Checkliste für die IT-Security
13. November 2017Die IT-Beauftragen, Systembetreuer und Entscheider in den Unternehmen müssen Hand in Hand zusammenarbeiten, um die Sicherheit der Server, Clients und Netzwerkkomponenten sicherzustellen. Eine Einhundertprozentige Sicherheit lässt sich erfahrungsgemäß (selbst bei größtmöglichen Anstrengungen) nicht erreichen, allerdings kommen hochentwickelte und mehrstufige Sicherheitskonzepte dem „100-Prozent-Ideal“ sehr nahe. Dazu müssen allerdings einige Punkte beachtet werden.
Die Mitarbeiter und „normalen“ Benutzer in den Fachabteilungen sollten entsprechend geschult werden, um typische Social-Engeneering-Attacken zu erkennen. Telefonanrufe oder E-Mails von vermeintlichen Systembetreuern sollten jeden Benutzer stutzig werden lassen. Selbst bei detaillierter Kenntnis von internen Arbeitsprozessen sollten die Mitarbeiter unübliche Anfragen nach persönlichen Daten, Detailinformationen zu den Systemen und Benutzerkonten sowie E-Mail-Adressen von anderen Mitarbeitern oder Vorgesetzten sollten über einen anderen Kommunikationsweg auf Authentizität geprüft werden. Am besten geschieht dies persönlich. Das Antworten auf eine E-Mail (mit eventuell gefälschter Absende Adresse) zählt dabei ausdrücklich nicht als „sicherer“ Kommunikationskanal. Auch dürfen die Mitarbeiter nicht auf Links in den E-Mail-Nachrichten klicken oder Dateianhänge herunterladen oder öffnen.
Alle Systeme sollten sich immer auf den aktuellen Update-Stand befinden. Das betrifft sowohl das Betriebssystem als auch die Anwendungsprogramme.
Systeme, auf die vom Internet aus zugegriffen werden kann (etwa VPN-Server) sollten von den Administratoren mit besonderer Sorgfalt abgesichert werden. Daher sind mehrstufige Firewall-Systeme an dieser Stelle Pflicht, hier greifen die Systembetreuer am besten zu Hardware-Appliances. Zugriffe aus dem Internet sollten zudem auf bestimmte IP-Adressbereiche eingegrenzt werden, etwa auf die öffentliche IP einer Unternehmenszweigstelle.
Zudem muss sichergestellt werden, dass die Benutzeranmeldedaten mit starken und regelmäßig wechselnden Kennwörtern abgesichert sind.
Standard-Benutzernamen (und Kennwörter) müssen unter allem Umständen geändert werden, die typischen Benutzerkonten mit der Bezeichnung „Admin“ oder „Administrator“ sollten sicherheitshalber deaktiviert werden – sowohl bei den lokalen als auch bei den Active-Directory-Konten.
Anti-Virenschutzsoftware sollte auf allen Servern und Endgeräten installiert werden, und sich zu jedem Zeitpunkt auf den aktuellen Software-Stand befinden.
Nicht immer ist eine Server-Installation mit Benutzeroberfläche (GUI) die Beste Wahl. Falls möglich, sollten die Unternehmen auf Core-Installationen setzen, diese bieten eine deutlich geringere Angriffsfläche. Die Verwaltung können die Systembetreuer „bequem“ mit der Powershell (PS) angehen, dies wird oftmals mit PS-Remote-Sessions „erledigt“. Auch wichtig auf der server-Seite: Mit diesen Systeme dürfen keine „unwichtigen“ Aufgaben erledigt werden, die das System angreifbar machen könnten – sprich das Surfen im Web mit einem Serversystem ist keine gute Idee.
Falls möglich sollten ältere Server-Betriebssysteme auf die aktuelle Variante „Microsoft Server 2016“ gewechselt werden, besonders ältere Systeme (etwa ein Server 2008 R2) ver5fügen über (bekannte) Sicherheitslücken. Bei Server 2016 sind zudem noch Funktionen wie etwa „Device Guard“ oder „Credential Guard“ verfügbar, um die Systemsicherheit zu erhöhen, zudem ist schon direkt bei der Installation der aktuellen Server-Betriebssystemgeneration ein Virenschutz aktiv – der Windows Defender.
Auch auf den „normalen“ Clients sollten die Systembetreuer eine entsprechende Firewall vorschalten. Falls dies nicht als Hardware-Appliance verfügbar sein sollte (etwa aus Kostengründen), dann ist auch eine Softwarelösung denkbar. Bei den Firewall-Regeln müssen die Systembetreuer darauf achten, dass nach dem Whitelisting-Prinzip verfahren wird – alles ist verboten, bis auf im Vorfeld freigegebene Ports, die dringend benötigt werden.