Sicherheit im Firmen-Netz

Früher war das Netzwerk-Leben einfach: Ausserhalb der Burg waren die Bösen und drinnen die Guten. Deshalb hat man das Firmen-Netzwerk mit einer hohen Mauer (Firewall) geschützt. Für den täglichen Handel hat man im Innenhof einen Waren­umschlag­platz eingerichtet (Entmilitarisierte Zone, DMZ). Dem König und seiner Familie (Server Farm) bot der Burgfried zusätzlichen Schutz.

Heute sieht das anders aus: Drohnen spähen die Burg von allen Seiten aus, Gäste laufen mit ihrem Smartphone rein und raus, der Koch hat seinen Schlüssel einem Catering Service abgegeben und die Entwickler haben aussen an der Mauer Kabel in den Testraum im Keller gezogen.

Als Museumsbesucher können Sie zwar durch die ganze Burg flanieren, Sie finden aber nur einige wenige Räume offen. Kameras beobachten, wenn Sie über eine Absperrung klettern und der nächste Wärter wird sofort einschreiten. Selbst wenn es Ihnen gelingen sollte, einen Gegenstand mitlaufen zu lassen, kann das später aus den Aufzeichnungen genau nachvollzogen werden.

Die erste Schutz-Massnahme ist, das Netzwerk zu unterteilen. Gäste, Administration, Buchhaltung & Personaldienst, Produktion, Entwicklung, Drucker und Server-Infrastruktur gehören alle in eigene Netzwerke. Durch die Segmentierung wird die Burg in einzelne, kontrollierbare Gebäude unterteilt.

Damit man nun nicht sieben verschiedene Kabel verlegen muss, verwendet man virtuelle Netze, sogenannte VLAN (sprich 'faulan' oder 'wiilän', nicht zu verwechseln mit WLAN). Front-Geräte wie Switches und WLAN Access Points weisen jedem Datenpaket von Computern, Druckern oder mobilen Geräten eine VLAN Nummer zu. So laufen zwar immer noch alle Daten über ein und dasselbe Kabel, aber an den zentralen Knotenpunkten (Router) kann aufgrund der VLAN Nummer festgestellt werden, zu welchem virtuellen Netz ein Datenpaket gehört.

Als zweite Schutz-Massnahme erhalten nur Geräte mit Ausweis Zutritt zur Infrastruktur. Zu Beginn reicht es, Geräte anhand ihrer Netzwerkkarten-Nummer (MAC Adresse) zu identifizieren. Am Switch oder Access Point sperrt man den Netzwerk-Zugriff für unbekannte Geräte. Im nächsten Schritt kann man jedem Gerät ein Zertifikat ausstellen, mit dem es sich im Netzwerk ausweisen muss. Das ist zwar anspruchsvoller, aber auch deutlich sicherer.

Als nächstes sollten Sie dafür sorgen, dass alle Räume abgeschlossen werden, sprich: auf jedem Computer die eingebaute Firewall aktiviert und sinnvoll konfiguriert ist. Damit verhindern Sie Unfug innerhalb eines Gebäudes. Auf einem normalen Arbeitsplatz-Rechner können alle ausgehenden Verbindungen zugelassen werden. Bei Rechnern mit Admin-Zugriff auf die Server-Infrastruktur sollten sie auch ausgehende Verbindungen einschränken, respektive genau überwachen.

Das beste Türschloss nützt nichts, wenn die Türe aus der Angel gehoben werden kann. Stellen Sie deshalb sicher, dass bei allen Rechnern automatische Aktualisierungen aktiviert sind und diese auch regelmässig stattfinden. Was sie allerdings nicht tun sollten, ist aktiv nach Windows Updates zu suchen. Microsoft stuft Sie sonst als besonders risikofreudig ein und lässt Sie die neusten Updates testen. Damit handeln Sie sich nur Ärger ein.

Eigentlich logisch, aber oft vergessen: Aktualisieren Sie auch die Firmware Ihrer Netzwerk-Komponenten (Router, Switches, Access Points, Drucker) regelmässig. Automatische Aktualisierungen sind zwar bequem, führen aber zu unerwarteten und kaum nachvollziehbaren Problemen im Netzwerk. Tragen Sie sich besser in eine Mailing-Liste beim Hersteller ein und reagieren gezielt auf gemeldete Sicherheitslücken oder Produkt-Verbesserungen.

In der alten Burg-Philosophie (Perimeter-Schutz) war der ganze Netzwerkverkehr innerhalb der Firma unverschlüsselt. In der neuen, offenen Welt sollten Sie gezielt überlegen, welche Verbindungen Sie verschlüsseln wollen. Abgesehen von Performanz-Einbussen gibt es kaum Gründe, welche gegen eine komplette Transport-Verschlüsselung auch innerhalb der Firma sprechen. Zwar wird die Netzwerkanalyse z.B. mit Wireshark mühsamer, dafür bieten Sie auch einem Eindringling weniger Angriffsfläche.

Verbindungen von ausserhalb, zum Beispiel für Homeoffice, Filialen oder Fernwartung, sollten Sie sowieso nur über gesicherte Verbindungen (VPN) zulassen und den Einflussbereich gezielt einschränken.

Der letzte und aufwändigste Schritt ist die Überwachung des Netzwerks. Die meisten Firewall-Hersteller bieten dafür bezahlte Dienste, welche Sie auf ihrem Gerät aufschalten können. Diese suchen gezielt nach Unregelmässigkeiten im Datenverkehr und melden oder blockieren solche Verbindungen. Hat ein Angreifer zum Beispiel eine Schadsoftware auf einen ihrer Arbeitsplatz­rechner gebracht, kann seine Spionage­tätigkeit im Netzwerk erkannt werden. Ebenso können harmlos aussehende Web- oder Mail-Verbindungen von Firmen-Rechnern zu bekannten Hacker-Servern (Command and Controll Server) unterbunden werden.

Hier ist die Frage, wie viel Zeit und Geld sie investieren wollen. Für kleinere Firmen empfehlen wir den Einsatz einer preiswerten Firewall, dafür mit allen Diensten. Die Server-Infrastruktur können Sie dann immer noch mit einer professionellen, schnellen Firewall absichern.

Grössere Firmen werden langfristig nicht um eine 7x24 Überwachung herumkommen. Dafür engagieren Sie am besten einen externen Dienstleister, welcher das Monitoring und den raschen Eingriff im Angriffsfall sicherstellt. Ihre eigenen Informatiker können sich dann um die Behebung des Schadens und das Stopfen der Sicherheitslücken kümmern.