Rechtliche Aspekte und Angriffsabwehr: Herausforderungen der Standortvernetzung

Im Interview mit NT4ADMINS gibt Gert Hansen, Chief Technology Officer bei Ocedo, Antwort zu speziellen Fragestellungen im Bereich der Standortvernetzung. Dazu zählen beispielsweise die Themen Angriffsabwehr, Einbindung von Cloud-Anwendungen und die Anbindung an eine zentrale Rechteverwaltung. Welche Methoden zeichnen sich dabei durch Effizienz und Benutzerfreundlichkeit aus, und sind zudem mit den rechtlichen Aspekten der Datensicherheit vereinbar?

NT4ADMINS: Welche Möglichkeiten stehen zur Verfügung, um Angriffe (etwa DDoS) auf das Netzwerk abzuwehren?

Hier gilt es zu differenzieren. Zum einen handelt es sich bei den Angriffen von außen über ganz „normal“ auftretende Portscans und Virenangriffe. Zum anderen können mit DDoS (Distributed Denial of Service) gezielt Angriffe auf Unternehmen, Netzwerke und Webseiten gefahren werden. Daher müssen alle Systeme, die direkt mit dem Internet verbunden sind, entsprechend abgesichert werden. Egal ob es sich dabei um einen PC mit Windows-Betriebssystem, einen Router oder eine Firewall handelt. Es empfiehlt sich daher die Geräte so zu schalten, dass erst einmal keine Zugriffe von außen auf das Netzwerk möglich sind. Inzwischen ist dies etwas einfacher zu realisieren, schließlich bieten die wenigsten Formen noch Dienste aus dem internen Netzwerk im Internet an. Beispielsweise wird die Unternehmenswebseite meistens von einem externen, darauf spezialisierten  Dienstleister gehostet.

DDoS-Angriffe sind relativ schwierig aus Kundenseite zu negieren. Denn die Angriffe werden meist auf die Infrastruktur des Opfers angepasst. Beispielsweise könnten Angreifer versuchen, mit massenhaften Anfragen einen Apache-Websever in die Knie zu zwingen, oder es werden sehr viele kleine Datenpakte gesendet, um eine Firewall komplett auszulasten. Zusätzlich könnte auch versucht werden die gesamte Bandbreite der Unternehmensleitungen mit Datenpaketen zu überschwemmen.

Aktuelle Firewall-Produkte haben daher meinst schon Funktionen implementiert, um einen gewissen Basisschutz gegen DDoS zu bieten. Dabei wird etwa per Regel festgelegt, dass bestimmte Grenzwerte (etwa wie viele Verbindungen pro Sekunde per IP-Adresse zugelassen werden) einstellbar sind. Doch falls die Anfragen von einer Vielzahl von Servern (etwa einigen tausend gekaperten Servern eines Bot-Netzwerks) ausgehen, können solche statischen Regeln keinen Schutz bieten. Allerdings können die Unternehmen ihren Internet-Serviceprovider kontaktieren, und diesen um Hilfe bitten. Schließlich ist es machbar, bereits beim Provider eine Vielzahl an (DDoS-) Datenpaketen auszufiltern.

Zudem ist es möglich, ganze IP-Blöcke zu sperren. Also wenn das Unternehmen eher lokal oder regional vertreten ist, und nicht mit anderen Ländern oder Kontinenten zu tun hat. Dann könnte man beispielswiese IP-Adressbereiche die an Asien oder Russland vergeben wurden, komplett ausblenden.

Alternativ können die Unternehmen auf „IP Reputation Services“ setzen. Dabei handelt es sich um Dienstleister, die den Netzwerkverkehr auswerten, und die IP-Adressen, die bereits in der Vergangenheit negativ „aufgefallen“ sind (beispielsweise wegen Spam-Mails, Portscans), identifizieren. Diese Informationen geben diese Dienstleister dann an die Unternehmen weiter. Dadurch können bestimmte IP-Adressen von vornherein von der Kommunikation ausgeschlossen werden, deren Datenpakete werden einfach verworfen. Hier kommt es darauf an, ob die Internetleitung des Unternehmens mit dem Datenaufkommen noch zurechtkommt. Wenn ja, dann kann die interne Firewall diese Pakete verwerfen. Ist dagegen die Leitung mit diesen Anfragen bereits komplett ausgelastet, so müsste diese Filterung wie bereits angesprochen vom Internetprovider vorgenommen werden.

