![[externer Link]](../../images/link.gif)
www.us-metallwaren.de), wo die Geschäftsführung die IT-Sicherheit als Managementaufgabe integriert hat und alle Mitarbeiter in diese prozessorientierte Arbeit einbezieht.IT und IT-Sicherheit sind längst zu wettbewerbsbestimmenden Kenngrößen auch kleiner und mittlerer Unternehmen (KMU) geworden. Viele KMU-Entscheidungsträger sehen jedoch auch heute noch in der Security nur den technischen Aspekt statt einer ganzheitlichen Aufgabe. Nicht so in der Ute Schlieder Metallwarenfabrik GmbH ( www.us-metallwaren.de), wo die Geschäftsführung die IT-Sicherheit als Managementaufgabe integriert hat und alle Mitarbeiter in diese prozessorientierte Arbeit einbezieht.
Das Unternehmen hat im Rahmen des vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderten Projekts "Sichere E-Geschäftsprozesse in KMU und Handwerk" des Netzwerks Elektronischer Geschäftsverkehr (NEG, www.ec-net.de) weiteres Verbesserungspotenzial in Sachen Sicherheit identifiziert und anschließend durch entsprechende (überschaubare) Investitionen und Organisationsentwicklung die Sicherheit seiner elektronischen Geschäftsprozesse erhöht – gleichzeitig konnte dabei der Aufwand für die Administration verringert werden.
Die Ute Schlieder Metallwarenfabrik GmbH ist ein Zulieferer für die metallverarbeitende Industrie (z. B. Bau-, Möbel- und Automobilindustrie). Die Wurzeln des Unternehmens gehen zurück auf die Gründung der Gustav Fischer Blech- und Metallwarenfabrik im Jahr 1880; produziert wurden damals Kochherde und metallener Hausrat. 1990 übernahm die Treuhand GmbH den Zöblitzer Zweigbetrieb des Kombinats VERO Sonneberg. Ein Jahr später kaufte Ute Schlieder den Betrieb und gründete die jetzige Gesellschaft. Mit 24 Beschäftigten wurde mit der Fertigung von Baubeschlägen begonnen – 1994 führten die beengten Räumlichkeiten am alten Standort zum Umzug in neue, größere Produktionsräume.
In den darauf folgenden Jahren erlangte das Unternehmen wichtige Zertifizierungen, unter anderem nach DIN ISO 9001 (1997), nach ISO/TS 16949: 2002 (2004) sowie für sein Umweltmanagement nach DIN EN ISO 14001: 2004 (2008). Bereits 2000 wurde das Unternehmen mit dem "Oskar des Mittelstandes" ausgezeichnet.
In den vergangenen Jahren ist das Unternehmen kontinuierlich gewachsen. Dazu trugen auch der Aufbau einer Außenstelle in Plasy (Tschechien) sowie die Nutzung eines Versandlagers in Witzschdorf bei. Heute arbeiten 160 Menschen für die Firma. Doch nicht nur bei der Zahl der Beschäftigten, sondern auch bezüglich der Erweiterung im Bereich der Galvanik, dem Einsatz eines ERP-Systems sowie neuen Produkten im Automotive-Sektor konnte sich das Unternehmen stetig fortentwickeln.
Mit all diesem Wachstum stiegen gleichzeitig die Anforderungen an die Informationstechnik: Eine entsprechende IT-Durchdringung ist heute in allen Unternehmensbereichen zu verzeichnen, insgesamt nutzt das Unternehmen nunmehr ungefähr 50 IT-Systeme. Diese für die Produktivität sehr positive Entwicklung bedeutet jedoch auch eine gewisse Abhängigkeit von der IT und somit Handlungsbedarf bei der funktionellen Sicherstellung im Unternehmen: Länger währende Ausfälle der IT wären zumeist direkt mit bedeutenden Produktionseinschränkungen verbunden.
Nicht selten findet man die – falsche – Meinung, dass potenzielle Angreifer an kleinen Unternehmen kein großes Interesse haben und somit auch keine Gefährdungen bestehen. Die Geschäftsführung der Ute Schlieder Metallwarenfabrik GmbH hat jedoch rechtzeitig eine angepasste IT-Sicherheitsstrategie entworfen und auch Kontakt zum Projekt "Sichere E-Geschäftsprozesse in KMU und Handwerk" aufgenommen: Als Ausgangspunkt für das anschließend gestartete Sicherheitsprojekt im Unternehmen war somit bereits ein grundlegendes Verständnis vorhanden – die Bedeutung der IT wurde in vielen Unternehmensbereichen verstärkt wahrgenommen. Zusammen mit einem begleitenden IT-Dienstleister sind grundlegende Maßnahmen, wie Firewall und Anti-Virus-Lösungen, umgesetzt worden.
