Angriffe gegen Unternehmensnetzwerke werden häufiger und dabei immer ausgeklügelter. Es bedarf einer stabilen Infrastruktur, um diesen neuartigen Herausforderungen zu begegnen. Da Firewalls und Antivirus-Programme nicht mehr genügen, stellen wir Ihnen weitere Sicherheitslösungen vor.
Der Inhalt im Überblick
Fortschrittliche Sicherheitslösungen
Über den Einsatz fortschrittlicher Sicherheitslösungen können Unternehmen das eigene Netzwerk, ihre Mitarbeiter und ihre Kunden bestmöglich vor den immer komplexer werdenden Bedrohungen schützen. Neben bereits selbstverständlichen Maßnahmen, wie z. B. Implementierung von starken Passwörtern, regelmäßigen Mitarbeiterschulungen und Whitelisting müssen sich Unternehmen zukünftig über weiterführende Sicherheitsmaßnahmen Gedanken machen und diese an Ihre individuellen Bedürfnisse anpassen.
Beispiele für weiterführende Sicherheitsmaßnahmen:
- Netzwerksegmentierung
Bietet einen sogenannten Zellenschutz für Teilnetze je nach Schutzbedarf - Access Control Lists (ACL)
Festlegen der Zugriffsrechte einzelner Benutzer und Systemprozesse auf bestimmte Objekte - Intrusion Detection Systemen (IDS)
Erkennung von ungewöhnlichen Aktivitäten innerhalb des Netzwerkes, Alarmierung und Bereitstellen von Informationen über die erkannten Anomalien - Intrusion Prevention Systemen (IPS)
Ebenfalls zur Anomalieerkennung, jedoch mit der zusätzlichen Möglichkeit Angriffe aktiv zu verhindern
Zellenschutz durch Netzwerksegmentierung
Netzwerksegmentierung bedeutet, dass ein Netzwerk gemäß der jeweiligen Funktion und des jeweiligen Schutzbedarfs in Teilbereiche aufgeteilt wird, so dass diese voneinander getrennt werden. Die Kommunikation zwischen den Netzwerksegmenten kann so überwacht und auch gefiltert werden.
Die Trennung kann z. B. durch physische Trennung, den Einsatz von Switches, VLANs, Routern und Firewalls geschehen. Auf diese Weise können insbesondere Bereiche mit hohem Schutzbedarf vom Rest des Unternehmensnetzwerkes abgetrennt und die Kommunikationsmöglichkeit auf das notwendige Maß reduziert und eine Angriffsfläche minimiert werden.
Zugriffskontrolle durch Access Control Lists
Mit einer Access Control List können Zugriffe auf Daten und Funktionen durch Betriebssysteme und Anwendungsprogramme eingegrenzt werden. Es kann festgelegt werden, in welchem Umfang auf bestimmte Dienste, Registry-Einträge, Dateien usw. durch Benutzer oder Systemprozesse zugegriffen werden darf.
Access Control Lists dienen der Verfeinerung der üblichen und weithin bekannten Zugriffsrechte.
IDS versus IPS
Viele Angriffe können heutzutage nicht durch Firewall-Systeme entdeckt werden. Daher werden diese durch den Einsatz von Intrusion Detection System (IDS) und Intrusion Prevention System (IPS) ergänzt. Beide Systeme überwachen den gesamten Netzwerkverkehr und versuchen, verdächtige Muster sog. Anomalien zu erkennen.
Das IDS zeichnet die Kommunikation für eine detaillierte Analyse auf und schlägt bei Anomalieerkennung Alarm. Das IPS hingegen kann aktiv eingreifen und beispielsweise den Netzwerkverkehr unterbrechen und so einen Angriff verhindern.
Dabei übernehmen beide Systeme die Aufgabe, die ein Antivirus-Programm auf Dateiebene übernimmt, auf Netzwerkebene. Antivirus-Programme untersuchen Dateien auf Inhalte, um Virensignaturen oder schadhafte Aktionen zu erkennen. IDS und IPS überwachen Inhalte des gesamten Netzwerkverkehrs, um Angriffe zu erkennen und abzuwehren bzw. zukünftig abzuwehren. IDS und IPS können so u. a. auch noch unbekannte Schadsoftware erkennen.
Reicht es aus, einen Angriff zu erkennen und später zu analysieren oder muss dieser bei Erkennung nach Möglichkeit sofort verhindert werden?
Einsatz eines hybriden Systems
Der Einsatz eines hybriden Systems ist empfehlenswert. Die detaillierte Analyse des Netzwerkverkehrs nach einem Angriff – sei dieser erfolgreich oder erfolglos verlaufen, sei einmal dahingestellt – ist von immenser Bedeutung.
Durch eine detaillierte IT-forensische Analyse des gesamten Netzwerkverkehrs besteht die Möglichkeit des Aufklärens eines Vorfalls.
