Foto: fotolia.com/nightfly84
Sowohl im Privatbereich als auch in Firmen hat Windows den höchsten Marktanteil. Kein Wunder, dass sich auch die Angreifer auf Windows als Ziel eingeschossen haben. Aber Microsoft stellt auch etliche Tool und Funktionen bereit, mit denen man Attacken sicher verhindern kann. Für Unternehmen gilt es, einige Sicherheitsgrundregeln zu beachten. Sie betreffen die Bereiche Clients und Server sowie das Active Directory als grundlegenden Verzeichnisdienst in Windows-Umgebungen. Dieser Ratgeber liefert einen Einblick, wie sich eine Windows-Umgebung mit bordinternen Mitteln sicherer gestalten lässt. Aber auch Aspekte wie das Patch-Management, proaktive Schutzmaßnahmen, Schulung der Benutzer und eine vernünftige Vergabe von Rechten kommen zur Sprache.
Zeitnahe Patches
Selbst wenn es bereits hinlänglich bekannt ist: Updates sind unbedingt zeitnah, flächendeckend und kontrolliert einzuspielen. Als Grund für das oft wochenlange Aussetzen eines Patchs werden häufig fehlende Ressourcen und die Angst vor Betriebsstörungen angeführt. Dabei tritt oft genau das Gegenteil ein, wie die explosive Verbreitung des Conficker-Wurms deutlich machte: Selbst lange Zeit nach dem Erscheinen des Microsoft-Patchs am 23. Oktober 2008, der die von dem Schädling ausgenutzte Windows-Schwachstelle behebt, waren viele Systeme noch nicht aktualisiert und somit angreifbar.
Noch Monate später legte Conficker Unternehmen und Behörden lahm und verursachte hohe Schäden - Microsoft-Emea-Sicherheitschef Roger Halbheer bezeichnete dies als "russisches Roulette mit dem Netzwerk". Als Beispiel, wie aus Zero-Day-Attacken dann "Three-Month"-Attacken werden, verdeutlicht dieser Fall, wie sehr es beim Kampf gegen Sicherheitslücken auf Tempo ankommt. Unternehmen müssen in diesem Kontext auch auf ein lückenloses Auditing der Systeme achten, um durchgängig aktuelle Patches installiert zu haben. Erreichen lässt sich dies mit Hilfe integrierter Systeme wie den "Microsoft Windows Server Update Services" (WSUS) oder dem "Software Update Management" in Microsofts "System Center Configuration Manager" (SCCM).
Erst wenn alle Systeme auf einem angemessenen Versionsstand sind, kommen andere, proaktive Maßnahmen überhaupt zum Tragen. Was hier nicht fehlen darf, ist ein Virenschutzkonzept für Clients und Server samt umfassender Strategie sowie eine geeignete technische Umsetzung. So sind Malware-Scanner nur so viel wert wie ihre Signaturen. In Kombination bieten sich weitere proaktive Schutzmaßnahmen an - etwa die Konfiguration und Aktivierung der lokalen Firewall über die "Gruppenrichtlinien".
- Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock). - Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede) - Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog). - Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec). - Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede). - Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede) - Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede). - Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011). - Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011) - Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011) - Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock). - Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Balance zwischen Sicherheit und Benutzbarkeit
Sicherheit ist aber nicht nur ein technisches Problem. Häufig ist es der Mensch, der Angriffen Tür und Tor öffnet. Die Gründe hierfür sind mangelndes Bewusstsein für sicheres Verhalten oder Neugier, nicht selten aber auch die mangelnde Benutzbarkeit der verwendeten Software. Das beste technische Konzept versagt, wenn der Benutzer die Tragweite seiner Aktionen nicht erkennen kann. Auch allzu restriktive Regeln, wie etwa ein 30-Zeichen-Passwort, erhöhen die Sicherheit nicht. Hierbei ist der Anwender dann eher versucht, einen Zettel als Merkhilfe auf den Monitor zu kleben.
Selbst geschulte Benutzer brauchen klar definierte Grenzen - schließlich wird Malware zunächst die Rechte des Benutzers ausnutzen. Ein Wurm mit administrativen Rechten hat gute Chancen, seiner Bestimmung nachzugehen. Daher ist stets das Least-Privilege-Prinzip anzuwenden: Jeder Benutzer, jeder Dienst und jedes System erhält demnach nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind. Hier gilt es, besonders strikt vorzugehen, was eine genaue Kenntnis der Arbeitsabläufe und Systeme voraussetzt.
Die Umsetzung des Least-Privilege-Paradigmas gehört zu den besten Methoden, ein grundlegendes Fundament für sichere Systeme zu schaffen - allerdings ist es dazu häufig erforderlich, mit alten Gewohnheiten zu brechen. Auch hier ist die Balance zwischen Sicherheit und Benutzbarkeit wichtig: Vistas lärmende User Account Control (UAC) ist ein Beispiel dafür, wie eine gute Idee ins Gegenteil verkehrt wurde.