Kostenpunkte
“Wir müssten da noch ein paar Punkte besprechen, die meisten sind Kostenpunkte…”
Muss IT-Sicherheit teuer sein?
Was ich auf jeden Fall schon einmal sagen kann: Fehlende IT-Sicherheit kann verdammt teuer sein. Wenn die Firma IT-technisch nach einem erfolgreichen Angriff lichterloh in Flammen steht, kann die betroffene Firma sich glücklich schätzen, wenn eine abgeschlossene Cyberversicherung einen Großteil der Kosten deckt, die daraufhin anfallen. So einen Vorfall können die wenigsten Firmen selbstständig bewältigen. Es fehlt an Erfahrung mit Krisensituationen, vor allem aber an Wissen um die nun anfallenden Prozesse, von Außenkommunikation über Meldefristen bis hin zum strukturierten Krisenmanagement und zum Wiederanlauf. Sprich: Es fallen Kosten für Krisen-Dienstleister an, die genau bei diesen Themen unterstützen. Krisenmanager, die den Scherbenhaufen zusammenkehren und daraus ein Bild des Schaden ermitteln und einen Weg aus der Krise aufzeigen und diesen begleiten. Forensiker, die die Spuren der Angreifer verfolgen, Einfallswege und kompromittierte Systeme identifizieren. Außerdem Dienstleister, die die Infrastruktur wiederherstellen oder gleich komplett neu aufbauen, wobei letzteres meist von keiner Versicherung getragen wird, da es sich um eine Modernisierung handelt. Und nicht zu vergessen die ganzen Überstunden der technischen Mitarbeiter, der Arbeitsausfall der restlichen Belegschaft bzw. die Mehrkosten für mühsame Notfall-Methoden, bis die IT wieder steht. Der Wiederaufbau zieht sich dabei oft über Monate, bis überhaupt wieder an ein normales Arbeiten gedacht werden kann. Und den möglichen Reputationsverlust kann man meistens gar nicht erst beziffern.
Aber wie verringert man nun das Risiko, selber Ziel eines solchen Angriffes zu werden? Was kann man gerade als kleines oder mittelständiges Unternehmen tun, um sich abzusichern, ohne hunderttausende Euro in IDS-, IPS-, SIEM- und NextGen-Firewalls zu investieren?
Der Mythos, dass IT-Sicherheit nur mit hohen Kosten möglich ist, hält sich bei vielen Firmen hartnäckig. Dabei braucht es oft keine hochgezüchteten Alerting- und Filtersysteme, die jedes vorbeifliegende Bit mit Argusaugen beobachten. Gerade in den letzten Monaten (Stand 02/2025) zeigte sich wieder und wieder, dass auch die großen Anbieter bekannter Sicherheitslösungen nur mit Wasser kochen. Oftmals mit brackigem, verseuchten Wasser, denn auf den teuren, glänzenden Security-Appliances, die der Stolz so manches Admins sind, läuft nicht selten hoffnungslos veraltete Software mit dutzenden bekannten Sicherheitslücken. Einzig der blackbox-Charakter dieser Appliances verhinderte in den meisten Fällen, dass diese Schwachstellen ausgenutzt wurden. Und auch die Code-Qualität vieler Produkte lässt sehr zu wünschen übrig. Schwachstellen, die bereits vor 20 Jahren als behoben galten, schlummern in den Weboberflächen der für den Schutz der Kronjuwelen eines Unternehmens zuständigen Firewalls, oftmals sind sogar noch Entwicklungs-Zugangsdaten im Code versteckt, die nur deswegen lange unentdeckt bleiben, weil die Software selbst nur selten als Quelltext einsehbar ist. Doch in dem Moment, in dem derartige Lücken publik werden, fällt die gesamte Schutzwirkung dieser Lösungen in sich zusammen wie ein Kartenhaus im Orkan.
That being said, wie kann man denn sonst seine Systeme wirkungsvoll absichern?
