Aufwändige Unternehmens-Security
Sicherheit ist ein harter Job

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Die Implementierung von effektiver IT-Sicherheit ist mit vielen Stunden sorgfältiger Planung, Überwachung und Analyse verbunden.

Mut zum WiFi-Netz

Aufwändige Unternehmens-Security

In den nächsten Wochen habe ich die hochinteressante Gelegenheit, ein kleines und hoffentlich sicheres Computernetzwerk ganz von Grund auf einzurichten – komplett mit Webserver, E-Mail und Office-Servern; eine drahtlos überbrückte Sammlung von ganz besonders sicheren Systemen und ein Office-Netzwerk von Laptops und Desktops. Und ich vermute, dass man es mir als einen mutigen Schritt anrechnen wird, dass ich zumindest einen Teil des Netzwerks Wi-Fi-gerecht ausrüsten muss, um einen problematischen Aspekt des Hauses, in dem das Netzwerk eingerichtet wird, abzufangen.

Zugegebenermaßen war ich lange alles andere als zuversichtlich bei dem Gedanken, ein drahtloses Netzwerk zu implementieren. Dies hatte mit Bedenken hinsichtlich der “Wardriving-Hacker” zu tun, die quasi im Vorbeifahren Netze auskundschaften – und mit ähnlichen Gesellen. Aber ehrlicherweise muss ich zugeben, dass mich die Vorteile des drahtlosen Netzes überzeugt haben, und dass sich so ein Netz wirklich rechnet.


Turnschuhnetz – das sicherste von allen

Aufwändige Unternehmens-Security

Natürlich wird das Netzwerk eine Firewall und ein angemessen empfindliches Intrusion Detection System (IDS) haben; und natürlich wird der wichtigste von allen Servern allein und frei sichtbar im Raum stehen – die alte “Turnschuh- Firewall” (damit wird der Schutz eines Gerätes beschrieben, das über keinerlei Kommunikationsanbindungen nach außen verfügt) ist noch immer eine der besten Verteidigungsformen.

Ich werde in den Router selbst eine starke Authentifizierung einbauen und dahinter noch irgendeine Variante von verschlüsseltem Protokoll setzen.

Was vielleicht noch wichtiger ist – ich plane die Einrichtung von nur einer Monitoring-Station, um die Zuweisung von Netzwerkadressen durch den Router zu protokollieren. Damit kann ich erkennen, ob irgendjemand es schafft, eine Verbindung auszuschnüffeln. Vielleicht werde ich auch noch ein häufig wechselndes Passwort für die Wi-Fi Verbindung einrichten – eventuell aber auch mein Vertrauen in den bestehenden Authentifizierungsmechanismus setzen.

Die Zeit und eine eingehende Überwachung werden zeigen, welches die beste Lösung ist – insbesondere wenn ich bei meinem jetzigen Gedanken bleibe, den drahtlosen Router am Ende jeden Arbeitstages einfach abzuschalten.


Sicherheit auf Kosten anderer Dinge

Aufwändige Unternehmens-Security

Mit viel Sorgfalt und ein bisschen Vorbedacht können Netze recht sicher implementiert werden – wobei man ehrlicherweise sagen muss, dass wirkliche Sicherheit nur mit gewissen Einschränkungen für den User machbar ist.

Aber meine wichtigste Beobachtung dabei: Sicherheit geht immer auf Kosten anderer Dinge, etwa Arbeitseffektivität der Mitarbeiter oder fehlende Gedanken an Risiko-Analysen.

Denn zu viele Unternehmen richten “sichere” Arbeitsplatz-Umgebungen ein oder planen ihre IT-Sicherheit, ohne sich Gedanken über Kosten und eine allgemeine Risikoanalyse (über Hackersicherheit hinaus) zu machen.
Die Risikoanalyse ist damit verbunden, Kosten für einen möglichen Datenverlust zu berechnen – den Verlust der Daten-Vertraulichkeit, der Integrität oder der Verfügbarkeit – und mit der Abschätzung der Wahrscheinlichkeit, dass verschiedene Arten von Bedrohungen auftauchen können. Dazu gehört auch die Berechnung der Kosten für die Sicherheitsmaßnahmen und darüber hinaus des Umfangs, in dem diese Maßnahmen die besonders unternehmenskritischen Informationen (“information assets”) vor den verschiedenen Arten von Bedrohungen schützen. Und schließlich bedeutet die Risikoanalyse, Geld auszugeben und die Ergebnisse zu kontrollieren.


Sicherheitsprozesse hören nie auf

Aufwändige Unternehmens-Security

Die Daten können auf unendlich viele verschiedene Arten geschützt werden – so viele wie mir einfallen und wie ich bezahlen kann. Ich habe wirklich vor, alles nur Mögliche zu unternehmen, die Daten zu schützen – und dann muss ich mir überlegen, was ich mache, wenn etwas schief geht. Das alles zu überlegen und dann noch einen Sicherheitsreport über diese Überlegungen zu schreiben, kostet viel Zeit – und einiges Geld.

Sicherheit bedeutet eben, Vorkehrungen für alle Eventualitäten, die man sich nur vorstellen kann, zu treffen. Und ich muss einfach an alles denken. Ein Eindringling braucht nur einen kleinen Riss in meinem technischen und organisatorischen Panzer zu finden. Man denke immer daran: Sicherheit ist ein ständiger Prozess, der niemals abgeschlossen ist.