Netzwerke. der Feind im Innern. Sichere Netze. Test: Turbo-NAS mit Mail-Server. Ratgeber: So entwickeln Sie Abwehrstrategien

Transkript

1 Nr. 11 vom 13. März Netzwerke Test: Turbo-NAS mit Mail-Server Ratgeber: So entwickeln Sie Abwehrstrategien Sichere Netze der Feind im Innern Die eigenen Mitarbeiter bedrohen immer häufiger die IT-Infrastruktur. CW_Netze_03_Titel_end.indd :54:05 Uhr

2 ... c o n n e c t i n g y o u r b u s i n e s s Sie denken weiter. Kann Ihre Technik das auch? Mit VPN-Lösungen von LANCOM kennt Ihr Business keine Grenzen. Effektiv und sicher vernetzen Sie alle Standorte Ihres Unternehmens weltweit. Ob das Lager um die Ecke, das Home Office des Außen dienstlers oder die Filiale im Ausland Nieder lassungen und mobile User sind mit wenigen Clicks voll eingebunden. In Mittelstand und Großkonzern, in Behörden und Institutionen. Zuverlässig, einfach und absolut sicher. Über alle Breitband an schlüsse, WLAN oder UMTS. Für Sprache und Daten. Professionelle VPN Gateways, Router und Clients vom deutschen Marktführer. Exzellenter Service, kostenlose Updates und In ves ti tionsschutz inklusive. Neu: Volle mit Budget- Kostenkontrolle beim mobilen Zugriff! LANCOM Advanced VPN Client Manager cw11_netzwerke_lancom.indd :23:17 Uhr

3 11/09 Netzwerke 3 Titel 04 Editorial Mitarbeiter als Gefahr Liebe Leserinnen, liebe Leser, Den Feind im Innern abwehren Eine Firewall als Antwort auf alle Sicherheitsfragen reicht heute nicht mehr. Häufig geht die Gefahr nämlich von den eigenen Mitarbeitern aus. NAC als virtueller Türsteher 06 Unter dem Schlagwort Network Access Control werden Lösungen vermarktet, die den Netzzugang automatisch regeln sollen. Ratgeber 08 So entwickeln Sie Abwehrstrategien Netze werden immer häufiger aus den Unternehmen selbst bedroht. Bei der Entwicklung entsprechender Sicherheitsstrategien sind einige Punkte zu beachten. Test 10 Turbo-NAS mit Mail-Server Die DS508 von Synology ist mehr als ein reiner Netzspeicher. Das Gerät übernimmt immer mehr Server-Funktionen. Praxis 12 Die Gefahren aus dem Web Mit Instant Messaging oder P2P-Programmen reißen Mitarbeiter häufig Lücken ins Netz. Durch Web-Gateways lassen sich diese Gefahren kontrollieren. Zum sicheren Netz durch zentrales Management 14 Statt eine teure IDS-Lösung zu implementieren, wählte Europart einen alternativen Weg, um sein Netz zu schützen. digitale Schädlinge wie Conficker sorgen immer wieder für Schlagzeilen und erwecken den Eindruck, dass das Internet ein Hort der Gefahr sei. Doch das ist nur die eine Seite der Medaille. Wie diverse Studien zeigen, drückt Unternehmen in Sachen Netzsicherheit der Schuh noch ganz woanders: Fast zwei Drittel der deutschen Firmen sehen die größte Bedrohung in Angriffen durch ihre eigenen Mitarbeiter. Neben bewussten Angriffen droht den Unternehmensnetzen aber auch Gefahr von unbedarften Beschäftigten, die unwissentlich Schädlinge einschleppen, weil sie etwa unterwegs mit dem Firmen-Notebook über unsichere WLANs online gehen. Statt rigider Vorschriften ist clevere Sicherheits-Policy gefragt. Auf den ersten Blick ist hier Abhilfe einfach: Unternehmen können mit einer entsprechenden Policy entgegenwirken. Werden dann noch USB-Ports deaktiviert (etwa verklebt) und die Netzadapter so konfiguriert, dass keine anderen Netze genutzt werden können, dann sollte die Gefahr auf ein Minimum reduziert sein. Allerdings läuft ein solches Unternehmen Gefahr, dass