IT-Security: Cyberattacke durch „Wannacry“?

Der Beitrag IT-Security: Schutz gegen Cyberattacken erschien zuerst auf kaneo GmbH - green IT solutions.

Der erste Teil (hier nachzulesen) beschäftigt  sich ausführlich mit der Bedeutung von regelmäßigen Backups und zeigt Strategien auf, wie gerade kleine und mittlere Unternehmen Daten-Backups effizient und ressourcenschonend erstellen und aktuell halten können. Im zweiten Teil steht die Frage im Mittelpunkt, inwieweit beim Einsatz von Cloud-Diensten Datenschutzprobleme auftreten können und wie sich dieses Risiko mit einer durchdachten und individuell anpassbaren Cloud-Strategie minimieren lässt (Hier geht es zum Artikel).

Der abschließende dritte Teil widmet sich nun dem Thema Prävention: Wie lassen sich Sicherheitslücken in der IT nach Möglichkeit vermeiden oder doch wenigstens rechtzeitig erkennen, damit ein Schaden gar nicht erst entsteht?

Wer in diesen Tagen nach den meistdiskutierten IT-Themen 2016 fragt, wird höchstwahrscheinlich sehr oft den Begriff „Hacker-Angriffe“ hören.  Nach dem Bekanntwerden großangelegter Attacken auf bekannte Konzerne wie die Telekom, Yahoo oder Thyssenkrupp ist längst die öffentliche Debatte entbrannt: Im Zentrum die Furcht vor einer – vermeintlichen oder tatsächlichen – Gefährdungslage durch Hacker-Angriffe und der Ruf nach mehr IT-Sicherheit.

Doch während rund drei Viertel aller Umfrageteilnehmer einer aktuellen Studie des US-Hardwareriesen Cisco Cyber-Attacken als zukünftig wachsende Gefahr einstuften, gaben immer noch mehr als ein Viertel an, für das kommende Jahr keine nennenswerten Investitionen im Bereich  IT-Sicherheit zu planen.  Und 10 Prozent der befragten Betriebe verfügten nicht einmal über ein zusammenhängendes Security-Konzept für alle Unternehmensbereiche.

Gerade Mittelständler und kleinere Betriebe sehen hier offenbar seltener Handlungsbedarf – sind es doch scheinbar vorwiegend die „Großen“ auf dem Markt, die in der Vergangenheit zur Zielscheibe von Cyber-Kriminalität wurden. Was bei dieser Betrachtungsweise übersehen wird:

IT-Sicherheit geht alle an. Wirklich alle.

Zum einen richten sich Hacker-Angriffe durchaus auch oft  gegen weniger bekannte Unternehmen  – über deren Schaden dann logischerweise auch wenig bis gar nicht berichtet wird. Wer selbst schon mal erleben musste, wie seine Firmen-Webseite gehackt wurde, kann davon ein Lied singen.

Zum anderen sind Angriffe von außen nicht die einzige und auch keineswegs die häufigste Ursache für Datenverluste in Unternehmen.

Weitaus verbreiteter sind noch immer Schäden durch klassisches „menschliches Versagen“ sowie Server-Ausfälle und Software-Fehler, denen meist eine unzureichend gewartete IT zugrunde liegt.

Doch was gilt es zu beachten, damit die eigene IT-Infrastruktur nicht nur stabil sondern vor allem sicher läuft?

Tatsächlich lassen sich die beiden wichtigsten Grundregeln der IT-Sicherheit ganz einfach auf den Punkt bringen:

1.: Die in diesem Moment aktuellste IT ist gleichzeitig auch die sicherste IT. Jedenfalls für diesen Moment.

2.: Vorsorge ist besser als Nachsorge bzw. Schadensbegrenzung. Diesen Leitsatz aus der analogen Welt wird jeder IT-Administrator ohne Einwände unterschreiben.

Heute arbeiten rund um die Uhr und überall auf der Welt zahllose Netzwerkspezialisten im Auftrag der Hersteller daran, mögliche Sicherheitslücken in allen Arten von Software und Systemkonfigurationen aufzudecken und durch Patches zu schließen. Das (zeitnahe) Aufspielen solcher Security-Updates ist kein „nice-to-have“ für den Anwender sondern gehört zu den absoluten Notwendigkeiten, um ein System stabil und „abwehrbereit“ zu halten. Doch angesichts der Fülle von Updates, die mittlerweile praktisch täglich erscheinen, kann man selbst als Experte manchmal den Überblick verlieren …

Welches Update ist wann für wen relevant? Ist das Update kompatibel mit allen im Unternehmen verwendeten Systemen und Softwareversionen? Muss es das überhaupt sein? Und wie findet man das im Zweifelsfalle heraus?

Diesen Fragen begegnet kaneo zuvorderst mit einem klar strukturierten Update Management, das mindestens 6 Grundbedingungen beachtet:

Jede IT umfasst heute selbst in kleinen Unternehmen eine Vielzahl von Systemkomponenten und Endgeräten. Eine vollzählige und beständig aktualisierte Liste, die sämtliche Hardware vom Server bis zum USB-Stick einschließt, ist Pflicht im Update Management.

Zudem sollten Inventarlisten weitere Informationen über die Ausstattung und Nutzungsgewohnheiten der Clients enthalten, wie etwa Betriebssysteme, Softwareversionen, Gerätestandorte, IP Adressen, Zugriffsrechte etc.

