![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/01\/DETECTIVE-NETLEAK-Logo-schwarz.jpg\"){kind=logo}
<\/a><\/p>\n
Doch wie ist die Sicherheit einer IT-Infrastruktur \u00fcberhaupt zuverl\u00e4ssig und vor allem langfristig zu gew\u00e4hrleisten? Die Antwort darauf ist: Nur durch st\u00e4ndige, l\u00fcckenlose Kontrolle.<\/p>\n
Zu dieser Kontrolle geh\u00f6ren nicht allein professionelle IT-Sicherheitstools wie Virenscanner, Firewall und Co., sondern auch profundes Security-Know-how und eine Sicherheitsstrategie, die alle wichtigen Schwachstellen von Systemen erkennt und durch laufende Anpassungen dauerhaft behebt.<\/p>\n
Mit Strategie zur Sicherheit<\/strong><\/p>\n Da Sicherheit in Unternehmen nicht einfach mit der Anschaffung einzelner Produkte gew\u00e4hrleistet werden kann, hat sich die Netzlink Informationstechnik GmbH mit der Gr\u00fcndung eines IT-Security-Teams des Themas IT-Sicherheit in G\u00e4nze angenommen. Nur mit einem strategischen Sicherheitskonzept, das umfassend alle Komponenten m\u00f6glicher Bedrohungen ber\u00fccksichtigt, k\u00f6nnen nachhaltig Systeme sicher gemacht werden. Das Netzlink-Sicherheitskonzept ber\u00e4t Unternehmen ganzheitlich zum Thema Security. Dazu geh\u00f6ren Firewalls, Virenscanner und Verschl\u00fcsselungstechnologien genauso, wie die Schulung von Mitarbeitern, wenn es um den Umgang mit Mails, Anh\u00e4ngen, Datentr\u00e4gern, etc. geht. (Awareness). Das Netzlink-Expertenteam hat sich auf IT-Sicherheit spezialisiert und ist von der DGI (Deutsche Gesellschaft f\u00fcr Informationssicherheit AG) und dem T\u00dcV sowie von allen verwendeten Herstellern lizensiert.<\/p>\n IT-Security im Anwendungsfall<\/strong><\/p>\n Der Auftrag eines Unternehmens im pharmazeutischen Umfeld im Oktober 2018 lautete: Feststellung des aktuellen Sicherheitsstandards des gesamten Systems. Dazu traf sich das Security-Team mit dem Kunden vor Ort und hat im Vorfeld zusammen mit ihm alle Anforderungen und Bed\u00fcrfnisse identifiziert, die \u2013 je nach Branche \u2013 sehr unterschiedlich ausfallen k\u00f6nnen. W\u00e4hrend des Beratungsgespr\u00e4chs kl\u00e4rte das Netzlink-Security-Team \u00fcber alle M\u00f6glichkeiten einer \u00dcberpr\u00fcfung auf und hat sich zusammen mit dem Kunden auf ein Security-Assessment geeinigt, das grundlegend \u00fcber den Sicherheitsstatus des Netzwerks Auskunft gibt, Schwachstellen aufdeckt und die Ableitung von Ma\u00dfnahmen umfasst. Dieses Sicherheitskonzept tr\u00e4gt den Namen \u201eDetective NETLEAK\u201c, da es Sicherheitsl\u00fccken, Schlupfl\u00f6cher und Schwachstellen aufsp\u00fcrt und deren Behebung m\u00f6glich macht.<\/p>\n F\u00fcr die Durchf\u00fchrung der \u00dcberpr\u00fcfung wurden im Vorfeld die genauen Parameter f\u00fcr den Scan erarbeitet. Diese gemeinsame Abstimmung ist die Grundvoraussetzung f\u00fcr ein erfolgreiches Assessment, denn das weitere Vorgehen, der Testzeitraum, die zu \u00fcberpr\u00fcfenden Systeme und die genauen Inhalte der \u201ePermission to Attack\u201c, werden genauestens definiert.<\/p>\n Die \u201ePermission to Attack\u201c ist die Absprungbasis f\u00fcr das weitere Vorgehen. Denn ehe weitere Schritte unternommen werden k\u00f6nnen, musste die Permission im Vorfeld vom Gesch\u00e4ftsf\u00fchrer des Pharma-Kunden unterzeichnet werden, da diese einen kontrollierten Angriff auf das Unternehmenssystem von au\u00dfen und einen Scan von innen definiert und genehmigt. Au\u00dferdem bestimmt die \u201ePermission to Attack\u201c, welche Systeme gepr\u00fcft werden und welche gegebenenfalls gezielt vom Vorgang ausgeschlossen werden sollen (beispielsweise Produktivsysteme).<\/p>\n Permission to Attack<\/strong><\/p>\n Da unser Kunde vor Ort Waren selbst produziert und versendet, hat er im Vorfeld sein Produktiv- und das hauseigene Logistiksystem ausgeschlossen. Daraufhin konnte es an die Umsetzung und die Definition der zu \u00fcberpr\u00fcfenden internen und externen IP-Adressen und IP-Adressbereiche gehen. Die im Vorfeld definierten Ausschl\u00fcsse aus der \u00dcberpr\u00fcfung wurden gelistet und das Unternehmen richtete ein tempor\u00e4res Dom\u00e4nenadministratorkonto ein. Die zur Verf\u00fcgung gestellten Virtualisierungsressourcen waren zu Beginn etwas klein und mussten auf 16 GB VRAM und 40 GB Festplattenplatz erweitert werden. Die Basis daf\u00fcr war in unserem Fall VM Ware ESXi 5.5+. Eine tempor\u00e4re Gruppenrichtlinie wurde durch die Netzlink-Experten eingerichtet, bestimmte Netzwerk-Ports auf den Clients freigegeben und die Freigabe der WMI Remote Registry vorgenommen.