Schwerpunkt IT Sicherheit (2) -
Business Literatur kurz gefasst:
"Praxishandbuch Sicherer IT-Betrieb", Aebi

Die Sicherheit ihres Betriebes liegt Ihnen am Herzen. Klarer Fall! Mitarbeiter geben sich zu erkennen, Türen und Fenster werden abends verschlossen, wichtige Papiere nicht offen liegen gelassen.

Eine ehrliche Frage: Wie schaut es denn mit der Sicherheit Ihrer Daten aus? Jene Daten, die Sie über PCs, Arbeitsplatzrechner, Server und andere Geräte dieser Art abrufen? Wie schaut es mit der Sicherheit des Rechners aus, mit dem Sie gerade diesen Newsletter lesen?

„Alles in Ordnung!“, sagen Sie nun? Das freut uns!

Aber: Wissen Ihre Kollegen und Mitarbeiter auch, wie sie sich zu verhalten haben, wenn eine Email mit unerwünschtem Inhalt eintrifft? Sind diese instruiert, was sie unternehmen sollten (oder was sie eben nicht unternehmen sollten), wenn ein Arbeitsplatzrechner beispielsweise plötzlich ungewöhnliche „Verhaltensweisen“ an den Tag legt oder der dafür zuständige Server seinen Dienst vollkommen einstellt? Sichern Sie Ihre Daten regelmäßig und nach Plan?

Das Wichtigste an IT-Sicherheit ist, sich ihrer bewusst zu werden. Spätestens, wenn man erkennt, wie wertvoll Daten in einem Betrieb (und natürlich auch privat) sind,  -oder wenn man versucht sich vorzustellen, wie zeit- und kostenaufwendig es wird, wenn man ganze Datenbestände verliert und wieder rekonstruieren muss - wird man sich dieses Themas genauer annehmen.

Das „Praxishandbuch Sicherer IT-Betrieb. Risiken erkennen - Schwachstellen beseitigen - IT-Infrastruktur schützen “ von Daniel Aebi gehört damit eigentlich zur Pflichtlektüre all jener, die das Thema IT-Sicherheit bisher eher vor sich hergeschoben haben – oder glauben, sie seien sicher, aber nicht wissen, warum sie meinen, sicher zu sein...

FÜr wen ist dieses Buch interessant?

Sie sind praktisch mit der Umsetzung von IT-Sicherheitsmaßnahmen befasst oder tragen die Verantwortung für die Sicherheit von Geräten oder Daten. Sie sind selbst für das Erstellen von Verantwortlichkeiten zum sicheren Betrieb zuständig oder wollen sich einfach einen guten Überblick zum Thema verschaffen – mit der Möglichkeit, die Themen nach eigenem Ermessen punktuell zu vertiefen.

Und auch gerade wenn Sie Ihren eigenen Betrieb führen und das Thema Sie zwar drückt, Sie es aber bisher „weil ja eh nichts passiert ist“ eher am Rande behandelt haben: Lesen Sie mindestens die nun folgenden wichtigen Stichpunkte – oder anschließend gleich das ganze Buch!

Was erfahre ich im Buch?

Das „Praxishandbuch Sicherer IT-Betrieb“ bietet zunächst einmal eine Definition gängiger Begriffe aus dem Bereich der Daten-verarbeitung – und vermeidet dabei in angenehmer Weise Anglizismen wo möglich. Somit bietet sich auch dem „Nicht-Experten“ die Möglichkeit, sich dem Thema IT-Sicherheit behutsam anzunähern.

Es werden unterschiedliche Gefahrenquellen aufgelistet und erläutert: Welche unterschiedlichen Ebenen gibt es, bei denen Sicherheitsprobleme auftreten können? Wodurch lauern Gefahren? Wie kann man, nicht zuletzt auch präventiv, diesen Gefahren entgegenwirken? Was tut man, wenn „es passiert“ ist?

Jedes Buchkapitel schließt mit konkreten Empfehlungen, wie vorzugehen ist und listet eine Reihe von Vorschlägen und Maßnahmen auf, die zur Erhöhung des Sicherheits-Levels beitragen. Umfangreiche Literaturhinweise (die entsprechenden Informationen sind sehr oft gleich über das Internet abrufbar) geben dem Leser die Möglichkeit, einzelne Wissensbereiche nach eigenem Ermessen zu vertiefen.

