Clients wirklich sicher machen?



  • ich hab da mal ne frage!
    ich administriere das netz eines kleinen betriebs und will dafür sorgen, dass aus dem internet nichts unschönes mehr in mein netz kommt. könnt ihr mir ein paar tipps geben, wie ich meine clients abdichten kann, damit sie vor den gefahren aus dem netz wirklich sicher sind? worauf muss man besonders achten, was sind die wichtigsten schritte, was schafft die meiste sicherheit für das wenigste geld etc.

    danke schonmal

    radaduz



  • @Radaduz:

    könnt ihr mir ein paar tipps geben, wie ich meine clients abdichten kann, damit sie vor den gefahren aus dem netz wirklich sicher sind? worauf muss man besonders achten, was sind die wichtigsten schritte, was schafft die meiste sicherheit für das wenigste geld etc.

    Wenn wir die Sicherheit der Clients mal auf die reinen Gefahren aus dem Internet beschränken, dann läßt sich das recht einfach bewerkstelligen.

    Die Verbindung von innen nach außen und umgekehrt wird bei stationären Clients ja durch die Firmen-Firewall am Gateway laufen, die die allermeisten Probleme liquidieren sollte, ehe sie entstehen. Zudem ist ein Content-Filter eine sehr gute Idee. Wenn Mitarbeiter bestimmte Sites gar nicht erst ansurfen dürfen, ist auch die Gefahr sehr viel niedriger, dass sie sich etwas einfangen.

    Ergänzt man diese Sicherheit am Gateway noch durch den obligatorischen Viren- und Spyware-Schutz auf dem Client und um Desktop Firewalls bei mobilen Clients, dann ist man schon einen großen Schritt in Richtung Schutz vor Bedrohungen aus dem Internet gegangen.

    Auch der Einsatz des Firefox Browsers kann noch immer als förderlich für die Systemsicherheit gelten, was aber vor allem an der fehlenden ActiveX-Ünterstützung liegt.

    Zudem ist natürlich wichtig, dass Mitarbeiter ohnehin niemals administrative Rechte auf ihren Computern haben. Wenn in ihrem Sicherheitskontext Software-Installationen nicht möglich sind, dann hat auch im schlimmsten Fall ein Webschädling schlechte Karten. Ein sicheres Berechtigungskonzept ist noch immer eine der stärksten Waffen gegen alle Arten von Bedrohungen.

    Das sind jetzt alles Sicherheitstipps die sich mit vergleichsweise geringem finanziellen Aufwand umsetzen lassen, wenn im Unternehmen vorrangig mobile Clients (Laptops) eingesetzt werden gestaltet sich die Absicherung etwas schwieriger.

    Ich hoffe ich konnte Ihnen weiterhelfen.

    Viele Grüße,



  • Hallo,

    ich habe zu dem Thema auch noch eine grundsätzliche Frage:

    Gibt es eine Möglichkeit, in einem Netzwerk (ohne Laptops) die Verbindung zum Internet ausschließlich für E-Mail zu nutzen und das Surfen vollständig zu unterbinden?

    Kann man den E-Mail-Abruf dabei über eine Art "Schleuse" laufen lassen, so dass nie eine direkte Verbindung zwischen Internet und Clients besteht?

    Vielen Dank für jeden Hinweis!



  • Gibt es eine Möglichkeit, in einem Netzwerk (ohne Laptops) die Verbindung zum Internet ausschließlich für E-Mail zu nutzen und das Surfen vollständig zu unterbinden?

    Möglichkeiten gibt es derer sogar mehrere. Allerdings sollten Sie sich zunächst mehrere Fragen stellen:

    Ist die private Internetnutzung bislang erlaubt bzw. nicht explizit untersagt?

    In diesem Fall müssen Sie in Zusammenarbeit mit dem Betriebsrat/Arbeitnehmer-Vertretern eine Betriebsvereinbarung ausarbeiten bzw. aushandeln. Anschließend müssen Sie jeden Mitarbeiter schriftlich darüber in Kenntnis setzen und seine Zustimmung einfordern - entweder per qualifizierter e-Signatur oder richtiger Unterschrift.

    Dieser gesamte Prozess kann ziemlich arbeits- und kostenintensiv werden, insbesondere wenn Anwälte eingeschaltet werden.

    Wollen Sie die Internet-Nutzung tatsächlich komplett unterbinden?

    Denken Sie daran, dass Sie Ihren Mitarbeitern eine wichtige Grundlage zur Informationsbeschaffung, persönlichen Fortbildung und Kontaktpflege nehmen.

    Deshalb sollten Sie in Erwägung ziehen, die Internetnutzung via Betriebsvorgabe (Policy) zu regeln. Damit zeigen Sie, dass Sie Ihren Mitarbeitern grundsätzlich vertrauen - was sich positiv aufs Betriebsklima auswirken kann.

