Ganz egal, ob in einem Kleinunternehmen, einem mittelständischen Betrieb oder einer großen Firma: Der Aufbau und die Einrichtung eines Firmennetzwerks wollen gut geplant und optimal durchgeführt werden. Das gilt in der aktuellen Zeit umso mehr, wo immer mehr Mitarbeiter im Homeoffice arbeiten und auf den firmeninternen Datenbestand zugreifen müssen. Wir zeigen Ihnen, worauf es ankommt und was Sie beachten sollten.
Ein Firmennetzwerk einzurichten, ist mehr als das bloße Herstellen einer Netzwerkverkabelung und die Anschaffung einer Vielzahl von Computern. Neben den Client-Rechnern (also den Arbeitsplatz-Computern) müssen die Firewall, die DNS-Server und das WLAN eingerichtet werden. Außerdem darf eine passende Backup-Strategie nicht fehlen. Hinzu kommt ein sinnvoller Schutz gegen mögliche Datenlecks, der ebenfalls Teil Ihrer Strategie sein sollte.
Eine entscheidende Grundregel ist: So komplex wie nötig, so einfach wie möglich
Eine der wichtigsten Grundregeln beim Aufsetzen eines Büronetzwerks lautet: Halten Sie den Aufbau des Netzwerks möglichst einfach, aber verzichten Sie nicht auf notwendige Sicherheitsmaßnahmen. Nicht jeder Drucker muss beispielsweise in ein Active Directory eingebunden werden, wenn er auch „so” (über die normale Windows-Umgebung oder via Direktanschluss) nutzbar ist. Die Windows-Netzwerkumgebung muss nicht aktiv gesperrt werden, wenn auf den Arbeitsplatzrechnern keine besonders sensiblen Daten zu erwarten sind. Auch das WLAN-Passwort muss nicht zwingend nur aus kryptischen Zahlen und Sonderzeichen bestehen, die sich niemand merken kann.
Trotzdem kann es sinnvoll sein, den Zugriff auf bestimmte Infrastruktursysteme so zu beschränken, dass nicht jeder auf alles Zugriff hat. Arbeiten Sie daher durchaus mit Nutzergruppen und Berechtigungsstufen – und gewähren Sie je nach Abteilung oder Aufgabenstruktur den betroffenen Mitarbeitern nur diejenigen Rechte, die sie wirklich benötigen.
Ein Gastzugang für Ihr Firmen-WLAN wiederum hilft Ihnen dabei, den normalen Zugang auf Ihren Mitarbeiterkreis zu beschränken und trotzdem möglichen Besuchern einen gewissen Service zu bieten.
Für besondere Anforderungen: Der Zero-Trust-Ansatz
Zero-Trust („Null-Vertrauen”) bietet eine noch bessere Absicherung Ihres Unternehmensnetzwerks. Der Ansatz geht davon aus, dass alle Geräte, die von außen versuchen zuzugreifen, solange verdächtig sind, bis das Gegenteil bewiesen ist.
Dazu gehört, dass die Benutzer nur auf die Dateien zugreifen können, die sie zur Erledigung ihrer täglichen Aufgaben benötigen, und dass sie jeden weitergehenden Zugriff beim leitenden Personal oder der IT-Abteilung begründen müssen. Durch die Einschränkung des Zugriffs der Mitarbeiter wird auch die Möglichkeit für bösartige Akteure, sich in Ihrem Netzwerk zu bewegen, reduziert. Ob der Aufwand für eine solche Detailabstimmung lohnt, sollte jedoch sorgfältig abgewogen werden.
Die wichtigsten Regeln für die Client-Infrastruktur
Eine normale (technische) Büroinfrastruktur besteht normalerweise aus zentralen Servern und jeder Menge Client-Geräten wie PCs, Laptops, Macbooks oder auch Smartphones.
Bevor Sie nun die einzelnen Clients an Ihr Firmennetzwerk anschließen, achten Sie zunächst auf
- Aktualität: Sämtliche Rechner sollten mit der neuesten verfügbaren Betriebssystemversion ausgestattet sein.
- Updates: Sämtliche verfügbaren Updates, auch für installierte Software, sollten installiert und die Geräte automatisch auf dem neuesten Stand gehalten werden.
- Minimalismus: Auf den Arbeitsplatzrechnern sollten keine unnötigen Programme installiert sein, die nicht für den Betriebsablauf notwendig sind.
- Rechtevergabe: Die Nutzer sollten insbesondere unter Windows nicht als Administratoren eingeloggt sein.
