Fließender Kopf: BEHEBUNG VON NETZWERKSICHERHEITSPROBLEMEN 1

Behebung von Netzwerksicherheitsproblemen

Aus der Perspektive eines Chief Security Officers

Alyssa L. Reph

Wilkes-Universität

Einführung

Laut Bruce Schneier: „Wenn Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen

kann, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht“ („Top

10“, o. J.). Informationssicherheit beruht auf mehr als nur Technologie; Es erfordert intelligente

Menschen hinter den Systemen. In einem Unternehmen ist der Chief Security Officer für die

Risikobewertung, das Technologiemanagement, die Umsetzung von Richtlinien und die

Schulung des Personals verantwortlich (Whitman & Mattord, 2014, S. 35). Obwohl es eine

Vielzahl von Sicherheitsproblemen gibt, werden fünf einzigartige Situationen aus der Sicht des

Chief Security Officers behandelt.

 Behebung von Netzwerksicherheitsproblemen 2

Diskussion

Zugriff auf Unternehmensdateien

Das Kuratorium zieht sich nach Florida zurück und muss auf seine Dateien auf dem

Dateiserver des Unternehmens zugreifen, bei dem es sich lediglich um einen internen Server

handelt. Das Hauptanliegen besteht darin, wie ihnen auf sichere Weise Zugriff auf ihre Dateien

gewährt werden kann und was das Unternehmen dazu tun muss. Um Zugriff auf das Netzwerk

zu erhalten, nutzt der Chief Security Officer ein virtuelles privates Netzwerk. Bei dieser Art von

Netzwerk handelt es sich um „ein privates Datennetzwerk, das die öffentliche

Telekommunikationsinfrastruktur nutzt und die Privatsphäre durch den Einsatz eines

Tunnelprotokolls und Sicherheitsverfahren wahrt“ (Whitman & Mattord, 2014, S. 347). Mit

anderen Worten: Das virtuelle private Netzwerk ermöglicht es dem Unternehmen, die

Netzwerkverbindungen sicher auf andere Standorte auszudehnen.

Bevor dem Stiftungsrat Zugang zu diesem Netzwerk angeboten wird, muss der Chief

Security Officer bestätigen, dass das Unternehmen über eine Richtlinie zur Kontrolle der

Nutzung verfügt. Es ist wichtig, über eine themenspezifische Sicherheitsrichtlinie zu verfügen,

die die autorisierte Nutzung des virtuellen privaten Netzwerks und der zugehörigen Ressourcen

detailliert beschreibt (Whitman & Mattord, 2014, S. 164). Gibt es bereits eine themenspezifische

Richtlinie? Wenn ja, umfasst dies auch die Nutzung von Ressourcen über virtuelle private

Netzwerke? Das Richtlinienformat kann ein elektronisches Dokument sein, das per E-Mail an

den Vorstand gesendet wird, mit einem kurzen Quiz, um das Verständnis der Richtlinien zu

beurteilen. Das Kuratorium muss die Richtlinie lesen und unterzeichnen, dass sie damit

einverstanden ist (Whitman & Mattord, 2014, S. 112).

 Behebung von Netzwerksicherheitsproblemen 3

Kauf eines Servers

Die Finanzabteilung möchte einen Server kaufen, um alle Budgetierungsmaterialien zu

speichern. Bei der Kaufentscheidung für ein so wichtiges Gerät müssen mehrere Faktoren

berücksichtigt werden. Mit welcher Software und welchen Servern arbeitet das Unternehmen

derzeit und sind diese effektiv? Wenn sie gut funktionieren, kann der Chief Security Officer

entscheiden, ein anderes ähnliches Modell zu kaufen. Ist im Budget außerdem Platz für einen

neuen Server? Der Chief Security Officer muss das Budget überprüfen und den Server zum

Kauf genehmigen lassen. Bei der Entscheidung über Art und Größe des Servers muss auch der

Schutz der Informationen berücksichtigt werden.

