Mit zahlreichen Lösungen von Firewall bis allumfassender Security-Appliance schützen Unternehmen ihre Daten vor externen Angriffen. Mittlerweile starten die gefährlichsten Angreifer ihre Attacken nicht mehr über das Internet, sondern aus dem hauseigenen Netzwerk. Eine aktuelle Studie von Compuware, für die mehr als 3500 IT-Profis befragt wurden, kommt zu dem Ergebnis, dass klassische Angriffe von Hackern nicht das zentrale Problem sind: In Deutschland liegen sie auf dem vierten, international sogar auf dem fünften Platz. Dagegen nannte fast die Hälfte der deutschen Befragten unvorsichtige Kollegen als die größte Gefahrenquelle, in den USA sehen sogar 75 Prozent ein entsprechendes Risiko.

Was ist "innen", was ist "außen"?

Wenn ein Unternehmensnetz aus vielen Routern und Hunderten von Usern besteht, ist die Wahrscheinlichkeit groß, dass die IT-Verantwortlichen nicht mehr genau wissen, wo ihre Netzwerke beginnen und wo sie aufhören. Das Gleiche gilt für die Netzwerke von aktuellen oder ehemaligen Business-Partnern, Lieferanten, Kunden, Outsourcing-Unternehmen und veräußerten oder zugekauften Unternehmen. Durch solche "flüchtigen Netzwerke" ist die Grenze der klassischen Perimeter-Verteidigung heute nicht mehr so eindeutig zu ziehen wie noch vor zehn Jahren.

Jedes Unternehmen sollte deshalb sowohl interne als auch externe Gefahrenquellen bei der Sicherheitsstrategie berücksichtigen. Doch das ist alles andere als einfach. Zum einen agieren die Angreifer immer professioneller, zum anderen steigt die Komplexität der Netze stetig, was die Aufdeckung unerwünschter Vorgänge erschwert. Zudem haben in den meisten Fällen Insider sowohl ein besseres Wissen über Schwachstellen des Netzes als auch über Ansatzpunkte für lukrative kriminelle Handlungen. Durch die Kürzung vieler IT-Budgets im Zuge der Finanzkrise ist es für Unternehmen deshalb eine besondere Herausforderung, die IT-Security auf hohem Niveau zu halten.

Was muss geschützt werden?

Auch wer schon seit Jahren eine IT-Infrastruktur-Security betreibt, sollte an erster Stelle (erneut) die Frage beantworten, was aus Geschäftssicht (!) überhaupt geschützt werden muss. Die passenden Antworten liefert ein Risiko-Assessment. Zu IT-verursachten Risiken zählen klassischerweise etwa durch Ausfallzeiten bedingte Umsatz- oder Produktivitätseinbußen, Haftungsrisiken für Sicherheitsverstöße, die Kundendaten in falsche Hände gelangen lassen, sowie Geldbußen für Verstöße gegen rechtliche Vorschriften. Das international anerkannte Framework zur IT-Governance CobiT (Control Objectives for Information and Related Technology) hilft bei der Beantwortung der Frage, was geschützt werden soll. Auch die ISO 27001 gibt ein Modell für den Aufbau und Betrieb eines effektiven Management-Systems für Informationssicherheit (ISMS) vor. Wichtig ist bei all den genannten Vorgehensweisen, dass die stets verbleibenden Restrisiken bewusst akzeptiert und wenn möglich auch überwacht werden.

Checkliste für strukturiertes Vorgehen

Doch wie packt man ein "Secure-Networking"-Vorhaben an? Eine Checkliste für Security-Verantwortliche sollte einige feste Punkte umfassen: So gehört etwa eine regelmäßige Untersuchung des aktuellen Netzsicherheits-Status zur Routine. Problematisch ist dabei vor allem, dass die vorhandenen Workstations, Server und Netzkomponenten oft zu dynamisch wachsenden Strukturen gehören, die von unterschiedlichen Abteilungen betreut werden und daher dem zentralen Security-Team nicht immer transparent sind. Neben den kompletten Netzwerk-Audits nach CobiT oder ISO 27001 empfiehlt sich von Zeit zu Zeit - besonders nach Organisationsänderungen im Unternehmen - auch ein Netzwerk-Security-Scan. Dieser findet typischerweise den tatsächlichen Perimeter des Netzwerks, Leaks (unerlaubte Internet-Zugänge), unerlaubte IP-Adressen, unerlaubte Mail-Server, aber auch unautorisierte Partnerverbindungen. Vor allem beantwortet er die Grundsatzfrage "Was gehört alles zu meinem Netzwerk?" Immer wichtiger wird auch der Bereich Wireless Services. Unabhängig davon, ob ein Unternehmen Funknetze betreibt oder nicht, sollte es regelmäßig prüfen, ob unerwünschte vorhanden und die erwünschten gesichert sind. Schließlich ist zu klären, ob oder wie unternehmenskritische Daten unbemerkt und durch betrügerisches Handeln das Unternehmen verlassen können.

