Warum Ihre Firewall falsch konfiguriert ist

Herrscht in Ihrer Firewall auch Durchzug?

Admin-Tipps | Posted by SYMPLASSON | 25 September 2017
Warum Ihre Firewall falsch konfiguriert ist

"Ich habe doch so viel Geld für eine Firewall ausgegeben - wie konnte das passieren?" Diese Frage hören wir leider viel zu oft, wenn wieder mal ein Krypto-Trojaner wichtige Daten verschlüsselt hat oder Arbeitsplatz-Rechner gehackt wurden. Wie kommt es, dass immer noch in vielen vor allen kleineren Unternehmen eine so geringe Sicherheit herrscht, obwohl die Bedrohungen im Prinzip sowohl der IT als auch dem Geschäftsführer bekannt sind? Dies möchten wir aus unserer jahrelangen Erfahrung einmal pointiert beleuchten.

Sicherheit kann man nicht einmalig kaufen

Eine Firewall zu kaufen und einfach hinzustellen nützt nicht besonders viel - um ein vertretbares Sicherheitsniveau zu erreichen, ist eine sehr aufwändige Konfiguration und laufende Überwachung einer Firewall zwingend erforderlich.

Die firmenspezifischen Regeln, die in der Firewall definiert werden müssen - und eben nicht mitgeliefert werden - sind sehr komplex, haben viele Wechselwirkungen untereinander und ihre Einrichtung beinhaltet enorm viele Fehlerquellen. Hinzu kommen manchmal Fehler in der Firewall-Software, die man kennen und umgehen muss, weil diese sonst dazu führen, das Regeln nicht korrekt funktionieren und unwirksam sind. Jahrelange Erfahrung und tiefgehendes Wissen über die Bedrohungen und Angriffs-Szenarien sind erforderlich, um so ein Regelwerk wirklich sinnvoll zu erstellen und ständig an die sich weiterentwickelnden Anforderungen eines Unternehmens anzupassen.

Sicherheit ist (zumindest bei der klassischen Kauflösung) durch diese laufenden Aufwände leider nicht ganz billig und wird daher oft in der Praxis vernachlässigt. Eine Firewall trägt nichts zur Wertschöpfung im Unternehmen bei und wird schon deshalb meist als lästige, weil unproduktive Investition gesehen, die dem Entscheider von "nervigen IT-Spezialisten aufgenötigt" wird, um das von uns häufig angetroffene Entscheidungsklima einmal in plakative Worte zu fassen. Und dann sollen noch jeden Monat laufende Betreuungskosten anfallen, die bereits nach kurzer Zeit die Anschaffungskosten übersteigen? Dies ist seitens der IT oft schwer zu argumentieren.

Vielleicht hilft ein Vergleich: Eine Firewall ist wie ein neuer Werkzeugkoffer für einen Handwerker, der eine Maschine zusammenbauen soll. Hochwertiges Werkzeug ist an sich schon teuer, ermöglicht aber höhere Präzision bei der Montage. Und jedem ist klar, dass der Handwerker mit Hilfe der Werkzeugs die Maschine zusammenbauen muss, dafür viel Zeit braucht und dafür auch einen Lohn bezieht, und niemand wundert sich, dass schon drei Wochen Lohn mehr ausmachen als die Anschaffung der Schraubenschlüssel. Aber bei einer Firewall ist das überraschend? Warum?

Warum weiß Ihr Chef nix von den Sicherheitslücken im Netzwerk?

Datensicherheit, IT-Sicherheit, Firewall, IT-Service, SYMPLASSON, Administration, Arbeitsplatz, Sicherheitsmaßnahmen, Managed Service, SYM IT,

Wir kommen zurück auf die oben schon beschriebene Tatsache, dass Ausgaben für IT-Sicherheit (aus verständlichen Gründen) als unproduktive Kosten nicht gerade gern gesehen sind. Kaum ein Geschäftsführer hat auch Lust und Zeit, sich mit den technischen Hintergründen so weit zu beschäftigen, dass er selbst die Lage (haftungs-) technisch beurteilen kann. Er verlässt sich auf seine IT-Admins. "Verschonen Sie mich mit den Details" ist ein oft gehörter Satz, meist in Kombination mit "so viel Geld können wir dafür nicht ausgeben, machen Sie das anders" oder vergleichbaren Statements.

Manchen verantwortungsbewussten Admin bringt das nicht nur zur Verzweiflung, sondern auch in eine unmögliche Lage - er möchte gerne melden, darf aber nicht, weil der Chef die Wahrheit nicht hören will, oder jedenfalls nicht darauf reagieren. "Chef, der Flur brennt da hinten- wir brauchen Geld für Feuerlöscher." - "Zu teuer, außerdem ist mir noch gar nicht heiß."

Unser Rat an den geplagten Admin: Geben Sie dem Boss die Lageeinschätzung schriftlich und lassen Sie sich diese unterschreiben. Notfalls mit einem Zeugen, der unterschreibt, dass Sie dem Boss den Zettel gegeben haben. Denn sonst sind SIE es später vielleicht, der für die Folgen eines existenzbedrohenden Sicherheitsvorfalles auch noch verantwortlich gemacht wird. Und vielleicht fängt der Chef ja dann doch an, die Sache ernst zu nehmen…

Arbeitsplatzsicherung oder: Warum der Admin nix dagegen tut

Nur nicht auffallen, heißt die Devise - denn der Chef hat die Marschrichtung ausgegeben, dass die Arbeit nicht behindert werden darf. Wirksame Regeln und Verbote auf der Firewall führen aber zu bemerkbaren Auswirkungen bei den Anwendern, es "funktioniert nicht mehr alles einfach so".

Die geliebte Dropbox ist plötzlich gesperrt und der coole Bildschirmschoner vom Kollegen aus Weißrussland kommt nicht mehr durch. Das neueste Filmchen kann nicht mehr heruntergeladen werden, der wichtige ZIP-Anhang vom Geschäftspartner wird aus der Mail gefiltert. Websites verhalten sich anders als zu Hause, weil deren wilde Scripte plötzlich nicht mehr Ihre Daten auslesen dürfen. Und so weiter.

Um durch solche Sicherheitsmaßnahmen möglichst wenig negativ aufzufallen, werden Firewalls dann oft in trivialen Standard-Konfigurationen betrieben, die zu möglichst wenig Fragen der Anwender (und des Chefs!) führen, weil einfach alles funktioniert wie vorher auch. Einen solchen Firewall-Einsatz könnte man auch als "Secure Washing" bezeichnen, in Anlehnung an das "Green Washing" von Unternehmen mit scheinheiligen, weil unwirksamen Umweltschutz-Policies.

Vielleicht reicht der Haken auf der Checkliste "Firewall ja/nein" ja für oberflächliche ISO-Auditoren oder die Banken-Rating-Checkliste, Aber machen Sie sich klar - "alles funktioniert genau wie vorher" bedeutet, es ist nach wie vor alles OFFEN. Eine Erhöhung der Sicherheit ist das eben NICHT!

Vielen Administratoren, die nach bestem Wissen und Gewissen arbeiten, sind die Probleme der Firewalls mangels Hintergrundwissen und Erfahrung auch gar nicht wirklich bewusst.

Sie arbeiten seit Jahren ohnehin im Stress gegen die alltägliche Widrigkeiten des IT-Betriebs an und haben alle Hände voll damit zu tun, die Kernprozesse in der IT am Laufen zu halten. Es fehlt oft die Zeit, sich zurückzulehnen, strategische Betrachtungen anzustellen und entsprechende grundlegende Verbesserungen umzusetzen. Hier wäre es sinnvoll, sich für einen derart kritischen Bereich externe Unterstützung zu holen.

