Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Grundlagen einer Härtung der Firmen-IT
Autoren: Philipp Schaumann und Helmut Breitenfelder
Stand: 29.09.2005
Anlass für diese Checkliste sind Artikel in der Fachpresse mit dem Tenor: "Welche 5 (oder 10) einfachen Tricks helfen mir, meine Firma sicher zu machen". Dann kommen in der Regel 5 (oder 10) absolut korrekte Ratschläge. Aber ich denke mir dann, wo bleibt der Rest? Deswegen hier MEINE Checkliste, und es sind leider etwas mehr als 10 Themen geworden.
Details zu diesen Themen gibt es im "Eisbergbuch" und hier gibt es Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones.
Security Organisation
- Verantwortlichkeiten für Sicherheitspolicy, Sicherheitskonzepte, Audits, Risikomanagement, Benutzerschulung, etc.
Benutzer-Workstations
- keine Admin-Rechte, keine Schreibrechte in Startup-Folder
- Anti-virus und Anti-spy auf jedem Rechner, automatisch aktualisiert
- kein Internetzugang ohne Proxy und ohne Content Scanning
- Regeln für Benutzerrechte
- zentrale Überwachung und Administration der Geräte
- Geräte-Härtung (aufgesetzt von einheitlichem Clone, Services maximal eingeschränkt, aktueller Patch-Stand)
- Kontrolle oder Sperrung der Ports und Schnittstellen der Rechner (auch USB, IR, WLAN, etc.
- keine Autoplay von CDs
- Kein Boot von CD, USB, Floppy
- sichere Internet Browser-Einstellungen
- Security Feature Set (Bestandteil der ATA-Spezifikation) für (Serial)ATA Festplatten setzen; bei Notebooks Festplattenpasswort setzen (BIOS Einstellung für (Serial)ATA Festplatten)
Quelle: Microsoft Security Intelligence Report 1H08 |
Notebooks, Laptops und andere mobile Geräte
(wie Benutzer-Workstations, und zusätzlich)
- MUSS: Verschlüsselung Daten, am besten durch eine Festplattenverschlüsselung. Laptopdiebstahl ist auf Reisen kaum sicher zu verhindern. Ein Laptop in den Händen von Profis ist ohne Festplattenverschlüsselung schnell geknackt und exponiert oft interne Firmendaten und Passworte
- MUSS: Personal Firewall. Jedes Gerät, das direkt im Internet aktiv ist, braucht eine Firewall
- Startup-Schutz (BIOS-lock, power-on Schutz bei PDAs)
- End-Point Security, d.h. Überprüfung des Systemzustands bevor ein Rechner von außen ins Netz darf (Patch, Viren)
- Wenn möglich, Thin-Client Approach, d.h. der Rechner kommt nur auf ASP-Server, sonst VPN mit gegenseitiger Authentisierung und ohne „split traffic“
Hier gibt es mehr Details zur Absicherung von mobilen Mitarbeiter und Teleworkern
Firmennetz
- abgesichert durch eine Firewall, mit dokumentierten und nach dem 4-Augen-Prinzip überprüften Regeln - aber hier ist eine Warnung wichtig: ein Firewall ist hilfreich, aber er ist auf keinen Fall die vollständige Lösung, für die ihn auch viele IT-Profis halten. Ein Firewall hat Löcher, sonst könnte man ja gar nicht mit der Außenwelt kommunizieren, und durch diese Löcher kommen die meisten der Schädlinge sehr wohl noch durch, d.h. die anderen Sicherheitsmaßnahmen sind trotzdem notwendig.
- Segmentierung des internen Netzes in unterschiedlich gefährdete Bereiche mittels VLAN-Technologie
- Trennung IT-Entwickler Arbeitsplätze vom "Produktionsnetz"
- Port-Security für Netzwerkanschlüsse im gesamten Gebäude
- Content Scanning des Mailverkehrs, Entfernen gefährlicher Dateitypen
- sichere Platzierung und Implementierung des Webservers, keine vertraulichen oder wichtigen Daten in der DMZ
Benutzerverwaltung
- Durchgehende dokumentierte Prozesse für die Benutzeradministration
- Einheitliches Konzept für Benutzerberechtigungen
- Vernünftige, einhaltbare Passwort-Regeln (einschl. Berücksichtigung von Vertretungsproblematik und Krankheiten, etc.)
Firmenrechner, Server
- ALLE Rechner werden nach einem einheitlichen Konzept gehärtet (Services abdrehen, etc.)
- persönliche Admin-Accounts, kein Arbeiten der Administratoren als (lokaler) Administrator oder "root"
- Vulnerability- und Patch-Management, Vulnerability-Checks
- konsistentes Change Management
- Sicheres Reparatur- und Entsorgungskonzept
- Datensicherung, geplant, Erfolg täglich überprüft, Daten ausgelagert
- Intrusion Detection, zumindest Auswertung der sicherheitsrelevanten Logs
Business Continuity, Disaster Recovery
- Analyse, welche Anforderungen das Unternehmen bezgl. der Verfügbarkeit der Geschäftsprozesse konkret hat
- Erstellung eines differenzierten Business Continuity und Disaster Recovery Konzeptes, basierend auf den Anforderungen der Geschäftsprozesse. Eng verwand damit ist auch das Thema Incident Management, Vorfallsbehandlung
Infrastruktur und Gebäude
- Implementierung einer ausreichend sicheren Infrastruktur, beruhend auf den Business Continuity Überlegungen (s.o.)
- USV mit geeigneter Überbrückungsdauer, die per Scripten die Rechner "runterfahren" kann
- Klimaanlage, die ausfallssicher genug ist und bei Ausfall nötigenfalls geeignete Maßnahmen durchführt (runterfahren, weitermelden)
- angemessene Überwachung aller Betriebszustände
- Zutritt zu sensiblen Bereichen eingeschränkt und nach Bedarf überwacht
- risikoreduzierte Platzierung von kritischen Ressourcen, d.h. die Rechnerräume gehören nicht in Bereiche mit Kundenverkehr
Weiterführende Informationen
Viel mehr Details zu all diesen Themen sind in den Büchern der Eisberg-Reihe". Ausführlichere Checklisten gibt es im Band 4 "Basissicherheit und das Eisbergprinzip", die speziell für KMUs (kleine und mittelständische Unternehmen), die selbst ihren Sicherheitsstandard hinterfragen wollen, sehr zu empfehlen ist.