Netzwerksicherheit verbessern (kleine Firma)

[Iv0ry]

Hallo liebe Forengemeinde,

ein Freund von mir hat eine kleine Firma (er + 4 Angestellte), die sich mit Dienstleistungen für Apotheken beschäftigen. Da die Firma nun wieder 2 Tage wegen einem Virus Stillstand hat er mich gebeten, ob ich nicht ein paar Vorschläge hätte, die Sicherheit dort zu verbessern, um Ausfälle zu minimieren. Da die geliebte Apothekensoftware ausschließlich unter Windows läuft, wird dort 4 x Windows 7 (mit allen Update sowie Kaspersky auf jedem Gerät) eingesetzt. Lokal gibt es dort ebenfalls einen Uralten Webserver (der macht mir wirklich Angst) wo die lokale Internetseite sowie ein Kundenbereich gehostet wird.

Meine bisherigen Ideen dort die Sicherheit zu verbessern wäre von Firefox auf Chrome umzusteigen (schnellere Update und etwas weniger Angrifspotential als in Firefox laut BSI-Statistiken) mit einigen Plug-ins wie uBlock. Die Frage ist nun was für Hardware/Software (wie immer leider möglichst günstig) würdet Ihr für eine Verbesserung der Sicherheit empfehlen?

Was ich schon durchboxen konnte, ist, dass endlich ein Synology-NAS-System mit Raid 1 als Backup der Daten zum Einsatz kommt. Der erste Schritt ist also getan.

Danke für Eure Vorschläge!

 

[majusss]

Gucken ob die Software unter Wine läuft und auf Linux umsteigen

Ansonsten eben auf Windows 10 upgraden, dass bietet auch wesentlich weniger Angriffsfläche. Die Internetseite würde ich auf einen Intel NUC mit Debian und nginx hosten (natürlich https nicht vergessen...).

 

[D1rty]

Würde das Ding außerhalb des Hauses hosten und auch dort backupen. 2 Probleme weniger um die er sich kümmern muss.

 

[HominiLupus]

Wie kam der "Virus" auf die PCs? Welcher Vektor?
Welche Hardware ist derzeit vorhanden?

Linux ist keine schlechte Idee, aber kein WINE sondern eher eine kleine VM im seamless mode. Keinerlei AV Software, kein Browser oder EMail Programm in der Windows VM.
Dazu müssen die PCs eine SSD und genug RAM (>=8GB) haben.

, dass endlich ein Synology-NAS-System mit Raid 1 als Backup der Daten zum Einsatz kommt.

Und das ist schon der erste Fehler den du gemacht hast. Hier ist ein RAID1 durchaus vertretbar, aber du bist der falsche Ansprechpartner für diese Firma.

 

[Conqi]

Gratis und oftmals am wirksamsten ist es wohl auch die Mitarbeiter etwas zu schulen. Oftmals kommen Viren ja nicht durch exotische 0days oder gezielte Hackerangriffe, sondern simpel durch Emailanhänge und Links auf dubiose Seiten.

 

[Piktogramm]

Es wäre ja ein Ansatz, so etwas Jemanden machen zu lassen, der nicht in einem Forum nachfragen muss, dessen Schwerpunkt doch eher im Bereich Endanwender / Gaming liegt.

Meine Ansätze:
*Niemand arbeitet als Admin
*Identifizieren wie der Virus seinen Weg auf die Systeme gefunden hat
*Ein Nas ist normalerweise keine Backuplösung.
*Soweit sinnvoll den Zugang von Mitarbeitern zum Internet, Daten & Co einschränken.
*Portscan auf das Netzwerk und alles was keine Miete zahlt rauswerfen. Vor allem Privatgeräte von Mitarbeitern
*Soweit sinnvoll die Nutzbarkeit von externen Datenträgern einschränken
*Wenn Wlan sein muss da die Sicherheit kontrollieren
*Mitarbeiter in grundlegendem Umgang mit IT schulen

 

[Domi83]

Neben dem identifizieren, wie der Virus in das Netzwerk kam, wäre das sensibilisieren der Mitarbeiter aus meiner Sicht einer der ersten Schritte... die beste AV Software nützt nichts, wenn die Mitarbeiter jede "Sie haben Gewonnen" oder "Ihre neue Rechnung" E-Mail öffnen, die herein kommt.