Für das Vulnerability Assessment, also das gezielte Aufdecken der Schwachstellen, gibt es mehrere Vorgehensweisen: So bieten Sicherheitsexperten professionelle Einbruchsversuche an, die in Absprache mit dem Unternehmen erfolgen. Dieses Ethical Hacking wird entweder nach fest vorgegebenen Zielen betrieben, etwa dem Eindringen bis ins LAN. Oder es hat die Vorgabe, alle Einbruchsmöglichkeiten aufzuzeigen. Der Vorteil dabei: Die Ethical Hacks geschehen schadensfrei, streng vertraulich, und als Endergebnis erhält man neben der Dokumentation aller entdeckten Schwachstellen einen Lösungsansatz. Je nach Infrastruktur und Ausgangslage können auch noch gezielt Schwerpunkte gesetzt werden, etwa auf Web Application Testing oder auf die Untersuchung der Firewall-Regeln. Die Ausbaustufen, also die Testtiefe, ist dabei individuell anpassbar. So kann es für eine Firma mit vielen Außendienstlern nützlich sein, zusätzlich ein Mobile Worker Assessment vorzunehmen, bei dem unter anderem gezielt die VPN-Zugänge gecheckt werden. Haben Vorfälle stattgefunden, die grundsätzlich mit Bordmitteln hätten verhindert werden können, liegt es oft am Security Monitoring: Wer schaut wann und wie oft nach den Meldungen? Werden die umfangreichen Firewall- und IDS-Logfiles permanent überwacht und analysiert oder nur sporadisch? Gibt es entsprechende Störfallbeantwortungs-Pläne?

Ergebnisse ableiten

Die beschriebenen Untersuchungen des Netzwerks und der zugehörigen Infrastruktur bilden die Grundlage für alle weiteren Maßnahmen. Als nächstes muss ein Aktionsplan für die Behandlung der entdeckten Sicherheitslücken erarbeitet werden. Man vergleicht dazu die Untersuchungsergebnisse mit gesetzlichen Vorgaben und Unternehmensrichtlinien und definiert entsprechende Gegenmaßnahmen.

Wichtige Schutzfunktionen

Die wichtigen Schutzfunktionen lassen sich meist auf wenige Punkte herunterbrechen:

• Am offensichtlichsten ist dabei die Enterprise Desktop Protection samt Antivirus, Personal Firewall, Policy Enforcement, automatisierten Updates und gegebenenfalls Festplatten-Verschlüsselung.

• Ein weiterer Punkt betrifft Firewalls und Intrusion-Prevention-Systeme (IPS), die am Perimeter, aber auch intern, beispielsweise zwischen Netzsegmenten, zum Einsatz kommen.

• Weiter geht es mit Web Access Security: Gibt es URL- und Content-Filter, die auch bei gesicherten Verbindungen (https) funktionieren?

• Ein anderer wichtiger Punkt ist Messaging Application Security.

• Wie sieht die (Server-)Strategie gegen Viren und Spam aus? Quarantäne oder nicht?

• Wie steht es mit Datenklassifizierung und Data Leak Prevention (DLP)?

• Gibt es ein Policy Enforcement? Zu beachten ist jeweils die Einhaltung von Policies und Betriebsvereinbarungen, der Vertraulichkeit, gesetzlicher Vorgaben wie beispielsweise sicherer Archivierung und Schutz vor dem Verlust geistigen Eigentums.

• Beim Virtual Private Networking schließlich geht es um den Schutz von Informationen, Daten und Geräten, die sich nicht im Firmennetz befinden.

• Schließlich sind alle Security-Maßnahmen nur so gut wie ihre Überwachung, insbesondere ein Rund-um-die-Uhr-Monitoring von Firewalls und IDS ist zu empfehlen.

• Wenn alle Stricke reißen, sollte ein erprobter Business-Continuity-Management-Plan die wichtigen Geschäftsprozesse am Leben halten.

Fazit

Der Feind im Innern ist gefährlich. Durch geschicktes Vorgehen ist es jedoch selbst bei komplexen Netzwerken möglich, sich mit den hier gezeigten Maßnahmen sowohl gegen interne als auch externe Angriffe angemessen zu schützen. Für Unternehmen, die nicht selbst eine personell gut ausgestattete IT- Security-Truppe haben, bietet sich die Hilfe von Managed-Security-Dienstleistern an.