Absichern von Unternehmensnetzwerken Teil 2

Wie ich in meinem letzten Blogeintrag über das Absichern von Unternehmensnetzwerken berichtet habe möchte ich mich dieses Mal einer weitern wichtigen Komponente widmen: Den Menschen die mit der Technik arbeiten. Meiner Erfahrung nach müssen Sie die Mitarbeiter in dem Unternehmen für das Sie arbeiten für die von Ihnen getroffenen Sicherheitsvorkehrungen begeistern, ansonsten werden Sie auf wenig Verständnis stoßen. Oft kommen sich die Mitarbeiter gegängelt oder “in der Ausübung ihrer vermeintlichen Rechte” zurückgesetzt vor wenn das Verständnis für die Absicherung fehlt. Umso eher werden diese dann auch die getroffenen Maßnahmen verstehen.

Häufige Fragen was zu tun ist wenn man merkt das der eigene Rechner betroffen ist müssen unbedingt im Vorfeld geklärt werden. Ich habe hier mal die Liste erstellt welche Maßnahmen bei einer Warnung des Virenscanners getroffen werden:

  1. Ziehen des Netzwerksteckers aus dem Rechner
  2. Anruf bei der It-Hotline
  3. Untersuchung des Vorfalls durch die IT / Helpdesk, wahrscheinliche Neuinstallation des Rechners

ich bin nicht nur bei der ersten Vorstellung der Liste gefragt worden warum Punkt 1 an erster Stelle kommt. Nun, das ist eigentlich relativ einfach: Würmer wie Conficker verbreiten sich über offene Schnittstellen und möglicherweise ungepachte Systeme. Je eher der Mitarbeiter das Kabel aus dem Rechner entfernt desto eher ist die Change eine Verbreitung zu verhindern. Wenn erst der Helpdesk angerufen wird, dort möglicherweise besetzt ist oder der gerade in der Mittagspause ist sollte die Schadsoftware trotzdem keine Möglichkeit haben sich weiter zu verbreiten. Das Ziehen des Netzwerkkabels muß aber jedem Mitarbeiter im Unternehmen klargemacht und geschult werden, ansonsten ist jegliche Mühe wahrscheinlich umsonst gewesen. In dem Unternehmen für das ich gerade arbeite gibt es regelmäßig Zusammenkünfte der ganzen Belegschaft. Das ist immer auch eine Möglichkeit der IT in 5-10 Minuten daran zu erinnern was im Notfall getan werden muß.

Fragen wirft vielleicht auch Punkt 3 auf: Warum werden Rechner (fast) immer neu installiert wenn sich Schadsoftware darauf eingerichtet hat? Diese Frage kann nicht immer abschließend für jeden beantwortet werden. Eine Säuberungsaktion kann trotz Virenscanner (vielleicht wurde der Schädling ja erst nach dem letzten Update erkannt?) längere Zeit in Anspruch nehmen. Noch dazu können sich intellligent Programmierte Schadprogramme an stellen einnisten, an denen bis heute nur wenige Virenscanner suchen oder werden gut getarnt und brechen erst bei bestimmten Aktionen aus. Andere versuchen den Virenscanner auszuschalten.

Um eine Schadsoftware zu eleminieren sollte man also immer von einem sauberen medium starten und die befallene Festplatte untersuchen lassen. Auch hier sollte man sich die Hinweise der Hersteller von Antivirussoftware durchlesen die den Virus genau analysieren. Selbst dann kann man leider nicht sicher sein das sich noch Reste davon auf der Festplatte befinden.

Ich ziehe es deshalb vor ein regelmäßiges, mehrstufiges Backup von den mir wichtigen Daten zu haben. In der Firma für die ich arbeite wird deshalb das Homelaufwerk, welches auf dem Fileserver liegt mehrmals täglich mit den anderen Daten gesichert. Den Mitarbeitern ist bewußt, das lokal abgelegte Daten im Fall eines Virusbefalls oder einer defekten Festplatte leider den Datentod sterben. Auch das ist ein Punkt, der in Schulungen den Mitarbeitern beigebracht und verständlich gemacht werden muß. Rechner werden bei uns mit Acronis Snap deploy neu installiert. Das dauert pro Rechner nur ca. 1 Stunde und geht meistens schneller (uns ist daher auch wirtschaftlicher) wie die langwierige Entseuchung einer Festplatte. Bitte daher immer alle Mitarbeiter in das Sicherheitskonzept mit einbeziehen.

Im nächsten Teil werde ich auf die Trennung von Admin und non-Admin-Konten eingehen und weitere Ausnahmeregelungen die auf Clients getroffen werden können.

 

Viele Grüße

 

Walter Steinsdorfer  

Leave a Reply

Your email address will not be published. Required fields are marked *