„Faktor Mensch“ und die IT-Sicherheit in UnternehmenNur eine ständige, lückenlose Kontrolle hilft
18. Januar 2019Schwerwiegende Sicherheitspannen bei Unternehmen – es vergeht kaum ein Tag, an dem sich nicht dieses Thema in den Schlagzeilen wiederfindet. Denn die Anforderungen an IT-Umgebungen verändern sich rasant, und aktuelle Zustände der IT-Infrastruktur in den Unternehmen sind oftmal weit entfernt vom Optimum. Kombiniert mit den Sicherheitsvorfällen, die durch den „Faktor Mensch“ in Unternehmen ausgelöst werden, ist dies für Unternehmen ein Alptraum.
Wer eine ständige, lückenlose Kontrolle in seinem Unternehmen in Bezug auf die IT-Security umsetzen will, der muss einige Faktoren einbeziehen. Denn dazu gehören nicht allein professionelle IT-Sicherheits-Tools wie Virenscanner, Firewall und Co., sondern auch profundes Know-how in Sachen IT-Security sowie eine Sicherheitsstrategie, die alle wichtigen Schwachstellen von Systemen erkennt und durch laufende Anpassungen dauerhaft behebt. Da Sicherheit in Unternehmen aber nicht einfach mit der Anschaffung einzelner Produkte gewährleistet werden kann, hat sich die Netzlink Informationstechnik GmbH mit der Gründung eines IT-Security-Teams dem Thema IT-Sicherheit in Gänze angenommen.
Mit Strategie zur Sicherheit
Nur mit einem strategischen Sicherheitskonzept, das umfassend alle Komponenten möglicher Bedrohungen berücksichtigt, können Systeme nachhaltig sicher gemacht werden. Das Netzlink-Sicherheitskonzept berät Unternehmen ganzheitlich zum Thema Security.
Dazu gehören Firewalls, Virenscanner und Verschlüsselungstechnologien genauso, wie die Schulung von Mitarbeitern, wenn es um den Umgang mit Mails, Anhängen, Datenträgern, etc. geht. (Awareness). Das Netzlink-Expertenteam hat sich auf IT-Sicherheit spezialisiert und ist von der DGI (Deutsche Gesellschaft für Informationssicherheit AG) und dem TÜV sowie von allen verwendeten Herstellern lizensiert.
IT-Security im Anwendungsfall
Der Auftrag eines Unternehmens im pharmazeutischen Umfeld im Oktober 2018 lautete: Feststellung des aktuellen Sicherheitsstandards des gesamten Systems. Dazu traf sich das Security-Team mit dem Kunden vor Ort und hat im Vorfeld zusammen mit ihm alle Anforderungen und Bedürfnisse identifiziert, die – je nach Branche – sehr unterschiedlich ausfallen können.
Während des Beratungsgesprächs klärte das Netzlink-Security-Team über alle Möglichkeiten einer Überprüfung auf und hat sich zusammen mit dem Kunden auf ein Security-Assessment geeinigt, das grundlegend über den Sicherheitsstatus des Netzwerks Auskunft gibt, Schwachstellen aufdeckt und die Ableitung von Maßnahmen beinhaltet. Dieses Sicherheitskonzept trägt den Namen „Detective Netleak“, da es Sicherheitslücken, Schlupflöcher und Schwachstellen aufspürt und deren Behebung möglich macht.
Für die Durchführung der Überprüfung wurden im Vorfeld die genauen Parameter für den Scan erarbeitet. Diese gemeinsame Abstimmung ist die Grundvoraussetzung für ein erfolgreiches Assessment, denn das weitere Vorgehen, der Testzeitraum, die zu überprüfenden Systeme und die genauen Inhalte der „Permission to Attack“, werden genauestens definiert.
Die „Permission to Attack“ ist die Basis für das weitere Vorgehen. Denn ehe weitere Schritte unternommen werden können, musste diese Erklärung im Vorfeld vom Geschäftsführer des Pharma-Kunden unterzeichnet werden, da diese einen kontrollierten Angriff auf das Unternehmenssystem von außen und einen Scan von innen definiert und genehmigt. Außerdem bestimmt die „Permission to Attack“, welche Systeme geprüft werden und welche ggf. gezielt vom Vorgang ausgeschlossen werden sollen (bspw. Produktivsysteme).
Permission to Attack
Da das Pharmaunternehmen Waren selbst produziert und versendet, hat es im Vorfeld sein Produktiv- und das hauseigene Logistiksystem ausgeschlossen. Daraufhin konnte es an die Umsetzung und die Definition der zu überprüfenden internen und externen IP-Adressen und IP-Adressbereiche gehen. Die im Vorfeld definierten Ausschlüsse aus der Überprüfung wurden gelistet und das Unternehmen richtete ein temporäres Domänenadministratorkonto ein.
