Was beinhaltet Sicherheit für Daten:

- Geheimhaltung von Daten, Vertraulichkeit der Daten
- Verfügbarkeit von Daten und der Kommunikationsinfrastruktur
- Integrität und somit die Unverfälschtheit/Richtigkeit der Daten

Hierbei handelt es sich um die absolute Echtheit der Daten, die mit entsprechenden Daten geboten werden kann.
Wichtig ist es darauf zu achten, wenn auf Computern z.B. Patientendaten oder Kundendaten liegen und diese entsprechend den Anwendungen täglich benutzt werden.
Durch eine Schutzeinrichtung kann sichergestellt werden, daß es sich hier um die tatsächlichen und unverfälschten Daten handelt und nicht etwa um Daten, die von einem Cracker oder Datenspion verändert wurden.
Datenschutz ist Vertrauensangelegenheit!

Welche Bedeutung hat die Sicherheit:

- Wahrung des guten Rufes einer Firma oder Person
- Schutz der eigenen Persönlichkeit oder der Mitarbeiter
- Sicherung von Unternehmenswerten
- Unbedingter Datenschutz, z.B. Patientendaten, Kundendaten etc.

Natürlich ist ein wesentlicher Punkt wichtig den Sie erfüllen sollten wenn es um die Daten anderer Menschen geht, mit denen Sie Umgang haben: der Datenschutz.
Wir sprechen hier immer von Daten die unter Datenschutz stehen und nicht der Öffentlichkeit zugänglich sein sollten.
Dabei denke ich besonders an Patientendaten, Kundendaten oder Auftragsvergabeunterlagen etc. die besonders geschützt werden müssen.
Es ist dabei wichtig auf den Schutz und den Ruf der Firma zu achten, da öffentliches Interesse eine Firma negativ beeinflussen können, wenn Datenschutzverletzungen bekannt werden.

Welche Gefahren drohen aus dem Internet und/oder am Computer:

- Mitarbeiter durch Fehlbedienung
- unzureichende Aufklärung der Mitarbeiter
- fehlerhafte Administration
- Konkurrenten, Mitbewerber
- Profis, Geheimdienste, Cracker, Skript-Kiddies

Oftmals werden die eigenen Mitarbeiter dahingehend überschätzt, daß man ihnen sehr viel zutraut und natürlich eine Fehlbedienung weitgehend ausschließt.
Das ist jedoch nicht richtig, denn wie die aktuelle Arbeitsmarktsituation veranschaulicht sind gut Jobs schwer zu bekommen und in vielen Fällen dann mit Kenntnissen aus der Computerbranche.
Daher erfinden viele Mitarbeiter eine gebräuchliche Qualifikation, die aber oftmals unzureichend ist.
Nicht nur die alleinige Fehlbedienung durch einen Mitarbeiter ansich, sondern auch das somit gesteigerte Sicherheitsrisiko macht es Crackern, Geheimdiensten und Spinnern leichter Sie auszuspionieren.

Gefahrentypen die am gebräuchlichsten sind:

- Zugriff auf Informationen, unerlaubt
- Diebstahl von Daten und Informationen
- Böswillige Beschädigungen von Daten
- Verfügbarkeit angreifen
- Mißbrauch von Kommunikationsdiensten

Wir sprechen auch von Angrifgsmöglichkeiten die angewendet werden um an Daten zu gelangen die nicht öffentlich sind.
Hierbei können folgende sehr gebräuchliche Techniken genannt werden:
- Passwörter raten oder lesen, da diese sehr oft im Klartext abgelegt sind. (/etc/shadow, /etc/passwd, & BruteForce-Angriff)
- Abhören des Netzwerkverkehrs um Daten abzufangen für den Vollzugriff = Sniffen
- Spoofing: Fälschen von Datenpaketen und anschließendes Ausspähen der Netzwerkstruktur
- Serverbugs ausnutzen (Exploiten)
- Falsches Sicherheitskonzept des Netzwerkes (Ausnutzung dessen)
- Softwarefehler ohne Patches
- DoS oder DDoS Attacken (Distributes Denial of Service)

Sicherheitspolitik einführen und wahren:

- Wer darf im Unternehmen oder am Computer was ausführen
- Vergabe und Einteilung von Zugriffsrechten und Berechtigungen
- Dienstevergabe, z.B.: WWW, FTP, E-Mail etc.
- Verantwortlichkeiten einteilen, vergeben und kontrollieren

Sicherheit an Daten ist Chefsache! Bitte denken Sie daran.

