Grundlagen

System- und Plattformsicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Kleine und mittelständische Unternehmen müssen sich gegen dieselben Bedrohungen verteidigen wie ein Großkonzern. Punktuelle Schutzverfahren reichen gegen mittlerweile sehr ausgereifte und vielschichtige Attacken nicht mehr aus. Vielmehr bedarf es eines ganzheitlichen Ansatzes bei der System- und Plattformsicherheit. Welche Aspekte dabei von Bedeutung sind, zeigt dieser Grundlagenartikel.
Das Spektrum an abzusichernden Endgeräten in Unternehmen reicht vom Desktop über Laptops und Tablet PCs bis hin zu Smartphones, auf denen mittlerweile eine Fülle an Daten gespeichert ist, die sensibel sein können. Außerdem sind gerade mobile Geräte, die zum Beispiel an ungesicherten Hotspots eingesetzt werden, die schwächsten Glieder der Unternehmenssicherheit.

Grundlegende Sicherheitsanforderungen
Folgende grundlegenden Sicherheitsfunktionen für Endgeräte, die Online-Bedrohungen nur in begrenztem Maße ausgesetzt sind, sollten in jedem Fall vorhanden sein:
- Anti-Virus
- Spyware-Schutz
- Sicheres Surfen
- Anti-Spam
- Gerätekontrolle
- Verwaltung vor Ort

Zusätzliche Absicherungsverfahren sind nötig für den Schutz mobiler Systeme, wenn diese vom Netzwerk getrennt sind und auch, wenn sie später wieder angeschlossen werden:
- Desktop-Firewall
- Inhaltsfilterung
- Website-Blockierung
- Desktop Host Intrusion Prevention
- Richtlinienkontrolle
- Netzwerkzugriffssteuerung

Eine effektive End Point-Protection bietet außerdem einen grundlegenden E-Mail- und Web-Schutz. Auch mobile Mitarbeiter werden auf diese Weise präventiv vor Malware und Zero-Day-Bedrohungen geschützt. Die Verwaltung der Lösung sollte möglichst über eine zentrale Konsole stattfinden, die die Einhaltung möglicher Richtlinien und die Zugriffskontrolle steuert.

Der zusätzliche Einsatz von Host Intrusion Prevention blockiert ungewünschte Aktivitäten, indem Signaturen, das Verhalten im Netz und die Systeme selbst analysiert werden. Wünschenswert ist außerdem, dass sichergestellt ist, dass nur vertrauenswürdige Anwendungen auf Servern und Endgeräten zur Ausführung kommen. Dies erfolgt bestenfalls über Application Control-Produkte. Wichtig ist, dass solche Lösungen angesichts der immer vielfältigeren Betriebssysteme-Landschaft gerade im Tablet-Bereich zumindest eine effektive Zugangskontrolle für verschiedene Lösungen anbieten.

Patchmanagement
Ein aktueller Patchstand auf allen PCs und Servern im Unternehmen ist ein unverzichtbarer Schutz gegen die ständigen Wurmattacken und Hackerangriffe. Schließlich sind es die Schwachstellen in Software, die Angriffe von außen in aller Regel ermöglichen. Viele IT-Verantwortliche nutzen für das Patchmanagement die WSUS-Dienste zum Verteilen der monatlich veröffentlichten Microsoft-Sicherheitsupdates. Allerdings wird hierbei immer noch oft auf die regelmäßige Aktualisierung von Drittanbieter-Software im Unternehmen verzichtet – so sind veraltete Adobe Reader-, Flash- oder Java-Versionen keine Ausnahmen, sondern eher die Regel.

Vor dem Hintergrund der stark gestiegenen Anzahl an Sicherheitslücken in Drittanbietersoftware entsteht so ein erhebliches Risiko für die IT-Sicherheit in diesen Unternehmen. Patchmanagement-Tools ermöglichen es, derartige Sicherheitslücken zu erkennen, zu bewerten und zu beheben. In besonders kritischen Umgebungen sollten Administratoren Patches jedoch erst testen, bevor sie auf produktiven Systemen aufgespielt werden. Denn so manches Mal legen Patches unfreiwillig die Systeme lahm, die sie eigentlich schützen sollen.

