Home / How-To / Business
How-To

Server und Netzwerk absichern

Server und Netzwerke von kleinen und mittelständischen Unternehmen sind häufig nur unzureichend abgesichert. Lesen Sie, welche konkreten Maßnahmen zur Absicherung von IT-Infrastrukturen ratsam sind. Die Tipps sind vor allem für Gründer, Selbstständige und kleine Unternehmen interessant.
Christoph Dyllick-Brenzinger
Von Christoph Dyllick-Brenzinger
PC-WELT
ionas - Ihr Online-Assistent
Image: ionas

Gründer, Selbstständige und kleine Unternehmen verfügen in aller Regel über keine ausreichenden internen IT-Kapazitäten, um die eigene IT-Infrastruktur strukturiert zu entwickeln und um Bedrohungsszenarien zu identifizieren. Folglich sind Server und Netzwerke von kleinen und mittelständischen Unternehmen häufig nur unzureichend abgesichert – ein großes operatives Risiko.

Unternehmer sollten daher von Anfang an die Zeit investieren und ihre Infrastruktur mit einem Blick auf die Risiken planen und in regelmäßigen Abständen unter Sicherheitsaspekten bewerten. Ansonsten droht schlimmstenfalls ein böses Erwachen.

Die gute Nachricht ist: Mit vergleichsweise wenig Aufwand lässt sich viel erreichen! Ein virtueller Server ist in wenigen Minuten angemietet und aufgesetzt. Dann kann es auch schon losgehen.

Ist das Gerät erst mal funktionsfähig, wird der zusätzlichen Absicherung oft wenig Beachtung geschenkt. Die vorsichtigeren Naturen behalten evtl. das Thema Sicherheit im Hinterkopf. Aus der allgemeinen Lebenserfahrung heraus weiß man aber, dass funktionierende Provisorien häufig zu Dauerlösungen werden.

Entlang von drei Grundregeln für sichere Netzwerke zeigt dieser Beitrag auf, welche Punkte es zu beachten gilt und welche konkreten Maßnahmen zur Absicherung von IT-Infrastrukturen ratsam sind.

Grundregel 1: Angriffsfläche verkleinern

Unter Security-Experten ist man sich einig, dass jedes IT-System mit entsprechender Zeit und Aufwand geknackt werden kann. Deshalb empfiehlt es sich, die Angriffsfläche so gering wie möglich zu halten. Die Logik ist simpel wie bestechend: Systeme und Zugänge, die nicht verfügbar sind, können auch nicht angegriffen werden.

So verkleinern Sie Ihre Angriffsfläche:

  • Überlegen Sie, welche Dienste Sie wirklich benötigen. Deaktivieren Sie alle entbehrlichen Dienste. Wenn Ihre Mitarbeiter den Webmailer nicht nutzen, dann blocken Sie den Zugriff auf diese URL oder deaktivieren Sie diesen.
  • Beschränken Sie die Zugriffsmöglichkeiten auf ein sinnvolles Maß. Muss Ihr CRM-System auf einem virtuellen Server wirklich für jeden zugänglich sein? Reicht es vielleicht, dass nur Anfragen von Ihrer Büro-IP erlaubt sind?

Ähnlich verhält es sich im eigenen Firmennetzwerk. Nutzen Sie die Möglichkeiten von virtuellen LANs (VLANs) und bieten Sie ein Gäste-WLAN ohne Zugriff ins eigentliche Firmennetzwerk an. Jeder trifft die Abwägung zwischen Komfort und Sicherheit unterschiedlich, aber sie sollte bewusst getroffen werden.

  • Verzichten Sie auf Portfreigaben und nutzen Sie konsequent VPN-Zugänge, um Dienste in Ihrem Firmennetzwerk über das Internet verfügbar zu machen. Ein offener Port ist eine Einladung für jeden Angreifer.

Die notwendige Technik zum Verkleinern der Angriffsfläche ist für jeden erschwinglich: VLANs findet man heute auch in günstigen WLAN-Access-Points. Die Firewall-Regeln von virtuellen Servern bieten mittels Black- und Whitelists für IP-Adressen großes Schutzpotenzial. Und auch VPN ist heute in jedem guten Router enthalten.