Die "Sicherheitskultur" im Unternehmen hat in den vergangenen Jahren ebenfalls ein neues Niveau erreicht: Ging es früher darum, eine "sichere Technik" zu betreiben, so setzt sich immer mehr der Gedanke durch, die Sicherheit der Informationen prozessorientiert in den Mittelpunkt zu stellen und daraus abgeleitet auch die Organisation rund um die IT in den Blickpunkt zu rücken, um letztlich die Sicherheit der Geschäftsprozesse zu erhöhen.
Wo Informations- und Netzwerksicherheit auf rein technische Aspekte und schwerpunktmäßig auf die Abwehr von Viren und anderer Schadsoftware reduziert wird, bleiben meist auch die Aufgaben zur IT-Sicherheit auf der Ebene der IT-Administration oder werden an externe Dienstleister ausgelagert.
Die Unternehmensleitung der Ute Schlieder Metallwarenfabrik GmbH begann hingegen zunehmend, die Sicherheit der Geschäftsprozesse globaler zu sehen und in den Mittelpunkt auch ihres eigenen Handelns zu stellen. Um diesen eingeschlagenen Weg noch konsequenter zu verfolgen, wurde im Rahmen des NEG-Sicherheitsprojekts gemeinsam mit der Geschäftsführung eine Analyse relevanter Geschäftsprozesse durchgeführt.
Im Ergebnis wurden allem voran zwei Gefahren erkannt:
Das Unternehmen stellte zur Beseitigung der erkannten Mängel die notwendigen finanziellen und personellen Ressourcen bereit und so konnten in der Folge neben organisatorisch-personellen Maßnahmen unter anderem Sicherheitslösungen für die erkannten Hauptgefährdungen implementiert werden.
Eine wesentliche Voraussetzung zur Beseitigung von Sicherheitslücken in der eingesetzten System- und Anwendersoftware ist das zeitnahe Einspielen von Sicherheitsupdates. Die Installation von Sicherheitsupdates für Windows (und andere Microsoft-Produkte) auf den Servern und Client-PCs ist für den Administrator eines Unternehmens immer eine relativ zeitaufwändige Aufgabe.
In Zeiten, als bei der Ute Schlieder Metallwarenfabrik GmbH nur sehr wenige Computer im Einsatz waren und das Bedrohungspotenzial noch als gering eingeschätzt wurde, erfolgte die Installation aller Patches manuell. Die gewachsene Anzahl von Computern und vor allem die starke Integration der Technik zur Unterstützung unternehmenswichtiger Geschäftsprozesse sowie eine gestiegene Bedeutung der schnellen Installation von Sicherheitsupdates erforderten nun neue Lösungen.
Für das Patchmanagement wurden die kostenfreien Microsoft "Windows Server Update Services" (WSUS) des Betriebssystemherstellers erwogen. Da die Soft- und Hardwareanforderungen für die aktuelle Version von den im Unternehmen eingesetzten Servern ohne Probleme erfüllt wurden, entschied man sich letztlich auch für diese Lösung: Die Installation des WSUS-Servers erfolgte als zusätzlicher Dienst auf einem bereits vorhandenen Terminal-Server.
![[Screenshot]](images/10-2-010-1.jpg)
Abbildung 1: Für Microsoft-Systeme ermöglichen die kostenlosen "Windows Server Update Services" (WSUS) ein zentrales Patchmanagement.
Vorsichtshalber wurden vor dem erstmaligen Einspielen von (Sicherheits-)Updates auf wichtigen Servern sowie Produktions- und Steuerungs-PCs vorher Backups angelegt oder es erfolgte eine Sicherung des Komplettsystems mit einem Imaging-Programm (Acronis True Image).
Die Installation von Microsoft-Updates erfolgt nunmehr also nicht länger direkt an den Arbeitsstationen, sondern zentral vom WSUS-Server aus. Alle "Nicht-Microsoft-Produkte" werden jedoch vom WSUS-Server nicht erfasst. Patches für solche Software (z. B. Adobe Reader, Flash etc.) erfolgen daher weiterhin dezentral durch die integrierten Updatefunktionen der jeweiligen Programme.
