Sicherheit für KMUs - Infrastruktur und ihre Bedrohungen
 

Unter Infrastruktur versteht man alle Werte und Leistungen von Versorgungsbetrieben, welche Informationssysteme benötigen, wie etwa Stromversorgung, Informations-Kommunikation und -Verarbeitung. Diese Leistungen sind kritisch für Informationssysteme und sind bestimmten Bedrohungen ausgesetzt. Der folgende Abschnitt beschreibt weit verbreitete Bedrohungen und beschreibt für KMUs angemessene Schutzmaßnahmen.

Feuer

Feuer kann eine äußerst zerstörerische Bedrohung sowohl für physische Datenträger (Ordner) als auch für elektronische Datenträger darstellen (Verlust von Verfügbarkeit). Die Herkunft dieser Bedrohung kann intern oder extern sein, gewollt oder durch einen Unfall bedingt. Um sie zu vermeiden, sollten Sie:

  • einen dedizierten Raum für alle kritischen EDV-Geräte und Datenträger vorsehen (Schreiben Sie eine Leitlinie für physische und umgebungsbezogene Sicherheit - Sicherheitsbereiche und Regeln im Sicherheitsbereich und sorgen Sie für deren Umsetzung)

    • ohne Wasser-Löschanlage

    • mit einer feuerfesten Tür

    • mit CO2-Löschanlage oder Spezialgas-Löschanlage

    • ohne brennbare Oberflächen und Materialien

  • aufegräumt (Papier-Ordner z.B.) vorzugsweise in geschlossenen Schränken. (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten - Klassifikation von Werten, sowie eine Leitlinie für physische und umgebungsbezogene Sicherheit - Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms)

  • Verstauen Sie alle Originaldokumente in feuerfesten Schränken oder Tresoren. (Schreiben Sie eine Leitlinie für physische und umgebungsbezogene Sicherheit - Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms und sorgen Sie für deren Umsetzung)

  • Erstellen Sie einen Alarmierungs- (Auslösen des Alarms und Öffnen der Notausgänge) und Evakuierungsprozess. (Schreiben Sie eine Leitlinie zur Personalsicherheit und sorgen Sie für deren Umsetzung).

  • Richten Sie einen Backup-Prozess, welcher die Dezentralisierung von Backup-Datenträger vorsieht, ein. (Schreiben Sie eine Leitlinie zur Betriebs- und Kommunikationsmanagement - Sicherheitskopien und sorgen Sie für deren Umsetzung)

  • Eventuell kann die Organisation Redundanzen durch die Verwendung eines Disaster Recovery-Standorts (BCP) erzeugen.

Unterbrechung der Leistung

Die Unterbrechung von Leistungen von Versorgungsbetrieben kann zu einem zumindest zeitweiligen Verlust der Verfügbarkeit von Datenverarbeitungs-Diensten oder der Daten selbst führen. Spezifische Maßnahmen können Sie schützen:

  • Angebrachte Kapazitätsplanung von EDV-Komponenten (Prozessor, Netzwerk, Speicher), besonders bei Echtzeit-Verarbeitungssystemen, durch die rechtzeitige Durchführung einer Bedarfserhebungsstudie (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten - Klassifikation von Werten und sorgen Sie für deren Umsetzung)

  • Identifikation von Peaks

  • Priorisierung von Aktivitäten während dieser Zeit

  • Installation von Systemen wie Load Balancing, Cluster für diese extremen Fälle

  • Überwachung der einzelnen Komponenten sowie der Netzwerkverbindungen

  • Performance-Monitoring-Systeme

  • Verwendung von redundanten Systemen

DoS- und DDoS-Attacken

DoS-Angriffe (Denial of Service) oder DDoS (Distributed DoS) verursachen eine Überlastung des Systems einschließlich der Webseiten oder Netzwerke. Sie haben meist eine bewusste und böswillige Herkunft. Was sollte man tun, um sich vor ihnen zu schützen?

Bitte lesen Sie auch den Artikel: CIRCL: digital first aid kit: DDOS mitigation

Störung der kabellosen Kommunikation

Die Störung kabelloser Kommunikation (WiFi) kann ein Ergebnis eines DoS-Angriffs sein (z.B. Störungen), oder auf ein Problem bei der Wellenausbreitung zurückzuführen sein (Verlust von Verfügbarkeit). Um diese Probleme zu vermeiden, stellen Sie sicher dass:

  • die physischen Umweltbedingungen nicht der Grund der Kommunikationsstörung sind (z.B. Stahlbeton, Blei)

  • sich die WLAN-Access-Points in stark frequentierten Bereichen befinden, aber unzugänglich sind (z. B. unerreichbar in der Höhe). (Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Sicherheitsbereiche und Regeln im Sicherheitsbereich und sorgen Sie für deren Umsetzung)

  • die Funkwellen der Access-Points nicht von elektromagnetischen Strahlungen anderer Herkunft gestört werden (Funkantenne, GSM, TV)