Grundregel 2: Verbleibende Angriffsfläche absichern

Natürlich gibt es Dienste, die erreichbar sein müssen und die Sie nicht deaktivieren können. Was für einen Sinn hätte ein WordPress-Blog, der nicht über das Internet erreichbar ist. Solche Standarddienste sollten Sie jedoch besonders gründlich absichern, da sie immer wieder das Ziel von groß angelegten Angriffen sind. Zu einfach ist es für Angreifer, solche Dienste zu finden und oftmals bekannte Sicherheitslücken auszunutzen.

So sichern Sie die verbleibende Angriffsfläche ab:

  • Aktualisieren Sie die Dienste regelmäßig.
  • Vermeiden Sie Standardeinstellungen und ändern Sie den Root oder Admin-Usernamen. Legen Sie die Dienste auf andere Ports und verändern Sie die Default Login-URLs. Ein WordPress-Angreifer wird als erstes nach einer ‘wp-login.php ‘ suchen, da dies die typische Login-Adresse von WordPress ist.
  • Verwenden Sie für jeden Dienst ein eigenes sicheres Passwort.
  • Nutzen Sie Verschlüsselung, wo es nur geht. Ein selbst erzeugtes Zertifikat ist zwar nicht schick, aber viel besser, als bei jedem Login die Zugangsdaten im Klartext durch das Internet zu schicken.
  • Schützen Sie sich vor Brute-Force-Angriffen, indem Sie Ihre Log-Dateien überwachen. Eine Anleitung zur Installation des Zugriffsschutzsystems Fail2Ban finden Sie in unserem Server-Blog.

Grundregel 3: IT-Systeme regelmäßig prüfen

Selbst wenn Sie Ihre IT-Systeme optimal geschützt haben, ist eine regelmäßige Überprüfung unerlässlich. Diese Mühe machen sich die wenigsten Unternehmen, weshalb einmal erteilte Zugänge oder temporäre Einstellungen fast nie wieder korrigiert werden.

Die folgenden Erfahrungsberichte stammen zwar von deutschen Konzernen, sind aber ohne weiteres auf kleine Unternehmen übertragbar.

Während eines Praktikums bei einem großen deutschen Automobilhersteller war eine meiner Aufgaben, eine kleine Datenbank aufzubauen. Für die Übergangszeit von einem halben Jahr sollten damit Versuchsteile überwacht werden. 8 Jahre später wurde ich von einem Mitarbeiter wegen Problemen mit eben dieser Datenbank kontaktiert. Es stellte sich heraus, dass die Test-Datenbank auch knapp ein Jahrzehnt später noch sporadisch genutzt wurde. Schlimmer noch: Mittlerweile hatten alle Nutzer Adminrechte, da es keinen zentralen Administrator mehr gab.

Im Rahmen der Integration eines SAP SRM-Systems bei einem deutschen Automobilhersteller erhielt ich umfassende Zugänge zum Entwicklungs- und Produktivsystem. Selbst Monate nach dem Ende meiner Projektarbeit waren die Zugänge immer noch gültig und wurden erst auf meine Nachfrage hin deaktiviert.

Aufwändige Penetrationstests durch darauf spezialisierte Firmen sind vermutlich für die meisten Unternehmen eine Nummer zu groß. Auf jeden Fall lohnt sich aber die Hinzuziehung von Experten, wenn das interne Know-How nicht verfügbar ist. Dies insbesondere, wenn sich die Firmen-IT in der jüngeren Vergangenheit in größerem Umfang verändert hat.

Lesetipp: Server-Absturz – manchmal liegt es nur am Dreck. Was Sie dann tun können.

Es bedarf keines ausgebildeten Administrators, um die eigenen Server und das Firmennetzwerk gegen die gängigsten Risikoszenarien wirksam zu sichern. Gesunder Menschenverstand und ein bisschen Zeit reichen aus, um sich vor bösen Überraschungen zu schützen. Die Zeit ist gut investiert und jeder, der schon einmal Opfer eines Angriffs wurde, wird diese Sicht wohl bestätigen.

vgwort

Christoph Dyllick-Brenzinger ist Technischer Geschäftsführer der Datamate Service GmbH. Datamate ist eine IT-Beratung mit den Schwerpunkten Private Cloud, VoIP-Telefonie und Open Source.

Aktuelle Beiträge von Christoph Dyllick-Brenzinger: