#21 – Die Security Zwiebel

Guten Morgen, Philip. Guten Morgen, Dennis.

Es ist wieder Mittwoch, eine neue Folge hagel IT Podcast.

Genau, Folge 21. Ja, wir wollen diese Woche mal wieder über ein altbekanntes Thema sprechen.

Cybersecurity. Im weitesten Sinne Cybersecurity. Und zwar haben wir uns überlegt, wie ist das eigentlich, also warum muss man eigentlich auf so viele Bausteine setzen? Im weitesten Sinne beim Thema Cybersecurity. Angefangen beim klassischen Antivirus, Endpoint Detection and Response, was wir auch schon kennengelernt haben hier in unserer Reihe. Webfilter, Firewall, vielleicht noch ein bisschen tieferes Compliance Management aus Office 365. Also warum brauche ich so sozusagen mehrere Bausteine? Also wir unterstellen vielleicht einfach mal, wir haben Firma XY wie gehabt, wie wir das gerne machen. Und nun suche ich mir jemanden, der meine IT betreuen soll. Und ich bin meiner Meinung nach als Geschäftsführer relativ gut aufgestellt. Ich habe einen klassischen Antivirus auf meinen Rechnern und habe zum Beispiel sowas wie eine Fritzbox, die ja im weitesten Sinne auch eine Firewall-Funktion hat. Was würdest du mir jetzt sagen, wenn ich dir sage, das reicht doch eigentlich?

Ja, gut, das reicht, ist wunderbar. Ja, die Frage ist ja immer, das reicht wofür? Die Frage ist immer dann, die wir uns stellen, wovor will sich der Kunde schützen? Und da gibt es so im Wesentlichen zwei bis drei Bereiche. Der eine ist Bedrohung von außen und der andere ist Bedrohung von innen. Und dann gibt es noch ein bisschen den Bereich, naja, wir sagen mal, es fällt so grob in den Bereich, da hat Bedrohung von innen. Aber es ist so ein Datendiebstahl, also ein Diebstahl von Informationen. Das sind so die drei Bereiche, die man sich da anschaut. Und je nachdem, mit was für Informationen der Kunde arbeitet und was für Informationen der eben vorhält, sind ja eben unterschiedliche Dinge wichtig. Wenn ich jetzt zum Beispiel ein Informationslager habe, in dem Patente liegen. Also ich habe irgendwie, ich produziere etwas und ich arbeite mit. Mit Bauplänen dafür, mit Patenten. Dann habe ich ein hohes Risiko, dass diese Patente gestohlen werden. Sei es von extern oder aber auch, sei es eben vor allem von intern. Heißt Mitarbeiter, die Zugriff darauf haben, kopieren die und nehmen sie mit raus und verkaufen sie dann. Andersrum, wenn ich eben zum Beispiel eine Infrastruktur betreibe, die ja irgendwo für die, für die Versorgung von anderen zuständig ist. Ja, dann habe ich ein hohes Risiko, dass jemand die lahmlegen möchte, um anderen zu schaden oder um möglichst viel Schaden zu erreichen. Also das sind so die Dinge, vor denen ich mich, die ich einfach in Betracht ziehen muss, wofür will ich mich schützen. Und dann, das bestimmt auch so ein bisschen das Schutzmaß. Und ob das reicht.

Also im Großen und Ganzen muss man sich halt als Kunde dann in dem Fall oder als Interessent immer die Frage stellen, was mache ich eigentlich, wie sind so meine Arbeitsabläufe und welche Daten vor allem möchte ich vor wem,

vielleicht auch schützen.

Jetzt nochmal zurück zu meiner Eingangsfrage. Jetzt glaube ich, dass es schon viele oder mehr oder weniger viele da draußen gibt, die eben sagen, ich habe jetzt hier einen klassischen Router, der bietet mir beispielsweise eine Firewall Funktion, eben zum Schutz vor Angriffen von außen. Also ich sage mal, ich sage mal am Volksmund diese klassischen Hacker Angriffe. Wie geht man mit sowas um? Also gibt es unter Umständen tatsächlich Konstellationen, in denen man sagt, so eine Router Firewall, wenn wir das so nennen wollen, reicht aus? Oder ist es da immer zwingend erforderlich, tatsächlich eine wirklich dafür ausgelegte stationäre Appliance zu haben?

