IT+Technik Welche Gefahren hinter Cloud und Netzwerken stecken – und wie Sie sich schützen

Datendiebe interessieren sich heute auch für kleinere Unternehmen. impulse zeigt, wie Sie Datenclouds und Netzwerke sicherer machen können.

SCHWACHSTELLE CLOUD
Spätestens seit bekannt geworden ist, dass der US-Geheimdienst NSA systematisch Inter­netdaten sammelt und dafür gezielt Netz-Anbieter und Cloud-Dienste infiltriert, sorgen sich viele Unternehmer um ihre Da­ten. Tatsächlich bieten Cloud-Anwendungen Hackern und Industriespionen einige Angriffsflächen. Kunden müssen ihre Daten per Internet an das Rechenzentrum des Anbieters übermitteln und sie von dort wieder abrufen. Kriminelle können diese Datenströme verhältnismäßig leicht auslesen. Außerdem sind Informationen auf fremden Speichern abgelegt, möglicherweise im Ausland. Schon mehrfach waren Cloud-Rechenzentren Ziel von Hacker-Angriffen.

„Mittelständler müssen nicht komplett auf die Cloud verzichten“, sagt Stefan Strobel, Chef der Heilbronner IT-Beratung Cirosec. „Fragen Sie sich erstmal: Wie wichtig sind bestimmte Daten? Wie sicher sollen sie sein?“ Das Ergebnis könne durchaus lauten: Soll die NSA doch mitlesen!

Anzeige

Lösung: Sind die Daten sensibel, kann eine Software eingesetzt werden, welche die Internetverbindung zwischen Firmennetz und Cloud-Plattform vor fremden Zugriffen schützt. So entsteht eine Privatleitung, „Virtual Private Network“ (VPN) genannt. Manche Cloud-Dienstleister bieten VPN-Zugänge gleich mit an. Wichtig: Die Entscheider sollten prüfen, welche VPN-Standards ihr Cloud-Anbieter unterstützt. Und damit rechnen, dass eine verschlüsselte Verbindung erheblich langsamer ist als eine unverschlüsselte.

Ein VPN bringt die Daten allerdings nur sicher bis zum Rechenzentrum. Damit dann dort nichts passiert, gibt es sogenannte „Cloud-Verschlüsselungs-Gateway“-Systeme – Programme, die alle Daten verschlüsseln, die an die Cloud gesendet werden. Erst wenn der Anwender dieselben Daten wieder aus der Cloud-Datenbank abruft, übersetzt das Gateway sie zurück in Klartext. Unternehmen können darauf achten, dass die Server des Anbieters in Deutschland oder zumindest innerhalb der Europäischen Union stehen, wo strengere Datenschutzbestimmungen gelten als etwa in den USA.

Produkte: Jede heute übliche Firewall (siehe Schwachstelle LAN) kann ein VPN zu Cloud-Anbietern aufbauen. „Gateways“ gibt es etwa von Skyhigh Networks oder Ciphercloud. Die Kosten hängen von der Cloud-Anwendung ab.

SCHWACHSTELLE WLAN
Schlecht gesicherte drahtlose Funknetze sind beliebt bei Cyber-Kriminellen. Angreifer protokollieren mit Spezialprogrammen ein paar Minuten lang den WLAN-Datentransfer schlecht gesicherter Funknetze, fangen so Zugangscodes ab und können sich dann problemlos einwählen. So ging es einem Indus­triezulieferer mit 40 Mitarbeitern aus dem Raum Stuttgart.

Eigentlich hatte der Firmeninhaber verfügt, dass die Firmenrechner nur per Kabel mit dem Server verbunden werden durften – der Einsatz von WLAN war verboten. Ein Mitarbeiter wollte aber un­bedingt Internet für sein Smartphone. Also brachte er einen handelsüblichen WLAN-Router mit, steckte ihn in einen freien LAN-Port und konfigurierte das Gerät als sogenannten Repeater. Ergebnis: Ein Hacker saugte sechs Monate lang vertrauliche Kon­struktionspläne und Angebote ab. Irgendwann merkte die Geschäftsführung, dass die Konkurrenz sie dauernd unterbot. Sie beauftragte eine Sicherheitsfirma, der Mitarbeiter flog auf, verlor seinen Job.

