Firmenbrief

20.10.2009

Gebt Hackern keine Chance! Aus dem Tagebuch eines EDV-Verantwortlichen:



6.Oktober

Tickermeldung "Hotmail Logindaten ausgespäht", Zigtausende Accounts sind betroffen.

Ich habe eine schlaflose Nacht und wälze mich hin und her und grübel...
Sind unsere Mailkonten sicher? Ja, wir haben unseren Mailserver im Haus, kein Benutzer verwendet externe Provider. Unser Mailserver ist Linux-basiert, also schon viel sicherer  :-)

7. Oktober

Tickermeldung "Auch Google, Yahoo und AOL sind betroffen", Angriff wohl per Phishing.

Das bringt mich wieder ins Grübeln, nahezu alle großen Namen sind dabei. Kann das unsere Firmen-IT gefährden? Wie könnten wir betroffen sein? Was machen meine Benutzer denn so alles mit ihrem PC?

Sie können sich nur schwerlich Viren und Trojaner einfangen, weil

 

  • jede Mail geht durch die Ironport Appliance und wird auf Viren untersucht
  • der Web-Proxy auf der Firewall filtert ebenfalls auf Viren und Spam; die Browser sind so eingestellt, dass sie Phishing-Versuche erkennen

Macht es Sinn, zusätzlich doch noch White-Listing einzuführen, also nur bestimmte Websites zulassen? Unsere Linux-PCs sind sowieso noch nicht so anfällig für Viren, die Benutzer arbeiteten noch nie mit Admin-Rechten.

8. Oktober

Heute keine neue Meldung, aber ständig die alten auf allen Kanälen.
Zeit zum Nachdenken...

Unser Mailserver  ist von aussen erreichbar, für die Mitarbeiter mit PDAs und iPhones ist das auch wichtig. Kann er angegriffen werden?

Er ist gut verteidigt:

  • wir erlauben nur Zugriff mit TLS und SSL - also sicheren Verschlüsselungssystemen.
  • alle Server verwenden zentral vergebene SSL-Zertifikate, die auf allen Geräten bekannt sind
  • die Benutzer können sich also darauf verlassen, dass ein "Man-in-the-middle"-Angriff erkannt wird
  • bei mehrfach fehlgeschlagenen Login-Versuchen wird der Angreifer blockiert.
  • Die Firewall erkennt untypische Verhaltensmuster automatisch und warnt ("Intrusion detection").
  • Unser Webserver steht in der DMZ und hat keine Verbindung ins interne Netz.


9. Oktober

Tickermeldung "Betroffene Hotmail- und Yahoo-Konten immer noch offen"
Das beunruhigt schon, also - wie ist das bei uns mit den Kennworten?

  • Kennworte laufen automatisch aus und müssen erneuert werden
  • ich kann bei Bedarf die Policy zentral herunterstellen, so dass alle Benutzer neue Kennworte festlegen müssen


10. Oktober

Der Gedanke geht mir noch nicht aus dem Kopf, zu viel hängt davon ab. Die Daten sind schließlich entscheidend für das Unternehmen. Wie sieht's denn innen im Netz aus?

  • alle Server und Arbeitsplatz-Rechner machen automatische Security-Updates; die Linux-Systeme haben dabei den Vorteil, dass die Open-Source-Szene meistens schneller auf bekannte Lücken reagiert und Fixes liefert als manch grosser Software-Hersteller...
  • die Kommunikation zwischen Arbeitsplatz und Server erfolgt verschlüsselt soweit möglich (Mail, CRM, Website, Benutzerverwaltung per LDAP/TLS)
  • besonders sensitive Bereiche (Personal- und Lohnbuchhaltung) haben eigene Netzwerk-Segmente, sind also strikt getrennt


Beruhigt kann ich mich wieder anderen Themen widmen und meine verdiente Nachtruhe genießen.