Tipp

ABC der Netzwerk-Sicherheit: Best Practices zu Passwort-Richtlinien und Sicherheitsdokumentation

Im zweiten Teil unseres ABC der Netzwerk-Sicherheit lernen Sie fünf weitere Aspekte kennen, deren Beachtung in Unternehmensnetzwerken heute unerlässlich ist.

6. Schwache Kennwörter und starke Sicherheit passen nicht zusammen

Eigentlich weiß jeder, dass eine Voraussetzung für sichere Netzwerke starke Passwörter, gepaart mit ebenfalls robusten Richtlinien zum Passwort-Management, sind. Doch warum zeigen dann Umfragen wie der Imperva-Report vom Januar 2010 („

Kostenlose Registrierung notwendig

  • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

Mit dem Einreichen Ihrer Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Sie sich außerhalb der Vereinigten Staaten befinden, stimmen Sie hiermit zu, dass Ihre persönlichen Daten in die Vereinigten Staaten übertragen und dort verarbeitet werden. Datenschutz

Consumer Password Worst Practices“), dass „123456“, „password“ und „admin“ zu den gebräuchlichsten Passwörtern gehören?

Wenn Sie unberechtigte Benutzer aus Ihrem Netzwerk fernhalten wollen, dann brauchen Sie sicher aufgebaute Passwörter mit angemessener Länge. Über Tools zur Verwaltung sollten Nutzer außerdem regelmäßig aufgefordert werden, ihre Passwörter zu ändern. Dabei allerdings sollten Sie es auch nicht übertreiben: Wenn Sicherheitsauflagen zu lästig werden, dann neigen die Endanwender dazu, sie einfach zu ignorieren. Als Best Practice gilt eine Änderung von Passwörtern nicht öfter als viermal pro Jahr. Immer sollten sie aus mindestens acht Zeichen bestehen, Groß- und Kleinschreibung sowie mindestens ein Sonderzeichen enthalten.

7. Aktivieren Sie die Protokollierung – und ignorieren Sie sie nicht

Die einfachsten Dinge sind nicht nur die besten, sondern leider auch jene, die nur allzu leicht übersehen werden. In diesem Sinne gilt: Vermeintlich einfache Aufgaben, wie zum Beispiel das Protokollieren aller Netzwerk-Aktivitäten und die Überwachung, wie oft und wann sich Benutzer am Netzwerk anmelden, sind immens wichtig. Dasselbe gilt für Logs über Intrusion Detection und andere Systeme. Dafür lassen sich eine Reihe guter Gründe anführen: Erstens kann es dazu beitragen, potenzielle Schwachstellen aufzudecken. Denn es wird verdeutlicht, wie die Anwender das Netzwerk nutzen. Zum Beispiel könnte jemand einen Proxy-Server verwenden, um einen URL-Filter zu umgehen, der den Zugriff auf Seiten mit pornografischem Inhalt oder Torrent-Seiten verhindern soll. Dies kann zu erheblichen Lücken in einem – ansonsten optimal ausgelegten – Plan zur Netzwerk-Sicherheit führen.

Zweitens verfügen Sie im Falle eines Einbruchs nicht nur über die nötigen Beweise, sondern haben auch eine klare Planungsgrundlage für die notwendigen Verbesserungen, damit dies nicht noch einmal geschieht. Ein Abgleich aller Ereignisprotokolle aus den verschiedenen Sicherheitssystemen ist zwar grundsätzlich möglich, kann aber eine ziemlich mühsame Angelegenheit sein. Wenn Sie ein passendes netzwerkweites System für Sicherheitsmanagement einführen, das diese Aufgabe für Sie übernimmt, sparen Sie Zeit und Mühe. Investieren Sie in ein Produkt, das aus Rohdaten aussagekräftige Informationen destillieren kann. Auch Hacker entwickeln sich weiter, und ihre Angriffsstrategien nutzen eine Vielzahl von Vektoren für den Einbruch in ein System. Wenn Sie sich dagegen wirkungsvoll schützen wollen, müssen Sie Ihr Netz überwachen und zudem in der Lage sein, verdächtige Netzwerk-Aktivitäten zu verstehen.

8. Antiviren-Software ist nicht optional

Natürlich gibt es keine perfekte Antiviren- oder Antimalware-Software. Keine einzige davon kann für sich in Anspruch nehmen, dass sie in der Erkennung und Entfernung von Schadcode zu 100 Prozent effektiv ist. Es stimmt auch, dass – vor nicht allzu langer Zeit – ein paar der bekanntesten Anbieter von Antiviren-Software fehlerhafte Updates herausgegeben haben, etwa vor kurzem McAfee. Diese haben kurzfristig in etwa so viel Unheil angerichtet, wie sie eigentlich verhindern sollen. Aus leidvoller Erfahrung wissen wir jedoch, dass die Verwendung von Antiviren-Software auf sämtlichen Hosts (Clients und Server) keineswegs optional ist, sondern für einen wirksamen 360-Grad--Schutz unverzichtbar. Ein gutes Sicherheitskonzept ist in Schichten aufgebaut. Und ein Schutz vor Eindring-Versuchen auf Host-Ebene ist eine sinnvolle Ergänzung und Verstärkung aller übrigen Schutzvorkehrungen.

