Wir haben bei uns im Support immer mal wieder Kunden, mit denen wir das Thema Sicherheit mehr oder weniger freiwillig diskutieren - und zumeist dann auch die damit ganz konkret verbundenen Folgen.
Wir haben es dabei vor allem in den Unternehmens-Bereichen Hosting und Access regelmässig mit einer Vielzahl von unterschiedlichen Fällen und Problemstellungen zu tun: Mit Trojanern und Viren infizierte per DSL angebundene Arbeitsrechner oder Unternehmensnetze von welchen Spam verschicken wird sind da noch eher die harmloseren Fälle - bei infiltrierten Servern mit meist mindestens vierstelligen Kosten hört der "Spaß" dann aber meistens auch kundenseitig auf.
Grundsatz: Wer einen Rechner - egal ob als Workstation, Server oder für spezielle Dienste - betreibt und diesen ans Internet anschließt, muss sich auch über dessen Sicherheit nicht nur mal Gedanken machen - sondern das hoffentlich erstellte Sicherheitskonzept auch ständig leben und umsetzen. Und sofern von einem solchen per Internet erreichbaren Rechner im Serverbetrieb dauerhaft Dienste nach außen angeboten werden, gilt dies selbstverständlich nicht nur für den Server als ganzes oder vom Betriebssystem her gesehen, sondern auch für alle darauf installierten Server-Dienste.
Es spielt dabei auch überhaupt keine Rolle, ob ein oder mehrere Rechner über einen Router (z.B. Fritzbox ist weit verbreitet) via DSL oder VPN-Tunnel an das Internet angebunden werden und gar keine Serverdienste betrieben werden, ob es sich um einen beispielsweise in unser Rechenzentrum untergestellten Server handelt, es ein angemieteter realer Root-Server oder ein in der Cloud betriebener virtueller Server (der sich ganz wie ein realer verhält) handelt.
Grundsätzlich ist jedes IP-fähige Gerät, jeder Rechner und selbstverständlich jeder Server gefährdet. Dazu kommt jede Software-Applikation und Anwendung, die auf jedem einzelnen Gerät betrieben wird.
Es hilft dabei auch nicht, sich auf den eingesetzten und vorgeschalteten Router samt ggf. vorhandener Firewall zu verlassen. Klickt ein Mitarbeiter auf einen infizierten Anhang in einer eMail - bringt eine vorgeschaltete Firewall am DSL-Anschluss in der Regel wenig, da der Angriff bereits hinter der Firewall, sozusagen aus dem Inneren, stattfindet. Umgekehrt bringen Virenscanner auf allen Workstations nichts um Key-Logger zu verhindern (also das Mitschneiden von Tasten-Drückem um an Kennwörter zu gelangen), wenn der Router an sich infiltriert wurde. Auch ein Router ist nur ein Computer und kann Sicherheitslücken usw. enthalten.
Auch wer einen im Internet erreichbaren Server betreibt - egal ob angemietet, gekauft, bei sich inhouse-stehend per DSL angebunden oder im Datacenter in professioneller Umgebung - sollte sich NICHT auf vorgeschaltete Firewalls, Mechanismen in Betriebssystemen usw. verlassen oder sich sonstwie in Sicherheit wiegen. Selbstverständlich ist eine Firewall ein MUSS und ein wichtiger Baustein im Sicherheitskonzept. Eine Firewall schützt aber überhaupt nicht, wenn auf einem Webserver (z.B. Linux Debian mit Apache, PHP und mysql) veralterte Software zum Einsatz kommt.
Wer regelmäßige Updates, also die Installation von den Distributionen und Herstellern bereitgestellter Updates, unterlässt, kann ab einem bestimmten Moment die Firewall und alle weiteren Massnahmen eigentlich auch gleich mit runterfahren. Selbst aber wenn Betriebssystem, Webserver, PHP und mysql regelmässig geupdated werden - reicht eine Sicherheitslücke in einem installiertem PHP-Script aus um den gesamten Server erneut zu gefährden und sämtlichen anderen Massnahmen zu nichte zu machen. Merke: Das Gesamtsystem ist immer nur so stark, wie das schwächste Glied in der Kette.
