Wie Netzwerksegmentierung und NAC gegen moderne Trojaner helfen
„Manchmal würde ich mich freuen, wenn wenigstens die Eingangstür eines Unternehmens mit einem rudimentären Schloss gesichert wäre. Aber selbst die steht meistens sperrangelweit offen. Und wenn ein Eindringling dann im Flur ist, sind alle andere Türen auch noch offen.“ Wenn Dirk Menz über IT-Security für Unternehmen spricht, zieht er oft plastische Vergleiche. Hier noch einer: Stellen Sie sich den aggressiven Corona-Grippevirus in einem Großraumbüro vor. Genauso verbreitet sich ein moderner Trojaner in einem unsegmentierten IT-Netzwerk. Sie merken es viel zu spät und der Schaden ist umfassend. Dirk Menz plädiert deswegen für Segmentierung und NAC. Was das bedeutet, erklärt er hier.
Inhalt:
- Die Vorteile von Netzwerksegmentierung
- Trojaner wie „Emotet“
- Gegen moderne Trojaner hilft nur Netzwerksegmentierung
- Die Umsetzung: VLANs
- Ein Beispiel für eine einfache Netzwerksegmentierung
- Network Access Control ist ein weiterer Schritt
Sie sind Entscheider …
… und möchten die Kurzfassung? Netzwerksegmentierung hat zwei Vorteile:
- Das Risiko, das von Trojanern ausgeht, wird massiv gesenkt, weil im Ernstfall nur ein Bruchteil der Systeme betroffen ist.
- Der Aufwand, Geräte im Netzwerk zu konfigurieren, ist viel kleiner, weil ein NAC das automatisiert. Das entlastet die Administratoren.
Trojaner wie „Emotet“ sind eine neue Schadprogramm-Generation ohne virtuelle Feinde
Schadprogramme haben heute eine andere Qualität als noch vor zehn Jahren. Sobald ein moderner Trojaner wie Emotet auf Ihrem Rechner ist, fährt dieses kleine Schadprogramm seine Fühler aus und analysiert das Netzwerk, in dem es sich befindet:
- „Bin ich in einem Firmennetzwerk?“
- „Finde ich offene Ports, um weiter ins Netzwerk vorzudringen?“
- „Wie viel ist dieses Unternehmen für mich wert, welche Daten liegen hier?“
Dann infiziert der Trojaner weitere Rechner. Neue Tools, die der Trojaner braucht, um weitere Teile des Netzwerkes zu infizieren oder bestimmte Aktionen zu starten, bekommt er von „zu Hause“ gestellt – also von denen, die den Trojaner aus der Ferne kontrollieren (Command & Control).
Durch Emotet eingeschleuste zusätzliche Schadprogramme verschlüsseln z. B. ganze Netzwerke in kurzer Zeit. Die Programmierer verlangen dann durch den Trojaner ein hohes Lösegeld und versprechen, nach der Zahlung des Lösegeldes das befallene Netzwerk wieder freizugeben. Das ist zum Beispiel der Stadtverwaltung Neustadt passiert.
Moderne Trojaner passen ihr Aussehen und ihr Vorgehen ständig an. Ein Virenscanner sucht nach einer festen Signatur – und ist von Trojanern mit ständig angepassten Werkzeugen überfordert.
Trojaner wie Emotet müssen nicht von außen kommen
In vielen Unternehmen können Gäste relativ frei ein und aus gehen. Mit den richtigen WLAN-Zugangsdaten könnte zudem jeder in das Firmen-WLAN eindringen. Dafür müsste diese Person nicht einmal das Gebäude betreten. Und dann wird es kritisch, denn meistens stehen Usern durch das Unternehmens-LAN dann Tür und Tor zu vielen Daten offen. Egal mit welchem Endgerät. Dann einen Trojaner zu hinterlassen ist einfach, ob bewusst oder durch Unachtsamkeit. Wir brauchen also zwei Arten des Schutzes:
- Ein Trojaner darf sich nicht einfach wild im gesamten Netzwerk ausbreiten können.
- Nicht jeder sollte mit jedem Endgerät in jede Ecke des Netzwerkes vordringen können. Im besten Fall sollten nur vertrauenswürdige, saubere, autorisierte Geräte im Netzwerk sein.
Wir planen die Netzwerksegmentierung…
…Ihrer Unternehmens-IT, konfigurieren das NAC und helfen, diese Sicherheitsstandards einzuhalten. Haben Sie Fragen zu Netzwerksegmentierung und NAC? Nehmen Sie jetzt Kontakt mit uns auf!
