Beiträge

Sichere Speicherung von Unternehmensdaten in Cloud- oder NAS-Systemen

Cloud- und NAS-Lösungen – Die richtigen Datenspeicher für Unternehmen

Sie kennen das Szenario vielleicht auch aus Ihrem Unternehmen: Wenn man Daten zentral speichern will, kommt als erstes ein ausrangierter Arbeitsplatz-PC zum Einsatz. Aber haben Sie dabei an die möglichen Konsequenzen gedacht? Oder sagen Sie sich, eine externe Festplatte dient prima als Backup?

Dann stehen Sie in puncto Datenspeicher leider noch auf dem Stand von vor 20 Jahren und sollten hier schnellstmöglich tätig werden.

Zwei essenzielle Anforderungen an moderne und sichere Datenspeicher

Punkt 1: Ein zentraler Speicherort sollte immer über einen redundanten Speicher verfügen. Das heißt im Minimum zwei Festplatten, ein Software-RAID oder besser mittels Controller ein Hardware-RAID. Damit es beim Zugriff nicht zu Datenschutzverstößen kommt, ist außerdem ein Berechtigungskonzept angebracht. Hierbei kann man für die zentralisierte Verwaltung einen Domain-Controller auf Windows- oder Linux-Basis einsetzen.

Punkt 2: Das Backup für den Datenserver sollte regelmäßig erfolgen. Für die optimale Kapazität im Datenspeicher bietet sich ein Verfahren aus Differenziell- und Vollbackups an. Ebenfalls sollte immer ein Backup(-ziel) außerhalb des Schuttkegels des Gebäudes aufbewahrt werden. Hierfür empfehlen sich ein Schließfach bei einer Bank, der Tresor zu Hause oder ein Rechenzentrum. Letztere Option ist die optimalste, da das Sichern einfach zu handhaben ist und man einen Teil der Verantwortung auslagert. Auch das Rücksichern ist im Katastrophenfall so am schnellsten zu gewährleisten.

Nun müssen Sie trotz dieser technischen und organisatorischen Ansprüche nicht gleich an einen super-potenten Server denken, der Ihnen als kleines Unternehmen oder als Mittelständler in der Anschaffung und Unterhaltung die Haare vom Kopf frisst.

Zwei Lösungen für Unternehmen zur Datenhaltung und -speicherung

Variante 1: Sie haben eine gute Internetanbindung? Dann lagern Sie die Datenspeicherung komplett in die Cloud aus. Zum Beispiel nach Office365, als DE-Cloud-Variante mit Datenschutz nach der neuen DGSVO. Hier haben Sie alles in einem und noch etwas mehr. Da haben wir Sharepoint, die Datei-/Dokumentverwaltung mit Zugriffsnachverfolgung, und natürlich Word und Excel in der aktuellsten Version und Online, aber auch viele andere nützliche Tools, die Ihnen im täglichen Geschäft weiterhelfen. Erfahren Sie mehr über die Office365-Produkte für Unternehmen.

Variante 2: Ein Network Attached Storage, kurz NAS, von Synology. Dies lagert sicher bei Ihnen vor Ort und bringt nicht nur redundanten Speicherplatz mit, sondern deckt auch die weiteren oben genannten Anforderungen ab, zum Beispiel einen Domain-Controller und die Anbindungsmöglichkeiten an Online- und Offline-Backupziele.

Spielen Sie nicht weiter mit dem Feuer und bringen Sie Ihre Daten in eine sichere und geschützte Umgebung. Unser IT-Team kennt sich mit den Anforderungen von KMUs bestens aus und hat sich auf genau diese Varianten spezialisiert. Sie erreichen uns über unser Kontaktformular.

Backups und Archive - von der Strategie zur technischen Umsetzung

Backups verstehen und korrekt einsetzen

Wird von Datensicherheit gesprochen, so sind Backups der Daten ein zentrales Thema. Meist sind sie der Notnagel in Worst Case Situationen und sollten demnach wohl durchdacht sein.

Heute wollen wir kurz beleuchten, welche technischen und organisatorischen Überlegungen vor dem Einsatz von Backups angegangen werden sollten.

Backups und Archive – Unterschiede und Gemeinsamkeiten

Bevor wir uns dem eigentlichen Thema widmen, soll noch eine kurze Abgrenzung erklärt werden: der Unterschied zwischen einem Backup und einem Archiv.

Während ein Backup darauf abzielt, innerhalb einer definierten Zeitperiode (meist kurze Abstände wie etwa ein Tag) ältere Abbilder bzw. Versionen des Datenbestandes anzubieten und dabei zu alte Abbilder automatisch u.a. aus Platzgründen verwirft, so besteht ein Archiv aus wenigen fest definierten kompletten Datenbeständen, deren maximales Alter oft viele Jahre sein kann (der Gesetzgeber gibt für Rechnungen bspw. eine Aufbewahrungsfrist von zehn Jahren vor).

Was beide gemein haben, sind die technischen und organisatorischen Anforderungen:

  • Veränderbarkeit: Es muss sichergestellt sein, dass Daten nachträglich nicht geändert oder manipuliert werden können.
  • Zugriffkontrolle: Bei Bedarf müssen die Daten schnell verfügbar sein. Jedweder Zugriff darf nur durch Autorisierte geschehen.

I. Eine Strategie wird gebraucht

Nun verfällt man leicht in den Reflex zu sagen, alles muss ins Backup und schlimmer noch, das Backup solle doch bitte auch Archiv sein, also auch sehr alte Datenbestände umfassen. Beachten Sie den Speicherbedarf, welcher überproportional durch lange Aufbewahrungszeiten von z.T. redundanten Daten entsteht! Hier fallen unnötige Kosten für die Bereitstellung der Speichervolumina, der Kontrolle dieser Speichervolumina sowie unnütz lange Transfervolumina an, welche die Last und damit auch die Kosten u.a. für die Dimensionierung des zugrundeliegenden Netzwerks in die Höhe treiben.

Es gilt also auch hier: So wenig wie möglich, so viel wie nötig. Klären Sie, welche Datenbestände wirklich durch Backups geschützt werden sollen. Beachten Sie dabei auch das Nutzungsverhalten, evtl. gibt es eine Person, die oft nervös die Entfernen-Taste bemüht. Durchdenken Sie, ob die eine einfache Strategie, in der tagesgenaue Backups mit einer Aufbewahrungszeit von 7 Tagen (d.h. tagesgenaue Stände einer Woche) für Ihre Datennutzung genügen, oder ob man nicht doch lieber gar jede Stunde Versionsstände automatisiert erstellt haben möchte.

II. Organisatorische Fragen vor dem ersten Backup

Damit aus einer Strategie ein Plan wird, gilt es Anforderungen, Rahmenparameter und eben organisatorische Themen zu klären.

Hier eine Liste grundsätzlicher organisatorischer Fragen:

  • Wer darf auf die Backups zugreifen?
  • Wie regelmäßig sollen die Backups auf Korrektheit geprüft werden?
  • Soll sich ein Dienstleister um die Backups kümmern oder soll das inhouse bleiben?
  • Sollen sich die möglicherweise mehrfach vorhandenen Backupziele in unterschiedlichen Sicherheitszonen befinden?
  • Wer hat (physischen) Zutritt zu diesen Sicherheitszonen? Wer sollte ihn haben, wer nicht?
  • Wie wird im Desaster-Fall ein Recovery angegangen? (Informationspolitik, Meldewege, …)

III. Anforderungen an die Technik

Mit der Strategie und geklärten organisatorischen Rahmenbedingungen ist nun erst die Technik dran. Es sollte nach den vorherigen Ausführungen klar sein, dass der USB-Stick oder die externe Festplatte keine geeigneten Medien sind, um Backups aufzunehmen.