Allerdings ist eine veraltete Antiviren-Software häufig sogar schlimmer als gar keine: Wenn Sie ein Antiviren-Produkt installieren, dann vertrauen Sie darauf, dass dieses Ihre Systeme schützt. Doch was, wenn dieses Vertrauen aufgrund von abgelaufenen Lizenzen oder einer unzureichenden Update-Planung nicht mehr gerechtfertigt ist? Diese falsche Wahrnehmung kann zu riskanten Verhaltensweisen führen. Wenn ein Anwender beispielsweise davon ausgeht, dass er getrost auf eine verdächtige Website zugreifen kann, weil die Antiviren-Software im Zweifel mögliche Bedrohungen erkennt und ihn davor schützt, kann eine ernsthafte Infektion die Folge sein.

9. Bewegen Sie sich in Zonen

Es sollte niemals unterschätzt werden, wie wertvoll sorgfältig eingerichtete Sicherheitszonen sein können. Die Organisation von Web-, Anwendungs- und Datenbank-Servern in Stufen/Tiers wird heutzutage als Standard-Vorgehensweise für Sicherheit praktiziert. Als weitere gute Möglichkeit sollten Sie ergänzend die Einrichtung von spezifischen Firewalls für Web-Anwendungen in Erwägung ziehen. Überlegen Sie stets, welche Daten Sie schützen und warum Sie das tun. Denn der Schutz von zu vielen Daten kann nicht nur teuer, sondern auch schwierig sein.

Risiko und Sensibilität sollten als treibende Kräfte für die Definition dienen, was zu welcher Zone gehören soll: Der Mail-Server muss nicht unbedingt im selben Netzwerk-Segment stehen wie der für Rechnungswesen oder eCommerce – eine solche Konfiguration würde sogar einen weiteren Ansatzpunkt für einen Angreifer bieten. Denken Sie stets daran, dieselbe Logik der Risikobewertung auch für interne Server anzuwenden. Es ist keinesfalls ausreichend, sich nur um die zu kümmern, die einer Bedrohung von außen ausgesetzt sind. Ebenfalls ist eine gute Idee, diverse Zonen auf unterschiedlichen funktionalen Ebenen einzurichten: zum Beispiel eine öffentliche DMZ und eine Verwaltungszone, eine Client-Zone und eine Server-Zone. Die Implementierung muss keinesfalls kompliziert sein: Setzen Sie zur Trennung und zum Routen der Daten VLANs und Firewalls ein.

10. Erstellen Sie Richtlinien-Dokumente, und halten Sie sie aktuell

Jeder hat für die Absicherung seines Netzwerks eigene Prioritäten und Anforderungen. In jedem Fall aber sollten Sie dafür sorgen, dass Ihre Sicherheitsrichtlinien vernünftig dokumentiert und auch aktualisiert werden, damit technische Veränderungen im Laufe der Zeit berücksichtigt werden. Stellen Sie zudem sicher, dass Ihre Mitarbeiter und auch das Management die Richtlinien verstanden haben. Wenn das Management die Risiken nicht kennt, dann kann es auch nicht die Höhe der Investitionen richtig einschätzen, die zum Schutz davor nötig sind. Führen Sie eine AUP (Acceptable Use Policy) ein. In einer solchen Richtlinie können Sie für Endanwender genau definieren, was im Hinblick auf Netzwerk-Konnektivität und die Nutzung von Ressourcen akzeptabel ist und was nicht. Ohne die klaren Aussagen einer AUP können Sie von Ihren Anwendern letztlich nicht erwarten, dass sie genau verstehen, welche Verhaltensweisen riskant sind – für die Daten, aber auch für ihren eigenen Job.

Über den Autor:
Davey Winder arbeitet seit fast 20 Jahren als freiberuflicher Technologie-Journalist.

Artikel wurde zuletzt im August 2010 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.

    Haftungsausschluss: Unser Tipp-Austausch ist ein Forum, in welchem Sie technische Beratung und Fachkenntnisse mit Ihrem Peers teilen können, sowie auch von anderen IT-Profis lernen können. TechTarget bietet die Infrastruktur, um dieses Teilen von Informationen zu erleichtern. Wie auch immer, wir können nicht die Genauigkeit oder die Gültigkeit des vorgelegten Materials garantieren. Sie stimmen zu, dass Ihre Benutzung von dem „Fragen Sie den Experten“ Service, sowie auch Ihr Vertrauen von jeglichen Fragen, Antworten, Informationen oder anderen empfangenen Materialien von dieser Webseite auf Ihre eigenes Risiko läuft.