Blogartikel zum Schlagwort IT-Sicherheit

Trojaner, Viren und Ransomware bedrohen Unternehmensdaten

Ransomware – Wenn Daten unter Verschluss geraten

Bewegt man sich eine Weile im Internet, gerät man sicher auch sehr bald mit den Unannehmlichkeiten darin in Kontakt: Spam, Phishing, Viren, Trojaner, Würmer etc.

Vor Kurzem sorgte eine sehr spezielle Art Trojaner mit dem Namen “WannaCry” für Aufsehen. Er gehört zur Kategorie der Ransomware (engl., to ransom – auslösen, freikaufen), die, einmal gestartet, Festplatteninhalte verschlüsseln und die so unbrauchbar gewordenen Daten nur gegen Zahlung von Lösegeld wiederherstellen.

Von der Diskette zum Internetwurm, die Evolution der Schadsoftware

“WannaCry” ist dabei nur die Spitze des Eisberges und Ransomware an sich keineswegs neu. Davor trieben beispielsweise schon “Locky” (den wir im März 2016 unter die Lupe genommen haben), “Goldeneye” und “KeRanger” ihr Unwesen. Erstmals tauchte vergleichbare Schadsoftware im Jahr 1989 auf, die damals noch per Diskette Verbreitung fand und deren erpresste Gelder schließlich der AIDS-Forschung gespendet wurden.

Ransomware WannaCry auf Bahnhofsanzeige

Anzeigetafel im Bahnhof Dresden-Neustadt am Abend des 12.05.2017
(Foto: Martin Wießner)

Von der Attacke, die sich am zweiten Mai-Wochenende 2017 abgespielt hat, waren hauptsächlich Rechner mit den Windows-Betriebssystemen 7, 8.x und 10 betroffen, die ohne aktuelle Updates der Betriebssysteme liefen. Entgegen den ersten Meldungen trugen Computer mit Windows XP weit weniger dazu bei, dass der Schädling sich automatisch verbreiten konnte. Das seit April 2014 von Microsoft nicht mehr unterstützte System ist laut Forschern der Sicherheitsfirma Kryptos Logic schlicht zu instabil.

Funktionsweise der Ransomware WannaCry

Einmal infiziert, zum Beispiel durch Öffnen manipulierter Mailanhänge, nutzt der Trojaner eine Schwachstelle des NetBIOS-Protokolls, um sich in Netzwerken massiv zu verbreiten. Dabei baut er sowohl ins Internet, als auch zum TOR-Netzwerk Verbindung auf, lädt von dort Daten nach, verschlüsselt währenddessen die Dateien auf dem infizierten System und sucht weitere Workstations und Server, um sich dort einzunisten.

Ist ein Rechner befallen, muss er sofort von LAN und Internet isoliert werden. Danach gibt es verschiedene Ansätze, die vorhandenen Daten eventuell doch noch retten zu können:

  • Von den Daten auf dem befallenen Computer wird mit Hilfe externer Tools ein Backup gezogen. Die Hoffnung stirbt bekanntlich zuletzt.
  • Der PC kann unter Umständen mit den Werkzeugen WannaKey bzw. WanaKiwi dechiffriert werden. Dafür müssen aber die von WannaCry erzeugten RSA-Schlüssel noch im RAM liegen. Das heißt, das System darf nicht neu gestartet worden sein. Diese Methode funktioniert allerdings nicht unter Windows 8 und 10. In diesen Versionen wurde das Speichermanagement verändert.

Schutz vor Trojaner, Viren und anderen Schädlingen

Der Schutz gegen solche Bedrohungen besteht vor allem darin, ein gesundes Misstrauen gegenüber unangekündigten Mailanhängen von unbekannten Absendern zu hegen. Niemand wird Ihnen ohne vorherige Absprache vorgebliche Rechnungen, Personaldatenbanken oder Auflistungen von Vorstandsgehältern schicken.

Prüfen Sie stets folgende vier Punkte:

  1. Sind Ihre Downloadquellen vertrauenswürdig?
  2. Ist das Betriebssystem auf dem aktuellsten Stand?
  3. Sind die Signaturen Ihres Antiviren-Programms frisch?
  4. Sind Ihre Netzwerke mit Intrusion-Detection- und Prevention-Systemen ausgestattet?

Um sich ausreichend zu schützen, hat sich eine Mischung aus segmentierten Netzen, Firewalling und Sandboxes, die solche Bedrohungen schon recht gut im Zaum halten können, bewährt. Die IT-Sicherheitsexperten der kreITiv helfen Ihnen und Ihrem Unternehmen gern weiter und wappnen Ihre IT-Infrastruktur für zukünftige Vorfälle.

Wofür stehen SSL, TLS und SSH und wie werden sie zur Verschlüsselung eingesetzt?

SSL/TLS und SSH – Wieso gibt es mehrere Verschlüsselungsprotokolle?

Hackerangriffe, Datenklau, elektronische Spionage – Die Notwendigkeit von Verschlüsselung und Datensicherheit liegt auf der Hand. Es findet ein ständiger Wettlauf von Hackern und Datenschützern statt. Um unsere Daten zu schützen, gibt es mittlerweile zahlreiche Sicherheitsprotokolle. Die meisten gehen dabei auf SSL (Secure Sockets Layer) und SSH (Secure Shell) zurück.

Doch wieso gibt es mehrere Verschlüsselungsprotokolle? Welches ist wann besser und wie funktionieren sie? Diese Fragen sollen im Folgenden entschlüsselt werden.