NT4ADMINS: Wie kommen externe Mitarbeiter an die notwendigen Daten?

Das kommt ganz auf die Systeme und Applikationen an. Beispielsweise kann ebenfalls VPN genutzt werden. Dabei wird meistens zwischen zwei Varianten unterschieden. Zum einen kommen hier VPN-Tunnel mit IPsec (Internet Protocol Security), zum anderen SSL (Secure Sockets Layer) zum Einsatz. Bei beiden Lösungen wird zumeist eine Software auf dem mobilen Endgerät (zumeist Laptops) installiert, und über diesen Weg (abgesichert mit Zertifikaten und Benutzername und Kennwörtern) dann eine verschlüsselte Verbindung hergestellt. Bei älteren Windows-Anwendungen können auch Remote-Desktop-Lösungen (RDP) ins Spiel kommen, wie etwa die Variante „Windows Terminal Server“. Bei RDP ist auch beispielsweise noch Citrix zu nennen. Zudem sind auch viele Workloads schon webbasiert verfügbar, und können (etwa bei Office 365) direkt über den Internetbrowser genutzt werden. Auch hier kommen die typischen „Anmeldedaten“ zum Einsatz, um die Benutzer mittels Kennwörtern zu authentifizieren.

NT4ADMINS: Wie lässt sich garantieren, dass „bestimmte“ Daten nicht das Inland verlassen?

Das ist generell eine sehr schwierige Aufgabe, doch es sind unterschiedliche Ansätze denkbar. Zum einen könnten die Systembetreuer durch entsprechende Regeln und Einschränkungen das Abspeichern von Dateien (etwa per VPN-Software) komplett unterbinden. Allerdings geht damit meist eine schlechte Usability einher. Daher gehen die Unternehmen meist den Weg, eine Terminalserververbindung für die Mitarbeiter bereitzustellen, um sicherzugehen, dass sensible Daten das Unternehmen nicht verlassen. Ein weitere wichtiger Punkt ist: Man sollte nicht nur versuchen, diesen Daten-Export zu unterbinden, sondern auch Sorge tragen, dass Kopier-Aktionen der Mitarbeiter (etwa per Logfile) protokolliert werden. Bei den Cloud-Services ist dies beispielsweise oftmals schon integriert, hier können die Unternehmen sich meist detailliert aufschlüsseln lassen, wann welcher Mitarbeiter was getan hat. In diesem Zusammenhang sind auch Komponenten wichtig, die verdächtige Vorgänge (etwa anhand der angesprochenen Logfiles) automatisch identifizieren und auswerten können. Etwa wenn von einem bestimmten Benutzer innerhalb eines sehr kurzen Zeitraumes hunderte von Einwahlversuchen registriert werden. Könnte es sich doch hierbei um eine Brute-Force-Attacke handeln, um das Kennwort des besagten Benutzers in Erfahrung zu bringen. Der Trend geht folglich zu den proaktiven Sicherheitssystemen, die verdächtige Vorgänge (hierzu würde auch das massive Herunterladen von Kundendaten zählen) auswerten können. An dieser Stelle ist es dann denkbar, automatisierte Aktionen ausführen zu lassen (User abmelden, Datenverbindung per VPN unterbrechen, oder den Sicherheits-Administrator per Email informieren).

NT4ADMINS: Welche Anwendungen und Apps werden unterstützt?