Personal, Personal, Personal
Zuerst einmal möchte ich die Beobachtung teilen, dass in den meisten IT-Abteilungen der Firmen, die ich im Rahmen meiner Tätigkeit als IR-Consultant wieder und wieder mache. In vielen Fällen werden die Systeme der jeweiligen Firma von viel zu wenigen und zudem unzureichend ausgebildeten Administratoren betreut - wenn überhaupt. Oft übernehmen auch “Normale” Mitarbeitende nebenher die Wartung der IT-Systeme, weil sie sie privat ein wenig mit IT-Themen beschäftigen. Selten stoße ich auf personell gut ausgestattete IT-Abteilungen. Und natürlich, jede IT-Fachkraft kostet Geld - jeden Monat. Doch rechnet man diese Kosten gegen die Kosten eines Vorfalls auf, der auf das Fehlen einer Fachkraft zurückzuführen ist, sind diese Kosten gut angelegt.
Doch es nutzt auch nichts, vier Administrator*innen für 20 Mitarbeitende und drei Server zu haben, wenn diese nach 20 Jahren immer noch auf dem Wissensstand von kurz nach der Ausbildung sind. Häufig gibt es kein Fortbildungsbudget oder es ist eben doch nur eine Person, die 40 Systeme und 120 Mitarbeitende betreut, wobei der Großteil der Zeit für Support, Druckerreparaturen und den nebenbei auch noch übernommenen Hausmeister-Job draufgeht. Aus meiner Sicht gibt es kaum ein Budget, das sich so rechnet wie das, das man den Mitarbeitenden für fachliche Fortbildungen zur Verfügung steht. Damit meine ich sowohl den finanziellen Aspekt, als auch den zeitlichen. Aktuelles Wissen ermöglicht es den Verantwortlichen, wirkungsvolle und moderne Schutzmaßnahmen zu etablieren, um einen Großteil der ebenso wirkungsvollen und modernen Angriffe abzuwehren.
Ein weiterer wichtiger Faktor ist zudem das, was ich als technical debt zusammefassen möchte. Während der Begriff eigentlich primär für schlechten Code und dessen Ursachen verwendet wird, nutze ich ihn inzwischen auch, um damit schlechte und kurzsichtige Entscheidungen in der Infrastruktur zu bezeichnen, die über die Jahre zu immer mehr Wildwuchs, fehlendem Überblick, veralteten Systemen und ggf. sogar Schatten-IT führt. Jede Entscheidung, die ad hoc gefällt wird, ohne die Folgen abzuschätzen oder eine Überführung in ein dokumentiertes und wartbares System direkt mit einzuplanen (und den Plan dann auch umzusetzen), trägt auf mittlere und lange Sicht dazu bei, das Gesamtsystem zu schwächen. Und wer kennt es nicht? Wird einmal ein System als “temporärer Workaround” bereitgestellt, darf es danach nie wieder rückgebaut werden, weil schon nach kurzer Zeit ein ganzer Wust an Prozessen dieses System als Betriebsvoraussetzung hat.
Und selbst wenn ausnahmsweise genügend administratives Personal vorhanden ist und dieses jährlich seine Schulungen bucht und besucht, muss dieses auch die Gelegenheit bekommen, sein erlangtes Wissen sinnvoll anzuwenden. Wartungszyklen?! Wir müssen 24/7 verfügbar sein, die Firewall darf auf keinen Fall neugestartet werden! Und wenn wir die Datenbank auf eine moderne Version updaten, lässt das bestimmt wieder das CRM-System zusammenbrechen! Und unsere Web-Anwendung wurde nunmal mit PHP 3.x geschrieben, das muss schon noch installiert bleiben! Mit solchen oder ähnlichen Anforderungen lähmt man gezielt jede benötigte Modernisierungsmaßnahme und sorgt im Endeffekt nur dafür, dass sich die Systemverantwortlichen irgendwann mit unsicheren und veralteten Systemen abfinden, anstatt für einen sicheren Betrieb zu sorgen.