Eine kleine Geschichtsstunde zur Verschlüsselung

Zunächst zur Unterscheidung: SSL und SSH sind jeweils Verschlüsselungsprotokolle, die Mitte der 90er Jahre entwickelt wurden. 1999 wurde SSL, mit der Version 3.1, in TLS (Transport Layer Security) umbenannt, der also die direkte Weiterentwicklung ist. Die Notwendigkeit von Sicherheitsprotokollen entstand mit dem Aufkommen der ersten Webbrowser.

Beide Varianten wurden parallel voneinander entwickelt, sind nicht miteinander verwandt und inkompatibel. Im Gegensatz zu SSL war SSH zunächst Freeware und wurde erst mit seiner Entwicklung zu proprietärer Software. Seit ihrer ersten Version wurden beide Protokolle notwendigerweise immer weiterentwickelt, da es auch stets Bestrebungen von Hackern gab und gibt, sie zu knacken.

Und wie funktioniert’s?

Die Protokolle nutzen unterschiedliche Ansätze. Vereinfacht gesagt sorgt TLS für die Verschlüsselung der Daten an sich, während SSH eine sichere Verbindung zwischen Client und Server herstellt. Dass eine TLS-Verschlüsselung vorliegt, erkennt man in der Regel daran, dass an das übliche http ein ‚s‘ für ‚secure‘ angehängt wird. Einen ausführlicheren Einblick bieten wir in unserem kreITiv-Blogartikel über Standards speziell zur Verschlüsselung von Webseiten.

Das SSL-Zertifikat kurz erklärt:

Bei SSH geht es dagegen darum, sicher auf einem Server arbeiten zu können, ohne dass Daten mitgelesen werden. Dabei wird nur das asymmetrische Public-Key-Prinzip eingesetzt. Der Server sendet zunächst seinen Public Key und der Client schickt diesen verschlüsselt zurück. Durch den passenden Private Key des Servers kann nun eine sichere Verbindung aufgebaut werden. Problematisch wird das nur, falls sich ein Proxy-Server oder eine Firewall dazwischen befindet. Doch auch für diesen Fall gibt es weiterentwickelte Protokolle.

Sicher ist sicher

Wann welches Protokoll wie genutzt wird, ist stark durch deren historische Entwicklung beeinflusst. Im Grunde erfüllen alle mit unterschiedlichen Ansätzen einen ähnlichen Zweck. Für den Endnutzer spielen diese Feinheiten in der Regel keine Rolle. Was Sie aber mitnehmen sollten, ist die grundlegende Notwendigkeit, Daten und deren Übertragung zu schützen. Durch die beständigen Entwicklungen auf dem Gebiet, sollte man sich durchgängig mit dem Thema Datensicherheit auseinandersetzen.

Wenn Sie weitergehende Beratung benötigen, dann wenden Sie sich gern an uns. Die IT-Experten der kreITiv unterstützen Sie gern beim Schutz Ihrer Daten.

UTM statt Firewall. Achten Sie bei der IT-Sicherheit auf die größere Dimension

UTM – Mehr als eine Firewall

Es gibt ein System in jedem Netzwerk, dass mehr Schläge einstecken muss als Axel Schulz, eine Phalanx, der auch Spartaner ihren Respekt erweisen müssen: die Firewall.

Sie ist das Bollwerk vor dem möglichen Übel, welches durch das offene Internet auf interne Netze zu galoppiert. Doch längst ist das Gerät, welches wir als Firewall bezeichnen, mehr geworden als der Paketfilter alter Tage. Es ist ein UTM-System!

UT-was?

UTM steht für Unified Threat Management, einfach ausgedrückt ein vollintegriertes System zum ganzheitlichen Schutz vor Bedrohungen, vornehmlich aus dem öffentlichen Netz. Mögliche Bestandteile eines solchen Systems sind:

Zusätzlich dazu stellen diese Systeme umfangreiche Möglichkeiten zur Berichterstattung (Reporting) bereit, um dem zuständigen Administrator neben dem Monitoring auch Informationen zur Auswertung an die Hand zu geben.

Kein Netzwerk ist wie das andere

Dimensionierung ist ein Thema, welches hier klar angesprochen werden sollte. Jede einzelne Komponente eines UTM-Systems benötigt Hardwareressourcen, jedes zu schützende Netzwerk hat einen individuellen Charakter.

Wie viele Mitarbeiter wählen sich extern in das Netz ein? Welches Surfverhalten legen die Mitarbeiter an den Tag? Welche Dienste sollen von innen nach draußen kommunizieren können und mit welcher Schlagzahl? Diese und weitere Punkte sind zu klären, bevor man eine Kaufentscheidung trifft.

Schutz kann auch eine Zwangsjacke sein

Nachdem technische Anforderungen geklärt wurden, gilt es solche doch sehr komplexen Systeme zu konfigurieren.

Wer hier aber gleich alle Pforten schließt, sollte bedenken, dass zu viel Sicherheit praktisch Arbeitsunfähigkeit bedeutet. Es gilt also, organisatorische Vorgaben einfließen zu lassen. Bemühen Sie zunächst das Prinzip „So viel wie nötig, so wenig wie möglich“ und tasten Sie sich danach Stück für Stück an eine für Sie passende Konfiguration heran.

Das Unified Threat Management – Es lebt!

