computerwoche.de

Security

Viel mehr als Antivirus und Patches…

Tipps & Tricks zur Absicherung der eigenen Infrastruktur

06.12.2013
Von  und
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Posts des Autors Email:
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Posts des Autors Email:

Die "vergessenen" Systeme

Jeder Systemverantwortliche weiß, dass die Client- und Server-Systeme im eigenen Netzwerk gegenüber Programmfehlern, Attacken durch Schädlinge oder unerwünschten Personen abgesichert werden müssen. Mit einer zentralen Antivirus-Software, die alle verwalteten Computer laufend mit AV-Pattern versorgt, und einer Update-Struktur für Applikationen und Betriebssysteme sind die Client-Computer meistens bestens gerüstet. Glücklicherweise machen es die Lieferanten wie Microsoft, Apple oder auch die Anbieter von Linux-Distributionen den IT-Verantwortlichen sehr einfach, die Systeme auf dem neuesten Stand zu halten.

Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Foto: Frank-Michael Schlede / Thomas Bär

Ganz anders verhält es sich auf den größeren Server-Systemen - diese sollen und dürfen nicht vollkommen automatisch die Aktualisierungen einspielen und ungefragt einen Neustart vornehmen. Folglich muss sich der Administrator im Zuge einer geplanten Downtime selbst um die Updates kümmern. Das setzt aber voraus, dass er sich detailliert mit der jeweiligen Systematik auseinandersetzt. Microsoft Exchange Server beispielsweise erhalten von einem lokalen WSUS-Server (WSUS = Windows Server Update Services) üblicherweise nur die Updates für Windows, nicht aber für die Exchange-Komponenten. Folglich dauert es mitunter Monate oder gar Jahre, bis ein Server durch den zuständigen Administrator auf den Stand gebracht wird.

Bei aller Diskussion um vermeintliche Weisheiten wie "Never change a running system" (unglücklich abgeleitet von "Never change a winning team"), ist ein Exchange-Server, dem viele "Update Rollups" für seinen Service Pack fehlen, eine potenzielle Gefahr für das Unternehmen. Das BSI beschreibt die Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement unter M 4.324. Die folgenden Fragen sollten sich IT-Verantwortliche und Administratoren in diesem Zusammenhang stellen:

  • Besitze ich eine Übersicht aller meiner Server und deren Patch-Mechanismus?

  • Nehme ich mir die Zeit, WSUS-Listen mindestens einmal die Woche anzuschauen?

  • Ist meine eigene Workstation auf dem aktuellen Stand?

Die wirklich vergessene Infrastruktur

Fast in jeder Firma und in jedem Netzwerk gibt es Systeme, die seit vielen Jahren für den Benutzer faktisch unsichtbar "vor sich hin arbeiten". Dazu gehören viele kleine Mini-Switches, Router zwischen Gebäuden, größere Switches als Verteiler, WLAN-Access Points für Abteilungen und Schulungsräume, Netzwerkdrucker und IP-Telefone.

. Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein.
. Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein.
Foto: Frank-Michael Schlede / Thomas Bär

Die Liste ließe sich beliebig verlängern. Mit Blick auf die Abhängigkeit und die daraus resultierenden Gefahren für die Betriebssicherheit ist es erforderlich, dass Systemverantwortliche auch solche Geräte in regelmäßigen Abständen prüfen und die Aktualität der Firmware sichten. Größere Anbieter, wie beispielsweise Cisco oder Hewlett-Packard, informieren sogar die Presse bei Firmware-Updates.

Sicherheitslücken wurden schon in allen Geräten entdeckt. Beispielsweise musste Samsung im November vergangenen Jahres eine Lücke in seiner Drucker-Firmware schließen, über die Angreifer über einen Hintertür-Administrator-Zugang Zugriff über das SNMP-Netzwerk erhalten konnten. Dieses kleine Beispiel zeigt es deutlich: Sicherheitsprobleme können selbst von so unscheinbaren Geräten wie einem Netzwerkdrucker ausgehen! Deshalb ist es zwingend erforderlich, dass sich Systemverantwortliche mit der kompletten IT-Landschaft auseinandersetzen.

Das Update für eine Telefonanlage mag die Kommunikation für einige Minuten unterbrechen. Ein Ausfall durch einen Programmfehler oder durch eine Sicherheitslücke könnte hingegen ein zeitlich unkontrollierter Vorgang mit möglicherweise drastischen Folgen für die Unternehmensziele darstellen. Was IT-Verantwortlichen tun können, um solche Probleme zu vermeiden:

  • Erstellen Sie eine Liste der aktiven Netzwerkkomponenten.

  • Nehmen Sie sich die Zeit, diese Liste in regelmäßigen Abständen auf Softwareaktualisierungen oder notwendige Konfigurationsänderungen zu prüfen

  • Verwenden Sie Hilfsmittel wie "Google Alerts", um sich automatisch bei Neuerungen oder Informationen zu Ihren Geräten benachrichtigen zu lassen

Das eigene Wissen

Ein weiterer, unter keinen Umständen zu unterschätzender Faktor ist das Wissen rund um die Gestalt und Ausprägung einer IT-Anlage, und sei die Installation noch so klein. Ein Administrator geht stets davon aus, dass er bei allen Konfigurationsänderungen involviert ist, und hat aus diesem Grunde viele Details ausschließlich im Kopf, auf unleserlichen Zetteln oder in den Tiefen seiner Outlook-Notizen "vergraben".

Um die einseitige Abhängigkeit vom Administrator zu reduzieren, ist es notwendig, dass dieser die von ihm konzipierte Anlage in einer Art und Weise dokumentiert, die es auch anderen Mitarbeitern ermöglicht, die Informationen zu verstehen. Praktischerweise lehnt sich diese Dokumentation an das vom BSI empfohlene Notfallmanagement an (PDF-Download). Hier einige Beispiele für die dabei zu erstellenden Dokumente:

  • Leitlinie zum Notfallmanagement

  • Notfallvorsorgekonzept mit Business Impact Analyse (BIA) und Risikoanalyse

  • Notfallhandbuch mit aktuellen Kontaktdaten

  • Übungshandbuch, Übungsplan, Übungskonzepte und -protokolle

  • Schulungs- und Sensibilisierungskonzept

  • Auswertungen von Notfallbewältigungen

  • Revisionsberichte

  • Entscheidungsvorlagen an die Leitungsebene

Wenn sich der IT-Verantwortliche erst einmal Gedanken darüber macht, wie sehr die eigene IT-Anlage von anderen Systemen, Konfigurationseinstellungen oder Sicherheitsmodellen abhängig ist, wird ihm schnell deutlich werden, dass in vielen Fällen eine doppelte Auslegung erforderlich ist. Es versteht sich von selbst, dass nicht alles was wünschenswert wäre, auch finanzierbar ist. Aber veraltete Core-Switches, für die keine Ersatzteile vorgehalten werden, fehlende Dokumentationen über Sicherheitseinstellungen oder nicht geänderte Administrationspasswörter, nachdem ein IT-Kollege das Unternehmen verließ, zählen nicht zu den teuren Umstände, sondern sind die Folge eines mangelnden Sicherheitsverständnisses.

Und ja - das Administratorkennwort gehört in einen Umschlag in den Safe. Ist ein solcher im Unternehmen nicht vorhanden, gibt es bestimmt ein Schließfach bei der Bank. Denn auch der Administrator könnte zu Schaden kommen, oder spontan von einer Urlaubsreise nicht zurückkehren wollen… wer weiß das schon vorher? (sh)