Die zur Verfügung gestellten Virtualisierungsressourcen waren zu Beginn etwas klein und mussten auf 16 GByte VRAM und 40 GByte Festplattenplatz erweitert werden. Die Basis dafür war in diesem Fall VMware ESXi 5.5+. Eine temporäre Gruppenrichtlinie wurde durch die Netzlink-Experten eingerichtet, bestimmte Netzwerk-Ports auf den Clients freigegeben und die Freigabe der WMI Remote Registry vorgenommen.
Die virtuelle Appliance konnte nun remote installiert werden. Die gesamte Zusammenarbeit mit der IT-Abteilung des Kunden lief sehr professionell und außergewöhnlich gut, alle Informationen flossen schnell wie auch die Informationen bezüglich des Windows Servers, der sich in der Domäne befindet. Auf dem Server wurden die MBSA installiert und ein Teil der Scans durchgeführt. Außerdem konnten offene Fragen nach dem Domain Controller, Ausschlüssen bei den OUs oder nach weiteren SNMP Community Strings schnell geklärt werden (ansonsten wird in der Überprüfung „public“ genutzt).
Scans decken Schwachstellen auf
Bereits nach kurzer Vorbereitungszeit konnte der erste von fünf Scans durchgeführt werden. Insgesamt haben unsere Security-Experten drei Netzwerkinfrastruktur-Scans sowie einen externen und einen internen Schwachstellentest vorgenommen. Überprüft wurden u. a. alle Objekte im Active Directory, Computer und sonstige Systeme im lokalen Netz, die öffentlich erreichbaren Systeme und interne IP-Adressen. Beim internen Schwachstellenscan wurden alle internen IP-Adressen auf potenzielle Sicherheitslücken überprüft – darauf, welche Dienste auf den jeweiligen Ports oder welche über das Netzwerk lauschen.
Damit ließen sich wichtige Fragen beantworten – z. B.: Sind alle registrierten Benutzer überhaupt noch aktiv? Wie sieht es mit dem Passwortalter aus? Gibt es eine zentrale Richtlinie von Unternehmensseite bezüglich der Passwortsicherheit? Wie steht es um den Patch-Status und die Aktualität von Anti-Virus- und Anti-Spyware-Software? Wie viele erreichbare offene Ports existieren? Beim externen Schwachstellenscan stehen alle öffentlichen IP-Adressen auf dem Prüfstand. Auf welchen Ports sind Dienste auf dem jeweiligen System über das Netzwerk erreichbar? Außerdem werden die gefundenen Dienste und Versionen mit einer Datenbank von bekannten Sicherheitslücken verglichen.
Ergebnisse im Management Report
Der anschließend generierte englischsprachige Report umfasste annähernd 1.000 Seiten. Da Umfang und formlose Aufzählungen für die IT-Verantwortlichen und Führungskräfte nicht zumutbar waren, wurde der Report von unserem Team ausgewertet, und ein „Management Report“ von ca. 20 Seiten erstellt, in dem alle gefundenen Schwachstellen priorisiert und mit Handlungsempfehlungen versehen wurden.
Die Ergebnisse des Reports und die Handlungsempfehlungen wurden im Anschluss der gesamten Geschäftsführung und allen verantwortlichen IT-Mitarbeitern des Unternehmens präsentiert. Alle vorgeschlagenen Maßnahmen, bspw. Löschung von alten Benutzerkonten im Active Directory, Passwortrichtlinien, Schutz vor physikalischem Zugriff, Patch-Status aktualisieren etc., wurden in einen Maßnahmenplan übertragen und die benötigte Hilfestellung bei der Umsetzung von einzelnen Maßnahmen durch unser Team geklärt.
Gemeinsam wurde der Maßnahmenplan nach Bedrohungsgrad abgearbeitet. Die nächsten Schritte – eine Awareness-Schulung für alle Mitarbeiter sowie eine weiterführende Beratung als Informationssicherheitsbeauftragte – wurden diskutiert, denn noch immer sind über 80 Prozent aller Sicherheitsvorfälle dem „Faktor Mensch“ geschuldet.
Nach der Umsetzung aller Maßnahmen ist ein Nachfolge-Assessment sinnvoll, denn so kann abgebildet werden, welche Lücken erfolgreich geschlossen wurden und welche ggf. neu entstanden sind. Nach Abschluss des zweiten Kontroll-Assessments, raten die Spezialisten von Netzlink zu einem zyklisch wiederkehrenden Assessment, um den Sicherheitsstandard stets hoch zu halten (i. d. R. jedes Jahr). Nach der Umsetzung aller Maßnahmen verfügt das Unternehmen jetzt über eine sichere IT-Infrastruktur und wird das Kontroll-Assessment im zweiten Quartal 2019 gemeinsam mit den Experten von Netzlink absolvieren.
Hier geht es zur Netzlink Informationstechnik GmbH