Datenträgerverschlüsselung
Daten auf einem verlorenen oder gestohlenen Computer sind durch das Ausführen von frei verfügbaren Tools oder durch das Einbauen der Festplatte in einen zweiten Computer kriminellen Personen schutzlos ausgesetzt. Durch eine Verschlüsselungslösung, kombiniert mit einer Pre-Boot-Authentifizierung, die sowohl die Betriebssystem- als auch die Datenpartitionen entsprechend schützt, ist es möglich, einen Missbrauch zu minimieren.

Mit der seit Windows Vista eingeführten und bereits standardmäßig in der Ultimate und Enterprise-Version integrierten Windows BitLocker-Verschlüsselung wird beispielsweise der nicht autorisierte Zugriff auf verloren gegangene oder gestohlene Computer durch die Kombination von zwei wichtigen Verfahren erschwert. Auch über Drittanbieter-Software ist eine sichere Verschlüsselung von Festplatten möglich. Für Administratoren wichtig ist dabei die Möglichkeit der zentralen Verwaltung sowie der Schlüsselwiederherstellung im Notfall. Neben der Wahl eines sicheren Kennworts mit ausreichender Länge und Komplexität ist ein hinreichend sicherer Algorithmus von Bedeutung. Als Standard hat sich AES mit mindestens 128 Bit etabliert.

Netzwerkzugangsschutz
Der wohl beste Schutz für Endgeräte besteht darin, Bedrohungen von vornherein von ihnen fernzuhalten. Hat es ein IP-fähiges Gerät erst einmal in das interne Netzwerk geschafft, steht der Zugang zu zahlreichen Ressourcen offen. Network Access Control (NAC) ist eine Technologie, um diesen Zugang zu kontrollieren und bei Bedarf einzuschränken. Mit Erscheinen von Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Englischen von Microsoft als "Network Access Protection" (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk zu verbessern.

Wie bei NAC verschiebt auch Windows in erster Linie Computer, die nicht den Sicherheitsanforderungen entsprechen, in ein "Zwischennetzwerk", um diese auf den gewünschten Sicherheits- oder Patch-Stand zu bringen. Erwartungsgemäß arbeitet NAP von Microsoft lediglich mit Windows und zwar in der Version XP SP3 und höher. Ältere Systeme oder Nicht-Windows-Computer wie Smartphones, IP-Telefone oder Apple iPads bleiben jedoch unberücksichtigt.

Microsoft baut auf zwei Techniken auf: DHCP und IEEE 802.1X. In der einfachsten Implementierung prüft Microsoft-NAP bei Vergabe einer IP-Lease den Status des Client-Systems und modifiziert in Abhängigkeit vom Ergebnis die zu vergebende IP-Adresse. Dieses System lässt sich zwar sehr einfach durch den Administrator aufbauen, verliert jedoch seine Schutzfunktion, sobald einem Rechner eine feste IP-Adresse zugewiesen wird. In der weitaus sichereren Variante prüft Windows Server mittels 802.1X-Standard und eines RADIUS-Servers die durch den Teilnehmer (Supplikant) übermittelten Authentifizierungsinformationen und regelt den Zugriff auf die durch den Authenticator angebotenen Dienste wie LAN, VLAN oder WLAN.
28.11.2011/dr

Nachrichten

Automatisierter Rundumschutz [20.01.2020]

Check Point veröffentlicht mit "Fast Track Network Security" eine neue Sicherheits-Suite. Sie verspricht zuverlässigen Schutz, hohe Skalierbarkeit, umfangreiche Kontrolle und einfache Implementierung. Die Suite umfasst fünf neue Check-Point-Quantum-Security-Gateways für Zweigstellen und mittelständische Unternehmen, außerdem ein Gateway, das für Maestro-Hyperscale-Umgebungen großer Unternehmen und Rechenzentren entwickelt wurde. [mehr]

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen