Know-how: Falsch gelebte IT-Security

Die Dosis macht das Gift

IT-Security ist bedeutender denn je, das Wissen um den richtigen Umgang damit ist jedoch bei vielen Unternehmen nur lückenhaft oder nicht vorhanden. Das führt dazu, dass viele Unternehmen falsche Maßnahmen ergreifen oder gar nicht reagieren. Denkanstöße für praxisnahe Maßnahmen, die für die Anwender handhabbar sind und sich gleichzeitig technisch realisieren lassen, liefert dieser Artikel.
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern ... (mehr)

Ein hervorragendes Beispiel für falsch angewandte IT-Security hat in der Praxis etwa die folgende Ausprägung: Ein Unternehmen lässt von einem Dienstleister einen Penetrationstest durchführen. Es sollen die externen IP-Adressen der Firmen-Server geprüft und ein Bericht über deren Schwachstellen erstellt werden. Wie in solchen Fällen nicht unüblich, deckt der Bericht tatsächlich einige erhebliche Mängel auf, woraufhin der IT-Leiter des Unternehmens prompt reagiert. Er ruft seinen Hoster an, bei dem die Server stehen, und verlangt bei dessen Service-Level-Manager eine umgehende Beseitigung der Schwachstellen.

Ein typisches Beispiel aus der Praxis

Dazu erhält der Service-Level-Manager den Bericht und macht sich auch sogleich ans Werk und weist den zuständigen Firewall-Administrator an, die nicht benötigten Ports zu deaktivieren. Darüber hinaus veranlasst der Hosting-Dienstleiter, dass sein Linux-Experte die gefundenen Apache-Schwachstellen behebt und der Mailserver-Experte alle SMTP-Probleme beseitigt.

Nach kurzem Brainstorming fallen den Experten einige Webserver auf, die gar nicht mehr benutzt wurden und nach Rücksprache mit dem IT-Leiter werden die Ports dieser Server gesperrt, sodass ein externer Aufruf nicht mehr möglich ist. Auf weitere Schritte wird verzichtet, da durch die Blockierung der Ports alle weiteren Schwachstellen ebenfalls nicht mehr ausgenutzt werden können. Alle Beteiligten wähnen sich auf der sicheren Seite, doch leider wurde vergessen, die Systemverantwortlichen mit einzubeziehen!

Es dauert zwei Stunden, bis sich der erste Anwender meldet, der seinen Webserver nicht mehr erreichen kann. Kurze Zeit später melden sich weitere Anwender. Eine sofort durchgeführte Recherche zeigt, dass alle Anwender versuchen, auf Server zuzugreifen, deren Ports zur Beseitigung der Schwachstellen geschlossen wurden. Also öffnen die IT-Verantwortlichen die Ports wieder und die Anwender können wieder arbeiten. Auch wenn anfangs versucht wurde, sich auf die nötigsten Ports zu beschränken, müssen nach und nach alle wieder geöffnet werden. Am Abend entspricht der Zustand wieder genau der Ausgangssituation und sicher ist nur, dass der Kunde für die nutzlos erbrachte Dienstleistung tief in die Tasche greifen muss.

Lektionen aus unserem Beispiel

Hier sind gleich einige Dinge schief gegangen: Eines der Probleme war sicherlich, dass die Systemverantwortlichen des Kunden nicht involviert wurden. Zur Erläuterung: Der Hoster kümmert sich in diesem Fall nur um die Bereitstellung der Serverplattformen, der Internetanbindung und unterstützt bei kleineren Anpassungen der vorhandenen Software. Die Designer der Umgebung und die Administratoren, die sich um die Bereitstellung der Software kümmern, sind Festangestellte des Kunden. Diese wurden aber zur Behebung der Schwachstellen nicht befragt. Vielmehr entschied der IT-Leiter allein über das Vorgehen. Dabei sind Führungskräfte oft dermaßen ausgelastet, dass sie keine Zeit mehr haben, sich um einzelne Systeme zu kümmern. Dafür gibt es Systemverantwortliche, die diese Aufgaben übernehmen und ihre Systeme bis ins letzte Bit kennen. Diese hätten einbezogen werden müssen, da nur sie in der Lage sind zu beurteilen, ob etwas am System zugunsten der Sicherheit geändert werden kann.

Der zweite Fehler kommt in der heutigen Zeit leider viel zu häufig vor: Die Beteiligten bauen auf sogenannte Quick-Wins, versuchen also mit möglichst wenig Aufwand zügig einen Großteil der Probleme zu beseitigen. Das ist aber gerade in der IT-Sicherheit ein zweischneidiges Schwert. Sie ist heute komplexer denn je und erfordert Fachwissen und Produktkenntnisse sowie umfangreiches Wissen über Abläufe und Prozesse in Unternehmen. Zu schnelle und falsche Entscheidungen führen oftmals zu nichts oder verschlechtern sogar die Sicherheit eines Unternehmens.

Und letztens Endes ist der Gedanke des Service-Level-Managers, sich umgehend um die Probleme seines Kunden zu kümmern richtig, aber Sicherheit ist kein Thema, das delegiert werden kann. Im Auto hilft es Ihnen bei einem Unfall auch nicht, wenn sie Ihren Beifahrer angewiesen haben, sich anzuschnallen, aber selber drauf verzichten. Insofern müssen die Verantwortlichen an einen Tisch geholt und die nächsten Schritte abgestimmt werden.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019