Immer wieder entdecken Sicherheitsexperten ungenehmigte WLAN-Zugänge in
Firmennetzen, sogenannte „Rogue Access Points“. Viele Unternehmen nutzen ähnlich unsichere Datenfunk-Verbindungen sogar wissentlich. Nicht nur Datendiebstahl ist hier ein Problem: Falls Unbefugte das WLAN mit benutzen, haften Unternehmer auch für das, was die Hacker sonst noch im Inter­net anstellen.

Lösung: Am sichersten ist es aus Expertensicht, die Firmenrechner über Kabel zu vernetzen, allerdings mit einer guten Firewall und Portsperren für die LAN-Dosen. Das WLAN dient nur als Internetzugang für Gäste, es sollte keine Verbindung zum Firmennetz haben. Falls ein Funknetz unumgänglich ist, müssen Unternehmen es besonders sorgfältig sichern. Etwa indem sie ausschließlich WLAN-Router einsetzen, die den höchsten Sicherheitsstandard, WPA 2 Enterprise, beherrschen. Dabei gibt es nicht mehr ein zentrales WLAN-Passwort für alle Geräte, sondern jeder Rechner, der sich einwählt, erhält ein eigenes Schlüsselpaar und Zertifikate. Oft empfohlen wird auch, im Router die Hardware-Kennungen der Geräte zu hinterlegen, die sich einwählen dürfen, die sogenannte MAC-Adresse. Versucht ein unbekannter Rechner dann einen Login, scheitert er.

Anbieter: Profi-WLAN-Router etwa von Linksys, Western Digital oder Cisco kosten rund 200 bis 300 Euro.

SCHWACHSTELLE LAN
Ein Kabelnetz, auch Local Area Network (LAN), genannt, lässt sich zwar nicht so leicht angreifen wie ein WLAN, aber auch hier gibt es Schwachstellen. Ein typisches
Einfallstor sind schlecht gesicherte PCs einzelner Mitarbeiter. Die sind per Internet leicht zu finden, zu manipulieren und als Türöffner ins Firmennetz zu nutzen. Zwar sind
in gängigen Netzwerk-Routern sogenannte „Firewalls“ installiert, die den Datenverkehr ins Firmennetz und nach draußen regulieren. „Für Unternehmen reicht das aber nicht aus“, sagt IT-Experte Anton Schmucker von der Result Group.

Selbst bei einer guten Firewall besteht Gefahr: Kriminelle könnten heimlich Spionagesender in die LAN-Dosen stecken, über die sie ungehindert ins Netz eindringen würden. In Web-Shops sind solche „Pwn-Plugs“ frei erhältlich. Kleine weiße Boxen, die aussehen wie ein harmloses Netzteil. In ihrem Inneren aber stecken ein winziger Linux-Rechner und ein UMTS-Mobilfunkmodul. Darüber wählen die Hacker sich dann ins Firmennetz ein.

Lösung: Um zu verhindern, dass unbemerkt Geräte ans LAN angeschlossen werden, sollten ungenutzte LAN-Steckdosen nicht mit dem Server verbunden sein. Sie können wie beim WLAN feste MAC-Adressen vergeben oder sogar ein eigenes Steuergerät zur „Network Access Control“ (NAC) anschaffen, das den Netzzugang regelt. Solche Module kosten aber mehrere Tausend Euro. IT-Experte Schmucker empfiehlt Mittelständlern ein anderes Zusatzgerät, eine Hardware-Firewall, die zwischen Router und Server geschaltet ist. Jeder Computer, der dann von außen auf das Firmennetz zugreifen will, wird geprüft. In einer solchen Hardware-Firewall sind auch aktuelle Virenscanner enthalten, die – neben der Virensoftware der lokalen PCs – zusätzlich verhindern, dass sich Schadcodes von Websites auf lokalen PCs einnisten.

Anbieter: Hardware-Firewalls, etwa von Sonicwall, Sophos oder Zyxel kosten in der Anschaffung 500 bis 1500 Euro. Dazu kommen jährliche Gebühren für Updates.

ePaper_impulse_04_14 1

Dieser Text stammt aus der April-Ausgabe von impulse.
Abonnenten erhalten die neueste Ausgabe jeden Monat frisch nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben im PDF-Format herunterladen und bequem auf Tablet oder Smartphone lesen.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.