IT-Sicherheit im internen Firmennetz

Domain-Verwaltung und Active Directory bei Microsoft-Netzen:

Der Domain-Controller

Das sogenannte "Interne Firmennetz" besteht in absoluter Mehrzahl aus Arbeitsplätzen und Servern, welche unter Betriebssystemen der Fa. Microsoft betrieben werden. Daher verwenden wir an dieser Stelle ein MS-Netz als Beispiel. Die getroffenen Feststellungen wären -falls möglich- auf andere Szenarien entsprechend zu übertragen.

Der Domain-Controller ist ein MS-Server, welchem alle Member-Server und Member-Arbeitsplätze der Domain bekannt sind. Auf diesem Server werden die Zugriffsreche der Server untereinander sowie die Zugriffsrechte der angemeldeten Benutzer verwaltet. Zu diesem Zweck definiert man auf dem Domain-Controller geeignet benannte Benutzergruppen mit den eigentlichen Benutzern als Gruppenmitglieder.

Zugriff auf Daten, die im Dateisystem angelegt sind, wird mittels Freigabe der betreffenden Ordner bzw. Ordnerstruktur gewährt. Diese Gewährung bezieht sich nicht auf den einzelnen Benutzer, sondern praktischerweise auf die besagten Benutzergruppen.

Zugriffsrechte etwa auf Datenbanken werden im Datenbank-Subsystem selbst geregelt. Dessen Verwaltung geschieht i.d.R. separat mit einem eigenen Verwaltungstool und dies hat mit der Domainverwaltung nicht notwendigerweise etwas zu tun.

=> Der Domain-Controller ist der wichtigste Server im gesamte Netz. Da er sämtliche Rechte verwaltet, ist Arbeit für niemanden möglich, wenn er aus irgendwelchen Gründen ausfällt. Daher ist er extrem zu schützen. Nur der Domain-Admin darf Zugang haben; der Server sollte nicht für weitere Zwecke verwendet werden. Zur Erhöhung der Verfügbarkeit dieses Servers sollte ein zweiter Server redundant zum Einsatz kommen, der die Funktion des Masters übernimmt, wenn dieser aus irgendeinem Grund doch ausfällt. Dieser zweite Server befindet sich idealerweise physikalisch an einem anderen Ort, so dass ein Verlust beider Server etwa im Brandfall nicht zu befürchten ist.

Grundsätzliche Gefahren für Arbeitsrechner und Server:

Die Aufgabe der Firewall ist es, verschiedene Netze erst einmal grundsätzlich voneinander zu trennen und nur in speziell konfigurierten Ausnahmen überhaupt einen definierten Datenverkehr zuzulassen. Zudem dürfen sie nicht durch "Fernwartung" seitens des Providers korrumpierbar sein.

Es muss sich dabei nicht um ein CISCO-Produkt zu 5.000 EUR handeln. So tut es etwa die als Freeware im Internet erhältliche Software-Firewall IPCop vollauf. Was letztlich -und zwar in beiden Fällen- Geld und Zeit kostet, ist die Planung des Netzwerks, also die Festlegung dessen, was man überhaupt will und die Umsetzung.

Hardware-Ausfall

Nach einem Hardware-Ausfall gilt es, das System möglichst schnell wieder ans Netz zu bekommen, falls keine Redundanz eingebaut wurde. Während Arbeitsplatz-Rechner, die nie datenhaltig sein sollten, in einem solchen Fall am Besten sofort durch einsatzbereit gehaltene Austauschgeräte ersetzt werden, bieten sich bei datenhaltigen Servern andere Möglichkeiten an:

RAID 10 + HotSpare: Dies ist eine Festplattenkonfiguration aus 2x 2 Festplatten, die als zwei unter sich gespiegelte Päckchen laufen. Erkennt der Festplatten-Controller, dass eine der vier Festplatten des Spiegelsatzes ausfällt, dann nimmt er selbstständig die ausgefallene Platte außer Betrieb und aktiviert die bereitgehaltene fünfte Festplatte ("Hot Spare"). Wichtig dabei ist die Signalisierung: der Administrator muss erkennen, dass dieser Zustand eingetreten ist und erfahren, welche der fünf Festplatten in diesem Verbund ersetzt werden muss. Eine Betriebsunterbrechung gibt es bei diesem Szenario nicht; die Verfügbarkeit des Servers zu jeder Zeit bleibt gewährleistet.

Fallen statt der Festplatten andere Systemkomponenten aus, etwa das Motherboard, die Netzwerkkarten oder dergleichen, hilft nur das Bereithalten von Ersatzteilen oder der Betrieb redundanter Maschinen, was aber neben dem laufenden Datenabgleich wegen unterschiedlichen Computernamen und IP-Adressen ein eher schwieriges Unterfangen ist. Besonders lästig ist der Ausfall eines Server-Netzteils: es kostet ca. 100 EUR (Normalausführung) und ist in 10 Minuten ersetzt, aber man sollte es im Hause haben.

