IT-Security für KMU. Praxisnahe Maßnahmen und Empfehlungen zur grundlegenden Absicherung der IT-Systeme in kleinen und mittelständischen Unternehmen

Inhaltsverzeichnis

1 EINLEITUNG
1.1 Aktuelle Lage der IT-Sicherheit bei KMU
1.2 Zielsetzung und Vorgehensweise
1.3 Begriffsdefinitionen und Abgrenzung

2 GRUNDLAGEN
2.1 Vorgaben und Richtlinien zur Informationssicherheit
2.1.1 BSI IT-Grundschutz
2.1.2 ISO/IEC Normreihe 2700x
2.1.3 ISIS 12 Methodik
2.1.4 VdS 10000/10020
2.1.5 Weitere Richtlinien und Empfehlungen
2.1.5.1 IEC 62443
2.1.5.2 IT-Sicherheitsgesetz
2.1.5.3 CIS-Controls
2.2 Referenzmodell eines KMU
2.2.1 Organisation
2.2.2 Netzwerk
2.2.3 Active Directory
2.2.4 Unternehmensanwendungen
2.2.5 Cloud-Anwendungen
2.2.6 Industrial-IT
2.2.7 Sicherheitssysteme

3 ORGANISATORISCHE MAßNAHMEN
3.1 Organisation der Informationssicherheit
3.1.1 Leitlinie und Strategie zur Informationssicherheit
3.1.2 Informationssicherheitsbeauftragter (ISB)
3.1.3 Organisationsstruktur
3.1.4 Einbeziehen der Mitarbeiter
3.2 Prozesse und Dokumentation
3.2.1 Identitätsmanagement (IAM)
3.2.2 Inventarisierung und Dokumentation

4 TECHNISCHE SCHUTZMAßNAHMEN
4.1 Mehrstufiges Modell
4.2 Stufe 0 - Basisschutz
4.2.1 Zugangsschutz
4.2.1.1 Authentifizierung
4.2.1.2 Passwortsicherheit
4.2.1.3 Pass-the-Hash und Pass-the-Ticket
4.2.1.4 Privilegierte Konten
4.2.2 Active Directory Struktur
4.2.3 Applikationssicherheit
4.2.4 Patchmanagement
4.2.5 Protokollierung
4.2.6 Datensicherung und Notfallkonzepte
4.3 Stufe 1 - Perimeter
4.3.1 Firewall und DMZ
4.3.2 Web-Sicherheit
4.3.3 DNS-Sicherheit
4.3.4 E-Mail-Sicherheit
4.3.5 Intrusion Detection und Prevention (IDS/IPS)
4.4 Stufe 2 - Endpunkte
4.4.1 Anti-Virus
4.4.2 Firewall
4.4.3 Web-Filter
4.4.4 Detektion und Reaktion
4.4.5 Weitere Funktionen
4.5 Stufe 3 - Netzwerk
4.5.1 Segmentierung
4.5.2 Detektion und Reaktion
4.6 Weitere Überlegungen
4.6.1 Industrial-IT
4.6.2 Mobiles Arbeiten
4.6.3 Cloud-Technologien

5 FAZIT UND AUSBLICK

LITERATUR- UND QUELLENVERZEICHNIS

ABKÜRZUNGSVERZEICHNIS

Kurzzusammenfassung

In der vorhergehenden Seminararbeit zum Thema „Motivation und Ablauf cyberkrimineller Angriffe in produzierenden Unternehmen“ wurden die wichtigsten Aspekte und Grundlagen zur Beschreibung der Problemstellung gegeben. Auf Basis der dargelegten Sachverhalte und den aus der Presse entnommenen Informationen zur Entwicklung der allgemeinen Bedrohungslage ist davon auszugehen, dass die Wahrscheinlichkeit zielgerichteter Angriffe auf ein jedes Unternehmen zunehmend steigt. Auch und vor allem Unternehmen aus dem Bereich KMU (kleine und mittelständige Unternehmen) sind aufgrund der steigendenden Bedrohung durch cyberkriminelle Angriffe eher früher als später mit dem Thema IT-Sicherheit konfrontiert. IT-Infrastrukturen können hier bereits sehr komplex werden. Das Thema IT-Sicherheit im Bereich KMU wird daher oft aus Gründen des fehlenden Fachpersonals, des fehlenden Know-hows oder schlichtweg aufgrund des erforderlichen Finanzierungsaufwandes rudimentär behandelt. Dazu kommen neue Herausforderungen beim Aufbau von Netzwerken im Zuge der Digitalisierung und Industrie 4.0 sowie häufig auch der Einsatz von Cloud-Technologie.

Viele Unternehmen sind bereits Opfer eines Cyberangriffs gewesen und möchten im Rahmen des oft notwendigen Neuaufbaus der IT-Infrastruktur die Sicherheit verbessern. Der entstandene finanzielle Schaden, auch durch Verlust der Reputation bei Kunden, ist dabei meist um ein vielfaches höher, so dass sich präventives Vorgehen unter Einsatz der erforderlichen Ressourcen an dieser Stelle als durchaus sinnvoll darstellt. Zielstellung der Arbeit ist es, unter Berücksichtigung vorhandener Richtlinien zur Informationssicherheit, wie BSI IT-Grundschutz, ISO 27001 oder VdS 10000 für KMU, zielgerichtete Maßnahmen und Empfehlungen zu konzeptionieren, um ein zunächst vereinfachtes IT-Grundschutz-Profil zu entwickeln. Dieses soll bei Bedarf als Hilfestellung für weiterführende, individuelle Sicherheitskonzepte geeignet sein. Die Maßnahmen werden dabei möglichst praxisnah am Beispiel eines Referenzunternehmens beschrieben und berücksichtigen die Vorgehensweisen moderner Cyberangriffe. Maßnahmen im Rahmen des Datenschutzes (DSGVO) werden in dieser Arbeit nicht behandelt.

Abstract

In the previous seminar work on the subject of “Motivation and the Sequence of Cybercriminal Attacks in Manufacturing Companies”, the most important aspects and fundamentals for describing the initial problem were given. On the basis of the facts presented and the information taken from the press on the development of the general threat situation, it can be assumed that the probability of targeted attacks on every company is steadily increasing. Also, and above all, companies from the SME sector (small and medium-sized enterprises) are confronted with the issue of IT security sooner rather than later due to the increasing threat from cybercriminal attacks. IT infrastructures can already become very complex here. The subject of IT security in the SME sector is therefore often dealt with in a rudimentary manner due to the lack of IT specialist staff, the lack of know-how or simply because of the necessary financing costs. In addition, there are new challenges in setting up networks in the course of digitization and Industry 4.0 as well as increasing use of cloud technology.

Many companies have already been victims of a cyber-attack and want to improve security as part of the often necessary rebuilding of the IT infrastructure. The resulting financial damage, including the loss of reputation with customers, is usually many times higher, so that a preventive approach using the necessary resources makes sense at this point. The aim of this thesis is to conceptualize targeted measures and recommendations for SMEs considering existing guidelines for information security, such as BSI IT-Grundschutz, ISO 27001 or VdS 10000, in order to develop an underlying simplified IT basic protection profile. If necessary, this should be suitable as an aid for advanced, individual security concepts. The measures are described as practically as possible using the example of a reference company and considering the procedures of modern cyber-attacks. Measures regarding data protection (GDPR) are not dealt with in this work.