Wie schützt das Unternehmen die auf dem Server gespeicherten Informationen? Da der

Server Finanzinformationen schützt, ist die Dokumentation von entscheidender Bedeutung für

die Sicherheit der Unternehmensdateien. Es sollte ein Intrusion Detection and Prevention

System (IDPS) eingerichtet werden, um Daten zu protokollieren und den Server sicher zu halten

(Whitman & Mattord, 2014, S. 361). Der IDPS dokumentiert alle Aktivitäten auf dem Server,

sodass das Unternehmen im Falle eines Angriffs über die erforderlichen Unterlagen verfügt, um

den Eindringling aufzuspüren. Neben dem IDPS müssen auch Firewalls konfiguriert werden.

Wer ist für die Firewall-Konfiguration verantwortlich? Es wird ein Mitarbeiter als autorisierter

Firewall-Administrator benannt. Sie richten die Firewall ein, um den Server vor Angriffen von

außen zu schützen. Die „Konfiguration und der Betrieb einer Netzwerk-Firewall“ (Whitman &

Mattord, 2014, S. 168) finden sich in der systemspezifischen Sicherheitsrichtlinie. Diese

Richtlinie unterstützt den Administrator bei der Einrichtung der Firewall gemäß den

Anweisungen des Unternehmens.

 Behebung von Netzwerksicherheitsproblemen 4

Entlassung eines Netzwerkadministrators

Wenn einer der wichtigsten Netzwerkadministratoren entlassen wird, müssen Verfahren

befolgt werden, um die Sicherheit der Unternehmensinformationen zu gewährleisten. Wie kann

das Unternehmen Risiken für seine Sicherheit minimieren? Risiken können verringert werden,

wenn bestimmte Verfahren befolgt werden, „unabhängig vom Grad des Vertrauens, das das

Unternehmen dem Mitarbeiter entgegenbringt“ (Whitman & Mattord, 2014, S. 578). Ein

Austrittsgespräch sollte unabhängig davon geführt werden, ob der Austritt freundlich oder

feindselig ausfällt. Wer führt das Austrittsgespräch des Mitarbeiters? Der Chief Security Officer

wird wahrscheinlich das Austrittsgespräch führen, da er eng mit dem Netzwerkadministrator

zusammengearbeitet und ein gutes Verhältnis aufgebaut hat. Das Interview besteht aus einem

Treffen mit dem Mitarbeiter, um „vertragliche Verpflichtungen, wie etwa

Geheimhaltungsvereinbarungen, zu besprechen und Feedback über die Beschäftigungsdauer des

Mitarbeiters einzuholen“ (Whitman & Mattord, 2014, S. 577).

Welche konkreten Verfahren stellen sicher, dass der Mitarbeiter keinen Zugriff mehr auf

Netzwerkinformationen hat? Der Chief Security Officer muss den Zugriff des Mitarbeiters auf

Netzwerksysteme sperren, Festplatten sichern und sämtliche Wechseldatenträger, Firmengeräte

und Zugangskarten einsammeln. Schlösser an Aktenschränken und Türen sollten zusammen mit

Passwörtern auf Verwaltungsebene geändert werden (Whitman & Mattord, 2014, S. 578). Da

dieser Mitarbeiter weitreichenden autorisierten Zugriff auf das Netzwerk hatte, sollte der Chief

Security Officer einen Sicherheitscheck durchführen, um die Anfälligkeit des Netzwerks für

Angriffe von außen zu überprüfen (Verry, 2008).

Wer sollte über die Änderung informiert werden, wenn ein Netzwerkadministrator entlassen

wird? Die Personalabteilung sollte darauf aufmerksam gemacht werden, da sie dafür
 Behebung von Netzwerksicherheitsproblemen 5

verantwortlich ist, dem Austrittsinterviewer wichtige Dokumente wie einen Vertrag und eine

Geheimhaltungsvereinbarung zur Durchsicht vor dem Treffen zur Verfügung zu stellen.