Die Ausstattung einzelner Rechner in firmeninternen Netzwerken ist häufig sehr heterogen. Unterschiedliche Betriebssysteme oder mehrere Versionen eines OS laufen ebenso nebeneinander wie neuere und ältere Anwendungssoftware.  In Teilen kann dies – v.a. mit wachsender Unternehmensgröße und für einzelne Abteilungen – natürlich auch sinnvoll sein. Doch ein einheitliches Update Management wird durch eine solch fragmentierte Software-Architektur erschwert. Zudem entstehen neue mögliche Sicherheitslücken – insbesondere wenn eigentlich veraltete Software weiter eingesetzt werden soll.
Hier sollten Unternehmen auf keinen Fall an der falschen Stelle sparen!

Für die gesamte IT-Infrastruktur gilt der Grundsatz:
Soviel Vereinheitlichung wie möglich, soviel Individualisierung wie nötig.

Viele Hersteller veröffentlichen ihre Patches nach festen Zeitplänen – z.B. jeden ersten Freitag im Monat. Für die IT-Administratoren im Unternehmen bietet es sich da an, den eigenen Wartungsturnus an solchen Terminen zu orientieren. Regelmäßige fest datierte Wartungsläufe halten prozessbedingte Downtime-Zeiten so gering wie möglich und bieten Planbarkeit für alle Mitarbeiter.

Doch was etwa für zentrale Server Updates hervorragend funktioniert, lässt sich nicht 1 zu 1 auch auf die Wartung der einzelnen Arbeitsplätze übertragen.

Für das Client- oder Desktopmanagement müssen u.U. abweichende Regelungen gefunden werden, um dessen dezentraler Struktur gerecht zu werden.

Wer die Regeln 1. und 2. hinreichend beachtet, kann an dieser Stelle viel Arbeitsaufwand einsparen.

Längst nicht jedes Update schliesst eine kritische Sicherheitslücke. Dabei ist die schiere Anzahl und Erscheinungshäufigkeit von Updates in den letzten Jahren stark gestiegen – was v.a. der wachsenden Komplexität vieler Programme und der Vielzahl möglicher Systemkonfigurationen geschuldet ist. Oftmals geht es dabei „nur“ um Fragen der Performance, der Usability oder ums Design. Gleichwohl enthalten auch solch scheinbar „unwichtigere“ Updates wertvolle Verbesserungen, um die IT stabil und v.a. anwenderfreundlich betreiben zu können. Ebenso ist nicht jedes Sicherheits-Update für jedes System zwingend.

Doch wie erkennt man nun, welche Updates so wichtig sind, dass sie unbedingt sofort installiert werden sollten – und auf welche Patches man getrost auch mal verzichten kann?

Kaneo rät dringend dazu, diese Fragen ausschließlich von IT-Experten beantworten zu lassen.

Gerade kleinere Unternehmen messen diesem Bereich der IT-Sicherheit oft immer noch eine zu geringe Bedeutung bei. Die Entscheidung, ob und wann ein aktuell vom Hersteller angebotenes Software-Update aufgespielt werden soll, wird vielfach den Anwendern selbst überlassen. Dieses Vorgehen kostet die Mitarbeiter nicht nur wertvolle Arbeitszeit, sondern kann u.U. auch verheerende Folgen haben, wie dieses Beispiel veranschaulicht:

Während ein Mitarbeiter  grundsätzlich jeder Update-Aufforderung auf seinem PC unverzüglich nachkommt, hat sein Kollege am Nachbartisch seit Monaten jede entsprechende Benachrichtigung sofort weggeklickt. Zwar arbeiten beide mit den gleichen Programmen, doch sind diese unterschiedlich aktuell – zudem hat sich der übereifrige Updater mit der neuesten Softwareversion leider auch unwissentlich einen Programmfehler, einen sog. „Bug“ eingefangen, was nun zu  erheblichen Problemen in der Kommunikation zwischen den Rechnern der beiden Kollegen führt … Kommt es dann gar zu einem System-Ausfall, wird die einheitliche Wiederherstellung der Arbeitsstände aller Anwender-Plätze unter diesen Umständen nahezu unmöglich.

Es gilt also die Faustregel: Update Management ist Expertensache. Und Relevanz-Beurteilung ganz besonders.

Tatsächlich sollte, um überflüssige Update-Vorgänge zu vermeiden und wertvolle Ressourcen einzusparen, die Relevanz jedes neuen Patches vor dem Aufspielen von erfahrenen IT-Fachleuten –  z.B. dem kaneo-Team – individuell analysiert und beurteilt werden. Abhängig vom tatsächlichen Vorhandensein möglicher betroffener Komponenten und weiteren Sicherheitseinstellungen, etwa denen der Firewall. Nicht zuletzt spielen aber  auch  die Wahrscheinlichkeit, mit der es ohne das Update in absehbarer Zeit zu Ausfällen und Datenverlusten kommen könnte und die dann damit real verbundenen Kosten eine Rolle bei der Relevanz-Beurteilung.

Aus den vorherigen Punkten wird klar: Permanentes Update-Management bedeutet permanente Arbeit am System – auch dann, wenn alles läuft.

