Enterprise Security: Wie sicher bin ich überhaupt?

LinkedInRedditWhatsAppPocket

Security ist in aller Munde und es vergeht fast kein Tag, an dem nicht in der Presse schwerwiegende Sicherheitspannen bei Unternehmen durchsickern. Die Anforderungen an IT-Umgebungen verändern sich rasant, und aktuelle Zustände der eigenen IT-Infrastruktur sind nicht immer optimal, im schlimmsten Fall sogar existenzbedrohend.

Kombiniert mit den Sicherheitsvorfällen, die durch den „Faktor Mensch“ in Unternehmen ausgelöst werden, ist dies für Unternehmen ein Alptraum. Doch wie ist die Sicherheit einer IT-Infrastruktur überhaupt zuverlässig und vor allem langfristig zu gewährleisten? Die Antwort darauf ist: Nur durch ständige, lückenlose Kontrolle. 

Anzeige

Zu dieser Kontrolle gehören nicht allein professionelle IT-Sicherheitstools wie Virenscanner, Firewall und Co., sondern auch profundes Security-Know-how und eine Sicherheitsstrategie, die alle wichtigen Schwachstellen von Systemen erkennt und durch laufende Anpassungen dauerhaft behebt.

Mit Strategie zur Sicherheit

Da Sicherheit in Unternehmen nicht einfach mit der Anschaffung einzelner Produkte gewährleistet werden kann, hat sich die Netzlink Informationstechnik GmbH mit der Gründung eines IT-Security-Teams dem Thema IT-Sicherheit in Gänze angenommen. Nur mit einem strategischen Sicherheitskonzept, das umfassend alle Komponenten möglicher Bedrohungen berücksichtigt, können nachhaltig Systeme sicher gemacht werden. Das Netzlink-Sicherheitskonzept berät Unternehmen ganzheitlich zum Thema Security. Dazu gehören Firewalls, Virenscanner und Verschlüsselungstechnologien genauso, wie die Schulung von Mitarbeitern, wenn es um den Umgang mit Mails, Anhängen, Datenträgern, etc. geht. (Awareness). Das Netzlink-Expertenteam hat sich auf IT-Sicherheit spezialisiert und ist von der DGI (Deutsche Gesellschaft für Informationssicherheit AG) und dem TÜV sowie von allen verwendeten Herstellern lizensiert.

IT-Security im Anwendungsfall

Der Auftrag eines Unternehmens im Pharmazeutischen Umfeld im Oktober 2018 lautete: Feststellung des aktuellen Sicherheitsstandards des gesamten Systems. Dazu traf sich das Security-Team mit dem Kunden vor Ort und hat im Vorfeld zusammen mit ihm alle Anforderungen und Bedürfnisse identifiziert, die – je nach Branche – sehr unterschiedlich ausfallen können. Während des Beratungsgesprächs klärte das Netzlink-Security-Team über alle Möglichkeiten einer Überprüfung auf und hat sich zusammen mit dem Kunden auf ein Security-Assessment geeinigt, das grundlegend über den Sicherheitsstatus des Netzwerks Auskunft gibt, Schwachstellen aufdeckt und die Ableitung von Maßnahmen beinhaltet. Dieses Sicherheitskonzept trägt den Namen „Detective NETLEAK“, da es Sicherheitslücken, Schlupflöcher und Schwachstellen aufspürt und deren Behebung möglich macht.

Anzeige

Für die Durchführung der Überprüfung wurden im Vorfeld die genauen Parameter für den Scan erarbeitet. Diese gemeinsame Abstimmung ist die Grundvoraussetzung für ein erfolgreiches Assessment, denn das weitere Vorgehen, der Testzeitraum, die zu überprüfenden Systeme und die genauen Inhalte der „Permission to Attack“, werden genauestens definiert.

Die „Permission to Attack“ ist die Absprungbasis für das weitere Vorgehen. Denn ehe weitere Schritte unternommen werden können, musste die Permission im Vorfeld vom Geschäftsführer des Pharma-Kunden unterzeichnet werden, da diese einen kontrollierten Angriff auf das Unternehmenssystem von außen und einen Scan von innen definiert und genehmigt. Außerdem bestimmt die „Permission to Attack“, welche Systeme geprüft werden und welche ggf. gezielt vom Vorgang ausgeschlossen werden sollen (bspw. Produktivsysteme).

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Permission to Attack

Da unser Kunde vor Ort Waren selbst produziert und versendet, hat er im Vorfeld sein Produktiv- und das hauseigene Logistiksystem ausgeschlossen. Daraufhin konnte es an die Umsetzung und die Definition der zu überprüfenden internen und externen IP-Adressen und IP-Adressbereiche gehen. Die im Vorfeld definierten Ausschlüsse aus der Überprüfung wurden gelistet und das Unternehmen richtete ein temporäres Domänenadministratorkonto ein. Die zur Verfügung gestellten Virtualisierungsressourcen waren zu Beginn etwas klein und mussten auf 16 GB VRAM und 40 GB Festplattenplatz erweitert werden. Die Basis dafür war in unserem Fall VM Ware ESXi 5.5+. Eine temporäre Gruppenrichtlinie wurde durch die Netzlink-Experten eingerichtet, bestimmte Netzwerk-Ports auf den Clients freigegeben und die Freigabe der WMI Remote Registry vorgenommen.