Abbildungsverzeichnis

Abbildung 1 - Zunahme der Angriffe auf Unternehmen 2015 - 2019 [Bit20a],

Abbildung 2 - ISMS Lebenszyklus nach Deming [BSI17b]

Abbildung 3 - Übersicht über die ISO/IEC 27000 Normenreihe [Bun20]

Abbildung 4 - Das ISIS12 Vorgehensmodell [ITS20]

Abbildung 5 - Vergleich der Richtlinien in Anlehnung an [Fra14], S. 27 und [Gro19]

Abbildung 6 - Klassifizierung von Organisationen nach CIS-Controls [CIS21b],

Abbildung 7 - Vereinfachter Netzwerkplan der Firma Musterbau GmbH

Abbildung 8 - Übersicht Active Directory „musterbau.intern“

Abbildung 9 - Hemmnisse bei der Verbesserung der IT-Sicherheit KMU [WIK17],

Abbildung 10 - Struktur des mehrstufigen Schutzkonzeptes

Abbildung 11 - Beispiel für Credential Dumping mit Hilfe des Tools „Mimikatz“ [Wis21]

Abbildung 12 - Active Directory Verwaltungsebenen-Modell [Mic14],

Abbildung 13 - Idee eines Firewall-Systems [Poh19], S

Abbildung 14 - MX- und SPF-Eintrag in der Domain „example.com“ [Sch20],

Abbildung 15 - Verhindern von Lateral Movement durch Netzwerksegmentierung [Sop20] .

1 Einleitung

1.1 Aktuelle Lage der IT-Sicherheit bei KMU

Die Digitalisierung und der damit einhergehende zunehmende Einsatz von vernetzten IT-Systemen und Cloud-Technologien bestimmt in einigen Unternehmen bereits Teile der Unternehmensstrategie. Laut aktueller Studie zum Thema Cloud setzen mit einem Anteil von 38% viele der befragten Unternehmen Public Cloud-Anwendungen entweder zusätzlich zur eigenen Infrastruktur oder sogar gänzlich alternativ ein. Als Gründe hierfür werden vor allem Vorteile bei der organisatorischen und technischen Flexibilität gesehen. Immerhin 58% bilden IT-Prozesse auf Basis von Private Cloud- Anwendungen ab. Gerade im Bereich der Anforderungen an Compliance und IT- Sicherheit gibt es allerdings oft Schwierigkeiten bei der Umsetzung von Cloud- Projekten. Die Cloud-Technologien werden nichtsdestotrotz insgesamt als großer Einflussfaktor für die Digitalisierung verstanden (vgl. dazu [KPM20]).

Nach [Del13] wurde im Jahr 2013 von 76% der befragten mittelständigen Unternehmen die Digitalisierung als strategisch relevant oder sogar besonders relevant angesehen. [Spa18] hat 2017-2018 in einer repräsentativen Untersuchung in NRW ermittelt, dass Unternehmen im Bereich KMU mit einem Digitalisierungsindex von 4,1, bei erreichbarer 10, im Gesamten aber durchaus Nachholbedarf bei der Digitalisierung haben. Gerade für kleine Unternehmen scheint der Nutzen digitaler Wertschöpfung dabei bisher gering. Im Untersuchungs-Teilbereich „IT-Infrastruktur“, welcher auch die „IT-Sicherheit“ beinhaltet, wird ein höherer mittlerer Indexwert von 6,0 erreicht, der die bewusste Auseinandersetzung mit den Gefahren der Cyberkriminalität vermuten lässt. Allerdings wird hier bereits davon ausgegangen, dass es sich lediglich um eine gefühlte Sicherheit handelt und der Wert somit nicht dem tatsächlichen Sicherheitsniveau entspricht ( [Spa18], S. 59-62).

Zudem scheint es, dass mit lediglich vier grundlegenden Fragen und den daraus resultierenden Ergebnissen das komplexe Themenfeld der IT-Sicherheit nicht abgebildet werden kann. Gerade Aspekte moderner Angriffsszenarien finden hier keine Beachtung. Dazu bezeichnen mehr als 50% der untersuchten Unternehmen ihre IT-Infrastruktur als nicht überwiegend professionell. Auch scheinen nur 30,4% der größeren Mittelständler und 14,6% der kleineren Unternehmen über ein vollständig dokumentiertes Sicherheitskonzept zu verfügen ( [Spa18], S. 54,142).

[Bit18] kommt in einem vergleichbaren Untersuchungszeitraum zu einem ähnlichen interessanten Ergebnis und gibt an, dass insgesamt nur bei 40% der befragten Unternehmen eine zentrale Digitalisierungsstrategie existiert und 62% der kleineren Unternehmen den eigenen Digitalisierungsgrad als niedrig oder sehr niedrig einschätzen. In der aktuellen Bitkom Studie zum Wirtschaftsschutz 2020 wird die Bedrohungslage für cyberkriminelle Angriffe als besonders bemerkenswert dargestellt. Demnach ist die Anzahl der Unternehmen, welche nach eigener Aussage zweifelsfrei von einem Angriff betroffen waren, in den letzten 2 Jahren mit einer Erhöhung um insgesamt 42% zum vorherigen Befragungszeitraum sehr stark angestiegen ( [Bit20a], S. 7).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Attacken haben stark zugenommen

Die Anzahl der erfolgreichen Cyberangriffe, welche in den Unternehmen Schäden verursacht haben ist demnach von 43% im Jahre 2017 auf 70% im Jahre 2019 und somit um 63% besonders stark angestiegen (vgl. [Bit20a], S. 14).

Die Lage der IT-Sicherheit kann insgesamt als ernstzunehmend und aufgrund der teilweise existenzbedrohenden Auswirkungen auf kleinere Unternehmen sogar kritisch angesehen werden. Experten in den Fachkreisen gehen davon aus, dass eine weitere Verschärfung der Sicherheitslage erfolgen wird. 82% der Unternehmen insgesamt gehen daher von einer weiteren Zunahme der Angriffe aus. Als größte Bedrohung wird die Infektion durch Malware und die Ausnutzung von unbekannten Schwachstellen wahrgenommen. Die zunehmende Vernetzung von Geräten sowie der Mangel an qualifizierten IT-Fachkräften und somit fehlendes Know-how spielen ebenso eine signifikante Rolle ( [Bit20a], S. 17,19).

Laut [WIK17] gaben gut zwei Drittel der untersuchten Unternehmen aus dem Bereich KMU an, dem Thema IT-Sicherheit eine hohe Bedeutung zuzumessen. Jedoch scheinen nach eigenen Angaben nur 20% der kleineren Unternehmen entsprechend zu handeln und haben eine IT-Sicherheitsanalyse durchgeführt. Bei größeren Unternehmen sind es laut Aussage immerhin 48%. Auch hier zeigt sich, dass größere KMU durchaus mehr für das Thema Digitalisierung und die IT-Sicherheit investieren. Insgesamt zeigt sich aber, dass trotz einer gewissen Sensibilisierung für das Thema und die entsprechenden Risiken insgesamt, die Unternehmen nicht zielgerichtet agieren. Neben den oft fehlenden finanziellen und personellen Ressourcen wird das Thema als zu komplex angesehen und die auf dem Markt angebotenen technischen IT-Sicherheitsmaßnahmen und Empfehlungen zur Umsetzung überfordern viele Unternehmen (vgl. dazu [WIK17], S. 44).

1.2 Zielsetzung und Vorgehensweise

Ausgehend von der fortschreitenden Digitalisierung und vor allem der Zunahme für Bedrohungen im Cyberraum müssen Unternehmen sich intensiv mit dem Thema IT- Sicherheit auseinandersetzen. Es mangelt dabei nicht an Regelwerken, welche im Rahmen der Sicherheitskonzeption zugrunde gelegt werden können. Bei der Beobachtung des Marktes ist festzustellen, dass es auch nicht an technischen Lösungen sowie Umsetzungs- und Optimierungsempfehlungen der Hersteller fehlt. Aber gerade aufgrund der Vielschichtigkeit des Themas und der Vielzahl von Lösungen und Richtlinien sind kleine und mittelständige Unternehmen zumeist überfordert. Selbst unter den verantwortlichen IT-Fachkräften herrscht oft Unklarheit darüber, welche Richtlinie denn nun die richtige ist und warum gerade die beschriebene Maßnahme umgesetzt werden muss oder soll?