Welche Voraussetzungen sollten also gegeben sein:

  • Hinreichend Speicherplatz für aktuelle und kommende Backups, passend zur Strategie => Skalierbarkeit als Primärfaktor
  • Technische Umsetzbarkeit von Berechtigungskonzepten => Primärfaktoren Autorisation und Authentizität
  • Technische Umsetzbarkeit der Unveränderbarkeit => Primärfaktor Integritätsschutz
  • Ausfallsicherheit der einzelnen Komponenten sowie Erfüllung der Performanceanforderungen => Primärfaktor Verfügbarkeit

Als Sekundärfaktoren sollen hier auch die einfache Bedienbarkeit sowie kurze Reaktionszeiten seitens des Herstellers in Supportfällen genannt werden.

Backups in der Cloud?

Es ist in der Tat nicht leicht, all diese Anforderungen im Rahmen der eigenen IT und evtl. des eigenen Budgets erfüllen zu können. Hier wird die Cloud interessant, bietet sie doch unerreichbare Skalierbarkeit, hohe Kostentransparenz und durch den Managed Service Charakter der zugesicherten Dienstleistungen eine gute Grundlage, um die eigenen sowie grundsätzliche Anforderungen abzuprüfen.

Für KMUs ist Backup as a Service als Dienst aus der Cloud die beste Möglichkeit, wirklich umfassend gute Backups inklusive Features wie Georedundanz und granularer Rücksicherungen von z.B. E-Mails bei voller Kostenkontrolle genießen zu können.

Und wo fängt man jetzt an?

Komplexe und vor allem sicherheitsrelevante Themen bedürfen stets Erfahrung bzw. Beratung.

In der Tat ist es am besten, sich an Fachleute – wie etwa die kreITiv – zu wenden, um eine umfassende individuelle Beratung zu erhalten. Profitieren Sie von unserem Praxiswissen sowie unserem breiten Angebotsspektrum im Bereich Backup as a Service und sprechen Sie uns an.

Schutz vor Hackern, Bots und Spammern dank 10 WordPress Regeln

WordPress mit 10 einfachen Schritten sicher verwenden

Das im Jahr 2003 erschienene Blogsystem WordPress erfreut sich immer größer werdender Beliebtheit unter den Betreibern von Internetseiten. Während bis 2010 der Markt unter den Content Management Systemen noch relativ gleichmäßig aufgeteilt war, verschiebt sich das Bild seitdem immer mehr in Richtung des hochflexiblen und einfach zu bedienenden WordPress. Aktuell liegt der Anteil der auf WordPress basierenden Internetseiten laut CMScrawler.com bei weltweit 36%, während die früheren Platzhirsche Typo3 und Joomla zusammen nur noch auf einen Marktanteil von knapp 30% kommen.

WordPress und die Hacker – Mit der Bekanntheit kommt die Gefahr

Diese positive Entwicklung birgt leider auch einen entscheidenden Nachteil: Verbreitet sich ein System flächendeckend und kann sogar Konkurrenten verdrängen, so steigt es auch in der Beliebtheit bei potentiellen Hackern. Genau aus diesem Grund sollte immer auch das Thema Sicherheit bei der Verwendung von WordPress Beachtung finden.

Im Folgenden möchten wir Ihnen in zehn Punkten die elementarsten Schritte zur Erhöhung der Sicherheit für auf WordPress basierende Internetseiten näherbringen.

Zehn Faustregeln, die die Sicherheit eines WordPress Systems erhöhen

Bereits bei der Installation eines WordPress Systems gibt es einige wichtige Aspekte zu beachten. Als erstes wird der Anwender nach dem Namen der anzulegenden Datenbank gefragt. Dieser Name sollte mit Bedacht gewählt werden. Grundsätzlich sollte der Datenbankname nicht so schnell zu erraten sein; eine schlechte Wahl wäre zum Beispiel Ihr Firmenname oder gar Ihr Nachname.