- Virenschutz: Auf den Rechnern sollten die jeweils zugehörigen Antivirenprogramme wie beispielsweise der Windows Defender aktiviert und mit automatischen Updates versorgt sein.
- Identifizierbarkeit: Die Rechner sollten jeweils mit einer eigenen, festen Büro-IP versehen werden (kein DHCP-Lease). So lassen sich später ungewöhnliche Aktivitäten und möglicher Viren- oder Malwarebefall leichter eingrenzen.
Viele Büroinfrastrukturen verfügen außerdem über unterschiedliche Stromkreise, die meist einzeln abgesichert sind. Nutzen Sie diese Tatsache, um kritische Geräte wie Desktop-PCs eventuell an einer unterbrechungsfreien Stromversorgung (USV) und hinter einem Überspannungsschutz anzuschließen. Bei einem Stromausfall lassen sich auf diese Weise wichtige Geräte noch kontrolliert herunterfahren und ein Blitzeinschlag beschädigt keine wertvolle Hardware. Vor allem Serversysteme sind empfindlich gegen derartige Einflüsse und sollten immer entsprechend abgesichert werden.
Außerdem sollten Sie die Stromkreise von Peripheriegeräten wie Schreibtischlampen, Ventilatoren und anderen Nicht-EDV-Geräten sorgfältig von denen Ihrer Rechner trennen. Sonst kann ein defektes Gerät bei einem Kurzschluss ganz schnell mehrere Rechner nicht nur lahmlegen, sondern diese auch beschädigen.
Neben den genannten Sicherheitsaspekten sollten Sie außerdem dafür Sorge tragen, dass Rechner und Monitore, die nicht benutzt werden, abends abgeschaltet und nicht nur in den Standby-Modus versetzt werden. Bei einer gewissen Anzahl an Rechnern kann der Unterschied im Stromverbrauch durchaus erheblich sein, wenn nachts alle Geräte komplett ausgeschaltet sind.
Stellen Sie sinnvolle Regeln für Passwörter auf und halten Sie sich selbst auch daran
Kaum etwas ist ärgerlicher, als wenn ein Router oder ein Server gehackt werden und darauf befindliche Daten in falsche Hände geraten. Legen Sie daher Regeln für Passwörter fest, damit diese folgende Kriterien erfüllen:
- Es darf sich nicht um ein einfaches Wort handeln, das in jedem Lexikon zu finden ist.
- Empfehlen Sie die Benutzung von Sonderzeichen und Groß- und Kleinschreibung.
- Ein gutes Passwort sollte mindestens acht Zeichen lang, besser noch länger sein.
- Ändern Sie sämtliche Standardpasswörter Ihrer Infrastruktur (wie beispielsweise das Ihres Routers) umgehend in Passwörter, die nur Sie und berechtigte Personen kennen.
- Legen Sie fest, in welchen zeitlichen Abständen Passwörter zu wichtigen Infrastruktursystemen oder Firmen-Tools geändert werden müssen.
- Erwägen Sie gegebenenfalls den Einsatz eines Passwort-Managementsystems, damit Passwörter nicht im Klartext auf den Desktops der Mitarbeiter abgelegt werden.
- Legen Sie Richtlinien fest, nach welcher Zeit Bildschirme gesperrt werden sollten (auch remote).
Hierbei sollten Sie unbedingt darauf achten, auch selbst Ihre eigenen Regeln zu beachten – nicht nur, um als Vorbild zu gelten, sondern auch, weil Ihr Administrator-Zugang für Kriminelle vermutlich besonders wertvoll wäre.
Legen Sie Ihre Backup-Strategie fest und nutzen Sie RAID-Systeme
Backups sind ein absolutes Muss. Ihren Wert erkennen viele aber erst, wenn Daten verloren gegangen oder beschädigt wurden. Auch für die regelmäßigen Backups liefert die Cloud eine gute Lösung. Denn hier erfolgen Backups der hinterlegten Daten automatisch beim und vom Cloud-Anbieter. Wenn dennoch Daten auf einer lokalen Festplatte hinterlegt sind, müssen Backups zwingend selbst durchgeführt werden.
Herkömmliche Festplatten speichern Daten magnetisch auf speziellen rotierenden Metallplatten. Mögliche Fehlerquellen wie mechanischer Verschleiß, starke Erschütterungen und die begrenzte Lebensdauer sind Ursachen für Datenverluste oder zerstörte Daten. Der Trend geht daher immer mehr hin zu SSD-Festplatten (Solid-State-Drive). Sie bestehen aus elektronischen Speicherbausteinen und benötigen keine mechanischen und rotierenden Elemente. Zudem sind sie wesentlich schneller als herkömmliche Festplatten und sie sind immun gegen Erschütterungen. Daten lassen sich nicht mehr löschen oder überschreiben.
So genannte RAID-Systeme (RAID = „Redundant Array of Independent Disks”) verringern zudem die Gefahr einer Beschädigung oder des Verlusts von Daten im Falle einer defekten Festplatte. Mehrere Festplatten werden schließlich so zusammengefügt, dass sie für den Anwender als eine Festplatte erscheinen. Fällt ein Laufwerk aus, stellt aufgrund gezielt redundanter Informationen ein Rebuild nach dem Ersatz der defekten Platte den ursprünglichen Zustand wieder her. Backups werden aber auf keinen Fall ersetzt.
Der Diebstahl von Daten wird oft viel später oder gar nicht bemerkt. Eine Verschlüsselung der Daten ist daher eine Lösung. Ohne Passwort sind Daten schließlich wertlos. Gerade bei mobilen Geräten ist es wichtig, die lokale Festplatte zu verschlüsseln. Auch USB-Sticks oder externe Festplatten sollten immer mit einem sicheren Schlüssel als Passwort geschützt werden. Gerade bei der Vielzahl an Passwörtern lohnt sich ein so genannter Passwort-Safe. Und um sichere Passwörter zu finden, ist der Einsatz eines Passwortgenerators sinnvoll.
Datendiebstahl wird oftmals über Phishing in die IT-Strukturen verursacht. Dieses so genannte Social Engineering hat das Ziel, dass der Empfänger einer Phishing-Mail eine Datei oder einen Link innerhalb einer E-Mail öffnet oder anklickt. Gelingt das, wird zumeist ein Trojaner ins System installiert. Da helfen Firewall-Systeme und Antivirensoftwares. Bei der Wahl ist es allerdings wichtig, darauf zu achten, dass keine Einbußen bei der Geschwindigkeit zu spüren sind.
So konfigurieren Sie Ihre Firewall optimal
Firewalls der nächsten Generation oder „intelligente Firewalls“ mit Funktionen wie Intrusion Protection (Schutz vor Eindringlingen, IPS) sichern nicht nur das Unternehmensnetzwerk und die Geräte der Mitarbeiter, sondern können auch Schutz vor Datenlecks bieten. Diese Firewalls verfügen über integrierte Funktionen, die reagieren können, sobald sie ein ungewöhnliches Verhalten oder einen unbefugten Zugriff feststellen, der ein Datenleck bedeuten könnte.
Verzichten Sie bei der Konfiguration möglichst auf potenziell gefährliche Any-Any-Zuweisungen – hierbei kann jedes Gerät über jeden Port mit einem anderen kommunizieren. Öffnen Sie jedoch in Ihrem Router all diejenigen Ports für ausgehende Anfragen, die üblicherweise für gängige Büroanwendungen genutzt werden. Hierzu gehören:
- Port 80 und 8080: Normaler Web-Traffic
- Port 443: HTTPS (sichere Webseiten)
- Port 53: DNS-Anfragen
- Port 110 (POP3) und 143 (IMAP): für unverschlüsselte E-Mails. Den SMTP-Port 25 sollten Sie möglichst nicht freigeben, da infizierte Rechner hierüber sonst möglicherweise Spam verschicken könnten.
- Port 465 (SMTP über SSL), 993 (IMAP über SSL) und 995 (POP3 über SSL): Für verschlüsselte E-Mails. Auch hier gilt, dass Sie den SMTP-Port nur dann freischalten sollten, wenn neben Webmailern auch etablierte Mailprogramme wie Microsoft Outlook verwendet werden.
Andere Ports hingegen können Sie optional freigeben, wie beispielsweise:
- Port 21: FTP-Verbindungen
- Port 691: MS Exchange Routing in entsprechenden Umgebungen
- Port 1503: Windows Live Messenger
- Port 23399: Skype
- Port 5938: Teamviewer
Je nachdem, welche Dienste außerdem bei Ihnen zum Einsatz kommen sollen, können weitere Portfreigaben notwendig sein. Eine Liste mit weiteren Portzuordnungen und Erläuterungen finden Sie in Windows-Umgebungen unter dem Pfad „C:WINDOWSsystem32driversetcservices” (öffnen Sie die „services”-Datei mit einem geeigneten Texteditor).
