Welche Standard-Sicherheitsmassnahmen sind für jede Firma oberstes Gebot?
Zu den Standardmassnahmen gehört, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Des weiteren müssen die externen Anbindungen gesichert sein, und es gehört ein Virenschutz auf jedes System und den Mail-Gateway. Die Filterung des Web-Verkehrs auf dem Proxy, die Überwachung der Systeme und die damit verbundene Auswertung der Log-Dateien sollten nicht ausser acht gelassen werden. Auf keinen Fall darf schliesslich der Update-Prozess für alle Server und Arbeitsstationen vergessen gehen.
Social Hacking macht einen grossen Anteil der Einbrüche in Firmennetze aus. Wie kann dem vorgebeugt werden?
Die Mitarbeiter müssen sensibilisiert werden. Durch das Aufzeigen und Durchführen von Social-Engineering-Attacken lernen die Mitarbeiter - darunter auch Reinigungs- und Empfangspersonal -, die Gefahren zu erkennen. Zudem sollten Security-Checklisten mit Verhaltensregeln erstellt werden, die es zu beachten gilt. Nur so kann der Mitarbeiter sicherstellen, dass der Fragesteller wirklich der ist, für den er sich ausgibt und das Recht hat, die gewünschten Informationen zu erhalten. Darüber hinaus sollten Mitarbeiter Prüfungen über Social Engineering absolvieren, welche sich auf die Qualifikation und somit auch auf den Lohn auswirken.
Welches sind die grössten Sicherheitsmängel in Unternehmensnetzen?
Die unsicheren Arbeitsstationen! Diese haben in vielen Unternehmen E-Mail- und Web-Zugriff. Dafür sind die einzelnen Systeme aber oft zu wenig geschützt, da es ja "interne" Systeme sind. Aktuelle Attacken nutzen E-Mail- und Browser-Schwachstellen aus und geben so einem Angreifer direkten Zugriff ins Intranet. Der Angreifer steuert die Arbeitsstation fern und hat somit die selben Rechte wie der Mitarbeiter am Arbeitsplatz.
Welche technischen Möglichkeiten gibt es heute zum Schutz der Netze?
Im Vordergrund stehen sicher Firewalls und Web-Entry-Server, die ausserdem mit Content-Filtern, URL-Blockern und Intrusion Detection Systemen ausgerüstet sein sollten. Heikle Systeme muss man mit Firewalls abgrenzen. Ausserdem gehört auf jeden Gateway und jede Arbeitsstation ein Virenscanner, und die Kommunikation und die Datenablage sollte verschlüsselt geschehen.
Gibt es eine preisgünstige Möglichkeit, wie sich kleinere Unternehmen oder Selbständige vor Hack-Versuchen aus dem Internet schützen können?
Attacken werden auf die Arbeitsstationen des Benutzers ausgeführt, wobei es aber kaum möglich ist, diese immer auf dem neuesten Stand zu halten. Die sicherste und günstigste, wenn auch nicht die komfortabelste Variante ist immer noch der Standalone-Internet-Terminal. Falls diese Option nicht in Frage kommt, hilft gegen Attacken von aussen eine Firewall mit restriktiven Regeln und das Verbieten einer direkten Verbindung vom Intranet ins Internet. Auf keinen Fall dürfen Mails direkt auf den internen Mailserver gelangen. Zum Schutz gegen interne Attacken gehört ein Virenscanner auf jedem PC, und es empfiehlt sich, nicht mit Internet Explorer zu surfen, sondern einen anderen Browser zu verwenden.
Wie sinnvoll ist eine Firmen-Security-Policy?
Eine Security Policy definiert gewisse Regeln für Mitarbeiter und ist vergleichbar mit einem Gesetz in der Rechtswelt. Die Policy bildet die Grundlage für die Handlungen der Mitarbeiter bezüglich Sicherheit. Das Wichtigste ist, dass die Policy von den Mitarbeitern gelebt wird. Eine Policy, welche unverständlich und zu wenig praxisbezogen ist oder im Büchergestell verstaubt, bringt nichts.
Wie muss Ihrer Meinung nach eine nützliche und nutzbare Firmen-Security-Policy aussehen?
Der Mitarbeiter sollte konkrete Vorschläge erhalten, wie er die Anforderungen der Policy umsetzen kann. Die Policy sollte definieren, welches die schützenswerten Daten der Firma sind und wie mit diesen umgegangen werden soll. Empfehlenswert ist auch eine Analyse der Mitarbeiter-Typen eines Unternehmens und die Ausrichtung der Policy auf deren Bedürfnisse.
Wie und wie oft sollen die Mitarbeiter sensibilisiert werden?
Bei der Anstellung des Mitarbeiters durch eine Einführung mit Prüfung und Unterschreiben der Policy. Später sollte dann alle Monate ein Reminder in Form einer E-Mail, einem LoginScreen, einem Plakat, Hacking-Demos oder ähnlichem und alle sechs Monate ein Auffrischungstest erfolgen.
Was sind Ihre Erfahrungen bei Mitarbeiterschulungen? Wird Erlerntes umgesetzt?
Nach der Schulung ist das Bewusstsein gross und Gelerntes wird für einige Zeit befolgt. Entsprechend der Erinnerungskurve nimmt die Sensibilität ab und sollte daher regelmässig aufgefrischt werden. Der Zeitdruck und Ressourcen-Engpässe wirken sich negativ auf die Sicherheitseinstellung aus. Der Business-Druck und die Angst vor Betriebsunterbrüchen verhinderen das konsequente Anwenden des Gelernten.
Wird die IT-Security in wirtschaftlich flauen Zeiten vernachlässigt? Wenn ja, wo und wie?
Ja und nein. Bei Ressourcen-bedingten Engpässen wird die Sicherheit vernachlässigt, da mit Mühe und Not noch die Systeme für den Betrieb aufrechterhalten werden. Schwachstellen sind bekannt, können aber nicht behoben werden. Im Moment werden sehr viele kritische Schwachstellen publiziert, welche erst beim Kursieren eines Wurms in einer "Feuerwehrübung" behoben werden. Ein aktuelles Beispiel ist SQL Slammer: Die Schwachstelle, welche der Wurm ausnutzte, war schon lange bekannt, und ein Patch stand ebenfalls seit längerem zur Verfügung. Andererseits konzentrieren sich die Unternehmungen wieder auf die wirklich notwendigen und rentablen Informatik-Projekte. Die Sicherheit hat bei diesen Projekten einen grösseren Stellenwert als noch zu den Zeiten des E-Business-Hype.
Welches sind die schlimmsten Fehler, die von Netzwerkadministratoren in Sachen Sicherheit gemacht werden?
Nach wie vor werden viel zu viele Systeme mit den Default-Einstellungen aufgesetzt und dann ihrem Schicksal überlassen, was bedeutet, dass Updates nicht vorgenommen und Patches nicht aufgespielt werden. Passwörter sind häufig zu schwach oder im ganzen Netzwerk identisch. Ein häufiger Fehler ist auch, dass grundsätzlich alles erlaubt wird, statt Rechte selektiv zu verteilen. Und nicht zuletzt fehlt häufig ein vernetztes Denken.
