:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anforderungen der IT-Sicherheit Grundlagen der Netzwerksicherheit
Zum Absichern von Unternehmensnetzen müssen Administratoren viele Entscheidungen treffen, Maßnahmen planen und noch mehr Konfigurationsschritte durchführen. Dazu gehören die Konfiguration der Firewall, die Absicherung des Mail- und Web-Verkehrs sowie die Auswahl der richtigen Antivirus-Lösung. Dieser Beitrag zeigt, welche Faktoren dabei zu beachten sind und welche Vorgehensweisen Sinn ergeben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In den nächsten Monaten werden wir an dieser Stelle im Rahmen einer Serie auf die Anforderungen eingehen, die die Administratoren bestimmter Branchen, wie Banken, Stadtwerke und ähnliche, berücksichtigen müssen, um ihre Netze abzusichern. Bevor wir aber diese branchenspezifischen Punkte hervorheben, müssen wir uns erst einmal mit den allgemeinen Anforderungen an die Netzwerksicherheit auseinandersetzen, die in jeder Umgebung bestehen.
Um moderne Unternehmensnetze abzusichern, haben Administratoren eine Vielzahl von Aufgaben zu erledigen, die in den letzten Jahren immer komplexer geworden sind. Fangen wir einmal mit den ganz grundlegenden Faktoren an, die es schon seit Jahren gibt. Der Erste davon ist eine professionelle, exakt an die Unternehmensanforderungen angepasste Firewall.
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546849/original.jpg "Moderne Firewalls wie in dieser Lancom-Appliance bringen Zusatzfunktionen, wie beispielsweise ein Intrusion Detection-System (IDS) mit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546852/original.jpg "Das Spamhaus-Projekt behält Spammer und Aktivitäten, die mir Spam in Verbindung stehen, im Auge.")
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546853/original.jpg "Der Windows Defender steht heute, was die Virenerkennungsraten angeht, anderen Antivirus-Produkten in nichts nach.")
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546850/original.jpg "In vielen Umgebungen müssen Administratoren externen Mitarbeiter und Außerstellen Remote-Zugriffe via VPN erlauben.")
In diesem Zusammenhang ist es wichtig zu wissen, dass eine Firewall allein bei weitem nicht ausreicht, um auch nur in einer Zweigniederlassung oder einer Außenstelle für ein ausreichendes Sicherheitsniveau zu sorgen. Dennoch spielen die Firewall und ihre Konfiguration nach wie vor eine zentrale Rolle im gesamten Sicherheitskonzept. Die Firewall übernimmt die Absicherung des Datenverkehrs zwischen LAN und WAN und sieht deswegen praktisch allen ein- und ausgehenden Verkehr. Darüber hinaus sind in den letzten Jahren auch immer mehr Zusatzfunktionen hinzugekommen, die weit über die ursprüngliche Aufgabe einer Paketfilter-Firewall hinausgehen. In diesem Zusammenhang seien nur VPN-Anbindungen von mobilen Benutzern und Außenstellen, Intrusion Protection-Funktionen (IPS) und URL-Filter sowie sämtliche Funktionen, die im Kontext mit dem Begriff "Next-Generation-Firewall" (NGFW) auftauchen genannt.