Im Anschluss daran muss der Nutzername des Administrators gewählt werden. Wird dieser bei der Installation nicht geändert, so heißt der Administratorzugang immer „admin“. Genau darauf spekulieren Angreifer, welche sich bspw. über einen Brute-Force-Angriff Zutritt zum System verschaffen wollen. Dieser Grundsatz gilt natürlich nicht nur für die Wahl des Administratorzugangs, sondern für alle Benutzer eines WordPress Systems. Natürlich sollte man im Zuge dessen auch die Wahl der Passwörter genau überdenken. Je komplizierter das Passwort, desto größer wird der Aufwand, es zu erraten. Dieser Ansatz gilt ebenso für die Wahl des Datenbank-Präfixes, welches direkt nach dem Administratorzugang eingegeben werden kann.

Regel 1 – Datenbanknamen und Präfixe, sowie Benutzernamen und Passwörter mit Bedacht wählen, Benutzerpasswörter regelmäßig ändern.

Im Anschluss an diesen Schritt sollten die in der Konfigurationsdatei hinterlegten „Authentication Unique Keys and Salts“ eingetragen werden. Je komplexer diese Schlüssel gewählt werden, desto sicher sind zum Beispiel die in den Cookies abgelegten Daten.

Regel 2 – „Authentication Unique Keys and Salts“ eintragen, um die Sicherheit von Sessiondaten zu erhöhen.

In zehn Schritten zu mehr Sicherheit im WordPressDie Installation von WordPress ist damit abgeschlossen und kann nun weiter angepasst werden. Jedoch möchten wir an dieser Stelle noch einmal grundsätzlich Bezug auf die Serverkonfiguration nehmen. Ein gut konzipiertes WordPress System allein reicht heutzutage nicht aus, um Sicherheit zu gewährleisten, da auch die Konfiguration von Webservern Sicherheitslücken aufweisen kann.

Damit sind im Speziellen folgende Punkte gemeint: Dateiberechtigungen und FTP-Zugänge, Erreichbarkeit der Datenbanken von außen, Sperren von nicht benötigten Ports. All diese Schritte sollten Beachtung finden, da Sie sonst die Sicherheit Ihrer Internetseite mit einer unzureichenden Serverkonfiguration unterminieren würden.

Regel 3 – Serverkonfiguration prüfen und gegebenenfalls anpassen.

Im Anschluss daran sollte das Template ausgewählt oder auch ggf. nachinstalliert werden. Ist dieser Schritt abgeschlossen, kann die WordPress-Installation mit Inhalten gefüllt werden. Alle weiteren sicherheitsrelevanten Maßnahmen sind recht einfach erklärt.

Verwenden Sie für Ihr WordPress-System im Zweifel keine Plugins von Drittanbietern. WordPress selbst gilt als sehr sicheres System; in der Praxis zeigt sich jedoch oft folgendes Problem. Wird die Funktionalität einer WordPress-Seite mit Plugins erweitert bzw. weisen die verwendeten Plugins sicherheitstechnische Schwachstellen auf, so können Angreifer die verwendeten Plugins auslesen und genau diese Schwachstellen für einen Angriff nutzen.

Regel 4 – Verwenden Sie für Ihr WordPress-System keine Plugins von Drittanbietern.

Wurde auch dieser Aspekt beachtet, sollte sich der Anwender mit der Thematik automatischer Backups beschäftigen. In diesem Bereich gibt es unzählige Erweiterungen für WordPress. Es empfiehlt sich aus den eben beschriebenen Gründen die Verwendung offizieller Plugins. Backups sind sehr wichtig; sollte es einem Angreifer trotz aller Vorsichtsmaßnahmen gelingen, in das System einzudringen, so kann eventuell entstandener Schaden mittels Backup recht schnell wieder behoben werden.

Regel 5 – Führen Sie regelmäßig automatische oder händische Backups Ihrer Internetseite durch.

