Die Burg IT-Sicherheit E-Book

Vorwort

Daten sind das Gold des 21. Jahrhunderts.

Räuber, Diebe, Erpresser, Agenten, Attentäter und Spione gibt es noch immer. Die Methoden der Angriffe haben sich seit dem Mittelalter kaum verändert. Dank moderner Technologien können heutzutage jedoch andere Werkzeuge verwendet werden. Der Beutelschneider muss seinem Opfer inzwischen nicht mehr Aug in Aug gegenüberstehen, sondern kann über das Internet seine Angriffe von anderen Kontinenten fahren oder sogar Sie unwissentlich zum Komplizen machen.

Cyberkriminalität ist ein erheblicher (Schatten-) Wirtschaftsfaktor, wird damit doch inzwischen mehr Geld verdient als mit Drogenhandel und Prostitution.

Wir möchten anhand einer mittelalterlichen Burg vorstellen, wie die Angreifer vorgehen und wie Sie Ihre Daten schützen können, dabei werden wir Fachbegriffe anschaulich erklären.

Hieraus ergeben sich Fragen, die Sie einfach auf Ihre bestehende IT anwenden können, um so Ihre eigene Burg zu betrachten.

Hinweis: Natürlich wendet sich dieses Buch sowohl an Männer als auch an Frauen gleichermaßen, wie auch an das dritte Geschlecht. Auf Formulierungen wie „Unternehmerinnen und Unternehmer“ wurde aus Gründen der Vereinfachung und der besseren Lesbarkeit des Buches bewusst verzichtet.

Michael Kuch, Birgit Pauls, Bernd Sommerfeldt

Jesteburg / Tönning / Lübeck im August 2017

Inhalt

Sicherheit in einem Netzwerk

Evolutionäre Entwicklung

Heute

Der Entführungsfall

Eine neue Burg

Der Burgumbau

Ist-Aufnahme

Die Soll-Feststellung

GAP-Analyse

Projekt

Das Soll erreicht

Organisation

Alles nur Steine

Typische Fehler beim Burgenbau

Abkürzungsverzeichnis

Begriffserklärungen

Die Autoren

1. Sicherheit in einem Netzwerk

Die Möglichkeiten in Netzwerken werden immer größer, genauso wie die möglichen Risiken und die unterschiedlichen Möglichkeiten der Sicherheit. Die Begrifflichkeiten sind hierbei sehr vielschichtig, und viele Termini sind nicht der Funktion geschuldet, sondern lediglich dem Marketing.

Wir haben uns bewusst gegen ein sehr theoretisches Buch entschieden und einen anderen Weg gewählt. Eine bewährte Methode ist hier, mit Gleichnissen zu arbeiten, um Sicherheit, Möglichkeiten und Risiken übersichtlich zu gestalten. Gleichnisse, die jeder nachvollziehen kann und die dennoch dem Anspruch genügen, sehr deutlich eine realistische Darstellung aufzuzeigen. Unterschiedliche bildliche Betrachtungsweisen des gleichen Themas können durchaus mit einer Änderung der Perspektive gesehen werden, wodurch das Bild noch vollständiger wird.

Fachliche Begrifflichkeiten lassen wir mit einfließen, obgleich zum Verständnis diese nicht zwingend erforderlich sind; dies ermöglicht jedoch auch eine Übersetzung von typischen und immer wiederkehrenden Begriffen, wodurch diese sehr klar und verständlich werden.

In der IT könnte durchaus von einem evolutionären Prozess gesprochen werden, und dieser ist sehr schnell. Teilweise kann hier auch gesehen werden, dass bestimmte Schritte Wiederholungen von bereits vergangenen Schritten waren, welche sich unter ständig neuen Voraussetzungen laufend wiederholen.

Netzwerke sind nichts Neues, diese gab es sogar bereits vor dem Internet, waren aber in dieser Zeit doch eher isoliert (Arpanet, LAN, Direktverbindungen…) bzw. beschränkt auf das eigene Netzwerk oder ein klares vordefiniertes Netzwerk, auf das nur wenige Zugriff hatten.

Was aber ist wirklich neu? Es wurden Möglichkeiten ersonnen, um immer mehr Daten in immer höherer Qualität und Geschwindigkeit überall und jederzeit verfügbar zu machen und immer mit diesen arbeiten zu können. Praktisch jedes Gerät, welches hierzu in der Lage ist, wurde integriert. Dieser Vorgang ist noch nicht abgeschlossen, es werden viele weitere Geräte hinzukommen, sowie das „Internet der Dinge“ (z.B. Autos, Kühlschränke, Messgeräte…). Alle diese Geräte kom munizieren fortlaufend und sind Teile dieses Netzes. Neben der Konzentration von Daten an bestimmten Standorten findet auch die permanente Verfügbarkeit überall Zuwachs, sowie auch die fortlaufende Verwendung, automatisierte Auswertung und Aufbereitung dieser Datenfluten, ggf. auch durch Dritte im Rahmen eines Auftrages oder ohne einen solchen Auftrag (z.B. Amazon, Google, Apple, Microsoft…). Daten, die bisher nie zusammengekommen sind oder nie auswertbar waren, kommen zusammen und können analysiert werden. Dieses scheinbare Datenparadies hat eine praktisch unüberschaubare Zahl an Verbindungen. Systeme unterschiedlichster Sprachen sind in der Lage, miteinander zu kommunizieren und Daten auszutauschen, als wäre ein Universalübersetzer überall verfügbar.

Sehen wir uns doch einmal einige dieser Geräte an, die in jeder Firma heute Einsatz finden. Diese Liste können Sie für Ihre eigene Firma beliebig erweitern. PCs, Notebooks, Server und Storagesysteme sind für jeden sicher noch einfach nachzuvollziehen. Hier sind es die Arbeitsstationen, die Großrechner für hochkomplexe Aufgaben und die Massenspeicher. Weitere Geräte kommunizieren mit diesen oder haben Zugriff auf diese. In vielen Firmen sind dies Tablets, Handys, Kameras, Zeiterfassungsanlagen, Telefonanlagen, Alarmanlagen, aber natürlich auch Drucker, Roboter oder Türöffnungssysteme. Hier kommen dann noch die Netzwerkgeräte wie Switch und Router hinzu, welche dann ebenfalls den Weg in das Internet beschreiten und über diesen Weg in die unterschiedlichen Clouds. Dem einen oder anderen wird an dieser Stelle vermutlich der Überblick verloren gehen, obgleich dies noch nicht das Ende der Liste wäre.

Welche Systeme können wir hier aber effektiv selbst direkt beeinflussen und welche nicht? Dass wir über das Internet keine Kontrolle haben, da es ein globales Netzwerk mit einer unüberschaubaren Menge an Inhalten ist, wird den meisten sehr bewusst sein. Auch Cloudsysteme entziehen sich unserer eigenen Kontrolle, hierfür tragen andere Verantwortung – und dennoch tragen wir für unsere Daten in einer Cloud selbst die Verantwortung.

Wie sieht es mit unseren Handys aus, die buchstäblicher jeder nutzt und dies zu jeder Tages- und Nachtzeit? Ein datenschutzkonformes Handy gehört in das Reich der Fabelwesen, dieses gibt es spätestens seit dem Smartphone nicht mehr. Ein Smartphone im Lieferzustand hat schon alles im Gepäck, was geeignet ist, um Sie und Ihre Daten auszuspionieren. Es kommuniziert über alle erdenklichen Wege, und die Daten liegen auf allen möglichen Plattformen und in diversen Clouds. Tablets sind hier wie Handys zu werten, auch diese entziehen sich der vollständigen Kontrolle.

Eine echte Kontrolle können wir über das ausüben, was wir in unseren eigenen vier Wänden haben, und so kamen wir auf die Idee, die Sicherheit mit einer Burg zu vergleichen, um das System einmal anschaulicher darzustellen. Wir werden im weiteren Verlauf das Gebiet um die Burg herum hinzunehmen und auch dieses in Gleichnissen darstellen.

2. Evolutionäre Entwicklung

Es ist nicht selten so, dass eine Firma zu Beginn gar keine Burg hat. Es gibt hier eine Ansammlung von Häusern (Arbeitsstationen), und es dauert nicht lange, bis eine Taverne und eine Kirche stehen (Server), Straßen gebaut werden, um schneller von A nach B zu kommen (Intranet) und ein Rathaus errichtet wird, um über alles in der Gemeinde zu beratschlagen (erstes internes Regelwerk). Das Erarbeitete wird zunächst in den eigenen Scheunen (Datenträger) gelagert, doch diese reichen schon bald nicht mehr aus und weil sowieso jeder mehr Platz benötigt, wird beschlossen, gemeinsam ein Lager zu errichten, das für alle reicht (Storage).

Bisher hat niemand diese kleine Siedlung entdeckt, doch auch Wanderer ziehen durch das Land, und ab und zu bringen sie etwas Nützliches mit oder tauschen es gegen etwas anderes ein (mobile Datenträger wie USB-Sticks). Ab und zu brennt mal ein Haus ab, doch auch die ganze Ernte könnte es betreffen, es werden die ersten Regeln erlassen und Kontrollen eingeführt, damit niemandem ein Schaden zugefügt wird (einfache Firewall, erster Virenscanner).