Aufgrund der Individualität vieler Unternehmen ist es selbstverständlich schwierig einheitliche Aussagen zu treffen. Allerdings werden in den meisten Unternehmen aus dem Bereich KMU die gleichen Standardanwendungen und Systeme betrieben. Laut [Sta20] nimmt das Betriebssystem Microsoft Windows in den vergangenen zehn Jahren im Bereich Desktop zwar stetig ab und hat aktuell nur noch einen Marktanteil von rund 78%, aber beispielsweise im Bereich des zentralen Verzeichnisdienstes und der zentralen Benutzerverwaltung gilt das Microsoft Active Directory (AD) quasi als Industriestandard. Mit sehr hoher Wahrscheinlichkeit ist daher bei den meisten Unternehmen aus dem Bereich KMU eine Windows-Umgebung im Einsatz. Die grundlegenden Schutzmaßnahmen können also ähnliche Problemstellungen lösen oder die Lösung unterstützen.

Ziel der Arbeit ist es daher ein möglichst einfaches, solides, aber trotzdem zielgerichtetes Grundkonzept für diese Unternehmen zu entwickeln. Hauptfokus der Arbeit liegt dabei vor allem auf technischen Maßnahmen, grundlegende und sinnvolle organisatorische Aspekte werden aber ebenso betrachtet. Bei der Konzeption sollen typische und praxisnahe Maßnahmen auf Basis eines Referenzunternehmens beschrieben und festgelegt werden. Das Konzept soll neben den klassischen Aspekten und Maßnahmen der IT-Sicherheit vor allem auch die moderneren Formen der Cyberbedrohungen behandeln. Falls aufgrund einer rechtlichen Regelung oder anderweitiger Motivation eine Zertifizierung im Bereich der Informationssicherheit angestrebt wird kann die Arbeit als Hilfestellung und Einstieg in das Thema angesehen werden.

Zur Erstellung des Grundkonzepts werden zunächst die wichtigsten Richtlinien im Bereich der Informationssicherheit kurz beschrieben und gegeneinander abgegrenzt. Ziel ist es, die dort enthaltenen Maßnahmen für KMU zu konsolidieren und möglichst zu vereinfachen. Bei der späteren Bewertung der Relevanz und Kritikalität für die Konzeption der Maßnahmen wird neben der Auswertung von Fachliteratur auch auf praxisbewährte Empfehlungen (Best Practices) und Anleitungen von Herstellern Bezug genommen.

Anschließend erfolgt die Beschreibung eines fiktiven Referenzunternehmens. Hierbei wird versucht den Komplexitätsgrad eines typischen Unternehmens aus dem Bereich KMU abzubilden, so dass anhand des Modells die Umsetzung von Anforderungen und Empfehlungen beispielhaft erläutert werden kann. Trotzdem sollen grundlegende Maßnahmen auch für andere Unternehmen gelten.

Zuletzt erfolgt im Hauptteil die eigentliche Konzeption der Sicherheitsmaßnahmen. Hierbei werden sowohl technische als auch organisatorische Aspekte beschrieben. Um die Relevanz von Maßnahmen zu bewerten und das Verständnis zu erhöhen, werden wichtige Grundlagen passend mit eingebracht. Auch soll die beispielhafte Anwendung des Konzeptes auf das Referenzunternehmen eine Erläuterung und somit Bewertung für das eigene Unternehmen unterstützen.

1.3 Begriffsdefinitionen und Abgrenzung

Statistisch gesehen sind über 99% der Unternehmen in Deutschland dem Bereich KMU zugeordnet und machen mit einem Anteil der Beschäftigten von 57 % und einer Bruttowertschöpfung von 47 % einen Großteil der Wirtschaft aus. 15,1% der Unternehmen zählen zu den kleinen Unternehmen mit weniger als 50 Beschäftigten und sogar 81,8% zu den Kleinstunternehmen mit einer Beschäftigtenzahl von unter 10 ( [Des20]).

Der Begriff „KMU“ steht dabei für kleine und mittlere Unternehmen. Im englischen steht der Begriff „SME“ für small and medium sized enterprises. Die Einordnung von Unternehmen in diesen Bereich ist dabei aber nicht immer eindeutig definiert. In Anlehnung an die Empfehlungen der Europäischen Union gehören Unternehmen mit weniger als 250 Mitarbeitern und einem Jahresumsatz von höchstens 50 Mio. € zum Bereich KMU. Das Institut für Mittelstandsforschung Bonn definiert Unternehmen mit bis zu 500 Mitarbeitern als KMU, grenzt aber die Begriffe KMU und Mittelstand voneinander ab ( [IfM20]). Demnach sind mittelständige Unternehmen nicht aufgrund ihrer Größe definiert, sondern auf Basis der Verhältnisse von Eigentum, Leitung und Unternehmensrisiko, im Grunde also inhaber- und familiengeführte Unternehmen. Auch [Del13] definiert mittelständige Unternehmen als „eigentümergeführte Unternehmen und managementgeführte Unternehmen mit Eigentümereinfluss ab einer Umsatzgröße von etwa 50 Mio. Euro und einer Mitarbeiterzahl von bis zu 3.000 Mitarbeitern“.

Eine genaue Definition des Begriff KMU ist im Rahmen dieser Arbeit dabei aber nicht relevant. Vielmehr sollen Unternehmen betrachtet werden, welche typische Strukturen entsprechend kleinen oder mittelständigen Unternehmen aufweisen und über eigene IT-Systeme verfügen und diese verantworten, unabhängig von der Anzahl der Beschäftigten oder des Jahresumsatzes.

Die in dieser Arbeit beschriebenen Regelwerke beinhalten unter anderem die Einführung sogenannter Managementsysteme für Informationssicherheit oder auch Information Security Management Systems (ISMS). In Anlehnung an den BSI- Standard 200-1, ist ein ISMS Teil der Managementsysteme der Leitungsebene und soll dieser ermöglichen alle Aktivitäten bezogen auf Informationssicherheit in einer Organisation zu planen, zu steuern und nachvollziehbar zu dokumentieren. Ein Managementsystem wird dabei als Summe aller organisatorischen Prozesse und Regelungen, inklusive der zugeordneten Ressourcen und verantwortlichen Mitarbeiter, charakterisiert ( [BSI17b], S. 15-17).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 - ISMS Lebenszyklus nach Deming [BSI17b]

Ziel eines ISMS ist daher, auf Basis des PDCA-Prinzips (Plan Do Check Act) die Informationssicherheit in der Organisation zu etablieren und stetig zu verbessen. Wie aus der Definition zu entnehmen, liegt der Fokus hierbei nicht auf der Planung und Umsetzung technischer Maßnahmen zur Absicherung gegen konkrete Cybergefahren, sondern vielmehr wird ein ganzheitlicher Ansatz gewählt, welcher vor allem auch die organisatorischen Aspekte betrachtet und einen kontinuierlichen Verbesserungsprozess etabliert.

Die Begriffe „IT-Sicherheit“ und „Informationssicherheit“ werden oft gleichgestellt. [BSI17b] unterscheidet die beiden Begriffe voneinander und definiert IT-Sicherheit als Teilmenge der Informationssicherheit, welche sich auf den Schutz elektronisch gespeicherter Daten und deren Verarbeitung konzentriert. Informationssicherheit beschreibt dabei also alle auch nicht-technischen und vor allem nicht-digitalen Aspekte zum Schutz der Informationen einer Organisation. Im Rahmen der Arbeit wird ein Fokus auf technische Maßnahmen zum Schutz der IT-Systeme und somit eher auf das Teilgebiet der IT-Sicherheit gelegt. Die ist vor allem darin begründet, dass die Einführung eines umfassenden ISMS entsprechend der in dieser Arbeit beschriebenen Richtlinien mit den damit einhergehenden organisatorischen und personellen Veränderungen für die meisten KMU als zu große Hürde gesehen wird. Trotzdem werden auch in diesem Zusammenhang sinnvolle organisatorische Voraussetzungen und Maßnahmen betrachtet. Weitere Maßnahmen in Bezug auf Informationssicherheit, wie beispielsweise der physikalische Schutz von IT-Systemen und Gebäuden, beziehungsweise Rechenzentren, werden in dieser Arbeit nicht behandelt. Trotzdem sind diese Aspekte als nicht minder relevant anzusehen und sollten bei einem entsprechenden Projekt betrachtet werden.