Ja, der Punkt ist ja häufig, ich habe ja in eigentlich fast allen Firmen die Konstellation, dass ich über meinen Router, über meine Schnittstelle zum Internet mehr machen möchte oder muss, als einfach nur das Internet nutzen. Heißt? Ja. Ich habe zum Beispiel Server, die ich im Unternehmen betreibe, die von außen erreichbar sein müssen. Oder ich muss dafür sorgen, dass ich Mitarbeiter per VPN einbuchen können in mein Netzwerk. Und vielleicht habe ich auch eine dauerhafte Side-to-Side VPN zu einem anderen Unternehmen, zu einem anderen Standort, zu einem Rechenzentrum oder ähnliches. Und das ist ja schon der Punkt, an dem...

Können wir an der Stelle vielleicht einmal ganz kurz Side-to-Side VPN für die Leute draußen, die jetzt damit nicht so viel anfangen können?

Ja, Standortverbindung. Also ich verbinde quasi über ein virtuelles Netzwerk, über ein VPN zwei Standorte dauerhaft miteinander. Und dann ist ja schon der Punkt erreicht, an dem so ein klassischer Router eben nicht mehr ausreicht, weil der diese Funktion gar nicht unterstützt. Beziehungsweise vielleicht das noch unterstützt, dass ich einen Server, den ich intern habe, von außen erreichbar mache. Aber da gibt es halt auch dann nur an oder aus. Also sprich... Auf oder zu. Das reicht ja an der Stelle schon dann nicht mehr. Sondern ich muss ja in dem Moment, wo ich meine Server irgendwie nach außen hin aufmache, sollte ich auch gucken, dass ich kontrolliere, wer greift denn darauf zu? Was passiert denn da für ein Datenstrom? Und da können eben dann moderne Firewalls bestimmte Schutzmechanismen aktivieren oder man kann die darauf aktivieren, die dann eben die Datenstrom dort auch untersuchen und eben sicherstellen, dass da immer jemand, ja, im weitesten Sinne protokolliert, was da passiert zum einen. Aber man eben auch nochmal beschränken kann, was für ein Datenstrom darf denn überhaupt darüber laufen. Mhm. Ja.

Gut, ich denke, dass wir damit die Frage gut beantwortet haben, dass man tatsächlich nicht davon ausgehen sollte, dass in einem unternehmerischen Umfeld der Einsatz von klassischen Routern, wie beispielsweise in der Fritzbox, dahingehend ausreichend ist, zu sagen,

das schützt hier mein Netzwerk vor Angriffen von außen.

Ja, es sind halt einfach Produkte für Heimanwender. Genau. Die werden aus Bequemlichkeitsgründen von vielen Anbietern, Internetanbietern eben auch für Businessanschlüsse mit, mit angeboten und mit ausgegeben. Aber es sind im Endeffekt Produkte für Heimanwender und das sollte man dabei immer im Hinterkopf behalten, ja.

Jetzt kann ich mir vorstellen, es gibt den einen oder anderen, vielleicht auch unter anderem, unter unseren ZuhörerInnen, die sagen, okay, jetzt habe ich mit meinem IT-Dienstleister gesprochen, haben hier eine Firewall aufgestellt, ist das alles reguliert, welcher Traffic darf hier rein, welcher Traffic darf raus, etc. So, nun hat mein Dienstleister mir gesagt, ich sollte aber dennoch natürlich nicht darauf verzichten, auf meinen einzelnen PC-Arbeitsplätzen auch noch einen Virenschutz oder eben EDR einzurichten. Warum? Also grundsätzlich kann ich mir als Unternehmer dann die Frage stellen, okay, ihr habt mir gesagt, mein Netzwerk ist jetzt für Angriffe geschützt und warum jetzt noch mehr Sicherheit auf den einzelnen Rechnern?