Die professionelle Konfiguration der Regeln einer Paketfilter-Firewall geht weit über das in vielen Home-Routern gesehene und oft auch als Default-Konfiguration professioneller Lösungen vorhandene Regel-Set "Erlaube allen Zugriff vom LAN auf das Internet" und "Verbiete allen Zugriff aus dem Internet ins LAN" hinaus. Zum Beispiel kann es in vielen Umgebungen, wie Außenstellen und Zweigniederlassungen, sinnvoll sein, Wartungszugriffe von außen über SSH oder ähnliches zu erlauben. Gleichzeitig ergibt es in der Regel auch Sinn, Zugriffe auf das Internet aus dem LAN über Protokolle, die üblicherweise nur in LANs zum Einsatz kommen, zu unterbinden. Beispielsweise ist es denkbar, dass Malware TFTP verwendet, um weiteren Schadcode aus dem Internet nachzuladen, was bei einer Blockierung der dazugehörigen Datenübertragungen folgenlos bleibt. Auch Protokolle zum lokalen Zugriff auf Shares, wie SMB/CIFS sollten auf keinen Fall durch eine Firewall gelassen werden, damit die auf solchen Shares gespeicherten Daten nicht von außen abrufbar sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1295500/1295547/original.jpg "Next-Generation Firewalls verbinden regelbasierte Firewalls mit Intrusion Prevention Systemen (IPS) und einer Applikations-Kontrolle. (sdecoret - stock.adobe.com)")
Was ist eine NGFW?
Grundlagen der Next Generation Firewall (NGFW)
Zugegeben, das Blockieren nicht benötigter Dienste auf Basis von Protokoll und Port spielt heut bei weitem nicht mehr so eine große Rolle wie zuvor, da sowieso ein Großteil der Datenübertragungen über Port 80 und Port 443 und HTTP sowie HTTPS abgewickelt wird, aber als Grundlage eines sicheren Netzes ist eine Firewall, die nur die absolut nötigen Dienste passieren lässt, nach wie vor eine gute Lösung.
Absicherung des Web-Verkehrs
Wie eben erwähnt, läuft heute im Regelfall ein Großteil der Datenübertragungen über die Internet-Protokolle HTTP und HTTPS ab. Diese Protokolle und die dazugehörigen Ports dürften wohl in praktisch allen Firewalls offenstehen. Da auf diese Weise die unterschiedlichsten Datenübertragungen stattfinden, beispielsweise Zugriffe auf Messenger, auf Cloud-Speicher oder auch auf Dienste wie Office 365, vom "normalen" Surfen im Web ganz zu schweigen, hat eine klassische Firewall, die die Datenströme nur nach Port und Protokoll klassifiziert, keine Chance zu erkennen, ob über die jeweilige Verbindung Schädlinge verteilt oder Daten geklaut werden.
Deswegen ist eine Next Generation Firewall unverzichtbar, die HTTP- und HTTPS-Transfers genau unter die Lupe nimmt. Solche Produkte untersuchen den Inhalt der Datenströme, filtern infizierte Daten aus, analysieren das Nutzerverhalten und entscheiden anhand vorgegebener Regeln, welche Übertragungen durchgelassen werden und welche nicht. Auch hier gilt wieder, dass die Administratoren die Policies möglichst restriktiv anlegen sollten, damit nur die Datentransfers erlaubt werden, die tatsächlich nötig sind. In vielen Fällen ergibt es auch Sinn, die ebengenannte Funktion mit einem Web-Filter zu verbinden, der den Zugriff auf potentiell gefährliche und auf infizierte Webseiten unterbindet. Damit sich bei der Konfiguration der Lösung nicht allzu viele Probleme ergeben, sollten die zuständigen Mitarbeiter zunächst einmal ihre Regeln in einem "Log Only"-Modus testen und genau überprüfen, was im Detail gesperrt und durchgelassen wird, bevor sie sie "scharf" schalten. Auf diese Weise lassen sich viele Anrufe erboster Nutzer in der IT-Abteilung verhindern.