es bei der Personalsuche auf die Verliererstraße gerät denn wer will schon unter dergestalt rigiden Sicherheitsvorschriften arbeiten? Wer diese Mitarbeiter für sich gewinnen will, muss sich eine andere Sicherheits-Policy einfallen lassen. Die Strategie, ein Netz an den Außengrenzen zu schützen, greift auf Dauer zu kurz. Die Industrie hat auf diese Veränderungen bereits reagiert und als Antwort verschiedene neue Sicherheitskonzepte entwickelt. Allerdings sollte der Anwender, wie die Beiträge in diesem Heft zeigen, genau prüfen, was sich hinter den Schlagworten verbirgt. Viel Spaß beim Lesen wünscht Ihr Jürgen Hill Leitender Redakteur CW IMPRESSUM COMPUTERWOCHE Netzwerke, IDG Business Media GmbH, Lyonel-Feininger-Straße 26, München, Geschäftsführer: York von Heimburg, Verlagsleitung: Michael Beilfuß, Gesamtanzeigenleitung: Sebastian Wörle (verantwortlich), , Fax: , Chefredakteur: Heinrich Vaske, Redaktionelle Konzeption: Jürgen Hill, Layout: Claudia Wolff, Titelfoto: Fotolia/Tramper2, Druck: Oberndorfer Druckerei GmbH, Mittergöming 12, A-5110 Oberndorf/Salzburg Weitere Informationen zum Impressum finden Sie auf Seite 44 im Hauptheft. In unserer Verlagsgruppe erscheinen außerdem folgende Zeitschriften CW_Netze_03_Edi.indd :35:40 Uhr

4 4 Netzwerke 11/09 Den Feind im Innern abwehren Gefahren für die IT lauern heute im eigenen Netz. Wie kann dieses vor unbedarften oder sabotagewilligen Mitarbeitern geschützt werden? Von Christian Nowitzki* Die aktuelle Wirtschaftslage zieht mittlerweile Restrukturierungsmaßnahmen in Unternehmen nach sich, die eine Verkleinerung des Mitarbeiterstamms zur Folge haben. Nicht selten rächen sich die Entlassenen. So werden mittlerweile 70 Prozent aller relevanten IT-Sicherheitsvorfälle durch das eigene Personal verursacht. Alle Sicherheitsfragen mit einer Abschottung nach außen durch eine Firewall zu beantworten klingt einfach, reicht jedoch in der Regel nicht aus. Diese Form der Problemlösung ist weder dem eigenen Unternehmen gegenüber verantwortungsvoll, noch kann hiermit nach außen die Erfüllung der eigenen Sorgfaltspflicht glaubhaft dargestellt werden. Eine Gefährdung des unternehmenseigenen Systems droht insbesondere dann, wenn Anwender mit mobilen Datenträgern arbeiten, PDAs direkt mit dem Mail-Server des Unternehmens synchronisieren oder ihre Laptops nach zwei Wochen Auslandsaufenthalt an das Firmennetzwerk anschließen. Die Gefahren wachsen zudem, wenn Mitarbeiter sensible Daten auf mobile Datenträger kopieren, per versenden, auf entfernte Server laden oder schlicht ihren Laptop verlieren. In solchen Fällen sind die Entscheider im eigenen Interesse und in dem ihres Unternehmens dazu angehalten, den zunehmenden Bedrohungen mit geeigneten Maßnahmen entgegenzuwirken. Der Gesamtheit der Gefahren lässt sich dabei nicht mit Sicherheitssoftware von einem einzigen Hersteller begegnen. Systemanalyse als Schlüssel Oft ist eine Vielzahl von Insellösungen notwendig, um mit so genannten Data- Loss-Prevention-(DLP-)Techniken mehr Sicherheit zu schaffen. DLP steht für zahlreiche Ansätze, die jedoch nur alle zusammen für einen ausreichenden Schutz sorgen können. Dazu zählen Anti-Virenund Anti-Spam-Programme, die Kontrol- le mobiler Datenträger und deren transparente Verschlüsselung, die Prüfung aller Schnittstellen der eingesetzten Systeme, die Verschlüsselung mobiler Endgeräte wie Laptops und PDAs sowie des internen Datenbestandes auf