23.06.2005, 13:47 Uhr
Tipps zur IT-Security
Ein Spital muss seine Daten besonders gut schützen. Deshalb haben die dort angewendeten Techniken Vorbildcharakter.
Die Sicherheit ist ein umfangreiches Thema, auch in einer kleinen oder mittleren Firma. Spitäler kämpfen grundsätzlich mit den selben IT-Security-Problemen wie andere Unternehmen auch. Sie sind aber aufgrund der hochsensiblen Daten wesentlich exponierter, was sie zum idealen Benchmark werden lässt.
Um die Sicherheit zu garantieren, müssen verschiedene Aufgaben zusammenspielen: Organisatorische Regeln, physische Systeme wie Schlüssel und Zutrittsysteme und dann natürlich die Informatiksicherheit. Folgende Hinweise sollen helfen, das Risiko von Datenverlusten und Produktionseinbussen möglichst klein zu halten.
Schutzmassnahmen
Eine Firewall zum Schutz des Firmennetzwerks gegen aussen, insbesondere dem Internet, ist heutzutage selbstverständlich und unerlässlich. Eine richtig konfigurierte Firewall schliesst möglichst viele Türen und lässt nur einige wenige Kanäle für bestimmte Kommunikationsprotokolle offen.
Was die Firewall an Datenverkehr durchlässt, sollte durch einen Malware-Filter nach Viren, Spyware, Spam und anderen Bedrohungen durchsucht werden. Der Markt bietet heute einfach zu installierende Geräte, welche sich nach der Installation automatisch mit den neuesten Definitionen updaten. Im Jargon spricht man von UTM: Unified Threat Management und Intrusion Detection and Prevention (ID & P). Ein Zusatzprodukt wie Webspy erlaubt, Log-Files in eine leicht lesbare Form umzuwandeln und verhindert, dass Mitarbeiter das Internet missbrauchen. Auch Passwörter schützen. Sind diese aber einfach, können sie leicht geknackt werden, sind sie sicher, können die Anwender sie sich nicht merken. Oft werden Passwörter notiert und in der Nähe des Computers «versteckt» - es ist dann ein Leichtes, an geheimste Daten zu kommen.
Der Zugriff auf Computer, die von mehreren Personen genutzt werden, stellt für Administratoren ein grosses Problem dar. Wann immer ein Anwender eine andere Aufgabe innerhalb der Organisation übernimmt, oder wenn er diese verlässt, sollten Administratoren wissen, zu welchen Systemen er Zugang hatte, welche Passwörter er kannte und diese dann ändern. Selbstverständlich müssen danach alle Betroffenen - und nur diese - informiert werden. Leider sind viele Passwortschutzsysteme mit hohen Kosten verbunden. Das Unterhalten von klassischen Tokens ist kostspielig und aufwändig. Eine interessante Möglichkeit, die das Spital evaluiert, ist Savernova - eine Schweizer Lösung mit relativ tiefen Unterhaltskosten und guten Tools für Passwort- und Identitätsverwaltung. Diese erlaubt es, nicht nur ohne Hardware zu operieren, sondern auch sicherzustellen, dass Passwörter nicht mehr vergessen gehen.
Einen guten Schutz vor Datenverlusten bilden auch regelmässige Backups. So sollte es zumindest möglich sein, die Daten des Vortages zu rekonstruieren. Am besten werden die Backups ausser Haus in einem Tresor gelagert. Diverse Tools bieten die Möglichkeit, ebenfalls verlorene E-Mails wieder herzustellen. So zum Beispiel ermöglicht Powercontrols von Krollentrack, auf einem Exchange-Server einzelne Mails in kürzester Zeit zu reproduzieren.