Sie müssen entscheiden, welche Verfügung und welcher Zugriff für welchen Mitarbeiter notwendig ist!
Allein der Schaden im Jahre 2000 durch surfende Mitarbeiter in Firmen ging in die Millionen, denn jeder hat einen Internetarbeitsplatz obwohl er keinen benötigt.
Nicht alle Mitarbeiter brauchen eine Internetanbindung für die Tätigkeiten die er ausführen soll oder muß.
Es sollte auch klar sein, welcher Mitarbeiter intern welche Zugriffe auf welche Daten und/oder Datenbanken haben soll, da hierbei bereits sehr oft der Mißbrauch des Datenschutz beginnt.

Über welche Mittel sollten Sie verfügen:

- Schulungen der Mitarbeiter
- Organisation der Sicherheitspolitik
- Korrekte Administration der Computer und Netzwerke
- Passwörter sicher vergeben
- Einrichtung einer Firewall zzgl. eines IDS oder/und IRS
- Viren- und Skripteschutzprogramm
- Verschlüsselung der Dienste und Kommunikation
- Nach der Sicherheitspolitik vergebene Autorisation

Sensibilität ist hier in diesem Bereich gefragt, denn hier geht es um die Schulung der Mitarbeiter und dem Umgang mit fremden Daten.
Sie als Sicherheitsberater sollten der Geschäftsleitung und der Administration bereits hier vorschlagen, ordnungsgemäße und sichere Passwörter für die einzelnen Arbeitsplätze und Zugriffe einzurichten.
Sichere Passwörter sind alphanummerische Folgen mit Sonderzeichnen kombiniert.
Ebenfalls sollte auf eine möglichst starke Verschlüsselung wert gelegt werden, besonders wenn es um Datentransfer zwischen Filialen geht und VPN zum Einsatz kommt.

VPN = Virtual Private Network - Tunnelingverfahren zum sicheren Datentransfer
IDS = Intrusion Detection System
IRS = Intrusion Response System

Erstellen einer Sicherheitsanalyse für Netzwerke:

- Ist-Situation: Netzwerkstruktur & Kommunikationsstruktur
- Ist-Situation: Anwendungen und Dienste
- Ist-Situation: Personal und Anwender

Bitte achten Sie unbedingt auf die ehrliche Einschätzung der Analyse!
Sie sollten ein möglichst hohes Maß an Sicherheit erreichen, aber sollten nicht Systeme zum Einsatz bringen die bei Ihnen im Netzwerk etc. nicht erforderlich sind.
Ein genauer Plan des Netzwerkes und desses Struktur ist daher unabdingbar und zwingend notwendig.
Bedenken Sie auch hier schon, welcher Benutzer und/oder Anwender welche Zugriffsrechte haben darf.

Risikoanalyse:

- Kosten, Image, Notwendigkeit
- Anforderungen, Dienste und Sicherheitsziel

Der Chef sollte die Vertraulichkeit und Verfügbarkeit der Daten genau einschätzen können und darüber mit dem Administrator beraten.
Eine weitere Vorgehensweise ist davon oft abhängig und entscheidet über die Qualität einer Checkliste und Analyse für Daten und Netzwerke!
Ebenso sei hier erwähnt, dass die qualitative Sicherheit des Netzwerkes absolut davon abhängen wird.