:quality(80)/images.vogel.de/vogelonline/bdb/1356600/1356699/original.jpg "Eine der wichtigsten Komponenten eines Secure Web Gateway (SWG) ist der Web-Filter, obwohl dieser heute oft um weitere Sicherheitsfunktionen ergänzt wird. (Peterfactors - stock.adobe.com)")
Sicheres Internet im Unternehmen
Grundlagen der Secure Web Gateways
Mail-Sicherheit und Anti-Spam
Wenden wir uns nun der Absicherung des Mail-Verkehrs zu. In den meisten Unternehmensumgebungen gibt es entweder einen lokalen Mail-Server wie Exchange oder einen Cloud-Dienst, bei dem sich ein Provider um die Konfiguration und Absicherung der Mail-Infrastruktur kümmert. Da Mails eines der wichtigsten Verbreitungsmedien für Malware wie Ransomware, Trojaner und Viren darstellen, ist es sinnvoll, dem Aspekt der Mail-Sicherheit unabhängig von der jeweils verwendeten Architektur ein besonderes Augenmerk zukommen zu lassen.
Es gibt verschiedene Systeme zur Absicherung des Mail-Verkehrs. Dazu gehören Anti-Virus- und Anti-Spam-Programme auf dem Host, also dem Mail-Server selbst, die die übertragenen Daten während des Transfers untersuchen und Malware entfernen, beziehungsweise infizierte Nachrichten in eine Quarantäne verschieben. Solche Lösungen haben den Vorteil, dass sie an einer zentralen Stelle arbeiten und deswegen sowohl relativ einfach zu verwalten sind, als auch sämtlichen relevanten Traffic zu sehen bekommen.
Was die Anti-Spam-Produkte angeht, so ist darauf zu achten, dass sie dazu in der Lage sein müssen, Mails nicht nur nach der Ursprungsdomäne, sondern auch nach ihrem Inhalt (mit Analyse der Formulierungen und der Schlagworte) und die Absenderreputation unter die Lupe zu nehmen. Außerdem sollten sie für die Klassifizierung auch auf typische Anti-Spam-Listen wie die von Spamhaus.org zurückgreifen können. In vielen Fällen lassen sich mit leistungsfähigen Spam-Filtern auch Phishing-Mails bekämpfen.
Alternativ sind auch Client-Lösungen zur Mail-Sicherheit verfügbar, die oftmals in Anti-Virus-Programme integriert wurden. Diese übernehmen ebenfalls das Untersuchen und Absichern der ein- und ausgehenden Nachrichten, allerdings direkt auf dem jeweiligen Client. Da sie auf jeder Workstation im Netz arbeiten müssen, gestaltet sich ihre Verwaltung etwas aufwendiger als bei zentral arbeitenden Produkten. In der Regel steht für solche Lösungen aber eine zentrale Management-Konsole zur Verfügung. Ihr Einsatz ergibt vor allem in Umgebungen Sinn, in denen die Clients mit Mail-Servern kommunizieren müssen, auf deren Sicherheitsniveau die Unternehmens-IT keinen Einfluss hat, beispielsweise Google Mail oder ähnliche Dienste.
:quality(80)/images.vogel.de/vogelonline/bdb/1326800/1326865/original.jpg "Endpoint-Protection-Lösungen stellen einen wichtigen Schutzfaktor gegen Ransomware und andere gezielte Angriffe gegen die Systeme der Mitarbeiter dar. (bakhtiarzein - stock.adobe.com)")
Endgerätesicherheit
Grundlagen der Endpoint Security
Antivirus-Lösungen
Da wir jetzt schon bei den Endpoints im Netz angekommen sind, befassen wir uns auch gleich mit typischen, Client-basierten Sicherheitslösungen, nämlich Antivirus-Programmen. Gehörte es früher noch zu den Standardtipps eines jeden Sicherheitsexperten, dass auf jedem (Windows-) Client ein Antivirenprogramm installiert sein muss, so gehen die diesbezüglichen Meinungen heute auseinander. Dafür gibt es mehrere Gründe: Zum einen müssen Antivirus-Programme alle Dateien auf einem Rechner und im Idealfall auch sämtlichen Arbeitsspeicher des Geräts unter die Lupe nehmen können. Damit hebeln sie per se das Sicherheitskonzept des Betriebssystems aus und öffnen auf diese Weise Angriffsflächen, die ohne ein Anti-Virus-Programm gar nicht existieren würden. Verfügt beispielsweise ein Anti-Virus-Tool, das mit höchsten Rechten läuft, über eine Sicherheitslücke und kann ein Angreifer diese ausnutzen, um Zugriff auf das System zu erlangen, so hat er danach in den meisten Fällen automatisch auch die höchsten Rechte und dementsprechend in der Regel auch Gelegenheit, mit dem Rechner zu machen, was er will.
