Netzwerk-Absicherung: Datenschutz-Knotenpunkt DNS

Autor/Redakteur: Rainer Singer, Systems Engineering Manager Zentraleuropa bei Infoblox/gg

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft. Hintergrund der Idee war es unter anderem, personenbezogene Daten innerhalb der Europäischen Union zu schützen. Nach knapp drei Monaten sind jedoch immer noch Unsicherheiten zu spüren – Werden Daten ausreichend geschützt? Was passiert mit ihnen, und wer kann sie einsehen? Auch wenn viele Verantwortliche nun deutlich sensibler als zuvor auf das Thema Datenschutz schauen und sogar Sanktionen drohen, kämpfen noch immer viele Unternehmen auf ihrem Weg zum DSGVO-konformen Datenschutz. Dabei bietet sich eine Netzwerkkomponente besonders als Knotenpunkt der Datensicherheit an: das Domain Name System (DNS).

Laut Untersuchungen von ESG Research wurden allein 2017 aus Unternehmen und Organisationen Milliarden Datensätze entwendet. Die häufigste Angriffsmethode dazu war Malware, die zum Teil sehr spezifisch konzipiert wurde. Entweder sind die Schadprogramme inzwischen nur auf ein spezielles System ausgelegt oder nur in einem gewissen Zeitraum aktiv, um die Chancen auf Entdeckung zu minimieren. Auch Ransomware ist ein wachsender Risikofaktor. Doch woran sollten Unternehmen bei der Datensicherheit konkret denken?

Zuerst muss klar definiert sein, wo Daten gespeichert werden, wie und wer sie verwendet und welche Netzwerkstrukturen sie passieren. Die verbreitete Annahme, dass nur personenbezogene Daten gesichert werden müssten, ist falsch. Passwörter und Anmeldedaten müssen ebenfalls ausreichend abgesichert werden, da mit diesen jene personenbezogenen Daten für Angreifer auch erreichbar sind. Nicht zu vergessen sind im DSGVO-konformen Sicherheitskonzept die Netzwerkbereiche Unternehmens-Backups, Anwender-Systeme sowie Server und Schattendaten. Die Zuweisung von Zugriffskontrollen (ob rollenbasiert oder regelbasiert) hilft ebenfalls, einen Überblick über die Daten, Netzwerkdienste und schließlich die Umsetzung von Richtlinien zu bewahren.

Rollenbasierte Zugriffskontrollen weisen den einzelnen Benutzern des Netzwerkes Rollen entsprechend ihrer Funktion im Unternehmen zu und bestimmen auf dieser Grundlage die einzelnen Autorisierungen. Regelbasierte Zugriffskontrollen sind auf Grundlage von Regeln für Personen im Umgang mit entsprechenden Objekten abgestimmt.

Endpunkt-Kontrollen versus Netzwerkkontrollen

Das eine Patentrezept für Datensicherheit gibt es zwar nicht – dafür sind die immer heterogeneren IT-Infrastrukturen in Unternehmen einfach zu unterschiedlich. Eine große Landschaft an Security-Tools, die alle auf unterschiedliche Spezialisierungen zielen (wie Endpoint, Firewall, SIEM und Ähnliches) vereinfachen es zudem nicht gerade, Überblick im Netzwerk zu behalten. Grundsätzlich können endpunktbasierte und netzwerkbasierte Kontrollen durchgeführt werden. Endpunktbasierte Kontrollen sind beispielsweise E-Mail-Sicherheit, Schwachstellen-Management und Anlagenerkennung. Doch das reicht allein nicht aus, denn der VBIR 2017 zum Beispiel zeigt, dass 66 Prozent aller Malware über schädliche Anhänge in E-Mails installiert wurden. Neben Technologie ist hier nach wie vor auch die Mitarbeiter-Sensibilisierungen wichtig, um das Netzwerk nicht unnötigen Risiken durch unbedachtes User-Verhalten auszusetzen.

Netzwerkbasierte Security (wie SSH-, HTTPS- und VPN-Verschlüsselungen oder Firewalls) gehören ergänzend unbedingt zum Sicherheitskonzept. Allerdings können es auch genau einzelne Netzwerkdienste sein, die als Einfallstor für Angreifer missbraucht werden, wenn es an der konsistenten Kontrolle mangelt. Denn auch zum Transport verschlüsselter Daten kommunizieren Server miteinander – und diese Kommunikation kann unterwandert werden.