Sicherheitsrisiken am Netzwerkrand minimieren. Best Practices für verteilte Unternehmen UNSER INFO-ANGEBOT FÜR SIE: White Paper / Sicherheit

Transkript

1 White Paper / Sicherheit Sicherheitsrisiken am Netzwerkrand minimieren Best Practices für verteilte Unternehmen UNSER INFO-ANGEBOT FÜR SIE: ++ Bedrohungen im verteilten Unternehmen sowie Strategien für sicherere Netzwerke. ++ Was bei der Netzwerkkonfiguration unbedingt zu tun ist. ++ Informationen über Sicherheit in der Cloud, PCI-Konformität und parallele Netzwerke. ++ Zwei Methoden zur Erhöhung der Sicherheit.

2 Jedes Jahr wieder müssen die PR-Teams mindestens eines namhaften Spitzenunternehmens Nachtschichten einlegen, um per Krisenkommunikation die Wogen bei der verärgerten und zu Recht besorgten Öffentlichkeit zu glätten, weil Kundendaten in die falschen Hände gelangt sind. Wenn solche sensiblen Daten nicht wirkungsvoll geschützt werden konnten, schädigt das immer sofort den Ruf des Unternehmens und damit die Markentreue der Kunden, denn diese wechseln aufgrund des Vertrauensverlusts zu anderen Anbietern. Natürlich haben Sicherheitsverletzungen noch zahlreiche weitere gravierende Auswirkungen. Mögliche Folgen einer Datensicherheitsverletzung: + + Anwalts- und Gerichtskosten + + Umsatz- oder Produktivitätseinbußen aufgrund der Nichtverfügbarkeit von Produktionsressourcen + + Geldbußen für die Nichteinhaltung von Datenschutzbestimmungen + + Geldbußen für die Nichteinhaltung der Datensicherheitsstandards der Kreditkartenbranche (PCI-DSS) + + Verlust von geistigem Eigentum, wettbewerbsrelevanten Informationen oder anderen schützenswerten unternehmense3igenen Informationen + + Entgang von zukünftigen Gewinnen aufgrund der Unfähigkeit, gegenüber Kunden, Lieferanten und Partnern einen starken Sicherheitsprozess unter Beweis zu stellen WENN EINE SICHERHEITSVERLETZUNG AUFTRITT, WERDEN 90 % DER DURCHSCHNITTLICHEN ZEIT BIS ZUR BEHEBUNG AUF DIE IDENTIFIZIERUNG DES PROBLEMS VERWENDET. 1 BEI ÜBER VORFÄLLEN MIT VERLETZUNG DER DATENSICHERHEIT IM JAHR 2013 WURDEN 91 % DER VORFÄLLE VON AUSSEN VERURSACHT. DAUERTE IN 88 % DER FÄLLE DIE DATENGEFÄHRDUNG UND -EXFILTRATION NUR EIN PAAR MINUTEN. KONNTEN 85 % DER FÄLLE ERST NACH WOCHEN ENTDECKT WERDEN. WAR IN 45% DER FÄLLE MALWARE IM SPIEL. 2 Hauptquartier ALLE DIESE PROZENTSÄTZE SIND GEGENÜBER DEM VORJAHR DEUTLICH ANGESTIEGEN. Der Netzwerkrand stellt für Unternehmen das Tor zum Internet dar. Deshalb sind verteilte Unternehmen an dieser Stelle extrem verwundbar Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 2

3 RISIKEN AM NETZWERKRAND Für Unternehmen mit Hunderten oder Tausenden von Standorten ist die Aufrechterhaltung der Netzwerksicherheit eine dauernde, gewaltige Herausforderung. In diesen Unternehmen ist das Risiko von Gefährdungen oder Verletzungen der Datensicherheit besonders hoch. Der äußerst anfällige Netzwerkrand muss durch Beseitigung von Schwachstellen sorgfältig gegen Bedrohungen und böswillige Angriffe geschützt werden. Für Kriminelle stellt der Netzwerkrand ein weiches, d. h. leicht verwundbares Ziel dar, weil an verteilten Standorten häufig hoch sensible Daten (beispielsweise Kreditkarten) verarbeitet werden, gleichzeitig aber oft schwächere Sicherheitsverfahren angewendet werden. Zu Schwachstellen in Randnetzwerken tragen u. a. folgende Faktoren bei: + + Kein IT-Support vor Ort. Sicherheitsmaßnahmen wie Firmware-Updates und die Umsetzung von Richtlinien (z. B. Firewall-Regeln, Zugriffskontrolllisten, Drahtlos- Konfigurationen und VLANs) sollten einheitlich durchgeführt werden, können aber leicht übersehen werden, wenn kein IT-Personal vor Ort ist. Sogar an Niederlassungen mit lokaler IT fehlt häufig die Expertise im eigenen Haus, die nötig wäre, um komplexe Sicherheitskonfigurationen zu implementieren und aufrechtzuerhalten. + + Mangelndes Sicherheitsbewusstsein der Mitarbeiter. Im Zeitalter des Bring Your Own Device werden mit Privatgeräten der Mitarbeiter, die auf das Unternehmensnetzwerk zugreifen, Schwachstellen in das Netzwerk eingebracht, beispielsweise nicht autorisierte Zugriffspunkte, die Phishing und andere Social- Engineering-Angriffe ermöglichen. Sind die Mitarbeiter nicht ausreichend informiert bzw. geschult, gefährden sie ihr Unternehmen, indem sie s öffnen oder auf Links klicken, über die Malware auf ihr Gerät und in das Netzwerk eindringt. + + Zugriff durch Kunden und andere Dritte auf das Netzwerk. Viele Unternehmen haben Kontaktstellen zu Dritten, die Zugriff über das Internet erfordern. Beispielsweise kann ein Hersteller von Heizungs-, Lüftungs- und Klimaanlagen anfordern, das Unternehmensnetzwerk zu nutzen, um die Heiz- und Klimatisierungseinstellungen in den Betriebsstätten zu überwachen. Kioske innerhalb von Ladengeschäften brauchen Netzwerkzugriff, um Daten übermitteln zu können, und Kunden wollen zunehmend WLAN-Anbindung für ihre Handheld-Geräte, während sie shoppen. UNTERNEHMEN MIT KLEINEN NIEDERLASSUNGEN AN VERTEILTEN STANDORTEN SIND DEM RISIKO VON VERLETZUNGEN DER DATENSICHERHEIT AM STÄRKSTEN AUSGESETZT. 80 % DER DATENSICHERHEITS- VERLETZUNGEN IM EINZELHANDEL TRATEN IN EINZELHANDELSGESCHÄFTEN MIT WENIGER ALS 100 MITARBEITERN AUF. 24 % DER ANGRIFFE BETREFFEN INFORMATIONS- UND BERATUNGSDIENSTLEISTER. 34 % DER DATENSICHERHEITS- VERLETZUNGEN RICHTEN SICH GEGEN ORGANISATIONEN IN DER FINANZBRANCHE. 20 % DER ANGRIFFE GALTEN UNTERNEHMEN IN DER FERTIGUNGSBRANCHE UND IN VERWANDTEN BRANCHEN. 30 % DER DATENSICHERHEITS- VERLETZUNGEN ERFOLGEN ÜBER BENUTZERGERÄTE Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 3

