ComputerBase Hauptmenü
Aktuelles

Aufrüstung der Sicherheit im Firmennetz

T

toolchain

Newbie
Registriert
Apr. 2019
Beiträge
2
Hallo,

ich bin als DSB von meinem Betrieb aktuell mit der Aufgabe betraut worden, das interne Netz aus PCs und Server besser gegen Angriffe zu sichern. Dafür habe ich das externe Unternehmen, das für unsere Netzwerktechnik zuständig ist, kontaktiert. Da der Server, welcher sensible Daten gespeichert hat, aktuell selbst Zugriff zum Internet hat (angeblich für Updates von Starmoney), erkundigte ich mich über mögliche Sicherheitsmaßnahmen, welche man ausprobieren könne. Eine DMZ schloss der Techniker direkt aus. Stattdessen empfahl er mir, mit einer zweiten FritzBox ein weiteres Netzwerk aufzubauen, an dem der Server dann angeschlossen wird.

Daher meine Fragen: Ist eine DMZ tatsächlich nicht sinnvoll? Wie viel Sinn ergeben zwei FritzBoxen hintereinander? Und habt ihr andere Ideen?

Netzaufbau aktuell: Alle PCs und Peripheriegeräte, sowie der Server, sind direkt mit dem Router verbunden, welcher von dem Provider gestellt ist. Angeblich ist der Server über die Firewall von AVG geschützt.

Leider fehlen mir die technischen Kenntnisse mittlerweile. Vielleicht habt ihr ja Ideen.

Lg.
 
Was ist ein dsb? Datenschutz Beauftragter?

Um wie viel Geräte geht es denn?

Wie hoch soll den die Sicherheit den sein?


Beim bsi kannst dir auch etwas Input holen aber nicht alles ist Gold was dort glänzt
 
Eine Fritzbox kann zwar auch in einer Firma die Internetverbindung herstellen, aber sobald das Unternehmen eine gewisse Größe erreicht hat und sensible Daten im Spiel sind, ist eine Fritzbox nicht das richtige Instrument, um diese Internetverbindung auch abzusichern, weil sie für private Umgebungen konzipiert ist. Das heißt die kleine 5-Mann-Bude um die Ecke kann durchaus eine Fritzbox einsetzen, aber ein Unternehmen mit 50+ Mitarbeitern sollte sich nach einer professionellen Lösung umschauen.

DMZ bei einem Heimrouter ist im Prinzip keine DMZ, sondern nur eine vollständige Portweiterleitung für jeden einzelnen Port an das DMZ-Gerät. Deswegen wird DMZ in diesem Zusammenhang auch oft als exposed host bezeichnet. Eine richtige DMZ ist jedoch ein separates Netzwerk und nicht nur ein einzelner exposed host.

Was genau tut denn der Server? Du sagst er ist mit dem Internet verbunden, gilt das nur für ausgehenden Datenverkehr (zB Updates aus dem www runterladen) oder gilt das auch für eingehenden Datenverkehr (zB Zugriffe von außen für Leute im Homeoffice oder Monteure von unterwegs). Ersteres ist weniger kritisch als letzteres. Sobald der Server von außen erreichbar ist, weil dort zB die Webseite des Unternehmens läuft, besteht die Gefahr, dass er gehackt werden kann und der Angreifer dann an die Daten kommt bzw. den Rest des Netzwerks infiltriert.

Ich rate dir dringend dazu professionelle Beratung einzuholen. Wenn euer IT-Dienstleister meint "braucht man nicht", dann sollen sie klipp und klar darlegen warum nicht. Können sie das nicht, solltest du dir eine zweite Meinung einholen - nicht in einem öffentlichen, anonymen Forum, sondern von einem anderen Systemhaus.
 
  • Gefällt mir
Reaktionen: carnival55
und keine Fritzboxen verwenden ... zumindest wird eine 2. Fritzbox auch nichts verbessern an der Sicherheit.
 