Wenn Sie nun eine saubere Konfiguration auf einer gut bemessenen Hardware laufen haben, ist das Schlimmste, was Sie tun können, es danach unangetastet zu lassen. Neben dem täglichen Katz-und-Maus-Spiel gegen Hacker und andere Netzunholde, gibt es auch Änderungen in Ihrem Netz selbst, auf die reagiert werden sollte.

Auch gilt es konsequent zu prüfen, wer da alles von außen anklopfte und ob die ergriffenen Maßnahmen hinreichend greifen. Eine UTM ist also ein System, welches konsequenter Betrachtung und Pflege bedarf. Es ist „lebendig“.

Achten Sie bei der Absicherung der IT-Infrastruktur Ihres Unternehmens also nicht mehr nur auf das Schlagwort „Firewall“, sondern denken Sie in einer größeren Dimension. Denn auch die Bedrohungen erreichen Sie mittlerweile auf diverseren Pfaden. Für den Schutz von Systemen setzen wir daher auf das Unified Threat Management und beraten Sie dahingehend auch gern bei Ihrer IT-Konzeption.

Backups und Archive - von der Strategie zur technischen Umsetzung

Backups verstehen und korrekt einsetzen

Wird von Datensicherheit gesprochen, so sind Backups der Daten ein zentrales Thema. Meist sind sie der Notnagel in Worst Case Situationen und sollten demnach wohl durchdacht sein.

Heute wollen wir kurz beleuchten, welche technischen und organisatorischen Überlegungen vor dem Einsatz von Backups angegangen werden sollten.

Backups und Archive – Unterschiede und Gemeinsamkeiten

Bevor wir uns dem eigentlichen Thema widmen, soll noch eine kurze Abgrenzung erklärt werden: der Unterschied zwischen einem Backup und einem Archiv.

Während ein Backup darauf abzielt, innerhalb einer definierten Zeitperiode (meist kurze Abstände wie etwa ein Tag) ältere Abbilder bzw. Versionen des Datenbestandes anzubieten und dabei zu alte Abbilder automatisch u.a. aus Platzgründen verwirft, so besteht ein Archiv aus wenigen fest definierten kompletten Datenbeständen, deren maximales Alter oft viele Jahre sein kann (der Gesetzgeber gibt für Rechnungen bspw. eine Aufbewahrungsfrist von zehn Jahren vor).

Was beide gemein haben, sind die technischen und organisatorischen Anforderungen:

  • Veränderbarkeit: Es muss sichergestellt sein, dass Daten nachträglich nicht geändert oder manipuliert werden können.
  • Zugriffkontrolle: Bei Bedarf müssen die Daten schnell verfügbar sein. Jedweder Zugriff darf nur durch Autorisierte geschehen.

I. Eine Strategie wird gebraucht

Nun verfällt man leicht in den Reflex zu sagen, alles muss ins Backup und schlimmer noch, das Backup solle doch bitte auch Archiv sein, also auch sehr alte Datenbestände umfassen. Beachten Sie den Speicherbedarf, welcher überproportional durch lange Aufbewahrungszeiten von z.T. redundanten Daten entsteht! Hier fallen unnötige Kosten für die Bereitstellung der Speichervolumina, der Kontrolle dieser Speichervolumina sowie unnütz lange Transfervolumina an, welche die Last und damit auch die Kosten u.a. für die Dimensionierung des zugrundeliegenden Netzwerks in die Höhe treiben.

Es gilt also auch hier: So wenig wie möglich, so viel wie nötig. Klären Sie, welche Datenbestände wirklich durch Backups geschützt werden sollen. Beachten Sie dabei auch das Nutzungsverhalten, evtl. gibt es eine Person, die oft nervös die Entfernen-Taste bemüht. Durchdenken Sie, ob die eine einfache Strategie, in der tagesgenaue Backups mit einer Aufbewahrungszeit von 7 Tagen (d.h. tagesgenaue Stände einer Woche) für Ihre Datennutzung genügen, oder ob man nicht doch lieber gar jede Stunde Versionsstände automatisiert erstellt haben möchte.

II. Organisatorische Fragen vor dem ersten Backup

Damit aus einer Strategie ein Plan wird, gilt es Anforderungen, Rahmenparameter und eben organisatorische Themen zu klären.

Hier eine Liste grundsätzlicher organisatorischer Fragen:

  • Wer darf auf die Backups zugreifen?
  • Wie regelmäßig sollen die Backups auf Korrektheit geprüft werden?
  • Soll sich ein Dienstleister um die Backups kümmern oder soll das inhouse bleiben?
  • Sollen sich die möglicherweise mehrfach vorhandenen Backupziele in unterschiedlichen Sicherheitszonen befinden?
  • Wer hat (physischen) Zutritt zu diesen Sicherheitszonen? Wer sollte ihn haben, wer nicht?
  • Wie wird im Desaster-Fall ein Recovery angegangen? (Informationspolitik, Meldewege, …)

III. Anforderungen an die Technik

Mit der Strategie und geklärten organisatorischen Rahmenbedingungen ist nun erst die Technik dran. Es sollte nach den vorherigen Ausführungen klar sein, dass der USB-Stick oder die externe Festplatte keine geeigneten Medien sind, um Backups aufzunehmen.

Welche Voraussetzungen sollten also gegeben sein:

  • Hinreichend Speicherplatz für aktuelle und kommende Backups, passend zur Strategie => Skalierbarkeit als Primärfaktor
  • Technische Umsetzbarkeit von Berechtigungskonzepten => Primärfaktoren Autorisation und Authentizität
  • Technische Umsetzbarkeit der Unveränderbarkeit => Primärfaktor Integritätsschutz
  • Ausfallsicherheit der einzelnen Komponenten sowie Erfüllung der Performanceanforderungen => Primärfaktor Verfügbarkeit

Als Sekundärfaktoren sollen hier auch die einfache Bedienbarkeit sowie kurze Reaktionszeiten seitens des Herstellers in Supportfällen genannt werden.

Backups in der Cloud?

Es ist in der Tat nicht leicht, all diese Anforderungen im Rahmen der eigenen IT und evtl. des eigenen Budgets erfüllen zu können. Hier wird die Cloud interessant, bietet sie doch unerreichbare Skalierbarkeit, hohe Kostentransparenz und durch den Managed Service Charakter der zugesicherten Dienstleistungen eine gute Grundlage, um die eigenen sowie grundsätzliche Anforderungen abzuprüfen.

Für KMUs ist Backup as a Service als Dienst aus der Cloud die beste Möglichkeit, wirklich umfassend gute Backups inklusive Features wie Georedundanz und granularer Rücksicherungen von z.B. E-Mails bei voller Kostenkontrolle genießen zu können.

Und wo fängt man jetzt an?

Komplexe und vor allem sicherheitsrelevante Themen bedürfen stets Erfahrung bzw. Beratung.

In der Tat ist es am besten, sich an Fachleute – wie etwa die kreITiv – zu wenden, um eine umfassende individuelle Beratung zu erhalten. Profitieren Sie von unserem Praxiswissen sowie unserem breiten Angebotsspektrum im Bereich Backup as a Service und sprechen Sie uns an.

Datenträgerverschlüsselung für Notebooks und Wechseldatenträger

Datenträgerverschlüsselung für Notebooks und Festplatten

Trotz der zunehmenden Virtualisierung von IT-Ressourcen hantieren wir im Büroalltag auch heute noch mit einer ganzen Bandbreite an unterschiedlichsten Hardware-Klassen. Auch und gerade hier ist für Unternehmen die Verschlüsselung ein brisanter Themenkomplex, da Daten eben nicht nur auf digitalem Wege, sondern auch mitsamt ihrer physischen Datenträger entwendet werden können.

Wieso sollte man verschlüsseln?

In der Regel sind private, aber vor allem geschäftliche Daten vertraulich und sollten nicht in fremde Hände fallen. Wenn nun ein Datenträger, wie ein USB-Stick oder eine externe Festplatte, verloren geht oder ein Notebook gestohlen wird, hat der neue Besitzer normalerweise vollen Zugriff auf alle darauf enthaltenen Daten. Um dies zu verhindern, sollte man im Rahmen von Unternehmensrichtlinien alle Wechseldatenträger sowie mobilen Endgeräte wie Notebooks und Tablets sicher verschlüsseln.

Damit ist sichergestellt, dass nur berechtige Personen auf die Daten zugreifen können. Dies hat auch Vorteile für den firmeninternen Gebrauch, denn nicht jeder Mitarbeiter soll Zugriff auf alle Daten bekommen (Vertraulichkeit). Gleichzeit können Daten damit vor unberechtigter Veränderung und Manipulationen geschützt werden (Integrität). Diese beiden Begriffe sind zwei Grundpfeiler der Informationssicherheit.

Womit kann man verschlüsseln?

Die einfachste Möglichkeit zur Verschlüsselung von Datenträgern bringt das Betriebssystem Windows bereits selbst mit: Das Sicherheitsfeature Bitlocker ist in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 bereits enthalten. Allerdings wird erst ab Version 7 die Verschlüsselung von USB-Medien unterstützt.

Welche Werkzeuge zur Verchlüsselung gibt es?

Tools zur Datenträgerverschlüsselung – Bitlocker, TrueCrypt und VeraCrypt

Bitlocker gilt prinzipiell als sicher, allerdings geben Fachleute zu bedenken, dass es sich um proprietäre Software handelt, bei der der Quellcode vom Hersteller nicht veröffentlicht wird. Deshalb kann die Sicherheit von unabhängigen Experten nicht komplett eingeschätzt werden und Hintertüren könnten möglicherweise vorhanden sein. Diese könnten vom Hersteller selbst oder von kooperierenden Behörden ausgenutzt werden.

Aus diesem Grund erfreut sich eine Software aus dem Open-Source-Bereich großer Beliebtheit: TrueCrypt. Diese Software hat immer noch eine große Fangemeinde, auch wenn sie inzwischen nicht mehr weiterentwickelt wird. Dennoch hat ein ausführlicher Audit der Version 7.1a durch das Open Crypto Audit Project (OCAP) im April 2015 TrueCrypt als relativ sicher eingestuft. Es wurden zwar Schwachstellen gefunden, diese sind allerdings für die meisten Nutzer nicht relevant.

Als Nachfolger von TrueCrypt präsentiert sich die Software VeraCrypt. Hierzu ist zwar aktuell noch kein entsprechendes Audit vorhanden, allerdings wird die Software von einer Community gepflegt und weiterentwickelt. Dies hat langfristig den Vorteil, dass bekannte Sicherheitslücken soweit möglich geschlossen werden. Die Oberfläche und der Leistungsumfang entsprechen weitestgehend dem von TrueCrypt.

Wie wird verschlüsselt?