Es empfiehlt sich daher unbedingt, überall dort, wo Abläufe vereinheitlicht werden können, diese auch weitestgehend automatisiert ablaufen zu lassen. Von kostenlosen Tools bis hin zu hoch individualisierbarer Premium-Software sind heute zahlreiche Patch-Management-Lösungen auf dem Markt, die insbesondere bei der Umsetzung der Punkte 1., 3. und 4. wertvolle Unterstützung leisten können.

Und nicht nur Großunternehmen mit breit angelegter IT-Infrastruktur profitieren von Automatisierung in diesem Bereich.

Gerade KMUs, die ihre IT oft aus personellen Gründen von externen Dienstleistern betreuen lassen, gewinnen so Kapazitäten.

Denn  hinzugezogene Experten – wie etwa kaneo – müssen weniger Arbeitszeit mit Routine-Aufgaben zubringen und können ihren Einsatz auf das optimale Management von Sonderfällen konzentrieren .

Obwohl jedes veröffentlichte Update von den Entwicklern selbstverständlich auf Herz und Nieren geprüft wurde, was sein Verhalten unter vielfältigen Bedingungen angeht:

Der beste Test ist noch immer der, den man selbst durchgeführt hat.

Denn nur was in der eigenen Systemumgebung mit all ihren möglichen Besonderheiten getestet wurde, kann schließlich auch sicher in ebendieser Umgebung laufen. Integraler Bestandteil für jedes professionelle Update-Management ist daher die Bereitstellung einer – kleinen aber repräsentativen – Testumgebung, in der die gleichen Bedingungen herrschen wie im zu wartenden System.

Neben den Vorabtests ist auch ein permanentes Monitoring der gesamten IT-Infrastruktur von großer Bedeutung. Netzwerkprozesse sind hochkomplex und dynamisch: Da zeigt sich oft erst mit der Zeit, wie sich ein Update z.B. auf die Performance von Drittanbieter-Software auswirkt.

Das regelmäßige Beobachten und Protokollieren aller Vorgänge  – v.a. natürlich von Abweichungen – hilft dabei, mögl. Sicherheitslücken, System- und Programmfehler frühzeitig zu erkennen und Schäden entgegenzuwirken, bevor diese nennenswerte Ausmaße erreichen.

„Drei Standbeine für mehr Datensicherheit im Unternehmen“- dem  Titel dieser dreiteiligen Artikelserie folgend, hat kaneo in den vergangenen Monaten drei Schwerpunkte aus dem großen Themenumfeld „IT-Sicherheit“  herausgegriffen und unter die Lupe genommen:

1. Wichtige Grundregeln für eine nachhaltige Backup-Strategie;

2. Sinnvolle und ressourcenschonende Integration von Cloud-Angbeboten

3. Vorbeugender Schutz vor Systemfehlern und Ausfällen durch ein professionelles Update Management.

Viele wichtige Aspekte konnten dabei noch gar nicht behandelt oder nur kurz angerissen werden. Welche Kriterien sollte z.B. eine optimal konfigurierte Firewall erfüllen? Und welche effektiven Möglichkeiten haben Unternehmen, um in Sachen IT-Sicherheit dem  – nicht zu unterschätzenden – „Risikofaktor Mensch“ zu begegnen? Gemeint sind damit übrigens gar nicht in erster Linie Spionage-Akte, sondern vielmehr klassiche Anwenderfehler, die in den Händen Unbefugter leicht auch versehentlich große Schäden anrichten können … Der Schlüssel zur Lösung dieses Problems lautet u.a.: Rechte und Rollen festlegen.

Diesen – und weiteren – Fragen  wird sich der kaneo-Blog im neuen Jahr widmen. Denn davon darf ausgegangen werden:

Das Thema IT-Sicherheit wird auch 2017 nicht an Relevanz verlieren.

In Zeiten einer immer ausgeprägteren Digitalisierung der Arbeitswelt, ist die IT längst zum zentralen Dreh- und Angelpunkt für die meisten Betriebsabläufe geworden. Die Sicherheit der IT ist damit auch Kernbestandteil der Sicherheit für das gesamte Unternehmen.

Eines sollte dabei nie aus dem Blick geraten: Selbstverständlich bieten auch die bestdurchdachten Sicherheitsstrategien keinen absoluten Schutz. In jedem System treten über kurz oder lang Fehler auf. Meist sind es die beteiligten Menschen, welche, direkt oder indirekt, Fehler verursachen. Und so gilt stets die alte Regel: Jedes (Sicherheits)System ist nur so gut wie die Menschen, die daran arbeiten, es zu verbessern.

Der Beitrag Drei Standbeine für mehr Datensicherheit im Unternehmen – Teil 3: Vorsorge statt Sorge erschien zuerst auf kaneo GmbH - green IT solutions.

Der zweite Teil widmet sich nun der spannenden Frage: Welche Rolle spielt in diesem Zusammenhang das vieldiskutierte Thema
Cloud Computing?

Fakt ist, dass mittlerweile immer mehr Unternehmen der Nutzung von Cloud-Services zur Datenverwaltung aufgeschlossen gegenüber stehen.