Nicht nur an Viren denken
Fast alle Firmen schützen sich vor Viren mit Antivirenprogrammen. Viren sind aber längst nicht alle Bedrohungen, welchen die Firmennetze ausgesetzt sind. Weitere Schädlingsprogramme wie Trojaner, Würmer, Pishing, Spyware, Hoaxes, Jokes und Spam nutzen bekannte Schwachstellen der Betriebsysteme. Es könnten nun verschiedene Programme eingesetzt werden, um dagegen vorzugehen - besser ist aber eine Lösung, welche vor all dieser Malware mit einem integrierten Produkt schützt. So zum Beispiel schützt Panda Businessecure nicht nur Client-PC, sondern auch Fileserver, Mail-Server, SMTP-Gateways, MS Proxy und ISA-Server. Dieses ist insofern wichtig, da Dateien gleichzeitig in allen Anwendungen geschützt sein müssen.
Auch wenn das gewünschte Sicherheitsniveau konstant bleibt, so müssen immer grössere Anstrengungen unternommen werden, um dieses auch zu erreichen, denn die Hacker greifen mit immer effizienteren Methoden die Firmen an. Entsprechend muss die Software gepflegt werden. Neueste Anti-Malware-Definitionen stehen durchschnittlich zwei bis drei Stunden nach Bekanntwerden zur Verfügung. Diese müssen schnellstmöglich verbreitet werden, auch auf Laptops, welche nicht dauernd mit dem Firmennetzwerk verbunden sind. Hier zahlt es sich aus, wenn man über Lösungen mit einer zentralen Verwaltung verfügt. Diese erlaubt dem Netzwerkverantwortlichen, Installation, Rapportierung und Updates aller Client-PC einfach zu bewerkstelligen. Das verkürzt nicht nur die Reaktionszeit, sondern gewährleistet auch die konsequente Umsetzung der Sicherheitsvorschriften.
Traditionelle Antivirenlösungen können vor der Infektion durch bekannte Viren, Würmer und Trojaner schützen. Unzureichenden Schutz bieten diese Lösungen vor den sich immer schneller verbreitenden, unbekannten Bedrohungen.
Viren mit einem enormen Verbreitungs- und Schadenspotenzial, wie Netsky, MyDoom und Sobig, infizierten innerhalb weniger Stunden mehrere tausend PC-Systeme und gaben den Antivirenherstellern keine Chance. Die Analyse des schädlichen Codes, die Programmierung einer neuen Virensignaturdatei sowie die Verteilung an alle Nutzer kostet die Zeit, welche die Autoren dieser Schädlinge benötigen, um eine flächendeckende Verbreitung zu erreichen. Die neuen, intelligenten Truprevent-Technologien blocken Attacken unbekannter Schädlinge, bevor die Antivirenlösung weiss, dass es diese Bedrohung überhaupt gibt. Ebenfalls beinhalten diese neuen Technologien Mechanismen zum Schutz vor Schädlingen, die sich via Internet und Firmennetz verbreiten und nicht auf eine E-Mail-Übertragung angewiesen sind. Diese Lösung analysiert das Verhaltensmuster aller laufenden Prozesse und schlägt Alarm bei unüblichen, potentiell gefährlichen Aktionen.
Ein weiterer Gefahrenherd bilden Wireless-LAN (Wifi). Lösungen wie Panda Platinum erkennen und warnen vor fremden Geräten, die dem eigenen Funknetz näher kommen. Es ist unerlässlich, diesbezüglich die Schutzfunktion WEP zu aktivieren oder den Datenverkehr über sogenannte VPN sicherzustellen. Doch Vorsicht: auch bei VPN besteht kein Verlass vor ungeschützten Computern der externen Partner. VPN-Secure etwa scannt und entfernt Schadprogramme auf externen Computern, bevor sie im Netz akzeptiert werden. Schliesslich ist abzuwägen, ob geschützte persönliche Daten wie die Kankengeschichte via E-Mail versendet werden darf, oder ob eine E-Mail Verschlüsslungssoftware wie Centurion Mail eingesetzt werden sollte.
Pascal Mühle