schokokeks.org

Hosting

Sobald ein Computer, ein Netzwerk oder eine Website für einen erweiterten Benutzerkreis zugänglich ist, wird mittels Sicherheits-Software erreicht, dass jeder Benutzer oder Besucher nur das machen darf, was ihm zu steht.

Leider gibt es in der Praxis oft unübersichtlich viele Möglichkeiten, bei einem Sicherheits-Konzept einen Fehler zu machen.

Durch unsere langjährige Erfahrung in diesem Bereich können wir auch in Ihrem Netzwerk oder auf Ihrer Website gezielt nach Fehlern suchen, die Ihre Sicherheitseinrichtungen beeinträchtigen.

W-Lan

Funknetzwerke werden sowohl von Privatpersonen als auch von Firmen immer noch großteils ohne oder nur mit minderwertigem Schutz betrieben. Sobald auf einem der anderen Computer im Netzwerk sensible Daten gelagert sind, kann ein einfaches drahtloses Netzwerk zu einem einfachen Einfallstor für Daten-Diebe werden.

Websites

Oft unterschätzt werden Angriffe auf die Firmen-Website. Meist geht es dabei gar nicht um einen Angriff des Webservers mit konventionellen Mitteln, wie z.B. erraten von Passwörtern sondern um Angriffe gegen die HTML-Seiten bzw. das darunter arbeitende Script. Der Angreifer muss dazu lediglich durch eine Suchanfrage oder einen Gästebucheintrag Ihre Website dazu bringen, seine Daten zu verarbeiten. Passiert dabei ein Verarbeitungsfehler, kann dies fatale Folgen haben.

Dabei unterscheidet man grundsätzlich zwischen drei Angriffs-Varianten:

Datenveränderung / SQL-Injection
Wenn ein Angreifer durch geschickt gewählte Eingaben Teile Ihrer Seite dauerhaft (also auf der Server-Festplatte bzw. in der Datenbank) verändern kann, handelt es sich um ein schweres Sicherheits-Problem, mit dem der Angreifer in der Regel alle Inhalte Ihrer Website verändern könnte.
Cross-Site-Scripting / XSS
Bei dieser Methode wird davon ausgegangen, dass ein Angreifer einem normalen Seitenbesucher einen speziellen Link sendet (z.B. per E-Mail oder durch Verweis von seiner Website), der mit Ihrer Website-Adresse beginnt und z.B. eine geschickt gewählte Suchanfrage gleich mit enthält. Tritt bei der Verarbeitung der Suchanfrage ein Fehler auf, kann der Angreifer in dem betreffenden Link oft Text-Inhalte festlegen, die der unbedarfte Besucher dann scheinbar auf Ihrer Seite findet. Dies verändert Ihre Website zwar nicht dauerhaft, kann aber schwere Image-Schäden zur Folge haben, wenn ein Besucher entsprechende fremde Inhalte auf ihrer Website vorfindet.
Cross-Site-Request-Forgery / CSRF
Diese Angriffsform betrifft vor allem interaktive Websites, die Ihren Besuchern einen Login auf Ihren Seiten erlauben. Ist ihre Seite für dieses Problem anfällig, kann ein bei Ihnen eingeloggter Kunde durch das bloße anschauen einer völlig anderen Seite (die der Angreifer unter Kontrolle hat), unbeabsichtigt Aktionen Ihres Web-Interface vornehmen. Beispielsweise können Kunden eines Web-Shop damit unbeabsichtigt Waren bei Ihnen bestellen, während sie eine andere Seite anschauen.

Für einen Programmierer ist es sehr schwer, gleich von vorne herein alle möglichen Verarbeitungsfehler zu erkennen und zu vermeiden. Eine nachträgliche Durchsicht durch erfahrene Sicherheits-Spezialisten, das so genannte »Audit«, sollte daher bei allen Websites vorgenommen werden, die selbst programmierte aktive Elemente beinhalten und für potenziell nicht vertrauenswürdige Besucher erreichbar sind.

Lokales Netzwerk

Auch in einem eigentlich nur intern verfügbaren Netzwerk können unerwartete Sicherheits-Lücken auftreten. Sei es, dass ein Mitarbeiter zwecks Arbeitserleichterung einen W-Lan-Access-Point in das Netz integriert und dabei das Netzwerk »auf die Straße trägt« oder dass der Klebezettel mit dem Administrator-Passwort durchs Fenster sichtbar am Monitor klebt.

Viele Computer-Arbeitsplätze und Netzwerke sind in den letzten Jahren von einem Einzelcomputer zu einem größeren Netzwerk mit unterschiedlichen Berechtigungen herangewachsen. Oftmals war vorab nicht planbar, wie weit sich das entwickeln würde und eine klare Richtlinie wie mit welchen Daten umgegangen wird, existiert nicht.

Insbesondere wenn eine größere Menge wichtiger Daten im Spiel ist, sollte stets eine Richtlinie erarbeitet werden, wie mit den Daten umgegangen wird (wer darf was lesen und wer darf was verändern) und, eigentlich noch wichtiger, wie und wo werden Sicherungskopien erstellt und aufbewahrt.

Gerne beraten wir Sie in diesen Fragen, nehmen Ihr Netzwerk unter die Lupe und erarbeiten mit Ihnen eine Strategie für ihre EDV-Anlagen.