Das gilt auch und gerade für den Mittelstand, der hierzulande üblicherweise im Hinblick auf technologische Innovationen als abwartend gilt. In einer Studie, die das deutsche Marktforschungsinstitut Crisp Research Ende vergangenen Jahres durchgeführt hat, gaben gut 85 % aller befragten mittelständischen Unternehmen an,  Cloud-Dienste bereits aktiv zu nutzen oder deren Einsatz für die nahe Zukunft zu planen (Quelle: Crisp Research).

Doch der steigenden Popularität von Cloud Computing in den Führungsetagen stehen nicht selten erhebliche Sicherheitsbedenken der täglichen Anwender gegenüber. Eine zweite aktuelle Studie aus dem Mai 2016 verdeutlicht: Die im Auftrag des niederländischen IT-Security-Anbieters Gemalto durchgeführte Befragung von knapp 3500 IT-Verantwortlichen aus neun Ländern (darunter Deutschland, die USA, Japan und Indien) ergab bei mehr als der Hälfte aller Teilnehmer Zweifel an der Sicherheit ihrer eigenen Cloud-Strategie. Als besonders sensibles Feld wurde die Speicherung von Kundendaten in der Cloud benannt (Quelle: wiwo.de)

Sollte man Cloud-Speicher nun als nützliches Instrument zur externen Datensicherung und -verwaltung betrachten oder doch eher mit Vorsicht genießen? Was sollte man wissen, bevor man sich als Unternehmen für eine Cloud-Lösung entscheidet? Welche Sicherheitsbedenken in puncto Datenschutz sind angebracht und wie lassen sich diese ausräumen? Diesen und weiteren Fragen geht kaneo im Folgenden auf den Grund.

Am ehesten ließe sich der Begriff Cloud Computing
mit „Datenverarbeitungswolke“ übersetzen.

Dahinter steckt nichts anderes als die Bereitstellung einer virtuellen IT-Infrastruktur via Internet oder Intranet,  bestehend aus einer Vielzahl von miteinander vernetzten Rechnern, verteilt auf Server und Rechenzentren an unterschiedlichen Standorten. Für den Nutzer eines Cloud-Service bedeutet das: IT-Ressourcen werden nicht länger gekauft, sondern gemietet.

Die Ressourcen können einerseits kumuliert (so dass auch bei hoher Auslastung immer genügend Kapazitäten zur Verfügung stehen) und andererseits bedarfsorientiert umverteilt werden.

Da die Abrechnung der Cloud-Anbieter üblicherweise nutzungsbasiert erfolgt, lassen sich für den Anwender so im Falle einer geringeren Auslastung erheblich Kosten einsparen– während die ungenutzten IT-Ressourcen wiederum anderen Kunden des Cloud-Dienstes zur Verfügung gestellt werden können. So erfolgt eine optimale Nutzung der vorhandenen Kapazitäten.

Die Anwendungsgebiete reichen dabei von bloßem Speicherplatz über Softwarenutzung bis hin zu kompletten IT-Systemen für sämtliche Vorgänge der Datenverarbeitung im Unternehmen.

Nach gängiger Definition werden drei Servicemodelle unterschieden:

• Infrastructure as a Service (IaaS)
  Der Cloud-Anbieter stellt lediglich die „Arbeitsbasis“ in Form von Rechnerkapazitäten, Speicherplatz und sonstigen Hardware-Ressourcen zur Verfügung – gewissermaßen ein „unbeschriebenes Blatt“, das der Anwender selbst befüllen kann. In welchem Unmfang die bereitgestellte IT-Infrastruktur wann und wie genutzt wird und welche Software dabei zum Einsatz kommt, liegt in der Verantwortung des Kunden. (Self-Service-Prinzip)
  ⇒ Ein Beispiel hierfür wäre ein reiner Cloudspeicher-Dienst, der dem Kunden lediglich die Auslagerung von Daten ermöglicht, ohne eine zugehörige Softwareumgebung zur Verwaltung der Inhalte bereit zu stellen

• Platform as a Service (PaaS)
  Bei diesem Modell wird dem Anwender über die Cloud auch Zugriff auf Programmierschnittstellen oder Laufzeitumgebungen gewährt – wobei Rechenleistung und Datenkapazität wiederum flexibel anpassbar bleiben (Prinzip der Skalierbarkeit)
  Der Kunde kann so beispielsweise – innerhalb einer geschützten Umgebung in der Cloud –  eigene Software entwickeln und online ausführen.
  ⇒ Beispielhaft für PaaS-Angebote sind etwa Service-Provider für Webseiten. Der Kunde kann sein Produkt frei gestalten; während der Anbieter sich um die komplette Verwaltung über den Server kümmert und dessen Konnektivität gewährleistet (Reliability und Quality of Service)

• Software as a Service (SaaS)
  Hier werden über den Cloud-Service komplette Softwareumgebungen und Anwendungssysteme bereit gestellt. Dieses Modell wird häufig auch als Software on demand bezeichnet. Statt (oft sehr speicherintensive) Business-Anwendungen als Komplettpakete kaufen und installieren zu müssen, erfolgt der Zugriff auf die Arbeitsumgebung bei Bedarf per Login ins Cloud-Netzwerk. Alle Nutzer der Software teilen sich dabei, unbemerkt voneinander, die benötigten IT-Ressourcen – deren Verbrauch dadurch nicht nur ökonomisch, sondern auch ökologisch betrachtet optimiert werden kann.
  ⇒ Als Beispiele für Software on Demand lassen sich u.a. cloudbasierte Lösungen zum Scheduling und zur Organisation von Teams heranziehen. Auch vollständige CRM-Systeme werden mittlerweile nicht selten in die Cloud verlagert.

