Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices für Data Security

Best Practices für Data Security

Die Bedeutung der Datensicherheit

Heutzutage muss jede Organisation, unabhängig von ihrer Größe, bewährte Methoden des Datenschutzes befolgen, um das Risiko von zunehmend ausgeklügelten Ransomware-, Phishing- und anderen Cyberangriffen zu verringern. Darüber hinaus ist die Einhaltung von Datensicherheitsrichtlinien unerlässlich, um die Einhaltung strenger moderner Datenschutzgesetze wie der DSGVO und CCPA zu erreichen, zu erhalten und nachzuweisen.

Leider sind laut einer Studie des Ponemon Institute 77% der Organisationen auf Cyberangriffe schlecht vorbereitet. Dies betrifft sogar Technologiegiganten – im Jahr 2022 konnten Hacker eine Schwachstelle in der Cloud-Sicherheit bei Microsoft ausnutzen, was zu einem großen Datenleck führte.

Sind Sie besorgt um Ihre eigene Sicherheit? Dieses Whitepaper enthüllt die besten Praktiken der Data Security Posture Management, die Sie heute kennen sollten, um Ihre Organisation vor Verstößen und Compliance-Strafen zu schützen.

Top 14 Data Security Best Practices

1. Verstehen Sie Datentechnologien und Datenbanken

Datenbankmodelle

Frühe Datenbanksysteme verbanden Benutzer direkt über Anwendungen mit Daten. In einem privaten Netzwerk war physische Sicherheit normalerweise ausreichend, um die Daten zu schützen.

Heutzutage ermöglichen moderne Datenbanken, dass Daten auf dynamische Weise angezeigt werden können, die auf die Bedürfnisse des Benutzers oder Administrators zugeschnitten sind. Zu den Modellen gehören:

  • Ein-Schichten-Modell (Single-Tier-Modell) — In diesem Modell existieren die Datenbank und die Anwendung auf einem einzigen System. Dies ist üblich bei Desktop-Systemen, die eine eigenständige Datenbank ausführen. Auch frühe Unix-Implementierungen funktionierten auf diese Weise; jeder Benutzer würde sich an einem Terminal anmelden und eine dedizierte Anwendung ausführen, die auf die Daten zugreift.
  • Zweistufiges Modell — In einem zweistufigen Modell führt die Client-Workstation oder das System eine Anwendung aus, die mit einer auf einem anderen Server laufenden Datenbank kommuniziert. Dies ist eine gängige Implementierung, die für viele Anwendungen gut funktioniert.
  • Dreischichtenmodell — Heutzutage häufig verwendet, isoliert das Dreischichtenmodell den Endbenutzer von der Datenbank, indem ein Mittelschicht-Server eingeführt wird. Dieser Server nimmt Anfragen von Clients entgegen, bewertet sie und sendet sie zur Verarbeitung an einen Datenbankserver. Der Datenbankserver sendet die Daten zurück an den Mittelschicht-Server, der sie dann an das Client-System weiterleitet. Der Mittelschicht-Server kann auch den Zugriff auf die Datenbank kontrollieren und zusätzliche Sicherheit bieten.

SQL vs NoSQL-Datenbanken

Die am häufigsten verwendete Sprache zur Kommunikation mit Datenbanken ist die Structured Query Language (SQL). SQL ermöglicht es Benutzern, in Echtzeit Abfragen an Datenbankserver zu senden. Die meisten kommerziellen relationalen Datenbankmanagementsysteme — einschließlich Oracle, Microsoft SQL Server, MySQL und PostGres — verwenden SQL. (Verwechseln Sie die Sprache SQL nicht mit Microsofts Datenbankprodukt SQL Server.)

Eine NoSQL-Datenbank ist keine relationale Datenbank und verwendet kein SQL. Diese Datenbanken sind weniger verbreitet als relationale Datenbanken, werden jedoch häufig verwendet, wo Skalierung wichtig ist.

Hier sind einige wichtige Unterschiede:

Feature

NoSQL-Datenbank

SQL-Datenbank

Datenbanktyp

Nicht-relationale/verteilte

Relational

Schema-Typ

Dynamisch

Vordefiniert

Datenspeicherung

Dokumente werden häufig im XML-Format in einem einzigen Dokument gespeichert

Datensätze werden als Zeilen in Tabellen gespeichert

Vorteile

Kann große Mengen strukturierter, halbstrukturierter und unstrukturierter Daten verarbeiten

Weitgehend unterstützt und einfach zu konfigurieren für strukturierte Daten

Typisches Skalierungsmodell

Horizontal (fügen Sie mehr Server hinzu)

Vertikal (aktualisieren Sie den Server)

Beliebte Anbieter/Implementierungen

MongoDB, CouchDB

Oracle, Microsoft, MySQL

Anfällig für SQL-Injection-Angriffe?

Nein, aber anfällig für ähnliche Injektionsangriffe

Ja

Große Daten

Einige Organisationen speichern mehr Daten, als auf einem einzelnen Server Platz finden, daher werden sie stattdessen in einem Storage Area Network (SAN) gespeichert. Ein SAN ist ein separates Netzwerk, das so eingerichtet ist, dass es dem Hauptnetzwerk wie ein Server erscheint. Zum Beispiel könnten mehrere Server und Netzwerkspeichergeräte als Mini-Netzwerk konfiguriert werden, das ausschließlich dazu dient, nur mehrere Terabyte an Daten zu speichern. Es ist mit dem Hauptnetzwerk verbunden, sodass Benutzer schnell und bequem auf Daten im SAN zugreifen können.

SANs verfügen normalerweise über redundante Server und sind über Hochgeschwindigkeits-Glasfaserverbindungen oder iSCSI, das auf Kupfer läuft, verbunden. Allerdings kann Big Data eine Größe erreichen, bei der es schwierig wird, die Daten zu durchsuchen, zu speichern, zu teilen, zu sichern und zu verwalten.

Dateisysteme

Dateisysteme sind eine weitere Möglichkeit, unstrukturierte Daten zu speichern und zu steuern, wie sie abgerufen werden. Ohne ein Dateisystem wären die Informationen auf einem Speichermedium ein großer Datenblock ohne Anzeichen dafür, wo ein Informationsstück endet und das nächste beginnt. Die Aufteilung der Daten in Stücke und die Benennung jedes einzelnen Stücks macht es viel einfacher, die Informationen zu isolieren und zu identifizieren.

Dateisysteme können auf vielen verschiedenen Medien verwendet werden, wie SSDs, Magnetbänder und optische Datenträger. Die Art des Dateisystems hängt vom verwendeten Betriebssystem ab. Zum Beispiel verwendet Linux Dateisysteme wie die ext-Familie, xfs und jfs; Windows OS verwendet fat, fat32 und ntfs; und MacOS verwendet apfs und hfs+.

2. Identifizieren und klassifizieren Sie sensible Daten

Um Ihre Daten effektiv zu schützen, müssen Sie genau wissen, welche Arten von Daten Sie haben. Technologie zur Datenerkennung durchsucht Ihre Datenrepositories und berichtet über die Ergebnisse. Von dort aus können Sie die Daten mit einem Datenklassifizierungsprozess in Kategorien organisieren. Eine Engine zur Datenerkennung verwendet normalerweise reguläre Ausdrücke für ihre Suchvorgänge, was mehr Flexibilität ermöglicht.

