IT-Sicherheit : Vorwort und Grundschutz
|
IT-Sicherheit : Vorwort und Grundschutz |
n1o6 bearb. am 01.10.2015 | copyright by | |
Die hier auf unseren Seiten gegebenen Informationen sollen in die Thematik der IT-Sicherheit einführen.
Unsere Worte richten sich also an Einsteiger in die Materie und nicht an die Fachleute oder Kollegen.
|
Der Grundschutz |
Das Bundesministerium für informationelle Sicherheit (BSI) verwendet den Begriff des Grundschutzes ziemlich treffend: wenn jedes Unternehmen diejenigen meist leicht und kostengünstig umzusetzenden Maßnahmen ergriffen hätte, welche wir hier und auf den nachfolgenden Seiten beschreiben, wären wir schon ein ganzes Stück weitergekommen im Bereich der IT-Sicherheit. Leider ist festzustellen, dass nicht selten viel zu nachlässig mit dem Thema umgegangen wird. |
|
|
|
||
|
Verschiedenheit der Bedürfnisse |
Das Bedürfnis an Sicherheit ist verschieden. Während eine Bäckerei wohl kaum Ziel gezielter Industriespionage werden wird, sicht das bei Forschungseinrichtungen, militärischen Einrichtungen und technischen Einrichtungen wie Wasserwerken, Kraftwerken und Energieversorgern ganz anders aus. |
|
|
Beginn der Gefährung |
Sie kaufen bei einem Händler fabrikneu einen USB-Stick, eine externe Festplatte oder im Serverbereich ein NAS-Gerät. Sie werden feststellen, dass diese Datenträger keinesfalls "nackt" bzw. völlig ohne Dateninhalt zu Ihnen kommen. Auf diesen Datenträgern -die vorzugsweise in Asien oder China gefertigt werden- befindet sich Software, welche Ihnen "Komfort" bieten soll ...und das reicht bis zur vollautomatischen Einbindung Ihres Firmennetzwerks in die koreanische Cloud des Herstellers. Rezepte für's Brötchenbacken sind beispielsweise bei chefkoch.de erhältlich und so dürfte so ein Vorgang etwa bei der Bäckerei weitgehend harmlos bzw. ohne gravierende Folgen bleiben. Amerikanische Brötchen sind bis heute nicht besser geworden, trotz der Bemühungen der NSA. Kein verantwortlicher Systemadministrator wird aber jemals einen solchen Datenträger mit dem internen Firmennetzwerk verbinden, ohne ihn zuvor auf einem völlig getrennt vom Netzwerk gehaltenen Rechner vollständig entleert bzw. formatiert zu haben. Ein einziger Kontakt mit dem Netzwerk genügt für ein gut gemachtes Trojaner-Programm, um in das Netzwerk überzugehen und dort auf Nimmerwiedersehen zu verschwinden, um ab diesem Zeitpunkt Informationen von innen nach außen zu liefern oder weiterer Schadsoftware durch geeignete Manipulationen Zugang zu verschaffen. An dieser Stelle ist als "gutes Beispiel" leider auch der sogenannte "Bundestrojaner" zu nennen, hinter dem kein Geringerer als die Bundesrepublik Deutschland als Auftraggeber steckt. Der als Detektor von Sicherheitslücken bekannte Caos Computerclub Hamburg hat sich intensiv um die Aufklärung bemüht. Dieser Trojaner ist wirklich schwer zu finden und noch schwerer zu eliminieren. |
|
|
Fortgeschrittene Gefährdungen
|
Was wir auf diesen Seiten nicht tun wollen, ist das Führen von Diskussionen über tieferliegende Fachthemen wie das Vorhandensein einer Sicherheitslücke, die genau dann besteht, wenn man zufällig das Betriebssystem X mit der Datenbank ORACLE Y betreibt und dabei auf der Arbeitsstation das JAVA-Applet Z installiert hat oder die Diskussion, unter welchem Protokoll der interne NAS-Server oder die iSCSI-FP angesprochen werden sollte unter dem Aspekt, dass im einen Fall das Passwort im internen Netz verschlüsselt und im anderen Fall unverschlüsselt verschickt wird. Wir wollen auch nicht die Sicherheit von ssh-Zugriffen gegen Kerberos und LanMan oder die Authentifizierung auf Netzwerkebene abgrenzen oder die Möglichkeit, interne Datenbanken über eine WEB-Applikation auszulesen. Dies alles sind Spezialthemen, die man nur dann vernünftig angehen kann, wenn man eine konkrete Situation untersucht. Ansonsten verläuft man wegen der Vielzahl beteiligter Komponenten zwangsläufig schnell im Nirwana der EDV-Möglichkeiten, was nicht zur Klarheit beiträgt, sondern Konfusion stiftet. |
|
|
|
||
|
Die IT-Sicherheit |
IT-Sicherheit besteht nicht nur aus Schutz gegen Viren. Trojaner und Co. oder gegen Industriespionage. es geht zunächst einmal um die Aufrechterhaltung der Funktion der EDV-Einrichtungen, zusammengefasst um den Begriff der Aufrechterhaltung der Verfügbarkeit unter allen erdenklichen Umständen. Das beginnt bei einer Zutrittsregelung für den Serverraum und unlösbaren bzw. festverdrahteten Anschlüssen bei der Stromversorgung der Server via USV statt der Verwendung von anfälligen Steckdosen, der notwendigen Kühlung im Sommer und einem Wartungsplan für Lüfter und Lüftergitter, dem Austausch von Festplatten und Netzteilen nach Zeitablauf usw. usw.. |
|
| Wir wollen Ihnen auf den dem Thema untergeordneten Seiten die funktionalen Bestandteile eines durchschnittlichen Netzes höheren Niveaus verständlich erklären und gehen dabei auf einer möglichst leichten Ebene auf die jeweiligen Gefährdungen ein. |
|
Unser Angebot: Netzwerk-Check |
Gerne führen wir einen Sicherheitscheck bei Ihnen durch. Dieser besteht aus zwei Teilen |
|
|
Grundschutz-Check |
Im Rahmen des Grundschutz-Checks stellen wir den Aufbau Ihres Netzwerks fest und besprechen mit Ihnen bzw. dem zuständigen Systemadministrator anhand unserer Checkliste die vorhandenen Schwachstellen oder Gefährdungspunkte. Einfluss auf den Umfang haben Ihre Sicherheitsbedürfnisse, worauf nicht zuletzt die Branche Ihres Unternehmens maßgeblichen Einfluss hat.f |
|
|
Maßgebliche Inhalte des Grundschutz-Checks sind auf den beiden Seiten über interne und externe IT-Sicherheit beschrieben. |
||
|
Erweiterte Prüfungen |
Ergibt sich beim Grundschutz-Check, dass spezifische kritische Gefährdungspotentiale vorhanden sind, etwa auf Netzwerkebene oder im Bereich eingesetzter Datenbanken, werden wir nach Absprache entsprechende Spezialisten hinzu ziehen. Dies kann bis zur Ausführung von verabredeten Probe-Angriffen gehen. |