4 Angesichts der Vielfalt der Beteiligten, die Internetzugriff verlangen, und der zahllosen Risiken der Sicherheitsverletzung ist von Unternehmen bei der Entwicklung, Aktualisierung und Umsetzung von Sicherheitsrichtlinien am Netzwerkrand höchste Wachsamkeit gefordert. NETZWERKARCHITEKTUREN FÜR DAS VERTEILTE UNTERNEHMEN HUB-AND-SPOKE: KONTROLLIERTER ZUGRIFF AUF EIN ZENTRALISIERTES RECHENZENTRUM Als Hub-and-Spoke werden Architekturen bezeichnet, die Virtual Private Networking (VPN) oder Private Cloud Gateways nutzen. Bei manchen virtuellen privaten Netzwerken wird vielleicht keine Verschlüsselung zum Schutz von Daten implementiert. Zwar bieten VPNs oft Sicherheit, doch passt ein unverschlüsseltes Overlay- Netzwerk nicht wirklich in eine sichere oder vertrauenswürdige Netzwerkumgebung. VPNs sollten so konfiguriert werden, dass sie als Gateway zu einem oder mehreren Segmenten der Umgebung fungieren, BEI DER HUB-AND- SPOKE-ARCHITEKTUR WIRD ÜBER EIN VPN KONTROLLIERTER ZUGRIFF AUF EIN ZENTRALISIERTES RECHENZENTRUM GEWÄHRT. Hauptquartier Geschäft Unsichere Internetverbindungen Sicheres VPN-Netzwerk 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 4