Generell werden (wie bereits angesprochen) inzwischen meistens Cloud-Applikationen genutzt – vor allem bei den kleineren Mobilgeräten (etwa Smartphones). Zudem ist es möglich einen hybriden Weg einzuschlagen. Etwa wenn Office-Anwendungen mit dem  Cloud-Prinzip auf den Mobilgeräten eingesetzt werden, aber die internen Support-Tickets (mit sehr sensiblen Daten) weiterhin per VPN übertragen werden. Hier sind entsprechende Lösungen verfügbar, um dies auch mit einer guten Usability zu gewährleisten, etwa wenn bei bestimmten Applikationen (wie die bereits angesprochene Support-Ticket-Software) automatisch im Hintergrund ein VPN-Tunnel aufgebaut wird, wenn der Benutzer diese Applikation startet (per App VPN). Zudem ist es denkbar, bestimmte Container auf den Mobilgeräten zu etablieren, und innerhalb dieser Container dann die Unternehmensdaten oder benötigten Applikationen unterzubringen. Damit erreichen die Unternehmen besonders im BYOD-Umfeld eine hohe Datensicherheit. Denn hier bleibt die Kontrolle der Unternehmensdaten bestehen, und die Firmen können diese Container bei Bedarf wieder remote von den Mobilgeräten der Mitarbeiter entfernen, beziehungsweise den Zugriff sperren. Damit umgehen die Firmen auch Probleme, die bei einer kompletten Remote-Löschung der Mitarbeitergeräte auftreten würden. Beispielsweise würde ein kompletter „Wipe“ eines BYOD-Smartphones ja auch die persönlichen, sprich privaten Kontakte, Emails und Daten auf dem Gerät des Mitarbeiters löschen.

NT4ADMINS: Bei welchen Anwendungen muss besonders auf „Timeout-Probleme“ geachtet werden?

Inzwischen reagieren die Applikationen nicht besonders empfindlich auf „Jitter“ und kurzeitige Latenzschwankungen. Solche Probleme treten eher bei echtzeitkritischen Anwendungen (VOIP, Video-Streams, Audio-Streams) auf. Alle anderen Anwendungen (Applikationen, Email, Datei-Übertragungen) sind davon meist nicht betroffen.

NT4ADMINS: Welche Methoden stehen den Administratoren zur Verfügung, um eine bestehende Rechteverwaltung (etwa Active Directory) in das Anbindungskonzept zu integrieren?

Hier stehen bei den meisten Mobile-Device-Management-Lösungen entsprechende Funktionen bereit, um beispielsweise LDAP- oder Active-Directory-Objekte zu importieren oder zu synchronisieren. Das ist besonders sinnvoll, wenn diese Credentials auch für den VPN-Zugriff verwendet werden können. Somit ist der Aufbau des Tunnels ins Unternehmen vereinfacht, und zusätzlich verringern solche zentralen Rechteverwaltungen den Arbeitsaufwand der Systembetreuer. Interessant wird es wenn die Lösungen auch die Netzwerkberechtigungen an diese AD-Richtlinien anbinden können. Das ist meistens deutlich effizienter als der Ansatz, über bestimmte IP-Adressbereiche (etwa alle PCs aus der Buchhaltung) den Zugriff auf benötigte Daten im Netzwerk (etwa die Geschäftsdaten auf dem Fileserver, oder Rechnungen im Warenwirtschaftssystem) zu reglementieren. Hier haben wir bei Ocedo aus unserer Vergangenheit gelernt, und realisieren bestimmte Vorgaben, die etwa den Zugriff bestimmter User und Gruppen auf bestimmte Ressourcen betreffen, über das Active Directory. In der Vergangenheit stellte sich heraus, dass der IP-regelbasierte Ansatz meist an der gewünschten und vorgegebenen Konfiguration vorbeigegangen ist. Denn wer kann schon garantieren, dass die einzelnen Systeme immer die korrekten IP-Adressen zugewiesen bekommen (ob nun per manueller Zuweisung oder per DHCP). Zudem müssen weitere Tabellen gepflegt werden (etwa welche User und Gruppen welche IP-Adressen zugewiesen bekommen sollen), und daher wird mit dieser Methode der Raum für Fehler vergrößert. Bei den aktuellen Ocedo-Lösungen ist dies nicht mehr der Fall, hier werden auch die Netzwerk- und Firewall-Regeln mit dem Verzeichnisdienst Active Directory abgleichen und verwaltet. Das ist besonders interessant, weil die Systembetreuer sicherstellen können, dass die einzelnen Sicherheitsberechtigungen sowohl innerhalb (LAN), als auch außerhalb des internen Netzwerks (per VPN-Verbindung) durchgesetzt werden. Somit haben die Mitarbeiter immer einen transparenten Zugriff auf die IT-Ressourcen im Unternehmen. Und dies wird beispielsweise bei Ocedo so realisiert, dass diese Regeln nicht nur auf die Zentrale angewendet werden, sondern auch auf alle angeschlossenen Niederlassungen. Somit hat der Mitarbeiter bei allen Unternehmensstandorten immer die passenden Berechtigungen. Dies ist sicherlich eins unserer Alleinstellungsmerkmale.

