AVANTEC Know-how

7 Goldene Security-Regeln

Umfassende Regelwerke und gute Ratschläge für eine sichere IT-Infrastruktur gibt es viele. Nachfolgende Auflistung ist nicht abschliessend, beinhaltet aber die unserer Meinung nach wichtigsten Punkte. Keine dieser Regeln ist wirklich neu, niemandem sind sie unbekannt. Und doch macht es Sinn, mit strukturiertem Vorgehen und klaren Verantwortlichkeiten diese Regeln so umfassend wie möglich zu befolgen. Dies garantiert zwar noch nicht eine absolut sichere IT, kann aber einen Grossteil der Risiken minimieren.

1. Gute Passwörter

Der Umgang mit Passwörtern ist ein leidiges Thema, und viele verschiedene Benutzerkonten verleiten selbst Administratoren zur Missachtung der Grundregeln. Versehen Sie also den Passwortgebrauch mit Komplexitätsregeln: Z.B. Minimallänge 8 Zeichen, mindestens 2 Sonderzeichen, regelmässig (aber nicht zu oft!) ändern etc. Oder verwenden Sie Passphrases, die Sie abkürzen: So heisst Ihr Domain-Logon-Passwort nicht mehr «janna» sondern z.B. «MGJwa21D5» («Mein Göttikind Janna wird am 21. Dezember 5»).

2. Patchen

Wir wissen, dass ein Grossteil der erfolgreichen Angriffe stattfinden, indem Löcher in Applikationen wie Webservern etc. ausgenutzt werden. Meist sind zwar schon seit langem entsprechende Patches vorhanden, welche aber zu oft zu spät installiert werden. Speziell die vom Internet aus erreichbaren Server sollten regelmässig mit aktuellsten Patches versehen werden. Das Patchen ist sicherlich der aufwändigste Punkt, kann aber nicht genug betont werden: Patchen ist Pflicht!

3. Minimales System

Beim Fechten spricht man gern von der Blösse, die man dem Gegener offeriert. Wir sollten unserem Gegner keine unnötigen Blössen geben, also alles entfernen, was nicht gebraucht wird: Dienste, Komponenten und Applikationen, die nicht benötigt werden, entfernen. So ist man auch gegen Softwarefehler des Betriebssystems geschützt, wenn die entsprechende Komponente nicht vorhanden ist. Neben dem manuellen Deaktivieren und Deinstallieren der entsprechenden Programme sind auch automatisierte Skripte zu empfehlen, welche diesen Vorgang teilweise automatisieren können, beispielsweise Jass für Solaris.

4. Geringste Rechte

Seit Windows 2000 gibt es auch auf dieser Plattform endlich gute und strukturierte Möglichkeiten, den Administratoren nur die notwendigen Rechte im Active Directory zu erteilen. Dazu zentrale Möglichkeiten der hierarchischen Verwaltung der NTFS-Berechtigungen, der Registrierungsberechtigungen und der Konfiguration der Dienste per GPO und vieler weitere Sicherheitsoptionen. Und noch immer gibt es viele Unternehmen, die die Möglichkeiten noch nicht kennen bzw. nicht nutzen. Hier liegt ein enormes Potential zur kosteneffektiven Konfiguration und insbesondere der Sicherheitsoptionen.

5. Verteilen der Zuständigkeiten

Das Verteilen der Zuständigkeiten ist auch eher eine allgemeine Strategie, die im Projektmanagement, in der Finanzwelt und gerade bei Netzwerkern bekannt ist. So gehören z.B. Rechner mit unterschiedlichen Sicherheitsbedürfnissen in verschiedene Netze, sodass der Zugriff durch eine Firewall geregelt werden kann. Ein WLAN lässt sich gut als separates Netz an einer Firewall kontrollieren und so der Schutz der eigenen Ressourcen gewährleisten. Insbesondere bei den neueren Gesetzgebungen wird auf die Trennung der personellen Verantwortlichkeiten grossen Wert gelegt. Viele Angriffe sind erst durch die Kombination verschiedener Lücken möglich.

6. Verteidigung in der Tiefe

Mehrstufiger Virenschutz ist für alle Unternehmen schon selbstverständlich: Schutz beim Gateway, auf den Servern und auf den Clients. Je höher das Sicherheitsbedürfnis, desto mehr werden auch weitere Stufen doppelt ausgelegt: Mehrstufige Firewalls sind noch lange nicht überall im Einsatz, sondern beginnen sich erst jetzt breit durchzusetzen. Auch die Intrusion Prevention kann sinnvollerweise an mehreren Punkten ansetzen.

7. Das schwächste Glied schützen

Das schwächste Glied in der Security-Kette ist oft nicht WLAN, sind nicht Smartphones und nicht die fehlende starke Authentisierung, sondern es ist oft der Mensch. Vergessen Sie nicht die regelmässige Schulung von Usern wie auch der Administratoren: Nicht nur die korrekte Anwendung der Applikationen soll geschult werden, sondern auch das Thema IT-Sicherheit im Allgemeinen, der Umgang mit Passwörtern etc. Und ganz speziell sollte regelmässig Awareness geschaffen werden gegenüber der gesamten Problematik von Social Engineering.