Grundlagen

Datensicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Das Thema Sicherheit von Unternehmensdaten ist vielschichtig. In erster Linie gilt es, die vertraulichen Informationen vor den Zugriffen Unbefugter sowie vor tatsächlichem Verlust etwa durch Plattenausfälle oder Anwenderfehler zu schützen. In diesem Grundlagen-Beitrag beleuchten wir die Aspekte der Datensicherheit in Bezug auf Angreifer. Diese können sich sowohl im als auch außerhalb des Unternehmens befinden. Von besonderer Bedeutung sind daher neben einem Virenschutz durchdachte Konzepte zur Sicherheit in Storage-Umfeld, in virtuellen Umgebungen sowie gegen Insiderdelikte durch Data Leakage Prevention.
Virenschutz
Es ist der Klassiker in der Unternehmenssicherheit: Ohne einen Virenschutz kommt schon lange kein Unternehmen mehr aus. Zu groß ist das Risiko, das von bösartigen Programmen ausgeht. Dabei werden Würmer und Trojaner nicht mehr nur genutzt, um Schäden etwa durch das Löschen von Dateien zu verursachen, sondern vielmehr um Zugriff auf Rechner von Außen zu erhalten. Grundsätzlich arbeiten Virenscanner signaturbasiert. Sie führen – vereinfacht ausgedrückt – eine Datenbank mit den Erkennungsmerkmalen aller ihnen bekannten Schädlinge. Diese kann sowohl lokal als auch in der Cloud liegen.

Entdecken die Scanner einen schädlichen Code in einer Datei, schlagen sie Alarm. Über die sogenannte Heuristik sind die Scanner zudem in der Lage, leicht abgewandelte Versionen von Viren, Würmern und Co. zu erkennen. Einige Hersteller sind dazu übergegangen, verhaltensbasierte Analysen durchzuführen, indem sie ein Programm in einer geschützten Laufzeitumgebung ausführen. Dabei wird getestet, welche Aktionen das Programm auf dem System durchführen möchte. Scheinen diese verdächtig, wird die weitere Ausführung unterbunden.

Die konzeptionelle Einbindung des Virenschutzes in das Unternehmensnetz ist von zentraler Bedeutung. Der Administrator muss in der Lage sein, die Scanner zentral zu überwachen und Infektionen oder Fehler umgehend zu erkennen. Die Aktualisierungen der Signaturen sowie der Antiviren-Programme selbst muss automatisch und ohne Zutun der User geschehen. Auch sollten Anwender den Schutz nicht abschalten können. Für Gastrechner sowie mobile Rechner der Mitarbeiter gilt, dass diese zunächst auf einen aktiven Virenschutz hin überprüft werden sollten, bevor sie Zugang zum Unternehmensnetzwerk erhalten. Dies ist über eine Network Access Control (NAC) möglich.

Storage-Sicherheit
Storage stellt Unternehmen vor eine neue Herausforderung in Sachen Sicherheit. Das größte Sicherheitsproblem bei Netwok Attached Storage (NAS) ist dabei, dass Datentransferprotokolle wie CIFS und NFS aktiv sind. NAS-Geräte stellen sich für einen Angreifer von außen dar wie ein normaler Windows-Server. Dadurch, dass das NAS-Gerät im Büronetz auch direkt verfügbar ist, wird dieses intern nicht durch eine Firewall geschützt. Man-in-the-Middle-Angriffe lassen sich damit leicht durchführen. Diese Art von Attacke wird benutzt, um einem anfragenden Client vorzugaukeln, der Hacker-Rechner sei das NAS-Gerät. Der Angreifer leitet diese Anfragen auch an das NAS weiter, das Clientsystem soll schließlich keine Unregelmäßigkeit feststellen. Alle transferierten Daten werden so mitgeschnitten und ausgewertet.

Als Angriffsziel noch interessanter, weil in Unternehmen verbreiteter, ist das Storage Area Network (SAN). Klassischerweise werden SANs in separaten Netzsegmenten aufgebaut, was es für einen Angreifer schwierig macht, einen direkten Zugriff auf die SAN-Infrastruktur zu erhalten. Daher muss zunächst ein netzwerktechnischer Zugriff bestehen. Das SAN-Übertragungsprotokoll, das über Fibre Channel läuft, ist dem von TCP/IP ähnlich. Es basiert auf ähnlichen Prinzipien bei der Verbindungsherstellung und dem Session-Handling. Dabei kommen Sequenznummern zum Einsatz, die jedoch unverschlüsselt übertragen werden. Es besteht also die theoretische Möglichkeit, durch Manipulation der Sequenznummern den Verkehr umzuleiten.

Im Gegensatz zu IP-Netzwerken ist dies jedoch nicht so einfach, da höhere Geschwindigkeiten und andere Hardware anzutreffen sind. Jedoch bietet diese Schwachstelle innerhalb des Protokolls hervorragende Möglichkeiten, Man-in-the-Middle-Angriffe durchzuführen. Der Aufwand ist sehr hoch, aber das Ergebnis ist für den Angreifer verlockend. Es ist längst kein sicherheitstechnischer Geheimtipp mehr, SAN-Netzwerke vom eigentlichen Büronetzwerk zu trennen. Dies wird schon alleine aus Performancegründen in den meisten Fällen getan. Nur gibt es selbst hierfür verschiedenste Möglichkeiten, auch dieses Zoning als Angreifer zu überwinden. Um Man-in-the-Middle-Attacken effektiv zu verhindern, sollten daher alle verfügbaren Verschlüsselungsmethoden eingesetzt werden.