Durch Auslagerung in die Cloud lässt sich
die firmeneigene IT-Infrastruktur schlank halten.

Gleichzeitig werden Daten sicher gelagert und bleiben jederzeit zugriffsbereit.

Tatsächlich bieten Cloud-Lösungen gerade für kleinere Unternehmen eine gute Möglichkeit,  um IT-Kosten und Energieverbrauch effektiv zu senken. Insbesondere dann, wenn regelmäßig anfallende Arbeitsvorgänge, die viele Ressourcen verbrauchen (z.B. Backups) in die Cloud verlagert werden. Als Spezialist auf diesem Gebiet empfiehlt kaneo:

Wer als Unternehmen verstärkt auf Green IT setzen möchte, sollte Cloud-Lösungen in seine Backup-Strategie einbinden.

Selbstverständlich jedoch nicht als alleinigen Speicherort sondern in Ergänzung zu klassischen Methoden.  So wird etwa auf diesem Wege ein ausfallsicheres externes Backup erzeugt und damit die Grundsatzregel 3-2-1 erfüllt (Mehr dazu im 1.Teil der großen kaneo-Serie zur Datensicherheit).

Doch wie sicher sind die Daten in der Cloud? Was passiert während des Hochladens? Und wer hat (potentiell) Zugriff, wenn der Datenschatz erst einmal auf dem Speicher des Service-Providers lagert?

Insbesondere seit den Enthüllungen von Edward Snowden nimmt die überwiegende Mehrzahl aller Cloud-Anbieter das Bedürfnis ihrer Kunden nach Sicherheit sehr ernst.

• So werden Daten inzwischen standardmäßig per Ent-to-End-Verschlüsselung übertragen und fast immer – zumindest im B2B-Bereich – auch verschlüsselt auf den Servern abgelegt.

• Der Schlüssel-Code sollte dann allerdings auch ausschließlich beim Kunden hinterlegt werden, um das Risiko zu minimieren, dass Mitarbeiter des Cloud-Dienstes unbefugt auf die Daten zugreifen könnten. In der Vergangenheit hatte es mehrfach derartige Sicherheitslecks – auch bei namhaften Cloud-Anbietern – gegeben.
  Um auf Nummer Sicher zu gehen, wird Unternehmen und auch Privatanwendern daher oft geraten, ihre wertvollen Daten vor der Übertragung in die Cloud zusätzlich selbst zu verschlüsseln.

• Ein weiterer kritischer Aspekt bei der Nutzung von Cloud-Diensten ist die Speicherung von Daten auf Servern im Ausland, etwa in den USA. Hier existieren z.T. immer noch größere Rechtsunsicherheiten im Hinblick auf die Einhaltung von Urheberrechts- und Datenschutz-Regeln, die mit den strengen deutschen bzw. europäischen Standards vereinbar sind.

Wem das nun entschieden zu viele Sicherheitsbedenken sind, der kann entweder gänzlich auf Cloud-Dienste verzichten, die Einführung (noch) strengerer Datenschutzrichtlinien abwarten – oder sich schon jetzt nach Alternativen zu den großen internationalen Anbietern umsehen.

Um die Ressourcen einer Cloud zu nutzen, braucht es nicht zwangsläufig ein weltumspannendes Netzwerk – auch lokale Lösungen sind möglich.

So unterstützt kaneo seine Kunden seit Jahren erfolgreich bei der Erstellung und Verwaltung von Cloud-Backups  mit einer Vorgehensweise, bei der keiner der großen Dienste zum Einsatz kommt: In Zusammenarbeit mit örtlichen Rechenzentren wird den Kunden Speicherplatz in einer eigens abgetrennten Sektion zur Verfügung gestellt. Außer dem Kunden und  – mit Einschränkungen – den kaneo-Mitarbeitern erhält niemand Zugriff auf diesen geschützten Bereich. Der Kunde erhält so seine eigene Cloud innerhalb der Cloud – mit allen wesentlichen Vorteilen, doch ohne die typischen sicherheitsrelevanten Nachteile vieler gängiger Anbieter.

Wer selbst keine riesigen täglichen Datenmengen produziert und mehr Wert auf Sicherheit und Verfügbarkeit der Daten legt als auf unendlich erweiterbaren Speicher – für den bieten solche lokal basierten Lösungen mit Cloud-Anbindung oft eine echte Alternative zur Nutzung herkömmlicher Business-Angebote in der „ganz großen Datenwolke“. Gerade kleine Unternehmen können hier profitieren – von besserem Service und mehr Sicherheit für ihren Datenschatz.

Der Beitrag Gewusst wie: Drei Standbeine für mehr Datensicherheit im Unternehmen – Teil 2: Cloud-Dienste sinnvoll nutzen erschien zuerst auf kaneo GmbH - green IT solutions.