dem Speichersystem. In dieser komplexen Landschaft den Überblick zu behalten ist nicht einfach. Ein Antivirussoftware-Hersteller beispielsweise, der Datenverschlüsselung integrieren möchte, übersieht möglicherweise, dass die Lösung Schnittstellen wie USB und CD nicht sperren oder verschlüsselt beschreiben kann und eine fehlende Änderung der Anmeldeprozedur die Gesamtlösung in Frage stellt. Auch der Verlust von Daten über die Internet- Verbindung des Unternehmens (per E- Mail, Uploads, Instant Messaging, P2P- Filesharing etc.), das Home Office, Laptops und PDAs wird durch den Einsatz einer einzigen Software nicht verhindert. Sicher sind viele Hersteller bestrebt, hier die eine allumfassende Lösung zu liefern, CW_Netze_S4-5_Maulwurf.indd :00:52 Uhr

5 11/09 Netzwerke 5 Foto: Fotolia/Tramper2 doch es wird noch einige Zeit brauchen, bis ein akzeptabler Integrationslevel erreicht ist. Der Schlüssel liegt vielmehr in der Analyse der eigenen Bedrohungsszenarien und der Einschätzung von Wahrscheinlichkeiten (unter Einbeziehung der maximalen Schadenshöhe), um abschließend nach dem Best-of-Breed-Ansatz den optimalen Produktmix zu ermitteln. Bedarf an Endpoint Security Bei aller Komplexität des Themas darf auch Grundlegendes, beispielsweise die Anmeldeprozedur am Client, nicht vernachlässigt werden. Für Passwörter gilt: je komplexer, desto sicherer. Die häufige Konsequenz ist, dass viele Mitarbeiter sich die schwierigen Kombinationen aus Buchstaben und Zahlen nicht merken können und ihren Zugangscode auf einem in der Nähe des Arbeitsplatzes versteckten Zettel notieren. Der erhöhte Sicherheitslevel wird dadurch wieder gesenkt. Militärische Einrichtungen arbeiten mit noch viel weiter gehenden Maßnahmen, beispielsweise mit einer so genannten PBA (Pre-Boot-Authentication), und setzen hierfür auf eine Kombination von Smartcard, PIN und Biometrie. Doch auch hierbei gilt es, die üblichen Fallstricke zu vermeiden und sich für das richtige System und den richtigen Einsatz zu entscheiden. Der Gedanke an Endpoint Security ist also sinnvoll, jedoch scheint auch dieser Begriff einer gewissen Inflation zu erliegen. Denn letztlich ist jeder einzelne Endpoint nicht nur ein Glied in einer Kette namens Unternehmenssicherheit, sondern bedarf selbst schon einer eingehenden Untersuchung und ganzheitlichen Betrachtung. Der Weg zum sicheren Netz Firewall alleine reicht nicht, DLP ist oft nur mit Insellösungen realisierbar, Bedrohungsszenarien im eigenen Netz analysieren, Best-of-Breed-Ansatz fahren, Endpoint Security ganzheitlich betrachten und untersuchen, Self Defending Network per Appliance ist Wunschdenken, IDS und IPS nutzen, Systeme auf aktuellem Stand halten, Zustand der Security-Lösungen regelmäßig kontrollieren. Speichersysteme und IDS Auch ein Speichersystem muss zwangsläufig, ebenso wie Datenbank- und alle anderen Daten vorhaltende oder verarbeitende Systeme, in das IDS/IPS eingebunden sein. Hinzu kommen jedoch weitere Anforderungen, nicht zuletzt aufgrund von Datenschutzbestimmungen. Werden beispielsweise falsche Daten eingegeben, ob böswillig oder versehentlich, oder Dokumente gefälscht, ergeben sich neben ernsthaften Problemen in der IT-Landschaft unter Umständen Konsequenzen für das Management. Was beispielsweise in Einen weiteren Aspekt erreicht das Thema Informationssicherheit mit den Begriffen IDS und IPS (Intrusion Detection System beziehungsweise Intrusion Prevention