Außerdem ist die Personalabteilung für die Veröffentlichung der Stellenausschreibung

verantwortlich. Darüber hinaus werden die Mitarbeiter des Unternehmens sensibilisiert, da

klargestellt werden sollte, dass jede Kommunikation mit dem gekündigten Mitarbeiter dem

Management gemeldet werden muss (Verry, 2008). Geschäftspartner und Berater müssen

darüber informiert werden, dass dieser Mitarbeiter nicht mehr für das Unternehmen tätig ist.

Dabei handelt es sich um eine vorbeugende Maßnahme, damit der Mitarbeiter diese Kontakte

nicht dazu nutzt, an Unternehmensinformationen zu gelangen (Verry, 2008).

Welche Auswirkungen wird diese Entlassung auf das Unternehmen haben und wer wird

diese Position in der Zwischenzeit übernehmen? Aufgrund der Bedeutung der

Unternehmenssicherheit ist es wichtig, dass jemand diese Position besetzt.

Höchstwahrscheinlich trägt der Chief Security Officer diese Verantwortung, da er bereits über

ordnungsgemäßen Zugriff und Kenntnisse über das Netzwerk verfügt. Sobald jemand neu

eingestellt oder befördert wird, wird er in die Richtlinien und Verfahren des Unternehmens

eingewiesen. Einen Wurmangriff verhindern

CERT hat gerade einen neuen Internet-Wurm gemeldet. Laut Whitman und Mattord (2014)

kann „das komplexe Verhalten von Würmern ausgelöst werden, unabhängig davon, ob der

Benutzer die Datei herunterlädt oder ausführt“ (S. 84). Ein Wurm ist eine Art bösartiger

Software, die sich auf Webserver kopieren und „in wenigen Minuten auf Hunderten von

Computern verbreiten kann“ („Incident Handling“, nd). Wie kann sich das Unternehmen vor

dieser möglichen Bedrohung schützen? Das Unternehmen kann sich dafür entscheiden, zunächst

das Einbruchschutzsystem zu überprüfen und Scan-Tools zu verwenden, um „die Bereitschaft

 Behebung von Netzwerksicherheitsproblemen 6

des Systems zu bewerten“ (Whitman &

Mattord, 2014, S. 360). Wie reagieren aktuelle Sicherheitsmaßnahmen auf Bedrohungen? Die

beim Scannen des Systems gesammelten Daten können analysiert werden, um Schwachstellen

zu ermitteln und Möglichkeiten zur Verbesserung des Schutzes zu finden.

Verfügt das Unternehmen über eine themenspezifische Sicherheitsrichtlinie für Würmer?

Das Unternehmen verfügt möglicherweise über eine Richtlinie, in der die „spezifischen

Mindestkonfigurationen von Computern zum Schutz vor Würmern und Viren“ aufgeführt sind

(Whitman & Mattord, 2014, S. 165). Sind die getroffenen Maßnahmen wirksam oder muss das

Unternehmen seine Richtlinien aktualisieren? Laut Whitman und Mattord (2014) „können

Richtlinien ihre Wirksamkeit in einem sich verändernden Umfeld nur dann behalten, wenn sie

regelmäßig auf Aktualität und Genauigkeit überprüft und dann entsprechend geändert werden“

(S. 172). Die Richtlinie ist möglicherweise veraltet oder verfügt nicht über die erforderliche

Sicherheit, um das Unternehmen vor dem neuen Wurm zu schützen. Die Richtlinie sollte auf die

aktuellste Revision überprüft und auf ihre Wirksamkeit getestet werden. Wenn die Richtlinie

nicht detailliert genug ist, um das Unternehmen vor neuen Bedrohungen zu schützen, sollte sie

umgehend überarbeitet und aktualisiert werden.