Besonders gefährdet sind vor allem Systeme und Software-Komponenten, welche sich einer gewissen Verbreitung erfreuen. So gibt es unter Mac-Systemen naturgemäß viel weniger Viren, Trojaner und Root-Kits als unter Windows- und Linux-Systemen, einfach weil die Verbreitung viel geringer ist - und nicht (alle Apple-Jünger werden mich nun steinigen) weil Mac's oder Software viel besser und sicherer sind als die Lösungen anderer Hersteller. So ist es dann auch kein Wunder, wenn Angriffe immer wieder auf weit verbreitete Software-Lösungen stattfindet: Wir haben in den vergangenen Jahren im Support Angriffe auf PHPBB-Foren erlebt, genauso wie auf Webseiten auf denen bekannte und gängige CMS-Systeme wie Typo3, Wordpress und Jomla zum Einsatz kamen sowie auch auf TK-Anlagen mit Software-Lösungen von Asterisk, Astimax und einigen anderen.
In 100% aller Fälle stellte sich nach Analyse eine veralterte Software-Installtion und -Pflege heraus, also schlicht menschliches Versagen respektive einfache Schludrigkeit, oft gepaart mit einer Portion Naivität und Unerfahrenheit des Eigentümers / Betreibers - womit ausdrücklich nicht wir als Provider gemeint sind ! Dennoch sind sind auch wir als Provider in der Pflicht, Bewußtsein und Aufklärung zu schaffen - deshalb auch dieser Blog-Beitrag.
Die unmittelbare Folge im Angriffs-Fall sind oft zunächst instabile Systeme wie z.B. abstürzende Rechner und Server, crashende Dienste oder schlicht stark ausgelastete Systeme. Oft sind dies auch Indizien für laufende oder sich abzeichnende bald erfolgreiche Angriffe. Man sollte von daher alle "nicht normalen Anzeichen" ernst nehmen und den Ursachen stets auf den Grund gehen - was natürlich im Einzelfall auch mal mit einigen Stunden Aufwand und damit Kosten verbunden sein kann.
Es gibt aber auch Fälle, in denen ein Angriff bereits erfolgreich war und man zunächst gar nichts bemerkt: Man arbeitet auf der eigenen Workstation ganz normal weiter, die Webseiten vom eigenen Server kommen wie immer - tja, bis zum Tag X wo dann das böse Erwachen kommt. Auch schon alles dagewesen.
Ich möchte hier keine Angst und Schrecken verbreiten, dennoch möchte ich mal einige exemplarische und mögliche Folgen schildern. Alle nun aufgezählten Fälle sind real bereits bei Kunden passiert, stammen also durchweg aus der Praxis:
Diese Fälle hatten wir zum Teil mehrfach in den vergangenen 10 Jahren in den unterschiedlichsten Ausgestaltungen und Wirkweisen. Meistens - zumal es manchmal auch um größere Euro-Beträge geht bis ein System wieder hergestellt ist - stellt sich dann die Frage nach der Schuld: Wer hat's verbockt ? Dies ist nicht immer einfach klärbar und Bedarf nicht selten entsprechender aufwendiger Analysen. Meistens ist es am Ende aber klar, wenn man sich die Verantwortungsbereiche klar macht: Hat man beispielsweise einen Managed-Root-Server, bei dem wir als Provider uns um Betriebssystem- und Serverdienste-Updates sowie die Konfiguration und Überwachung von Diensten wie Firewall, z.B. Apache, Mysql, PHP u.a. kümmern - und der Kunde auf diesem Webseiten z.B. unter Typo3 betreibt die von ihm installiert und gewartet werden. Wird das System erfolgreich infiltriert, muss man in der Analyse schauen wie der Angriff genau gelaufen ist und was die Ursache war: Eine drei Jahre veralterte Apache-Software und wir als Provider wären Schuld, da wir unseren Vertrag "Managed Server" in unserem Verantwortungsbereich nicht erfüllt hätten - eine veralterte Typo3-Installation oder ein Programmierfehler und die Schuld liegt klar beim Kunden. Und natürlich kann es auch immer sein, dass eigentlich alle Komponennten aktuell sind - die Sicherheitslücke schlicht noch so neu ist, dass es dafür einfach noch keinen Schutz gibt. Einen 100% Schutz gibt es selbstverständlich sowieso nicht.