5 wobei zuverlässige Authentifizierungsmethoden sowie Funktionen für die Endpunktuntersuchung implementiert und virtuelle Desktops, eigene Geräte oder Point-of-Sale-Technologien integriert werden. VORTEILE Sicherheit. Wenn viele entfernte Standorte vorhanden sind, können mit einem VPN die Kosten einer dedizierten Internetverbindung eingespart werden. Der Aufwand für die Einrichtung einer LAN-Verbindung über ein Internet-VPN ist sehr gering im Vergleich zu herkömmlichen Lösungen mit dedizierten Leitungen. Mit den richtigen Verschlüsselungs- und Authentifizierungsmethoden ist die VPN-Architektur eine kostengünstige und hoch skalierbare Lösung für die sichere Datenübertragung. Erkennung von Bedrohungen. Daten können auf ihrem Weg durch das Netzwerk analysiert werden, um mögliche Bedrohungen oder Sicherheitsverletzungen zu erkennen. Wenn in den Niederlassungen die gleiche Infrastruktur für die Vorbeugung von Eindringversuchen genutzt wird wie im Netzwerkkern, kann die Gefahr einer Fehlkonfiguration am Netzwerkrand minimiert werden. Kontrolle. Unternehmen, deren Kernaufgabe die Übertragung oder Speicherung von hoch sensiblen Daten ist, haben mehr Gewissheit, dass sie wirklich die Kontrolle über die Implementierung und Wartung der Sicherheitsarchitektur haben. RISIKEN Planungs- und Konfigurationsfehler. Die Bereitstellung eines VPNs erfordert eine sehr sorgfältige Planung und Konfiguration, eine konsistente Aktualisierung der Router- Firmware und die Implementierung von Sicherheitsrichtlinien. Netzwerke müssen korrekt konfiguriert und regelmäßig gewartet werden. Fehlerhaft konfigurierte Segmente können Sicherheitslücken im Kernnetzwerk verursachen, die von Hackern ausgenutzt werden, um Zugriff auf schutzwürdige Daten zu erlangen. Physische Sicherheit ist ebenfalls wichtig, um einen Diebstahl des Edge-Routers oder -Gateways zu verhindern, mit dem sich Angreifer Zugriff auf Firmennetzwerke und sensible Daten verschaffen können. DER SCHÜSSEL ZUM ERFOLG Schützen Sie die Hub-and-Spoke-Architektur durch Isolierung und Segmentierung. Bisher nutzen die meisten Organisationen eine Architektur mit einer oder zwei Firewalls, bei der das Netzwerk in Segmente auf Layer 3 und 4 aufgeteilt ist und IP-Adressbereiche und TCP- und UDP-Ports beschränkt werden, die das Passieren eines Segments ermöglichen. Diese Netzwerk- Sicherheitsarchitektur ist zwar immer noch am weitesten verbreitet, doch beginnen immer mehr Organisationen, den Datenverkehr auf höheren Ebenen zu steuern und innovative Technologien einzusetzen, die die Erfassung, Analyse und Kontrolle von Netzwerkverkehr vereinfachen. Weitere Informationen dazu finden Sie unter Zwei Methoden zur Erhöhung der Sicherheit auf Seite 11. DIE CLOUD FÜR SICHERHEITSDIENSTE Viele Organisationen wollen heute von den Kosteneinsparungen und der Effizienz profitieren, die die Cloud bietet, aber nicht auf Kosten der gewohnten Kontrollmöglichkeiten und des etablierten Sicherheitsniveaus. Traditionelle Lösungen für Netzwerksicherheit erfordern teure, mit Features überfrachtete Hardware, unzeitgemäße Befehlszeilenschnittstellen, intensive mehrtägige Schulungen, Zertifizierungsprogramme und 400-Seiten-Handbücher. Wenn die Sicherheitslösung zu komplex ist, steigt das Risiko von Konfigurationsfehlern und unbeabsichtigten Wirkungen. Verteilten Unternehmen mit wenig oder gar keinem IT- Support vor Ort ermöglicht cloudgestützte Sicherheit die Sichtbarmachung, Konfiguration und Steuerung von Tausenden von Geräten überall auf der Welt. Idealerweise sollten verteilte Unternehmen Sicherheitslösungen implementieren, die die Direktheit des Vor-Ort-Managements mit der Einfachheit und den zentralisierten Steuerungsmöglichkeiten der Cloud vereinen Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 5

6 VORTEILE Skalierbarkeit und Konzentration. Eine cloudgestützte Sicherheitsarchitektur kann einfacher, kostengünstiger und mit weniger Planungsaufwand skaliert werden als eine traditionelle hardwaregestützte Architektur. Sicherheitsrelevante Prozesse, Maßnahmen zur Reaktion auf Bedrohungen, Updates und Sicherheitspatches können über eine cloudgestützte Architektur mit Sicherheitsanwendungen schneller ausgeführt werden. Abwehr von Bedrohungen im Vorfeld. Webdatenverkehr lässt sich schnell und dynamisch authentifizieren, verschlüsseln und filtern mit minimalen Latenzzeiten. Angriffe von außen über das Internet können abgewehrt werden, während lokale Malware erkannt und ausgeschaltet werden kann. Reaktion auf Bedrohungen. Anders als bei vielen On-Premise-Lösungen können Ereignisprotokolle und Warnmeldungen durch cloudgestützte Algorithmen dynamisch gefiltert werden. Das ermöglicht eine differenziertere Überwachung und aussagekräftige Analysen. Flexibleres Routing des Netzwerkverkehrs. Vereinfachte cloudgestützte Tunnels und Sicherheitsprotokolle zum Schutz von Daten während der Übertragung lassen sich wesentlich schneller und ohne die Kosten herkömmlicher Hardware-Kopfstationen zwischen entfernten Standorten und der Unternehmenszentrale konfigurieren und implementieren. Datenisolierung. Unternehmen können Anwendungen, die häufig Ziel von Angriffen sind, beispielsweise , von sensiblen Informationen wie etwa Karteninhaberdaten isolieren. RISIKEN Verlust der Kontrolle. In einem cloudgestützten Modell werden Daten und Informationen bei einem Drittunternehmen gespeichert. Eine Einsichtnahme in die Datenverarbeitungspraktiken des Anbieters ist möglicherweise schwierig. Und es besteht immer das Risiko, dass ein böswilliger Mitarbeiter des Cloudanbieters sich unberechtigt Zugang zu Daten verschafft, auch wenn so etwas selten vorkommt. Zeit bis zur Behebung eines Problems. Bei Unternehmen mit einer personell ausreichend ausgestatteten IT-Organisation können Probleme mit On-Premise-Lösungen behoben werden, indem man sich direkt auf dem Gerät anmeldet und damit den Support durch den Hersteller schneller einschalten kann. Bei einer cloudgestützten Lösung muss die IT ein Ticket anlegen und von außen an der Problembehebung arbeiten, was den Zeitaufwand für die Fehlerbehebung erhöhen kann. Anpassung. Bei entsprechender Ausstattung hinsichtlich Finanzen, Ressourcen und Zeit lassen sich On-Premise-Lösungen genau auf die individuellen Sicherheitsanforderungen einer Organisation abstimmen, wobei gleichzeitig ein stabiles, zuverlässiges Lösungspaket bereitgestellt wird. Bei einem cloudgestützten Sicherheitsmodell kann die IT zwar Schwachstellen im Netzwerk anpacken, jedoch gehen Geschwindigkeit und Skalierbarkeit hier auf Kosten der Customizing-Möglichkeiten. Gemeinsame Nutzung von Ressourcen, Fehlschlagen der Isolierung In einem cloudgestützten Sicherheitsmodell teilen sich Kunden Ressourcen des Anbieters mit anderen Kunden. Nun wenden Cloudanbieter generell Isolierungsmechanismen an, um Guest-Hopping oder Pivot-Angriffe (hierbei nutzt ein Hacker Schwachstellen in einem Betriebssystem aus, um Zugriff auf ein anderes, auf derselben physischen Hardware gehostetes System zu erlangen) zu verhindern, doch bleibt immer noch ein gewisses Risiko, dass diese Maßnahmen fehlschlagen. Da Cloudservices vielen Kunden mit verschiedensten Risikoniveaus bereitgestellt werden, ist die Multi- Tenant-Segmentierung (Trennung der Ressourcen für die einzelnen Mandanten durch den Cloudanbieter) von entscheidender Bedeutung. Hinzu kommt, dass der Anbieter möglicherweise nicht in der Lage ist, Daten vollständig von der Hardware zu löschen, da Kunden häufig Hardware, die von anderen Kunden genutzt wurde, mitbenutzen oder wiederverwenden Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 6