Zwei Gründe. Ein Grund ist das Thema Betreuung von innen. Jetzt haben wir in jedem Unternehmen Mitarbeiter und das heißt, Mitarbeiter, sagt man immer, in der IT-Sicherheit, die tun die komischen Dinge, teilweise oder größtenteils eben auch wirklich im guten Glauben oder im Glauben, dass sie was Gutes tun oder nichts Falsches tun, geht damit los. Jetzt sagt ein Mitarbeiter, oh Mensch, an der Präsentation hier, da will ich am Wochenende noch weiterarbeiten, ach, ich ziehe mir die auf den Stick und arbeite zu Hause daran weiter. Jetzt steckt er seinen USB-Stick, den er von zu Hause mitgebracht hat, im Büro an seinen Rechner an. Der USB-Stick ist infiziert mit einem Virus, mit einer Choriane. Ja, dann hilft mir die Firewall an meinem Internetanschluss herzlich wenig weiter, weil die Bedrohung kommt ja in dem Fall von innen, die geht gar nicht an der Firewall vorbei. Heißt, dann brauche ich einen Schutz auf dem Client, der das eben erkennt und verhindert, dass ich das Ganze weiter ausbreiten kann. Und der zweite Punkt ist natürlich, kein System ist zu 100 Prozent unfehlbar. Es gibt nichts. Es gibt nichts, was nicht irgendwie doch auf irgendeine Art und Weise umgangen werden kann, sei es aufgrund eines Konfigurationsfehlers oder eben, weil jemand es schafft, das System auszuhebeln. Und deswegen ist es ja auch so, dass du zum Beispiel im Winter, wenn du rausgehst, nicht nur eine Jacke anziehst, sondern darunter hast du noch einen Pullover, darunter hast du ein T-Shirt. Du hast ein Zwiebelprinzip, und genau das macht man in der IT-Sicherheit auch, dass man einfach mehrere Schichten aufbaut an Schutzmechanismen, falls ein dieser Schutzmechanismen versagt, dass dahinter eben noch ein, zwei, drei, vier, fünf, je nachdem wie viel man braucht, wie viel man hat, weitere sind, die dann Bedrohungen eben auffallen können.

Ja, okay, das ist sehr einleuchtend, ehrlicherweise. Und jetzt habe ich dazu noch eine Frage, und zwar habe ich tatsächlich die Frage auch mal von einem Kunden gestellt bekommen. Die haben jetzt, ich sage mal, so ein hybrides Betriebssystem-Netzwerk. Also die haben quasi ein paar Macs, ein paar Windows-Rechner, vielleicht auch noch irgendwo ein paar Linux-Rechner für irgendwelche Entwickler. Und jetzt ist ja so ein bisschen im Volksmund die Meinung, also wenn ich ein Mac habe, dann brauche ich kein Antivirus. Oder generell, der Mac ist nicht so anfällig wie beispielsweise ein klassischer Windows-PC. Ist das immer noch so?

Ja, ein bisschen schwierig, ne? Also grundsätzlich ist ja immer die Frage, was mache ich mir für Lücken auf? Will ich jetzt riskieren, dass ich sage, naja, mein Mac, der wird schon nicht so anfällig sein oder der ist nicht so anfällig, da lasse ich jetzt eine Lücke offen. Das war lange Zeit so, dass da relativ wenig für, im Umlauf war, aus verschiedenen Gründen. Aber je mehr solche Systeme verbreitet sind, und das ist bei Macs, denke ich, unumstritten der Fall, dass die immer mehr Verbreitung finden, auch im Business-Umfeld, desto attraktiver wird natürlich auch, wird es natürlich auch solche Systeme zu knacken und irgendwo dann ein Virus oder ein Trianer einzuschleusen. Heißt, ich würde mich nicht darauf verlassen zu sagen, naja, da wird schon nichts passieren, ist ja ein Mac.

Ja. Gut, also immer gerne ruhig mit ausstatten. Also ich sage mal, im Zweifel ist das ja eine klassische weitere Schicht der Zwiebel, wie du das eben so schön gesagt hast.

Genau, also was schadet es im Zweifel, ne? Also die Frage ist ja immer, was bringt es mir, wenn ich es weglasse? Im Zweifel spart es mir vielleicht ein paar Euro. Genau. Aber im Ernstfall, ja. Aber was kostet es, genau, wenn der Ernstfall eintritt und genau über eines dieser Geräte, die vermeintlich sicher sind, kommt dann eben eine Brille. Ja. Oder ein Schädling ins Netzwerk. Dann ist man sich, glaube ich, wäre man, glaube ich, froh, wenn man diese paar Euro eben mehr investiert hätte in den Schutz seines Netzwerks, ja.