Das Wichtigste zusammengefasst – die „Essentials“

Bei den Geräten fängt es an...

Nicht nur welche Geräte und wie viele unterschiedliche Sie davon betreiben, auch wer zu ihnen Zutritt hat und sie bedienen darf: all dies hat Einfluss auf die Sicherheit Ihres gesamten Datenverarbeitungs-Systems! Auch ist der berühmte und nicht nur in Büros immer wieder anzutreffende „Kabelsalat“ nicht gerade zuträglich, wenn ein einzelnes Kabel nicht mehr funktionstüchtig ist und man dieses dann mühsam heraussuchen muss.

Von Zutrittsregelungen über die Dokumentation verwendeter Systeme bis zur Liste für die schnelle Wiederbeschaffung von Komponenten: Mit einer ganzen Reihe von Maßnahmen können Sie bereits auf der „Hardware-Ebene“ vieles unternehmen, um die Betriebssicherheit deutlich zu erhöhen und im Falle des Ausfalls einer Komponente schnell wieder zum Normalbetrieb zurückkehren zu können.

Strom – ein ganz besonders wichtiger Saft...

Dass Stromausfälle für Geräte, die Strom als „Nahrungsquelle“ verwenden, ein gewisses Problem darstellen, ist allgemein bekannt. Dieses gilt insbesondere für Geräte zur elektronischen Datenverarbeitung, da diese bei den oft gleichzeitig auftretenden Spannungsspitzen doppelt empfindlich, und im einen oder anderen Fall auch mit Funktionsaufgabe reagieren.

Um diesem Problem entgegenzutreten, ist gerade im betrieblichen Umfeld an den Einsatz von Geräten zu denken, die den Netzstrom sowohl „in seine Bahnen lenken“, also Spannungsniveau-Unterschiede filtern, als auch im Falle eines Stromausfalles zumindestens solange Energie für den Betrieb der wichtigsten Komponenten liefern, bis man diese geordnet heruntergefahren oder eine alternative Energiequelle hinzugeschaltet hat.

Das Buch listet hier unterschiedliche und skalierbare Möglichkeiten auf, und hat dabei auch stets ein Auge auf die Kostenverträglichkeit.

„A riesen Hetz – im (Inter)Netz...“

Man muss nicht gleich ins Internet gehen, um sich einer Attacke auf die eigenen Datenbestände auszusetzen. Aber hier lauern natürlich die meisten potentiellen „Angreifer“, die Daten verändern, aufschnüffeln oder ausspähen wollen.

Ein ungeschütztes, also „offenes“ Netzwerk bietet hier auf einer ganzen Reihe von Ebenen Angriffsmöglichkeiten für solche Hack-Versuche. Die Gegenmaßnahmen dazu sind schon verbreitet, aber nach wie vor nicht überall im Einsatz...

Das Betriebssystem läuft, und läuft und läuft...

Ein Betriebssystem, welches auf jedem gängigen Rechner dieser Tage zu finden ist, ist direkt nach dessen Installation in der Regel nicht „fertig“: Es gehören weitere Schritte getan, die dieses System erst zur „Reife“ bringen.

Sicherheitslücken gehören geschlossen (mittels sogenannter Patches mal mehr und mal weniger gut erledigt), unnötige Anwendungen sollten deaktiviert, Updates bei Bedarf ergänzt und möglichst dezidierte Anwender-Rechte vergeben werden. Man spricht vom „Härten“ eines Betriebssystems: Es wird hart gemacht für die ebenso harten Anforderungen des Alltags.

Mein Passwort...

Passwörter sind im heutigen Umgang mit Rechnern und deren Programmen nicht mehr wegzudenken. Hinzu kommen eine ganze Reihe von Codes und PINs (Stichwort Bankomatkarte), die man sich zusätzlich merken muss.
Irgendwie lästig? Mag sein.

Dennoch gehören Passwörter unbedingt zu den sehr wichtigen Errungenschaften der Erkennung und bieten damit die Chance, Nutzer möglichst eindeutig zu identifizieren. Und genau so wenig, wie Sie wohl normalerweise jemandem den PIN Ihrer Bankomatkarte bekannt geben werden, gehört die berühmte Notiz mit dem Passwort für den Rechner an den dazugehörigen Monitor.

Haben Sie solche Zettel auch schon gesehen? Und sehen Sie – wir sind schon wieder einen Schritt weiter im Bereich Sicherheit...

Übrigens gehören auch die Länge eines Passwortes, die Art der verwendeten Zeichen sowie dessen Gültigkeitszeitraum zu den sehr wichtigen Eigenschaften, Passwörtern einen „Sinn“ zu geben. Sie könnten beispielsweise statt nur den Vornamen des Lebenspartners zu verwenden, diesen wenigstens mit Sonderzeichen verfremden. Mag es auch mal lästig sein: Es hilft.

Die Feuerschutzmauer...

Als Firewall bezeichnet man solche Programme, die zwei Netzwerke mit unterschiedlichem Sicherheitsbedarf miteinander verbinden.

Eine Firewall ist heutzutage, sofern man sich mit dem Internet verbindet, ein Muss, da diese, vorausgesetzt sie ist gut auf die individuelle Nutzung konfiguriert, eine ganze Reihe von externen Angriffen auf unterschiedlichen Ebenen abwehren kann.

Darüber hinaus archivieren Firewalls die wichtigsten Informationen über Art und Ursprung eines erfolgten Angriffs, was eine Erleichterung in der Erkennung möglicher Gefahrenpotentiale ermöglicht.

Offene Funknetze oder „Internet für Alle“...

WLAN ist ein mittlerweile auch im Office-Bereich weit verbreitetes Produkt. Es ist eben fein, mit dem Laptop frei von Kabeln durch ein Gebäude zu stiefeln, ohne dabei die Internetverbindung zu verlieren. Nur sind gerade solche WLAN-Netze im originären Installationszustand „offen wie ein Scheunentor“ – inklusive Zutrittsmöglichkeit für ‚lieben Besuch’ im WLAN-Netz von solchen Leuten, die dort gar nichts verloren haben.

Dabei können Sie diesen ‚netten Gästen’ die Türe auf leichte Weise wieder verschließen: Ob nun durch einfache Änderung der nach der Installation vorgegebenen Passwörter oder der Aktivierung von bereits mitgelieferter Verschlüsselungs-Software (WEP-Encryption) – „Internet für alle“ ist ja schön und gut, aber es muss ja nicht gerade Ihr persönliches WLAN sein, welches dieses ermöglicht.

E-Mail, SPAM und Co...

E-Mail hat in den letzten Jahren die Kommunikation revolutioniert: Rasch, kostengünstig und leicht zu verteilen. Leider haben dies auch einige Menschen realisiert, denen nicht nur Gutes vorschwebt. Das Problem von SPAM ist mittlerweile wohl fast jedem E-Mail-Nutzer geläufig.

Hiergegen gibt es immerhin einigermaßen wirksame Filter.
Dass E-Mails aber auch dazu verwendet werden, Dateien anzuhängen oder automatisch auszuführen, die auf dem Zielrechner die unterschiedlichste, und meist auch unerwünschte Wirkung haben können, ist mittlerweile ebenso bekannt.

Nicht bekannt ist jedoch, dass mit teilweise sehr einfachen Maßnahmen die Gefahr, Opfer einer solchen Attacke zu werden, signifikant gesenkt werden kann. So gehören Mitarbeiter im Umgang mit E-Mails zu einigen Themen geschult, um in der Lage zu sein, infizierte Mails zu erkennen und deren Anhängsel nicht aktiv werden zu lassen.

Und noch etwas: Sie senden vertrauliche Briefe gerne im Umschlag; die Postkarten darf aber auch der Postbote schon mal lesen? Okay, schön und gut. – Nun versenden Sie Emails. Haben Sie je daran gedacht, wo hier eigentlich der Umschlag ist? Sie vermuten richtig: Es gibt normalerweise keinen. Erst durch zusätzliche Verschlüsselung wird ein entsprechender „Umschlag“ hinzugefügt und nur der wirkliche Empfänger kann Ihre Nachricht lesen – und nicht ein Dutzend System-Administratoren der Server, über denen sich Ihre E-Mail den Weg durch weltweite Netz gesucht hat.

Viren, Würmer, Ostereier...