NT4ADMINS: Welche Vorteile ergeben sich, falls Unternehmen bestimmtes Know-how als „Managed Service“ vom externen Dienstleister in Anspruch nehmen möchten?

Oftmals erhöht es die Qualität der Lösungen wenn spezielle Konfigurationen von einem externen, spezialisierten Dienstleister übernommen werden. Externes Know-how wird gerne von kleineren Firmen im Netzwerk- und Serverbereich in Anspruch genommen. Aber auch größere Unternehmen holen sich für bestimmte Bereiche immer wieder spezielle Dienstleister mit entsprechenden Expertisen ins Haus. Die Unternehmen selbst können sich so besser auf ihr Kerngeschäft konzentrieren, und bestimmte oder komplexe Aufgaben auslagern. Dies macht durchaus mehr Sinn, als wenn kleinere und mittlere Unternehmen viel Geld und Arbeitszeit ihrer Mitarbeiter vergeuden, um selbst zu einer Lösung zu gelangen, die meist nicht mit der Professionalität der Spezialisten-Lösung konkurrieren kann. Zu den Vorteilen gehören daher sicherlich:

• Höhere Qualität,
• bessere Verfügbarkeit,
• optimierte Architektur sowie
• geringere Kosten.

Bei Ocedo gehen wir davon aus, dass bestimmte IT-Bereiche in den nächsten zwei, drei Jahren bis zu 70 Prozent als Managed-Service bezogen werden. Daher haben wir unsere Management-Konsole darauf ausgelegt, dass auch mehrere Kunden eines zentralen Dienstleisters, von einem Punkt aus verwaltet werden können. So versetzen wir Dienstleister in die Lage, bei gleichbleibenden Personalkosten deutlich mehr Kunden zu bedienen. Das wird noch verstärkt durch das Anlegen der (vorerst virtuellen) Netzwerkkomponenten. So legen die Systembetreuer zunächst Switches, Gateways und Firewall-Systeme samt Regeln an, und können diese dann mit geringem Aufwand vor Ort auf die beschaffte Hardware ausrollen. So lassen sich auch die Zeitrahmen solcher Aufträge verkürzen. In der Vergangenheit wurden komplexe Netzwerkprojekte nach Monaten abgeschlossen. Schließlich wurden nach dem Feststellen des Ist-Zustands zunächst Konzepte für den Soll-Zustand entwickelt, die einzelnen Netzwerkbereiche definiert, gegebenenfalls Rücksprache mit dem Unternehmen gehalten, und das Angebot unterbreitet, die Hardware bestellt und danach noch tagelang verkabelt und konfiguriert. Aktuell können entsprechende Konzepte mit unserer Software bereits beim Erstkontakt (virtuell) erstellt werden, und dabei gleich genau festgehalten werden welche Netzwerkkomponenten in welchem Umfang benötigt werden (wir nennen das virtuelles Netzwerkdesign). Direkt nach dem Eintreffen der georderten Hardware schließen die Systembetreuer die Komponenten vor Ort an, und starten damit den automatischen Rollout der bereits virtuell vorbereiteten Netzwerkumgebung.

NT4ADMINS: Was hat Ocedo für die Zukunft geplant?