  • Gefällt mir
Reaktionen: nitech
In diesem Fall würde ich zwischen dem Router und dem internen Netz noch einen ordentlichen Firewall mit UTM und auch IDS/IDP Funktion installieren lassen. Entsprechende Geräte kann dir Eurer Systemhaus sicher anbieten (z.b. Cisco, Rohde&Schwarz, evt. Zyxel usw.)
mfg
 
Leider fehlen mir die technischen Kenntnisse mittlerweile.
Zum Vergrößern anklicken....
Wahnsinn ... :)

Was hat denn ein DSB mit der Netzwerktechnik zu tun ?
Der DSB macht eigentlich mehr dokumentierende Aufgaben
-- Wo liegen welchen Kunden/Mitarbeiter Daten ?
-- Wer hat Zugriff drauf ?
-- Welche Daten liegen bei externen Dienstleistern ?
-- etc...

Ja ... es muss auch dokumentiert werden, wo und wie z.B. Daten verschlüsselt werden ...
aber die Umsetzung ist eigentlich nicht die Aufgabe eines DSB.

-----
Nun zu Starmoney.
Im Grunde ist Starmoney nichts anders zu bewerten als ein Browser ( auch wenn dort mehr also Passworte gespeichert werden ). Starmoney braucht wie ein Browser keine externen Zugriff - also keine offenen Ports vom Internet aus betrachtet. Entsprechend braucht es keine DMZ. In einer DMZ stehen z.B. WEB/Email Server ...also Rechner auf die ein Zugriff von extern gewünscht ist.

Und ja ... es kann Sinn machen mit 2x Routern zu arbeiten ( z.B. 2x Fritzbox )
... auch wenn das dann eher eine "Amateur" Lösung ist.

Das Problem ist das der Starmoney Rechner/Server ja im Regelfall nicht direkt von außen angreifbar ist
( weil keine offenen Ports ...nötig ).
Anders sieht es aus wenn es kompromittierte Rechner innerhalb des LANs gibt ...dann wäre es denkbar das
Der Starmoney(Server)-Rechner über diese kompromittierten Rechner angegriffen wird.

Und dann könnte man die 2-3 (?) Starmoney Rechner hinter einer 2. Fritzbox setzen und dort die White-ListFunktion aktivieren. Keinen Sinn macht es wenn sehr viele Rechner Zugriff auf eine StarMoney-Server haben und gleichzeitig im Internet surfen. ( aber nochmal ..das ist die Amateur Lösung )

Besser ist man lässt sich von jemandem beraten der einen Plan von Netzwerksicherheit hat.
Ein DSB muss davon nicht mehr wissen als ein Autofahrer vom Auto
( Wasser,Öl Sprit nachfüllen ja ...den Rest macht die Werkstatt )
 
Danke für die schnellen Antworten. :)

@konkretor
Ja, DSB heißt Datenschutzbeauftragter. Es handelt sich um 3 Peripheriegeräte, 9 PCs und einen Server. Meinem Arbeitgeber ist hohe Sicherheit wichtig. Die Strafen haben sich im Zuge der DSGVO drastisch erhöht (bzw. das Risiko von Bestrafung). Mit dem BSi stehe ich bereits in Kontakt.

@0-8-15 User
Die Mitarbeiter haben bereits eine Schulung erhalten, jedoch nur in Sachen Windows 10 etc. Alles, was darüber hinausgeht, ist durch Berechtigungen geschützt.

@Raijin
Was empfiehlst du als Alternative zur FritzBox? Für programmierbare Cisco-Router etc. finden wir leider vor Ort keinen Experten. Laut dem IT-Unternehmen benötigt der Server das Internet lediglich für die Updates. Ob da eine Fernwartung durch Hersteller anderer Programme stattfindet, kann ich so aus dem stehgreif nicht sagen. Was wäre denn, wenn es so wäre? Ein alternatives Unternehmen steht für meinen Arbeitgeber leider nicht zur Debatte.

@Markchen @nitech
Das klingt interessant. Ich werde es bei der nächsten Besprechung anregen.

@Maike23
Prinzipiell geb ich dir Recht. Nur mit welchen Aufgaben ich als DSB beauftragt werde, kann ja mein Arbeitgeber entscheiden und ich würde gerne weiter für das Unternehmen tätig sein. Dass ich nicht für die Technik zuständig bin ist glasklar, nur würde ich mich vor Empfehlungen gern noch andersweitig informieren. Die Daten liegen auf dem Server. Volle Zugriffsrechte hat nur der Geschäftsführer. Ansonsten abgestufte Rechte für Mitarbeiter. Keine Daten bei externen Dienstleistern. Das mit Starmoney ist interessant. Ein Webserver o.ä. ist nicht gehostet. Das mit den anderen Rechnern hatte ich auch angesprochen. Der Techniker wird sich informieren.
 