Was sich schon in der Überschrift wie eine gewisse Anzahl der Verursacher von Krankheiten liest (das Osterei lassen wir hier mal außen vor), ist für ein einen Computer eventuell ein wirkliches Problem: Von Viren haben Sie sicherlich schon einiges gehört (man erinnere sich an den „I love you“-Virus oder „Sasser“, dessen Programmierer ob des entstandenen Schadens gar verhaftet wurde), und nicht nur deswegen gehört heutzutage auf eigentlich fast jeden Rechner mit Internet-Zugang aus diesem Grund ein sogenannter Viren-Scanner oder ein Anti-Virus-Programm.

Diese Programme überwachen oft in Kombination mit einer Firewall eine Vielzahl unterschiedlicher Systemfunktionen und helfen so, den Betrieb des Rechners auch bei stattfindenden Angriffen aufrechtzuerhalten. Bei „Infektion“ erfolgt eine entsprechende Meldung an den Nutzer, normalerweise mit der Möglichkeit verbunden, den Eindringling zu isolieren oder gar gleich zu löschen.

Laufende Hersteller-Ergänzungen der aktuellen Informationen zu den aktuell bekannten Viren machen diese Systeme schon recht zuverlässig. Darüber hinaus schützen diese Programme mittlerweile auch vor weiteren Bedrohungen wie Würmern, Trojanern oder sogenannter Spy-Ware und Ad-Ware.

Daten – sicher/n?

Schauen Sie selber einmal auf Ihre Festplatte. Es wäre schon eher verwunderlich, wenn es Ihnen egal wäre, würden all diese Daten gleich auf Nimmerwiedersehen verschwinden. So etwas kann aber – leider – passieren. Es muss nicht gleich ein Angriff von jemand anderem sein; eine defekte Festplatte tut es zur Not auch...

Daten sollte man also sichern, so man Wert auf sie legt. In Firmen sollte dieses auf jeden Fall geschehen, da hier der Wert der gespeicherten Daten oft sehr hoch ist. Ein schwerer Datenverlust kann für so manche Firma gar das Aus bedeuten! Datensicherung nach Plan ist hier eine sehr wichtige Sache, um entsprechende Existenzgefährdungen auszuschließen.

Die unterschiedlichen Methoden, zur Verfügung stehende Medien und deren Kosten und Skalierbarkeit werden im Buch verglichen. Anhand dessen kann man sich eine Richtlinie erstellen, nach der die eigene Datensicherung betrieben werden kann.

Die anschließende Archivierung von Daten wird in einem separaten Kapitel erläutert. Für so manchen Betrieb ist die Archivierung von Daten gar gesetzliche Pflicht. Das Buch berät bei der Wahl der Medien und gibt Anhaltspunkte zu deren „Lebensdauer“ (also die Zeit, auf denen die auf ihnen gespeicherten Daten wirklich noch lesbar sind).

Time to Say Good-Bye...

Auch bei Datenträgern kann einmal die Zeit kommen sein, an dem sie entsorgt werden müssen. Zum Sicherheitsaspekt gehört es hier ebenso, die zu entsorgenden Medien vorher so zu behandeln, dass keine sensiblen Daten mehr auf ihnen zu finden sind. Auch hierbei stellt das Buch mehrere Methoden vor, die zur sicheren Entsorgung von Datenträgern geeignet sind.

Zusammenfassung

Das „Praxishandbuch Sicherer IT-Betrieb“ bietet einen ausführlichen Überblick über die verschiedenen Aspekte, von denen die Sicherheit von „Computer und Co.“ abhängig ist. Angefangen bei Systemkomponenten, deren Aufbau und Vernetzung, den Betreibern und Nutzern bis hin zu externen Eingriffen in lokale Netze benennt es die jeweiligen Gefahrenquellen und bietet konkrete Lösungsansätze zu deren Abwehr beziehungsweise Vermeidung.

Das umfangreiche Literaturverzeichnis mit Verweisen zu den jeweiligen Themen bietet dem Leser darüber hinaus die Möglichkeit, sich bei Interesse auch intensiver mit einzelnen Teilbereichen auseinander zu setzen.

Neugierig geworden? Wenn Sie diese Buch kaufen wollen, klicken Sie hier:

Schwerpunkt IT-Sicherheit

• Teil 1: IT-Sicherheit durch EDV Betreuung
• Teil 2: "Praxishandbuch Sicherer IT-Betrieb"
• Teil 3: IT-Sicherheit - SOS Save Our Server
• Teil 4: IT-Check
• Teil 5: Verlosung Gutschein Restaurant Steirereck