7 Sicherheitsrisiko von innen. Wenn Benutzerberechtigungen und -rollen nicht sorgfältig konfiguriert worden sind, ist ein Benutzer u. U. in der Lage, Daten innerhalb der Cloudlösung zu löschen oder zu verändern. Beispielsweise könnte ein Mitarbeiter mit Administratorzugriff auf die Cloudlösung, der mit der Lösung noch keine Erfahrung hat, versehentlich wichtige Daten löschen, während er das Arbeiten mit der neuen Lösung lernt. Oder ein böswilliger Mitarbeiter könnte Daten vorsätzlich gefährden. Datenportierbarkeit. Das Verschieben von Daten bei einem eventuell notwendigen Wechsel des Cloudanbieters könnte schwierig bis unmöglich sein es sei denn, der Anbieter und das Unternehmen haben zuvor vereinbart, dass die Informationen jederzeit Eigentum des Unternehmens bleiben. SCHÜSSEL ZUM ERFOLG Cloudservices mit Threat-Management-Diensten ausweiten und automatisieren. Neben Isolierungsverfahren und Kontrollmechanismen bietet ein weitestmögliches Zusammenfassen der Infrastruktur verteilten Unternehmen Chancen zur Kosteneinsparung und zur Vereinfachung ihres Netzwerks, ohne dass die mehrschichtige Sicherheit an allen Standorten dafür aufgegeben werden muss. Threat-Management- Dienste bieten eine Kombination aus Services wie etwa Malware-, Spam- und -Schutz, Content-Filterung, herkömmliche Layer-3- und -4-Firewall-Regeln, VPN und Web-Proxy-Funktionen. SELBST UNTERNEHMEN, DIE KEINE KREDITKARTENZAHLUNGEN VERARBEITEN, SOLLTEN PCI-DSS 3.0 ALS ALLGEMEINEN SICHER- HEITSMASSSTAB IMPLE- MENTIEREN. VIELE PCI- SICHERHEITSSTANDARDS BETREFFEN NÄMLICH ALLGEMEINE NETZWERKRISIKEN, DIE NICHT NUR DIE SICHERHEIT VON KARTENINHABERDATEN GEFÄHRDEN. Viele dieser Systeme umfassen zudem zentralisierte, skalierbare cloudgestützte Sicherheit als Serviceangebot zur Ausweitung und Automatisierung der Datenverkehrsuntersuchung und Bereitstellung von strikteren Kontrollmechanismen für Standorte, die hinsichtlich Personal oder Überwachungstools begrenzt ausgestattet sind. Sichere Internetverbindungen Virtual-Private-Networking-Verbindung Hauptquartier Geschäft 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 7