An dieser Stelle ist aber zu betonen, dass sich das Ausschöpfen der vorhandenen Möglichkeiten auch wesentlich an der Firmengröße orientiert, die Gegenstand der Betrachtung sein soll. (Clustering etc.)

Virtualisierte Server haben das Problem eines Hardware-Ausfalls naturgemäß nicht. Dafür ist entsprechend Sorge zu tragen für die Hardware der Trägermaschine.

Befall mit Viren und Trojanern

Verschlüsselungssoftware und Datensicherung

Viren, Trojaner und Co. haben sich zu einer eigenen Industrie entwickelt, wobei die jeweilige Schadsoftware ganz unterschiedliche Zielsetzungen hat. Wenn die Organisation der äußeren Systemsicherheit stimmt (siehe "externe Systemsicherheit"), holt man sich so etwas von innen nach außen herein; etwa durch Surfen im Internet oder durch Empfang von Emails. Das Vertrackte daran ist, dass die jeweilige Aktion durch den Benutzer veranlasst und daher mit seinen Rechten ausgeführt wird. Mit diesen Rechten ist automatisch auch das Schadprogramm ausgestattet.

=> zu prüfen wäre also in jedem Fall, dass Benutzer an Arbeitsplätzen niemals mit lokalen Administrator-Rechten im Internet unterwegs sind.

Als besonders heimtückisch erweist sich in der letzten Zeit Verschlüsselungssoftware, welche Datendateien verschlüsselt und behauptet, sie nach Zahlung von Lösegeld wieder zu entschlüsseln. Gegen diese Art von Schaden hilft nur eine entsprechend stark gebaute Datensicherung, die jedoch so gebaut sein muss, dass die Schadsoftware auf gar keinen Fall auf die Datensicherung durchschlagen kann.

=> Dies ist i.d.R. dadurch zu erreichen, dass die Datensicherung von einem separaten Server vorgenommen wird, welcher im PULL-Verfahren auf die zu sichernden Ordner via Freigaben zugreift. Zudem muss es eine Datensicherung sein, die eine Historien-Verwaltung hat bzw. ältere Versionen der Dateien eine Zeitlang vorhält.

Server-Virtualisierung und Datensicherung

VMware

Trägersystem für virtuelle Instanzen

VEEAM Sicherungssoftware

in virtuellen Umgebungen

Sowohl für die Software-Entwicklung als auch für den Produktivbetrieb von Servern hat sich das Aufsetzen von Servern als nur virtuell vorhandene Instanz bewährt. Das US-Unternehmen VMware hat hierbei die ersten Schritte unternommen; Microsoft hat mit einem eigenen Produkt nachgezogen; weitere Mitbewerber sind nicht bekannt. Der wesentliche Unterschied besteht darin, dass VMware mit der Produktschiene vsphere, auch unter ESXi bekannt, mittlerweile ein eigenes, speziell für diesen Zweck geschaffenes Hostbetriebsystem entwickelt hat, welches direkt auf die Hardware aufsetzt, während das Microsoft-Produkt als Addon auf einem vollständig installierten MS-Server laufen muss.

Aus dem Blickwinkel der Sicherheit muss gesagt werden, dass die VMware-Lösung, bei der einmalig nur ca. 160 MB Core-Software installiert werden, ohne ständige Updates und damit Kontakt zum Internet auskommt: einmal installieren; das war's. Zudem können zusätzliche Bootmedien bereitgehalten werden: USB-Stick reinstecken, starten und alles ist wie vorher. Viren für diese Lösung sind nicht bekannt.

=> Wir wollen keine Firmenwerbung betreiben, aber VMware hat in Bezug auf die Sicherheit bzw. Angreifbarkeit eindeutig die bessere Lösung.

Neben anderen Vorteilen hat die Virtualisierung von Servern gerade in Bezug auf die Sicherung kompletter Server in ruhendem oder laufendem Zustand einen grandiosen Vorteil: man kann quasi unter die gesamte Instanz greifen, indem man alle zugehörigen Partitionen der zu sichernden Instanz wegschreibt. Dies ist bei hardware-basierten Servern nicht möglich.

Dazu kommt, dass diese Sicherungskopien sogar lauffähig sind: fällt das Original aus irgendwelchen Gründen aus, startet man die Sicherungskopie und aus dem Netz  betrachtet ist alles wie vorher: der Betrieb kann arbeiten und die IT hat Zeit, alles wieder aufzuräumen.