Egal, für welche Software Sie sich entscheiden, jede Verschlüsselung ist natürlich besser als gar keine Verschlüsselung und in der Praxis arbeiten die Programme sehr ähnlich. Die Verschlüsselung erfolgt in der Regel durch das symmetrische Verfahren AES mit einer Schlüssellänge von 256-bit. Verschlüsseln kann man damit ganze Systemlaufwerke von PCs und Notebooks sowie externe USB-Datenträger wie Sticks, Festplatten und SSDs. Mit TrueCrypt und VeraCrypt kann man außerdem verschlüsselte Container erstellen, welcher als einzelne Datei eine beliebige Anzahl an Daten enthalten können.

Für die Zugriffskontrolle auf die verschlüsselten Daten gibt es mehrere Authentisierungsmöglichkeiten, welche auch kombiniert werden können:

  • Die gängigste Möglichkeit für den Zugriff ist die Vergabe eines Passwortes oder einer PIN.
  • Des Weiteren kann eine Schlüsseldatei erzeugt werden, welche dann z.B. auf einem angeschlossenen USB-Stick vorhanden sein muss, um Zugriff zu bekommen.
  • Bitlocker kann zur Verifizierung außerdem die Existenz eines eingebauten TPM-Chips (Trusted Platform Module) prüfen. Wird eine Festplatte aus dem ursprünglichen Rechner ausgebaut, ist somit kein Zugriff mehr möglich.

Wenn für Sie noch Fragen zum Thema Informationssicherheit offen sind oder Sie eine individuelle Beratung dazu wünschen, dann wenden Sie sich gern an das Team der kreITiv.

Cloud aus Deutschland, ISO-Zertifizierungen und Datenschutzbewusstsein

Sicherheit in der Public Cloud

Die Cloud und wieso auch die KMU sie nutzen sollte, wurde in vorherigen Beiträgen des kreITiv-Blogs schon erläutert. Nun sind Datenschutz und Datensicherheit aber zentrale Themen bei der Nutzung jedweder IT. Speziell Cloud-Produkte sind hier noch mit Ressentiments behaftet.

In diesem Artikel wollen wir kurz erläutern, worauf Sie beim Erwerb und der Nutzung von Cloud-Produkten achten sollten.

Standort Deutschland und Zertifizierungen schaffen Vertrauen

Rechenzentren dienen der Bereitstellung der Cloud. Somit sind auch die Daten, die Sie eventuell in die Cloud verlagern, in diesen Rechenzentren abgelegt. In Anbetracht der Entscheidung des EuGH, das Safe Harbor Abkommen für ungültig zu erklären und das EU-US Privacy Shield Abkommen erst erarbeitet wird, sind Standorte von Rechenzentren außerhalb Deutschlands immer mit einem Datenschutzrisiko verbunden. Achten Sie daher – auch aus Compliance-Vorgaben für Ihre Branche – stets darauf, dass Sie Cloud-Dienstleistungen aus deutschen Rechenzentren erhalten. Bei Amazon AWS und Microsoft Azure können Sie zum Beispiel Standorte auswählen, andere Anbieter sollten explizit den Standort Deutschland angeben.

Ist man nun innerhalb Deutschlands, ist das Vorhandensein einer ISO 27001-Zertifizierung der nächste wichtige Kontrollpunkt. Damit ist sichergestellt, dass sich der Anbieter an anerkannte Verfahrensweisen zur Erbringung von Datensicherheit hält.

Sicherheit bei der Nutzung der Cloud

Die Bedrohungen für Rechenzentren entsprechen denen von klassischen Firmennetzwerken. Da in Rechenzentren jedoch zentral Daten von vielen Unternehmen gelagert und bewegt werden, sind sie ein wesentlich attraktiveres Ziel für potentielle Angreifer. Auch ist der Clouddienstleister eben ein externer Dienstleister, so dass Ihre Daten grundsätzlich einem höheren Risiko des Fremdzugriffes oder Verlustes ausgesetzt sind.

Folgende Maßnahmen sind daher stets empfohlen:

  • Legen Sie Ihre Daten immer verschlüsselt ab
  • Fertigen Sie immer regelmäßig Backups Ihrer Daten an
  • Legen Sie diese Backups ebenfalls nur verschlüsselt ab
  • Prüfen Sie diese Backups regelmäßig auf Korrektheit und Vollständigkeit
  • Legen Sie nur so viele Logins an wie gerade nötig
  • Prüfen Sie, ob die Verbindungen zum Rechenzentrum stets verschlüsselt sind (Hinweise zur Verschlüsselung im www finden Sie in unserem Blogartikel zum Thema)
  • Verwenden Sie sichere Passwörter (mind. 8 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, keine erkennbaren Muster)
  • Wechseln Sie regelmäßig die Passwörter
  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig über die Themen Datenschutz und Datensicherheit
  • Schränken Sie Nutzerrechte auf genau das ein, was ein Nutzer zum Arbeiten benötigt

Sie erkennen, dass sich diese Verhaltensweisen auch auf Ihre lokale IT anwenden lässt. Für spezielle Cloud-Dienstleistungen ließe sich diese Liste noch erweitern, was jedoch den Rahmen dieses Artikels sprengen würde.