Sicherheitskopien in Form von Backups sind auch für den nächsten, wichtigen Punkt Voraussetzung. Da WordPress selbst einer stetigen Weiterentwickelung unterliegt, hat dies zur Folge, dass es in regelmäßigen Abständen Updates für das Grundsystem selbst gibt. Diese sind für die Wahrung der Sicherheit am wichtigsten. Werden Schwachstellen von den Entwicklern erkannt, so werden diese in der Regel mit genau solchen Aktualisierungen behoben. Bevor diese Updates durchgeführt werden, sollten Sie unbedingt ein Backup Ihrer Internetseite erstellen und im Anschluss alle Plugins deaktivieren. Danach kann der eigentliche Updateprozess durchgeführt werden.

Regel 6 – Führen Sie regelmäßige Updates durch.

Ein weiterer Schritt zur Erhöhung der Sicherheit ist die Verwendung sogenannter Sicherheitsplugins für WordPress selbst. Mittels solcher Plugins ist es auch für technisch weniger versierte Anwender ohne Probleme möglich, potentielle Sicherheitslücken zu erkennen. Es empfiehlt sich also unbedingt, ein solches Plugin zu nutzen und regelmäßig auszuführen. In der Praxis haben sich Plugins wie Wordfence oder auch All In One WP Security & Firewall bewährt, diese können wir Ihnen aus zahlreichen praktischen Erfahrungen heraus empfehlen.

Regel 7 – Verwenden Sie Sicherheitsplugins für Ihre WordPress Installation.

Auch der Zugang zum Backend kann mittels einer htaccess-Datei auf zum Beispiel eine Auswahl von IP-Adressen begrenzt werden. Diese Beschränkung der Erreichbarkeit des Backends ist für viele Internetseiten sicherlich eine gute Wahl. Einige Betreiber von WordPress-Seiten limitieren darüber hinaus auch die Anzahl der fehlerhaften Logins. Diese Funktionalität kann bspw. über die zuvor genannten Sicherheitsplugins leicht realisiert werden.
Regelmäßigen backuppen, zeitnahes updaten und keine Plugins von Drittanbietern

Regel 8 – Backend-Erreichbarkeit und fehlerhafte Loginversuche begrenzen.

Eine weitere Möglichkeit potentiellen Angreifern das Eindringen in ein System zu erschweren, ist das Ausblenden von WordPress-spezifischen Informationen. Damit ist nicht nur die verwendete WordPress-Version selbst gemeint, sondern auch verwendete Plugins und Templates.

Das Konzept nennt sich „Security by Obscurity“, meint also um Sicherheit durch Unklarheit, und hat das Ziel, dem Angreifer keine konkreten Informationen mehr zum verwendeten WordPress selbst aus dem Quelltext herauslesen zu lassen. Genau dieser Schritt ist oftmals das erste, was ein Angreifer durchführt. Um ein System zu knacken, muss ein Außenstehender genau wissen, welches System mit welchen Erweiterungen genutzt wird. Auch diese Funktionalität kann mittels zuvor genannter Sicherheitsplugins umgesetzt werden.

Regel 9 – WordPress-spezifische Informationen aus dem Quelltext entfernen.

Ein weiteres in der Praxis bekanntes Problem ist das Thema Spam. Dieser tritt heute nicht mehr nur in Form von E-Mails auf, sondern findet durch massenhafte Kommentare und Anfragen auch auf Internetseiten statt. Um diesem Problem Herr zu werden, empfiehlt sich die Verwendung eines Anti-Spam-Plugins. Diese fügen in der Regel Captcha-Abfragen in Formulare ein, sodass ein automatisierter Spamangriff nicht mehr möglich ist.

Regel 10 – Spam-Angriffen frühzeitig durch Verwendung von Anti-Spam-Plugins vorbeugen.

Sind alle diese Regeln beachtet worden, kann man davon ausgehen, dass die prinzipielle Sicherheit einer Internetseite gewährleistet werden kann. Realistisch betrachtet gilt jedoch auch dann die Maßgabe: „Kein System ist wirklich zu einhundert Prozent sicher“. Dies gilt natürlich auch für WordPress. Der Unterschied liegt jedoch im Detail. Präsentiert man Angreifern alle benötigten Informationen auf einem Silbertablett, um sich letztlich leichter angreifbarer zu machen, oder möchte ich genau dies verhindern?