Security Leitfaden

SECURITY-LEITFADEN für System- und Netzwerkadministratoren

1. Einleitung Dieses Dokument beschreibt die erforderlichen Maßnahmen und Vorkehrungen, die von System- und Netzwerkadministratoren berücksichtigt werden müssen. Sie dienen zur Sicherstellung der Informationssicherheit und dem Datenschutz.

2. Aufgaben des lokalen System- und Netzwerkadmins Der System- und Netzwerkadministrator muss die lokale Infrastruktur sicher und auf einem
aktuellen Stand halten, sowie auf aktuelle Bedrohungen präventiv reagieren. In den meisten Fällen handelt es sich hierbei um externe Dienstleister, die entsprechend beauftragt werden müssen. Von System-/Netzwerkadministratoren sind die folgenden Punkte zu prüfen bzw. umzusetzen:

2.1. Einsatz von aktueller Software: Betriebssysteme auf lokal betriebenen Servern, Arbeitsplätzen und Mobilgeräten, sowie sonstige installierte Software muss aktuell gehalten werden, um die Gefahr durch Sicherheitslücken zu minimieren. Das gilt auch für Router, Access-Points, Drucker, etc.
Stellt sich heraus, dass die Software eines Geräts eine kritische Lücke erweist, diese jedoch vom Hersteller nicht mehr geschlossen wird, so muss die Software möglichst rasch gegen eine neue Lösung ausgetauscht werden. Bei Mobiltelefonen mit Android Betriebssystem ist es leider sehr oft der Fall, dass vom Hersteller, z.B. Samsung sehr früh keine entsprechenden Updates mehr bereitgestellt werden. Hier hilft nur der Austausch des Geräts. Etwas Abhilfe kann hier der Kauf von Geräten mit „Stock-Android“ schaffen. Aufgrund der fehlenden Modifikationen des Herstellers ist die Updateverfügbarkeit deutlich höher, außerdem sinkt das Risiko, dass neben Google auch noch der Hersteller des Smartphones über seine eigene „Bloatware“ Daten sammelt. https://www.makeuseof.com/tag/reasons-stock-android/

2.2. Einsatz aktueller Hardware und Firmware: Auch Hardware kann von Sicherheitslücken betroffen sein oder aufgrund ihres Alters die Installation von aktueller, sicherer Software/Firmware verhindern. Firmware und BIOS bei Geräten immer aktuell halten, vgl. aktuelle CPU-Sicherheitslücke
„Spectre“. Wenn vom Hersteller keine Updates für kritische Sicherheitslücken mehr bereitgestellt werden, das betroffene Gerät möglichst rasch austauschen.

2.3. Durchsetzung von Passwortrichtlinien: Benutzerkonten, z.B. für Windows, E-Mail, FTP, VPN etc. müssen stets durch ausreichend lange und komplexe Passwörter bzw. Passphrasen geschützt sein. Auf keinen Fall darf für normale Anwendern oder Fremde ein anonymer Zugriff auf
sensible Daten oder Administrationsbereiche von Servern und Geräten wie Druckern möglich sein. (Siehe auch Punkt 2.5., 2.10., 2.11. und 2.13)

2.4. Einschränkung der Benutzerrechte: Benutzer dürfen weder im Netzwerk noch auf Ihren Arbeitsplätzen Administrator-Rechte besitzen. Für die Ausführung der allermeisten Anwendungen reichen gewöhnliche Benutzerrechte aus! So kann vermieden werden, dass Benutzer fremde, möglicherweise schädliche Programme ausführen bzw. installieren können. Auch wenn versehentlich Malware, z.B. aus einer E-Mail heraus geöffnet wird, ist die Wahrscheinlichkeit von Schäden geringer.

2.5. Zugriffsschutz bei sensiblen Daten: MitarbeiterInnen sollten generell nur auf Daten Zugriff haben, die sie für Ihre eigene Arbeit und die Zusammenarbeit mit anderen KollegInnen benötigen. Das erfordert z.B. die Regulierung des Zugriffs auf Netzwerkfreigaben und E-Mail Postfächer, aber auch die Zugriffsbeschränkung auf die Arbeitsplätze selbst. (Siehe auch Punkt 2.3. und 3.7.) Weiterführend müssen Benutzer sensibilisiert werden, dass sie kritische Daten aller Art ausschließlich auf Netzwerkfreigaben (Netzlaufwerke) ablegen, auf welche nur sie selbst bzw. nur berechtigte Personen Zugriff haben. Ein Vorteil hier ist auch, dass Daten auf solchen Netzwerkfreigaben (Netzlaufwerke) in der Regel täglich gesichert werden (Siehe auch Punkt 2.14.)