Bei der Aufgabe, zeitgesteuert bzw. automatisiert solche Komplettsicherungen zu erzeugen sowie auch nur einzelne Dateien aus dem Sicherungsimage auf das Original zurückzuspielen kommt in virtuellen Umgebungen die Software der deutschen Firma VEEAM ins Spiel.

=> Wieder wollen wir keine Firmenwerbung betreiben, aber VEEAM setzt derzeit mit seiner Lösung einfach den Standard. VEEAM ist u.a. der offizielle Partner von IBM für die Aufgabe, die IBM-Cloud zu sichern.

Der Benutzer als Gefahr

Fehler aus Nichtwissen

Böswilligkeit

=> Regeln

Der Spruch, dass der Fehler meistens zwischen der Tastatur und dem Bürostuhl zu finden ist, ist keine Erfindung. Hierbei ist aber zu unterscheiden zwischen Fehlern, die aus Versehen oder Unkenntnis geschehen und Fehlern, denen Böswilligkeit eines Benutzers zugrunde liegt.

Unabsichtliche Fehler bestehen i.d.R. im versehentlichen Löschen oder Überschreiben von Dateien. Dagegen helfen regelmäßige Mitarbeiterschulungen und eine Datensicherung, welche in kurzen Abständen Dateiversionen sichert und über einen Zeitraum von z.B. 90 Tagen bereithält.

Böswillige Benutzeraktionen laufen entweder  auf gezieltes Löschen ober Manipulieren von Daten oder auf Datendiebstahl hinaus. Grundsätzlich verhindern lassen sich Benutzerfehler nicht, solange der Benutzer Systemzugriff hat; das liegt in der Natur der Sache. Gegen Löschen und Manipulation hilft wiederum nur eine geeignet organisierte Datensicherung. Datendiebstahl jedoch setzt ein Transportmedium voraus, welches entweder ein USB-Stick, eine gebrannte CD, eine Email mit Anhängen oder ein Download-Zugriff von einem Fernarbeitsplatz sein kann.

=> Letztlich ist dieser Bereich im Unternehmen durch entsprechende Geschäftsregeln festzulegen, deren Ausführung überwacht werden muss. Neben der rein menschlichen Komponente spielt beim Festlegen dieser Regeln auch die Firmengröße eine ganz entscheidende Rolle. Man wird bei einem 500 Mitarbeiter-Unternehmen sicher andere Anforderungen für vernünftig erachten als bei einer 5 Mann-Familienbäckerei.

Stromversorgung in der Not

Die Qualität des gelieferten Stroms hat in Bezug vor allem auf Spannungsspitzen und -senken abgenommen. Die heutigen Netzteile hingegen können aufgrund des kaum noch vorhandenen Eisenkerns kein hinreichend stabiles Magnetfeld mehr aufbauen, welches in der Lage wäre, kurzzeitige Spannungspeaks nach oben oder unten zu kompensieren.

=> Vor diesem Hintergrund ist der Betrieb einer unterbrechungsfreien aktiven Stromversorgung, welche das Netzteil des Rechners bzw. Servers galvanisch vom externen Stromnetz trennt und das Netzteil mit beruhigtem Strom aus einer Pufferbatterie versorgt, zumindest für Server unabdingbar. Das Vorhandensein dieses Puffers schützt die angeschlossenen Geräte -zu denen nota bene auch die Netzwerk-Switsche und die Telefonanlage gehören sollten- vor kritischen Spannungsspitzen, welche die Geräte leicht zerstören können.

Eine gute Idee ist es, die Größe der Pufferbatterie so großzugig zu bemessen, dass sich kalkulatorisch eine Pufferzeit von ca. 1 h ergibt. Die Dauer der meisten Stromausfälle liegt heute im Bereich von wenigen Millisekunden (das reicht schon) bis zu ca. 30 Minuten, so dass man für das geordnete Herunterfahren der Server immer noch genügend Zeit bleibt, wenn man bei 30min die Grenze einstellt und in den allermeisten Fällen ist der Strom vorher wieder da; somit tritt keine Störung ein.

Wichtig ist aber, den Aufwand für die ordnungsgemäße Installation der USV auch vorzunehmen: die USV muss den Servern bzw. Rechnern mitteilen, ob bzw. wann sie herunterfahren sollen. Hier wird in der Praxis oft geschludert. Wenn die Installation jedoch durchgeführt wird, muss sie auch getestet werden und das geschieht durch einen mutig am Sicherungskasten erzeugten "echten" Stromausfall und nicht etwa -wie auch schon beobachtet- durch Ausschalten der USV.

In sehr sicherheitskritischen Zonen wie Krankenhäusern wird man zudem einen motorisch betriebenen Eigenstrom (Dieselaggregat oder Gasturbine) in Reserve haben. Die Installation von USV's ist dennoch unabdingbar, denn es dauert einen Moment, bis  das Reserveaggregat anspringt und ausreichend Strom liefert.