System). Sie zielen darauf ab, Einbrüche in ein System zu erkennen und möglichst schon im Vorfeld zu verhindern. Dazu werden IDS/IPS-Lösungen entweder auf einem Host ausgeführt oder in das Netz geschaltet. Sie leiten bei Bedarf Gegenmaßnahmen ein. Diese können sein: der aktive Eingriff in einen Switch und das Sperren bestimmter Ports, das Trennen eines gesamten Netzwerksegments oder die einfache Filterung bestimmter Datenströme. Nicht selten werden solche Lösungen eingesetzt, um Systeme von Produktionsstraßen zu isolieren. IDS mit Honeypot Ein besonders interessanter Einsatzbereich sind öffentliche Netze, wie sie beispielsweise an Hochschulen zur Verfügung stehen. Hier kann ein kombiniertes Verfahren von IDS/IPS mit einem Honeypot eingesetzt werden. Meldet sich ein Client am System an, wird er je nach eingesetzter Lösung zunächst in ein VLAN geleitet und die Aktualität der Antivirussoftware geprüft. Ist diese aktuell, erfolgt der Einlass in das eigentliche Netz. Andernfalls erscheint beim Öffnen des Browsers eine Informationsseite mit allen benötigten Links zur Behebung eines eventuellen Problems. Gleiches gilt, wenn von einem der Clients Gefahr ausgeht. Dieser wird in einen separaten Bereich umgeleitet und erhält weiterführende Informationen über eine Website. Ein solches Honeypot-System in Verbindung mit einer IDS/IPS-Lösung kommt nahe an die so genannten Self Defending Networks heran. Diesen gilt die Hoffnung, ERP-Systemen durch ein RMS/IKS (Risiko- Management-System/Internes-Kontroll- System) verhindert werden soll, kann bei den Datenbeständen eines Fileservers oder anderen internen Applikationen trotzdem geschehen. Fallen solche Manipulationen nicht auf, helfen meist auch keine Backups mehr. Workflow-Systeme sind in der Lage, die Sicherheit zu erhöhen, und revisionssichere Speicher können herangezogen werden, um Manipulationen nachzuvollziehen und einen ursprünglichen Status wiederherzustellen. Netzwerke und deren Systeme könnten Bedrohungen nicht nur erkennen und nach definierten Mustern auf sie reagieren, sondern vielmehr selbsttätig Gegenmaßnahmen einleiten. Eine Firewall reicht nicht Ein Self Defending Network innerhalb einer Appliance-Lösung anzubieten ist lediglich das Wunschdenken einiger einfallsreicher Marketing-Fachleute, da eine solche Appliance bei heutigen Rechenund Speicherkapazitäten zwei komplette Server-Schränke einnehmen dürfte. Sehr oft werben auch Firewall-Hersteller für die IDS/IPS-Fähigkeiten ihrer Produkte. Zu leicht entsteht dabei der Eindruck, eine IDS/IPS-Lösung am Internet- Gateway würde das Unternehmen nachhaltig und vollständig schützen. Eine Firewall überwacht im Regelfall nur ein einziges Einfallstor von vielen und bietet daher unter Umständen eine ausreichende Gateway-Security. Dies genügt jedoch nicht den Anforderungen, die an ein vollständig abgesichertes Unternehmensnetz gestellt werden. Fazit Das Thema ist umfassend und hat viele Facetten ebenso vielfältig sind die am Markt befindlichen Lösungen. Der erste Schritt muss daher die Analyse des eigenen Unternehmens und die Bewertung der Bedrohungsszenarien umfassen. Im zweiten Schritt folgt dann die Suche nach einer unabhängigen Anlaufstelle, um Informationen zu Techniken, Verfahren und möglichen Herstellern zu erhalten. o * Christian Nowitzki ist Geschäftsführer der Intellicomp GmbH und Inhaber der CoDaCon Beratungsgesellschaft. CW_Netze_S4-5_Maulwurf.indd :01:22 Uhr