Diverse andere Ansätze wurden ja schon genannt. Aber die technischen Gegebenheiten wäre halt noch interessant. Was für ein Router ist im Einsatz (vielleicht kann man da ein wenig optimieren), wird W-LAN benötigt etc.

Gruß, Domi

 

[Raijin]

Dienstleistungen + Apotheken + Kundenbereich + nicht vorhandene IT = ganz miese Idee...

Tu dir selbst und vor allem deinem Freund einen Gefallen und rate ihm, sich bei einem IT-Systemhaus beraten zu lassen. Du gehst zwar nicht näher auf die Dienstleistungen ein, die angeboten werden, aber Apotheke impliziert eine gewisse Sensibilität der Daten. Rezepte, Medikamente, etc...

Gerade dann, wenn man nachweislich sogar mehrfach Probleme mit dem System hatte, ist es an der Zeit, einen Profi ins Boot zu holen. Ich will damit nicht sagen, dass hier im Forum alle keine Ahnung haben - im Gegenteil, hier tummeln sich viele Leute mit zT exzellentem KnowHow. Dennoch ist das nicht der richtige Ort für sowas, weil wir hier von potentiell kritischen Kundendaten und im worst case dem (Nicht-)Fortbestand der Firma sprechen.

IT ist nicht trivial. IT-Profis sind auch keine Hobbyadmins, sondern haben Aus- und Fortbildung hinter sich, zT auch Studium. Nur weil man weiß wie man bei einem PC eine Festplatte einbaut und wie man zB eine IP einstellt, hat man nicht mal einen Bruchteil des notwendigen KnowHows, um ein Firmennetzwerk mit sensiblen Daten zu administrieren.. Wenn ich ganz ehrlich bin, würde ich die Verantwortung selbst nicht übernehmen obwohl ich aus einem artverwandten Metier mit denselben Buchstaben komme (TI ).

Bedenke einfach wer am Ende das Desaster aufs Brot geschmiert bekommt, wenn dein Setup nicht ausreichend war und wichtige Daten weg sind...

 

[error]

+1 für den Beitrag von Raijin

Das Thema IT-Sicherheit ist an sich schon komplex und dafür benötigt Ihr Hilfe von jemanden vor Ort. Über das Forum können wir Tipps geben aber keine Beratung.
Wenn schon Vorwissen vorhanden wäre könnten wir darauf aufbauen. Aber sonst wird das nichts.

Wenn Ihr euch unsicher über die Angebote seid, dann meldet euch nochmal im Forum.
Wir können dann zumindest eine grobe Einschätzung geben.

gruß

 

[t-6]

Lokal gibt es dort ebenfalls einen Uralten Webserver (der macht mir wirklich Angst) wo die lokale Internetseite sowie ein Kundenbereich gehostet wird.

Was ist damit gemeint? Ist das ein Webserver der nach außen offen ist, damit sich bspw. Kunden dort einloggen können? Sind diese Kunden Apotheken? Wenn ja --> Systemhaus.
Mal eben ein paar Tips geben ist gut und schön, aber da hier noch nicht mal das Wort Firewall gefallen ist und dein erster Schritt ist den Browser zu wechseln, bist du bzw. dein Freund bei einem Systemhaus erst mal besser aufgehoben.

Die Frage ist nun was für Hardware/Software (wie immer leider möglichst günstig) würdet Ihr für eine Verbesserung der Sicherheit empfehlen?

Zunächst würde ich erst mal empfehlen deinem Freund klarzumachen dass "möglichst günstig" schon mal die falsche Denke ist. Das klingt nämlich stark nach dem Klassiker dass die IT im Betrieb unter "Sonstige Ausgaben" fällt, gleich neben den Papierhandtüchern für's Klo.
Da Ihr einerseits - mindestens peripher - mit sensiblen Daten arbeitet und andererseits von irgendeinem Webserver die Rede ist der anscheinend zentral für die Dienstleistungen zu sein scheint, gehört in dieser Kombo die IT nicht mehr zur Verwaltung sondern zum Investment.