Abhörbarkeit der kabellosen Netze

Drahtlose Netzwerke (WiFi) benötigen kein physisches Medium, sie gehen durch die Luft und sind somit für einen passiven Empfänger abhörbar. Es kann daher zu einem Verlust der Vertraulichkeit Ihrer Daten kommen. Sie können dieses Risiko durch Einhaltung folgender Sicherheitsmaßnahmen vermeiden:

  • die Kommunikation muss mit Hilfe eines sicheren Protokolls verschlüsselt werden (z.B. : WPA2 bei Wifi) (Schreiben Sie eine Leitlinie für die Beschaffung, Entwicklung und Wartung von Informationssystemen- Kryptografische Maßnahmen und sorgen Sie für deren Umsetzung)

  • die Strahlung der WLAN-Access-Points sollte auf den physischen Bereich der Organisation begrenzt werden

  • der Zugang zum Netz muss auf Berechtigte begrenzt werden (MAC-Adress-Filtering zum Beispiel)

  • das drahtlose Netzwerk darf nicht direkt an das interne Netzwerk der Organisation angebunden werden, sondern durch eine Firewall getrennt werden oder über eine dedizierte Internetverbindung verfügen (Schreiben Sie eine Leitlinie zur Zugangskontrolle - Trennungen von Netzen und sorgen Sie für deren Umsetzung)

Lesen Sie auch Sichern interner WiFi Netzwerke und Sichern von WiFi-Netzwerken für Kunden.

Abfangen der Kommunikation

Externe können die übertragenen Informationen abhören, ändern oder löschen (so genannte Man-in-the-middle-Angriffe) und somit die Vertraulichkeit, Integrität und Verfügbarkeit der Daten kompromittieren. Sie können Ihre Kommunikation schützen und: 

Bitte lesen Sie auch den Artikel: CIRCL: digital first aid kid: secure communication

Nicht-Verfügbarkeit des Netzes

Ausfall der Telekommunikationsmittel (Verlust der Verfügbarkeit) lähmt Datenverarbeitungssysteme. Es wird empfohlen, einen redundanten Anschluss an zwei verschiedenen ISP zu unterhalten, wenn möglich sogar mit verschiedenen Kommunikationstechniken.

Stromausfall

Ein Stromausfall kann zum Verlust der Verfügbarkeit des gesamten Informationsverarbeitungssystems führen. Energieversorgung ist essentiell, vor allem für Organisationen, die Echtzeit-Aktivitäten nachgehen. Schützen Sie sich vor dieser Bedrohung durch:

  • einer Alarmanlage, welche den Ausfall der Energieversorgung meldet

  • USV (Unterbrechungsfreie Stromversorgung) für empfindliche Geräte

  • einen Backup-Generator für kritische Systeme

  • Leistungsschalter schützen Geräte vor Überspannungen

  • einen Prozess zum Anhalten von Anlagen (Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Elektrische Sicherheit der Ausrüstung und sorgen Sie für deren Umsetzung.)

Nicht-Verfügbarkeit externer Dienstleister

Eine Organisation ist abhängig von seinen Lieferanten. Eine Nicht-Verfügbarkeit bei Dienstleistern kann schwerwiegende Auswirkungen haben. Es ist daher ratsam:

  • die Verfügbarkeit (in Form eines SLA) im Dienstleistungsvertrag festzulegen. (Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Wartung und sorgen Sie für deren Umsetzung)

  • für eine Redundanz auf Ebene der Versorgungsbetriebe zu sorgen

  • für eine Bereitstellung durch den Dienstanbieter (Verfahren, Quellcode, technische Dokumentation), zu sorgen um die Aktivität zu erhalten

Eindringen in Sicherheitsbereiche

Eine Verletzung der Sicherheitsbereiche kann schwerwiegende Auswirkungen auf die Vertraulichkeit, die Integrität und die Verfügbarkeit haben. Ein böswilliger Dritter, welcher Zugang auf Werte der Organisation hat, kann diese stehlen, sabotieren oder kopieren und schwere Schäden anrichten. Überprüfen Sie, ob:

  • die Identität der Menschen in den Personalschleusen beim Ein-und Ausgang des Gebäudes überwacht werden kann. (Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Sicherheitsbereiche und Regeln im Sicherheitsbereich und sorgen Sie für deren Umsetzung)

  • Besucher und Lieferanten immer begleitet werden

  • Notausgänge nur von innen geöffnet werden können

  • jene Räume, die für Server bestimmt sind, stets verschlossen sind, mit Alarmanlagen und eventuell Kamerasystemen ausgestattet sind

  • Eine "clean desk"-Leitlinie muss befolgt werden (d.h, das Wegsperren sensibler Papierdokumente (Klassifizierung) und das Verriegeln von Workstations). (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten- Klassifikation von Werten, sowie eine Leitlinie für physische und umgebungsbezogene Sicherheit - Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms und sorgen Sie für deren Umsetzung)

  • wenn das Gebäude geschlossen ist, eine Alarmanlage oder ein Security-Unternehmen den Standort überwacht

  • das Badge-Prizip eingehalten wird und ob das Badge (Firmenausweis) gut sichtbar getragen wird

  • Quarantäne-Bereiche für Lieferungen verfügbar sind