Die Verwendung von Technologien zur Datenentdeckung und -klassifizierung hilft Ihnen zu kontrollieren, ob Benutzer auf kritische Daten zugreifen können und verhindert, dass diese an unsicheren Orten gespeichert werden, wodurch das Risiko einer unsachgemäßen Datenfreigabe und Datenverlust verringert wird. Alle kritischen oder sensiblen Daten sollten deutlich mit einer digitalen Signatur gekennzeichnet sein, die ihre Klassifizierung anzeigt, damit Sie sie entsprechend ihrem Wert für die Organisation schützen können. Drittanbieter-Tools, wie Netwrix Data Classification, können die Datenentdeckung und -klassifizierung erleichtern und genauer machen.

Daten sollten basierend auf ihrer Sensibilität und ihrem Wert klassifiziert werden. Zum Beispiel können Daten in die folgenden Kategorien eingeteilt werden:

  • Öffentliche Daten — Daten, die keinen besonderen Schutz benötigen und frei geteilt werden können.
  • Private Daten — Daten, auf die Mitarbeiter zugreifen dürfen, die jedoch vor der breiten Öffentlichkeit geschützt werden sollten.
  • Vertrauliche Daten — Informationen, die nur mit ausgewählten Benutzern geteilt werden dürfen, wie zum Beispiel Eigentumsinformationen und Geschäftsgeheimnisse.
  • Eingeschränkte Daten — Hochsensible Daten, wie medizinische Unterlagen und Finanzinformationen, die durch Vorschriften geschützt sind.

Es sollten Kontrollmechanismen vorhanden sein, um zu verhindern, dass Benutzer die Klassifizierungsstufe von Daten unsachgemäß ändern. Insbesondere sollten nur ausgewählte Benutzer in der Lage sein, eine Klassifizierung herabzustufen, da dies die Daten einer breiteren Verfügbarkeit aussetzt.

Folgen Sie diesen Richtlinien um eine starke Datenklassifizierungspolitik zu erstellen. Und vergessen Sie nicht, die Datenentdeckung und -klassifizierung als Teil Ihres IT-Risikobewertungsprozesses durchzuführen.

3. Erstellen Sie eine Richtlinie zur Datennutzung

Natürlich ist die Datenklassifizierung allein nicht ausreichend; Sie benötigen auch eine Richtlinie, die Zugriffsarten, Bedingungen für den Datenzugriff basierend auf der Klassifizierung, wer Zugang zu Daten hat, was eine korrekte Datennutzung darstellt und so weiter festlegt. Vergessen Sie nicht, dass alle Verstöße gegen die Richtlinie klare Konsequenzen haben sollten.

4. Implementieren Sie Zugriffskontrollen

Sie müssen auch angemessene Zugriffskontrollen anwenden, um den Zugriff auf Ihre Daten einzuschränken, einschließlich der Anforderung einer Authentifizierung für den Zugriff auf Daten, die nicht öffentlich sind. Die Zugriffsrechte sollten dem Prinzip der geringsten Berechtigung folgen: Jeder Benutzer erhält nur die für die Ausführung seiner zugewiesenen Aufgaben unerlässlichen Privilegien.

Zugangskontrollen können physisch, technisch oder administrativ sein:

Administrative Kontrollen

Administrative Zugriffskontrollen sind Verfahren und Richtlinien, die alle Mitarbeiter befolgen müssen. Eine Sicherheitsrichtlinie kann Aktionen auflisten, die als akzeptabel angesehen werden, das Risikoniveau, das das Unternehmen zu übernehmen bereit ist, die Strafen im Falle eines Verstoßes usw. Die Richtlinie wird normalerweise von einem Experten erstellt, der die Geschäftsziele und die anwendbaren Compliance-Vorschriften versteht. Wichtige Bestandteile administrativer Kontrollen umfassen:

  • Aufsichtsstruktur —Fast alle Organisationen machen Manager für die Aktivitäten ihrer Mitarbeiter verantwortlich: Wenn ein Mitarbeiter eine administrative Kontrolle verletzt, wird auch der Vorgesetzte zur Verantwortung gezogen.
  • Schulung — Alle Benutzer sollten über die Datenschutzrichtlinien des Unternehmens aufgeklärt werden und wissen, dass das Unternehmen diese aktiv durchsetzen wird. Darüber hinaus sollten Benutzer regelmäßig erneut geschult und getestet werden, um ihr Verständnis zu festigen und zu überprüfen. Benutzer müssen auch über ihren Zugriffsgrad auf Daten und alle relevanten Verantwortlichkeiten informiert werden.
  • Verfahren bei Mitarbeiteraustritt — Um Ihre Systeme und Daten zu schützen, ist es entscheidend, dass ausscheidende Mitarbeiter den Zugang zu Ihrer IT-Infrastruktur verlieren. Arbeiten Sie mit der Personalabteilung zusammen, um ein effektives Verfahren zur Benutzerabmeldung zu entwickeln, das diesen Best Practices zur Benutzerabmeldung folgt.

Technische Kontrollen

Datenspeicherung

In den meisten Fällen sollten Benutzer nicht erlaubt sein, sensible Daten lokal zu kopieren oder zu speichern. Stattdessen sollten sie gezwungen werden, die Daten remote zu bearbeiten. Der Cache sowohl des Clients als auch des Servers sollte nach dem Abmelden eines Benutzers oder wenn eine Sitzung abläuft, gründlich gereinigt werden; andernfalls sollten verschlüsselte RAM-Laufwerke verwendet werden. Sensible Daten sollten niemals auf einem tragbaren System jeglicher Art gespeichert werden. Alle Systeme sollten eine Anmeldung erfordern und Bedingungen beinhalten, die das System sperren, falls es verdächtig verwendet wird.

Berechtigungen

Benutzerberechtigungen sollten streng nach dem Prinzip der geringsten Berechtigung erteilt werden. Hier sind die grundlegenden Dateiberechtigungen in Microsoft-Betriebssystemen:

  • Vollzugriff — Der Benutzer kann Dateien lesen, ausführen, ändern und löschen; Berechtigungen zuweisen; und Eigentum übernehmen.
  • Ändern — Der Benutzer kann die Datei lesen, schreiben und löschen.
  • Lesen und Ausführen — Der Benutzer kann die ausführbare Datei lesen und ausführen.
  • Lesen — Der Benutzer kann die Datei lesen, aber nicht modifizieren.
  • Schreiben — Der Benutzer kann die Datei lesen und ändern, aber nicht löschen.

Ordner haben dieselben Berechtigungen, zuzüglich der list folder contents-Berechtigung, die es dem Benutzer erlaubt zu sehen, was sich im Ordner befindet, aber nicht die Dateien zu lesen.

Zugriffskontrolllisten

Eine Zugriffskontrollliste (ACL) ist eine Liste, die festlegt, wer auf welche Ressource und auf welchem Niveau zugreifen kann. Sie kann ein interner Teil eines Betriebssystems oder einer Anwendung sein. Zum Beispiel könnte eine benutzerdefinierte Anwendung eine ACL enthalten, die auflistet, welche Benutzer welche Berechtigungen in diesem System haben.

ACLs können auf Whitelists oder Blacklists basieren. Eine Whitelist ist eine Liste von erlaubten Elementen, wie zum Beispiel eine Liste von Webseiten, die Benutzer mit Firmencomputern besuchen dürfen, oder eine Liste von Drittanbieter-Software, die auf Firmencomputern installiert werden darf. Eine Blacklist ist eine Liste von verbotenen Dingen, wie bestimmte Webseiten, die Mitarbeiter nicht besuchen dürfen, oder Software, die auf Kundencomputern nicht installiert werden darf. 

Im Dateimanagement sind Whitelist-ACLs häufiger anzutreffen. Sie werden auf Dateisystemebene konfiguriert. Zum Beispiel können Sie in Microsoft Windows NTFS-Berechtigungen konfigurieren und daraus NTFS-Zugriffskontrolllisten erstellen. Weitere Informationen zur korrekten Konfiguration von NTFS-Berechtigungen finden Sie in dieser Liste der NTFS permissions management best practices. Denken Sie daran, dass Zugriffskontrollen in jeder Anwendung implementiert werden sollten, die rollenbasierte Zugriffskontrolle (RBAC) verwendet, wie zum Beispiel Active Directory groups und delegation.

Sicherheitsgeräte und -methoden

Bestimmte Geräte und Systeme helfen Ihnen dabei, den Zugriff auf Daten weiter einzuschränken. Hier sind die am häufigsten implementierten:

  • Data loss prevention (DLP) — Diese Systeme überwachen Arbeitsstationen, Server und Netzwerke, um sicherzustellen, dass sensible Daten nicht gelöscht, entfernt, verschoben oder kopiert werden. Sie überwachen auch, wer die Daten verwendet und überträgt, um unbefugte Nutzung zu erkennen.
  • Firewall — Eine Firewall isoliert ein Netzwerk von einem anderen. Firewalls können eigenständige Systeme sein oder in andere Infrastrukturkomponenten wie Router oder Server integriert werden. Firewall-Lösungen sind sowohl als Hardware als auch als Software verfügbar. Firewalls verhindern, dass unerwünschter Datenverkehr in das Netzwerk der Organisation eindringt, was hilft, Malware oder Hacker daran zu hindern, Daten an nicht autorisierte Drittanbieter-Server weiterzuleiten. Je nach Firewall-Richtlinie der Organisation kann die Firewall bestimmten oder allen Datenverkehr komplett untersagen oder sie kann bestimmten oder allen Datenverkehr erst nach Überprüfung zulassen.
  • Netzwerkzugriffskontrolle (NAC) — NAC (Network Access Control) beinhaltet die Einschränkung des Zugriffs auf Netzwerkressourcen für Endgeräte, die den Sicherheitsrichtlinien entsprechen. NAC kann verhindern, dass unautorisierte Geräte direkt über Ihr Netzwerk auf Daten zugreifen. Einige NAC-Lösungen können einen nicht konformen Knoten automatisch beheben, um sicherzustellen, dass er sicher ist, bevor der Zugriff gewährt wird. NAC ist besonders nützlich in Umgebungen, die relativ statisch und streng kontrolliert sind, wie etwa in Unternehmen und Regierungsbehörden. In Umgebungen mit einer vielfältigen und sich häufig ändernden Benutzer- und Gerätebasis kann es jedoch weniger praktikabel sein.
  • Proxyserver — Diese Geräte fungieren als Vermittler, wenn Client-Software Ressourcen von anderen Servern anfordert. In diesem Prozess verbindet sich ein Client mit dem Proxyserver und fordert eine bestimmte Dienstleistung an (zum Beispiel eine Webseite). Der Proxyserver bewertet die Anfrage und erlaubt oder verweigert sie dann. Proxyserver werden üblicherweise für die Filterung von Datenverkehr und die Verbesserung der Leistung verwendet. Proxygeräte können den Zugriff auf Ihre sensiblen Daten aus dem Internet einschränken.

Physische Kontrollen

Obwohl physische Sicherheit in Diskussionen über Datensicherheit oft übersehen wird, könnte ihre Nichtimplementierung dazu führen, dass Ihre Daten oder sogar Ihr Netzwerk vollständig kompromittiert werden. Jeder Arbeitsplatz sollte so gesichert werden, dass er nicht aus dem Bereich entfernt werden kann. Jedes Computergehäuse sollte ebenfalls abgeschlossen sein, damit Festplatten oder andere Speicherkomponenten nicht entfernt und kompromittiert werden können. Es ist auch eine gute Praxis, ein BIOS-Passwort zu implementieren, um zu verhindern, dass Angreifer mit Hilfe von Wechselmedien in andere Betriebssysteme booten können.

Sicherheit für Laptops und Mobilgeräte

Wenn ein Firmenlaptop verloren geht oder gestohlen wird, können böswillige Parteien möglicherweise auf die Daten auf seiner Festplatte zugreifen. Daher sollte auf jedem von einer Organisation verwendeten Laptop eine vollständige Festplattenverschlüsselung eingesetzt werden. Vermeiden Sie auch die Nutzung öffentlicher WLAN-Hotspots ohne zuvor einen sicheren Kommunikationskanal wie VPN oder SSH zu verwenden. Kontozugangsdaten können leicht gekapert werden durch drahtlose Angriffe und können dazu führen, dass ganze Netzwerke kompromittiert werden. 

Mobile Geräte können Viren oder andere Schadsoftware in das Netzwerk einer Organisation einschleusen und sensible Daten von Ihren Servern extrahieren. Aufgrund dieser Bedrohungen müssen mobile Geräte besonders streng kontrolliert werden. Geräte, die eine Verbindung herstellen dürfen, sollten auf Viren gescannt und Wechseldatenträger sollten verschlüsselt werden.

Es ist wichtig, Ihre Sicherheitsrichtlinien auf Daten auszurichten und nicht auf den Gerätetyp, auf dem sie gespeichert sind. Smartphones enthalten oft sensible Informationen, sind jedoch in der Regel weniger geschützt als Laptops, selbst wenn sie dieselben Informationen enthalten. Alle mobilen Geräte, die auf sensible Daten zugreifen können, sollten gleichermaßen komplexe Passwörter erfordern und dieselben Zugriffskontrollen und Schutzsoftware verwenden.

Smartphones mit einer hochwertigen Kamera und Mikrofon sind eine weitere häufige Quelle für Datenlecks. Es ist sehr schwierig, Ihre Dokumente vor Insidern mit diesen mobilen Geräten zu schützen oder eine Person zu entdecken, die ein Foto von einem Monitor oder einer Tafel mit sensiblen Daten macht. Dennoch sollten Sie eine Richtlinie haben, die die Verwendung von Kameras im Gebäude verbietet.

Netzwerksegmentierung

Die Netzwerksegmentierung beinhaltet die Aufteilung eines Netzwerks in funktionale Zonen. Jeder Zone können unterschiedliche Regeln der Netwrix Data Classification zugewiesen werden, auf ein angemessenes Sicherheitsniveau eingestellt und entsprechend überwacht werden.

