Schotten dicht für Hacker und Co
Unternehmen stöhnen: In Sachen IT-Sicherheit häufen sich die schlechten Nachrichten. Professionalisierte Hacker, Angriffe in der Breite auf alles, das nicht bei Drei auf dem Baum ist und raffinierte Vorgehensweisen wie Advanced Persistent Threats (APT) bzw. tückische Tools wie Mal- oder Ransomware, die mittlerweile sozusagen nach Kundenwunsch konfiguriert oder durch Baukastensysteme schnell und günstig eingesetzt werden können. Die Opfer der Cyberangriffe erleiden hohe finanzielle Schäden und ihr Ruf ist im Worst Case ruiniert.
Inhaltsverzeichnis
Zum Glück müssen Unternehmen diesen Bedrohungen nicht begegnen wie das Kaninchen vor der Schlange. Sie haben es selbst in der Hand, ihre IT-Sicherheit auf Vordermann zu bringen. Ein Fokus sollte dabei auf ihrem Netzwerk liegen, das den Zugriff auf Systeme und Geräte regelt. Es muss den Angreifern Barrieren in den Weg stellen. Denn wer Systeme und Geräte nicht erreicht, kann diese auch nicht angreifen und dementsprechend keinen Schaden anrichten. Hohe wie breite Barrieren errichten Unternehmen mit Standardisierung: Darüber lässt sich der aktuelle Stand der Technik und damit das bestmögliche Schutzniveau besser und schneller erreichen.
Die Standardisierung des Netzwerks beinhaltet drei Säulen: Standortvernetzung, Netzkonzept und zertifikatsbasierter Zugang nach 802.1x.
1. Eine saubere Standortvernetzung.
Das bedeutet, dass alle Standorte in einem sicheren Netzwerk zusammengefasst, in einem Rechenzentrum zusammengeführt, über einen zentralen Punkt mit dem Internet verbunden und über eine Firewall geschützt werden. Der Break-Out ins Internet ist kontrolliert und es können nur zugelassene Verbindungen verwendet werden. Firmen wissen um die Bedeutung der Standortvernetzung und in der Regel ist sie vorhanden – in der Form von SD WAN, EtherConnect oder MPLS. Die sicherste Variante mit kompletter Kontrolle stellt eine verschlüsselte MPLS-Verbindung dar. Unternehmen sollten übrigens die Komplexität von Firewalls nicht unterschätzen: Das Thema wird sehr schnell abstrakt – gerade leistungsstarke Firewalls wie z. B. von CISCO, Checkpoint oder Palo Alto erfordern Expertise in Sachen Netzwerkschichten (OSI-Modell), Protokollen, Ports, Routen und Paketgrößen sowie der Applikationen und ihrer Kommunikationsweise.
2. Ein gutes Netzkonzept
… und einen passenden Betreiber: Zentral ist hier die Netzwerksegmentierung und -aufteilung in verschiedene Standorte und Funktionen: etwa eigene Segmente für Clients (mit PC und Notebooks), Drucker, VOIP für Telefonie, IoT-Netz oder Gastnetz. So lässt sich der Traffic lenken und priorisieren. Die Netzwerksegmentierung ist meist gelebte und gängige Praxis, doch auch hier gilt: Professionalität geht mit Komplexität einher – und dann reicht der eigene Administrator in der Regel nicht mehr aus. Die IP-Adressbereiche müssen logisch zusammengefasst und gruppiert werden; Design und Struktur müssen passen. Wächst das Unternehmen, wird es noch komplexer: Sollen neue Standorte, Logistik oder Lagerhallen in wenigen Tagen in Betrieb genommen werden und ist kein Standard im Netzdesign vorhanden, kommt die Unternehmens-IT in der Regel schnell an ihre Grenzen.
3. Die Einführung von 802.1x
…, ein authentifizierungsbasierter Zugang ins Netzwerk nach einem definierten Standard gemäß internationaler Definition der IEEE (Institute of Electrical and Electronics Engineers). Damit hat das Netzwerk einen Pförtner für die Zugangskontrolle, der jedes Gerät, das ins Netzwerk will, überprüft. Fehlt die Berechtigung oder sind weitere Voraussetzungen nicht erfüllt, sind verschiedene Reaktionen denkbar, etwa die Abschaltung eines Ports oder die Umleitung ins Gastnetz bei vorhandener Berechtigung. Hardware-Adresse, Softwarestand, aktueller Virenscanner, Verschlüsselung müssen den Compliance-Richtlinien entsprechen, bevor der Netzzugang gewährt wird. Geräten, die nicht dem Standard entsprechen, wird der Zugriff verwehrt. Wichtig: 802.1x bezieht sich nicht nur auf das LAN, sondern auch auf WLAN: Dessen Netzwerkschlüssel (PSK – Pre-Shared-Key) stellt heute keine ausreichende Sicherheit mehr dar, außerdem hört das WLAN nicht am Gebäudeende auf. Deswegen ist auch hier die Einführung von 802.1x sinnvoll: Unautorisierten Geräten wird der Zutritt verwehrt, auch wenn sie das Netz empfangen sollten.
Netzwerk: organisiert und sicher
Berücksichtigen Unternehmen diese drei Bereiche, schaffen sie ein vollständig organisiertes, gut gemanagtes und damit sicheres Netzwerk und die damit einhergehende Transparenz. Denn wer sein Netzwerk im Griff hat, weiß, was sich darin tut und kann reagieren.
Unternehmen müssen ihr Netzwerk nicht selbst sicher machen, sondern können auf Experten von Managed Service Providern wie ConfigPoint zurückgreifen. Als Spezialisten für das Netzwerk kennen wir die Schwachstellen, wir wissen, wie man sie behebt und wir können Standards und Prozesse zumeist leichter als eine firmeneigene IT implementieren. Damit lässt sich ein höheres Sicherheitsniveau herstellen und damit Angreifern und Hackern das Leben so schwer wie möglich machen.
Link zum Ursprungsartikel auf channelpartner.de