2 Grundlagen

2.1 Vorgaben und Richtlinien zur Informationssicherheit

Es existieren einige Standards, Richtlinien und Empfehlungen, welche Unternehmen und Behörden dabei unterstützen sollen, die Gefahren in Bezug auf IT- oder Informationssicherheit zu betrachten und Maßnahmen in ihre Betriebsabläufe zu integrieren. Herausgeber dieser Dokumente sind internationale Organisationen, Branchenverbände und nationale Behörden. Die Regelwerke verfolgen dabei im Grunde die gleichen Ziele. Allerdings sind die Ansätze oft allgemein gehalten und auch gibt es zwischen den verschiedenen Regelwerken teils große Unterschiede hinsichtlich Komplexität und Umfang. Gerade für Unternehmen aus dem Bereich KMU ist es meist schwierig, auf Basis der Werke, geeignete Maßnahmen festzulegen oder umzusetzen. In diesem Abschnitt sollen die für diese Arbeit wichtigsten Richtlinien kurz betrachtet und erläutert werden.

2.1.1 BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesbehörde und wurde im Jahr 1991 gegründet. Das BSI soll als unabhängige und neutrale Stelle Fragen und Gefahren der Informationssicherheit bewerten, geeignete Maßnahmen oder Empfehlungen entwickeln sowie andere Behörden und Unternehmen in diesen Aspekten beraten und unterstützen. Grundlage für die behördlichen Aufgaben ist das BSI Gesetz (vgl. dazu [BSI20b]). Das BSI entwickelt bereits seit über 25 Jahren die Methodik IT-Grundschutz, welche die Gestaltung der Informationssicherheit in Behörden und Unternehmen unterstützen soll. Ziel des IT- Grundschutzes ist das Erreichen eines angemessenen und ausreichenden Schutzniveaus durch ein strukturiertes Vorgehen und einen ganzheitlichen Ansatz. Dieser umfasst sowohl technische als auch organisatorische, infrastrukturelle und personelle Maßnahmen. Neben den technischen Anforderungen beinhaltet der IT- Grundschutz somit vor allem auch den Aufbau eines Management Systems für Informationssicherheit (ISMS). Zur Beschreibung der Methodik dienen die BSI Standards der Reihe 200-xt (vgl. dazu [BSI20a]).

Die ehemals als weitere Basis für die Methodik dienenden IT-Grundschutzkataloge wurden im Jahr 2017 durch das IT-Grundschutz-Kompendium ersetzt. Dieses wird jährlich aktualisiert und veröffentlicht. Das IT-Grundschutz-Kompendium ist modular aufgebaut und nutzt das Baukastenprinzip. Die einzelnen Bausteine sind in thematische Bereiche, beispielsweise Organisation, Netze und Kommunikation oder Industrielle IT, zusammengefasst. Mit Hilfe der Bausteine soll die Einsatzumgebung besser strukturiert und geplant werden können. Bei der Methodik nach IT- Grundschutz wird auf eine vorhergehende Risikoanalyse mit abgeleitetem Schutzbedarf verzichtet. Vielmehr ist dies für die einzelnen Bausteine bereits allgemeingültig durchgeführt. Diese beinhalten daher, neben der Beschreibung der potentiellen Gefährdung, auch die Empfehlungen bzw. Anforderungen zum Erreichen der erforderlichen Sicherheit. Bei einer Modellierung nach IT-Grundschutz soll sich der Analyseaufwand somit auf einen Soll-Ist-Vergleich der bereits umgesetzten Sicherheitsanforderungen reduzieren. Die einzelnen Maßnahmen sind dabei sprachlich eindeutig, entweder als verpflichtende Anforderungen („MUSS“, „DARF NICHT") oder als Empfehlung („SOLL", „SOLLTE NICHT"), gekennzeichnet (vgl. dazu [BSI20a] und [BSI20c], Kapitel 1).

Der BSI IT-Grundschutz ist als Werkzeug für die Beurteilung der Sicherheit und Konzeption von Maßnahmen in allen Unternehmen, unabhängig von dessen Größe, gedacht und damit im Grunde auch für Unternehmen aus dem Bereich KMU geeignet. Allerdings bringt die ganzheitliche Betrachtung des IT-Grundschutzes einen nicht unerheblichen Aufwand mit sich. Auch der Umfang des IT-Grundschutz- Kompendiums mit über 800 Seiten Inhalt erschwert den Einstieg für Unternehmen mit geringen personellen und finanziellen Ressourcen. Dazu sind aus genannten Gründen einige der Anforderungen oft nicht umsetzbar oder zielgerichtet und somit sind einfacherer Ansätze im Bereich KMU durchaus sinnvoll. Um den Einstieg trotzdem zu erleichtern veröffentlicht das BSI aber auch entsprechende Publikationen und Borschüren, wie beispielsweise den Leitfaden zur Basis-Absicherung nach IT- Grundschutz (vgl. dazu [BSI17a]). Darüber hinaus werden vom BSI und seinen Partnerorganisationen Schulungen und Zertifizierungen zum IT-Grundschutz angeboten. Der IT-Grundschutz ist kompatibel mit dem Standard ISO 27001 und daher auch international angesehen.

2.1.2 ISO/IEC Normreihe 2700x

Die Internationale Organisation für Normung oder auch International Organization for Standardization (ISO) ist eine internationale, gemeinnützige Vereinigung zur Entwicklung von Standards. Die Internationale Elektrotechnische Kommission oder auch International Electric Commission (IEC) ist eine entsprechende Vereinigung, welche sich aber im Bereich Elektrotechnik spezialisiert. Die Normenreihe ISO/IEC- 2700x wird in Zusammenarbeit beider Organisationen entwickelt und beinhaltet eine Reihe von Standards zur Informationssicherheit. Die dabei wichtigste und bekannteste Norm ISO/IEC 27001 beschreibt die Anforderungen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) (vgl. dazu [Ise20]).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 - Übersicht über die ISO/IEC 27000 Normenreihe [Bun20]

Komplexität und Aufwand zur Einführung eines ISMS und Konzeption von Maßnahmen nach ISO/IEC 2700x sind ähnlich zu bewerten wie bei BSI IT- Grundschutz und somit für KMU meist zu umfänglich. Die Vorgaben sind dabei vergleichsweise wenig konkret und praxisnah. ISO/IEC 2700x verzichtet außerdem nicht auf eine grundsätzliche, vorangestellte Risikoanalyse bei der Konzeption von Maßnahmen. Unternehmen können ihr ISMS nach ISO/IEC 27001 zertifizieren lassen. Eine entsprechende Zertifizierung im Bereich der Informationssicherheit ist hoch angesehen und wird je nach Branche von Geschäftspartnern oft auch explizit gefordert.

2.1.3 ISIS 12 Methodik

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand (NIM) entwickelt. Hierbei handelt es sich um einen Interessenverbund aus Wirtschaft und Forschung mit Förderung durch das Bayerische Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie. ISIS 12 beschreibt ein Modell zur Einführung eines ISMS. Es steht dabei für „Informationssicherheits-Managementsystem in 12 Schritten" und soll als Teilmenge zu BSI IT-Grundschutz bzw. ISO/IEC 27001, speziell auf die Anforderungen mittelständiger Unternehmen und Kommunen zugeschnitten, einen einfacheren Einstieg zum Aufbau eines ISMS bieten, welches auch mit geringeren Ressourcen umsetzbar ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4 - Das ISIS12 Vorgehensmodell [ITS20]

Das ISIS12 Vorgehensmodell beinhaltet 12 sequentielle Schritte für die Einführung eines ISMS, welche in Form eines Handbuches erläutert werden. Konkrete und praxisnahe Maßnahmen werden in einem Katalog zur Verfügung gestellt. Zur Unterstützung des Prozesses wurde eine entsprechende Planungssoftware entwickelt. Anderes als die bisher beschriebenen Regelwerke, verknüpft ISIS12 die Einführung eines ISMS auch mit dem Thema IT-Service-Management (ITSM). ISIS 12 ist eine anerkannte, unabhängige Zertifizierungsstufe und soll als Grundlage für einen späteren Wechsel auf ein umfangreicheres ISMS nach IT-Grundschutz oder ISO/IEC 27001 geeignet sein (vgl. dazu [BSP13]und [ITS20]).