<\/p>\n <\/p>\n Die virtuelle Appliance konnte nun Remote installiert werden. Die gesamte Zusammenarbeit mit der IT-Abteilung des Kunden lief sehr professionell und au\u00dfergew\u00f6hnlich gut, alle Informationen flossen schnell wie auch die Informationen bez\u00fcglich des Windows Servers, der sich in der Dom\u00e4ne befindet. Auf dem Server wurden die MBSA installiert und ein Teil der Scans durchgef\u00fchrt. Au\u00dferdem konnten offene Fragen nach dem Domain Controller, Ausschl\u00fcssen bei den OUs oder nach weiteren SNMP Community Strings schnell gekl\u00e4rt werden (ansonsten wird in der \u00dcberpr\u00fcfung \u201epublic\u201c genutzt).<\/p>\n Interne und externe Scans decken Schwachstellen auf<\/strong><\/p>\n Bereits nach kurzer Vorbereitungszeit konnte der erste von f\u00fcnf Scans durchgef\u00fchrt werden. Insgesamt haben unsere Security-Experten drei Netzwerkinfrastruktur-Scans sowie einen externen und einen internen Schwachstellentest vorgenommen. \u00dcberpr\u00fcft wurden unter anderem alle Objekte im Active Directory, Computer und sonstige Systeme im lokalen Netz, die \u00f6ffentlich erreichbaren Systeme und interne IP-Adressen. Beim internen Schwachstellenscan wurden alle internen IP-Adressen auf potenzielle Sicherheitsl\u00fccken \u00fcberpr\u00fcft \u2013 darauf, welche Dienste auf den jeweiligen Ports oder welche \u00fcber das Netzwerk lauschen. Damit lie\u00dfen sich wichtige Fragen beantworten \u2013 zum Beispiel: Sind alle registrierten Benutzer \u00fcberhaupt noch aktiv? Wie sieht es mit dem Passwortalter aus? Gibt es eine zentrale Richtlinie von Unternehmensseite bez\u00fcglich der Passwortsicherheit? Wie steht es um den Patch-Status und die Aktualit\u00e4t von Anti-Virus- und Anti-Spyware-Software? Wie viele erreichbare offene Ports existieren? Beim externen Schwachstellenscan stehen alle \u00f6ffentlichen IP-Adressen auf dem Pr\u00fcfstand. Auf welchen Ports sind Dienste auf dem jeweiligen System \u00fcber das Netzwerk erreichbar? Au\u00dferdem werden die gefundenen Dienste und Versionen mit einer Datenbank von bekannten Sicherheitsl\u00fccken verglichen.<\/p>\n Der Ergebnisse im Management Report<\/strong><\/p>\n Der anschlie\u00dfend generierte Report umfasste ann\u00e4hernd 1.000 Seiten (auf Englisch). Da Umfang und formlose Aufz\u00e4hlungen f\u00fcr die IT-Verantwortlichen und F\u00fchrungskr\u00e4fte nicht zumutbar waren, wurde der Report von unserem Team ausgewertet, und ein \u201eManagement Report\u201c von zirka 20 Seiten erstellt, in dem alle gefundenen Schwachstellen priorisiert und mit Handlungsempfehlungen versehen wurden. Auf Wunsch der Gesch\u00e4ftsf\u00fchrung war dieser Report auf Deutsch. Die Ergebnisse des Reports und die Handlungsempfehlungen wurden im Anschluss der gesamten Gesch\u00e4ftsf\u00fchrung und allen verantwortlichen IT-Mitarbeitern des Unternehmens pr\u00e4sentiert. Alle vorgeschlagenen Ma\u00dfnahmen, beispielsweise die L\u00f6schung von alten Benutzerkonten im Active Directory, Passwortrichtlinien, Schutz vor physikalischem Zugriff, Patchstatus aktualisieren etc., wurden in einen Ma\u00dfnahmenplan \u00fcbertragen und die ben\u00f6tigte Hilfestellung bei der Umsetzung von einzelnen Ma\u00dfnahmen durch unser Team gekl\u00e4rt. Gemeinsam wurde der Ma\u00dfnahmenplan nach Bedrohungsgrad abgearbeitet. Die n\u00e4chsten Schritte \u2013 eine Awareness-Schulung f\u00fcr alle Mitarbeiter sowie eine weiterf\u00fchrende Beratung als Informationssicherheitsbeauftragte \u2013 wurden diskutiert, denn noch immer sind \u00fcber 80 Prozent aller Sicherheitsvorf\u00e4lle dem \u201eFaktor Mensch\u201c geschuldet.<\/p>\n Nach der Umsetzung aller Ma\u00dfnahmen ist ein Nachfolge-Assessment sinnvoll, denn so kann abgebildet werden, welche L\u00fccken erfolgreich geschlossen wurden und welche gegebenenfalls neu entstanden sind. Nach Abschluss des zweiten Kontroll-Assessments raten unsere Spezialisten zu einem zyklisch wiederkehrenden Assessment, um den Sicherheitsstandard stets hoch zu halten (in der Regel jedes Jahr). Nach der Umsetzung aller Ma\u00dfnahmen verf\u00fcgt der Kunde jetzt \u00fcber eine sichere IT-Infrastruktur und wird das Kontroll-Assessment im zweiten Quartal 2019 gemeinsam mit unseren Experten absolvieren.<\/p>\n