Zuletzt bearbeitet:
Also keine wirkliche Firewall sondern avg anti-virus auf dem server? Dazu läuft dann noch starmoney direkt auf dem Server. Also die Benutzer gehen zum Server (oder remote desktop) und erledigen so die bank Geschäfte. Am besten noch nebenbei den Browser am Server verwenden und sich Viren einfangen. Am Server hat niemand etwas zu suchen ausser ein qualifizierter admin.
Wenn ich dafür zuständig wäre könnte ich nicht mehr ruhig schlafen.
Es klingt auch so als wüsstest du nicht wie der Router konfiguriert ist - vor allem sind ports für eingehende Verbindungen offen. Das ist jetzt kein Vorwurf an dich nur klingt es nicht so als wäre der IT Dienstleister besonders kompetent.
Das Thema lässt sich auch schlecht über ein Forum wie hier lösen.
Sicherheit fängt immer mit einer Riskoanalyse an und dann muss man über die nächsten Schritte nachdenken. Also z. B. welcher Schaden entsteht wenn ein Angreifer Zugriff auf Starmoney bekommt (naja das ist nicht so schwer - das Konto wird eben leer geräumt 🙂)
 
Man könnte auch ganz extrem sein und den IT-Dienstleister mit einem Pentest via Kali-Linux beauftragen. Aber ganz ehrlich, was stellt ihr her. Bei einer 9-Mann Bude reicht tatsächlich eine FritzBox vor einer z. B. Sophos-UTM. Die muss dann natürlich ordentlich konfiguriert sein.
 
toolchain schrieb:
mit der Aufgabe betraut worden, das interne Netz aus PCs und Server besser gegen Angriffe zu sichern.
Zum Vergrößern anklicken....

Ich nehme den Punkt nochmal auf für ein wenig Grundlageninformation.
Ich habe versucht "auf die Schnelle" aus meiner Sicht wichtige Aspekte zusammenzutragen:
*)
Der BSI IT Grundschutz liefert sehr ausführlich die Antwort auf die Frage "Was soll ich tun?" (also: Welche Anforderungen gibt es?)
Damit ist noch nicht beantwortet "Wie soll ich es tun?" (also: Welche Maßnahmen setze ich wie um, um die Anforderungen zu erfüllen?) **
Neben dem Grundschutz gibt es auch noch andere Standards und best practices (allen voran die ISO27001 native).
Alle Maßnahmen sollten sich daran messen können.

Das erleichtert auch die Arbeit als DSB, wenn man den (dokumentarischen) Nachweis liefern kann, dass man sich an gängigen Standards der Informationssicherheit orientiert hat.

**) Hier sind 1-2 Tagessätze in eine professionelle Beratung sicherlich nicht schelcht investiert, damit die Empfehlungen passgenau auf a) Deine Anforderungen und b) Deine Infrastruktur abgestimmt sind.

Update:
Die "üblichen Verdächtigen" im Bereich "KMU UTM" tummeln sich schön übersichtlich hier: Link
So eine UTM Lösung ist sicherlich kein schlechter Ansatz, wenn man die Theorie oben beherzigt.

Wichtig zu wissen ist noch, dass man neben der Hardware auch die Lizenzen bezahlen muss (inkl. jährlicher Renewals!) und KnowHow braucht, um die Boxen zu betreiben.

Das verhält sich mit OpenSource Lösungen (z.B. pfsense) genauso, nur dass die Lizenzgebühren entfallen
 
Zuletzt bearbeitet:
toolchain schrieb:
Für programmierbare Cisco-Router etc. finden wir leider vor Ort keinen Experten.
Zum Vergrößern anklicken....
Frag nach Experten für andere Hersteller. (z.B. Mikrotik, Lancom, Juniper oder eine Open Source Firewall)

toolchain schrieb:
Laut dem IT-Unternehmen benötigt der Server das Internet lediglich für die Updates.
Zum Vergrößern anklicken....
Dann sollte dieser auch keinen freien Internetzugriff bekommen und nur die benötigten URL's und IP Adressen in die Whitelist der Firewall.
 
