Ein Minimum an IT-Security Security-Best-Practices für Digitalisierungsprojekte

Die aktuelle Situation der Bedrohung durch Hacker-Angriffe gilt als „angespannt bis kritisch“. In manchen Bereichen herrsche schon „Alarmstufe Rot“. Jeder Netzwerk-Administrator kann seine Sicherheitslage verbessern, indem er sich auf grundlegende Bereiche konzentriert. Welche Security-Maßnahmen müssen jetzt wenigstens ergriffen werden?

Anbieter zum Thema

IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden.
IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden.
(© Gorodenkoff - stock.adobe.com)

Multi-Faktor-Authentifizierung (MFA)

Eine MFA ist im Grunde ein unverzichtbarer Schutz, bei dem jedes Unternehmen entscheiden muss, wie und wo er eingesetzt werden soll. Traditionell erfolgt eine Authentifizierung mit einem Benutzernamen und Passwort. Das ist leider heute keine sehr sichere Methode mehr. Benutzernamen sind oft leicht zu knacken. Manchmal ist es nur die jeweilige E-Mail-Adresse des Nutzers. Da sich die User Passwörter nur schwer merken können, neigen sie dazu, einfache Passwörter auszuwählen oder dasselbe Passwort für viele verschiedene Zugänge zu verwenden.

Aus diesem Grund bieten heute fast alle Online-Dienste wie beispielsweise Banken, soziale Medien, Online-Händler bis hin zu Microsoft 365 eine Möglichkeit, die User-Konten mit einer Multifaktor-Authentifizierung sicherer zu machen. Alle MFA funktionieren nach dem gleichen Prinzip: Wenn der User sich zum ersten Mal auf einem neuen Gerät oder einer neuen Anwendung (wie bzw. auf einem Webbrowser) anmeldet, benötigt er mehr als nur den Benutzernamen und das Passwort. Er braucht mindestens einen zweiten Faktor, um zu beweisen, wer er ist.

Patching und Priorisierung von Sicherheitslücken

Wiederholte Sicherheitslücken in Softwarepakten haben gezeigt, wie wichtig die Priorisierung von Updates in einem Netzwerk ist. Allzu oft werden Patches für Workstations vor Patches für das Netzwerk installiert, weil Probleme auf Workstations schneller behoben werden können als auf Servern. Daher sollte bei der Patch-Auswahl die Möglichkeiten zur Ausnutzung von Schwachstellen geprüft werden und die Priorität auf alle Techniken gelegt werden, die für die Öffentlichkeit zugänglich sind.

Der CVSS-Wert (Common Vulnerability Scoring System) hilft dabei, den Schweregrad der Schwachstellen zu verstehen. Wobei der Exploitability Subscore auf den Eigenschaften der verwundbaren Komponente basiert. Je höher diese Scores sind, desto weiter entfernt könnte ein Angreifer sein. Der Angriffsvektor (AV) ist höher, wenn der Angreifer ferngesteuert sein kann, und niedriger, wenn der Angreifer physisch anwesend sein muss. Diese Parameter müssen für die Installation von Sicherheitsupdates überprüft werden. Dafür muss der User entsprechend dem Risiko für das Netzwerk Prioritäten setzen.

Für diesen Zweck ist sicher zu stellen, dass die Updates nicht nur für die Betriebssysteme im Netzwerk überprüfen werden, sondern auch für alle Edge-Geräte bzw. Firewalls oder VPN-Geräte, die sich dazu korrumpieren lassen, um in das Netzwerk einzudringen. Fernen müssen alle öffentlich zugänglichen Anwendungen, die dem Unternehmen einem höheren Risiko ausgesetzt sind, durchgesehen werden. Nicht zuletzt empfiehlt sich eine Inspektion des Netzwerks nach potenziellen Software-Schwachstellen und Risiken, die auf Webanwendungen basieren.

