ubuntuusers.de

Hallo Leute,

für unsere kleine Firma mit derzeit acht Mitarbeitern möchte ich gerne die vorhandene Struktur analysieren und verbessern.

Ich weiß, dies ist ein riesen Thema. Damit ich aber nichts vergesse und weitere Anregungen bekomme, schreibe ich diesen Thread.

Was ließe sich alles überprüfen?

• Test des internen Linux Server

• Erreichbarkeit von außen (Internet), Sicherheitslücken der verwendeten Fritz!Box (Test von Security Websites?)

• VPN Verbindung und Überprüfung der beteiligten Geräte (Verschlüsselung, neueste Updates/Software)

• Telefonanlage

• Kamera Anlage (NAS)

• Windows Clients (Programme, Updates)

• Umgang mit Passwörtern (verschlüsselte Datenbank Container?)

• Spuren im Internet über IP, Client, Browser, Cookies... (gibts da gute Testseiten?; Nutzung von TOR?)

• Speicherung sensibler Daten (verschlüsselte Container?)

• Sicherheit innerhalb der Firma durch WLAN (Smartphones, Tablets, eReader...)

• Website

• E-Mail

• Externe Datenträger wie USB-Sticks, Festplatten, SD-Karten

• Grundsätzliche Überlegung zur Anti-Viren-Software, bisher immer Gratis-Version genutzt

• Was kann ein intern ausgeführter Schädling maximal anrichten?

• Backup System

• Penetrationstests

Websites

• http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Wo bieten sich eurer Ansicht nach noch weitere Angriffsmöglichkeiten? Wie würdet ihr vorgehen?

Grüße

Hallo Mobman,

da hast du dir aber wirklich ein schönes Projekt vorgenommen. Deine Liste von Dingen, die du überprüfen möchtest, lässt erkennen, dass du dir schon ein paar Gedanken gemacht hast. Ich zweifel jedoch an deiner Methode.

Dein Beitrag suggeriert mir, dass du dir bereits sehr konkrete Gedanken machst, was du alles im Detail überprüfen möchtest. Es lässt sich jedoch noch kein konkretes Vorgehensmodell erkennen. Bei vergleichbaren Projekten bin ich in der Vergangenheit wie folgt vorgegangen:

1. Erfassung aller IT-Geräte (Inventarisierung/Asset-Management)

2. Schutzbedarfsfeststellung betrachtetet IT-Komponenten und Dienste

3. Schwachstellenanalyse der betrachteten IT-Komponenten

4. Etablierung von Patch-/Schwachstellenmanagement

5. Pflege und iterative Wiederholung der Punkte 1-4

Dieses Vorgehen führt zu einem Prozess, der hilft das IT-Sicherheitsniveau nachhaltig zu steigern. Häufig habe ich dabei jedoch noch eine Ebene höher bei den Geschäftsprozessen angesetzt. Denn das Unternehmen hat in erster Linie ein Interesse daran seine Kernprozesse (z.B. Einkauf, Produktion, Vertrieb) zu schützen. Die IT steht dabei nicht direkt im Fokus. Jedoch ergeben sich aus der Prozessanalyse Abhängigkeiten zu IT-Diensten und Komponenten. Doch dies führt jetzt evtl. etwas zu weit von deinem Thema weg.

Falls du Anregungen suchst, schau doch mal auf den Seiten des BSI. Für die genannte Unternehmensgröße könnten folgende Dokumente von Interesse sein:

• Leitfaden Informationssicherheit

• IT-Grundschutz Profile - Anwendung für eine kleine Institution

Viele Grüße
Tronde

Tronde hat eigentlich schon die wichtigsten Dinge gepostet. Ich gebe mal noch das Stichwort Risikoanalyse und Sicherheit der Server bzw. des Servers.

Kleine Geschichte.

Ich habe mir mal die dienstlichen USB-Sticks für eine Überprüfung kommen lassen und sicherheitshalber per Gruppenrichtlinie alle Ports gesperrt. Ich wusste von Zweien. Eine Kolleginn kam schon allein mit 5 Sticks, die für einen Datenaustausch nach "außen" genutzt werden. Schöne Einfallstore. 👿 (Mein Vorgänger hatte leider nichts dokumentiert und fragen kann man ihn nicht mehr.)

Rede unbedingt mit deinem Chef, der muss hinter Dir stehen, ansonsten wird es schwer.

Linuxkumpel schrieb:

Rede unbedingt mit deinem Chef, der muss hinter Dir stehen, ansonsten wird es schwer.

Ah genau, diesen sehr wichtigen Punkt habe ich ausgelassen. Wenn der Chef bzw. die Geschäftsführung nicht hinter einem solchen Projekt steht, ist es fast immer zum Scheitern verurteilt.

Denn leider geht mit der Steigerung der Sicherheit häufig ein Komfortverlust einher, den Mitarbeiter nur hinnehmen, wenn der Chef dies auch tut.