Für Unternehmen aus dem Bereich KMU ist das Regelwerk aufgrund der Vereinfachung vieler Aspekte und der gut verständlichen sequentiellen Struktur grundsätzlich geeigneter und zielgerichteter. Trotzdem können KMU durch die organisatorischen Maßnahmen überfordert sein, da auch hier ein ganzheitlicher Ansatz gewählt wurde. Die Einführung eines ISMS spielt eine tragende Rolle und das Thema IT-Service-Management wird ebenso betrachtet. An dieser Stelle soll darauf hingewiesen werden, dass die ISIS12-Unterlagen, wie Handbuch und Maßnahmenkatalog, nicht öffentlich zur Verfügung stehen. Interessierte Unternehmen müssen Dokumente und Software zunächst erwerben.

2.1.4 VdS 10000/10020

Die VdS 10000/10020 ist ein Regelwerk der VdS Schadenverhütung GmbH. Hierbei handelt es sich um eine weltweit renommierte Institution, welche sich mit der Sicherheit von Unternehmen und Produkten befasst und neben der Cybersicherheit unter anderem auch Themen wie Gebäudesicherheit und Brandschutz betrachtet. Zu den Dienstleistungen gehören die Risikobeurteilung, Prüfung und Zertifizierung in Sicherheitsthemen. Diese können sowohl organisatorischer als auch technischer Natur sein. Hierzu ist das Unternehmen von der Deutschen Akkreditierungsstelle Technik (DATech) für die Prüfung und Zertifizierung akkreditiert. Das VdS-Gütesiegel für Produkte und Dienstleistungen ist im Bereich der Sicherheitstechnik entsprechend hoch angesehen. Die VdS Schadenverhütung GmbH ist eine hundertprozentige Tochtergesellschaft des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) (vgl. dazu [VdS20a]und [Fel20]).

Die Richtlinie VdS 10000 löste im Jahr 2018 das Vorgängerwerk VdS 3473 ab und trägt den Titel „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)". Wie aus dem Titel bereits zu entnehmen, ist dieses Werk ganz speziell für Unternehmen aus dem Bereich KMU entwickelt worden und enthält Anforderungen sowie Hilfestellungen für die Einführung und Umsetzung eines ISMS. Die VdS 10000 stellt wiederum eine Teilmenge der bisher beschriebenen Standards dar und ist als eigene Zertifizierungsstufe aufwärtskompatibel. Die Komplexität soll soweit vereinfacht sein, dass Unternehmen mit geringem personellen und finanziellen Aufwand einen grundlegenden Schutz erarbeiten können ( [VdS20b]).

Die Richtlinie VdS 10000 enthält, auf lediglich 43 Seiten, Maßnahmen, die dazu dienen die Organisation der Informationssicherheit in einem Unternehmen zu definieren und IT-Systeme grundlegend abzusichern. Bei der Kennzeichnung der Maßnahmen als Anforderung oder Empfehlung werden ähnlich dem BSI IT- Grundschutz Schlüsselwörter, wie „MUSS", „SOLL" oder „KANN" und entsprechende Verneinungen, verwendet ( [VdS18], S. 6). Die Richtlinie VdS 10020 mit 14 Seiten Umfang betrachtet die spezifischen Anforderungen im Bereich der industriellen Automatisierungssysteme (ICS) und soll die VdS 10000 in diesem Punkt ergänzen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 - Vergleich der Richtlinien in Anlehnung an [Fra14], S. 27 und [Gro19]

Auch beim VdS Regelwerk wird mit der Einführung eines ISMS der ganzheitliche Ansatz zur kontinuierlichen Verbesserung der Informationssicherheit in Unternehmen verfolgt. Die aufgeführten Maßnahmen beziehungsweise Anforderungen sind dabei aber rudimentär gehalten, eher als Ziel definiert und somit wenig konkret, was besonders bei den technischen Maßnahmen einen großen Interpretationsspielraum bietet. Beispielsweise fordert [VdS18], S. 23 einen Schutz gegen Schadsoftware in Form einer „geeigneten Software“, macht aber keine weiteren Definitionen hierzu. Spezifizierungen und weitere Erläuterungen zu dieser Aussage scheinen erforderlich, werden aber durch die VdS 10000 zunächst nicht abgedeckt. VdS 10000 unterscheidet des Weiteren zwischen „kritischen“ und „nicht kritischen" Systemen“. Für kritische Systeme sind die grundlegenden Maßnahmen unter Umständen nicht ausreichend und die Richtlinie fordert an dieser Stelle, ähnlich dem BSI-Grundschutz, eine individuelle Risikoanalyse und Maßnahmenkonzeption (vgl. [VdS18], S. 25).

Die Regelwerke der VdS sind eigens für KMU entwickelt worden und somit grundsätzlich geeignet, um einen Einstieg in das schwierige Thema der Informationssicherheit zu bekommen sowie die kontinuierliche Verbesserung dieser in der Unternehmensorganisation zu etablieren. Aufgrund der sehr allgemein und wenig konkret gehaltenen Maßnahmen ist die Richtlinie aber eher als Hilfsmittel zu verstehen, welches als Ansatz für die Organisation und weiterführende Konzeption genutzt werden kann. In einem durch das BSI unterstütztem Vergleich der beiden Richtlinien BSI IT-Grundschutz und dem Vorgängerwerk VdS 3473 schlussfolgert [Göh18], dass das Regelwerk der VdS lediglich circa 30 % der Basis-Anforderungen des BSI IT-Grundschutzes erfüllt und die beschriebenen Maßnahmen einen zu hohen Abstraktionsgrad beinhalten, so dass die Wirksamkeit erheblich von der Erfahrung der verantwortlichen Personen abhängig ist (vgl. dazu [Göh18], S. 163-165).

2.1.5 Weitere Richtlinien und Empfehlungen

Bei den bisher beschriebenen Richtlinien handelt es sich um die gängigsten im Rahmen der Einführung einer organisierten Informationssicherheit. Daneben existieren noch einige weitere Regelwerke, welche bei einer Konzeption der Informationssicherheit in einem Unternehmen durchaus eine Rolle spielen können. Die in diesem Kontext wichtigsten der Regelwerke sollen an dieser Stelle kurz erwähnt werden. Unternehmen sollten die Relevanz für die eigene Sicherheitskonzeption beurteilen. Bei entsprechender Voraussetzung sind hier unter Umständen zusätzliche Anforderungen mit einzubringen oder anzupassen.

2.1.5.1 IEC 62443

Die Normenreihe IEC 62443 befasst sich konkret mit der Sicherheit sogenannter Industrial Automation and Control Systems (IACS). Sie hat sich in den letzten Jahren zu einer wichtigen Norm in dieser Branche entwickelt und dient unter anderem dazu im Rahmen der zunehmenden Vernetzung durch Industrie 4.0 den damit aufkommenden Bedrohungen im Bereich der industriellen Kommunikationsnetze und Automatisierungssysteme Rechnung zu tragen. Dazu wird auch hier ein ganzheitlicher Ansatz gewählt. Sie verbindet Anforderungen an die IT-Sicherheit im Sinne der Industrial-IT und die funktionale Sicherheit von Anlagen und ist besonders für die Hersteller von Anlagen oder Komponenten, aber auch für Betreiber kritischer Infrastrukturen (KRITIS), relevant. Ähnlich der ISO/IEC 27001 wird eine Zertifizierung in dieser Branche oft hoch angesehen oder vorausgesetzt. Für KMU mit einem hohen Grad an automatisierten und vernetzten Produktionssystemen ist die Auseinandersetzung mit dieser Norm trotz des erhöhten Umfangs zumindest empfehlenswert. Vor allem deswegen, da für die Betreiber der Anlagen sinnvolle Anforderungen und Maßnahmen definiert sind und die Norm als Grundlage für Ausschreibungen und andere vertragliche Beziehungen zwischen den Beteiligten dienen kann. Um Unternehmen bei der Umsetzung zu unterstützen, veröffentlichen viele der Branchenverbände entsprechende Leitfäden, allerdings zumeist mit dem Fokus auf Anlagenhersteller (vgl. dazu [ZVE17]und [VDM16]). Für weiterführende Informationen siehe auch [Kob16].