2.6. Einsatz aktueller Antiviren-Software: Der Virenschutz, und insbesondere dessen Aktualität muss sichergestellt werden. Auf Security-Komplettlösungen für Arbeitsplätze mit sogenannten Desktop-Firewalls sollte hingegen verzichtet werden, da diese oft mehr Probleme als Nutzen bringen und sich negativ auf die Performance auswirken. Stattdessen sollte als zusätzlicher Schutz sowohl auf Servern, als auch auf den Arbeitsplätzen stets die integrierte Windows Firewall aktiviert sein.

2.7. Deaktivierung riskanter Funktionen und Plug-Ins: Sehr oft werden Microsoft Office Makros im Unternehmen gar nicht benötigt. In so einem
Fall empfiehlt es sich, Makros generell zu deaktivieren, da diese ein Haupteinfallstor für Schadsoftware sind. Tipp: Die Deaktivierung kann, sofern ein Domaincontroller vorhanden ist, auch zentral per Gruppenrichtlinie durchgeführt werden. https://superuser.com/questions/1073060/disable-all-microsoft-office-macros-globally-forall-users Auch der Adobe Flash Player ist noch auf vielen Geräten installiert, stellt jedoch aufgrund
immer neuer kritischer Sicherheitslücken ein großes Sicherheitsrisiko dar. Da der Adobe Flash Player immer seltener benötigt wird, sollte eine Deinstallation oder Deaktivierung in Betracht gezogen werden.

2.8. Korrekte Konfiguration des Routers/der Firewall: Es dürfen keine lokalen Hosts, Ports, oder Services aus dem Internet zugänglich sein, bei
denen dies nicht unbedingt erforderlich ist.

2.9. Schutz von aus dem Internet erreichbaren Services: Bei Hosts und Services, die aus dem Internet erreichbar sind, sind sichere Passwörter und
die Verhinderung eines anonymen Zugriffs, sowie das Einspielen von Sicherheitsupdates zwingend notwendig! (Siehe auch Punkt 2.1. bis 2.3.)
Beispiele hierfür sind Fernwartungs- und VPN-Zugänge aller Art, sowie E-Mail- und Exchange-Postfächer, sowie auch Webmail-Zugänge.
Kritische Services wie SMTP, IMAP und Webdienste (z.B. Webmail, Outlook Anywhere), die nicht ohnehin im Standard verschlüsselt sind, dürfen zudem nur SSL/TLS-verschlüsselt betrieben werden.

2.10. Schutz von Drahtlosnetzwerken: Drahtlosnetzwerke (WiFi) müssen durch einen starken Preshared Key und WPA2 (AES) geschützt sein. Alternativ kann auch ein RADIUS Server eingerichtet werden, welcher nur im Active Directory vorhandene User autorisiert. Bei Preshared Keys wird eine Passphrase mit 16 oder mehr Zeichen empfohlen. Wird nur das Minimum von 8 Zeichen genutzt, muss die der Key entsprechend komplex sein (Sonderzeichen und Ziffern und Groß- und Kleinbuchstaben müssen in diesem Fall enthalten sein) Sind oft Gäste von externen Partnern zu Besuch, sollte ein Gast-WiFi eingerichtet werden, das keinen Zugriff auf das lokale Netzwerk gewährt. Generell sollte die WiFi-Infrastruktur aus Gründen der Sicherheit und Performance immer aktuell gehalten und auf leistungsstarke, gut vom Hersteller gewartete Geräte gesetzt werden.

2.11. Schutz von netzwerkfähigen Geräten aller Art: Bei sämtlichen Geräten im Netzwerk muss das Standardpasswort des Herstellers gegen
ein neues, sicheres Kennwort ersetzt werden. Das gilt für netzwerkfähige Drucker, genauso wie für Router, Switches, Access Points, Überwachungskameras und Sonstige.  Außerdem sollten nicht verwendete Features und Zugriffsprotokolle wie z.B. Telnet, SSH, etc. deaktiviert werden.