Wie werden die Mitarbeiter über Änderungen der Richtlinien und die Gefahr eines neuen

Wurms informiert? Es sollte ein Newsletter verschickt werden, um die Mitarbeiter auf die

mögliche Bedrohung aufmerksam zu machen, vorbeugende Maßnahmen aufzuzeigen und sie

über etwaige Änderungen an der Richtlinie zu informieren. Nachdem die Richtlinie überarbeitet

wurde, wird sie zusammen mit einem kurzen Quiz elektronisch an die Mitarbeiter gesendet, um

sicherzustellen, dass sie sie gelesen und verstanden haben. Risiken können minimiert werden,

wenn das Unternehmen das System regelmäßig überprüft, Richtlinien aktualisiert und die
 Behebung von Netzwerksicherheitsproblemen 7

Mitarbeiter über mögliche Verstöße informiert.

Produkte online verkaufen

Das Unternehmen wird damit beginnen, Widgets online zu verkaufen und Kreditkarten zu

akzeptieren. Wie bei jedem neuen Geschäftsvorhaben gibt es Risiken, die vor dem weiteren

Vorgehen angegangen werden müssen. Wie schützt das Unternehmen die Privatsphäre der

Verbraucher? Datenschutz ist definiert als „das Recht von Einzelpersonen oder Gruppen, sich

selbst und ihre Informationen vor unbefugtem Zugriff zu schützen und Vertraulichkeit zu

gewährleisten“ (Whitman & Mattord, 2014, S. 115). Eine Maßnahme zum Schutz der

Privatsphäre der Verbraucher besteht darin, sicherzustellen, dass online durch Einkäufe erlangte

Informationen nur für die Bereitstellung von Waren und nicht für Marketingzwecke verwendet

werden (Whitman & Mattord, 2014, S. 115).

Wie kann das Unternehmen die Informationen der Verbraucher schützen? Die Website

sollte so konfiguriert sein, dass sie durch die Verschlüsselung von

Kreditkarteninformationen sichere elektronische Transaktionen ermöglicht (Whitman &

Mattord, 2014, S. 454). Außerdem sollte der Firewall-Administrator eine Firewall

einrichten, um die Kreditkarteninformationen der Verbraucher vor Hackern zu schützen

(Whitman & Mattord, S. 125). Um die Sicherheit sowohl der Unternehmens- als auch der

Verbraucherinformationen zu gewährleisten, sollte der Chief Security Officer sicherstellen,

dass es eine aktualisierte Richtlinie gibt, in der diese Sicherheitsmaßnahmen detailliert

aufgeführt sind.

Abschluss

Als Chief Security Officer hat die Sicherheit des Netzwerks oberste Priorität. Es können

jedoch verschiedene Situationen eintreten, die die bestehenden Sicherheitsmaßnahmen

 Behebung von Netzwerksicherheitsproblemen 8

gefährden oder beschädigen könnten. Whitman und Mattord (2014) gehen davon aus, dass

„die Verwaltung der Informationssicherheit mehr mit Risikomanagement, Richtlinien und

deren Durchsetzung zu tun hat als mit der Technologie ihrer Umsetzung“ (S. 48). Chief

Security Officers spielen eine wichtige Rolle bei der Risikobewertung, der Festlegung von

Richtlinien und Verfahren und der Information des Personals, um die Sicherheit des

Netzwerks aufrechtzuerhalten.

Verweise

Verfahren zur Vorfallbehandlung. (nd). Abgerufen am 13. Juni 2016 von

https://www.mtech.edu/cts/policies/policies/incident.handling.pro..pdf

Top 10 Zitate zur IT-Sicherheit. (nd). Abgerufen am 14. Juni 2016 von

http://www.itscolumn.com/2011/08/top-10-it-security-quotes/

Verry, J. (2008, 18. Dezember). „Best Practices“ zum Auslösen einer Netzwerk- oder
Informationssicherheit

Administrator. Abgerufen am 12. Juni 2016 von http://pivotpointsecurity.com/blog/best-

practices-for-

fire-a-network-or-information-security-admin/

Whitman, ME, & Mattord, HJ (2014). Grundsätze der Informationssicherheit . Boston,

MA: Lernen engagieren.