Jetzt ist ja, ich glaube, für alle und auch für alle, die uns zuhören, im weitesten Sinne, dass das Hauptarbeitsmittel vielleicht die E-Mail. Na, jetzt die Frage der E-Mail-Verkehr. Jetzt schickt mir jemand ein Virus, klassisch per Mail. Wer genau ist dann in diesem Fall, also welche Schicht der Zwiebel ist quasi für den Mailverkehr zuständig? Also wie muss ich mir das vorstellen? Ich habe ja die Firewall sozusagen, die mein Netzwerk vor Angriffen von außen schützen soll. Und ich habe ja auf meinem Rechner auch noch den EDR oder den Antivirus, der da im Hintergrund läuft und alles an Dateien scannt, was da so hin und her verschoben wird. Durchläuft so eine E-Mail dann beide Punkte?

Das kommt ganz darauf an, was für Systeme ich einsetze. Bei einer E-Mail fängt es aber schon vorher an. Denn wenn ich einen externen E-Mail-Dienst nutze, wir haben ja relativ häufig Office-360 im Einsatz, dann ist dort schon ein Spam- und Virenfilter vorhanden, der da schon mal prüft und die Sachen eben so ein bisschen vorselektiert und rausfiltert. Heißt, da habe ich schon mal einen Schutzlayer meiner Zwiebel.

Das ist so ein bisschen Türsteher-Prinzip dann wahrscheinlich, ne? Genau, richtig.

Dann kann ich das Ganze natürlich noch durch meine Firewall durchschicken, die auch nochmal scannen kann. Und ich kann das Ganze natürlich auch auf meinem Client scannen lassen. Jetzt muss man so ein bisschen gucken, was ist irgendwann vielleicht ein bisschen drüber, weil das vielleicht auch den Mail-Versand erheblich verzögert oder eben auch Einschränkungen mit sich bringt, die so ein bisschen dann das Arbeiten auch behindern. Aber man kann da eben mehrschichtig das Ganze aufbauen. Man kann durch mehrere Schichten durchlaufen mit den Prüfungen. Und letztlich ist am Client halt immer dann der Punkt nochmal, wo dann auch ein Mensch vorsitzt, der dann eben – und das hatten wir in einer der letzten Folgen auch – das Thema Human Firewall, also so ein bisschen durch einfach durch Schulung, durch Wissen, dadurch, dass er eben aufmerksam ist, auch erkennen kann möglicherweise, ist das hier eine E-Mail, die ich erwartet habe? Ist das ein Anhang, den ich erwartet habe? Öffne ich den jetzt einfach blind oder lasse ich den vorher nochmal prüfen? Das ist dann eben auch letztendlich nochmal ein Schutzlevel. Einfach die Menschen, die dort arbeiten an den Geräten, die dann auch nochmal mit einem guten Blick, einem scharfen Blick darauf schauen und sagen, okay, da gucke ich rüber oder das lasse ich mal lieber unangetastet.

Ja, jetzt gibt es ja bestimmt auch ein paar unserer ZuhörerInnen da draußen, die vielleicht sagen, okay, na, eigentlich habe ich hier alles, was ich brauche, so glaube ich vielleicht. Und jetzt haben wir aber natürlich – wir hatten da, glaube ich, auch in der einen oder anderen Folge sicherlich schon mal drüber gesprochen – wir haben ja im Angebot unsere Cyber-Risiko-Analyse, die natürlich dann ermöglicht, dass man das Ganze auch einfach mal völlig unabhängig checken lassen kann. Unabhängig und vor allem unverbindlich, sodass man da eben ein Ergebnis darüber bekommt, passen meine Zwiebelschichten soweit?

Ja, einfach visualisiert bekommt, wie vollständig ist meine Zwiebel? Genau, habe ich eine große, runde Gemüsezwiebel mit vielen Schichten oder sind da eben irgendwie schon Lecher reingefressen? Genau. Das kann man einfach prüfen.

Und alle Interessenten?

Genau, gehen auf hagelux.it.de slash Termin, buchen sich ein Gespräch bei dir, bei mir oder bei einem unserer Kollegen und können sich einfach mal darüber informieren lassen.

Perfekt. Ich danke dir, Philip.

Danke, Dennis. Bis dann. Ciao.