Segmentierung begrenzt den potenziellen Schaden eines Sicherheitsvorfalls auf eine einzelne Zone. Im Wesentlichen teilt sie ein Ziel in viele auf, wodurch Angreifer zwei Möglichkeiten haben: Jedes Segment als separates Netzwerk behandeln oder eines kompromittieren und versuchen, die Trennung zu überwinden. Keine der Optionen ist attraktiv. Jedes Segment als separates Netzwerk zu behandeln, erzeugt eine Menge zusätzlicher Arbeit, da der Angreifer jedes Segment einzeln kompromittieren muss; dieser Ansatz erhöht auch dramatisch die Wahrscheinlichkeit, dass der Angreifer entdeckt wird. Der Versuch, von einer kompromittierten Zone in andere Zonen zu springen, ist ebenfalls schwierig, denn wenn die Segmente effektiv gestaltet sind, kann der Netzwerkverkehr zwischen ihnen eingeschränkt werden. Obwohl es immer Ausnahmen gibt — wie die Kommunikation mit Domänenservern für zentrales Account-Management — ist dieser begrenzte Verkehr leichter zu identifizieren.

Videoüberwachung

Alle kritischen Einrichtungen Ihres Unternehmens sollten mit Videokameras überwacht werden, die über Bewegungssensoren und Nachtsicht verfügen. Dies ist wesentlich, um unbefugte Eindringlinge zu erfassen, die versuchen, direkt auf Ihre Dateiserver, Archive oder Backups zuzugreifen, und um jeden zu erkennen, der möglicherweise in eingeschränkten Bereichen sensible Daten fotografiert.

Sperren und Recycling

Ihr Arbeitsbereich und jegliche Ausrüstung darin sollten gesichert werden, bevor Sie diesen unbeaufsichtigt lassen. Überprüfen Sie beispielsweise Türen, Schreibtischschubladen und Fenster und lassen Sie keine Papiere auf Ihrem Schreibtisch liegen. Alle Hardcopies sensibler Daten sollten verschlossen und dann vernichtet werden, wenn sie nicht mehr benötigt werden. Teilen oder duplizieren Sie auch niemals Zugangsschlüssel, Ausweise, Schlosscodes oder andere Zugangsgeräte.

Bevor Sie eine Festplatte entsorgen oder recyceln, löschen Sie alle Informationen vollständig und stellen Sie sicher, dass die Daten nicht mehr wiederhergestellt werden können. Alte Festplatten und andere IT-Geräte, die kritische Informationen enthielten, sollten physisch zerstört werden; weisen Sie einem bestimmten IT-Ingenieur zu, diesen Prozess persönlich zu übernehmen.

5. Implementieren Sie das Change Management und die Datenbanküberwachung

Eine weitere wichtige Sicherheitsmaßnahme ist das Verfolgen aller Datenbank- und Dateiserveraktivitäten, um Zugriffe und Änderungen an sensiblen Informationen und zugehörigen Berechtigungen zu erkennen. Die Anmeldeaktivität sollte mindestens ein Jahr lang für Sicherheitsaudits aufbewahrt werden. Jedes Konto, das die maximale Anzahl fehlgeschlagener Anmeldeversuche überschreitet, sollte automatisch dem Informationssicherheitsadministrator zur Untersuchung gemeldet werden.

Die Verwendung historischer Informationen, um zu verstehen, welche Daten sensibel sind, wie sie verwendet werden, wer sie verwendet und wo sie sich befinden, hilft Ihnen dabei, genaue und wirksame Richtlinien zu erstellen und vorauszusehen, wie Veränderungen in Ihrer Umgebung die Sicherheit beeinflussen könnten. Dieser Prozess kann Ihnen auch dabei helfen, bisher unbekannte Risiken zu identifizieren. Es gibt Drittanbieter-Tools, die das Änderungsmanagement und die Überwachung von Benutzeraktivitäten vereinfachen, wie zum Beispiel Netwrix Auditor.

6. Verwenden Sie Datenverschlüsselung

Verschlüsselung ist eine der grundlegendsten Best Practices für die Datensicherheit. Alle kritischen Geschäftsdaten sollten verschlüsselt werden, sowohl im Ruhezustand als auch während der Übertragung, egal ob über tragbare Geräte oder über das Netzwerk. Tragbare Systeme sollten verschlüsselte Festplattenlösungen verwenden, wenn sie wichtige Daten jeglicher Art speichern. Das Verschlüsseln der Festplatten von Desktop-Systemen, die kritische oder firmeneigene Informationen speichern, hilft dabei, kritische Informationen zu schützen, selbst wenn physische Geräte gestohlen werden.

Encrypting File System (EFS)

Die grundlegendste Methode, um Daten auf Ihren Windows-Systemen zu verschlüsseln, ist die Encrypting File System (EFS)-Technologie. Wenn Sie EFS verwenden, um Daten zu schützen, können unbefugte Benutzer den Inhalt einer Datei nicht einsehen, selbst wenn sie vollen Zugriff auf das Gerät haben. Wenn ein autorisierter Benutzer eine verschlüsselte Datei öffnet, entschlüsselt EFS die Datei im Hintergrund und stellt der Anwendung eine unverschlüsselte Kopie zur Verfügung. Autorisierte Benutzer können die Datei einsehen oder ändern, und EFS speichert Änderungen transparent als verschlüsselte Daten. Versuchen unbefugte Benutzer dasselbe, erhalten sie eine Fehlermeldung „Zugriff verweigert“.

Ein weiteres Verschlüsselungstool von Microsoft ist BitLocker. BitLocker ergänzt EFS, indem es eine zusätzliche Schutzebene für auf Windows-Geräten gespeicherte Daten bietet. BitLocker schützt verlorene oder gestohlene Geräte vor Datendiebstahl oder -exposition und bietet eine sichere Datenentsorgung, wenn Sie ein Gerät außer Betrieb nehmen.

Hardware-basierte Verschlüsselung

Eine hardwarebasierte Verschlüsselung kann zusätzlich zu einer softwarebasierten Verschlüsselung angewendet werden. In den erweiterten Konfigurationseinstellungen einiger BIOS-Konfigurationsmenüs können Sie wählen, ob Sie ein Trusted Platform Module (TPM) aktivieren oder deaktivieren möchten. Ein TPM ist ein Chip, der auf einem Motherboard installiert sein kann und kryptografische Schlüssel, Passwörter oder Zertifikate speichern kann. Ein TPM kann zur Unterstützung bei der Erzeugung von Hash-Schlüsseln verwendet werden und um Smartphones und andere Geräte als PCs zu schützen. Es kann auch verwendet werden, um Werte für die Verschlüsselung ganzer Festplatten zu generieren, wie zum Beispiel BitLocker.

