Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at
Grundlagen einer Härtung der Firmen-IT
Autoren: Philipp Schaumann und Helmut Breitenfelder
Stand: 29.09.2005
Anlass für diese Checkliste sind Artikel in der Fachpresse mit dem Tenor: "Welche 5 (oder 10) einfachen Tricks helfen mir, meine Firma sicher zu machen". Dann kommen in der Regel 5 (oder 10) absolut korrekte Ratschläge. Aber ich denke mir dann, wo bleibt der Rest? Deswegen hier MEINE Checkliste, und es sind leider etwas mehr als 10 Themen geworden.
keine Admin-Rechte, keine Schreibrechte in Startup-Folder
Anti-virus und Anti-spy auf jedem Rechner, automatisch aktualisiert
kein Internetzugang ohne Proxy und ohne Content Scanning
Regeln für Benutzerrechte
zentrale Überwachung und Administration der Geräte
Geräte-Härtung (aufgesetzt von einheitlichem Clone, Services maximal eingeschränkt, aktueller Patch-Stand)
Kontrolle oder Sperrung der Ports und Schnittstellen der Rechner (auch USB, IR, WLAN, etc.
keine Autoplay von CDs
Kein Boot von CD, USB, Floppy
sichere Internet Browser-Einstellungen
Security Feature Set (Bestandteil der ATA-Spezifikation) für (Serial)ATA Festplatten setzen; bei Notebooks Festplattenpasswort setzen (BIOS Einstellung für (Serial)ATA Festplatten)
Wie gehen Daten in Unternehmen verloren? Quelle: Microsoft Security Intelligence Report 1H08
Notebooks, Laptops und andere mobile Geräte
(wie Benutzer-Workstations, und zusätzlich)
MUSS: Verschlüsselung Daten, am besten durch eine Festplattenverschlüsselung. Laptopdiebstahl ist auf Reisen kaum sicher zu verhindern. Ein Laptop in den Händen von Profis ist ohne Festplattenverschlüsselung schnell geknackt und exponiert oft interne Firmendaten und Passworte
MUSS: Personal Firewall. Jedes Gerät, das direkt im Internet aktiv ist, braucht eine Firewall
Startup-Schutz (BIOS-lock, power-on Schutz bei PDAs)
End-Point Security, d.h. Überprüfung des Systemzustands bevor ein Rechner von außen ins Netz darf (Patch, Viren)
Wenn möglich, Thin-Client Approach, d.h. der Rechner kommt nur auf ASP-Server, sonst VPN mit gegenseitiger Authentisierung und ohne „split traffic“
abgesichert durch eine Firewall, mit dokumentierten und nach dem 4-Augen-Prinzip überprüften Regeln - aber hier ist eine Warnung wichtig: ein Firewall ist hilfreich, aber er ist auf keinen Fall die vollständige Lösung, für die ihn auch viele IT-Profis halten. Ein Firewall hat Löcher, sonst könnte man ja gar nicht mit der Außenwelt kommunizieren, und durch diese Löcher kommen die meisten der Schädlinge sehr wohl noch durch, d.h. die anderen Sicherheitsmaßnahmen sind trotzdem notwendig.
Segmentierung des internen Netzes in unterschiedlich gefährdete Bereiche mittels VLAN-Technologie
Trennung IT-Entwickler Arbeitsplätze vom "Produktionsnetz"
Port-Security für Netzwerkanschlüsse im gesamten Gebäude
Content Scanning des Mailverkehrs, Entfernen gefährlicher Dateitypen
sichere Platzierung und Implementierung des Webservers, keine vertraulichen oder wichtigen Daten in der DMZ
Implementierung einer ausreichend sicheren Infrastruktur, beruhend auf den Business Continuity Überlegungen (s.o.)
USV mit geeigneter Überbrückungsdauer, die per Scripten die Rechner "runterfahren" kann
Klimaanlage, die ausfallssicher genug ist und bei Ausfall nötigenfalls geeignete Maßnahmen durchführt (runterfahren, weitermelden)
angemessene Überwachung aller Betriebszustände
Zutritt zu sensiblen Bereichen eingeschränkt und nach Bedarf überwacht
risikoreduzierte Platzierung von kritischen Ressourcen, d.h. die Rechnerräume gehören nicht in Bereiche mit Kundenverkehr
Weiterführende Informationen
Viel mehr Details zu all diesen Themen sind in den Büchern der Eisberg-Reihe". Ausführlichere Checklisten gibt es im Band 4 "Basissicherheit und das Eisbergprinzip", die speziell für KMUs (kleine und mittelständische Unternehmen), die selbst ihren Sicherheitsstandard hinterfragen wollen, sehr zu empfehlen ist.
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.