Welche Sicherheitsrisiken gibt es und wie kann man sich als Unternehmen davor schützen?
Wenn doch ein Schadensfall –  z.B. durch sog. „Verschlüsselungstrojaner“ wie „Locky“ und ähnliche Schadprogramme – eintritt:
Wie lassen sich verlorene Daten vollständig und schnell wiederherstellen?
Wie oft und in welchem Umfang sollte ein Backup durchgeführt werden?
Welche Rolle spielen technologische Entwicklungen wie z.B. Cloud Computing in diesem Zusammenhang?
Sollte man Cloud-Speicher als nützliches Instrument zur externen Datensicherung betrachten  – oder doch eher mit Vorsicht genießen?

kaneo geht diesen Fragen auf den Grund und gibt Tipps aus der eigenen Praxis, wie gerade kleine und mittlere Unternehmen eine wirkungsvolle Datensicherheits-Strategie finden und anwenden können.

Den Anfang macht heute ein Thema, das sich gewissermaßen als  “Mutter aller Datensicherheitsstrategien“ bezeichnen ließe:
Das Backup.

Regelmäßig aktualisiert und überprüft bietet ein solides, umfassendes Backup noch immer
den verlässlichsten Schutz vor Datenverlusten.

Das zeigt sich auch wieder in der aktuellen Diskussion um sog. Verschlüsselungs- oder Erpressungstrojaner wie Locky oder Zepto. Die auch als  „Ransomware“ bezeichneten Schadprogramme, die – verschickt über einen gefälschten E-Mail-Anhang –  sämtliche Dateien auf dem betroffenen System zunächst verschlüsseln und dann von den Nutzern hohe „Lösegelder“ für die Entschlüsselung der Daten fordern, haben 2016 schon für eine Menge Aufregung im Netz gesorgt (wir berichteten auf unserem Blog ).

Eine einfache Möglichkeit, befallene Rechner von Locky & Co. zu „befreien“ gibt es bislang tatsächlich nicht. Wer sich einen solchen Trojaner eingefangen hat, wird zwangsläufig das System neu aufsetzen müssen – und kann sich glücklich schätzen, wenn dann ein tagesaktuelles und gut strukturiertes Backup zur Verfügung steht.

Dabei kann es sich entweder um ein „klassisches“ Backup handeln, dass  auf einem Speichermedium wie etwa einer externen Festplatte aufbewahrt wird oder auch um einen virtuellen Speicherort in der Cloud. Zumindest in Ergänzung zu klassischen digitalen Speichermedien werden Cloud-Services trotz mancher Sicherheitsbedenken auch bei Unternehmern immer beliebter.

(Mehr dazu – und über die generellen Pros und Contras der Nutzung von Cloud-Services –im zweiten Teil unserer Beitrags-Serie zur Datensicherheit im Unternehmen)

Bei der Datenmenge, die täglich in einem Unternehmen generiert wird,
handelt es sich oft um sensible Informationen,
wie Kundenprofile oder Geschäftszahlen.

• Welche Daten sollen gesichert werden? Ausschließlich Dokumente und Anwendungsdaten oder auch Softwarekonfigurationen, z.B. die aktuellen Einstellungen des Betriebssystems? Von der Antwort auf diese Frage kann u.a. abhängen, wie umfangreich das Backup ausfallen wird und welche Speicherkapazitäten zur Verfügung stehen sollten.

• Wann und wie oft soll ein Backup angefertigt werden? Viele Unternehmen erstellen ihre Backups nach Feierabend oder am Wochenende. Bei manchen Anwendungen, etwa bei spezieller Industriesoftware, können auch deutlich kürzere Intervalle erforderlich sein. Auch hier sollte sich die zu wählende Backup-Strategie nach den tatsächlichen Anforderungen im Betrieb richten.

• Wer kümmert sich um die Datensicherung? Mitarbeiter des Unternehmens oder ein externer IT-Dienstleister? Oder sollen die Daten automatisiert gesichert werden, z.B. über einen Cloud Service-Anbieter? Je nach gewählter Methode und Häufigkeit kann die Erstellung von Backups eine zeitintensive Angelegenheit werden. Entsprechende Kapazitäten und Kosten müssen also eingeplant werden. Vertrauen und die strikte Einhaltung von Datenschutzregeln spielen hier eine bedeutende Rolle. In den nachfolgenden Beiträgen unserer Serie zur Datensicherheit werden wir auf diese Aspekte noch näher eingehen.

• Welche Backup-Methode ist die sinnvollste? Eine weitverbreitete Art, Backups zu erstellen, ist die 1-zu-1- Spiegelung der gesamten Festplatte mittels Image-Datei. Dabei handelt es sich um ein sog. „Vollbackup“,  d.h. bei jedem Aktualisierungsvorgang werden sämtliche vorhandenen Daten wieder überschrieben – auch, wenn diese seit dem letzten Backup gar nicht verändert wurden. Die Wiederherstellung der Daten kann beim Image-Backup nur als Neueinspielung der gesamten Partition durchgeführt werden. Werden Backups hingegen direkt auf Dateiebene ausgeführt (diese Methode wendet auch kaneo an) können alle Daten unabhängig voneinander gesichert und auch wiederhergestellt werden. So lassen sich Zeit und Energie-Ressourcen beim Backup-Vorgang einsparen.

Klassische Backup-Strategien erfordern schnell sehr hohe Speicherkapazitäten.