7. Sichern Sie Ihre Daten

Kritische Geschäftsressourcen sollten dupliziert werden, um Redundanz zu bieten und als Backups zu dienen. Auf der grundlegendsten Ebene erfordert die Fehlertoleranz eines Servers eine Datensicherung. Backups sind die periodische Archivierung von Daten, sodass Sie diese im Falle eines Serverausfalls wiederherstellen können. Aus Sicherheitssicht gibt es drei primäre Backup-Typen:

  • Vollständig — Alle Daten werden archiviert. Eine vollständige Sicherung ist sehr zeitaufwendig und ressourcenintensiv, und sie wird die Serverleistung erheblich beeinträchtigen.
  • Differential — Alle Änderungen seit der letzten Vollsicherung werden archiviert. Sie haben zwar nicht so große Auswirkungen wie die Vollsicherungen, werden Ihr Netzwerk dennoch verlangsamen.
  • Inkrementell — Alle Änderungen seit der letzten Sicherung jeglicher Art werden archiviert.

Normalerweise verwenden Organisationen eine Kombination dieser Backup-Typen. Zum Beispiel könnten Sie jeden Tag um Mitternacht ein vollständiges Backup durchführen und danach alle zwei Stunden ein differentielles oder inkrementelles Backup. Wenn das System kurz nach Mitternacht abstürzt, können Sie das letzte vollständige Backup wiederherstellen; wenn es später am Tag abstürzt, müssen Sie eine Kombination von Backups verwenden.

Welche Backup-Strategie Sie auch wählen, Sie müssen sie regelmäßig testen, indem Sie die Backup-Daten auf einer Testmaschine wiederherstellen. Eine weitere wichtige Best Practice ist es, Ihre Backups an verschiedenen geografischen Standorten zu speichern, um sicherzustellen, dass Sie sich von Katastrophen wie Hurrikans, Bränden oder Festplattenausfällen erholen können.

8. Verwenden Sie RAID auf Ihren Servern

Ein grundlegendes Werkzeug für Fehlertoleranz, RAID ist ein redundantes Array unabhängiger Festplatten, das Ihren Servern ermöglicht, mehr als eine Festplatte zu haben, um sicherzustellen, dass das System auch dann funktioniert, wenn die Hauptfestplatte ausfällt. Die primären RAID-Level werden hier beschrieben:

  • RAID 0 (gestreifte Disks) — Daten werden über mehrere Disks verteilt, um die Geschwindigkeit (Lese-/Schreibperformance) zu verbessern, bieten jedoch keine Fehlertoleranz. Mindestens zwei Disks werden benötigt.
  • RAID 1 — Dieses RAID-Level führt Fehlertoleranz durch Spiegelung ein: Für jede für den Betrieb benötigte Festplatte gibt es eine identische gespiegelte Festplatte. Dies erfordert mindestens zwei Festplatten und weist 50 Prozent der Gesamtkapazität für Daten und die anderen 50 Prozent für die Spiegel zu. Wenn RAID 1 verwendet wird, bleibt das System auch bei Ausfall des primären Laufwerks über das Backup-Laufwerk in Betrieb. Sie können einen weiteren Controller zu RAID 1 hinzufügen, was als „Duplexing“ bezeichnet wird.
  • RAID 3 oder 4 (gestreifte Disks mit dedizierter Parität) — Daten werden auf drei oder mehr Disks verteilt. Eine dedizierte Disk wird verwendet, um Paritätsinformationen zu speichern, was die Speicherkapazität des Arrays um eine Disk reduziert. Folglich geht bei einem Diskausfall nur ein Teil der Daten verloren. Die Daten auf den anderen Disks zusammen mit den Paritätsinformationen ermöglichen die Wiederherstellung der Daten.
  • RAID 5 (gestreifte Disks mit verteilter Parität) — Dieses RAID-Level kombiniert drei oder mehr Disks so, dass Daten gegen den Verlust einer beliebigen Disk geschützt sind. Es ähnelt RAID 3, jedoch wird die Parität über das gesamte Laufwerksarray verteilt. Auf diese Weise müssen Sie keine ganze Disk nur für die Speicherung von Paritätsbits reservieren.
  • RAID 6 (gestreifte Disks mit doppelter Parität) — Dieses RAID-Level kombiniert vier oder mehr Disks und fügt einen zusätzlichen Paritätsblock zu RAID 5 hinzu, um Daten selbst dann zu schützen, wenn das System zwei Disks verliert. Jeder Paritätsblock wird über das gesamte Laufwerksarray verteilt, sodass keine spezifische Festplatte eine dedizierte Parität hat.
  • RAID 1+0 (oder 10) — Dieses RAID-Level ist ein gespiegelter Datensatz (RAID 1), der dann gestreift wird (RAID 0), daher der Name „1+0“. Man kann es sich als einen „Streifen von Spiegeln“ vorstellen. Ein RAID 1+0-Array benötigt mindestens vier Laufwerke: zwei gespiegelte Laufwerke für die Hälfte der gestreiften Daten und weitere zwei gespiegelte Laufwerke für die andere Hälfte der Daten.
  • RAID 0+1 — Dieses RAID-Level ist das Gegenteil von RAID 1+0. Hier werden die Streifen gespiegelt. Ein RAID 0+1-Array benötigt mindestens vier Laufwerke: zwei gespiegelte Laufwerke, um die Daten auf dem RAID 0-Array zu replizieren.

9. Verwenden Sie Clustering und Lastausgleich.

RAID leistet hervorragende Arbeit beim Schutz von Daten auf Systemen, die Sie dann mit regelmäßigen Backups weiter absichern können. Aber manchmal müssen Sie über einzelne Systeme hinauswachsen. Mehrere Computer zu verbinden, um gemeinsam als ein einziger Server zu arbeiten, wird als „Clustering“ bezeichnet. Cluster-Systeme nutzen parallele Verarbeitung, was die Leistung und Verfügbarkeit verbessert und Redundanz hinzufügt (sowie Kosten).

Systeme können auch durch Lastverteilung eine hohe Verfügbarkeit erreichen. Dies ermöglicht es Ihnen, die Arbeitslast auf mehrere Computer zu verteilen — oft Server, die HTTP-Anfragen beantworten (häufig als Serverfarm bezeichnet), die sich möglicherweise nicht am gleichen geografischen Standort befinden. Wenn Sie Standorte aufteilen, werden sie zu einem „Spiegelsite“. Diese gespiegelte Kopie kann helfen, Ausfallzeiten zu verhindern und geografische Redundanz hinzuzufügen, um schnellere Antworten auf Anfragen zu ermöglichen.

10. Sichern Sie Ihre Systeme ab

Jede Technologie, die sensible Daten speichern könnte, auch nur vorübergehend, sollte angemessen gesichert werden, basierend auf der Art von Informationen, auf die das System potenziell Zugriff haben könnte. Dies schließt alle externen Systeme ein, die aus der Ferne mit erheblichen Privilegien auf Ihr internes Netzwerk zugreifen könnten. Allerdings muss die Benutzerfreundlichkeit immer noch berücksichtigt werden, wobei Funktionalität und Sicherheit angemessen bestimmt und ausgewogen sein müssen.

