Die jüngsten Ereignisse von digitalen Einbrüchen und unzureichend Geschützen Daten führt nur zu gut vor Augen wie Anfällig vernetzte Systeme sein können. Da ist nur der Diebstahl bei RSA ein weiterer Punkt in der Kette zu schwacher Absicherung. Wer jetzt wieder mit dem „Argument“ kommt, „Bei uns ist nicht wichtiges“ der verkennt völlig die aktuelle Lage. Das „Wichtige“ sind die Daten, ob in der privaten Wirtschaft, öffentlichen Stellen oder gar Patienten- oder Gesundheits-Daten.
Alle diese Daten stellen einen erheblichen Wert da und müssen mit allen technischen und organisatorischen Maßnahmen geschützt werden. Ist dies nicht der Fall, entstehen sehr schnell massive Schäden und dies nicht nur im finanziellen Bereich. Wichtig ist zu aller erst, die Sensibilisierung und das Verständnis dafür, wie wichtig die eigenen Daten sind. Werden die Daten so wahrgenommenen, was sie tatsächlich sind – eine hohes wirtschaftliches Gut – ist schon mal viel gewonnen.
Die Absicherung von Daten und somit der Infrastruktur ist dann der nächste Schritt. Hier ist es besonders wichtig von Anfang an ein Infrastruktur-Design zu verfolgen, was strikt auf Sicherheit ausgelegt ist. Sicherheit ist nicht lästig, sondern ein Grundsatz!
Aber Sicherheit fängt schon im Kleinen an. Hier sollte mal jeder für sich die Frage beantworten, warum die Windows Firewall in den meisten Fällen einfach nur aus ist, statt Regeln einzufügen die nur die notwendigen Zugriffe gestatten?! Warum sind Sicherheitsfunktion die von den Betriebssystemen „frei Haus“ mitkommen nicht genutzt? Fällt die Antwort hier ehrlich aus, dann kommt sie recht nahe an „Bequemlichkeit“. Ist die Antwort „keine Zeit“, dann ist es um die IT schlimm bestellt. Wenn keine Zeit für den Betrieb einer abgesicherten Infrastruktur da ist, dann ist dies nicht das einzige Problem dieser IT-Umgebung. Aber hier ist man wieder an dem Punkt der Sensibilisierung.
Ein einfaches Beispiel ist die Mail-Infrastruktur. Natürlich will keiner ein Open-Relay sein und von Spammern missbraucht werden. Aber muss auf der anderen Seite ein Mail-Server ein Open-Relay in der eigenen Infrastruktur sein? Um es drastischer auszudrücken: Tut das Not? Sicher nicht. Begrenzt man hier die Hosts für die relayed wird, dann ist schon mal viel gewonnen. Das System kann dann nicht durch irgendeinen Host der mit einem Bot oder Trojaner infiziert ist zum Versand von Mail genutzt werden. Auch beim Mail-System sollte man noch einen Schritt weitergehen. Gerade auf dem Hintergrund, dass man eine Infektion durch einen Bot oder Trojanes nicht ausschließen und um Opfer werden kann, ist eine Outbound Mail-Kontrolle ebenso wichtig. Viele Sicherheitssysteme geben diesen Schutz ja her, er muss genutzt werden.
Kombiniert man diese Outbound-Kontrolle noch mit einer Data Leak Prevention, dann ist dem Missbrauch der Mail-Systeme noch ein größerer Riegel vorgeschoben.
Zu den organisatorischen Aufgaben gehört die Überarbeitung der Datei-Rechte des File-Servers. Diese ist ebenfalls ohne neue Systeme und einfach mit dem Vorhandenen zu realisieren. Hier sind die Fragen, wer muss auf was und warum zugreifen zu beantworten. Der Grundsatz der minimalen Rechte sollte auch hier gelten. Nur das was wirklich benötigt wird, sollte auch zur Verfügung stehen – aber auch nicht mehr. Dies hat auch einen pragmatischen Hintergrund, ist ein Client von Schadcode befallen, dann kann er nicht alle Dateien einer Freigabe infizieren.
Diese einfachen und meist schon vorhandenen Optionen zeigen mit welchen einfachen Mitteln die Sicherheit in der eigenen Infrastruktur deutlich zu erhöhen ist. Ist dies passiert, dann müssen die nächsten Schritte folgen. Sonst verpufft die Initiative einfach und die schon investierte Zeit ist ebenfalls einfach so verloren. Wie schon oft in den Blog-Artikel beschrieben, Sicherheit ist ein dynamischer Prozess und kein statisches Konstrukt. Stetige Anpassungen und Verbesserungen sind der Garant einer geschützten Infrastruktur.
Die nächsten Schritte die dann folgen, sind ein Re-Design der Infrastruktur mit der Ausrichtung auf Sicherheit und dem Schutz der eigenen Daten. Dazu gehören die technische, aber eben auch die organisatorische Ausrichtung, die immer die Zielsetzung auf Sicherheit haben muss.
Es gibt natürlich nicht „die“ Maßnahmen, sondern immer ein an die jeweilige Organisation angepasstes Konzept. Daher will der Artikel nicht „die“ Lösung präsentieren, sondern vielmehr sensibilisieren und auf die Dringlichkeit dieses Themas hinweisen.
Bei Fragen zum Thema sind wir, wie immer, wie gewohnt zu erreichen.