Datenschutz und Datensicherheit für Unternehmen

Was sollten Sie im Hinterkopf behalten:

  • Rechenzentren/Cloud aus Deutschland sorgt für hohen Datenschutz
  • ISO 27001 sorgt für anerkannte Maßnahmen für eine hohe Datensicherheit
  • Richtige Verhaltensweisen im Umgang mit Cloud-IT sorgen für Sicherheit bei deren Nutzung

Wenn für Sie noch Fragen offen sind oder Sie eine individuelle Beratung zu den Themen Datenschutz und Datensicherheit Ihrer IT wünschen, dann wenden Sie sich gern an das Team der kreITiv GmbH.

Trojaner Locky verschlüsselt Ihre Dateien

„Sie haben eine ungelesene Mail“: Gefahren durch Trojaner „Locky“

Zur Zeit berichten viele Medien über die Ransomware Locky – auch Erpressungstrojaner oder Kryptotrojaner genannt. Doch was macht Locky tatsächlich? Wir klären auf und geben Ihnen Ratschläge in die Hand, wie Sie den Fängen des digitalen Raubritters entkommen.

Was genau ist der Trojaner Locky?

Einfallstor von Locky ist meistens das E-Mail Programm. Eine getarnte Rechnung soll Ihr Interesse wecken und Sie dazu animieren, den mit dem Trojaner versehenen Anhang zu öffnen. Es wird allerdings auch berichtet, dass der Trojaner Locky als angeblich eingescanntes Dokument eines Netzwerkdruckers auf das System gelangt.

In jedem Fall verschlüsselt der Trojaner nach dem Öffnen, ohne weiteres Zutun des Benutzers, im Hintergrund sämtliche erreichbaren Dateien. Darüber hinaus greift Locky auf alle dem Rechner bekannten Netzwerklaufwerke und Cloudspeicher zu und verschlüsselt auch dort alle Dateien. Den Befall erkennt man an der Dateiendung *.locky

Das perfide Vorgehen treibt der Trojaner auf die Spitze, indem er sämtliche angelegte Schattenkopien unwiederbringlich löscht. So ist es nicht möglich, zu einer sauberen Version einer Datei zurückzuspringen.

Sobald die befallenen Daten erfolgreich verschlüsselt sind, wird der Benutzer mit einem neuen Desktophintergrund begrüßt, welcher ihn auf seine Situation aufmerksam macht und eine Maßnahme zur Befreiung seiner Daten anbietet: Natürlich gegen Geld.

Hände hoch und Lösegeld zahlen?

Eines vorab: Wenn Locky einmal erfolgreich war, helfen auch die besten Tools nicht mehr, um anderweitig an die Daten heran zu kommen. In diesem Fall empfehlen wir, nicht auf die Geldforderung einzugehen. In solchen Fällen kann nie ausgeschlossen werden, dass der Erpresser seine Forderungen erhöhen wird.

Es ist ebenfalls nicht sichergestellt, dass die Daten tatsächlich entschlüsselt werden und sich der Trojaner Locky selbst deinstalliert. Letzteres könnte im ungünstigsten Fall bedeuten, dass der Erpresser Ihre Daten zu einem späteren Zeitpunkt erneut verschlüsselt und noch einmal Geld nachfordert.

Oder Gegenmaßnahmen ergreifen?

Mit einer guten Vorbereitung können Sie jedoch dafür sorgen, dass der fiese Trojaner erst gar nicht an Ihren PC oder gar Ihre Daten herankommt. Hierbei gibt es eine Reihe von Punkten, die man prüfen sollte:

  1. Gesundes Misstrauen gegenüber nicht stimmigen E-Mails: Was Sie nicht kennen, müssen Sie nicht unbedingt öffnen.
  2. Korrekte Einstellungen in Ihrem Office-Programm: Oder warum sollte Ihr Office den Trojaner für Sie automatisch ausführen?
  3. Nutzung von Antispam/Antivir-Programmen für Ihren Mailclient: So können Sie zumindest verhindern, dass Locky ein zu leichtes Spiel hat.
  4. Backups: Eine saubere, konsequente Backupstrategie im Voraus hilft, falls der Trojaner zuschlagen sollte.
  5. Rechtekonzept des Storage-Servers: Oder warum benötigt der Mitarbeiter am Empfang Zugriff auf die Daten der Buchhaltung?
  6. Rechtekonzept der Clientumgebung: Oder wofür benötigt der Mitarbeiter im Büro administrative Rechte?
  7. Absicherung des Storage-Servers gegen Dritte: Mit Brute-Force-Angriffen von verseuchten Rechnern versucht Locky auch Ihre Netzwerkfreigaben zu erreichen.
  8. Firewallkonfiguration: Isolierte Rechner können nicht mit der „Locky-Zentrale“ kommunizieren.
  9. Patchmanagement: Neuste Updates schließen Sicherheitslücken und minimieren somit Risiken.

Wenn Sie eine Sicherheitsberatung zu technischen und/oder organisatorischen Maßnahmen für Ihr Unternehmen benötigen, können Sie sich gerne an das Team der kreITiv wenden.

Im kreITiv Blog stellen wir verschiedene Arten von VPNs vor

VPN-Tunnel – Ein sicherer Weg zum Fernzugriff

Wer in der heutigen Zeit von unterwegs, zu Hause, oder aus einer Filiale Zugriff auf Daten seines Unternehmens benötigt, kommt nicht daran vorbei, sich im Besonderen über das Thema IT-Sicherheit Gedanken zu machen.