Konzeption der Firewall und/oder IDS/IRS:

- Produkteauswahl
- Remotezugriff zur Wartung
- Umsetzung und Planung
- Benutzertraining
- Implentierung
- Test der Firewall / IDS / IRS durch Penetration, Auditing & Monitoring

Es gibt verschiedene Lösungen die verwendet werden können, die aber mit Bedacht ausgewählt werden sollten.
Firewalls und IDS/IRS sollten in Netzwerken eigenen Hardwareperformance besitzen, eigenständig arbeiten können und permanent mit Updates versorgt werden.
Besonders IDS/IRS sollte regelmäßig einem Update unterzogen werden da sehr viele neue Angriffsmethoden auftauchen und so integriert werden sollten zur Früherkennung.(Datenbankupdate)
Eine exakte Planung ist erforderlich, da eine Firewall oder IDS/IRS je nach Netzwerkstruktur eingesetzt wird und somit erst dann entschieden werden kann, welches System zum Einsatz kommt.(NNIDS, HIDS etc.)
Ein Test sollte im Anschluß dann die erforderliche Sicherheit geben, wie gut die Planung und Konzeption war.

Konzeption Virenschutz:

- permanente Updates möglich
- aktuelle Softwareversion
- serverbasierende Lösung
- E-Mailscan, Filtering, Attachementmanagement

Viren und Würmer sind in der heutigen Zeit oft tückischer als man es erahnen mag, aber es ist die Realität im Internet!
Daher, vergewissern Sie sich genau bei den Produkten die Sie zur Auswahl haben, ob diese über Updates kostenlos verfügen, für Ihre Netzwerkstruktur und die Software geeignet sind.
Nicht jedes Anti-Virus Programm arbeitet auf einem Windows2000 Advance Server oder auf einem FreeBSD Server!
Ausführliche Gespräche mit Produktberatern und Hersteller sollte Aufschluß darüber geben, welches Produkt für Sie am besten geeignet ist und ob es Ihren Ansprüchen gerecht wird.

Nachsatz

Vielleicht ist es nicht in Ihrem Interesse Ihre Daten zu schützen und somit Ihr Unternehmen zu sichern.
Möglicherweise sind Sie bereits nach Aussage Ihres Administrators gut abgesichert, aber wissen Sie es wirklich oder stützen Sie sich grundlegend nur auf die Aussage des Administrators.
Datensicherheit und Datenschutz heißt: Die Verantwortung zu übernehmen, über die Daten, die man Ihnen anvertraut und in Sicherheit wiegt.
Einzelne Softwarebereiche und Betriebssystemschwächen sollten an einer Sicherheitsanalyse unmittelbar anschließen, wenn man die Hauptplanung abgeschlossen hat.
Oftmals sind DEFAULT Einstellungen noch vorhanden und erleichtern das Eindringen in Computernetze um Daten zu stehlen.
Wo finden Sie weitergehende Information und/oder Hilfe zur Realisierung solcher Sicherheitsanalysen:

Thomas Leichtenstern, http://www.it-secure-x.de (Daily News, SecurityService, Beratung, Viren- & Trojanerhelp)
Uwe Berger, http://www.network-secure.de (Netzwerklösungen, Sicherheitsberatung, Viren- & Trojanerhilfe)
Marc Ruef, http://www.computec.ch (Weitergehende Literatur, Tips und Hinweise)
Alexander Khine, http://www.khine.de (EDV-Service Khine)
LogoSec, http://www.logosec.de (Netzwerksecurity & Biometrie)

McAfee Anti-Virus, http://www.mcafee.com
Norton Anti-Virus, http://www.symantec.com
TrendMicro Anti-Virus, http://www.trendmicro.de
Sophos Anti-Virus, http://www.sophos.de

Für die Realisierung, Hilfe und Bereitschaft bedanke ich mich bei:
Meiner Familie, Martin J. Muench, Sven Bast, Snakebyte, Marc Ruef, Roland Brecht, Uwe Berger und den vielen anderen Menschen und Kollegen der Branche, die es mir ermöglichen meine Arbeiten zu verwirklich.
Bei Anregungen und/oder Kritik schreiben Sie mir einfach.

Ihr Marko Rogge
Marko Rogge im Internet

Dieser Bericht ist in guter Absicht und mühsamer Arbeit erstellt worden, daher möchte ich Sie bitten keine Anleitung und/oder andere Texte frei zu kopieren.
Unter Angabe des Autors und der URL sowie eine Benachrichtigung per E-Mail ist eine weitere Veröffentlichung jederzeit möglich.
Danke, Ihr Marko Rogge