Was all diese Faktoren zusammengenommen über die Jahre alleine an versteckten Kosten verursachen, indem sie die Produktivität senken und unnötig viel Aufwand produzieren um sie noch zu warten, und noch dazu die Gefahr erhöhen, die Infrastruktur der Gefahr eines erfolgreichen Angriffs auszusetzen, möge sich an dieser Stelle jede*r selbst ausmalen. Diese Kosten haben die meisten Entscheider nicht auf dem Schirm, wenn sie Fortbildungsanfragen verweigern oder die Personaldecke trotz deutlichen Überlastungszeichen gering halten. Und wie viel es kostet, einen durch Burnout arbeitsunfähigen Alt-Admin zu ersetzen, der sich erst einmal haareraufend durch eine undokumentierte, veraltete und mit dem Wissensstand der 2000er Jahre konfigurierte und betriebene Serverlandschaft wühlen muss, möchte ich mir gar nicht ausmalen.
Damit ist meine erste Empfehlung: Stattet eure IT mit ausreichend Personal aus, damit die anfallenden Aufgaben ohne größere Probleme erledigt werden können. Sorgt dafür, dass eure Infrastruktur sauber dokumentiert und gewartet wird, das beinhaltet Patch-Management, Lifecycle-Management und auch Systemhandbücher. Und bitte, um Gottes Willen, stattet eure Angestellten mit einem Weiterbildungs-Budget und den dafür benötigten Bildungsurlauben aus und ermutigt sie, dieses Angebot auch wahrzunehmen! Gut ausgebildete Fachkräfte sind die Grundlage für IT-Sicherheit.
Kostet viel, schützt viel… oder?
Häufig muss ich ein Grinsen sehr hart unterdrücken, wenn ich wieder von einem CISO zu hören bekomme: “Wir haben uns gerade für 80.000€ eine Firewall gekauft, die schützt uns jetzt.” Oder: “Wir haben jetzt von Hersteller X eine EDR-Lösung auf allen Systemen installiert, wir brauchen keine Systemhärtung.” Oder gar: “Unsere Services laufen jetzt alle in der Cloud, wenn da was kaputt geht stellen die uns das mit zwei Klicks wieder her.” Zuletzt noch: “Wir haben unseren IT-Betrieb an einen Dienstleister outgesourced, da brauchen wir uns keine Gedanken mehr machen.”
Klingt unrealistisch? So etwas würde niemand ernsthaft so behaupten? I wish you were right! Diese und andere ähnlich blauäugig-naive Aussagen höre ich nicht gerade selten, oft von Entscheidern, die selber von IT eher wenig Ahnung haben, manchmal aber auch von Administratoren, die sich endlich die eierlegende Wollmilchsau erhoffen, die sie von der Geißel der modernen IT zu befreien verspricht. Und wie könnte ich ihnen den Wunsch nach einer Wunderlösung, die sicher, hochverfügbar und/oder einfach zu bedienen ist, auch übel nehmen? Doch meist zeigen derartige Aussagen hauptsächlich eins: Dass irgendein Vertriebsmitarbeiter des angepriesenen Produktes seinen Job sehr, sehr gut gemacht hat. Gehen wir einfach mal die Beispiele von oben durch:
Die teure Firewall
Da steht sie. Im Corporate Design des Herstellers, fröhlich blinkend und mit ’nem 100GBit/s SFP Uplink. Gut, der hängt über nen Adapter am Gigabit-Port der Fritzbox, die den einzigen Internetzugang der 20-Mann-Entwicklerbude bereitstellt und auch das WLAN über drei Repeater im Büro verteilt, aber sie sieht schon schick aus. Die neue Firewall hat natürlich nicht die 80.000€ Listenpreis gekostet, die man zuerst genannt bekommen hatte. Das Systemhaus, das sie angepriesen hatte, war auf 60.000 heruntergegangen, man habe ja auch ein Interesse daran, langfristig zusammenzuarbeiten. Schon ein netter Zug von dem freundlichen Vertreter, der auch gleich einen passenden Vertrag dabei hatte. Gut, zwei Mitarbeiter des Systemhauses mussten dann das Gerät erstmal einbauen und die Grundeinrichtung vornehmen, das dauerte schon einmal anderthalb Tage, also drei Personentage für beide, zzgl. Fahrtkosten und zum Mittagessen lud man sie natürlich auch ein. Einen Wartungsvertrag hat man natürlich auch gleich mit abgeschlossen, denn wenn das Gerät mal nicht funktionieren sollte, ist ja so ein next-day-Austausch schon sehr praktisch, der kostet dafür auch nichts extra. Ohne Vertrag wäre das richtig teuer geworden. Und so zahlt man auch nur ein par tausend Euro pro Jahr für das sichere Gefühl, dass das Netzwerk immer schnell und verfügbar und sicher ist. Naja, und die Lizenz, um die Funktionen der Firewall auch nutzen zu dürfen, die zahlt man natürlich auch mit ein paar tausend Euro pro Jahr, aber auf den Monat heruntergerechnet ist das gar nicht so viel. Und das geht ja auch nicht wirklich an das Systemhaus, das reicht das ja alles an den Hersteller weiter.