2.12. Verschlüsselung mobiler Geräte: Insbesondere bei mobilen Geräten, die kritische Firmendaten enthalten, sollten verschlüsselt in Erwägung gezogen werden. Bei Diebstahl oder Verlust kann so sichergestellt werden, dass keine Dritten an die auf den Geräten gespeicherten Daten gelangen.
In aktuellen Windows Versionen und mit aktueller Hardware (aktuelle CPU und vorhandener TPM-Chip) funktioniert dies recht einfach und zuverlässig mit dem integrierten Feature „BitLocker“.

2.13. Einblenden von Dateiendungen im Explorer: In den Ordneroptionen von Windows sollte stets der Schalter „Erweiterungen bei bekannten
Dateitypen ausblenden“ deaktiviert werden. So können Benutzer gefährliche Dateien wie böswillige E-Mail Anhänge besser erkennen.

2.14. BIOS-Passwort bzw. Standardkennwort setzen: Um bei auf Arbeitsplätzen den Zugriff Dritter auf lokal gespeicherten Daten zu erschweren,
sollte auf Workstations und Notebooks ein BIOS-Passwort gesetzt werden. So kann verhindert werden, dass jemand das Gerät z.B. per USB-Stick starten und manipulieren bzw. auslesen kann. Weiters sollte der Bildschirmschoner mit einem Kennwort versehen werden,
bzw. das System beim Verlassen abgesperrt werden muss.

2.15. Tägliche Datensicherung: Am besten in mehreren Versionen, z.B. täglich und 7 Versionen. Zudem sollte regelmäßig ein Backup der wichtigsten Daten an einem externen Standort verwahrt werden, um den Erhalt der Daten bei einem möglichen Brand oder bei einem Einbruch sicherzustellen.
Diese Verwahrung muss sicher sein, z.B. in einem Safe, sodass keine unbefugten an die Firmendaten gelangen. Wichtig: Die Funktion und Vollständigkeit des Backups ist regelmäßig zu prüfen!

2.16. Entsorgung von Altgeräten und Datenträgern: Unternehmensdaten auf Festplatten von Altgeräten und sonstigen ausgedienten Datenträgern
müssen vor der Entsorgung zuverlässig mit dafür vorgesehener Software zerstört („geschreddert“) werden. Das gilt auch für den Fall, dass alte Hardware verkauft oder verschenkt wird. Wichtig: Das bloße löschen von Partitionen und anschließendes Formatieren der Datenträger reicht nicht aus, mit entsprechenden Tools können die vermeintlich gelöschten Daten relativ einfach wiederhergestellt werden. Ist das „Schreddern“ aufgrund eines Defekts nicht mehr möglich, oder der Aufwand zu hoch, müssen die Bauteile, die die Daten enthalten (Festplatten, Flash-Module, USBSticks,…)
physisch zerstört werden. Hierbei ist darauf zu achten, dass der Schaden so groß genug ist, dass keine Daten mehr vom jeweiligen Datenträger ausgelesen werden können. Bei Festplatten empfiehlt sich z.B. das mehrmalige Durchbohren mit einem Metallbohrer.

2.17. Awareness-Schulungen: Durch Aufklärung der MitarbeiterInnen über gängige Risiken und der Vermittlung damit verbundener Verhaltensregeln, können häufig Angriffe von außen und damit verbundene Schäden vorab verhindert werden. MitarbeiterInnen sollten vom lokalen Systemadministrator alle 3 Jahre über aktuelle Bedrohungen unterrichtet werden.

