Die Anzahl der Admins in einem Unternehmen entspricht in der Regel der Anzahl der notwendigen Admins minus eins. Da bleiben wichtige Themen wie die IT-Sicherheit gerne aufder Strecke. In diesem Artikel fassen wir die wichtigsten Konzepte der IT-Security zusammen und geben – soweit möglich – Hilfestellungen, damit Sie die nötigen Maßnahmen mit moderatem Aufwand und bei begrenztem Budget umsetzen können.
In Deutschland wurden laut einer Bitkom-Umfrage im Jahr 2023 mehr als die Hälfte aller Unternehmen von Ransomware angegriffen [1]. Daher ist es wichtig, das Thema IT-Sicherheit ernst zu nehmen. Dieser Artikel richtet sich speziell an kleine IT-Teams und Einzelkämpfer, die nach Ansätzen zur Verbesserung der IT-Sicherheit in ihrem Unternehmen suchen. In einer perfekten Welt werden alle nachfolgend genannten Themenbereiche sorgfältig umgesetzt, in der Realität gilt es, zu priorisieren.
Um Sie bei dieser Priorisierung zu unterstützen, beleuchten wir verschiedene Themenbereiche und vermitteln Ihnen ein Gefühl für deren Wichtigkeit. Der Schwerpunkt liegt auf den Aspekten, die mit moderatem Aufwand den größten Sicherheitsgewinn bringen. Praktische Vorschläge für Werkzeuge werden vorgestellt, um die jeweiligen Konzepte zu unterstützen. Eine Checkliste als Übersicht rundet den Artikel ab.
Angreifer inventarisieren Ihr Netz
Zunächst einmal ist es wichtig, dass Sie Ihre aktiven Systeme kennen, denn nur so können Sie sie verwalten. Klassischerweise schlummert irgendwo eine Excel-Datei mit Einträgen von vor fünf Jahren. Es ist wichtig, alle über das Internet erreichbaren Systeme und deren Dienste zu kennen. Durch das regelmäßige Auftreten von Sicherheitslücken in allen möglichen Applikationen ist es notwendig, zeitnah reagieren zu können. Dienste im Internet wie etwa shodan [2] listen alle öffentlichen IP-Adressen mit ihren aktiven Diensten auf. Wird also beispielsweise eine Schwachstelle in einer Anwendung veröffentlicht, können Angreifer innerhalb von Sekunden alle öffentlich erreichbaren IP-Adressen mit dieser Anwendung in der entsprechenden Version identifizieren und angreifen.
In Deutschland wurden laut einer Bitkom-Umfrage im Jahr 2023 mehr als die Hälfte aller Unternehmen von Ransomware angegriffen [1]. Daher ist es wichtig, das Thema IT-Sicherheit ernst zu nehmen. Dieser Artikel richtet sich speziell an kleine IT-Teams und Einzelkämpfer, die nach Ansätzen zur Verbesserung der IT-Sicherheit in ihrem Unternehmen suchen. In einer perfekten Welt werden alle nachfolgend genannten Themenbereiche sorgfältig umgesetzt, in der Realität gilt es, zu priorisieren.
Um Sie bei dieser Priorisierung zu unterstützen, beleuchten wir verschiedene Themenbereiche und vermitteln Ihnen ein Gefühl für deren Wichtigkeit. Der Schwerpunkt liegt auf den Aspekten, die mit moderatem Aufwand den größten Sicherheitsgewinn bringen. Praktische Vorschläge für Werkzeuge werden vorgestellt, um die jeweiligen Konzepte zu unterstützen. Eine Checkliste als Übersicht rundet den Artikel ab.
Angreifer inventarisieren Ihr Netz
Zunächst einmal ist es wichtig, dass Sie Ihre aktiven Systeme kennen, denn nur so können Sie sie verwalten. Klassischerweise schlummert irgendwo eine Excel-Datei mit Einträgen von vor fünf Jahren. Es ist wichtig, alle über das Internet erreichbaren Systeme und deren Dienste zu kennen. Durch das regelmäßige Auftreten von Sicherheitslücken in allen möglichen Applikationen ist es notwendig, zeitnah reagieren zu können. Dienste im Internet wie etwa shodan [2] listen alle öffentlichen IP-Adressen mit ihren aktiven Diensten auf. Wird also beispielsweise eine Schwachstelle in einer Anwendung veröffentlicht, können Angreifer innerhalb von Sekunden alle öffentlich erreichbaren IP-Adressen mit dieser Anwendung in der entsprechenden Version identifizieren und angreifen.
Eine gute erste Anlaufstelle, um sich einen Überblick über die aktiven Systeme zu verschaffen, ist der DHCP-Server. Darüber hinaus können auch sogenannte Port-Scanner wie etwa nmap eingesetzt werden. Diese scannen Netzwerke und ermitteln aktive IP-Adressen mit ihren Diensten. Ein Nebeneffekt hierbei: Beim Erstellen und Pflegen dieser Liste fallen Ihnen sicher Systeme auf, die nicht mehr gebraucht werden – was uns zum nächsten Punkt führt.
Ausmisten und Aktualisieren
Nachdem Sie alle Systeme erfasst haben, sollten Sie evaluieren, welche hiervon Sie tatsächlich brauchen. Jedes System, das Sie betreiben, obwohl es nicht (mehr) benötigt wird, erhöht unnötig das Risiko einer Kompromittierung. Jedes abgeschaltete System reduziert zudem den Wartungsaufwand – eine Win-Win-Situation. Insbesondere Systeme und Dienste, die direkt aus dem Internet erreichbar sind, sollten Sie auf ein absolutes Minimum reduzieren.
Updates sind derweil entscheidend für die Sicherheit Ihrer Systeme, da bekannte Schwachstellen in veralteten Versionen fast aller Produkte vorhanden sind und sehr einfach ausgenutzt werden können. Manchmal gibt es sogar öffentlich verfügbare Exploits, mit denen ein Angreifer das Zielsystem nur unter Angabe der URL oder IP-Adresse übernehmen kann. Dies betrifft sowohl Windows-Clients und -Server als auch Domaincontroller, Firewalls und Hypervisor.
In klassischen Umgebungen empfiehlt es sich, ein festes IT-Wartungsfenster zu etablieren, beispielsweise jeden zweiten Freitagnachmittag. Dadurch wird das Einspielen und Testen von Updates erleichtert. Alternativ können Sie einen kontinuierlichen Wartungsansatz in Betracht ziehen, wie ihn DevOps-Praktiken bieten. Durch diese Methode lassen sich Updates regelmäßig und in kleinen Schritten aufspielen, ohne längere Ausfallzeiten zu verursachen. Dies gewährleistet eine schnellere und kontinuierliche Aktualisierung Ihrer Systeme, besonders in Umgebungen mit hohen Verfügbarkeitsanforderungen.
Die traditionelle Idee von festen Wartungsfenstern lässt sich somit flexibler gestalten, um den Anforderungen moderner IT-Landschaften gerecht zu werden. Öffentlich erreichbare Systeme und Anwendungen sollten Sie dabei innerhalb von 24 Stunden nach Bekanntwerden einer Schwachstelle aktualisieren können. Falls dies nicht möglich ist, sollten diese nicht öffentlich erreichbar sein.
Sicherer Umgang mit Passwörtern
Passwörter sind ein wichtiges wie leidiges Thema, da sie allgegenwärtig sind. Im Bereich des Webseiten-Logins etablieren sich gute Alternativen. Wenn Sie diese bereits umgesetzt haben, können Sie diesen Abschnitt überspringen. Schlechtes Passwortmanagement ist kritisch, da selbst gehärtete und gepatchte Systeme durch ein Default- oder schwaches Passwort gefährdet sind. Ein guter Passwortmanager bietet mehrere Vorteile:
- Generierung sicherer, einzigartiger Passwörter
- Zentrale Überprüfung auf Kompromittierung oder schwache Komplexität
- Einfache Verwaltung bei Mitarbeiterwechseln
- Sicheres Teilen von Passwörtern
- Sichere Speicherung von Passwörtern
- Bequeme Anwendung durch Hotkeys und Browser-Erweiterungen
Hierfür finden sich diverse kostengünstige, benutzerfreundliche Open-Source-Produkte. Diese lassen sich entweder in der Cloud oder auch lokal betreiben. In diesem Umfeld verbreitet sind beispielsweise Bitwarden [3], NordPass [4] oder 1Password [5].
Clients härten
In diesem Kontext sind Clients Endgeräte wie Laptops oder Computer der Mitarbeiter. Sie stellen oft den ersten Kontaktpunkt zur Außenwelt dar – sei es beim Surfen im Internet, Empfangen von E-Mails oder bei Laptops, die das Firmengelände verlassen. Daher ist es von höchster Wichtigkeit, Clients gezielt zu härten und zu überwachen, da ein Angreifer häufig über einen Client ins interne Netzwerk eindringt.
Um dies zu erreichen, empfiehlt es sich, bewährten Standards zu folgen. Ein Beispiel hierfür sind die von Microsoft bereitgestellten "Security Baselines". Dabei handelt es sich um eine Sammlung von empfohlenen Konfigurationen für Windows-Clients, -Server, den Browser Edge und die Microsoft-Office-Produkte. Diese Standards dienen dazu, Clients sicherer zu machen, und können als solide Grundlage für die Härtung dienen.
Begrenzte Zugriffe
Das Principle of Least Privilege (PoLP) besagt, den Zugriff auf Ressourcen, Funktionen oder Daten auf das unbedingt erforderliche Maß zu beschränken. Benutzer sollten nur die Rechte und Berechtigungen erhalten, die für ihre jeweiligen Aufgaben und Funktionen unerlässlich sind. Um die Sicherheit zu erhöhen und das Risiko von unbefugtem Zugriff oder Missbrauch zu minimieren, sollten Administratoren und Anwendungen nur die erforderlichen Rechte besitzen.
Eine genaue Analyse der Rollen, Aufgaben und Verantwortlichkeiten innerhalb einer Organisation ist erforderlich, um dieses Prinzip umzusetzen. Administratoren sollten nur die Berechtigungen haben, die für die Verwaltung der ihnen zugewiesenen Systeme notwendig sind. Um die Handhabung zu erleichtern, sollten Sie zunächst die kritischen Systeme und Daten identifizieren. Zudem empfiehlt es sich, in Gruppen zu arbeiten und Rollen und Rechte über Gruppenmitgliedschaften statt auf einzelner Benutzerebene zu verwalten.
Active Directory härten
Wenn Sie ein Active Directory verwenden, kann es ein beliebtes Ziel für Angreifer sein, da auch bei vollständig gepatchten Systemen viele schwerwiegende Schwachstellen vorhanden sein können. Die Vielfalt der Angriffsvektoren im Active Directory ist groß und hängt stark von der eingesetzten Konfiguration und gewachsenen Strukturen ab. Daher ist es sinnvoll, trotz der Umsetzung gängiger Best Practices auch Spezialisten hinzuzuziehen. Grundsätzlich gilt, um Schwachstellen zu minimieren und von zusätzlichen Sicherheitsfeatures zu profitieren, sollten sowohl die Windows-Betriebssysteme als auch das "Forest and Domain Functional Level" aktualisiert werden. Idealerweise bleiben die Systeme automatisch auf dem neuesten Stand.
Benutzer- und Administrationskonten sollten außerdem nur die für ihre Aufgabe erforderlichen Rechte besitzen. Domänen-Administratorkonten kommen häufig für alltägliche, profane Aufgaben auf Systemen zum Einsatz. In einer Windows-Umgebung verbleiben dabei standardmäßig Passwort-Hashes beim Anmelden auf einem System, die sich später auslesen und wiederverwenden lassen. Daher ist es essenziell, dass die Konten nur für ihren vorgesehenen Zweck berechtigt sind. Das betrifft sowohl normale Benutzerkonten als auch administrative Konten.
Es ist zudem wichtig, starke Passwörter zu verwenden, sowohl für Benutzer- als auch für Administratorkonten. Es ist beunruhigend, dass sich oft lokale Administratorkonten mit demselben Passwort auf mehreren Systemen finden. Wenn ein Angreifer ein einzelnes System kompromittiert, kann er das Passwort oder den Passwort-Hash auslesen und unter Umständen alle anderen Systeme ebenfalls kompromittieren. Zur einfachen und automatischen Verwaltung von lokalen Administrator-Konten empfiehlt sich LAPS [6].
Achten Sie zudem auf den Einsatz sicherer Protokolle. Alte Authentifizierungs-Protokolle wie NTLMv1, NetBIOS und LLMNR sind unsicher und sollten deaktiviert werden. Ein praktisches Tool zur Überprüfung der Sicherheit des Active Directory ist PingCastle [7] (Bild 2).
Proaktiver Endpoint-Schutz
Eine Endpoint Protection ist unerlässlich, da sie in Echtzeit einige häufige Angriffe erkennen und abwehren kann. Im Gegensatz zur traditionellen signaturbasierten Erkennung von Schadsoftware werden heute viele weitere Elemente einbezogen, wie zum Beispiel die Analyse jeder Anwendung in einer Sandbox auf verdächtiges Verhalten sowie die Überwachung des Netzwerkverkehrs. Dementsprechend sollten Sie ein Produkt nach dem Stand der Technik auswählen und dieses nicht nur an Clients, sondern auch auf Servern verteilen.
Alarme, die der Endgeräteschutz generiert, müssen ernst genommen und verfolgt werden. Proaktive Benachrichtigungen, beispielsweise per E-Mail, sind dabei zu bevorzugen. Je früher ein Angriff erkannt wird, desto besser sind die Chancen, ihn erfolgreich abzuwehren. Zusätzlich sollten Sie auch Fälle von bereinigter Schadsoftware untersuchen, da sie Teil einer größeren Angriffskampagne sein können.
Sinnvoll sind Produkte, die weitere Funktionen zur Verwaltung der Clients bieten. Es gibt Endpoint-Protection-Software, die beispielsweise Betriebssysteme und installierte Anwendungen aktuell halten kann.
Netzwerksegmentierung und Überwachung
Netzwerksegmentierung ist ein Schutzmechanismus, der je nach Größe und Art der IT unterschiedlich aussehen kann. Segmentieren Sie als absolutes Minimum die Office-Clients von den kritischen Systemen wie Servern oder Produktionsmaschinen dahingehend, dass nur die erforderlichen Dienste erreichbar sind. Die Segmentierung sollte bidirektional stattfinden, sodass auch Server nur eingeschränkt auf die Clients zugreifen können. Außerdem sollten Sie externe Systeme vom restlichen internen Netzwerk abtrennen.
Zur praktischen Überprüfung der Segmentierung können Sie das bereits erwähnte Programm nmap verwenden. Damit scannen Sie beispielsweise von einem Client aus das Servernetzwerk und ermitteln die erreichbaren Dienste.
Die Überwachung der IT-Umgebung ist wichtig, um frühzeitig auf Angriffe zu reagieren, Notfallpläne zu aktivieren und Angreifer zu verfolgen. Fortgeschrittene Überwachungsmethoden bieten ein umfassenderes Bild der Sicherheitslage als Antivirus-Programme. Ein SIEM-System kann dabei helfen. Die Implementierung und regelmäßige Überwachung sind jedoch kosten- und zeitaufwendig.
Als kostengünstige und wartungsarme Möglichkeit, Angriffe zu erkennen, bieten sich sogenannte Honey-Pots an. Diese Systeme oder Benutzerkonten geben sich als verwundbar aus und lösen einen Alarm aus, sobald ein Angriff erfolgt. Beispielsweise könnte ein Server namens "Backup" erstellt werden oder auch ein Active-Directory-Benutzer namens "backup" mit dem Passwort "backup". Wenn auf dieses System zugegriffen wird oder sich der Benutzer anmeldet, erfolgt ein Alarm. Honey-Pots sind jedoch nicht hilfreich bei der Nachverfolgung und Untersuchung von Angriffen.
Security-Checkliste
- Kennen Sie Ihre aktiven Systeme, insbesondere die öffentlich erreichbaren?
- Benötigen Sie alle Ihre Systeme?
- Halten Sie Ihre Systeme aktuell?
- Verwalten Sie Passwörter zentral und sicher?
- Härten Sie Clients?
- Nutzen Sie das Principle of Least Privilege?
- Härten Sie Ihr Active Directory?
- Setzen Sie eine Endpoint Protection ein?
- Trennen Sie Netzwerke?
- Überwachen Sie Ihre Umgebung?
- Wissen Sie, was im Notfall zu tun ist?
- Erzeugen und prüfen Sie Backups?
- Sind die Mitarbeiter Awareness geschult?
- Testen Sie Ihr Sicherheitslevel?
Notfallhandbuch und Backups
Um für den Ernstfall gerüstet zu sein, ist es unerlässlich, ein entsprechendes Notfallkonzept vorbereitet zu haben. Sie können den Aufwand für die Erstellung reduzieren, indem Sie sich an bewährten Konzepten orientieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine umfassende Dokumentenvorlage [8] an, die als ausgezeichnete Ausgangsbasis für Ihr individuelles Notfallhandbuch dient. Das Verwenden dieser Vorlage bietet eine strukturierte Grundlage und berücksichtigt bewährte Praktiken sowie Branchenstandards.
Es ist unerlässlich, Backups von kritischen Systemen regelmäßig zu erstellen und zu prüfen. Dies stellt Ihre Lebensversicherung dar, falls etwas schief geht. Wichtig ist dabei, dass Sie die Backupinfrastruktur separieren, sodass im Falle einer Kompromittierung der normalen Umgebung die Sicherungen noch zugänglich sind. Das 3-2-1-Konzept repräsentiert den allgemeinen Konsens in dieser Hinsicht. Dieses besagt im Wesentlichen, dass Sie:
- drei Kopien Ihrer Daten besitzen sollten (ein Original und zwei Backups),
- diese auf zwei unterschiedlichen Medientypen speichern sollten (beispielsweise lokale Festplatte und Cloud),
- eine Kopie an einem anderen physischen Ort aufbewahren sollten (etwa in einem externen Rechenzentrum oder Cloudspeicher).
Angesichts des aktuellen Stands der Technik empfiehlt es sich, zusätzliche Maßnahmen zu ergreifen, um die Integrität und Sicherheit Ihrer Backups zu gewährleisten. Eine fortschrittliche Methode ist die Verwendung von "Immutable Sto-rage" für Backups. Diese Technologie gewährleistet, dass einmal gespeicherte Daten, einschließlich Backups, vor jeglichen Änderungen geschützt sind. Selbst wenn Ihre Umgebung erfolgreich angegriffen wird und Daten manipuliert werden, bleiben Ihre Sicherungen unverändert und vertrauenswürdig.
Sicher in der Cloud
In Cloudumgebungen sind übrigens viele grundlegende Sicherheitsthemen bereits standardmäßig implementiert. Dazu gehören Aspekte wie Identitätsmanagement, Möglichkeiten zur starken Authentifizierung, Segmentierung und Sicherungen. Die Cloud kann somit von Natur aus eine robuste Sicherheitsinfrastruktur bieten. Sie sollten evaluieren, ob Sie bestimmte Betriebsteile in die Cloud verlagern können. Dann profitieren Sie nicht nur von den vorhandenen Sicherheitsvorteilen, sondern erweitern bei Bedarf auch vorhandene Funktionen einfach.
Lücken schließen
Mitarbeiter sind ein wesentliches Einfallstor für Angreifer. Es ist deshalb wichtig, sie durch Awareness-Schulungen für Cyberbedrohungen zu sensibilisieren und menschliche Fehler wie Phishing-Angriffe zu minimieren. Schulungsplattformen bieten hierfür eine einfache Möglichkeit. Die Teilnehmer erhalten Schulungsmaterialien und müssen in kleinen Prüfungen das Gelernte unter Beweis stellen. Außerdem können Dienstleister helfen, Mitarbeiter durch Vorträge oder Livedemos zu schulen.
Die Sicherheitsbewertung der eigenen Umgebung ist daneben entscheidend, um potenzielle Schwachstellen zu identifizieren und zu beheben. Automatisierte Schwachstellenscanner wie das kostenfreie OpenVAS [9] können dabei helfen. Diese Tools durchsuchen das Netzwerk, identifizieren Hosts und Dienste, erkennen einige Lücken sowie veraltete Betriebssystemversionen und bieten einen ersten Überblick über mögliche Angriffspunkte.
Um eine umfassendere Bewertung der Sicherheitslücken in Ihrem Unternehmen zu gewährleisten, empfiehlt es sich, auf das Fachwissen spezialisierter Dienstleister zurückzugreifen. Diese führen im Rahmen eines Penetrationstests eine Prüfung Ihrer gesamten IT-Umgebung durch. Dabei gehen die Tester wie echte Angreifer vor und überprüfen auch, ob die identifizierten Schwachstellen ausgenutzt werden können. Die Ergebnisse werden in einem ausführlichen Bericht zusammengefasst, der Schwachstellen priorisiert und Empfehlungen zur Verbesserung der Sicherheit gibt. Die Bewertung nach Kritikalität hilft Ihnen, sich auf die Schwachstellen zu konzentrieren, die das größte Sicherheitsrisiko darstellen.
Fazit
IT-Sicherheit erfordert ein breites Spektrum an Maßnahmen. Dieser Artikel gibt einen Überblick über die wichtigsten Aspekte. Aufgrund der Themenvielfalt kann es für kleinere IT-Teams sinnvoll sein, externe Dienstleister hinzuzuziehen, um bei der Priorisierung zu helfen.
(dr)
Christian Stehle ist Gründer und Geschäftsführer der MindBytes GmbH.