2.1.5.2 IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz, oder auch Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, wurde 2015 von der deutschen Bundesregierung verabschiedet und richtet sich vor allem an Betreiber kritischer Infrastrukturen, wie Unternehmen aus dem Bereich der Energie- und Wasserversorgung, Gesundheitswesen, Finanzwesen oder digitalen Infrastruktur. Hiermit sollen verbindliche Mindeststandards zur Verbesserung der IT-Sicherheit für ebensolche Betreiber, aber auch für die Bundesverwaltung, festgelegt werden, da Angriffe und Ausfälle erhebliche Beeinträchtigungen auf Wirtschaft, Gesellschaft und Staat haben können. Auch der Schutz der Bürger im Internet ist ein Thema. Das BSI dient dabei als Aufsichtsbehörde und es werden durch das IT-Sicherheitsgesetz weiterführende Aufgaben und Rechte übertragen (vgl. dazu [BSI15]).

Aktuell befindet sich das „IT-Sicherheitsgesetz 2.0" im Gesetzgebungsverfahren und liegt im Referentenentwurf vor. Demnach sollen die Befugnisse des BSI und der Verbraucherschutz weiter ausgebaut werden. Auch wird die Zielgruppe erweitert und umfasst nun auch Unternehmen der Privatwirtschaft, „die von besonderem öffentlichen Interesse sind“, wie Rüstungsindustrie, Verschlusssachen-IT und große Unternehmen mit volkswirtschaftlicher Bedeutung. Nach der bisherigen Definition umfasst dies aber nicht die typischen Unternehmen aus dem Bereich KMU. Sehr wohl könnte dies aber Auswirkung auf spezielle KMU haben, wenn diese als Zulieferer oder Dienstleister fungieren. Ein interessanter Aspekt ist auch die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung für betroffene Betreiber und Unternehmen (vgl. dazu [Bun21]).

2.1.5.3 CIS-Controls

Das Centers for Internet Security (CIS) ist eine non-profit Organisation, welche im Jahre 2000 gegründet wurde und durch eine Community unterstützt und getrieben wird. Die Mitglieder sind verschiedene Organisationen, Behörden und Einzelpersonen, vorrangig aus dem Bereich der Informationssicherheit. Die Verwaltung hat ihren Hauptsitz in New York, USA. Ziel der Organisation ist die Bündelung von Wissen und das Bereitstellen von hilfreichen Informationen zur Absicherung der IT-Systeme gegen Cyberbedrohungen (vgl. dazu [CIS21a]).

Bei den CIS-Controls handelt es sich um einen Maßnahmenkatalog von praxisbewährten Empfehlungen und, anders als bei den bekannten Richtlinien, liegt der Schwerpunkt hier auf technischen Aspekten. Das Dokument ist anschaulich strukturiert, die Maßnahmen sind dabei thematisch zusammengefasst und jeder Bereich enthält erläuternde Begründungen. CIS-Controls arbeitet mit drei Klassifizierungen von Organisationen, um die Maßnahmen zielgerichtet zuzuordnen. Diese Klassen werden auch als Implementation Group bezeichnet. Grob können diese als kleine, mittlere und große Organisationen definiert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6 - Klassifizierung von Organisationen nach CIS-Controls [CIS21b], S. 5

Das Regelwerk ist aufgrund seines einfachen Aufbaus, des gewählten Schwerpunktes und der ergänzenden Erläuterungen auf jeden Fall geeignet die Konzeption der IT-Sicherheit im Rahmen dieser Arbeit zu unterstützen.

2.2 Referenzmodell eines KMU

Die im Hauptteil zu beschreibenden Maßnahmen zur Absicherung gegen Cyber­Bedrohungen sollen am Beispiel eines konstruierten, fiktiven Unternehmens aus dem Bereich KMU erläutert werden. Ziel ist die Demonstration der Anwendung des Konzeptes auf das Referenzmodell und damit möglichst stellvertretend für die Zielgruppe. Unternehmen können ihre eigene Struktur mit dem Referenzmodell vergleichen und bekommen somit eine Hilfestellung für die Anpassung der Maßnahmen auf Ihre Organisation.

2.2.1 Organisation

Die Musterbau GmbH ist ein inhabergeführtes Familienunternehmen mit 50-jährigem Bestehen und ist der feinmechanisch-optischen Industrie zuzuordnen. An zwei Produktionsstandorten werden Komponenten für die Feinwerk- und Gerätetechnik hergestellt. Das Unternehmen fungiert als ein führender Zulieferer von Komponenten für die Weiterverarbeitung in Produkten des täglichen Lebens und Produkten im Bereich Drucktechnik. Einige der Teile kommen in hochwertigen Messgeräten namhafter Hersteller zum Einsatz. Der Hauptstandort und Firmensitz mit angeschlossener Produktion ist in Deutschland. Ein weiterer Produktions- und Logistikstandort in Tschechien wurde im Jahre 2001 erschlossen.

Das Unternehmen hat insgesamt 360 Beschäftigte, davon 270 in Deutschland. Die IT-Abteilung umfasst sechs Personen inklusive der IT-Teamleitung und ist direkt der Geschäftsführung unterstellt. Drei Personen kümmern sich um den gesamten Bereich der IT-Infrastruktur und IT-Systeme, wozu auch die Clients und Peripheriegeräte zählen. Einer der IT-Beschäftigen ist in Tschechien stationiert, um die Systeme vor Ort zu betreuen. Zwei weitere Personen sind für die Betreuung der ERP- und Datenbanksysteme (Enterprise Resource Planning) verantwortlich. Größere Vorhaben zur Weiterentwicklung der Systemlandschaft werden üblicherweise durch externe Dienstleister unterstützt. Im Zuge der zunehmenden Digitalisierung hat die Unternehmensleitung mehrere Fachprojekte in diesem Kontext gestartet und möchte neben einer Projektleitungsstelle vor allem auch das ERP-Team weiter ausbauen.

Aufgrund mehrerer Presse-Mittteilungen zur akuten und wachsenden Bedrohung von cyberkriminellen Angriffen wurde die Unternehmensleitung auf das Thema aufmerksam und hat um Rücksprache mit der IT-Leitung gebeten. Nach Schilderung der Lage möchte die Unternehmensleitung als präventive Maßnahme unbedingt die Sicherheit der IT-Systemlandschaft verbessern. Die IT-Abteilung soll in einem Vorprojekt ermitteln und einschätzen, wie es möglich ist, die Sicherheit zu erhöhen und welche Ressourcen dazu notwendig sind.

2.2.2 Netzwerk

Das Unternehmensnetzwerk der Musterbau GmbH ist klassisch aufgebaut und hat eine üblich in dieser Netzwerkgröße vorzufindende Topologie. Es existieren mehrere virtuelle IP-Subnetze (VLAN) im internen Netz (vgl. dazu [Wes14]). Folgender Netzplan soll eine Übersicht über das Unternehmensnetzwerk mit den beiden Standorten Deutschland und Tschechien darstellen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7 - Vereinfachter Netzwerkplan der Firma Musterbau GmbH

Server-VLAN

Enthält alle Endgeräte, welche Ressourcen und Dienste innerhalb des Unternehmensnetzwerkes zur Verfügung stellen, wie ERP-Systeme, Mail-Server und File-Server. Das Server-VLAN ist durch eine interne Firewall geschützt. Es werden nur die für die jeweiligen Dienste notwendigen Kommunikationsverbindungen auf die Server zugelassen.

Clients-VLAN

Enthält alle Arbeitsplatz-PCs und Laptops des Unternehmens, wie Verwaltung, Entwicklung und IT. Auch die in der Betriebstechnik eingesetzten Engineering­Arbeitsplätze und Field-PGs zur Wartung und Programmierung von Anlagen werden dem Client-Subnetz zugeordnet. Das Netz wird über LAN und WLAN zur Verfügung gestellt.