8 Für zahlreiche Unternehmen ist Compliance der Hauptantriebsfaktor für Veränderungen sowohl in den Sicherheitsprozessen als auch im allgemeinen IT-Betrieb. Jede Änderung der Technologie oder des internen Designs, die den Umfang der Compliance-relevanten Umgebung eindämmen oder verkleinern kann, sorgt dafür, dass Geld und Zeit gespart werden. So kann beispielsweise die Isolierung von Systemen, Anwendungen und Netzwerksegmenten, in denen Kreditkartendaten verarbeitet werden, entscheidend zur Eingrenzung des Umfangs von PCI-DSS-3.0-Audits beitragen. STRATEGIEN FÜR MEHR SICHERHEIT IM NETZWERK GERÄTE SICHTBARMACHEN DREH- UND ANGELPUNKT JEDER SICHERHEITSSTRATEGIE Angesichts der Masse an neuen mobilen Geräten, die in WLAN-Netzwerke von Unternehmen eingebunden werden, kommt der Sichtbarmachung von mobilen Anwendungen eine entscheidende Bedeutung zu. Netzwerkadministratoren müssen in der Lage sein, alle Geräte, die auf das Netzwerk zugreifen, zu identifizieren, zu überwachen und zu kategorisieren. Diese Transparenz liefert dem IT-Team die Echtzeitinformationen über den Bestand und die Sicherheit, die es braucht, um Probleme aktiv beheben zu können. Gleichzeitig ermöglicht sie den Benutzern nahtlosen Zugriff auf das Netzwerk ohne Unterbrechungen oder Veränderungen in der jeweiligen Benutzeroberfläche. Best Practices zur Realisierung der Sichtbarmachung von Geräten: + + Anwendung zusätzlicher Kriterien zur Identifizierung von Geräten neben MAC- und IP-Adressen (die manipuliert werden können), etwa Geräte-IDs und Systembezeichner mit spezifischen Namenskonventionen + + Nutzung von Compliance- und Audit- Tools zur Gewinnung von zusätzlichen Erkenntnissen über Risiken und Schwachstellen + + Aktivieren von Warnmeldungen und Durchsetzungsmaßnahmen für Geräte, die versuchen, sich in das Netzwerk einzuklinken + + Regelmäßige Prüfung und sorgfältige Aufrechterhaltung von aktuellen und korrekten (logischen und physischen) Netzwerktopologien + + Anwendung eines allgemeinen Pakets von Sicherheits-Kontrollmechanismen für die Richtlinienverwaltung + + Etablieren von Best Practices für Sicherheit gemäß Governance-, Risk- und Compliance- Rahmenwerk + + Teamübergreifende Zusammenarbeit und Interaktion innerhalb der IT-Organisation GERÄTE UND NETZWERKE PHYSISCH SCHÜTZEN Gemäß PCI-Sicherheitsstandards müssen Server, Netzwerkgeräte und andere Komponenten von Kreditkartensystemen in einem abgeschlossenen vorzugsweise videoüberwachten Raum mit Zutrittskontrolle stehen. 4 Dadurch wird das Risiko minimiert, dass eine unbefugte Person ein Gerät mit Netzwerkzugang stiehlt. Gleichzeitig wird durch die physische Sicherheit von Geräten verhindert, dass ein Angreifer ein fremdes Gerät an einen Router anschließt, über das Netzwerke überwacht und Daten aus dem Netzwerk gestohlen werden könnten. REGELMÄSSIGE SICHERHEITSBEWERTUNGEN DURCHFÜHREN Während einer Sicherheitsbewertung greift ein professioneller Gutachter das Netzwerk an, um Schwachstellen in der Sicherheitsarchitektur zu erkennen und entsprechende Kontrollmechanismen zu empfehlen. Dabei werden Aspekte wie die physische Sicherheit, die Stärke der Geräteschlüssel, die Netzwerkkonfiguration und die Verwundbarkeit von Clientgeräten bewertet Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 8

9 Zur Sicherstellung der PCI-Konformität sind zudem regelmäßige Netzwerk-Penetrationstests oder Sicherheitsbewertungen erforderlich. Der Zweck besteht darin, den Zugriff aus Umgebungen mit niedriger Sicherheit auf Systeme mit hoher Sicherheit zu testen. Bei dieser Methode wird geprüft, ob Karteninhaberdaten von anderen Segmenten im Netzwerk isoliert sind und zwischen enthaltenen und nicht enthaltenen Netzwerken (Netzwerken, auf denen Karteninhaberdaten gespeichert werden, und Netzwerken ohne Karteninhaberdaten) keinerlei Verbindungen existieren. Unternehmen mit einer hohen Anzahl von Anlagen oder Systemkomponenten haben die Möglichkeit, die Gesamtzahl der Komponenten nur stichprobenartig zu bewerten, allerdings sollte die Stichprobe dann so umfangreich sein, dass sie ausreichende Gewissheit darüber liefert, dass alle Anlagen oder Komponenten im Unternehmen gemäß dem Standardprozess konfiguriert sind. Der Sicherheitsgutachter muss sicherstellen, dass die standardisierten, zentralisierten Kontrollmechanismen implementiert sind und effektiv arbeiten. 5 Gemäß den PCI- Sicherheitsstandards wird ein Penetrationstest mindestens einmal im Jahr empfohlen. WEB- UND -ANGRIFFSWEGE SIND DIE BEDEUTENDSTE QUELLE VON NETZWERKATTACKEN. DABEI SIND ANGRIFFE ÜBER DAS WEB FÜNFMAL WAHRSCHEINLICHER ALS ANGRIFFE ÜBER S. 6 MITARBEITER FÜR NETZWERKANGRIFFE SENSIBILISIEREN Leider kann keine Firewall- oder Antivirus-Software einen perfekten Schutz des Netzwerks vor jeder möglichen Malware bieten. Deshalb ist es für Unternehmen unabdingbar, ihre Mitarbeiter zu schulen und Sicherheitsprotokolle für Mitarbeiter anzuwenden. Besonders wichtig ist dabei, dass die Mitarbeiter lernen, Phishing- s zu erkennen und zu melden. Mitarbeiter sollten mit den Haupterkennungsmerkmalen einer Phishing- vertraut sein: + + Aufforderung, auf Links zu klicken, besonders auf solche, die ungewöhnlich sind oder nicht zu der Webadresse der angenommenen Quelle passen + + Mit hoher Dringlichkeit formulierte Aufforderung, Informationen zur Verfügung zu stellen, eine Telefonnummer anzurufen oder Anlagen herunterzuladen + + Rechtschreibfehler oder unübliche Grammatik 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 9

