de, teu­re „umfas­sen­de Sicher­heits­pro­gram­me“ genutzt habe, hin­ter denen sich ein­fach kom­mer­zi­el­le Anti­vi­rus­pro­gram­me „für den Busi­ness­be­reich“ ver­bar­gen. Und die genau nichts gehol­fen haben.

Die grauen Stufen: Weiche Faktoren

Kenn­wor­te
Anwen­der
Doku­men­ta­ti­on

Eine der wich­tigs­ten Kom­po­nen­ten ist die sach­ge­rech­te Ver­wen­dung von Kenn­wor­ten. Das liegt dar­an, dass es über ver­schie­de­ne Inter­net­diens­te (Cloud) immer mehr Angrif­fe gibt, bei denen kei­ne schäd­li­che Soft­ware auf einem Com­pu­ter instal­liert wird, son­dern ein­fach durch das Erra­ten oder Abfan­gen von Kenn­wor­ten ein Sicher­heits­vor­fall ent­steht. Zum Bei­spiel über Zugangs­da­ten zum Bank­kon­to auf die­ses zuge­grif­fen wird. Oder über das Kenn­wort zum E‑Mail-Kon­to Zugang zu wei­te­ren Kenn­wor­ten des Anwen­der zu bekom­men und des­sen per­sön­li­che Datei­en aus einem Cloud­spei­cher uner­wünscht herunterzuladen.

Kenn­wor­te bzw. Pass­wör­ter sind der Schlüs­sel zu Ihrer Com­pu­ter­tech­nik und zu Ihren Daten. Wir unter­stüt­zen Sie beim Ent­wurf eines Kenn­wort­kon­zep­tes, hel­fen bei der Aus­wahl eines Pass­wort­ma­na­gers (einer Soft­ware, in der die Kenn­wor­te gespei­chert wer­den), unter­stüt­zen bei der nicht immer ganz ein­fa­chen Mul­ti­fak­toraut­en­ti­fi­zie­rung, und sagen Ihnen, für wel­che Funk­tio­nen siche­re Kenn­wor­te ver­wen­det wer­den soll­ten, und wo ein ein­fa­ches, oft benutz­tes Pass­wort reicht. Es ist nicht erfor­der­lich, für jedes belie­bi­ge Inter­net­fo­rum oder für den eige­nen Win­dows-Com­pu­ter zu Hau­se ein Hoch­si­cher­heits­kenn­wort zu ver­wen­den. Kenn­wor­te soll­ten gemes­sen am Angriffs- und Schad­po­ten­ti­al durch­dacht „sicher genug“ sein!

Erfah­rungs­ge­mäß ist ein vor­sich­ti­ger, umsich­ti­ger und miss­traui­scher Anwen­der der bes­te Schutz vor bös­ar­ti­ger Soft­ware. Wir unter­stüt­zen dies durch Awa­re­ness-Trai­nings und Schulungen.

Lei­der kann man sich auf den Sicher­heits­fak­tor „Benut­zer“ nicht abso­lut ver­las­sen: Soft­ware­lü­cken kön­nen auch Angrif­fe gelin­gen las­sen, ohne dass sich der Anwen­der etwas hat zu Schul­fe kom­men las­sen. Und auch die Bes­ten machen manch­mal Feh­ler! Im Unter­neh­men schließ­lich besteht lei­der die Gefahr eines bös­wil­li­gen Mitarbeiters.

IT-Dienst­leis­ter erstel­len in der Regel auto­ma­tisch eine Doku­men­ta­ti­on der Kun­den­sys­te­me. Das ist die Vor­aus­set­zung, um zufrie­den­stel­len­den IT-Ser­vice anbie­ten zu kön­nen. Unter Sicher­heits­aspek­ten ist es aber eben auch wich­tig, zu wis­sen, wel­che Soft­ware ein­ge­setzt wird, wie das Netz­werk auf­ge­baut ist und wel­che Diens­te wie und wo genutzt wer­den. Nur so kön­nen not­wen­di­ge Soft­ware­up­dates ein­ge­spielt oder uner­wünsch­te Netz­werk­ver­bin­dun­gen erkannt werden.

Wie groß der Sicher­heits­ge­winn hier ist, ist aber sehr indi­vi­du­ell. So sind Angrei­fer in der Ver­gan­gen­heit über den infi­zier­ten Com­pu­ter irgend­ei­nes Mit­ar­bei­ters aus auf einen ein­ge­schal­te­ten, aber unge­war­te­ten Ser­ver ohne Sicher­heits­up­dates gegan­gen und haben sich von dort in aller Ruhe wei­ter ver­brei­tet. In der Doku­men­ta­ti­on wäre es gar nicht so wich­tig, wie viel Arbeits­spei­cher die­ser Ser­ver hat­te, son­dern wer für ihn ver­ant­wort­lich ist und für wel­chen Zweck er da ist – dass man ihn näm­lich ein­fach hät­te aus­ge­schal­tet las­sen kön­nen. Das Bei­spiel zeigt aber auch, dass Doku­men­ta­ti­on mit stei­gen­der Kom­ple­xi­tät wich­ti­ger wird.