Produktion-VLAN

Enthält alle Steuerungs- und Prüfstands-PCs sowie IP-vernetzte Komponenten von Produktionsanlagen, wie SPS-Systeme (speicherprogrammierbare Steuerung) und IP-Sensorik.

Haustechnik-VLAN

Enthält alle vernetzten Komponenten der Gebäudetechnik, wie Energiezähler, Gebäude- und Lichtsteuerungen, IP-Kameras, Sprechstellen.

Gastnetz-VLAN

Gastzugang für externe Besucher. Das Gast-Netz ist vom Unternehmensnetzwerk isoliert, so dass lediglich die Kommunikation mit dem Internet möglich ist. Das Netz wird über LAN und WLAN zur Verfügung gestellt.

Endgeräte werden also entsprechend ihrer Funktion dem zugehörigen virtuellen Subnetz zugeteilt und damit strukturiert. Die Netze sind über die VLAN-Technologie logisch voneinander getrennt. IP-Datenverbindungen zwischen den VLANs werden über die zentrale Routinginstanz vermittelt. Das Server-VLAN ist durch eine Firewall geschützt. Ansonsten existieren keine Firewalls oder Paketfilter zwischen den internen Subnetzen, welche die Verbindungen reglementieren.

Die aus dem Internet erreichbaren Systeme sind in einer DMZ (Demilitarisierte Zone) positioniert. Die Kommunikationsverbindungen zum Internet und internen Netz sind durch Firewalls geschützt (vgl. dazu [Vog18]). Folgende Dienste sind aus dem Internet erreichbar:

1. Web-Server für Kundenprojekte und Dateiaustausch
2. EDI-System (Electronic Data Interchange) für den Austausch von Auftragsdaten mit Kunden und Partnern
3. Virtual Private Network (VPN) System
4. Microsoft Exchange Web-Server für Outlook Anywhere / Web Access

Die Standorte Deutschland und Tschechien sind über einen IPsec Site-to-Site VPN Tunnel miteinander verbunden, somit können Systeme standortübergreifend kommunizieren (vgl. dazu [Kel 11], S. 475f). Der Standort in Tschechien benötigt keine DMZ, hat aber im internen Netz die gleiche Topologie. Die Subnetze sind also an beiden Standorten identisch strukturiert. Die meisten Server sind am Hauptstandort positioniert. In Tschechien finden sich demnach hauptsächlich redundante oder gespiegelte Systeme, welche die internen Anfragen lokal bedienen und somit die Standortverbindung nicht belasten. Sollte bei einem Ausfall keine Kommunikation zwischen den Standorten mehr möglich sein, sind die Redundanz-Systeme so ausgelegt, dass in Tschechien grundsätzlich weiterhin produziert werden kann. Jedoch können keine neuen Auftragsdaten mehr über das ERP-System abgeholt werden, da hier bisher keine Redundanz möglich ist.

2.2.3 Active Directory

Die Planungen zu Einführung des Microsoft Active Directory Verzeichnisdienstes begannen mit der Erschließung des Standorts Tschechien im Jahre 2001. Aufgrund des Unternehmenswachstums sowie der steigenden Anzahl von Benutzern, Computern und Ressourcen, waren die damalige Windows NT Domänen nicht mehr für eine effiziente IT-Verwaltung geeignet. Bei der Umsetzung der Active Directory Struktur hatte man sich für ein Single Domain Forest Modell entschieden. Bei diesem Modell beinhaltet die Gesamtstruktur, auch als Forest bezeichnet, nur eine Stammdomäne, in welcher alle Ressourcenobjekte, wie Benutzer und Computer, verwaltet werden. Bei dieser Form der Umsetzung waren Kosten, Komplexität und der spätere Administrationsaufwand am geringsten. Um die Struktur des Unternehmens im Active Directory abzubilden, wurden die Standorte, Abteilungen und Ressourcen in entsprechend sinnvoll angelegten Organisationseinheiten und Gruppen zusammengefasst (vgl. dazu [Mic18]und [Fra19], S. 83-100).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8 - Übersicht Active Directory „musterbau.intern“

An beiden Standorten wurde jeweils ein Domänencontroller positioniert. Um die Ausfallsicherheit zu erhöhen, ist später ein weiterer Domänencontroller am Standort Deutschland hinzugekommen. Auf den Domänencontrollern ist aktuell das Betriebssystem Windows Server 2012 R2 installiert. Das Funktionslevel der Active Directory Gesamtstruktur wurde allerdings noch nicht entsprechend angehoben und läuft derzeit noch auf Windows Server 2008. Die grundsätzliche Struktur des Active Directory hat sich seit der Einführung nicht verändert, so dass nach wie vor alle Ressourcen in der Stammdomäne „musterbau.intern“ in entsprechenden Organisationseinheiten verwaltet werden.

2.2.4 Unternehmensanwendungen

Das Unternehmen setzt hauptsächlich standardisierte und proprietäre Anwendungen ein, verzichtet also weitgehend auf spezielle beziehungsweise für KMU unübliche Lösungen. Für alle Anwendungen existieren entsprechende Service-Verträge mit dem Hersteller oder einem Dienstleistungsunternehmen.

Im Bereich der internen Server und Client-Computer werden ausschließlich Windows Betriebssysteme verwendet. Alle Windows Server und Computer sind Mitglied der Active Directory Domäne und werden über diese verwaltet. Applikationsserver authentifizieren Benutzerzugänge größtenteils gegenüber dem Active Directory. Steuerungen und Embedded Geräte sowie Infrastrukturkomponenten, wie Switche und Firewalls, werden nicht mit dem Active Directory verwaltet. Auf den Geräten kommen entweder proprietäre Betriebssysteme oder durch den Hersteller angepasste Embedded Linux Systeme zum Einsatz. Die Benutzerzugänge der Systeme werden meist lokal verwaltet.

Das ERP-System wurde kurz nach Migration des Unternehmensnetzwerkes auf das Active Directory im Jahre 2002 eingeführt. Seitdem wurde es regelmäßig aktualisiert und an die Prozesse des Unternehmens angepasst und weiterentwickelt. Grundlage des ERP-Systems ist eine Oracle SQL Datenbank. Weitere System- und Applikationsdatenbanken werden auf einem zentralen Microsoft SQL-Server Cluster betrieben.

Im Bereich E-Mail, Groupware und Office setzt das Unternehmen ebenso auf Standardapplikationen von Microsoft, wie dem Microsoft Exchange Server und den Standard Office Programmen. Darüber hinaus werden im Bereich Office diverse Zusatzapplikationen und freie Tools, die sich auf dem Markt etabliert haben, verwendet. Im Bereich Entwicklung und Engineering kommen Anwendungen führender Hersteller, wie Autodesk und Siemens, zum Einsatz. Zur Unterstützung der Serviceprozesse in der IT-Abteilung setzt diese ein Ticket-System mit integriertem Asset-Management ein. Hier sind alle Clients und Server mit den für diesen Zweck wichtigen Stammdaten inventarisiert.

2.2.5 Cloud-Anwendungen

Cloud-Anwendungen und gehostete Dienste spielen bei der Firma Musterbau bisher keine große Rolle und kommen nur vereinzelt zum Einsatz. Die Unternehmens­Webseite wird von einem externen Dienstleister erstellt und gehostet. Für Video- und Webkonferenzen werden externe Cloud-Dienste genutzt. Im Rahmen des Digitalisierungsprojektes soll das Thema Cloud näher betrachtet werden, da man sich vorstellen kann Dienste und Systeme im Bereich ERP auszulagern. Eine Migration des Active Directory oder anderer Infrastrukturdienste in die Microsoft Azure-Cloud wurde bereits untersucht und bietet dem Unternehmen außer einer höheren Ausfallsicherheit zurzeit keine Vorteile.