Die virtuelle Appliance konnte nun Remote installiert werden. Die gesamte Zusammenarbeit mit der IT-Abteilung des Kunden lief sehr professionell und außergewöhnlich gut, alle Informationen flossen schnell wie auch die Informationen bezüglich des Windows Servers, der sich in der Domäne befindet. Auf dem Server wurden die MBSA installiert und ein Teil der Scans durchgeführt. Außerdem konnten offene Fragen nach dem Domain Controller, Ausschlüssen bei den OUs oder nach weiteren SNMP Community Strings schnell geklärt werden (ansonsten wird in der Überprüfung „public“ genutzt).

Interne und externe Scans decken Schwachstellen auf

Bereits nach kurzer Vorbereitungszeit konnte der erste von fünf Scans durchgeführt werden. Insgesamt haben unsere Security-Experten drei Netzwerkinfrastruktur-Scans sowie einen externen und einen internen Schwachstellentest vorgenommen. Überprüft wurden u. a. alle Objekte im Active Directory, Computer und sonstige Systeme im lokalen Netz, die öffentlich erreichbaren Systeme und interne IP-Adressen. Beim internen Schwachstellenscan wurden alle internen IP-Adressen auf potenzielle Sicherheitslücken überprüft – darauf, welche Dienste auf den jeweiligen Ports oder welche über das Netzwerk lauschen. Damit ließen sich wichtige Fragen beantworten – z. B.: Sind alle registrierten Benutzer überhaupt noch aktiv? Wie sieht es mit dem Passwortalter aus? Gibt es eine zentrale Richtlinie von Unternehmensseite bezüglich der Passwortsicherheit? Wie steht es um den Patch-Status und die Aktualität von Anti-Virus- und Anti-Spyware-Software? Wie viele erreichbare offene Ports existieren? Beim externen Schwachstellenscan stehen alle öffentlichen IP-Adressen auf dem Prüfstand. Auf welchen Ports sind Dienste auf dem jeweiligen System über das Netzwerk erreichbar? Außerdem werden die gefundenen Dienste und Versionen mit einer Datenbank von bekannten Sicherheitslücken verglichen.

Der Ergebnisse im Management Report

Der anschließend generierte Report umfasste annähernd 1.000 Seiten (auf Englisch). Da Umfang und formlose Aufzählungen für die IT-Verantwortlichen und Führungskräfte nicht zumutbar waren, wurde der Report von unserem Team ausgewertet, und ein „Management Report“ von ca. 20 Seiten erstellt, in dem alle gefundenen Schwachstellen priorisiert und mit Handlungsempfehlungen versehen wurden. Auf Wunsch der Geschäftsführung war dieser Report auf Deutsch. Die Ergebnisse des Reports und die Handlungsempfehlungen wurden im Anschluss der gesamten Geschäftsführung und allen verantwortlichen IT-Mitarbeitern des Unternehmens präsentiert. Alle vorgeschlagenen Maßnahmen, bspw. Löschung von alten Benutzerkonten im Active Directory, Passwortrichtlinien, Schutz vor physikalischem Zugriff, Patchstatus aktualisieren etc., wurden in einen Maßnahmenplan übertragen und die benötigte Hilfestellung bei der Umsetzung von einzelnen Maßnahmen durch unser Team geklärt. Gemeinsam wurde der Maßnahmenplan nach Bedrohungsgrad abgearbeitet. Die nächsten Schritte – eine Awareness-Schulung für alle Mitarbeiter sowie eine weiterführende Beratung als Informationssicherheitsbeauftragte – wurden diskutiert, denn noch immer sind über 80 Prozent aller Sicherheitsvorfälle dem „Faktor Mensch“ geschuldet.

Nach der Umsetzung aller Maßnahmen ist ein Nachfolge-Assessment sinnvoll, denn so kann abgebildet werden, welche Lücken erfolgreich geschlossen wurden und welche ggf. neu entstanden sind. Nach Abschluss des zweiten Kontroll-Assessments, raten unsere Spezialisten zu einem zyklisch wiederkehrenden Assessment, um den Sicherheitsstandard stets hoch zu halten (i. d. R. jedes Jahr). Nach der Umsetzung aller Maßnahmen verfügt der Kunde jetzt über eine sichere IT-Infrastruktur und wird das Kontroll-Assessment im zweiten Quartal 2019 gemeinsam mit unseren Experten absolvieren.

www.netzlink.com
 


Anzeige

Weitere Artikel

Ein widerstandsfähiges SOC aufbauen
Deutlicher Anstieg bei Malware-Angriffen und Datenschutzverletzungen
Cloud-Sicherheit und KI: Neue Prioritäten im digitalen Risikomanagement
Planlos und naiv? Wenn Mitarbeiter zur Cyberbedrohung werden
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.