Betriebssystem-Baseline

Der erste Schritt zur Sicherung Ihrer Systeme besteht darin, sicherzustellen, dass das Betriebssystem so sicher wie möglich konfiguriert ist. Standardmäßig führen die meisten Betriebssysteme unnötige Dienste aus, die Angreifern zusätzliche Wege bieten, Ihr System zu kompromittieren. Die einzigen Programme und lauschenden Dienste, die aktiviert sein sollten, sind diejenigen, die für Ihre Mitarbeiter zur Ausübung ihrer Arbeit unerlässlich sind. Wenn etwas keinen geschäftlichen Zweck hat, sollte es deaktiviert werden. Es kann auch vorteilhaft sein, ein sicheres Basis-OS-Image für typische Mitarbeiter zu erstellen. Falls jemand zusätzliche Funktionalitäten benötigt, können diese Dienste oder Programme auf Einzelfallbasis aktiviert werden.

Windows- und Linux-Betriebssysteme haben jeweils ihre eigenen spezifischen Absicherungskonfigurationen.

Windows

Windows ist bei weitem das beliebteste Betriebssystem für Verbraucher und Unternehmen gleichermaßen. Aber gerade deshalb ist es auch das am meisten angegriffene Betriebssystem, mit fast wöchentlich neuen Schwachstellen. Es gibt verschiedene Windows-Versionen, die in Organisationen verwendet werden, daher können einige der hier erwähnten Konfigurationen nicht auf alle zutreffen. Hier sind einige Verfahren, die durchgeführt werden sollten, um die Sicherheit zu erhöhen:

  • Deaktivieren Sie die LanMan-Authentifizierung.
  • Stellen Sie sicher, dass alle Konten Passwörter haben, unabhängig davon, ob das Konto aktiviert oder deaktiviert ist.
  • Deaktivieren oder beschränken Sie Berechtigungen auf Netzwerkfreigaben.
  • Entfernen Sie alle nicht benötigten Dienste, insbesondere die Klartextprotokolle Telnet und FTP.
  • Aktivieren Sie die Protokollierung für wichtige Systemereignisse.

Sie können weitere Best Practices zur Absicherung von Windows in dieser Windows Server hardening checklist finden.

Linux

Das Linux-Betriebssystem ist in den letzten Jahren beliebter geworden. Auch wenn einige behaupten, dass es sicherer als Windows ist, müssen dennoch einige Dinge getan werden, um es richtig abzusichern:

  • Deaktivieren Sie unnötige Dienste und Ports.
  • Deaktivieren Sie die Vertrauensauthentifizierung, die von „r Befehlen“ verwendet wird.
  • Deaktivieren Sie unnötige setuid- und setgid-Programme.
  • Konfigurieren Sie Benutzerkonten nur für die notwendigen Benutzer neu.

Webserver

Dank ihrer weiten Netzwerkreichweite sind Webserver ein bevorzugtes Ziel für Angreifer. Wenn ein Angreifer Zugang zu einem beliebten Webserver erhält und dort eine Schwachstelle ausnutzt, kann er Tausende (wenn nicht Hunderttausende) von Website-Besuchern und deren Daten erreichen. Indem ein Angreifer einen Webserver ins Visier nimmt, kann er alle Verbindungen von den Webbrowsern der Benutzer beeinträchtigen und Schaden anrichten, der weit über den einen kompromittierten Rechner hinausgeht.

Webserver waren ursprünglich einfach konzipiert und dienten hauptsächlich dazu, HTML-Text und Grafikinhalte bereitzustellen. Moderne Webserver ermöglichen mittlerweile den Datenbankzugriff, Chat-Funktionalitäten, Streaming-Medien und viele weitere Dienste. Doch jeder Dienst und jede Fähigkeit, die auf einer Website unterstützt wird, ist ein potentielles Ziel. Stellen Sie sicher, dass sie stets den neuesten Softwarestandards entsprechen. Sie müssen auch sicherstellen, dass Sie den Benutzern nur die Berechtigungen geben, die notwendig sind, um ihre Aufgaben zu erfüllen. Wenn Benutzer über anonyme Konten auf Ihren Server zugreifen, dann müssen Sie sicherstellen, dass sie die Berechtigungen haben, die zum Ansehen von Webseiten erforderlich sind und nicht mehr.

Zwei besondere Interessensgebiete für Webserver sind Filter und die Kontrolle des Zugriffs auf ausführbare Skripte:

  • Filters allow you to limit what traffic is allowed through. Limiting traffic to only what is required for your business can help ward off attacks. Filters can also be applied to your network to prevent users from accessing inappropriate or non-work related sites. Not only does this increase productivity, it also reduces the likelihood of users downloading a virus from a questionable site.
  • Ausführbare Skripte, wie solche, die in PHP, Python, verschiedenen Java-Varianten und Common Gateway Interface (CGI) Skripten geschrieben sind, laufen oft mit erhöhten Berechtigungsstufen. Unter den meisten Umständen ist dies kein Problem, da der Benutzer nach der Ausführung des Skripts wieder auf seine reguläre Berechtigungsstufe zurückgesetzt wird. Probleme entstehen jedoch, wenn der Benutzer während der erhöhten Berechtigungsstufe aus dem Skript ausbrechen kann. Für Administratoren ist der beste Weg, sicherzustellen, dass alle Skripte auf Ihrem Server gründlich getestet, debuggt und für den Einsatz freigegeben wurden.

E-Mail-Server

E-Mail-Server stellen das Kommunikationsrückgrat für viele Unternehmen dar. Sie laufen typischerweise als zusätzlicher Dienst auf einem Server oder als dedizierte Systeme. Das Hinzufügen eines aktiven Virenscanners zu E-Mail-Servern kann die Anzahl der in Ihr Netzwerk eingeführten Viren reduzieren und verhindern, dass Viren durch Ihren E-Mail-Server verbreitet werden. Es ist jedoch zu beachten, dass die meisten Scanner Microsofts offene Dateien nicht lesen können; um Exchange-Mail-Speicher zu scannen, benötigen Sie einen spezifischen E-Mail-AV-Scanner, von denen einige sogar Phishing und andere Social-Engineering-Angriffe mittels maschinellem Lernen erkennen können.

E-Mail-Server werden häufig von automatisierten Systemen überflutet, die versuchen, sie zum Versenden von Spam zu nutzen. Obwohl die meisten E-Mail-Server Maßnahmen gegen diese Bedrohungen implementiert haben, werden sie zunehmend ausgeklügelter. Sie können die Versuche, auf Ihr System zuzugreifen, möglicherweise reduzieren, indem Sie die TCP/IP-Adressen der Angreifer in die ACL-Deny-Liste Ihres Routers eintragen. Dadurch wird Ihr Router dazu veranlasst, Verbindungsanfragen von diesen IP-Adressen zu ignorieren, was Ihre Sicherheit effektiv verbessert. Sie können diese Richtlinie auch mit Spamfiltern einrichten.

FTP-Server

File Transfer Protocol (FTP)-Server sind aufgrund ihrer inhärenten Schwächen nicht für Anwendungen mit hoher Sicherheit gedacht. Während die meisten FTP-Server es Ihnen erlauben, Dateibereiche auf jedem Systemlaufwerk zu erstellen, ist es weitaus sicherer, ein separates Laufwerk oder Unterverzeichnis für Dateiübertragungen zu erstellen. Wenn möglich, verwenden Sie ein virtuelles privates Netzwerk (VPN) oder Secure Shell (SSH)-Verbindungen für FTP-bezogene Aktivitäten. FTP ist berüchtigt unsicher und ausnutzbar; viele FTP-Systeme senden Konten- und Passwortinformationen unverschlüsselt über das Netzwerk.