2.2.6 Industrial-IT

Die Produktionsanlagen der Firma Musterbau sind nicht identisch, da verschiedene Komponenten hergestellt werden und dementsprechend unterschiedliche Anforderungen und Produktionsschritte bedient werden müssen. Auch das Alter der Anlagen ist unterschiedlich. Im Rahmen der zunehmenden Automatisierung von Prozessen und dem Einsatz intelligenter Steuerungssysteme hat die Abteilung Betriebstechnik, welche für den Betrieb und die Wartung der Anlagen zuständig ist, im letzten Jahrzehnt bereits verstärkt versucht einen möglichst einheitlichen Stand bei der Anbindung an das Netzwerk herzustellen. Fast alle Anlagen umfassen demnach IP-fähige, vernetzte SPS-Systeme und Sensorik, BDE-Terminals und je nach Erfordernis auch einen Prüfstand-PC.

Die BDE-Terminals dienen der teilautomatisierten Betriebsdatenerfassung und fungieren auch als Schnittstelle der Anlage zum ERP-System beziehungsweise einer zentralen Auftragsdatenbank. Über die Vernetzung der Steuerungen können wichtige anlagen- und auftragsbezogene Kennwerte automatisiert ermittelt und gespeichert werden. Wartungsrelevante Maschinenkennwerte und der Anlagenstatus werden durch einen zentralen OPC-Server (Open Platform Communications) erfasst. Aktuell dient diese Erfassung aber nur im Rahmen der Wartung zur Historisierung, Visualisierung und Störungsüberwachung. Die Anpassung der Programmierung von Anlagen wird über die Engineering-Arbeitsplätze und -Laptops der Abteilung Betriebstechnik größtenteils über das Netzwerk durchgeführt. Die Installation der PCs und die Anbindung an das Unternehmensnetzwerk erfolgt in Zusammenarbeit mit der IT-Abteilung. Alle im Bereich der Produktion eingesetzten Windows-Computer sind im Active Directory verwaltet. Auch die benötigten Benutzerzugänge für den Zugriff auf Unternehmensressourcen, wie der Zugriff auf die Auftragsdatenbank, werden hier verwaltet.

2.2.7 Sicherheitssysteme

Im Bereich der IT-Sicherheit wurden in der Vergangenheit bereits einige Systeme etabliert, welche den Schutz des Unternehmensnetzwerks sicherstellen sollen.

Externe Firewall Deutschland, UTM-Appliance

Bei der externen Firewall handelt es sich um eine UTM-Appliance (Unified Threat Management) eines führenden Herstellers. Bei dieser Art von Sicherheitsgateway sind neben der klassischen, paketbasierten Firewall verschiedene Methoden und Funktionen eingebaut, welche eine Bedrohung erkennen und blockieren können. Sie agieren damit nicht mehr nur auf der Netzwerk-Transportschicht sondern auf Ebene der Anwendung (vgl. dazu [Jül14], S. 13f). Folgende Funktionalitäten sind im System der Firma Musterbau integriert und konfiguriert:

1. Firewall / Paketfilter. Die Kommunikationsverbindungen vom Internet in die DMZ und vom internen Netz in das Internet werden durch diese Funktion reglementiert. Hierfür sind entsprechende Regeln eingerichtet.
2. Content-Filter. Auf Basis festgelegter Kategorien und einer Online­Reputationsdatenbank wird der Zugriff von internen Geräten auf schadhafte und unerwünschte externe Hosts und Webseiten blockiert.
3. Spamfilter. Die Appliance ist gleichzeitig Mail-Gateway und dient als Schnittstelle für den Empfang und Versand von E-Mails. Die Anti-Spam Funktion soll schadhafte und unerwünschte E-Mails auf Basis einer Online­Reputationsdatenbank aus der Kommunikation herausfiltern.
4. Virenschutz. Eingebaute Scan-Module analysieren übertragene beziehungsweise heruntergeladene Dateien von Webseiten und Email­Anhänge auf Malware. Die Erkennung basiert auf einer entsprechenden Signaturdatenbank. Unbekannte Dateien können in eine vom Hersteller bereitgestellte Cloud Sandbox übertragen und dort automatisiert analysiert werden. Letztere Funktion wurde jedoch aufgrund von Einbußen bei der Performance nicht eingerichtet.
5. Web-Proxy. Interne Netzwerke am Standort Deutschland haben über die zentrale Routing-Instanz keinen direkten Zugriff auf das Internet. Die UTM- Appliance dient an dieser Stelle als zentraler Proxyserver, um Web­Verbindungen zu ermöglichen. Ein Aufbrechen von verschlüsselten Verbindungen, wie HTTPS (Hypertext Transfer Protocol Secure), zur Analyse übertragener Dateien auf Malware ist zunächst nicht aktiviert, da man die Auswirkungen auf produktive Systeme nicht abschätzen kann.

Die beschriebenen Signatur- und Reputationsdatenbanken zur Klassifizierung von Hosts, Webseiten und Malware werden durch die Threat Intelligence des Herstellers als aktualisierter Cloud Service zur Verfügung gestellt. Sie werden dabei auf dem Gerät zwischengespeichert, so dass eine Prüfung zunächst mit Hilfe der lokalen Daten erfolgen kann, um somit die Performance zu verbessern.

Interne Firewall Server- und DMZ-Netz

Bei der internen Firewall am Standort Deutschland handelt es sich um eine klassische, paketbasierte Firewall, welche auf Basis definierter Regeln die Verbindung zwischen DMZ, Servernetz und internen Netzen reglementiert.

Externe Firewall Tschechien

Der Standort Tschechien hatte zunächst keinen direkten Zugriff auf das Internet und konnte nur über den zentralen Web-Proxy am Standort Deutschland auf externe Web- Hosts zugreifen. Aufgrund der in den letzten Jahren stark angestiegenen Datenübertragungen zwischen den Standorten und dem vermehrten Einsatz von cloudbasierten Web- und Videokonferenzen hat man sich aus Kostengründen dazu entschieden den Internetverkehr lokal zu belassen. Dieser wird daher nun direkt über den Standort-Router vermittelt. Somit wurde die IPSec VPN Verbindung erheblich entlastet. Da es sich bei der externen Firewall in Tschechien jedoch nur um eine klassische Firewall mit Paketfilter-Funktionalität handelt kann man hier nicht mehr von den Sicherheitsfeatures der zentralen UTM-Appliance profitieren.

Endpoint Security

Auf den Client-Computern der Office-IT kommt eine Endpoint Security Lösung eines führenden Herstellers zum Einsatz. Diese hat folgende Sicherheitsfunktionen, um Malware ausfindig zu machen und zu blockieren:

1. Zentrale Verwaltung. Über einen zentralen Applikationsserver mit Management-Konsole sind die Funktionalitäten der Lösung unternehmensweit administrierbar. Die Sicherheitsereignisse bei Erkennen von potentieller Malware werden von den Clients an den Server übertragen und können somit zentral ausgewertet werden.
2. Signaturbasierte Scans. Die Scans erkennen schadhafte Dateien auf Basis einer lokalen Viren-Signaturdatenbank, welche stündlich über den internen Verwaltungsserver beim Hersteller aktualisiert wird. Die Scans werden sowohl bei Zugriff auf Dateien (On-Access) als auch in Form eines geplanten Auftrages (On-Demand) einmal in der Woche durchgeführt.
3. Erweiterter Schutz und Verhaltensüberwachung. Auf Basis heuristischer Analysen und erweiterter Regeln zur Analyse des Verhaltens von Prozessen und Dateien wird deren Wahrscheinlichkeit auf Malware eingestuft. Auf Basis der Einstufung werden die Prozesse isoliert, geblockt oder gesäubert.
4. Cloud-Schutz. Signaturen von lokal unbekannten und verdächtigen Dateien werden an den Cloud-Service des Herstellers übertragen und auf bekannte Malware überprüft. Die Erkennung von neu auftretenden Bedrohungen ist somit erheblich verbessert.
5. Web-Schutz. Ein Live-URL-Filter sperrt den Zugriff auf Websites, auf denen bekanntermaßen Malware gehostet wird. Die Funktion basiert auf einem Online-Abgleich mit der Reputationsdatenbank des Herstellers.

[...]