Gegen moderne Trojaner hilft nur Netzwerksegmentierung
Ich sage ganz klar: Netzwerke müssen feingliedrig in Netzwerksegmente unterteilt sein, um IT-Risikomanagement zu betreiben. Gegen diese Trojaner hilft nur: die Bedrohung frühzeitig erkennen und die betroffenen Netzwerksegmente unter Quarantäne stellen. Das funktioniert aber nur, wenn derartige Quantantärezellen im Netzwerk vorgesehen sind – das Unternehmensnetzwerk also vorsorglich segmentiert ist. Stellen Sie sich das etwa so vor: Die gesamte IT-Infrastruktur (mit allen Computern) eines Unternehmens sitzt in einem großen metaphorischen Büroraum. Dann verbreitet sich der Trojaner sofort in alle Richtungen. Sie können auch eine andere Metapher bemühen, etwa die „Brandabschnitte“ einer IT. Sorgen Sie dafür, dass ein metaphorisches Feuer sich in der IT nicht ungehindert ausbreitet.
Netzwerksegmentierung bedeutet in der IT, dass wir überlegen: Wie viele einzelne Netzwerksegmente brauchen wir, um das gesamte Netzwerk bestmöglich zu schützen?
Ein Beispiel: Mindestens jede Fachabteilung könnte ein eigenes Netzwerksegment sein. Es ist dann nicht möglich, als Vertriebler auf irgendwelche Daten der Technik zuzugreifen. Ein sogenanntes Enforcement Device kann diese Rechte durchsetzen. Das ist nichts anderes als ein Gerät, das bestimmte Regeln durchsetzt. Eine Firewall, eine Daten-Diode, je nach Anwendung. Das Enforcement Device detektiert und verhindert Zugriffe von Endgeräten, die nicht für diese Art des Zugriffs autorisiert sind.
Eine konzeptionell saubere Netzwerksegmentierung muss Grundlage moderner IT-Netzwerke sein.
Die Umsetzung: VLANs
VLANs sind mehrere virtuell segmentierte LANs auf einem Switch. Das Netzwerk ist dann virtuell in mehrere Netzwerke segmentiert. Wir entscheiden also, auf welches Netzwerksegment welche Endgeräte über welches VLAN zugreifen können. Das können wir per Hand konfigurieren oder – ebenfalls mit einer entsprechenden Konfiguration – automatisch durch das Enforcement Device umsetzen lassen. Das Enforcement Device kann anhand des Endgeräts entscheiden, zu welchem VLAN es gehört – und so automatisch virtuell das Netzwerk segmentieren.
Ein Beispiel für eine einfache Netzwerksegmentierung: VoIP im Unternehmensnetzwerk
In Firmennetzwerken sind viele Netzwerkdosen ausschließlich für VoIP (Voice over IP) vorgesehen. Das ist im Grunde das gleiche physikalische Netzwerk wie auch für die Arbeitsrechner. Die Netzwerkdose wurde lediglich so konfiguriert, dass darüber nur Telefondaten fließen dürfen. Sie könnten dort einen Laptop anschließen, aber nicht viel daran machen, außer zur Telefonanlage durchdringen. Auch das ist schon eine sanfte Form der Netzwerksegmentierung: Ein Laptop oder ein anderes Endgerät könnte nicht auf das Firmennetzwerk zugreifen.
Würde jetzt das Netzwerksegment für die Telefonanlage infiziert, könnten Sie die restliche Infrastruktur noch benutzen.
Das können wir konsequent weiterdenken: Designer greifen nur auf die Bilddatenbanken im Netzwerk zu, Buchhalter nur auf Finanzdaten. Das ist Netzwerksegmentierung: isolierte Arbeitswege im Netzwerk.
Network Access Control ist der zweite Schritt: Das „Schloss“ an den Türen zu den jeweiligen Netzwerksegmenten
Testfrage: Wenn jemand die Zugangsdaten zu Ihrem Firmennetzwerk kennt, kann dann derjenige mit einem fremden Gerät sofort auf Ihr Netzwerk zugreifen? Kann also jeder sein eigenes Device mitbringen und sich – mit den richtigen Zugangsdaten – frei im Netzwerk bewegen? Wenn die Antwort „Ja“ ist, sollten Sie etwas tun.
Wir wollen, dass sich nur vertrauenswürdige Geräte im Netzwerk bewegen dürfen
Zusätzlich zur Netzwerksegmentierung nutzen wir deswegen Network Access Control. So können unbekannte Geräte auch nicht auf einzelne Netzwerksegmente zugreifen, sondern die NAC filtert unbekannte Geräte-IDs von vornherein raus. So haben Sie ausschließlich vertrauenswürdige Geräte in Ihrem Firmennetzwerk.
Dirk Menz empfiehlt eine verbesserte IT-Sicherheit für Unternehmen durch Netzwerksegmentierung und Network Access Control (NAC). Netzwerksegmentierung reduziert das Risiko durch Trojaner, da im Ernstfall nur ein Teil der Systeme betroffen wäre. NAC hingegen gewährleistet, dass nur autorisierte, vertrauenswürdige Geräte Zugang zum Netzwerk haben. Solche Maßnahmen sind wichtig, da moderne Trojaner wie Emotet Netzwerke umfassend infizieren und enorme Schäden verursachen können.