Aktuell sind das folgende Themen:
 Know-how im Umgang mit Bedrohungen durch Social Engineering
 Know-how im Umgang mit Bedrohungen durch Malware
 Worauf ist bei E-Mails konkret zu achten, wie erkennt man diverse Angriffe?
 Aktuelle Anwendungsbeispiele und Szenarien, wie mit Angriffen umzugehen ist.
Dadurch können MitarbeiterInnen E-Mails von kriminellen Absendern, darin möglicherweise enthaltene Schadsoftware oder gefährliche Links selbstständig erkennen, bzw. zumindest soweit sensibilisiert werden, dass sie im Zweifelsfall die zur Verfügung stehenden IT-Experten zu Rate ziehen.
Konkrete Beispiele für aktuelle Bedrohungen: Phishing-Angriffe oder die Verbreitung von Ransom- und Malware per E-Mail, insbesondere
durch Makros, unterstützt durch vorheriges „Social Engineering“.  Auch über Themen wie „CFO Fraud“ (eng: BEC attacks) sollte Aufklärung erfolgen.
https://blog.barkly.com/what-is-a-business-email-compromise-bec-attack-andhow-can-i-stop-it)

IT-Sicherheit ist für jedes Unternehmen überlebenswichtig!

IT-Sicherheits-Maßnahmen kosten Zeit und Geld, stehen aber in keiner Relation zu dem Schaden, der eintreten kann wenn der „Teufel“ zuschlägt. Mehr als ein Viertel der Unternehmen sichern ihre Daten nur anlassbezogen oder sogar nie. Ein kompletter Datenverlust (z.B. aufgrund eines Erpessungstrojaners oder einer defekten Festplatte) kann aber existenzbedrohende Folgen für Unternehmen haben. Jedes Unternehmen muss für sich selbst entscheiden, welche Risiken bewusst in Kauf genommen und welche Risiken mit technischen und organisatorischen Maßnahmen minimiert bzw. vermieden werden sollen.

Aktive Inhalte: Als aktive Inhalte werden von einem Webserver an den Internet-Browser übermittelte Programme/ Skripte bezeichnet, die anschließend auf dem PC lokal ausgeführt werden. Bekannte Vertreter sind ActiveX, Javascript und Java. Üblicherweise dienen sie zur Erleichterung der Webseitenbedienung oder steigern die Attraktivität durch spezielle Effekte. Sie können aber auch eingesetzt werden, um Schadroutinen auszuführen und sind als Sicherheitsrisiko anzusehen.

Phishing: .. ist ein Kunstwort aus den beiden Begriffen „Password“ und „Fishing“ und bezeichnet den Versuch, mittels gefälschter E-Mails an fremde Nutzerdaten (Login, Passwort, TAN etc.) zu gelangen. Üblicherweise wird die Empfängerin oder der Empfänger eines solchen Mails unter Vorspiegelung falscher Tatsachen (Userdaten gingen verloren, Neuidentifikation ist notwendig …) aufgefordert, die Webseite einer Bank (Online Shop, Kreditkarteninstitut, Auktionshaus etc.) aufzusuchen und dort Zugangsberechtigungen einzugeben. Diese Webseiten sind ebenfalls gefälscht und sehen den Originalen zum Verwechseln ähnlich. Die eingegebenen Daten landen auf den Servern von Betrügern, die mit den Nutzerdaten Transaktionen zum Schaden der User durchführen.

Quarantäne: In Analogie zum medizinischen Begriff bezeichnet man damit jenen „Ort“, wo mit Schadprogrammen infizierte Daten aufbewahrt werden. Anti-Virenprogramme verlagern Dateien in die Quarantäne, um die Schadroutine eventuell zu einem späteren Zeitpunkt zu entfernen.

RAID: Ein RAID-System dient zur Organisation mehrerer physischer Festplatten eines Computers zu einem logischen Laufwerk, das eine größere Speicherkapazität, eine höhere Datensicherheit bei Ausfall einzelner Festplatten und/oder einen größeren Datendurchsatz erlaubt als eine physische Platte. Bei RAID-Systemen werden gezielt redundante Informationen erzeugt, damit beim Ausfall einzelner Komponenten das RAID als Ganzes seine Funktionalität und somit auch die gespeicherten Daten behält.

Ransomware: Als RANSOMWARE (ransom, eng.: Lösegeld) bezeichnet man Schadsoftware, die entweder die Benutzung des Computers oder den Zugriff auf wichtige Dateien verhindert und erst nach Zahlung an den Angreifer wieder freigibt. Typische Vertreter dieser Kategorie sind Verschlüsselungstrojaner, die wichtige Dateien verschlüsseln und damit unbrauchbar machen. Eine Entschlüsselung ist erst nach Durchführung einer anonymen Geldanweisung an den Angreifer, z.B. via Bitcoin, möglich. Es ist aber keineswegs sicher, dass sie wirklich funktioniert.