Nun surrt und schnurrt sie vor sich hin - eigentlich ist sie schon ziemlich laut und der kleine 8-HE-Serverschrank, in dem sonst noch der Fileserver, das Consumer NAS (immerhin die teure Variante mit 10G-Anschluss!), der Etagenverteiler, eine Steckdose und die Fritzbox mehr oder weniger unkoordiniert herumstehen, war gerade noch so tief genug, um das Monstrum zu fassen. Vermutlich müsste man den kleinen Schrank über kurz oder lang aus dem Getränkelager auslagern, vielleicht könnte man ihn im Chefbü… AU! Jaja, gut, der kommt nicht ins Chefbüro, aber vielleicht neben den Drucker, der ist ja auch recht laut manchmal. Im Großraumbüro verteilt sich der Schall ggf. eh besser und ist nicht so penetrant. Außerdem muss man für die Sicherheit auch mal Opfer bringen!
Was die Firewall jetzt genau macht weiß im Grunde keiner so genau, das Systemhaus verwaltet sie remote. Schon praktisch, die müssen nicht dauernd vor Ort kommen, wenn irgend etwas ist. Der Techniker vor Ort hat direkt den Wartungsport über die Fritzbox freigegeben, dann müssten sie nicht das ganze System umkonfigurieren, das würde ja wieder dauern udn man wolle ja nicht unnötig Geld der Kunden verbrennen, haha. Aber ernsthaft, da sitzen Profis an dem Gerät und sorgen dafür, dass alle Angriffe abgewehrt werden und dass die Infrastruktur sicher ist.
Die Geschichte ist natürlich auf vielen Ebenen maßlos überspitzt dargestellt. Weder kenne ich Systemhäuser, die ihre Kunden derart über den Tisch ziehen würden (hoffe ich…), noch sind die meisten meiner Kunden derart unbedarft. Dennoch, das eine oder andere Fünkchen Wahrheit steckt in den ersten Absätzen. Und möglicherweise erkennt der eine oder andere eine ähnliche Situation direkt wieder. Denn mit Dienstleister oder ohne - eine teure Firewall ist zuerst einmal nur genau das: Teuer. Die Anschaffungskosten und jährliche Lizenzgebüren für “Premium-Features” wie Real Time Threat Detection, Device Isolation, Integration mit EDR-Lösungen, erweiterte IoC-Datenbanken und wasweißich sind stattlich und was nützt die beste Firewall, wenn man nicht das Wissen hat, sie auch richtig zu bedienen? Also entweder der teure Dienstleister, oder die eigenen Admins schulen. Und dann war da noch die Sache mit den immer wieder durch Sicherheitslücken glänzenden Firewall-Produkten…
Was wäre die Alternative?
In den meisten Fällen benötigt man meiner Meinung keine teure NextGen-Firewall mit Fahrstuhl und Notausstieg, um ein- wie auch ausgehenden Datenverkehr zu lenken und zu überwachen. Klar, die Fritzbox sollte diese Aufgabe vielleicht im Firmenkontext nicht übernehmen, aber es gibt je nach Anforderung durchaus preiswerte Lösungen, die ein solides Schutzniveau, einfache Bedienbarkeit und überschaubare Folgekosten bieten. Es ist beinahe egal, ob man sich eine OPNSense-Firewall auf günstiger Hardware selber installiert, sich eine vorkonfigurierte fertige Appliance für wenige tausend Euro anschafft, sich in Richtung Unifi umschaut und eine Dream Machine ins Rack hängt oder - ganz mutig - einen MikroTik-Router besorgt, es gibt genügend kostengünstige Lösungen, die alle ihre Vor- und Nachteile haben mögen. Das Problem ist in den wenigsten Fällen die Hard- und Software. Es hapert an Menschen, die mit den Systemen umgehen können.