So werden z.B. beim sog. „Generationenprinzip“die Backups stufenweise, doch immer als Vollbackup, erstellt.  Tägliche plus zusätzlich jeweils wöchentliche und monatliche Komplettsicherungen lassen die Datenmenge rasch anschwellen – und die Speicherkapazität der vorhanden Datenträger oder eines günstig nutzbaren Cloud-Angebotes ist bald erschöpft.

Gerade für kleinere Unternehmen mit überschaubaren Datenmengen ist es daher häufig sinnvoller, mit inkrementellen Backups zu arbeiten. Statt Dateien, an denen nichts verändert wurde, täglich aufs Neue zu kopieren, wird bei dieser Methode nur einmalig ein Vollbackup des Datenbestandes erstellt. Alle darauf folgenden Sicherungsvorgänge speichern nur die Veränderungen gegenüber dem jeweils letzten Durchlauf (Inkrements). Die Backups bauen aufeinander auf. Die Datenmenge der Einzeldurchläufe kann dadurch gegenüber Vollbackups erheblich reduziert werden. Das spart Kosten und schont nicht zuletzt auch die Umwelt, wenn z.B. weniger Strom beim Backup-Vorgang verbraucht wird.

kaneo arbeitet seit Jahren erfolgreich mit inkrementellen Backups.

Die Datensicherung erfolgt grundsätzlich auf Dateiebene, um eine unkomplizierte Wiederherstellung einzelner Files aus dem Backup zu ermöglichen. Darüber hinaus lassen sich auch Kopien der Nutzer-Profile im Firmennetzwerk mit allen relevanten Einstellungen anfertigen. Nutzer im selben Netzwerk können auf Ihr eigenes Backup lesend zugreifen, dabei jedoch nur ihre jeweils eigenen Dateien einsehen. Durch entsprechende Zugriffsrechte können so z.B. auch aktuelle Projektstände gesichert und ausschließlich den Mitgliedern der Projektgruppe zugänglich gemacht werden.

Ein besonders wichtiger Aspekt bei der Implementierung von Backup-Strategien
ist ihre Ausfallsicherheit.

Bei einem Totalverlust, etwa durch Feuer oder Wasserschaden wären auch die Datensicherungen unrettbar verloren. Deshalb ist es gerade für Unternehmen sehr wichtig, mindestens eine Backup-Kopie nicht dauerhaft innerhalb der Firma aufzubewahren. kaneo empfiehlt hier die Faustregel 3-2-1:  Drei Kopien anfertigen, davon verbleiben zwei beim Unternehmen, das so die Datenhoheit behält. Eine Kopie wird extern (z.B. im lokalen Rechenzentrum)  gespeichert und steht als Notfall-Backup zur Verfügung.

Zudem sollten alle  Backups regelmäßig einem Validierungstest unterzogen werden.

kaneo prüft am Ende des Backup-Vorgangs nach dem „Desaster Recovery“ Prinzip,
ob sich tatsächlich alle Dateien und Anwendungen aus dem Backup
korrekt wieder zum Laufen bringen lassen.

Denn nur ein vollständig funktionstüchtiges Backup erfüllt im Ernstfall seinen Zweck: die wertvollen Daten eines Unternehmens vor dem Verlust durch Verschlüsselungstrojaner, versehentliche Löschung, Hardwareausfall o.ä. zu bewahren und schnellstmöglich die volle Arbeitsfähigkeit wieder herzustellen.

Der Beitrag Gewusst wie: Drei Standbeine für mehr Datensicherheit im Unternehmen – Teil 1: „Die richtige Backup-Strategie“ erschien zuerst auf kaneo GmbH - green IT solutions.

Aktuell ist eine neue Welle mit Verschlüsselungstrojanern im Netz unterwegs. Es handelt sich dabei um eine modifizierte Variante von Locky, mit dem Namen „BART“. Nach Informationen von heise.de(¹) werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert, der Schlüssel zum Entschlüsseln dieser Dateien muss dann für etwa 1700€ erworben werden. Aktuell gibt es noch kein Tool welches es ermöglicht die Dateien ohne Zahlung zu entschlüsseln.

Im Anhang der genannten E-Mail befindet sich die Datei Sendung_056392024191.zip. Diese wird aktuell nur von 7/53 Virenscannern erkannt(²). In dieser ZIP-Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“. Dabei handelt es sich nicht um die erwarteten Etiketten für die Sendung, sondern um ausführbare JavaScript Dateien, diese beginnen bei der Ausführung direkt mit dem Download des Trojaners und der Verschlüsselung aller für den User zugänglichen Dateien.

Wie wir unsere Kunden schützen

• User-Manuals mit aktuellen Informationen zu Möglichen Gefahren
• Gruppenrichtlinien um das Ausführen solcher Dateien zu unterbinden
• E-Mails mit Verdächtigen Anhängen Kennzeichnen oder diese direkt entfernen
• Durch Rollen- und Rechte-Konzepte die Zugriffsmöglichkeiten für den Anwender möglichst gering halten
• Schreibgeschützte Backups durchführen und kontrollieren

Inhalt der E-Mail mit dem Verschlüsselungs-Trojaner BART

Sehr geehrter Kunde,

die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.

Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.

Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.