10 UNERLÄSSLICHE MASSNAHMEN BEI DER NETZWERKKONFIGURATION 1. ROUTER-EINSTIEGSPUNKTE ABSCHOTTEN + + Deaktivieren Sie universelles Plug & Play. Lassen Sie nicht zu, dass Benutzer ohne entsprechende Berechtigungen die Netzwerkkonfiguration manipulieren können. + + Deaktivieren Sie WAN-Pings. Unterbinden Sie, dass Hacker Schwachstellen in der Sicherheitsarchitektur ausforschen. + + Deaktivieren Sie Remoteverwaltung. Lassen Sie nicht zu, dass Eindringlinge auf die Benutzeroberfläche des Routers zugreifen. + + Verwenden Sie MAC-Filterung. Erstellen Sie eine Liste der Geräte, die exklusiven Zugriff oder keinen Zugriff auf das Drahtlosnetzwerk haben. MAC-Adressen können zwar gefälscht werden, dennoch errichten Sie damit eine zusätzliche Barriere für Angreifer. + + Verwenden Sie IP-Filterregeln. Beschränken Sie den Remotezugriff auf Computer im lokalen Netzwerk. + + Verwenden Sie keine öffentlich adressierbaren WAN-IP-Adressen am Netzwerkrand. Damit würden Sie den Rand des Netzwerks für Angriffe anfällig machen. 2. DIE NETZWERK-FIREWALL FÜR PCI- KONFORMITÄT KONFIGURIEREN Fünf Steuermechanismen für PCI-Konformität: + + Stateful Packet Inspection (SPI). Überwacht aus- und eingehenden Datenverkehr, damit sichergestellt wird, dass nur gültige Antworten auf ausgehende Anforderungen die Firewall passieren. + + Portweiterleitungsregeln. Öffnet Ports an der Firewall auf kontrollierte Weise für bestimmte Anwendungen. + + Anti-Spoofing. Prüft Pakete, um das Netzwerk vor böswilligen Angreifern zu schützen, die die Quelladresse in Paketen fälschen, um ihre Identität zu verbergen oder eine andere Identität vorzutäuschen. + + Entmilitarisierte Zone. Hierbei werden die meisten Computer hinter einer Firewall betrieben, während ein oder mehrere Computer auch außerhalb der Firewall oder in der entmilitarisierten Zone (Demilitarized Zone, DMZ) ausgeführt werden. Das gibt dem Unternehmensnetzwerk eine zusätzliche Sicherheitsschicht und ermöglicht Angreifern nur Zugriff auf Computer innerhalb der DMZ des Netzwerks. + + Aktualisierte Firmware. Aktuelle Router- und Modem-Firmware ist nicht nur ein wichtiger Sicherheitsfaktor, sondern auch notwendig, um PCI-Konformität zu wahren. Verbesserte Praktiken für die Implementierung und Wartung von Netzwerken sowie die Umsetzung von Sicherheitsrichtlinien sind natürlich wichtige Strategien, um das Risiko von Datensicherheitsverletzungen zu mindern. Wir empfehlen jedoch eine Netzwerksegmentierung, oder noch besser anwendungsspezifische parallele Netzwerke, um sicherzustellen, dass die Schwachstellen einer Anwendung nicht ausgenutzt und auf andere Anwendungen wie etwa Point-of-Sale-Systeme übertragen werden können, um dort Datenzugriff zu erlangen. ZWEI METHODEN ZUR ERHÖHUNG DER SICHERHEIT 1. SICHERHEITSZONEN FÜR DIE NETZWERKSEGMENTIERUNG ERSTELLEN Netzwerksegmentierung ermöglicht die Partitionierung des Netzwerks in Sicherheitszonen oder durch Firewalls voneinander getrennte Segmente. Ordnungsgemäß konfigurierte Segmente trennen Anwendungen voneinander und verhindern, dass auf sensible Daten zugegriffen werden kann. So sollte beispielsweise ein Point-of-Sale-System auf einem Segment ausgeführt werden, das von Drittanbieteranwendungen, -Systemen der Mitarbeiter oder öffentlichem WiFi getrennt ist Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 10

11 Damit kann verhindert werden, dass Angreifer sich von einer Anwendung aus Zugriff auf Daten in einer anderen verschaffen. Und Netzwerkadministratoren sind dadurch in der Lage, die Servicequalität (Quality of Service, QoS) auf bestimmten Segmenten zu steuern, beispielsweise durch Priorisieren der Bandbreitennutzung für geschäftskritische Anwendungen. Erste Schritte bei der Netzwerksegmentierung Die Netzwerksegmentierung ist ein komplexes Modell und erfordert eine akribische, laufende Überwachung. Diese Architektur bietet eine hohe Sicherheit, wenn sie korrekt konfiguriert ist, allerdings auch mannigfaltige Gelegenheiten für Konfigurationsfehler. Beginnen Sie mit den folgenden drei Schritten: + + Erstellen Sie Ethernet-Portgruppen. Durch logische Gruppen von Ethernet- Ports können Computer, die physisch an Ethernet-Ports in einer Gruppe angeschlossen sind, frei miteinander zu kommunizieren. Möglicherweise empfiehlt es sich, eine oder alle Router-SSIDs oder sogar das gesamte WLAN-System zu deaktivieren. + + Verwenden Sie WPA2/Enterprise-, RADIUS/ TACACS+- und PKI-Infrastruktur. Dadurch wird ein zentrales Repository für Benutzer oder Geräte zur Verfügung gestellt, die zum Zugriff auf das Netzwerk berechtigt sind, und Server und Geräte werden anhand von Zertifikaten authentifiziert. + + Nutzen Sie eine PKI-Infrastruktur, um die Sicherheit zu erhöhen. + + Implementieren Sie zweistufige Authentifizierung, um den Diebstahl von Benutzerkonten, die von Dritten verwendet werden, zu verhindern. + + Erstellen und konfigurieren Sie VLAN- Segmente. Mit einem VLAN können Geräte in Gruppen zusammengefasst werden. Nach dem Erstellen eines VLANs wählen Sie die LAN-Ports oder Ethernet-Gruppen aus, denen die VLAN-ID entsprechen soll. Jedes Segment sollte eine eigene IP- Adresskonfiguration, Zugriffssteuerung, einen eigenen Routingmodus und eigene Schnittstellen haben (d. h. WiFi-SSIDs, Ethernet-Gruppen und VLANs). Es gibt derzeit kein Tool, mit dem die Überwachung und Suche nach Schwachstellen innerhalb eines segmentierten Netzwerks oder zwischen Segmenten automatisiert wird diese Vorgänge müssen manuell durchgeführt werden. Aus diesem Grund werden viele Unternehmen zu dem Schluss kommen, dass parallele Netzwerke insgesamt eine bessere Lösung für den Schutz von sensiblen Daten darstellen Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 11