    Unter Beachtung der rechtlichen Voraussetzungen dürfen Sie die Internetnutzung mithilfe von Logs und Monitoring-Lösungen kontrollieren. Darüber müssen Sie die Mitarbeiter dann ebenfalls informieren, was aber seine Vorteile hat: Zum einen stehen Sie im Zweifelsfall nicht als "Big Brother" da, zum anderen sind die Mitarbeiter von Haus aus vorsichtiger, ob Sie eBay oder andere Seiten aufrufen.

    Sollten Sie diesen Weg gehen, dann bieten Sie auch Mitarbeiter-Schulungen für das richtige Verhalten im Internet an und machen Sie deutlich, dass ein Verstoß gegen die Vereinbarungen erhebliche Konsequenzen nach sich ziehen kann.

    Nun zu den technischen Möglichkeiten zur Reglementierung:

    Sollten Sie nun zu dem Schluss gekommen sein, dass Sie eigentlich nur bestimmte Webseiten sperren wollen, empfiehlt sich eine Web-Filtering-Lösung.

    Diese arbeiten zum einen mit so genannten Blacklists (Schwarzen Listen) externer Dienstleister, so dass beispielsweise pornographische Inhalte gar nicht erst zugänglich sind. Damit kommen SIe gleichzeitig Ihrer Aufsichtspflicht gegenüber minderjährigen Aushilfen/Praktikanten nach. Außerdem erlauben viele solcher Lösungen auch das manuelle Sperren von Webseiten sowie das Anlegen einer Whitelist für grundsätzlich vertrauenswürdige URLs.

    Kann man den E-Mail-Abruf dabei über eine Art "Schleuse" laufen lassen, so dass nie eine direkte Verbindung zwischen Internet und Clients besteht?

    Client-seitig können Sie die Internetnutzung mithilfe von Port-Kontrolle und -Sperrung reglementieren. Die Mail-Nutzung sollte dann über einen speziellen E-Mail-Server realisiert werden.

    Wie im Posting meines Chefredakteurs erwähnt, sollten Sie zudem dafür sorgen, dass Mitarbeiter keine eigenen Programme installieren dürfen. Anschließend können Sie sämtliche mit dem Internet kommunizierenden Programme - also auch Browser - mithilfe von Firewall-Regelsätzen sperren.

    Mir fallen noch weitere Lösungen ein, dieses sind jetzt die gangbarsten. Sorgen Sie wie gesagt dafür, dass Ihre Mitarbeiter tatsächlich über Ihre Maßnahmen Bescheid wissen und nicht plötzlich vor "verschlossenen Internet-Pforten" stehen. Denn dies kann neben rechtlichen Konsequenzen auch unnötige Support-Calls etc. nach sich führen - und natürlich zu ungewollter Frustration in der Belegschaft.

    In diesem Sinne wünsche ich Ihnen gutes Gelingen, ein schönes Wochenende und besinnliche Feiertage.

    Stephan Augsten

    Redakteur SearchSecurity.de



  • Vielen Dank für Ihre prompte Antwort.

    Bzgl. der von Ihnen gestellten Fragen ist es tatsächlich so, dass der Zugang zum Internet mit Ausnahme der E-Mail-Funktion besperrt sein soll.

    Aktuell gibt es über das Firmennetzwerk keinen Zugriff (auch nicht per E-Mail) auf das Internet, sondern dies läuft alles über zusätzliche Einzelrechner. Insofern sollen der Zugriff im Hinblick auf E-Mail "sogar" verbessert werden.

    Das Internet als Informationsbasis soll weiterhin über getrennte Rechner laufen, da wir aus organisatorischen und Sicherheits-Gründen möglichst keine direkte Verbindung zwischen dem Intranet und dem Internet wünschen.

    Lediglich für die E-Mail soll es eine Vereinfachung geben - jedoch auf keinen Fall zu Lasten der Sicherheit in Bezug auf Viren/Trojaner/… geben.

    Können Sie zu dieser hoffentlich konkreteren Angaben noch konkretere Tipps geben?

    Nochmals vielen Dank!



  • Hallo,

    ohne Internetverbindung lässt sich ein E-Mail-Dienst natürlich nicht realisieren, wie Sie in Ihrem ersten Beitrag richtig erkannt haben.

    Am sichersten ist es wohl, wenn Sie einen E-Mail-Server einrichten, der mit dem Internet kommuniziert und die E-Mails an die Client-Rechner bzw. die entsprechende Mail-Anwendung (bspw. Outlook) verteilt.

    Alle anderen Web-Zugriffe müssen mithilfe einer Gateway-Firewall unterbunden werden. Diese wird hinter dem Internet-Gateway installiert und kontrolliert somit an den Datenverkehr direkt an der kritischen Stelle. In der Firewall dürfen Sie dann nur das gegebene Mail-Protokoll (POP, SMTP, …) und die entsprechenden Ports freigeben.

    In Sachen Gateway-Sicherheit fallen mir verschiedenste Anbieter ein, die über großes Know-how insbesondere im Segment der kleinen und mittleren Unternehmen verfügen. Spontan kommen mir da Funkwerk oder auch Astaro in den Sinn. Letzterer Anbieter hat sogar ein spezielles Mail-Gateway im Produktportfolio.

    Stephan Augsten
    Redakteur SearchSecurity.de


Log in to reply