Bei nur einem Server ist ein WSUS Overkill.. Ich unterstelle jetzt mal die Nutzung von AzureAD und o365? Dann kann man Clients wunderbar, v.a. in der kleinen Anzahl, mit Intune managen.

Die BSI GrundschutzKataloge sind enorm umfangreich, gerade für einen alleine. Ich verweise da lieber auf das GrundschutzKompedium. Kompakter und dementsprechend natürlich nicht in allen Punkten so detailliert aber für einen ersten Überblick sehr gut.
BSI Grundschutz Kompendium

Grundsätzlich: Nicht gleich die große Keule hervorkramen und euch die mega-teure Firewall aufschwatzen lassen sondern fangt mit den Basics an:
  • Wenn aus dem Internet keinerlei Dienste erreichbar sein müssen, tut es bei so kleinen Firmen auch eine Fritzbox, wenn man diese aktuell hält, UPNP abgeschaltet lässt und dann mindestens bei den Servern bzw dem Server die Host-Firewall entsprechend nutzt. Neben dem Standardregelsatz von MS für Updates etc keine weiteren eingehenden Verbindungen erlauben außer für die entsprechenden Benutzer, die die Sfotware nutzen müssen und auch ausgehend nur StarMoney in dem Fall als Anwendung. Immerhin besser als nix.
  • Jeder bekommt nur die Rechte, die er minimal benötigt, vor allem nicht zur Installation von Programmen.
  • Erfasst was ihr installiert habt und in welchen Versionen. Zuerst muss man wissen, was man hat bevor man anfangen kann die Probleme zu beheben.
  • Je nach Dateiablagesystem (OneDrive, Fileserver, was-auch-immer) aktiviert file audits falls möglich damit klar ist, wer wann welche Daten verändert hat.
  • Prüft ob ihr alle relevanten Daten gesichert habt und testet mehrfach im Jahr den Restore ob dies erfolgreich klappt und zwar nicht nur einzelner Dateien sondern geht mindestens einmal den absoluten Worstcase.
Szenario: Cryptolocker hat mindestens die Hälfte aller PCs und den Server komplett verschlüsselt. Alternativ Einbrecher, der alles mitgenommen hat. Wie lange braucht ihr, bis ihr wieder arbeitsfähig seid? Sprich wie lange seid ihr arbeitsunfähig? Verpacke es in Zahlen, die für einen Chef/Vorgesetzten/Verantwortlichen greifbar sind. Das Risiko muss er dann abwägen, wie viel Sicherheit er will.
  • Packt die Restore-Doku, Notfallpläne oder wie auch immer ihr dies nennen wollt sicher weg. Auf einen Laptop, mit eigenem User und kein anderer Mitarbeiter sollte Zugriff darauf haben, auch nicht "für mal eben nur kurz weil Laptop des Mitarbeiters defekt ist".
  • Schult eure Mitarbeiter regelmäßig und überprüft dies auch mal. Die größte Gefahr geht nicht vom bösen Hacker mit Hoodie der nur aus dem Internet angreift sondern über Umwege wie eine infizierte Mail oder den obligatorischen unbekannten USB-Stick auf dem Parkplatz wo der Mitarbeiter hilfsbereit und/oder neugierig ist und den Stick in den PC steckt frei nach dem Motto: "Vielleicht finde ich ja den Besitzer und kann den Stick zurück geben". Menschlich voll verständlich und eigentlich auch lobenswert, aus Securitysicht ein Alptraum.

Ein wie hier vorgeschlagener "Pentest" ist nicht der erste Schritt sondern kommt nach den Basics um das zu finden, was man ggf. übersehen hat.
Reine Schwachstellen mit alter Software, Standardkennwörtern etc finden auch bestehende Security-Scanner-Lösungen wie z.B. OpenVAS, den man innerhalb des eigenen Netzes scannen lässt. Lässt man dies regelmäßig durchführen, kann man auch sehen ob es besser wird.
 