Für maximale Betriebssicherheit verwenden Sie separate Anmeldekonten und Passwörter für den FTP-Zugriff. Dadurch wird verhindert, dass Systemkonten unbefugten Personen offengelegt werden. Scannen Sie außerdem regelmäßig alle Dateien auf FTP-Servern auf Viren.

Um FTP einfacher nutzbar zu machen, erlauben die meisten Server standardmäßig den anonymen Zugriff. Diese anonymen Konten sollten jedoch immer deaktiviert werden. Aus Sicherheitsgründen ist das Letzte, was Sie möchten, dass anonyme Benutzer Dateien zu und von Ihren Servern kopieren können. Sobald der anonyme Zugriff deaktiviert ist, wird das System verlangen, dass der Benutzer ein bekannter, authentifizierter Benutzer ist, um darauf zugreifen zu können.

Aber der beste Weg, einen FTP-Server zu sichern, ist, ihn komplett zu ersetzen. Die gleiche Funktionalität findet sich in sichereren Diensten wie Secure File Transfer Protocol (SFTP).

11. Implementieren Sie eine angemessene Patch-Management-Strategie

Sie müssen eine Patch-Strategie sowohl für Ihre Betriebssysteme als auch für Ihre Anwendungen haben. Es kann mühsam sein, sicherzustellen, dass alle Versionen der Anwendungen in Ihrer IT-Umgebung auf dem neuesten Stand sind, aber es ist unerlässlich für den Datenschutz. Eine der besten Methoden, um Sicherheit zu gewährleisten, ist die Aktivierung automatischer Antivirus- und Systemupdates. Für kritische Infrastrukturen müssen Patches gründlich getestet werden, um sicherzustellen, dass sie die Funktionalität nicht beeinträchtigen und keine Schwachstellen einführen.

Patch-Management für Betriebssysteme

Es gibt drei Arten von Betriebssystem-Patches, jeder mit einem unterschiedlichen Dringlichkeitsgrad:

  • Hotfix — Ein Hotfix ist ein sofortiger, dringender Patch. Im Allgemeinen repräsentieren diese ernsthafte Sicherheitsprobleme und sind nicht optional.
  • Patch — Ein Patch bietet zusätzliche Funktionen oder eine nicht dringende Fehlerbehebung. Diese sind manchmal optional.
  • Service Pack — Ein Service Pack ist die vollständige Sammlung aller Hotfixes und Patches bis zum aktuellen Datum. Diese sollten immer angewendet werden.

Testen Sie alle Patches, bevor Sie sie in der Produktion anwenden, um sicherzustellen, dass das Update keine Probleme verursacht.

Anwendungs-Patch-Management

Sie müssen auch regelmäßig Ihre Anwendungen aktualisieren und Patches anwenden. Sobald eine Schwachstelle in einer Anwendung entdeckt wird, kann ein Angreifer diese nutzen, um in ein System einzudringen oder es zu beschädigen. Die meisten Anbieter veröffentlichen regelmäßig Patches, und Sie sollten routinemäßig nach verfügbaren suchen. Viele Angriffe zielen heutzutage auf Client-Systeme ab, einfach aus dem Grund, dass Kunden das Patchen von Anwendungen nicht immer effektiv verwalten. Richten Sie Wartungstage ein, die dem Patchen und Testen all Ihrer kritischen Anwendungen gewidmet sind.

12. Schützen Sie Ihre Daten vor Bedrohungen durch Insider

Obwohl Organisationen weiterhin eine außergewöhnliche Menge an Zeit und Geld investieren, um ihre Netzwerke vor externen Angriffen zu schützen, sind Insider-Bedrohungen eine Hauptursache für Datenexpositionen. Eine Netwrix-Umfrage ergab, dass Insider-Vorfälle für mehr als 60 Prozent aller Angriffe verantwortlich sind; jedoch werden viele Insider-Angriffe aus Angst vor Geschäftsverlusten und Schäden am Ruf des Unternehmens nicht gemeldet.

Insider-Bedrohungen gibt es in zwei Formen. Eine autorisierte Insider-Bedrohung ist jemand, der seine Rechte und Privilegien missbraucht, sei es zufällig, absichtlich oder weil seine Anmeldeinformationen gestohlen wurden. Ein nicht autorisierter Insider ist jemand, der sich hinter den externen Abwehrmaßnahmen mit dem Netzwerk verbunden hat. Das könnte jemand sein, der sich in eine Buchse in der Lobby oder einem Konferenzraum eingesteckt hat, oder jemand, der auf ein ungeschütztes drahtloses Netzwerk zugreift, das mit dem internen Netzwerk verbunden ist. Insider-Angriffe können zu Datenverlust oder Ausfallzeiten führen, daher ist es genauso wichtig, die Aktivitäten in Ihrem Netzwerk genauso genau zu überwachen wie die Aktivitäten an der Peripherie.

Insider, die Remote-Zugriff nutzen

Da Benutzer zunehmend von zu Hause aus arbeiten, wird auch der Fernzugriff auf Unternehmensnetzwerke immer üblicher, daher ist es entscheidend, auch Fernverbindungen zu sichern. Starke Authentifizierungsprozesse sind beim Fernzugriff unerlässlich. Es ist auch wichtig, dass die für den Fernzugriff auf Netzwerke verwendeten Geräte ordnungsgemäß gesichert sind. Zusätzlich sollten Fernsitzungen ordnungsgemäß protokolliert oder sogar per Video aufgezeichnet werden.

13. Verwenden Sie Endpoint Security Systeme, um Ihre Daten zu schützen

Ihre Netzwerkendpunkte stehen unter ständigem Angriff, daher ist eine Sicherheitsinfrastruktur für Endpunkte entscheidend, um sich gegen Datenverletzungen, unautorisierte Programme und fortgeschrittene Schadsoftware wie Rootkits zu schützen. Mit der zunehmenden Nutzung mobiler Geräte erweitern sich die Netzwerkendpunkte und werden zunehmend undefinierter. Automatisierte Werkzeuge, die in Systemendpunkten residieren, sind wesentlich, um Schäden durch Malware zu mindern. Mindestens sollten Sie die folgenden Technologien verwenden:

Antivirensoftware

Antivirensoftware sollte auf allen Servern und Arbeitsstationen installiert und aktuell gehalten werden. Zusätzlich zur aktiven Überwachung eingehender Dateien sollte die Software regelmäßig Scans durchführen, um Infektionen zu erkennen, die möglicherweise durchgerutscht sind, wie zum Beispiel Ransomware.

Antispyware

Anti-Spyware und Anti-Adware-Tools sind dazu konzipiert, Spyware zu blockieren oder zu entfernen. Spyware ist eine Computer-Software, die ohne das Wissen des Benutzers installiert wird. In der Regel besteht ihr Ziel darin, Informationen über das Verhalten des Benutzers zu sammeln und persönliche Daten zu erfassen.