Rootkits: sind Schadprogramme, die in der Lage sind, sich auf einem Rechner vollständig unsichtbar zu machen. Sie verbergen sich vor Antivirusprogrammen und Benutzereinblicken und werden oft erst durch den entstandenen Schaden auffällig, z.B. wenn der Provider den Internetzugang sperrt, weil Spam-Mails verschickt wurden. Häufig dienen sie auch zum Verstecken von „Hintertüren“, mit deren Hilfe das Fernsteuern des Rechners möglich ist, um ihn für Hack-Angriffe auf BYOD (Bring Your Own Device, d.h. „Bring dein eigenes Gerät“) ist eine Strategie, Kosten einzusparen und die Mitarbeitermotivation anzuheben, indem die Verwendung privater IT-Geräte wie Smartphones oder Notebooks für berufliche Zwecke zugelassen wird. Dabei entstehen allerdings verschiedene Probleme in rechtlicher und sicherheitstechnischer Hinsicht, die vor dem Einsatz unbedingt geklärt werden müssen. andere Rechner zu missbrauchen. Rootkits werden durch Computerviren oder durch die Installation zweifelhafter Software eingeschleppt. Ihre Entdeckung und Entfernung ist schwierig; im Internet findet man aber verschiedene (häufig kostenlose) Anti-Rootkit-Programme, die dazu in der Lage sind.

DDOS-Attacke: Unter DDoS- (Distributed Denial of Service = Verweigerung des Dienstes) Attacke versteht man einen Angriff einer Vielzahl von Rechnern auf einen Computer mit dem Ziel, dessen Verfügbarkeit durch Überlastung außer Kraft zu setzen. KRYPTOTROJANER: Krypto- oder Verschlüsselungstrojaner verschlüsseln auf befallenen PCs verschiedenste Arten von Dateien wie z.B. Office-Dokumente, PDF-Dateien, Bild- und Musikdateien, Dateiarchive etc. Eine Möglichkeit zur Entschlüsselung wird gegen Zahlung an den Angreifer angeboten, häufig funktioniert diese aber nicht und ist technisch gar nicht vorgesehen. Hinsichtlich der Einfallswege unterscheiden sich Kryptotrojaner nicht von anderer Schadsoftware.

NEXT GENERATI ON-FIREWALL: Als Next Generation-Firewalls werden Geräte bezeichnet, die zusätzlich zur Schutzwirkung einer traditionellen Firewall vertiefte Prüf- und Eingriffsmöglichkeiten auf Applikationsebene bieten. Damit können z.B. einzelne Anwendungen blockiert oder nur für bestimmte Benutzer freigegeben werden, weiters kann auch bei verschlüsselten Verbindungen der Download von Schadsoftware blockiert werden.

Soziale Netzwerke:   sind Netzgemeinschaften, die meist über Internetportale zugänglich sind. Über das Portal können Benutzerinnen und Benutzer eigene Inhalte erstellen und austauschen. Typische soziale Netzwerke bieten die Möglichkeit, Profile über die eigene Person, Vorlieben und Interessen anzulegen, sowie Kontakte zu anderen Benutzerinnen und Benutzern herzustellen und mit diesen zu kommunizieren.

Snapshot: Snapshot-Technologien dienen zur Aufbewahrung älterer Versionen eines Datenbestands, mit deren Hilfe eine versehentlich überschriebene Datei ohne großen Aufwand wieder hergestellt werden kann. Snapshots können aber auch von ganzen Datenträgern gemacht werden. Insbesondere größere Speichersysteme (Storage Area Networks) nutzen diese Möglichkeit, um Datensicherungen zu beschleunigen.

Spam: Als Spam werden unerwünschte Werbemails bezeichnet, die mittlerweile einen Großteil des weltweiten E-Mail-Verkehrs ausmachen. Auch bei kleineren Unternehmen ist es durchaus möglich,  mehrere hundert Spam-Mails pro Tag zu erhalten. Gefährlich ist Spam grundsätzlich nicht, er kostet allerdings Arbeitszeit und Internet-Bandbreite. Mittels eigener Spam-Filter können bereits auf Provider/Mailserver-Ebene oder auch erst am lokalen Rechner unerwünschte Mails gefiltert und gelöscht werden.