Schutz in virtuellen Umgebungen
Ein neuralgischer Punkt für den sicheren Betrieb virtueller IT-Infrastrukturen ist der Umgang mit nicht aktiven VMs – Images und Snapshots. Die Nutzung vorgefertigter Vorlagen für ganze IT-Systeme kann durch die damit verbundene Standardisierung und Automatisierung einen positiven Einfluss auf die IT-Sicherheit haben. Ein spontan erstellter Snapshot eines laufenden Systems inklusive Speicherinhalt kann erheblich zur Aufdeckung bestimmter Angriffe beitragen. Doch wie so oft gibt es auch hier Schattenseiten. Zum einen können die Abbilder sensible Informationen wie persönliche Daten oder Passwörter enthalten.

Das ist bei einem physischen System zwar auch so, doch lassen sich VMs wesentlich einfacher mitnehmen als ein Server oder eine Festplatte. Deshalb können Snapshots für einen potenziellen Angreifer besonders ergiebig sein, enthalten diese doch auch die RAM-Inhalte des laufenden Systems. Neben Daten, die nie auf eine Festplatte geschrieben werden, ist damit auch ein bestimmter Status des Systems eingefroren, in dem unter Umständen ein Anwender oder sogar ein Administrator für den Zugriff auf hochsensible Daten oder Systeme autorisiert wurde.

Für Unternehmen, die von der zusätzlichen Flexibilität der Cloud-Technologie profitieren wollen, stellt sich außerdem die Frage, welche Teile des Datenbestandes in die Cloud verlagert werden können. So ist die Klassifizierung nach Vertraulichkeitskriterien ist maßgeblich, denn es ist der Datensicherheit abträglich, streng vertrauliche Daten außerhalb der direkten Kontrolle durch das Unternehmen in der Cloud zu wissen.

Insider-Angriffe
Insiderdelikte durch die eigenen Mitarbeiter bedrohen heute Unternehmen jeder Größenordnung und haben nicht nur direkte finanzielle Schäden zur Folge, sondern zerstören auch das Vertrauen der Kunden und können irreparable Imageschäden hinterlassen. Mit herkömmlichen Verfahren zur Erkennung von Betrugsdelikten wie der Protokollierung von Anwendungen sind Unternehmen nicht in der Lage, mit dem Umfang und der Komplexität heutiger Bedrohungen fertig zu werden.

Doch moderne Technologien eröffnen neue Möglichkeiten, diesem Problem Herr zu werden. Sogenannte Enterprise-Fraud-Management-Lösungen ermöglichen die unternehmensweite Erkennung und Vermeidung von Betrugsdelikten, um Benutzeraktivitäten unter allen Anwendungen zu erfassen und zu analysieren. Sie führen zudem eine genaue und belegbare Überwachung der Anwendungen durch und erstellen daraus aussagekräftige Informationen als Grundlage für fundierte Entscheidungen.

Data Leakage Prevention
Wie oft in der IT gibt es für Data Leakage Prevention (auch als Data Loss Prevention bezeichnet) noch etliche andere Namen: CMF für Content Filtering & Monitoring ist einer, der allerdings nur einen Teilaspekt bezeichnet. Extrusion Prevention ist ein anderer Begriff, der sich allerdings nicht etablieren konnte. Und DAP (Data Auditing & Protection) tummelt sich auch in diesem Umfeld, ist allerdings eher als Gegenstück zu DLP zu sehen. DAP gibt im Wesentlichen Auskunft darüber, wie auf Daten zugegriffen wird.

Während Data Loss Prevention sich auf den Schutz an der – zunehmend unscharfen – Grenze zwischen dem Unternehmen und der Außenwelt bezieht, geht es bei DAP darum, was innerhalb des Unternehmens mit Informationen geschieht. Grundsätzlich überwachen DLP-Lösungen die Kommunikationsströme aus und in das Unternehmen sowie im Intranet und erkennen, ob vertrauliche Daten weitergegeben werden sollen. Auch lassen sich mit der passenden Software die Ports an den Arbeitsplatzrechnern kontrollieren und beispielsweise Richtlinien umsetzen, durch die vertrauliche Daten nur verschlüsselt auf externe Speichermedien kopiert werden dürfen. Eine Schwierigkeit in Zusammenhang mit DLP ist die Klassifizierung der Daten. So muss der DLP-Lösung bekannt sein, welche Daten vertraulich sind und welche nicht.

Mehr zu diesem Thema finden Sie in der Februar-Ausgabe des IT-Administrator.
7.02.2011/dr

Nachrichten

Automatisierter Rundumschutz [20.01.2020]

Check Point veröffentlicht mit "Fast Track Network Security" eine neue Sicherheits-Suite. Sie verspricht zuverlässigen Schutz, hohe Skalierbarkeit, umfangreiche Kontrolle und einfache Implementierung. Die Suite umfasst fünf neue Check-Point-Quantum-Security-Gateways für Zweigstellen und mittelständische Unternehmen, außerdem ein Gateway, das für Maestro-Hyperscale-Umgebungen großer Unternehmen und Rechenzentren entwickelt wurde. [mehr]

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen