Ein Arbeitsplatz ohne Internetzugang ist eigentlich undenkbar. Das Internet ist als Informationsquelle, Recherchemedium und Kommunikationskanal so wichtig, dass kaum ein Unternehmen seinen Mitarbeitern den Zugang zum Internet allein aus Sicherheitsgründen verwehren kann. Welche zusätzliche Absicherung möglich ist, zeigen wir hier.
Der Inhalt im Überblick
Philosophien der Absicherung
Grundsätzlich lassen sich die Abwehrmaßnahmen in drei große Kategorien einteilen:
- Die Erkennung und Abwehr von Schadsoftware aufgrund von bekannten Mustern über Virenscanner und Signaturdateien,
- die Isolation von Internet-Zugriffen in einer virtuellen Maschine, und
- die komplette Trennung der Netze über die Nutzung eines Terminalservers.
Clientbasierter Virenscanner
Das interne Netz ist über einen Router mit dem Internet verbunden. Es gibt keine demilitarisierte Zone (DMZ) und keine dedizierte Firewall. Die Rechner des internen Netzes sind mit einem individuell installierten Virenscanner geschützt. Sollte ein Virenscanner ausfallen oder eine Infektion melden, muss der Administrator sich darauf verlassen, dass der Benutzer des Rechners dies selbst erkennt und ihn über den Befall mit Schadsoftware informiert.
Up- und Downloads sind nicht reglementiert.
Wenn ein Hacker einen Client erobert, stehen ihm alle Services des internen Netzes ohne weitere Absicherung komplett zur Verfügung.
Serverunterstützer Virenscanner, Erweiterte Endpoint Protection
Die Virenscanner auf den Clients werden von einem dedizierten Server überwacht. Sie erhalten die aktuellen Virensignaturen über eine zentrale Verteilung. Der Server überwacht die Versionsstände der Clients und sammelt Alarmmeldungen von den Clients ein. Weiterhin protokolliert der Server Ereignisse und meldet sich bei erkannten Angriffen. Dafür gibt es ein automatisiertes Benachrichtigungssystem, das den Administrator per Mail, SMS oder auf anderem Wege aktiv über den Vorfall informiert.
Diese Lösung kann man als reinen Virenscanner betreiben, oder mit erweiterter Endpoint Protection zu einem äußerst weit konfigurierbaren Warnsystem ausbauen. Eine verhaltensbasierte Erkennung von Schadsoftware kann dann Alarm schlagen oder einzelne Clients gegebenenfalls sogar automatisiert vom Netz trennen.
Mikrovirtualisierung
Es gibt weiterhin einen Virenscanner auf den Clients. Alle Webanwendungen laufen aber nicht mehr direkt im Browser des Betriebssystems, sondern in einer virtualisierten Umgebung. Sollte eine bösartige Website Schadcode enthalten, läuft auch der Schadcode nur in der virtualisierten Umgebung. Er kompromittiert daher nur die virtuelle Maschine (VM) und hat, abhängig von der Konfiguration und der Leistungsfähigkeit der Virtualisierungslösung, keinen Zugriff auf die Hardware oder auf die Daten des Hostsystems.
Wenn die maliziöse Website verlassen wird, beendet sich die kompromittierte VM. Der geladene Schadcode wird zusammen mit der beendeten VM aus dem System entfernt.
Up- und Downloads sind reglementiert und können über die Konfiguration der Virtualisierungslösung eingeschränkt und überwacht werden.
Isolation von Netzen mit hohem Schutzbedarf
Über das Produktionsnetz, in dem der Client standardmäßig arbeitet, gibt es überhaupt keinen Internet Zugang mehr, dieses Netz ist komplett vom Internet isoliert. Auf dem Client ist eine virtuelle Maschine installiert, die beim Start automatisiert einen VPN-Tunnel zu einem Server aufbaut, der in einer DMZ steht. Auf diesem Server sind sowohl das VPN-Gateway als auch ein Proxy installiert. Nur über diesen VPN-Proxy führt der Weg ins Internet.
Für Up- und Downloads muss die Konfiguration der auf dem Client eingerichteten VM so vorgenommen werden, dass die VM Zugriff auf bestimmte Dateien, Dateiformate oder Verzeichnisse erhält.
Terminalserver
Das interne Netz ist vollständig vom Internet getrennt. In einer DMZ wird für den Internet-Zugang ein Terminalserver betrieben. Die Clients melden sich per Remote Desktop Protocol (RDP) oder einem vergleichbaren Verfahren am Terminalserver an und nutzen dort die Internet-Anbindung des Terminalservers.
Up- und Downloads sind in dieser Umgebung zwar grundsätzlich über Netzlaufwerke möglich, ihre Nutzung widerspricht jedoch der an sich mit dieser Lösung vorgenommenen strikten Trennung von internem Netz und Internet.
Mikrovirtualisierung vs. „echte“ VM
Wer bisher eine relativ offene Umgebung mit grundsätzlich freiem Internet-Zugang betreibt, kann mit dem Einsatz einer MikroVM Umgebung einen deutlichen Sicherheitsgewinn erzielen, ohne dass sich an der Möglichkeit der Internet-Nutzung für den Anwender allzu viel ändert.
Aus einem Netz, das aktuell per konsequenter Netztrennung oder Terminalserver abgegrenzt ist, eröffnet die Virtualisierung zusammen mit einem per VPN angebundenen Gateway-Server einen stark abgesicherten Zugang zum Internet. Die strikte Trennung der Netze wird dabei weitgehend beibehalten.
Möglichkeiten für die Umsetzung und Konfiguration sowie eine Beurteilung der Performance der vorgestellten Lösungen besprechen wir in einem Folgeartikel.
„Es gibt keine demilitarisierte Zone (DMZ) und keine dedizierte Firewall. Die Rechner des internen Netzes sind mit einem individuell installierten Virenscanner geschützt.“
Ist das ernst gemeint? Nach den Erfahrungen mit Ransomware der letzten Jahre wissen wir doch alle, dass Virenscanner nur noch Geldverschwendung sind. Und dann ohne Firewall und DMZ? Das verstehe ich nicht …
Meinen Sie mit ‚Geldverschwendung‘ bei Virenscannern, dass diese Klasse von Software überflüssig ist? Nur, weil Ransomware aktuell in den Medien sehr präsent ist, sind andere Arten von Schadsoftware ja nicht aus der Welt, und auch gegen manche Arten von Ransomware kann ein Dateiscanner helfen. Einen verfügbaren Schutz würde ich daher auf keinen Fall aufgeben, nur weil eine andere Bedrohungsart im Moment mehr in Mode ist. Ob Sie allerdings Geld für einen Virenscanner ausgeben, oder eine kostenlose bzw. vom Softwarehersteller mitgelieferte Variante für Ihren Zweck ausreichend erscheint, dass unterliegt ihrer persönlichen, vom Einsatzzweck und der Umgebung des Systems geprägten individuellen Bewertung.