Spyware: Programme, die unbemerkt das Surfverhalten ausspionieren. Diese Daten werden an den Hersteller der Software oder auch an Dritte, meist mit dem Zweck, personalisierte Werbung und Pop-ups einzublenden, weitergeleitet. Mittels Spyware können aber auch sensible persönliche Daten an Unbefugte übertragen werden.

SSL /HTTPS:   ist die Abkürzung für Hyper Text Transfer Protocol Secure, das durch die Verwendung des Verschlüsselungsverfahrens SSL ausreichende Sicherheit für die Übertragung sensibler Daten bietet. Mit Hilfe dieses Verfahrens werden einerseits die übertragenen Daten verschlüsselt und abhörsicher gemacht, andererseits wird durch die Verwendung von digitalen Zertifikaten die Identität des Webservers gesichert. Einem Angreifer sollte es – richtige Handhabung vorausgesetzt – nicht möglich sein, sich z.B. als E-Banking-Server auszugeben, um Benutzerinnen und Benutzern ihre Passwörter, PINs oder TANs zu entlocken.

Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion, ohne Selbstreproduktion. Trojaner tarnen sich als nützliche, gutartige Programme: Ein Programm, das zum Zweck der Viren-Entfernung aus dem Internet heruntergeladen wird, kann so unter Umständen genau das Gegenteil bewirken. Daher sollte immer die Seriosität der Quelle, von der ein Programm bezogen wird, überprüft werden.

Verschlüsselungstrojaner: Verschlüsselungs- oder Kryptotrojaner verschlüsseln auf befallenen PCs verschiedenste Arten von Dateien wie z.B. Office-Dokumente, PDF-Dateien, Bild- und Musikdateien, Dateiarchive etc. Die Entschlüsselung ist erst nach Zahlung an den Angreifer möglich, häufig funktioniert sie aber nicht und ist technisch auch gar nicht vorgesehen. Verschlüsselungstrojaner unterscheiden sich ansonsten nicht von anderer Schadsoftware. Es gelten auch dieselben Vorsichtsmaßnahmen zur Abwehr.

Viren: Nicht-selbständige, in andere Programme oder Dateien eingebettete Programmroutinen, die sich selbst reproduzieren und dadurch Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornehmen.

Virtualisierung: Mit Virtualisierung wird die Erstellung von „künstlichen“ (virtuellen) Ressourcen bezeichnet. So können insbesondere auf einem einzelnen physischen Servers (des „Hosts“) mehrere virtuelle Server (manchmal als „Guests“ bezeichnet), die voneinander weitestgehend unabhängig sind, eingerichtet werden. Dadurch können Energie- und Hardwarekosten reduziert und ausfallsichere Serverlösungen eingerichtet werden.

WEP: (Wired Equivalent Privacy) ist ein veraltetes Verschlüsselungsprotokoll für Drahtlosnetzwerke. Es weist verschiedene Schwachstellen auf, die genützt werden können, um unbefugt in das Netzwerk einzudringen. Es sollte daher nicht mehr eingesetzt werden.

WPA und WPA2: sind Sicherheitsstandards für Drahtlosnetzwerke, die zusichern sollen, dass sich ausschließlich zugelassene Geräte und Personen mit dem Netzwerk verbinden können. Beide gelten derzeit als sicher, sofern ein ausreichend langes, komplexes und nicht erratbares Passwort als Pre-Shared-Key (PSK) eingesetzt wird. WPA2 bietet als Nachfolger von WPA etwas bessere Sicherheit und sollte im Zweifelsfall vorgezogen werden.

Würmer: Selbständige, selbst reproduzierende Programme, die sich in einem System (vor allem in Netzen) ausbreiten. Zu diesem Zweck verwenden viele Würmer das Adressbuch des infizierten Rechners und versenden Mails mit gefälschten Absenderadressen. Das Öffnen solcher Mails kann bei einem ungeschützten System zu einer Infizierung führen.