Das ist ja alles ganz furchtbar, böse und eigentlich sollte man am besten ja gar keinen Server mehr betrieben und ins Internet gehen - ganz schlimme Sache das. Aber mit dieser Einstellung dürfte man auch in kein Auto mehr steigen - geschweige denn via Flugzeug in den Urlaub fliegen. Also auch keinen Server mehr betreiben und die eigene Homepage abschalten, auf Internet-Telefonie verzichten ? Nein, natürlich nicht. Wir alle werden weiter in den Urlaub fliegen, weiter Internet-Server betreiben, uns in unsere Autos setzen, in den Strassenverkehr einfädeln und dabei via Internet telefonieren.
Wichtig ist aus meiner Sicht vor allem, dass man sich den Risiken erst einmal bewusst ist. Beim Auto fällt nach Jahren der Nutzung ja auch mal der Auspuff ab und die Bremsen lassen nach - was zu Unfällen führen kann. Mit dem Auto - und das ist für die meisten völlig logisch - geht man deshalb regelmässig in die Werkstatt und muss außerdem noch zum TÜV zum Check. Das bringt das Unfall-Risiko natürlich nicht auf Null, reduziert die Wahrscheinlichkeit aber deutlich. Deshalb kann man sich bei Neuwagen damit auch etwas mehr Zeit lassen als mit älteren Fahrzeugen. Und bei Computern, egal ob Workstation oder Server, und Software ist dies eigentlich ganz genauso, vor allem wenn diese an das Internet angebunden sind. Regelmässige "Werkstatt-Termine" und "Checks" sind einfach Pflicht um das Risiko zu reduzieren.
Und bei solchen regemässigen Checks müssen ALLE Komponennten überprüft und ggf. erneuert werden. Bringt beim Auto ja auch nichts, wenn man sich nur die Lampen und Beleuchtung anschaut aber die abgefahrenen Bremsen ignoriert - das knallt dann irgendwann. Genauso wenig bringt es etwas, das Betriebssystem (z.B: von uns) aktuell halten zu lasen aber die Jommla-Installation dann mit Version 1.0 munter weiter zu betreiben. Das knallt dann irgendwann ebenfalls und da darf man sich dann auch bei einer TK-Anlage nicht wundern, wenn andere auf Ihrem Guthaben mit telefonieren.
Deshalb sind aus meiner Sicht folgende Punkte wichtig und sollten selbstverständlich sein:
Wenn man sich darum nicht selber kümmern will oder kann, muss und sollte man diese Aufgaben delegieren. Dies gibt es natürlich nicht zum Null-Tarif, genau wie in einer Auto-Werkstatt fallen auch für diese Jobs regelmässig Kosten an. Diese können im IT-Bereich im Gegensatz zur KFZ-Branche auch durchaus beträchtlicher sein, als beispielsweise die monatliche Servermiete kostet. Aber dies sind immer gut angelegte Investitionen, denn genau wie im Transportwesen sollte auch im IT- und Internet-Bereich gelten: Savety first. Für sich selber und für alle anderen Verkehrsteilnehmer. Portunity ist dabei gerne in allen Unternehmensbereichen Ihr Ansprechpartner und Dienstleister: Egal ob Sie ein Hosting bei uns haben, via DSL-Anschluß über uns ans Internet angebunden sind oder wir eine Website für Sie entwickeln.
27.01.2023
Kommentare
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.