Die grünen Stufen: Hochsicherheitstechnik

Appli­ca­ti­on Whitelisting
Fire­wall und Netzwerk

Ein sehr hohes Maß an Sicher­heit bie­tet „Appli­ca­ti­on white­lis­ting“. Dabei erlaubt es Win­dows nur, Pro­gramm­code aus­zu­füh­ren, der ein­ma­lig frei­ge­ge­ben wur­de. Wäh­rend also ein signa­tur­ba­sier­ter Viren­scan­ner ver­sucht, jeden schon bekann­ten Schad­code in einer Daten­bank zu haben (und dabei meis­tens ver­sagt), oder am Ver­hal­ten der aus­ge­führ­ten Pro­gram­me „böses“ zu iden­ti­fi­zie­ren, legt es das Appli­ca­ti­on white­lis­ting in die Hand eines Sys­tem­ad­mi­nis­tra­tors, nur erwünsch­ten Pro­gramm­code zu erlauben.

Die­ses Schutz­ni­veau ist sehr hoch, aber auch auf­wän­dig, weil alle Updates von Anwen­dun­gen auch frei­ge­ge­ben wer­den müs­sen und neue Anwen­dun­gen mit dem Admi­nis­tra­tor abge­stimmt wer­den müs­sen. Gera­de die­se mensch­li­che Zwi­schen­sta­ti­on trägt aber auch zum Schutz bei, weil zum Bei­spiel nicht nur ein Anwen­der mög­li­cher­wei­se im Augen­blicks­ver­sa­gen ein Schad­pro­gramm erlaubt, son­dern ein IT-Admi­nis­tra­tor die­ses auch noch bestä­ti­gen muss, um dem Angrei­fer sei­nen Erfolg zu verschaffen.

Am Über­gangs­punkt zwi­schen dem gefähr­li­chen Inter­net und dem eini­ger­ma­ßen ver­trau­ens­wür­di­gen loka­len Netz­werk kann ein gutes Schutz­ge­rät, eine Fire­wall, erken­nen, ob eines der Gerä­te im loka­len Netz­werk erfolg­reich mit Schad­code bespielt wer­den konn­te. Hin­ter­grund ist, dass nahe­zu jeder moder­ne Angriff Ver­bin­dun­gen ins Inter­net her­stellt, um wei­te­re Instruk­tio­nen vom Angrei­fer zu holen, oder um sich wei­ter­ver­brei­ten zu kön­nen. Die­ses Erken­nen erfor­dert aber ein akti­ves Moni­to­ring durch einen IT-Dienst­leis­ter, der auch zum Bei­spiel häu­fi­ge Fehl­alar­me als sol­che erken­nen kann.

Nach unse­rer Ein­schät­zung sind die meis­ten ver­hin­der­ten Tro­ja­ner­an­grif­fe in den letz­ten Jah­ren an die­sem Punkt noch recht­zei­tig erkannt wor­den. Davon abge­se­hen kann der Auf­bau des loka­len Netz­wer­kes aber auch Angrei­fer in ihrer Akti­vi­tät ein­schrän­ken, indem zum Bei­spiel Gerä­te netz­werk­tech­nisch von­ein­an­der getrennt wer­den. Die­se Trep­pen­stu­fe ist also schon recht hoch, der Sicher­heits­ge­winn unter Umstän­den beacht­lich. Der Auf­wand ist aber auch nicht gering, alle Netz­werk­ge­rä­te müs­sen den Schutz über­haupt erst ermög­li­chen, und er lohnt sich kaum für ein klei­nes Netz­werk mit drei oder fünf Computern.

Der gelbe Balken: Unverzichtbar

Daten­si­che­rung oder Backup

Eine regel­mä­ßi­ge Daten­si­che­rung, also ein Back­up, aller wich­ti­gen Daten ist abso­lut unver­zicht­bar, am pri­va­ten Com­pu­ter wie im Unter­neh­men. Wenn digi­ta­le Gerä­te benutzt wer­den, fal­len Daten an. Und egal, wie sicher Ihre Infra­struk­tur auf­ge­stellt ist – ein Ver­lust die­ser Daten ist immer mög­lich. Durch einen inter­nen oder exter­nen Angrei­fer, durch tech­ni­sche Defek­te, durch Fehl­be­die­nung oder durch Unfäl­le oder Katastrophen.

Für Ihre Daten­si­che­rung erar­bei­ten wir ger­ne ein Kon­zept. Dabei hilft uns unse­re Online-Doku­men­ta­ti­on. Berück­sich­tigt wer­den ver­schie­de­ne Faktoren:

  • Art und Schutz­be­darf der Daten
  • Häu­fig­keit der Sicherung
  • Spei­cher­ort (inter, extern, Cloud)
  • Wich­tig­keit von älte­ren Datenbeständen
  • Not­wen­di­ge Wiederherstellungsgeschwindigkeit

Spre­chen Sie uns unbe­dingt auf die­ses The­ma an. Es ist wichtig.