12 White Paper / Kontinuierlicher Geschäftsbetrieb Abb. 1. Erstellen von Sicherheitszonen durch Netzwerksegmentierung Sichere Internetverbindung SSID 1 Mitarbeiter SSID 2 POS SSID 3 Lieferanten SSID 4 Öffentlich Mitarbeiter- Segment POS-Geräte- Segment Lieferantensegment Öffentliches Segment 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 12

13 2. MIT PARALLELEN NETZWERKEN DIE DINGE EINFACH HALTEN Im Vergleich zur Segmentierung eines einzigen Netzwerks ist das Erstellen mehrerer paralleler Netzwerke eine relativ einfache Lösung. Separate Anwendungen werden vollständig voneinander getrennten Netzwerken zugewiesen ( Air Gap ). Diese physische Trennung von Daten hindert Angreifer zusätzlich daran, eine Sicherheitslücke auf einem Gerät zu nutzen, um von dort aus auf andere Server und Netzwerke (mit sensiblen Daten) zu gelangen. Beispielsweise wäre es für ein Unternehmen vorteilhaft, WLAN-Anbindungen für Kunden, Geräte von Mitarbeitern und Point-of-Sale-Systeme jeweils auf gesonderten Netzwerken zu hosten. Unternehmen mit parallelen Netzwerken verlangen von Dritten, z. B. Lieferanten, Partnern und Kiosken, die Internetzugriff benötigen, ein eigenes Netzwerk zur Verfügung zu stellen ( Bring Your Own Network ). Indem ein Unternehmen diese Anforderung an Dritte stellt, kann es die Kontrolle über seine eigenen Netzwerkfunktionen beibehalten und gleichzeitig den allgemeinen Arbeitsaufwand für die Aufrechterhaltung der Netzwerksicherheit reduzieren. Parallele Netzwerke tragen zu einer deutlichen Verringerung des Zeitaufwands und Knowhow-Bedarfs für die Segmentierung von Netzwerken nach Anwendungen bei und helfen, den Arbeitsaufwand für die Aufrechterhaltung der PCI-Konformität in dem Netzwerk, das für die Übermittlung von Karteninhaberdaten verwendet wird, einzudämmen. Kundenbereich Geräte- Raum Sicherheitssystem Hauptquartier Mitarbeiter-WiFi Kunden-Smartphones Back- Office IT Point-of-Sale Drittanbieter- Kiosk Mitarbeiter-Netzwerk Abb. 2. Parallele Netzwerke unter Verwaltung einer einzigen Quelle 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 13