Neben vielen unterschiedlichen Ideen verfolgen wir momentan die Entwicklung einer Administrator-App. Damit sollen Reaktionszeiten auf bestimmte Ereignisse (beispielsweise wenn ein neues Gerät im Netzwerk „auftaucht“ oder ein Printserver plötzlich Unmengen an Daten anfordert) schneller an den Administrator übermittelt werden.

Auch sehr wichtig: Unser System protokolliert alle im Netzwerk vorhandenen Systeme (Total Visibility). Das ist sehr wichtig für die Überwachung und Sicherheit des Netzwerks. Daher arbeiten wir bei Ocedo momentan an einer automatischen Anomalie-Erkennung. Dabei sollen „verdächtige“, weil anormale Vorgänge automatisch identifiziert werden. Wann immer Netzwerkkommunikation entdeckt wird, die unüblich ist, wird eine entsprechende Warnung an den Administrator gesendet. Dies soll etwa auch als Nachricht über die bereits angesprochene Administrator-App möglich sein. Diese Form des modernen, mobilen Netzwerkmanagements sehen wir bei Ocedo als die Zukunft an.

Aber auch die Anbindung an Cloud-Umgebungen gerät in den Fokus unserer Bemühungen. Vor allem aus den bereits angesprochenen Gründen der Auditierbarkeit liegen Cloud-Lösungen durchaus im Trend, und werden vermehrt eingesetzt. Das muss nicht nur im Bereich Public-Cloud (etwa per AWS) liegen, sondern kann auch im Private-Cloud-Umfeld durch einen Partner des Vertrauens realisiert werden. Daher zählt es durchaus zu den Herausforderungen, die interne Netzwerk-IT so auszulegen, dass eine Cloud-Anbindung schnell, effizient und sicher vollzogen werden kann. Daher haben wir kürzlich unsere Kooperation mit Amazon gestartet um die Einbindung unserer Netzwerkprodukte in deren Cloud-Computing-Umgebung schnell und einfach zu ermöglichen. Somit können Unternehmensnetzwerke nun sehr einfach und innerhalb weniger Minuten über den zentralen Controller (Ocedo Connect) mittels Auto VPN verknüpft und den Mitarbeitern Zugriff auf diese Cloud-Dienste „per Knopfdruck“ zur Verfügung gestellt werden. Die benötigten Berechtigungen zur Nutzung der Cloud-Workloads müssen dann nur noch an zentraler Stelle (AD) gesetzt werden, und die einzelnen „Wege“ wie etwa Netzwerkleitungen, VPN-Tunnel und Verbindungen werden dann automatisch angepasst, sowie entsprechende Zertifikate und Schlüssel hinterlegt.

Zudem wollen wir das (momentan eher statische) Netzwerk flexibler gestalten. Ähnlich wie die Virtualisierungs-Technologien im Server-Bereich für eine höhere Flexibilität gesorgt haben, soll in Zukunft auch das Netzwerk vom statischen System schnell und effizient veränderbar gestaltet werden. Etwa wenn testweise neue Netzwerk-Zonen angelegt werden müssen, neue Geräte angeschlossen oder das bisherige Konzept neu überdacht werden soll. Bisher hielten es die Firmen meist so, dass am Netzwerk nichts „gedreht“ werden sollte, frei nach dem Motto: „Never touch a running System“. Dies mag zwar in bestimmten Fällen zutreffen, allerdings kann heutzutage niemand vorhersehen, wie das Netzwerk in einigen Monaten oder wenigen Jahren aussehen wird. Und so ist es wichtig flexibel zu reagieren und Entscheidungen zu treffen, wenn die Umstände es erfordern. Etwa wenn ein neues Gerät im Netzwerk angeschlossen wird, und dafür eine eigene DMZ benötigt wird. Dieses dynamische und flexiblere Modell wollen wir fördern. Denn die Netzwerk-IT wird unserer Meinung nach nur so in der Lage sein, mit den aktuellen und kommenden Herausforderungen Schritt zu halten.