Eingehende Verbindungsanfragen sollten Sie, außer gegebenenfalls für VPN-Verbindungen (falls genutzt), generell ablehnen lassen.
Nutzen Sie ausschließlich vertrauenswürdige DNS-Server
Die Feststellung des Domain-Namens ist einer der ersten Schritte, die ein System ausführt, wenn es eine Verbindung im Internet herstellen möchte. Doch wenn ein Netzwerk von böswilligen Akteuren übernommen wurde, kann eine Firewall dies nicht unbedingt erkennen. Daher ist Domain-Spoofing – das Vortäuschen der Domain eines anderen Unternehmens oder einer anderen Person – eine beliebte Technik von Cyberkriminellen.
Der DNS-Schutz verhindert dies, indem IP-Adressen durch schwarze Listen mit bekannten bösartigen Websites gefiltert werden und DNS-Server bestimmten Tests unterzogen werden, um zu bestätigen, dass sie genau das tun, was sie tun sollen. Und da er so früh in den Prozess eingreift, kann er ein Datenleck verhindern, bevor es überhaupt entstehen konnte.
Nutzen Sie daher ausschließlich Server, die allgemein als vertrauenswürdig bekannt sind oder die von Ihrem Provider direkt empfohlen werden. Da die sogenannten Domain Name Server dazu dienen, dem Namen einer Website eine IP-Adresse zuzuordnen, könnte dieses System dazu genutzt werden, eigentlich harmlose Anfragen an eine bestimmte Website auf ein fremdes System umzuleiten. Dieses wirbt dann mit ähnlicher Optik wie die Originalseite, um an sensible Eingaben wie Passwörter oder Kreditkartendaten heranzukommen.
Stellen Sie Regeln für den Internetverkehr auf
Die schnellste Internetleitung nützt Ihnen wenig, wenn mehrere Mitarbeiter gleichzeitig und ohne Bandbreitenbegrenzung in 4K-Qualität Videostreams schauen. Definieren Sie daher Maximalwerte für die Bandbreitenauslastung, sodass zu jeder Zeit genügend Reserven auch für andere Mitarbeiter verbleiben. Nicht jeder Download muss mit der maximal verfügbaren Geschwindigkeit abgeschlossen werden.
Einen guten Kompromiss stellen hier sogenannte „Fair-Queuing-Rules” dar, die Sie in den meisten Routern konfigurieren können: Hierbei wird die verfügbare Internetbandbreite einfach unter den zugreifenden Nutzern aufgeteilt. Befindet sich jemand also alleine im Büro, bekommt er oder sie alleine die volle Bandbreite des Anschlusses zur Verfügung gestellt. Bei zehn Nutzern bekommt jeder entsprechend ein Zehntel der verfügbaren Geschwindigkeit zur Verfügung gestellt.
Ob Sie generell die Nutzung von YouTube und anderen Streaming-Diensten untersagen, ist sicherlich genauso eine Frage Ihrer verfügbaren Bandbreite wie Ihrer Unternehmenspolitik. Werfen Sie am besten gelegentlich einen Blick in Ihre Logfiles, um Verursacher hoher Datenmengen zu identifizieren und im Sinne aller mögliche Gegenmaßnahmen zu ergreifen. Dazu zählen beispielsweise eine Bandbreitenbegrenzung pro IP-Adresse. Entsprechende sogenannte QoS („Quality of Service”)-Tools wie Netlimiter helfen Ihnen hier eventuell weiter, sofern Ihr Router diese Funktion nicht von Haus aus unterstützt.
E-Mail-Gateway-Sicherheit und Inhaltskontrolle
Mechanismen für die E-Mail-Gateway-Sicherheit scannt Ihre Konten auf typische Cyber-Bedrohungen wie Malware und Ransomware. Fortgeschrittene Versionen solcher Tools sind auch in der Lage, Sendungen mit Schadcode abzufangen, bevor diese den Empfänger erreichen.
Da E-Mail jedoch eine Schwachstelle bildet, lohnt es sich, auch eine E-Mail-Inhaltskontrolle zu installieren. Diese nutzt KI, um Texte, Bilder und Anhänge nach möglichen Datenlecks zu durchsuchen und kann Sie sogar warnen, wenn Mitarbeiter vertrauliche oder sensible Inhalte teilen.
