Infrastruktur

IT-Infrastruktur absichern

  • Sichere Software verwenden

    Verwendete Software sollte keine Backdoors haben, die von Unbefugten ausgenutzt werden könnten. Beim Einsatz kommerzieller Software kann man sich leider nie sicher sein, was da im Hintergrund alles passiert. Eine gute Idee ist es daher, Opensource-Software mit einer lebendigen Community einzusetzen. Da man selbst sicherlich nur schwierig den kompletten Quellcode aller eingesetzten Tools auf Schwachstellen analysieren kann, muss man sich darauf verlassen, dass es andere tun. Eine gute Liste von alternativer Software gibt es bei PRISM-Break.

    Besonders kritisch ist das verwendete Betriebssystem. Sofern möglich, sollte man von proprietärer Software wie Windows absehen. Vor allem von Windows 8, da das dort eingesetzte Trusted Platform Module eine massive Hintertür darstellt. Am besten setzt man auch beim Betriebssystem auf Opensource. Hier bieten sich Debian, Fedora oder Ubuntu an, sofern man die Hinweise der Electronic Frontier Foundation beachtet. Es sollte bei Ubuntu am besten nicht der Standard-Unity-Desktop verwendet werden, sondern beispielsweise GNOME.

  • Antivirus sinnvoll einsetzen

    Zum Thema Antivirus-Programme möchte ich hier meine eigene Meinung kundtun. Wer sie plausibel findet, kann meinen Ratschlägen folgen. Zu dem Thema wird es allerdings mehrere Meinungen geben.

    Ich halte es jedenfalls für unangemessen, marketinggetriebene Programme unter Windows zu installieren, die lediglich meinen Rechner verlangsamen und jährliche Abogebühren kosten. Außerdem telefonieren diese Programme auch ständig nach Hause und erheben dadurch möglicherweise Daten. Wenn man auch nur ein paar Grundregeln befolgt, wird man der Antivirus-Industrie nicht sein Geld in den Rachen werfen müssen. Diese Regeln müssten nicht-technik-affinen Mitarbeitern sicherlich einmal erklärt werden, aber es ist durchaus möglich, sich daran zu halten.

    Wie fängt man sich einen Virus überhaupt ein? Entweder es werden Sicherheitslücken in veralteter Software ausgenutzt oder man installiert irgendwelche Programme, über deren Herkunft man sich keine Gedanken gemacht hat. Es sind daher ganz einfach nur diese Regeln zu befolgen:

    • Immer schön Betriebssystem-Updates installieren
    • Einen aktuellen Webbrowser verwenden und nicht den Internet Explorer!
    • Software, die man installieren möchte, nur aus vertrauten Quellen downloaden
    • Keine Raubkopien herunterladen

    Der versierte Virus-Entwickler von heute programmiert sein Werk übrigens so, dass es stetig sein Aussehen verändert (polymorpher Code). Antivirus-Software versucht aber, Viren an bestimmten Signaturen zu erkennen. Das ist weitgehend hinfällig, wenn jede Kopie eines Virus anders aussieht. Die hinterhältigste Malware wird also von Viruscheckern gar nicht bemerkt.

    Die beste Methode, trotzdem sein System auf Malware zu prüfen, ist den Autostart-Bereich zu überprüfen. Jeder Trojaner oder ähnliches sollte nämlich sichergehen, dass er nach Systemneustart wieder geladen wird. Und das geht bei Windows (Haupt-Malware-Ziel) nun mal nur über den Autostart. Es gibt zwar viele verschiedene Autostart-Möglichkeiten, aber wenn man sich diese regelmäßig z.B. mit autoruns anschaut und neue Zugänge überprüft, bekommt man das Ganze gut in den Griff. Malware, die tiefer im System sitzt (Rootkits), kann man mit dem ebenfalls kostenlosen GMER erkennen. Eigentlich sollte man mit diesen Tools gut auskommen. Schaden kann das Anschalten der Windows Firewall zudem nicht.

  • Cloud-Nutzung überdenken

    Wer seine Daten in einer Cloud speichert, vertraut womöglich sensitive Informationen einem fremden Betreiber an. Vor dem Hintergrund der Ausspähskandale sollte man dann zumindest beachten, dass kein Anbieter im Ausland verwendet wird. Noch besser wäre es sicherlich, seine Daten selbst zu verschlüsseln, bevor sie hochgeladen werden. Diverse Cloud-Anbieter bieten auch Verschlüsselung an, aber was hilft die, wenn der Betreiber möglicherweise zur Herausgabe von Schlüsseln gezwungen wird?

  • Festplatten verschlüsseln

    Die Festplatten aller Arbeitsrechner sollten verschlüsselt sein. Ebenso Backup-Festplatten. Für Arbeitsrechner sollte eine komplette Verschlüsselung der Systempartition vorgenommen werden. Es kann dann niemand etwas mit dem Gerät anfangen, wenn es ausgeschaltet wurde und das Passwort nicht bekannt ist. Für die Verschlüsselung kann man Truecrypt verwenden, da es recht einfach zu bedienen ist. Um die Performance bei Dateizugriffen zu optimieren, sollte als Algorihtmus AES gewählt werden, da er mittlerweile von vielen Prozessoren direkt unterstützt wird.

  • Passwörter

    Dringend sollten alle Mitarbeiter geschult werden, sichere Passwörter zu verwenden. Ab zehn Zeichen Länge und bei Verwendung von Wörtern, die nicht in Wörterbüchern stehen und Zahlen und Sonderzeichen enthalten, ist man schon gut davor. Da sich aber kein Mensch solche Passwörter gut behalten kann, sollte man sich eine Eselsbrücke ausdenken.

    Praktikabel ist aus meiner Sicht, dass man sich einen kompletten Satz aus zehn oder mehr Wörtern ausdenkt, der auch Zahlen beinhaltet. Das Passwort setzt sich dann aus allen Anfangsbuchstaben der Wörter des Satzes zusammen. Es sollte natürlich ein möglichst phantasievoller Satz sein und kein Sprichwort, das jeder kennt. Wenn man dann noch ein bis zwei Sonderzeichen einstreut, ist das ein gutes Passwort.

    Passwörter, die mehrere Personen verwenden, sollten regelmäßig geändert werden. Möglicherweise einmal im Monat und auf jeden Fall dann, wenn eine dieser Personen aus dem Unternehmen ausscheidet.

    Generell ist die Schulung von technisch unbedarften Mitarbeitern bei diesem Thema wichtig. Sie sollen ihre Passwörter z.B. nicht auf irgendeinen Zettel schreiben und in der Schublade verwahren. Desweiteren sollte man sie auf Social-Engineering-Angriffe vorbereiten. Hacker rufen nämlich auch gerne mal im Sekretariat an und versuchen alles mögliche, um an Zugangsdaten zu gelangen.