Datensicherheit, IT-Sicherheit, Firewall, IT-Service, SYMPLASSON, Administration, Arbeitsplatz, Sicherheitsmaßnahmen, Managed Service, SYM IT,
Oft haben Administratoren alle Hände voll zu tun und es fehlt ihnen nicht nur die Zeit, sondern auch das nötige Wissen

Für viele Admins bedeutet aber die Forderung nach externer Unterstützung gegenüber dem Chef auch das Eingestehen fehlenden eigenen Wissens, auch wenn dies durch die seit Jahren bestehende Überlastung sauber zu begründen wäre. Wohl dem, der einen Chef hat, der an dieser Stelle nicht Sätze bringt wie "Sind sie zu blöd, das hinzukriegen? Bei dem Gehalt? So schwer kann das doch nicht sein", sondern die Problematik auch als seine erkennt und Lösungswege mitgeht und die externe Unterstützung genehmigt.

Es ist eben unrealistisch, von einem Admin derart breite Kenntnisse und Erfahrungen zu erwarten, wie Sie für eine komplette IT-Umgebung heute erforderlich sind. Hinzu kommt, dass gerade im Bereich Sicherheit nur kompetent agieren kann, wer über vielfältige und laufend aktuelle Erfahrungen aus unterschiedlichen Umsetzungen, Produkten und Vorfällen verfügt. Diese kann ein interner Admin im Mittelstand per definitionem nicht haben, da er nur ein System betreut und infolgedessen kann auch der Chef ihm das niemals berechtigt vorwerfen.

„Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.“ (Gene Spafford)

Externer Sicherheitsdienstleister als Moderator und Umsetzer

Ein Königsweg aus dem ganzen Schlamassel ist es, einen externen Sicherheitsdienstleister einzuschalten. Ein guter Anbieter versteht beide Seiten - die GF und die IT, und kann beiden gegenüber auch ohne Angst vor Gesichts- und Arbeitsplatzverlust ganz anders auftreten, Sachverhalte klarstellen und auch anspruchsvolle Maßnahmen vorschlagen.

Bei einem solchen Anbieter konzentrieren sich die jahrelangen Erfahrungen aus vielen Projekten, mit vielen Herstellern und Produkten, und aus vielen Sicherheitsvorfällen. Sie erhalten eine Expertise und Qualität in der Umsetzung, die intern kaum herstellbar ist.

Unser Rat dabei - suchen Sie sich einen Dienstleister, der sich traut, unbequem zu sein. Wenn Sie die Wahrheit gar nicht hören wollen, von Sicherheit ohne Investition träumen oder immer noch hoffen, der ganze Internet-Bedrohungs-Wahnsinn möge irgendwann über Nacht wieder verschwinden, dann lassen Sie es lieber - denn dann können sie das Geld auch wirklich lieber sparen.

Firewalls als Managed Service - die kalkulierbare Alternative

Für Unternehmen in der Größenordnung bis vielleicht 100 Mitarbeiter - und das ist in Deutschland die große Mehrheit - ist eine sichere Firewall  eine echte kommerzielle Herausforderung, für viel sogar wirtschaftlich unmöglich.

Ein Managed Service kann hier eine Alternative sein, wenn er gut umgesetzt ist, Sicherheit ernst nimmt und sich traut, unbequem zu sein, also wirklich wirksame Regeln durchzusetzen. Leider gibt es hier viele "Gelddruck-Angebote", bei denen zwar eine Service-Miete kassiert, aber in der Praxis genauso "support- und kostenminimierend" vorgegangen wird wie oben beschrieben.

Bei hochwertigen Angeboten wie zum Beispiel dem SYM IT Firewall Service des Hamburger IT-Dienstleisters SYMPLASSON sind alle Sicherheitsfunktionen standardmäßig aktiviert, und nicht umgekehrt: es wird nicht verboten, was einem gerade so einfällt, sondern nur erlaubt, was für den Geschäftsbetrieb wirklich benötigt wird. Die benötigen Ausnahmeregeln werden in einer Analysephase - und später im Betrieb bei Änderungen an den Prozessen nach Bedarf - ermittelt und konfiguriert.

Das dahinter stehende, aufwändige Regelwerk ist das Ergebnis langjähriger Erfahrung aus dem Betrieb von mittelständischen IT-Systemen verschiedenster Branchen. Denn nur wenn man weiß, wie Angriffe heute durch die Kombination unterschiedlicher Techniken und Wege ausgeführt werden, kann man Firewall-Regeln und ihre Kombinationen tatsächlich verstehen und wirksam einsetzen.