BYOD („Bring your own device”) – Ja, aber mit System
Eine Möglichkeit, den Büromitarbeitern mehr Flexibilität zu gewähren, ist, ihnen das Verwenden eigener Geräte im Büronetzwerk zu erlauben. Dies kann jedoch zu Problemen führen, wenn auf den Geräten möglicherweise Schadsoftware oder Viren vorhanden sind und sich diese im Büronetzwerk verteilen. Hier hilft ein gründlicher Check, bevor ein neues Gerät im Firmennetz zugelassen wird.
Die meisten Router ermöglichen es anschließend, DHCP-Zuweisungen nur an bestimmte MAC-Adressen (eindeutige Hardware-Adressen, die pro Gerät beziehungsweise Netzwerkkarte vergeben werden) zu erlauben. Nachdem Sie also ein neues BYOD-Gerät überprüft haben, notieren Sie sich dessen MAC-Adresse und schalten Sie genau diese für Ihr Büronetzwerk in der DHCP-Konfiguration frei.
Mit besonderen Werkzeugen für den Endgeräteschutz können Sie sehen, welche Geräte, wie beispielsweise Laptops und Smartphones, auf Ihre Unternehmensdaten zugreifen oder diese herunterladen und wo, so dass jede ungewöhnliche Aktivität erkannt werden kann.
Auch im Homeoffice sollten klare Regeln gelten
Wählen sich Ihre Mitarbeiter von zu Hause aus per VPN in Ihrem Büronetzwerk ein? Dann werden deren heimische Computer wie ein Teil Ihres internen Netzwerks behandelt. Das bedeutet auch, dass sich ausgehend von den privaten Rechnern der Mitarbeiter mögliche Schadsoftware in Ihrem Netz verbreiten könnte. Daher sollten möglichst auch Homeoffice-PCs denselben oder wenigstens ähnlichen Standards unterliegen wie Ihre Bürohardware.
Achten Sie außerdem darauf, dass die heimischen Rechner durch deren Anwender oder durch Sie so konfiguriert werden, dass sie für das normale Surfen nach VPN-Einwahl deren eigene Internetverbindung nutzen – sonst kann es schnell passieren, dass Ihre Büro-Datenleitung von den Homeoffice-Geräten mitbenutzt (und somit zusätzlich belastet) wird. Unter Windows muss hier in der VPN-Verbindung der Haken bei „Standardgateway für das Remotenetzwerk verwenden” entfernt werden, sofern er gesetzt war.
All-IP oder nicht? Die Vorteile einer standardübergreifenden Lösung auch für Telefonie
Das Thema All-IP ist spätestens seit der geplanten, endgültigen Abschaltung von ISDN in aller Munde. Sofern Sie ohnehin Ihre IT-Infrastruktur neu planen, können Sie sich eventuell die Anschaffung einer Hardware-Telefonanlage sparen. Die Lösung heißt Cloud-PBX: Hierbei sind die verwendeten Arbeitsplatztelefone nichts anderes als kleine Computer – die Ihre vorhandene Internet-Leitung genauso nutzen wie die dort ebenfalls angeschlossenen Computer. Mehr zum Thema All-IP verraten wir Ihnen auch an anderer Stelle in diesem Magazin.
Was hinter dem Begriff Unified Communications steckt, wie smarte Business-Kommunikation Ihre Position im Wettbewerb stärkt und auf was es im digitalen Geschäftsbetrieb sonst noch ankommt, erfahren Sie auch in unserem kostenlosen PDF-Whitepaper zum Thema UCC.
Ihre interne IT-Infrastruktur: Darauf kommt es an
- Wenn Sie ein Firmennetzwerk einrichten, sollten dessen Sicherheit an erster Stelle stehen – ohne jedoch unnötige Einschränkungen zu machen.
- Verlagern Sie Backups in die Cloud und nutzen Sie hausintern ausschließlich RAID-Systeme für den gemeinsamen Zugriff.
- Geben Sie in Ihrer Firewall nur wirklich benötigte Ports frei und sperren Sie Ihr Büronetzwerk gegen Zugriffe von außen.
- Sorgen Sie dafür, dass sämtliche Client-Rechner, auch im Homeoffice, bei Ihnen „bekannt” sind und über diese über aktuelle Updates verfügen.
- Auch Geräte, die von den Mitarbeitern mitgebracht werden, sollten auf dem neuesten Stand sein und einzeln im Netz registriert werden.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/ein-sicheres-internes-firmennetzwerk-einrichten-wichtige-tipps/