Antispyware-Tools funktionieren ähnlich wie Antivirenprogramme, und viele ihrer Funktionen überschneiden sich. Einige Antispyware-Programme sind in Antivirenpakete integriert, während andere als eigenständige Lösungen verfügbar sind. Unabhängig davon, welche Art von Schutz Sie verwenden, sollten Sie regelmäßig nach Spyware suchen – beispielsweise durch das Identifizieren und Entfernen von Tracking-Cookies auf Hosts.

Pop-up-Blocker

Pop-ups sind mehr als nur lästig – sie stellen ein Sicherheitsrisiko dar. Pop-ups (einschließlich Pop-Unders) stehen für unerwünschte Programme, die auf dem System ausgeführt werden, und können somit dessen Sicherheit und Stabilität gefährden.

Hostbasierte Firewalls

Persönliche Firewalls sind softwarebasierte Firewalls, die auf jedem Computer im Netzwerk installiert werden. Sie funktionieren ähnlich wie größere Perimeter-Firewalls, indem sie bestimmte Datenpakete filtern, um zu verhindern, dass diese Ihr System verlassen oder erreichen. Viele sehen möglicherweise keine Notwendigkeit für persönliche Firewalls, insbesondere in Unternehmensnetzwerken mit großen, dedizierten Firewalls. Allerdings können diese großen Firewalls nichts gegen interne Angriffe unternehmen, die im Gegensatz zu Angriffen aus dem Internet häufig durch Viren verursacht werden. Anstatt persönliche Firewalls zu deaktivieren, sollten Sie eine Standardkonfiguration gemäß den Anforderungen Ihrer Organisation erstellen und diese Einstellungen anschließend auf andere persönliche Firewalls exportieren.

Hostbasierte Intrusion-Detection-Systeme (IDSs)

Host-IDSs überwachen den Systemzustand und prüfen, ob er dem erwarteten Zustand entspricht. Die meisten hostbasierten IDSs verwenden eine Integritätsüberprüfung, die auf dem Prinzip basiert, dass Malware in der Regel versucht, Hostprogramme oder -dateien zu verändern, während sie sich ausbreitet. Die Integritätsüberprüfung versucht festzustellen, welche Systemdateien unerwartet geändert wurden, indem sie die „Fingerabdrücke“ (erkennbare kryptografische Hashes) von Dateien berechnet, die in einem bekannten sauberen Zustand überwacht werden müssen. Anschließend führt sie einen Scan durch und gibt eine Warnung aus, wenn sich der Fingerabdruck einer überwachten Datei ändert.

Allerdings erkennt die Integritätsüberprüfung die Malware-Infektion erst nachträglich und verhindert sie nicht.

14. Führen Sie Schwachstellenbewertungen und Cybersecurity-Penetrationstests durch.

Schwachstellenbewertungen bestehen in der Regel aus Port-Scannern und Schwachstellenscanning-Tools wie nmap, OpenVAS und Nessus. Diese Tools scannen die Umgebung von einem externen Rechner aus, um offene Ports und die Versionsnummern der entsprechenden Dienste zu identifizieren. Die Ergebnisse des Tests können mit den bekannten Diensten und Patch-Ständen abgeglichen werden, die auf den Endpunktsystemen vorhanden sein sollten. Dadurch kann der Administrator sicherstellen, dass die Systeme die Sicherheitsrichtlinien für Endpunkte einhalten.

Penetrationstests sind die Praxis, ein System, Netzwerk oder eine Anwendung auf Sicherheitslücken zu testen. Sie können auch verwendet werden, um Sicherheitsrichtlinien, die Einhaltung von Compliance-Anforderungen, das Sicherheitsbewusstsein der Mitarbeiter sowie die Erkennung und Reaktion auf Sicherheitsvorfälle zu überprüfen. Der Prozess kann automatisiert oder manuell durchgeführt werden. In jedem Fall sollten Organisationen regelmäßig — idealerweise einmal pro Jahr — Penetrationstests durchführen, um eine konstante Netzwerksicherheit und ein effektives IT-Management sicherzustellen.

Hier sind die wichtigsten Penetrationstest-Strategien, die von Sicherheitsexperten verwendet werden:

  • Zielgerichtete Tests werden gemeinsam vom IT-Team der Organisation und dem Penetrationstest-Team durchgeführt. Man bezeichnet sie manchmal als „Lights-turned-on“-Ansatz, weil alle sehen können, dass der Test gerade ausgeführt wird.
  • Externe Tests zielen auf extern sichtbare Server oder Geräte eines Unternehmens ab, einschließlich Domänenserver, E-Mail-Server, Webserver und Firewalls. Ziel ist herauszufinden, ob ein externer Angreifer eindringen kann und wie weit er kommen würde.
  • Interne Tests führen einen internen Angriff hinter der Firewall durch, ausgeführt von einem autorisierten Benutzer mit Standard-Zugriffsrechten. Diese Art von Test ist nützlich, um abzuschätzen, wie viel Schaden ein normaler Mitarbeiter anrichten könnte.
  • Blindtests simulieren die Vorgehensweise eines echten Angreifers, indem sie die Informationen, die dem/den Tester(n) zur Verfügung gestellt werden, stark einschränken. Üblicherweise erhalten die Penetrationstester nur den Namen des Unternehmens.
  • Doppelblindtests gehen einen Schritt weiter als Blindtests: Nur ein oder zwei Personen innerhalb der Organisation wissen, dass ein Test stattfindet.
  • Black-Box-Tests entsprechen im Wesentlichen Blindtests, allerdings erhalten die Tester keine Informationen vorab und müssen sich ihren Weg ins System eigenständig erarbeiten
  • White-Box-Tests (Crystal-Box) stellen den Penetrationstestern Informationen über das Zielnetzwerk zur Verfügung, bevor sie beginnen — z. B. IP-Adressen, Netzwerk-Infrastrukturdiagramme, verwendete Protokolle usw.

Wie Netwrix helfen kann

Wie wir gesehen haben, umfasst der Datenschutz viele Themen und Kontrollen, was für jedes Sicherheitsteam eine gewaltige Herausforderung darstellen kann. Die Zusammenarbeit mit einem führenden Sicherheitsunternehmen wie Netwrix kann den Unterschied zwischen Erfolg und Misserfolg ausmachen.

Netwrix bietet eine umfassende Palette von Datenschutzlösungen, einschließlich Tools für Data Access Governance, Information Governance und Ransomware-Schutz. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie Netwrix Ihnen helfen kann, Ihre sensiblen Daten effektiv zu schützen.

Wie wir gesehen haben, umfasst der Datenschutz viele Themen und Kontrollen, was für jedes Sicherheitsteam eine gewaltige Herausforderung darstellen kann. Die Zusammenarbeit mit einem führenden Sicherheitsunternehmen wie Netwrix kann den Unterschied zwischen Erfolg und Misserfolg ausmachen.

Netwrix DAG-Lösung

Minimieren Sie die Wahrscheinlichkeit einer Datenpanne, indem Sie Ihre kritischsten Daten identifizieren, die Anzahl der Konten mit Zugriffsrechten auf diese Daten begrenzen und diesen Zustand kontinuierlich aufrechterhalten, um eine dauerhafte Informationssicherheit zu gewährleisten.

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management