Zum anderen ist es so, dass der seit langem bei Windows mitgelieferte Windows Defender, also Microsofts eigenes Anti-Virus-Werkzeug, sich in den letzten Jahren deutlich verbessert hat. War es anfangs noch so, dass sich der Windows Defender bei Tests von Anti-Viren-Spezialisten nur schlecht schlug und mit verhältnismäßig schwachen Erkennungsraten auffiel, die nicht mir denen der anderen Produkte auf dem Markt mithalten konnten, so hat sich das deutlich verändert. Der Windows Defender erkennt heute genauso viele Viren wie andere Sicherheitslösungen auch.
Ist es folglich überhaupt noch sinnvoll, andere Antivirus-Lösungen einzusetzen? Die Gegner dieses Schrittes sagen, dass kein Unternehmen sich besser mit Windows auskennt als Microsoft und dass die Zahl der Mitarbeiter in Microsofts Sicherheitsabteilung größer ist als die Zahl der Mitarbeiter der meisten Anbieter von Anti-Virus-Software überhaupt. Deswegen sei das Know-How von Microsoft am besten und der Windows Defender allen anderen Produkten aus diesem Bereich vorzuziehen.
Die Vertreter der anderen Meinung sagen, dass der Windows Defender, auch wenn er inzwischen genauso leistungsfähig wie andere Lösungen ist, allein schon wegen der großen Zahl der Installationen zu einem Risiko wird. Viele Angreifer gestalten ihre Malware schließlich so, dass sie eine möglichst große Zahl von Rechnern infiziert und wenn sie davon ausgehen, dass auf den meisten Windows-Computern der Defender als Sicherheitslösung arbeitet, dann werden sie wenn möglich dafür sorgen, dass ihre Schädlinge den Windows Defender überwinden können. Der Einsatz eines anderen Antivirus-Programms würde in so einem Fall dabei helfen, die Infektion zu verhindern.
Ein weiteres Argument für den Einsatz von Drittanbieterlösungen sind Zusatzfunktionen, wie die zuvor genannte Client-basierte Mail-Sicherheit oder auch Anti-Spam-Funktionen. Werden diese im Unternehmen benötigt, so müssen die Administratoren auf ein Produkt ausweichen, das alle jeweils vorhandenen Anforderungen erfüllt. Unter dem Strich hängt das endgültige Vorgehen also von den Vorlieben der Entscheider und den Anforderungen der jeweiligen Umgebung ab.
Fazit
Um ein Netzwerk umfassend abzusichern, sind viele Entscheidungen zu treffen und viele Konfigurationsschritte durchzuführen. Dieser Artikel konnte nur einen kurzen Überblick über die wichtigsten Schritte geben. In den meisten Umgebungen werden noch weitere Aktionen erforderlich sein, wie beispielsweise das Einrichten sicherer Remote-Zugänge für mobile Mitarbeiter und Home-Offices über VPN-Verbindungen. In den nächsten Teilen der Reihe gehen wir genauer auf die Anforderungen ein, die bestimmte Branchen an die Netzwerksicherheit stellen.
(ID:45855770)
:quality(80)/p7i.vogel.de/wcms/6c/d0/6cd0298f8f3f4156363ecb37f9f837d3/0112491834.jpeg "Wir zeigen, wie sich mit der Windows Defender Firewall auf Windows-Servern Firewall-Regeln für die verschiedenen Netzwerkprofile mit der Windows-GUI oder der PowerShell erstellen und verwalten lassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")