Sichere Verbindungen dank VPN-Lösungen

Der wirksamte Schutz vor Einsicht und Änderung von Daten seitens Dritter ist eine gesicherte Verbindung zwischen den Endpunkten mittels einer Lösung via Virtual Private Network. Doch ist ein solches VPN nicht immer gleich VPN: Es gibt verschiedene Arten von gesicherten Verbindungen. Diese unterscheiden sich durch den Endpunkttyp, das angewandte Authentifizierungsverfahren, sowie durch Typ und Stärke ihrer Verschlüsselung.

I. Der Endpunkttyp

Es wird zunächst in die beiden Kategorien „Site“ und „End“ und damit zwei mögliche Verbindungen unterschieden: „Site-to-Site” und „End-to-Site“.

Als „Site“ wird ein ganzes Netzwerk bezeichnet. Endpunkttyp ist hier in der Regel der Internet-Router, die Internet-Firewall oder ein separater VPN-Router. Ein Benutzer kann intern auf die Ressourcen im Netzwerk zugreifen, muss keine eigene gesicherte Verbindung zu seinem Ziel aufbauen und bekommt von der verwendeten Technik im Grunde nichts mit. Nachteilig sind allerdings die – wenn auch vergleichsweise geringen – Kosten für die benötigte Hardware und natürlich die Standortabhängigkeit.

Beim „End“ spricht man von einem einzelnen Endpunkt bzw. einem Endgerät. Von diesem Gerät aus verbindet sich der angemeldete Benutzer manuell mit einem entfernten Netzwerk, also einer „Site“. Von Vorteil ist an dieser Stelle die ermöglichte Mobilität des Nutzers sowie der Kostenfaktor (auf dem zugreifenden Gerät muss lediglich eine VPN-Software eingerichtet werden). Ein Nachteil liegt in dem Umstand, dass der Benutzer diese Verbindung aktiv aufbauen und mit dafür der Bedienung der Software vertraut sein muss, um an Unternehmensdaten heranzukommen.

II. Das Authentifizierungsverfahren

Mittels VPN greifen Geräte aus der Ferne auf Unternehmensressourcen zu

Das VPN-Prinzip. Sicher und verlässlich auf Unternehmensressourcen zugreifen.
Bildquelle: Ludovic.ferre via Wikimedia Commons (CC BY-SA 4.0)

Das Authentifizierungsverfahren dient der Feststellung, ob wahlweise der anzumeldende Benutzer oder die Site derjenige ist, der er vorgibt zu sein. Verwendet werden hierfür ein Passwort (auch Pre-Shared-Key PSK) oder ein wesentlich sichereres Zertifikat.

Es sollte dafür Sorge getragen sein, dass auch die Authentifizierung selbst verschlüsselt erfolgt, damit nicht bereits an dieser Stelle ein Dritter in das System gelangen kann. Als unsicher gilt bspw. das unverschlüsselte Password Authentication Protocol PAP. Wir raten stattdessen zu einer Verwendung des Extensible Authentication Protocol EAP, das eine Verschlüsselung durch Erweiterungen erhält. Speziell EAP-TTLS und PEAP arbeiten bereits von Beginn der Verbindung an mit Verschlüsselungsalgorithmen und machen es Dritten damit extrem schwer, an die begehrten Anmeldedaten heranzukommen.

III. Der Verschlüsselungstyp

Letztendlich sind für die Sicherheit der Verbindung selbst nur noch der Verschlüsselungstyp und dessen Stärke verantwortlich.

Während ältere Verschlüsselungsverfahren wie PPTP („Point-to-Point-Tunneling-Protocol“, 1996 entwickelt) mittlerweile als unsicher gelten und daher nicht mehr verwendet werden sollten, gibt es mit SSL-VPN und IPsec zwei empfehlenswerte Alternativen, die den sicherheitstechnischen Anforderungen der heutigen Zeit gerecht werden..

SSL-VPN lässt sich als kleines kompatibles Pendant ansehen, das selbst hinter einer Firewall und einem eingeschränkt konfigurierten Internet-Router mit NAT („Network Address Translation“) noch lauffähig ist. Es baut auf dem Prinzip einer verschlüsselten Webseite auf und lässt sich daher nicht tunneln. Aus diesem Grund eignet sich SSL-VPN ausschließlich für End-to-Site-Verbindungen.

Mit IPsec lassen sich VPN-Verbindungen mit besonders hohen Anforderungen an die Sicherheit realisieren. Es handelt sich um eine Erweiterung des Internet-Protokolls und besteht aus den folgenden Grundsätzen:

  • Verschlüsselung
  • Kryptografischer Schutz der zu übertragenden Daten
  • Datenintegrität
  • Authentisierung des Absenders
  • Zugangskontrolle
  • Authentifizierung von Verschlüsselungs-Schlüsseln
  • Verwaltung von Verschlüsselungs-Schlüsseln

VPN als Maßnahme im Gesamtpaket der IT-Sicherheit

Eine VPN-Absicherung allein ist dabei ausdrücklich nicht als Garantie vor der Ausspähung von Daten zu verstehen. Es sollte als Maßnahme immer in ein abgestimmtes System zur IT-Sicherheit eingebettet sein.

Stehen auch Sie vor der Herausforderung, von unterschiedlichen Standorten sicher auf Ihre Unternehmensressourcen zugreifen zu müssen? Das Team der kreITiv berät Sie gern bei der Planung und Umsetzung eines individuellen IT-Konzepts.

Cloud Computing für kleinere Unternehmen

Cloud Computing – Sicherheit in der Wolke

Wie kostengünstig und sicher ist Cloud Computing für KMU?

Cloud ist in aller Munde. Was kleinere Unternehmen dabei beachten sollten, damit auch sie in den Genuss der Vorteile der verbrauchsabhängigen Nutzung externer IT-Infrastrukturen kommen, erklärt Rainer Witt, Geschäftsführer der kreITiv GmbH, im Gespräch mit dem Wirtschaftsjournal.

Wirtschaftsjournal: Welche Cloud-Lösungen sind in welchem Anwendungsfall sinnvoll?

Rainer Witt

Rainer Witt, Geschäftsführer der kreITiv GmbH

Witt: Das wohl bekannteste Beispiel ist der E-Mail-Dienst. Die wenigsten KMU nehmen den erhöhten Aufwand in Kauf und betreiben einen eigenen Mail- oder Exchangeserver. Die Komplexität und vor allem der Arbeitsaufwand, um die Sicherheit aufrechtzuerhalten, haben in den letzten Jahren stark zugenommen. Vereinfacht gesagt, vor allem bei komplexeren Anwendungen, bei welchen es auf Flexibilität und ortsunabhängigen Zugriff ankommt, sollte eher zu Cloud-Lösungen von etablierten Anbietern gegriffen werden. Auch bei seltenen Zugriffen oder erhöhtem Ressourcenverbrauch sind Anbieter mit nutzungsabhängigen Entgelten eine sehr gute Lösung.

WJ: Wann ist die private Cloud einer öffentlichen Cloud vorzuziehen?

Witt: Die private Cloud ist dann sinnvoll, wenn man die Nachteile der öffentlichen Cloud wie die eingeschränkte Netzbandbreite, Transparenz oder mangelnde Sicherheit und Kontrolle minimieren möchte. Durch den Betrieb im eigenen Rechenzentrum sinken die Sicherheitsrisiken beträchtlich. Der Hauptgrund ist aber, dass oft keine passende Cloudanwendung existiert und diese Businessanwendungen erst sehr aufwändig für den Einsatz in einer öffentlichen Cloud vorbereitet werden müssten. Mit der privaten Cloud können die Vorteile für das Unternehmen genutzt und vor allem effizient eingesetzt werden.

WJ: Wie sollte ein Cloud-Computing-Vertrag zwischen Anwender und IT-Dienstleister aussehen?

Witt: Wie bei jedem IT – Dienstleistungsvertrag kommt es auf eine detaillierte und klare Leistungsbeschreibung an, welche alle wesentlichen Ressourcen genau festhält. Darauf aufbauend sind die Service Level Agreements (SLA’s) wichtig, denn hier wird geregelt, welche Verfügbarkeit der Dienstleistungen zugesichert wird. Auch die Verfahren zur Fehlerbehebung mit Notfallplänen oder Entschädigungen im Ernstfall sollten hier festgehalten sein. Ebenso sollte der Vertrag eine passende Exit-Strategie aufweisen.
Speziell geklärt sein muss, welche Unternehmen die Daten anfassen, speichern und vor allem wo sie es tun. Denn Daten in der Cloud zu speichern, kann bedeuten, dass diese Daten quer in der Welt verstreut sind und sich Teile in Irland und andere sich in den USA befinden. Vor allem außerhalb der EU-Grenzen kann es sehr schnell mit der Abstimmung der örtlichen Gesetzgebung zu Problemen führen. Dies hat natürlich starke Auswirkungen auf den Datenschutz, denn in Deutschland ist jeder Nutzer von Cloud-Dienstleistungen selbst für den Schutz seiner ihm anvertrauten Daten verantwortlich, egal wo oder bei wem er diese lagert.

WJ: Was ist dabei genau zu beachten?

Witt: Das Unternehmen muss Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten sicherstellen. Hier kommt es vor allem auf die sichere Verschlüsselung der Kommunikationswege, starke Authentifizierung des Benutzers und wenn möglich auch auf die verschlüsselte Ablage der Daten innerhalb des Cloud-Systems an. Da die Unternehmen selbst keinen direkten Einfluss auf die Sicherheitsprozesse und -mechanismen des Cloud-Anbieters haben, sollten die Unternehmen sich die Maßnahmen des Anbieters zur Informationssicherheit vorlegen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt als Diskussionsgrundlage für den Dialog zwischen Anwendern und Anbietern ein Eckpunktepapier zu Verfügung, welches die Mindestanforderungen an beide Parteien klar benennt.

WJ: Wie müssen die Mitarbeiter auf die Nutzung von Cloud Computing vorbereitet werden?

Witt: Hier muss für eine höhere Sensibilisierung der Mitarbeiter beim Umgang mit den Daten gesorgt werden. Oft ist für den Mitarbeiter nicht ersichtlich, ob er gerade eine lokale Anwendung einsetzt oder eine Cloud-Anwendung nutzt und was dies für Konsequenzen mit sich bringt. Mitarbeiter müssen hier vor allem im Punkt Sicherheit geschult werden, damit sie zum Beispiel darauf achten, ob eine sichere und verschlüsselte Verbindung aktiv ist oder ob Zugangsdaten an dem verwendeten Endgerät leicht ausgespäht werden können. Hierzu sollten Unternehmensrichtlinien zum Umgang mit Cloud-Anwendungen geschaffen werden, um die Unternehmen selbst und deren Mitarbeitern vor Missbrauch oder Angriffen zu schützen.

Gespräch: Simone Pflug

Quelle: Wirtschaftsjournal