Ein Update der Arbeitsplätze in der tschechischen Außenstelle wäre vom WSUS-Server am Hauptstandort aus zwar grundsätzlich möglich (und WSUS unterstützt auch unterschiedliche Sprachvarianten), ist jedoch derzeit aufgrund der verfügbaren Netzwerk-Bandbreite und einer fehlenden Domänen-Mitgliedschaft der Außenstellen-PCs nicht sinnvoll. Auch aufgrund der geringen Zahl der dortigen Arbeitsplätze erfolgt in Tschechien daher weiterhin ein direktes Update mittels der eingebauten Windows-Funktion.
Letztendlich ergab sich durch den WSUS-Einsatz für den Administrator sowohl ein sehr viel geringerer Arbeitsaufwand als auch der Vorteil einer (weit gehenden) zentralisierten Übersicht über den jeweiligen Versions- und Patch-Stand der einzelnen PCs und Server.
Bei der Prüfung im Sicherheitsprojekt waren zudem schwache Kennwort-Kriterien (z. B. Länge, Komplexität, Alter des Passworts) erkannt worden. Eine Verbesserung der unternehmensweiten Passwort-Sicherheit stellt ebenfalls eine wichtige Grundlage zur Erhöhung der Sicherheit im Unternehmensnetzwerk dar, die neben dem IT-Personal auch einen breiten Kreis von Mitarbeitern betrifft.
Um eine Verstärkung der Kennwortrichtlinien in der gesamten Netzwerk-Domäne des Unternehmens vorzubereiten, wurde daher eine Mitarbeiterschulung durchgeführt, die unter anderem eine Demonstration von Angriffsszenarien auf schwache Passwörter zum Inhalt hatte. Durchgeführt wurde sie vom unternehmensinternen Administrator, der die Vorteile der persönlichen Vertrautheit und daher einer geringeren Hemmschwelle (z. B. bei Fragen seitens der Mitarbeiter) mitbrachte.
Die Schulungsmaßnahme erfolgte kurz vor der Verschärfung der Kennwortrichtlinien auf den Domänencontrollern – so konnte man einer potenziell abgeneigten Haltung der Mitarbeiter gegenüber den schwerer zu merkenden (längeren/komplexeren) Passwörtern sinnvoll entgegengewirken.
Die eigentliche Änderung der Anforderungen an die Domänen-Kennwörter ist keine große technische Herausforderung und erfolgte innerhalb der Windows-Systemverwaltung über eine entsprechend eingestellte Gruppenrichtlinie (vgl. Screenshot).
Gleichzeitig wurden auf den Servern eine veraltete, jedoch von Microsoft aus Kompatibilitätsgründen zu Windows-95/98-Clients standardmäßig aktivierte Speicherung von Passwort-Hashes abgeschaltet (zu Details siehe http://support.microsoft.com/kb/299656/) – diese "LAN-Manager"-Hashwerte (LM Hashes) sind im Vergleich zum neueren Windows-NT-Hash (NT Hash) relativ schwach und daher anfällig für Brute-Force-Angriffe.
![[Screenshot]](images/10-2-010-2.jpg)
Abbildung 2: Die hinreichend "scharfe" Nutzung eingebauter Konfigurationsmöglichkeiten kann die Sicherheit im Unternehmen erhöhen, ohne zusätzliche Kosten zu verursachen (hier: Windows-Gruppenrichtlinie zur Passwortqualität)
Über diese Maßnahmen gegen die beiden erkannten Hauptschwachstellen hinaus wurden auch die folgenden organisatorischen und technischen Maßnahmen zur Erhöhung der Netzwerksicherheit umgesetzt:
Zusammenfassend tragen die im Rahmen des NEG-Sicherheitsprojekts umgesetzten Maßnahmen zu einer Erhöhung der IT-Sicherheit innerhalb der Ute Schlieder Metallwarenfabrik GmbH bei. Durch vorangegangene Administratorschulung und Umsetzung der vorgestellten Sicherheitsmaßnahmen (ca. 60 Arbeitsstunden) hat das Unternehmen Verbesserungen der IT-Security erreicht, die sowohl von der Geschäftsführung getragen als auch von den Mitarbeitern angenommen werden.
Dipl.-Ing. (BA) Thomas Schreiter arbeitet in der EDV-Administration der Ute Schlieder Metallwarenfabrik GmbH. B. Sc. Michael Patzig ist IT-Projektingenieur bei der PROREC Gesellschaft für Ingenieurdienstleistungen mbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2010#2, Seite 10
tag:kes.info,2007:lp:2010-2-A
| 