Ohne jetzt groß ins Detail zu gehen, kann dein Freund sich schon mal lieber auf etwas fünfstelliges einstellen. Für die Hardware und vor allem für die Dienstleistung die jetzt anfällt um das gescheit zu machen. Denn Ihr könnt es nicht.



@Raijin:
+1

 

[rolandm1]

Raijin hat es schon sehr gut beschrieben.

Wenn ich ein Geschäft betreibe, bei dem ich auf IT angewiesen bin, darf ich nicht sparen. Hatte früher einen Bekannten, der auch so unterwegs war. Die IT durfte nichts kosten, aber immer rummeckern, wen es Probleme gab.

Hier gehört eben ein Profi ran, der ein auf die Kundenbedürfnisse zugeschnittenens Paket zusammenstellt.
Dazu gehört dann auch der Service und die Wartung.

Ob man einen ähnlichen Aufwand auch privat betreibt, muß jeder für sich selber entscheiden.

Ich würde hier mal auch über eine Firewall nachdenken.

Privat habe ich letztens mal eher aus Interesse ein "pi hole" installiert.
Schon interessant, was da alles an Seiten nicht mehr oder nur schlecht nutzbar geht.

Andererseits auch schön, wenn man beim Surfen nicht mehr von Werbung abgelenkt wird.

 

[Raijin]

Im übrigen ist die Erstberatung bei Systemhäusern teilweise sogar kostenfrei. Evtl. muss man die Anfahrt bezahlen oder eine kleine Pauschale. Das sollte man aber vorher abklären, um hinterher böse Überraschungen zu vermeiden. Schwarze Schafe gibt es in jeder Branche.

In einem ähnlichen Thread hatte der TE die Befürchtung geäußert "man drehe ihm da einfach das teuerste an". Diese Befürchtung hat aber zwei Seiten: Zum einen weiß auch ein Systemhaus, dass eine 4-Mann-Bude ohne spezielle Anforderungen keinen 50.000€ Server samt klimatisiertem Schrank braucht. Zum anderen wird ja nur ein Angebot unterbreitet. Wenn einem das zu teuer/oversized scheint, muss man ja nicht unterschreiben. Gerne darf man das Angebot hier auch posten und wir können mal einen Blick darauf werfen.

Es gibt hier im Forum sogar einige User, die tatsächlich bei einem Systemhaus tätig sind. Wenn du deine PLZ postest, meldet sich ja vielleicht jemand.

 

[Domi83]

Auch wenn mir bei dem Wort "Profi" in der Kombination "hat studiert" immer die Nackenhaare zu berge stehen, stimme ich Raijin auch zu. Allerdings wäre es auch mal interessant, wenn sich der TE mal zu Worte melden würde, denn die eine oder andere Frage wurde auch schon in den Raum gestellt und ist noch offen

 

[Raijin]

"Hat studiert" war lediglich Teil einer Auflistung. IT-Administrator oder vergleichbar ist sowohl Ausbildungsberuf als auch Studiengang. Weder Ausbildung noch Studium sind für sich genommen schon ein Qualitätsmerkmal. Ich kenne sowohl als auch in allen Facetten - bis hin zu der Frage wozu ich zu einer IP die Subnetzmaske brauche....

Mein Favorit:

Ich: "Wir benötigen für unser Gerät eine IP-Adresse aus ihrem Subnetz"
Admin: "Ok, welche denn?"
Ich: "Naja, eine freie IP eben, für unser Gerät"
Admin: "Ach so. Aber welche IP brauchen Sie denn?"
Ich: "Eine IP-Adresse, die ich bei unserem Gerät einstellen kann damit wir Zugriff auf Ihr Planungssystem haben"
Admin: "Ok, hier die IP: 255.255.255.0"