Netzwerksicherheit: Firewall und Antivirus reichen nicht mehr

Fachbeitrag

Angriffe gegen Unternehmensnetzwerke werden häufiger und dabei immer ausgeklügelter. Es bedarf einer stabilen Infrastruktur, um diesen neuartigen Herausforderungen zu begegnen. Da Firewalls und Antivirus-Programme nicht mehr genügen, stellen wir Ihnen weitere Sicherheitslösungen vor.

Fortschrittliche Sicherheitslösungen

Über den Einsatz fortschrittlicher Sicherheitslösungen können Unternehmen das eigene Netzwerk, ihre Mitarbeiter und ihre Kunden bestmöglich vor den immer komplexer werdenden Bedrohungen schützen. Neben bereits selbstverständlichen Maßnahmen, wie z. B. Implementierung von starken Passwörtern, regelmäßigen Mitarbeiterschulungen und Whitelisting müssen sich Unternehmen zukünftig über weiterführende Sicherheitsmaßnahmen Gedanken machen und diese an Ihre individuellen Bedürfnisse anpassen.

Beispiele für weiterführende Sicherheitsmaßnahmen:

  • Netzwerksegmentierung
    Bietet einen sogenannten Zellenschutz für Teilnetze je nach Schutzbedarf
  • Access Control Lists (ACL)
    Festlegen der Zugriffsrechte einzelner Benutzer und Systemprozesse auf bestimmte Objekte
  • Intrusion Detection Systemen (IDS)
    Erkennung von ungewöhnlichen Aktivitäten innerhalb des Netzwerkes, Alarmierung und Bereitstellen von Informationen über die erkannten Anomalien
  • Intrusion Prevention Systemen (IPS)
    Ebenfalls zur Anomalieerkennung, jedoch mit der zusätzlichen Möglichkeit Angriffe aktiv zu verhindern

Zellenschutz durch Netzwerksegmentierung

Netzwerksegmentierung bedeutet, dass ein Netzwerk gemäß der jeweiligen Funktion und des jeweiligen Schutzbedarfs in Teilbereiche aufgeteilt wird, so dass diese voneinander getrennt werden. Die Kommunikation zwischen den Netzwerksegmenten kann so überwacht und auch gefiltert werden.

Die Trennung kann z. B. durch physische Trennung, den Einsatz von Switches, VLANs, Routern und Firewalls geschehen. Auf diese Weise können insbesondere Bereiche mit hohem Schutzbedarf vom Rest des Unternehmensnetzwerkes abgetrennt und die Kommunikationsmöglichkeit auf das notwendige Maß reduziert und eine Angriffsfläche minimiert werden.

Zugriffskontrolle durch Access Control Lists

Mit einer Access Control List können Zugriffe auf Daten und Funktionen durch Betriebssysteme und Anwendungsprogramme eingegrenzt werden. Es kann festgelegt werden, in welchem Umfang auf bestimmte Dienste, Registry-Einträge, Dateien usw. durch Benutzer oder Systemprozesse zugegriffen werden darf.

Access Control Lists dienen der Verfeinerung der üblichen und weithin bekannten Zugriffsrechte.

IDS versus IPS

Viele Angriffe können heutzutage nicht durch Firewall-Systeme entdeckt werden. Daher werden diese durch den Einsatz von Intrusion Detection System (IDS) und Intrusion Prevention System (IPS) ergänzt. Beide Systeme überwachen den gesamten Netzwerkverkehr und versuchen, verdächtige Muster sog. Anomalien zu erkennen.

Das IDS zeichnet die Kommunikation für eine detaillierte Analyse auf und schlägt bei Anomalieerkennung Alarm. Das IPS hingegen kann aktiv eingreifen und beispielsweise den Netzwerkverkehr unterbrechen und so einen Angriff verhindern.