Protokollerfassung und Überwachung

Der User sollte Ereignisprotokolle von wichtigen Servern und Workstations sammeln, von denen er glaubt, dass sie in gezielte Angriffe einbezogen werden könnten. Unabhängig davon, ob er Splunk oder die Sentinel-Produkte von Microsoft verwendet, ist es ratsam, das SYSMON-Modul von Sysinternals zu installieren. Es ist ein wichtiges Tool zur Überwachung von Protokollen auf Angriffe.

Firewall-Regeln auf dem neuesten Stand halten

Selbst im Zeitalter der Cloud darf der User seine Firewall nicht außer Acht lassen. Sie kann oft einen großen Teil der Arbeit übernehmen, indem sie Datenverkehr blockiert, der das Netzwerk nicht verlassen sollte. Idealerweise sollten nur für bekannten und erlaubten Datenverkehr Regeln des Datenexports aufgestellt werden. Damit der Anwender versteht, wohin der Datenverkehr tatsächlich geht und wie die Firewall-Regeln zu definieren sind, muss die Firewall für viele der Anwendungen im Audit-Modus betrieben werden.

Microsoft Office-Makros und Skripting-Kontrollen

Phishing ist eine der am weitesten verbreiteten Arten von Hacker-Angriffen. Damit Phishing erfolgreich sein kann, gibt es einen wichtigen Einstiegspunkt: Office-Makros. Der User kann sich vor diesem Einfallstor schützen, indem er die Verwendung von Office-Makros einschränkt oder blockiert. Denn die meisten Nutzer kommen für den täglichen Gebrauch auch mit einer abgespeckten Version von Word oder Excel recht gut zurecht.

Als Nächstes sollten die Optionen zur Kontrolle von PowerShell und anderen Skripttechniken geprüft werden. Dafür sind Richtlinien einzurichten, die es im Unternehmen nur signierten PowerShell-Skripten erlauben, ausgeführt zu werden. Außerdem ist es angezeigt, sie mindestens bis auf PowerShell 5.1 zu aktualisieren, um die Sicherheit und Protokollierung zu verbessern, und zu prüfen, ob PowerShell Version 2 deaktiviert werden kann. Alternative: Ein Upgrade auf PowerShell 7 oder 7.1. Darüber hinaus empfiehlt es sich die Remoteverwaltung über Windows PowerShell Remoting zu implementieren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Da Unternehmen von heute Daten in jeder Größenordnung und an jedem Standort auf Abruf benötigen, sollten sie von jeder Edge-Umgebung bis hin zu mehreren Clouds auf eine sichere Art und Weise zusammengeführt, verarbeitet und analysiert werden können. Daher muss der User prüfen, ob er als eine über die Minimum-IT-Security hinausgehende Maßnahme, in einen eingeschränkten Sprachmodus per Applocker oder Device Guard investieren möchte.

Die Protokollierung ist eine weitere wichtige Voraussetzung, nicht nur um zu verstehen, wie sich ein Hacker Zugang zu einem Netzwerk verschafft hat, sondern auch um forensische Informationen zu erhalten. Dazu muss der User die Protokollierung auf Skript-Block-Ebene aktivieren und die Weiterleitung der Protokolle an ein zentrales Protokoll-Repository einrichten. Dazu wird eine moderne Plattform benötigt.

Des Weiteren sollte der User prüfen, ob im Netzwerk noch ältere Server und Betriebssysteme laufen. Wenn ja, entfernen. Eine Windows-10-Version muss das Mindestmaß für ein Betriebssystem sein, zusammen mit der entsprechenden Server-Plattform. Rechte sollten nur an diejenigen User vergeben werden, die sie auch benötigen. Tipp: Privilegierten Zugriff durch die Verwendung von Local Administrator Password Solution (LAPS) etc. zur Minimierung der Privilegien sichern, einschließlich Just in Time (JIT) und Just Enough Administration (JEA).

(ID:47971405)