Mit freundlichen Grüßen,

DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn

¹ http://www.heise.de/security/meldung/Locky-Sproessling-Erpressungs-Trojaner-Bart-verschluesselt-anders-und-verlangt-hohes-Loesegeld-3250058.html
² https://virustotal.com/

Der Beitrag Erpressungstrojaner .bart.zip – DHL Tracking 056392024191 erschien zuerst auf kaneo GmbH - green IT solutions.

Sollte jemand Zugriff auf dieses Postfach erhalten, stehen ihm auch gleich alle versendeten / empfangenen Passwörter oder andere wichtige Informationen zur Verfügung, mit denen er Zugang zu weiteren Kunden-Servern oder Anwendungen bekommen kann.

Um Passwörter sicher zu übertragen verwenden wir ZeroBIN. ZeroBIN ist eine minimalistische OpenSource Web-Anwendung. Daten werden bereits im Browser verschlüsselt und in dieser Form an den Server übertragen. Auf dem Server und auf dem Weg der Übertragung sind die Daten bereits mit „256 bits AES“ verschlüsselt und können somit während der Übertragung nicht ausgelesen werden. Bei den mit ZeroBIN erstellten Dokumenten kann entweder eine Verfallszeit angegeben werden oder sie werden direkt nach dem ersten Zugriff gelöscht und sind danach nicht mehr zugänglich (Read2Burn Funktion).

ZeroBIN stellt Ihnen nach dem erzeugen eines Datensatzes einen Link zur Verfügung. Dieser Link kann dem Kunden dann über einen separaten Weg ( z.B. E-Mail ) übermittelt werden. Diese Daten sollten beim Empfänger sofort an einen dafür vorgesehenen Platz abgelegt werden. Hier kann z.B. KeyPass zum Einsatz kommen, um die Daten langfristig sicher zu speichern.

Um die optimale Sicherheit beim Übertragen sicher zu stellen, verwenden wir ausschließlich die Read2Burn Einstellung. Somit ist sicher gestellt, dass ein Passwort nur von einem Empfänger gelesen wird. Erst nachdem wir vom Empfänger die Betätigung erhalten haben, wird das Passwort verwendet. Diese, wie auch andere Einstellungen, lassen sich als Vorgabe setzten. Der Anwender kann hier den Dienst also direkt und unkompliziert verwenden.

Wie funktioniert ZeroBIN?

• Das Passwort / Informationen werden in ZeroBIN eingetragen
• Beim Klick auf „Senden“ wird ein zufälliger AES 256 bit key innerhalb des Browsers generiert
• Die Daten werden mit dem diesem key verschlüsselt, an den Server übertragen und dort gespeichert
• Ihnen wird ein Link zu dem neu erzeugen Dokument zur Verfügung gestellt
• Der Link kann an Ihren Partner übertragen werden

Vorteile von ZeroBIN

• Professionelles Auftreten gegenüber den Kunden
• ZeroBin hat geringe Anforderungen an den Server
• Die Daten sind auch noch sicher wenn sich jemand Zugriff auf den Web-Server verschafft
• Selbst Administratoren haben keine Möglichkeit auf diese Daten zuzugreifen

Nachteile dieser Methode

• Es wird eine bestehende IT-Infrastruktur / Web-Server benötigt

Weitere Informationen zum Projekt

Es gibt verschiedene Projekte, die unterschiedlich weit entwickelt wurden und den gleichen Ansatz verfolgen. Wir haben uns für den Fork des ZeroBin Projektes von „elrido“ entschieden da diese Version aktuell aktiv betreut wird.

https://github.com/elrido/ZeroBin/

Der Beitrag Passwörter sicher übermitteln mit ZeroBIN – read2burn erschien zuerst auf kaneo GmbH - green IT solutions.

Doch trotz NSA-Affäre und den Veröffentlichungen systematischer Abhörungen sowie Meldungen über Computerkriminalität und Datendiebstähle wird das Thema IT-Sicherheit in kleinen und mittelständischen Unternehmen weitestgehend vernachlässigt.

Das Thema Sicherheit wird in kleinen und mittelständischen Unternehmen zwar als wichtig wahrgenommen, es mangelt jedoch an praktischer Umsetzung. Gründe hierfür sind unter anderem mangelnde Kenntnisse, und Überforderung mit der Thematik und Defizite bei der Organisation von Sicherheitsmaßnahmen.

Schutzmaßnahmen wie die Verschlüsselung des E-Mail-Versands werden von jedem vierten Unternehmen in Deutschland nicht umgesetzt. Aber auch die rechtlichen Rahmenbedingungen von Cloud-Dienste und die notwendigen Sicherheitsanforderungen kennen nur 30 Prozent der Unternehmen, die Cloud-Dienste einsetzen. Auch dokumentierte Sicherheitsrichtlinien für die Mitarbeiter existieren nur ungenügend.
Das Internet bietet uns viel. Schnelle Kommunikation, schneller Austausch von Daten, einfache Erreichbarkeit. Wie schützen wir uns und unsere Daten vor Unbefugten, Konkurrenten und Geheimdiensten?

Lassen Sie Ihr IT-Infrastruktur von kaneo überprüfen. Sie erhalten eine erste Analyse. Wir setzen gemeinsam mit Ihnen IT-Sicherheits Maßnahmen um.

Der Beitrag Angriff aus dem Cyberspace – IT-Sicherheit erhält immer größere Bedeutung erschien zuerst auf kaneo GmbH - green IT solutions.