  • Gefällt mir
Reaktionen: konkretor, Raijin und carnival55
snaxilian schrieb:
Die BSI GrundschutzKataloge sind enorm umfangreich, gerade für einen alleine. Ich verweise da lieber auf das GrundschutzKompedium. Kompakter und dementsprechend natürlich nicht in allen Punkten so detailliert aber für einen ersten Überblick sehr gut.
Zum Vergrößern anklicken....
Da stimme ich 100% zu.
Ich habe dort allerdings nur wenig zur Netzsegmentierung gefunden. (Nur im Kap. NET.1.1.A4 Netztrennung in Sicherheitszonen, was zur Umsetzung sicherlich gut taugt)
Vernünftige Netzsegmentierung (das schließt Firewalling ein) ist im (professionellen!) Betrieb eines der essentiellen "Security-Features", meiner Meinung nach. Daher habe ich das Thema etwas ausfürhlicher "gestresst".
snaxilian schrieb:
Ein wie hier vorgeschlagener "Pentest" ist nicht der erste Schritt sondern kommt nach den Basics um das zu finden, was man ggf. übersehen hat.
Zum Vergrößern anklicken....
QFT.
Pentest ist die "Wirksamkeitskontrolle" der Maßnahmen.
Und ein Kali-Linux ist noch lange kein Pentest.
Ergänzung ()

Kleines Update:
toolchain schrieb:
Mit dem BSi stehe ich bereits in Kontakt.
Zum Vergrößern anklicken....
Erhoff' Dir da mal nicht zu viel. Das BSI ist eine Kontroll-Behörde, keine Consulting-Bude.
Ich spreche da aus langjähriger persönlicher Erfahrung.
 
  • Gefällt mir
Reaktionen: snaxilian
toolchain schrieb:
Für programmierbare Cisco-Router etc. finden wir leider vor Ort keinen Experten.
Zum Vergrößern anklicken....
Das Problem bleibt, egal von welchem Hersteller die Firewall kommt. Eine Hardware-Firewall ist nicht per Definition sicherer als zB die Firewall der Fritzbox. Die Sicherheit der Firewall hängt maßgeblich von der Konfiguration ab. Eine unsachgemäße eingerichtete Profi-Firewall hat mehr Löcher als eine Consumer-Firewall in einem 08/15 Router jemals haben könnte.

Das was man zB bei einer Fritzbox von der Firewall sieht ist .. .. gar nichts, weil das nur Eingabemasken für automatisch generierte Regeln.

Um einen Fachmann, der so eine Firewall einrichtet, kommt man nicht drumherum.
 
  • Gefällt mir
Reaktionen: snaxilian
Also m. E. habt Ihr den falschen Dienstleister, wenn mir ein s. g. Techniker empfehlen würde 2 Fritzboxen hintereinander zu schalten würde ich dem noch maximal zeigen wo der Weg nach draussen ist. Wo ist denn eure Firma, dann kann man ggf. was empfehlen.
 
toolchain schrieb:
Da der Server, welcher sensible Daten gespeichert hat, aktuell selbst Zugriff zum Internet hat (angeblich für Updates von Starmoney), erkundigte ich mich über mögliche Sicherheitsmaßnahmen
Zum Vergrößern anklicken....
toolchain schrieb:
Daher meine Fragen: Ist eine DMZ tatsächlich nicht sinnvoll?
Zum Vergrößern anklicken....

eine DMZ ist genau das Gegenteil von dem was du willst.
Starmoney braucht nur eine Verbindung ins Internet für Updates, die DMZ macht den Server aus dem Internet erreichbar.
Du hast offensichtlich zu wenig Ahnung davon. Lass die Finger davon!
Als DSB ist deine Aufgabe die Festlegung von Datenschutzregeln und deren Einhaltung, nicht deren Umsetzung. Das ist Sache der Fachabteilungen.
Für dich wären eher so Sachen wie Mitarbeiterschulungen bzw. Mitarbeitersensibilisierungen auf dem Plan. Das einzige was du dir im IT Bereich anschauen musst ist die Verteilung der Zugangsrechte zu den sensiblen Daten.

Eines der wichtigsten Dinge ist dass die Mitarbeiter nur die Rechte haben die sie zwingend brauchen und dass sie nicht planlos auf alles drauf klicken was ihnen eigentlich unseriös vorkommen sollte. Kümmer dich genau darum. Die größte Gefahr in eurer Firma ist externer kein Hacker sondern ein Dummbeutelmitarbeiter.
 
  • Gefällt mir
Reaktionen: Pacman0811 und Raijin
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

WarAngel2005
Firmennetzwerk, Logging, Firewall, Sicherheit
Antworten
4
Aufrufe
1.457
WarAngel2005
WarAngel2005
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz