Standards gegen Cyberangriffe

„Du kommst hier nicht rein!“

Jens Decker ist seit 2014 Geschäftsführer und Gründer der ConfigPoint GmbH. Seine Schwerpunkte liegen in Prozessdesign und -implementierung, im Aufbau von Shared Service Centern, der Ein- und Ausgliederung von Firmen sowie in IT-Outsourcing und Systemmanagement. Decker ist ebenso Geschäftsführer der TST IT Management GmbH und mit der Restrukturierung und Standardisierung der IT sowie der Modernisierung der Infrastruktur beauftragt. 2021 hatte er als Service Manager in einem Projekt der Gemeinde Aidlingen die technische Gesamtleitung und die Leitung der IT-Architektur für die neue IT-Umgebung der Gemeinde. Davor war Decker zwei Jahre lang Technical Advisor für ein Transitionsprojekt der Messe München: Er begleitete den Umzug von 130 Anwendungen zu einem neuen IT-Dienstleister und verantwortete die Qualitätssicherung. Decker baute außerdem zwei Jahre lang den Shared Service Center von Toshiba Europe auf und betreute davor als freier IT-Consultant diverse Projekte u.a. bei der Mercedes Benz-Bank, der Mercedes Benz Vertriebsgesellschaft und der BelAir Airlines AG in der Schweiz. 
Netzwerksicherheit spielt bei der Absicherung von IT-Landschaften eine sehr wichtige Rolle. Hier sollte man auf Industriestandards setzen.

Cyberangriffe sind fast schon an der Tagesordnung - dennoch ist der Schaden für die Betroffenen immens, finanziell und imageseitig. Ein wichtiger Faktor der IT-Security ist das Netzwerk: Es kann Angreifern den Zugriff auf die IT-Infrastruktur erschweren, denn wer keinen Zugriff hat, kann auch keinen Schaden anrichten. Um ihr Netzwerk sicher zu machen, benötigen Unternehmen Standards. Dazu gehören unter anderem die Standortvernetzung, ein sauberes Netzwerkkonzept mit entsprechendem Betrieb und der kontrollierte und damit sicheren Zugang ins Netzwerk nach IEEE 802.1x (Port Based Network Access Control).

Der Zugang zum Netzwerk muss stets klar und eindeutig geregelt sein.
Der Zugang zum Netzwerk muss stets klar und eindeutig geregelt sein.
Foto: KOTOIMAGES - shutterstock.com

Die Gefahren aus dem Cyberraum nehmen zu

2022 gab es in Sachen IT-Sicherheit schlechte Nachrichten: Hacker professionalisierten sich und Angriffe fanden in der Breite statt. Ihre Ziele waren nicht nur Regierungen, sondern auch digitale Player wie zum Beispiel große Cloudanbieter, Konzerne wie Thyssenkrupp sowie Städte und Dienstleister des Gesundheitswesens. Das Vorgehen der Angreifer wie Advanced Persistent Threats (APT) bzw. Tools wie Mal- oder Ransomware können mittlerweile nach Kundenwunsch konfiguriert oder durch Baukastensysteme schnell und günstig zum Einsatz gebracht werden. Sicher kann sich also keiner mehr fühlen. Und wer in das Visier der Angreifer gerät, erleidet nicht nur einen Imageschaden, sondern kann auch schnell finanzielle Probleme bekommen - bis hin zur Insolvenz.

IT-Sicherheit in Unternehmen beginnt unter anderem am Netzwerk. Es regelt den Zugriff auf Systeme und Geräte und stellt Angreifern so Barrieren in den Weg: Wer Systeme und Geräte nicht erreicht, kann diese auch nicht angreifen und keinen Schaden anrichten. Eine Standardisierung ist hier der Schlüssel zur Cybersicherheit: Darüber lässt sich der aktuelle Stand der Technik und damit das bestmögliche Schutzniveau besser und schneller erreichen.

Die Standardisierung des Netzwerks zeichnet sich durch drei Punkte aus:

  • Eine saubere Standortvernetzung

    Alle Standorte werden in einem sicheren Netzwerk zusammengefasst, in einem Rechenzentrum zusammengeführt, über einen zentralen Punkt mit dem Internet verbunden und über eine Firewall geschützt. Daraus resultiert ein großer Sicherheitsgewinn: Der Break-Out ins Internet ist kontrolliert und es können nur zugelassene Verbindungen verwendet werden. Ist das nicht der Fall, benötigt man an jedem Unternehmensstandort einen eigenen Break-Out ins Internet, der separat geschützt werden muss; das ist weder sicher(er) noch wirtschaftlich. Firmen wissen um die Bedeutung der Standortvernetzung und in der Regel ist sie vorhanden - in der Form von SD WAN, EtherConnect oder MPLS.

    Die sicherste Variante, weil sie die komplette Kontrolle bietet, stellt eine verschlüsselte MPLS-Verbindung dar. Unternehmen sollten außerdem die Komplexität von Firewalls nicht unterschätzen: Zwar versuchen viele Firewall-Hersteller das Leben der Kunden einfacher zu machen, indem eine Konfiguration mit wenigen Klicks erstellt werden kann. Das Thema Firewall ist aber komplex und wird sehr schnell abstrakt - gerade leistungsstarke Firewalls von Cisco, Checkpoint oder Palo Alto Networks erfordern Expertise in Sachen Netzwerkschichten (OSI-Modell), Protokollen, Ports, Routen und Paketgrößen sowie der Applikationen und ihrer Kommunikationsweise. Unternehmen brauchen dafür ein Team oder einen externen Managed Service Provider.

  • Ein gutes Netzkonzept und einen passenden Betreiber

    Zentral ist hier die Netzwerksegmentierung und -aufteilung in verschiedene Standorte und Funktionen. Es kann sinnvoll sein, eigene Segmente für Clients (mit PC und Notebooks), Drucker, VOIP für Telefonie, IoT-Netz oder Gastnetz zu implementieren. So lässt sich der Traffic lenken und priorisieren. Gäste haben Zugang zum Internet ohne Zugriff auf das Firmennetz zu besitzen.

    Die Netzwerksegmentierung ist meist gelebte und gängige Praxis, doch auch hier gilt: Professionalität geht mit Komplexität einher - und dann reicht der eigene Administrator in der Regel nicht mehr aus. Die IP-Adressbereiche müssen logisch zusammengefasst und gruppiert werden; man muss sich Gedanken über Design und Struktur machen. Wächst das Unternehmen, wird es noch komplexer: Das ist gerade bei Dienstleistern oder dem produzierenden Gewerbe zu beobachten, welche stark expandieren. Neue Standorte, Logistik oder Lagerhallen sollen in wenigen Tagen in Betrieb genommen werden. Wenn dann kein Standard im Netzdesign vorhanden ist, wie man Standorte integriert oder wie man das Netzwerk segmentiert und sicher macht, kommt die Unternehmens-IT schnell an ihre Grenzen.

  • Die Einführung von 802.1x, einem authentifizierungsbasierten und damit sicheren Zugang ins Netzwerk nach einem definierten Standard gemäß internationaler Definition der IEEE

    Damit hat das Netzwerk eine Art Pförtner, der die Zugangskontrolle durchführt. Jedes Gerät, das ins Netzwerk will, wird überprüft. Fehlt die Berechtigung oder sind weitere Voraussetzungen nicht erfüllt, sind verschiedene Szenarien denkbar: Ein Port wird abgeschaltet, bis der Admin ihn freigibt, oder der Port schaltet automatisch um, sodass der Teilnehmer statt ins Firmennetz ins Gastnetz eingeloggt werden kann, wenn er die Berechtigung dafür hat. Die Entscheidung kann unter anderem anhand von Zertifikaten getroffen werden. Mit weiteren Methoden können zusätzliche Faktoren einbezogen werden - Hardware-Adresse, Softwarestand, aktueller Virenscanner, Verschlüsselung müssen den Compliance-Richtlinien entsprechen, bevor der Netzzugang gewährt wird. Geräten, die nicht dem Standard entsprechen, wird der Zugriff verwehrt.
    Das Problem: Viele Unternehmen kennen oder können 802.1x nicht. Hinzu kommt die Heterogenität der Netzwerke mit Drucker, Telefon, PC und Notebooks, die Trennung von Gast- und Firmennetz oder die Umsetzung eines Gastnetzes über mehrere Standorte hinweg. Und 802.1x bezieht sich nicht nur auf das LAN, sondern auch auf WLAN: Dessen Netzwerkschlüssel (PSK - Pre-Shared-Key) stellt heute keine ausreichende Sicherheit mehr dar und das WLAN hört nicht am Gebäudeende auf - eventuell kann man sich vom Parkplatz vor der Tür einloggen. Deswegen ist auch hier die Einführung von 802.1x sinnvoll - auch wenn das Netz empfangen wird, wird unautorisierten Geräten der Zutritt verwehrt.


Der Weg zum organisierten und sicheren Netzwerk

Standortvernetzung, sauberes Netzdesign und 802.1x: So entsteht ein eigenes, vollständig organisiertes, gut gemanagtes und damit sicheres Netzwerk. Das bedeutet Übersicht und Transparenz: Wer sein Netzwerk im Griff hat, weiß, was sich darin tut und wer netzwerkseitig Zugriff auf die kritischen Unternehmensressourcen (z. B. Server oder Datenbanken) hat.

Unternehmen müssen ihr Netzwerk nicht selbst sicher machen, sondern können auf Experten von Managed Service Providern zurückgreifen. Diese kennen als Spezialisten für das Netzwerk die Schwachstellen, sie wissen, wie man sie behebt, und können Standards und Prozesse zumeist leichter als die eigene IT implementieren. Damit lässt sich ein höheres Sicherheitsniveau herstellen und damit Angreifern und Hackern das Leben schwer machen.

Industriestandards sind unabdingbar

Um eine größere IT-Sicherheit zu erreichen, brauchen Unternehmen Standards - auch mit Blick auf das Netzwerk. Dazu zählen zum einen die Standortvernetzung als Grundstein von Cybersicherheit, eine darauf aufbauende Netzwerksegmentierung und einen Zugriff aufs Netzwerk, der über Network Access Control (NAC) zum Beispiel mit Zertifikaten gesteuert wird. Wer das nicht allein umsetzen kann, der greift auf professionelle Managed Service Provider und deren Netzwerkspezialisten zurück.

Mehr zum Thema Netzwerkzugang:

Missbrauch des DNS-Protokolls abwehren
Was Sie über SASE wissen sollten
Identity- und Access Management im Zero-Trust-Modell
SASE-Plattformen werden immer populärer
Wie Unternehmen ihre IT-Sicherheit erhöhen

Zur Startseite