Dabei übernehmen beide Systeme die Aufgabe, die ein Antivirus-Programm auf Dateiebene übernimmt, auf Netzwerkebene. Antivirus-Programme untersuchen Dateien auf Inhalte, um Virensignaturen oder schadhafte Aktionen zu erkennen. IDS und IPS überwachen Inhalte des gesamten Netzwerkverkehrs, um Angriffe zu erkennen und abzuwehren bzw. zukünftig abzuwehren. IDS und IPS können so u. a. auch noch unbekannte Schadsoftware erkennen.

Reicht es aus, einen Angriff zu erkennen und später zu analysieren oder muss dieser bei Erkennung nach Möglichkeit sofort verhindert werden?

Einsatz eines hybriden Systems

Der Einsatz eines hybriden Systems ist empfehlenswert. Die detaillierte Analyse des Netzwerkverkehrs nach einem Angriff – sei dieser erfolgreich oder erfolglos verlaufen, sei einmal dahingestellt – ist von immenser Bedeutung.

Durch eine detaillierte IT-forensische Analyse des gesamten Netzwerkverkehrs besteht die Möglichkeit des Aufklärens eines Vorfalls.

Zudem können durch den Erkenntnisgewinn über Verhalten und Vorgehensweisen von Angreifern oder auch von Schadprogrammen zukünftig Angriffe effektiver und schneller erkannt und verhindert werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

4 Kommentare zu diesem Beitrag

  1. Hallo Herr Dr. Datenschutz,
    vor 10 Jahren hätte ich Ihnen zugestimmt. Doch die Welt hat sich weitergedreht. Zusätzlich zu den von Ihnen angesprochenen Punkten, sollte man sich heute Gedanken zur Advanced Threat Protection und zum Cloud Access machen das sollte spätestens jetzt passieren. Im Nachgang könnte man sich dann noch mit den Themen Data Leak Prevention und „Security and Incident Response“ Sytemen beschäftigen. Diese Liste ließe sich noch fortsetzen, aber das sind meiner Meinung nach die wichtigeren und aktuellen Tools überderen Einsatz man heute dringend nachdenken sollte,

    • Advanced Threat Protection hat drei wesentlichen Ziele:
      – Schnelles Erkennen potentieller Angriffe bevor es zum Systemeinbruch kommt (Detection)
      – Systemschutz bei Erkennen eines potentiellen Angriffs (Protection)
      – Analyse des Angriffes, Wiederherstellung des Normalzustands (Response)

      Dieser Schutz kann durch den Einsatz von hybriden Systemen erlangt werden. Zusätzlich gibt es auch hostbasierte IDS- und IPS-Systeme, so dass die Auffassung, IDS und IPS würden sich nur auf den Netzwerkverkehr beziehen, hinfällig ist.

      Die Absicherung von cloudbasierten Lösungen ist ein ganz anderes Thema. Hier verweisen auf bereits erschienene Artikel:
      Datenschutz und Datensicherheit beim Cloud Computing
      Wo sollte mein Cloud-Server stehen – und was sagt die DSGVO?

      „Nach dem Vorfall ist vor dem Vorfall“
      Ja, um Systeme so sicher wie möglich zu gestalten, bedarf es ganzheitlicher Lösungen nicht nur technischer, sondern auch konzeptioneller.

  2. Die meisten der angesprochenen Lösungen (auch die von Joern) sind doch eher kontraproduktiv. Mit den meisten Antivirus Lösungen z.B. holt man sich oft mehr Löcher auf die Systeme, als gut ist. Viel wichtiger, als dem x-ten Hersteller der y-ten Sicherheitslösung noch mehr Geld für seinen Müll in den Rachen zu werfen ist doch, dass man den Nutzern beibringt, wie sie sich zu verhalten haben. Alles andere führt nur zu weiteren Löchern und trügerischer Sicherheit.

    • Der Anwender ist ein großes Problem und es sollten in regelmäßigen Abständen Mitarbeiterschulungen durchgeführt werden. Es gibt jedoch durchaus Angriffe auf Unternehmensnetzwerke, die auf diese Weise nicht verhindert werden können, da sie z. B. nicht auf menschliche sondern maschinelle Schwachstellen abzielen.

      Antivirus-Lösungen sind nur dann sinnlos, wenn sie nicht regelmäßig aktualisiert werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.