Security Audit
Wie Sie externe Dienstleister auditieren
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Seine Lieferanten nicht zu kennen, ist wie, seine interne IT nicht zu kennen. In beiden Fällen ist es unmöglich, Sicherheitslücken zu schließen - eben weil man von deren Existenz nichts weiß. Wer aber die richtigen Punkte kennt, die es zu überwachen und zu auditieren gilt, hat ein ganzes Stück Sicherheit dazugewonnen.
Wie die Kontrollmechanismen auszusehen haben, hängt vom jeweiligen Zulieferer ab, von seiner Branche, seiner geografischen Lage, der dort geltenden Gesetzgebung und der Art der Services, die er offeriert. Es gibt Industriestandards wie den Kreditkarten-Security-Standard PCI DSS (Payment Card Industry Data Security Standard) für den Retail-Bereich oder auch das NIST Cybersecurity-Framework für den Sektor Energie und kritische Infrastrukturen, auf dem beispielsweise auch das deutsche IT-Sicherheitsgesetz aufsetzt.
Ein Unternehmen schaut sich am besten die Richtlinien an, an die es sich selbst zu halten hat und legt diese Maßstäbe auch an alle seine externen Lieferanten an - dann könne es wenig falsch machen, rät M. Scott Koller, juristischer Berater in der Kanzlei BakerHostetler: "Beispielsweise müssen sich sowohl der Händler selbst und auch sein Lieferant des Point-of-Sale-Systems beide an den PCI-DSS-Standard halten." Wer die Standards nicht nur einfordert, sondern auch routinemäßig prüft, ist auf der sichere Seite.
Zugriff von außen beschränken
Um den Zugriff von externen Dienstleistern auf die internen Systeme einzuschränken, rät Koller zu Netzwerksegmentierung und dazu, den Netzwerkzugang beispielsweise mithilfe von VLANsVLANs ebenfalls aufzuteilen. "Verwenden Sie für Ihr Unternehmen immer denselben Benutzernamen bei einem Zulieferer - wenn dieser ihn dann nicht mehr benötigt, lässt er sich schnell deaktivieren. Der Remote-Zugang in Ihr Netzwerk sollte zudem nur auf einen, über eine Whitelist definierten, Kreis von IP-Adressen möglich sein - benötigen Sie einen externen Service gerade nicht, deaktivieren Sie die Liste einfach", stellt Koller einfache Sicherheitsmechanismen vor. Alles zu Netzwerke auf CIO.de
Die Grundprinzipien lauten:
Zugang für externe Dienste nur auf Anfrage,
automatisches Deaktivieren nach einer gewissen Zeit,
Policies mittels Firewalls und/oder Port-Management durchsetzen.
"Wenn Sie Remote-Zugang via LogMeIn oder RDP zulassen, sollten Sie diese Programme immer dann ausschalten, wenn der Dienstleister sie nicht verwendet", rät Koller. Dazu sei es sinnvoll, den deaktivierten Fernzugriff selbst einmal auszutesten, wenn er gerade nicht anderweitig in Benutzung sei. Auch das sei eine Form des Audits, die regelmäßig vorgenommen werden müsse.
- Fernwartung - so gehts!
Vom Smartphone oder Tablet remote auf den Rechner zugreifen - hier die Optionen. - NTR FreeCloud
Ein zusätzliches Passwort für die Verbindung ist in jedem Fall Pflicht. - NTR FreeCloud
Auf einem Tablet macht ein Fernwartungszugriff, hier NTR von einem iPad, durchaus noch Spaß. Auf einem 2.4“ Smartphone ist die Darstellung einfach zu klein. - NTR FreeCloud
An sich ist Platz für viele Rechnernamen – die kostenfreie Version von NTR begrenzt jedoch die Anzahl auf zwei Systeme, egal ob Server oder PC. - NTR FreeCloud
Die Installation der NTR-Software, hier auf einem Windows Server 2008 R2, ist in wenigen Minuten erledigt. - Teamviewer
Klassiker aus Deutschland: TeamViewer. Wie sich das „Kloning“ von virtuellen Maschinen auswirkt, lässt sich unschwer erkennen. - Teamviewer
TeamViewer ist schnell, unkompliziert und für viele Plattformen erhältlich. - Teamviewer
Immer eine gute Sache: Wie ging noch einmal der Rechtsklick? Hier die Erklärung von TeamViewer. - RDP mit 2x
Eine durchaus elegante Alternative: RDP-Weiterleitung über den Router mit einem RDP-Client, hier der 2X-Client. - RDP mit 2x
Achtung! 2X warnt vor der Verwendung der einfachen RDP-Verbindung über die eigene Software. - RDP mit 2x
Einfach und praktisch: RDP-Zugriffe vom iPad auf einen Windows Server 2012 R2. - LogMeIn
LogMeIn bietet alle Features, die eine professionelle Fernwartungssoftware braucht.