IT-Sicherheit: Lokales Netzwerk optimal schützen

IT-Sicherheit: Lokales Netzwerk optimal schützen

Ratgeber

von -

Für jedes Unternehmen sollte die Absicherung des firmeneigenen, lokalen Netzwerks eine ganzheitliche Angelegenheit sein. Der Sicherheit muss eine hohe Priorität eingeräumt werden. Vielen Entscheidern in den deutschen KMUs (Klein- und mittelständische Unternehmen) ist dies nicht unbedingt klar. Dabei liegen die Gründe auf der Hand. Viren und sonstige Schadprogramme, Hackerzugriffe sowie Sabotage- oder Spionageattacken sind nur die bekanntesten Beispiele der großen Angriffspalette, die das Internet zu bieten hat. Entsprechend vielseitig müssen die Abwehrmechanismen sein.

 

Sicherheit geht vor Produktion – oder: Warum Sicherheit so wichtig ist

Dieser aus den Bestimmungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) hervorgegangene Leitsatz dient als Grundlage für die Administration der meisten Computernetze des öffentlichen Dienstes in Deutschland. So strikt können private Unternehmen nicht vorgehen, aber der eigene Anspruch muss zumindest in diese Richtung gehen. In den Anfängen des modernen Internets ging die Privatwirtschaft mit der Absicherung der lokalen Firmennetzwerke fahrlässig um. Beispielsweise war es tatsächlich vorgekommen, dass eine Putzfrau unbeobachtet in ein Rechenzentrum gelangen konnte. Das ist schon schlimm genug. Sie konnte sogar einen USB-Stick an einen Server anschließen und mittels eines darauf installierten Trojaners die Kundendaten kopieren. All dies war möglich, obwohl die Dame nicht die Ausbildung einer von Tom Cruise gespielten Hollywood-Figur genossen haben dürfte. Zumindest zeigen solche Vorkommnisse, wie gering das Sicherheitsempfinden in einigen deutschen Unternehmen war und teilweise noch ist.
Unterschiedliche Gefahren erfordern verschiedene Maßnahmen. Im Folgenden erfahren Sie die Möglichkeiten, wie Sie den einzelnen Angriffstypen begegnen können.

Abwehr von Viren und anderen Schadprogrammen

Dieses Feld der IT-Sicherheit ist allein eine Wissenschaft für sich. Viren kommen hauptsächlich über diese drei Wege:
– per E-Mail
– durch infizierte Webseiten auf einem Client
– eine bereits auf einem Client installierte Malware lädt Viren herunter

Hier können Sie wieder vom Öffentlichen Dienst lernen. Viele große Behördennetze verfügen über einen Dreifachschutz für das Mailing-System. Erstens wird auf allen Mailservern jeweils ein lokaler Virenscanner installiert. Zweitens hat jeder Client eine lokal installierte Anti-Virus-Software über einen zentralen Verteil-Server erhalten, der auch für die Aktualisierung zuständig ist. Drittens durchlaufen alle aus dem Internet eingehenden Mails eine zwischen Firewall und internem Netz installierte Viruswall. Optimal wäre noch eine weitere Instanz zwischen dieser und dem internen Netz, die sich um das Herausfiltern der mitunter gefährlichen Spam-Mails kümmert. Wichtig ist hier, dass alle drei bzw. vier Applikationen von verschiedenen Herstellern stammen.
Viren, die beim Surfen ungewollt heruntergeladen werden, verbreiten sich zumeist rasend schnell über die Netzwerklaufwerke. Die Virenscanner auf den Clients sorgen auch in diesen Fällen für einen größtmöglichen Schutz. Möchten Sie auf Nummer sicher gehen, dann können Sie den Internet-Zugang Ihrer Mitarbeiter über Terminal-Server abwickeln.

 

Abwehr von Sabotage- und Spionage

Der wichtigste Faktor für die IT-Sicherheit ist eine perfekt konfigurierte und ausfallsichere Firewall. Daneben können auf den internen Routern Access-Listen eingesetzt werden, welche die Wege im Intranet Ihres Unternehmens eindeutig definieren. In beiden Fällen gilt: Was nicht explizit erlaubt wurde, ist verboten.
Eine Firewall hat meistens vier Aufgaben. Erstens schottet sie das interne Netz ab. Zweitens geht sie für jede Client-Verbindung mit ihrer IP-Adresse ins Internet (NAT). Drittens sorgt sie für ein komplett von Intra- und Internet getrenntes Netzwerksegment, in dem die Webserver Ihres Unternehmens untergebracht werden („Demilitarisierte Zone“).
Eine große Hilfe bei der Abwehr von Spionage- und Sabotageangriffen sind IDS- und IPS-Systeme. Sie werden als Modul in Ihre Netzwerkkomponenten integriert und lesen die Datenströme mit. Entweder erkennen sie einen Angriff (IDS – Intrusion Detection System) und geben entsprechende Warnhinweise, oder sie ergreifen vorbeugende Maßnahmen, um eine Attacke gar nicht erst zuzulassen (IPS – Intrusion Prevention System).

 

Fazit

Die Sicherheit Ihres IT-Netzwerkes sollte Ihnen einiges wert sein. Ein Ausfall von wenigen Stunden kann Ihnen bereits einen Millionenschaden einbringen. Kommen Ihre Systeme mehrere Tage nicht ins Internet bzw. sind sie von dort aus längere Zeit nicht zu erreichen, ist die Gefahr eines Firmenbankrottes hoch. Sie müssen nicht alles umsetzen, was technisch möglich ist, aber lassen Sie es nicht darauf ankommen. Seien Sie vorbereitet.

 

 

Artikelbild: Fotolia / ra2 studio

 

Keine Kommentare

Kommentar hinterlassen (Freischaltung erfolgt in Kürze)