14 Kontinuierlicher Geschäftsbetrieb CRADLEPOINT-LÖSUNGEN ENTWICKELT FÜR SICHERHEIT AM NETZWERKRAND Die Router- und Firewall-Geräte sowie Softwareanwendungen für cloudgestütztes Management von Cradlepoint wurden für die Minimierung von Sicherheitsrisiken und die Aufrechterhaltung von PCI-Konformität für verteilte Unternehmen mit Netzwerkarchitekturen aller Art konzipiert. Immer mehr Unternehmen steigen auf parallele Netzwerke um und stellen dabei fest, dass die 4G-Lösungen von Cradlepoint eine einfachere und sicherere Netzwerksegmentierung ermöglichen. Hinzu kommt, dass parallele Netzwerke oft zur Reduzierung der weichen Kosten eines Unternehmens beitragen, die normalerweise u. a. aus der Notwendigkeit komplexer Netzwerkkonfigurationen, die fehleranfällig sind, komplizierteren PCI-Compliance- Prüfungen und den allgemeinen QoS-Einstellungen für einzelne Anwendungen im Netzwerk resultieren. ENTERPRISE CLOUD MANAGER FÜR ZENTRALISIERTE STEUERUNG UND KONTROLLE Beispiellose Skalierbarkeit: Tausende von Geräten an entfernten Standorten überwachen und verwalten Mit Enterprise Cloud Manager, der Cradlepoint- Plattform für Netzwerkverwaltung und Anwendungen, können IT-Manager Netzwerke in geografisch verteilten Ladengeschäften und Niederlassungen rasch implementieren und dynamisch verwalten. Cradlepoint-Lösungen sind cloudgestützt und ermöglich damit eine schnelle Implementierung, dynamisches Management und umfassendere Informationsbereitstellung. Enterprise Cloud Manager bietet eine Out-of-Band- Steuerungsebene, die Netzwerkverwaltungsdaten von Benutzerdaten trennt. Verwaltungsdaten (beispielsweise Konfigurations-, Statistik- und Überwachungsdaten) werden such von Cradlepoint- Geräten über eine sichere Internetverbindung an die Cradlepoint-Cloud übermittelt. Benutzerdaten (aus Webbrowsern, internen Anwendungen usw.) werden nicht über die Cloud, sondern direkt an ihr Ziel im LAN oder über das WAN übertragen. Für Sicherheit entwickelt: Verwaltungsfunktionen sorgen für Compliance und ermöglichen die Verfolgung von Geräten Mit der Benutzeroberfläche und den Analysefunktionen von Enterprise Cloud Manager können Sicherheitskonfigurationen und Checklisten, beispielsweise für PCI-DSS-3.0- Konformität, automatisiert werden. Geofencing- und Positionserkennungsdienste informieren Unternehmen anhand von GPS, WiFi und positionsbezogenen Daten in Echtzeit über den physischen Standort von bereitgestellten Geräten. So kann ein Unternehmen benachrichtigt werden, wenn ein Gerät seinen normalen Standort verlässt. Dadurch wird das Risiko eines Netzwerkzugriffs durch einen Hacker über ein gestohlenes Gerät verringert. Enterprise Cloud Manager: Eine sicher gehostete Lösung Enterprise Cloud Manager von Cradlepoint wird an einem Speicherstandort eines Weltklasse-Anbieters auf einem sicheren, unternehmenstauglichen Server gehostet, der Geräteredundanz, Verfügbarkeit rund um die Uhr, mehrere Internetkanäle sowie Sicherungs- und Wiederherstellungsdienste bietet. Die Server für Enterprise Cloud Manager sind gehärtet, nicht benötigte Dienste sind deaktiviert, Berechtigungen sind begrenzt und Protokolle werden kontinuierlich überwacht. Es erfolgt ein sorgfältiges Patch-Management, damit auf den Servern stets die neuesten Softwareversionen und Sicherheitspatches installiert sind. Zusätzlich werden die Server und Anwendungen regelmäßigen Sicherheitsbewertungen unterzogen, an die sich die entsprechenden Maßnahmen zur Beseitigung von Schwachstellen anschließen. Sämtliche Kundenkonfigurationen befinden sich an diesem sicheren physischen Standort, und nur autorisierte Personen sind zum Zugriff darauf berechtigt. In Konfigurationen gespeicherte Kennwörter sind AES-verschlüsselt (Advanced Encryption Standard). Der Standort wird kontinuierlich überwacht und aufgezeichnet, und der Zugang ist durch mehrstufige Authentifizierung gesteuert. Die Zugriffsprotokolle sind jederzeit verfügbar und überprüfbar Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 14

15 Abb. 3. Enterprise Cloud Manager Abb. 4. Checkliste für PCI-Konformität in Enterprise Cloud Manager 2015 Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 15

16 Kontinuierlicher Geschäftsbetrieb Einfach zu verwalten: Integrierte, branchenführende Sicherheitssoftware Über eine RESTful-API hat Cradlepoint cloudgestützte Sicherheitslösungen für Webfilterung und Malwareschutz in Enterprise Cloud Manager integriert. Dank dieser Sicherheitslösungen können IT-und Sicherheitsexperten den Webdatenverkehr mit minimalen Latenzzeiten untersuchen. Sichere Verbindungen für Verfügbarkeit rund um die Uhr Mit den Routing-Lösungen von Cradlepoint kann im verteilten Unternehmen zusammengeführte kabelgebundene und kabellose Konnektivität intelligent gesteuert werden das Ergebnis: hochverfügbare Verbindungen am Netzwerkrand. Die Router-Funktion für 4G-LTE-Private- Networking macht die Mobilfunkverbindung zu einer Erweiterung des privaten Netzwerks, ohne dass das Netzwerk dadurch verwundbarer wird. Sicherheit am Netzwerkrand: Erweiterbare Hardware- und Softwarefunktionen Cradlepoint-Geräte sind für Konformität mit den PCI-Sicherheitsstandards entwickelt. Sie schützen Daten und Ressourcen mit Stateful-Firewall, erweiterter Verschlüsselung, Netzwerksegmentierung und VLAN-Unterstützung. Zudem unterstützen Cradlepoint-Geräte auf Carrier- Independent Overlay Private Network basierende Lösungen sowie erweiterte VPN-Optionen. Die Sicherheitskonfiguration wird durch Ethernet- Ports und WiFi-SSIDs vereinfacht, die einzelnen Netzwerksegmenten zugewiesen werden können. Mit Funktionen für die Erkennung und Verhinderung von Eindringversuchen werden Pakete auf Übergriffe, Schadsoftware und DoS- Angriffe durchsucht, die dann entsprechend den anwendbaren Richtlinien abgewehrt werden können. Anwendungen und Verhaltensmuster, die auf einen unberechtigten Datenzugriff hinweisen, können sofort identifiziert werden. WEITERE INFORMATIONEN ERHALTEN SIE AUF DER WEBSITE CRADLEPOINT.COM ODER UNTER DER RUFNUMMER Abb. 5: Cradlepoint AER-Reihe Leistungsstarkes Edge Routing Abb. 6: Cradlepoint COR-Reihe IoT-Anwendungen und Transport Abb. 7: Cradlepoint ARC-Reihe Anwendungsspezifisch und Failover Quellen 1 Quelle: ZK Research Nov Quelle: Verizon 2014 Data Breach Investigations Report 3 Verizon 2014 Data Breach Investigation Report 4 PCI Security Standards Data Storage Dos and Don'ts, 5 PCI Security Standards 3.0, S FireEye Advanced Threat Report Cradlepoint. Alle Rechte vorbehalten cradlepoint.com 16