Zudem können durch den Erkenntnisgewinn über Verhalten und Vorgehensweisen von Angreifern oder auch von Schadprogrammen zukünftig Angriffe effektiver und schneller erkannt und verhindert werden.
Hallo Herr Dr. Datenschutz,
vor 10 Jahren hätte ich Ihnen zugestimmt. Doch die Welt hat sich weitergedreht. Zusätzlich zu den von Ihnen angesprochenen Punkten, sollte man sich heute Gedanken zur Advanced Threat Protection und zum Cloud Access machen das sollte spätestens jetzt passieren. Im Nachgang könnte man sich dann noch mit den Themen Data Leak Prevention und „Security and Incident Response“ Sytemen beschäftigen. Diese Liste ließe sich noch fortsetzen, aber das sind meiner Meinung nach die wichtigeren und aktuellen Tools überderen Einsatz man heute dringend nachdenken sollte,
Advanced Threat Protection hat drei wesentlichen Ziele:
– Schnelles Erkennen potentieller Angriffe bevor es zum Systemeinbruch kommt (Detection)
– Systemschutz bei Erkennen eines potentiellen Angriffs (Protection)
– Analyse des Angriffes, Wiederherstellung des Normalzustands (Response)
Dieser Schutz kann durch den Einsatz von hybriden Systemen erlangt werden. Zusätzlich gibt es auch hostbasierte IDS- und IPS-Systeme, so dass die Auffassung, IDS und IPS würden sich nur auf den Netzwerkverkehr beziehen, hinfällig ist.
Die Absicherung von cloudbasierten Lösungen ist ein ganz anderes Thema. Hier verweisen auf bereits erschienene Artikel:
Datenschutz und Datensicherheit beim Cloud Computing
Wo sollte mein Cloud-Server stehen – und was sagt die DSGVO?
„Nach dem Vorfall ist vor dem Vorfall“
Ja, um Systeme so sicher wie möglich zu gestalten, bedarf es ganzheitlicher Lösungen nicht nur technischer, sondern auch konzeptioneller.
Die meisten der angesprochenen Lösungen (auch die von Joern) sind doch eher kontraproduktiv. Mit den meisten Antivirus Lösungen z.B. holt man sich oft mehr Löcher auf die Systeme, als gut ist. Viel wichtiger, als dem x-ten Hersteller der y-ten Sicherheitslösung noch mehr Geld für seinen Müll in den Rachen zu werfen ist doch, dass man den Nutzern beibringt, wie sie sich zu verhalten haben. Alles andere führt nur zu weiteren Löchern und trügerischer Sicherheit.
Der Anwender ist ein großes Problem und es sollten in regelmäßigen Abständen Mitarbeiterschulungen durchgeführt werden. Es gibt jedoch durchaus Angriffe auf Unternehmensnetzwerke, die auf diese Weise nicht verhindert werden können, da sie z. B. nicht auf menschliche sondern maschinelle Schwachstellen abzielen.
Antivirus-Lösungen sind nur dann sinnlos, wenn sie nicht regelmäßig aktualisiert werden.
Auch nach vier Jahren DSGVO würde mich interessieren, wo bei diesen ganzen Möglichkeiten der „Total“ Überwachung von Nutzern, Beschäftigte, SuS durch moderne NG Firewallsystemen mit Cloudauswertung und ggf. Drittlandtransfer oder Zero Trust Strategien der Datenschutz bleibt?
Seit SchremsII wird darauf geachtet, dass ja keine IP-Adresse über den großen Teich geht, aber die Cloud basierte IT-Sicherheit mit tiefen Eingriffen in pb-Daten soll kein Problem darstellen.
In der realen Arbeitswelt darf ich Nutzer nicht 24/7 verfolgen und deren Gespräche und Post anlasslos auswerten aber in der digitalen schon. Verstehe ich nicht.
Selbstverständlich gelten auch in der digitalen Arbeitswelt die gesetzlichen Vorschriften. Im Datenschutz besteht hier ein Spannungsfeld, da die DSGVO einerseits in Art. 32 DSGVO u.a. technische Maßnahmen fordert, um die im Unternehmen verarbeiteten personenbezogene Daten vor unbefugten Zugriff von Dritten zu schützen, andererseits aber auch die Daten der Mitarbeiter nach § 26 BDSG vor einem zu neugierigen Arbeitgeber zu schützen sind. In Ihrem Beispiel wären z.B. immer der Zweckbindungsgrundsatz zu beachten, dass die Daten nur zu Detektion von Angriffen ausgewertet werden, das 4-Augen-Prinzip bei einem Zugriff auf die Daten sowie die Einbindung des Datenschutzbeauftragten und des Betriebsrats sowie Schrems II bei der Auswahl der Software. Weitere Infos dazu finden Sie z.B. in den Beiträgen Das Recht im Fokus der digitalen Forensik oder Mitarbeiterüberwachung beschäftigt.