Ich selber bin ausgebildeter Administrator mit Fokus auf Netzwerke. Meinen CCNA hatte ich quasi schon in der Tasche, habe aber die Abschlussprüfung nicht wahrgenommen. Und hätte ich mich nicht fortwährend privat weiterhin mit Netzwerkthemen beschäftigt, wäre ich mit modernen Anforderungen an Netzsegmentierung, Paketfilter und neuen Netzwerkprotokollen vermutlich schnell überfordert gewesen. Administrator*innen, die keinen harten Fokus auf Netzwerkthemen haben, werden mit all den schicken und sinnvollen Features einer Firewall-Lösung vermutlich wenig anfangen können. Ich habe in den letzten zehn Jahren so einige Firewall-Konfigurationen im Rahmen von Sicherheitsüberprüfungen anschauen dürfen, und manchmal sträubten sich mir schon die Haare. Da fand ich ALLOW any:any-Regeln in der INPUT-Chain vor allen anderen Regeln (“Ah, ich erinnere mich, irgendwas funktionierte nicht und ich habe die zum Testen reingeschrieben, und da dann alles ging habe ich sie dringelassen”), ALLOW als Default für alle Chains, ohne davor eine DENY any:any-Regel zu finden, netzwerkweit abgeschaltetes ICMP (viel Spaß beim Debuggen von Netzwerkproblemen…), Netzwerksegmentierung ohne Filterung der Kommunikation in andere Segmente, und andere Grausamkeiten, die ich hier gar nicht aufzählen möchte. Und speziell bei Firewalls, die am Perimeter zum Internet stehen, immer wieder: Alle Management-Ports aus dem Internet erreichbar. What could possibly go wrong?
Die Thematik ist komplex, zugegeben. Aber nicht so komplex, dass man nicht Menschen findet, die sich dafür begeistern können und sie beherrschen. Anstatt zehntausende Euro für hochkomplexe und oft als blackbox verkaufte Firewall-Lösungen auszugeben, könnte man das Geld auch für die Ausbildung der eigenen Firewall-Admins ausgeben. Denn wer weiß denn besser, was im eigenen Netzwerk eigentlich alles läuft und vor allem: Was dort nicht laufen soll. Okay, vielleicht ein wenig blauäugig meinerseits, denn für Dokumentation und geregelten Betrieb ist ja oft keine Zeit. Dennoch halte ich es für deutlich sinnvoller, die eigenen Angestellten zu befähigen, mit nahezu beliebiger Netzwerktechnik sinnvoll umzugehen, als sich ein teures Gerät mit heilsversprechen anzuschaffen, bei dem ich zu 100% darauf vertrauen muss, dass andere schon das Richtige tun.
EDR, Big Brother 2.0
Der letzte Klick, die Firewall surrt einen Augenblick etwas lauter, dann spuckt der Browser eine ausfühbare Datei aus. Agent.exe klingt ein bisschen nach kaltem Krieg, aber auch nach James Bond und Nervenkitzel.
War schon eine gute Idee, das Modell eines Herstellers zu nehmen, der auch moderne EDR-Lösungen anbietet, denn die Firewall kann direkt über Agents auf allen Clients und Servern alles sehen. Wirklich. Alles. Die nette Vertriebsmitarbeiterin hat es vorgeführt, sogar die einzelnen Klicks mit der Maus und die Tastaturanschläge des Demonstrations-Notebooks waren nachvollziehbar. Als sie dann eine ausführbare Datei mit dem Namen “malware.exe” doppelklickte, wurde die Firewall wieder kurz lauter und eine Sekunde später ploppte auf dem Notebook eine Meldung hoch: “Keine Internetverbindung”. Wow. Die Firewall hat direkt gemerkt, dass auf dem Client Malware ausgeführt wurde, und hat ihn vom restlichen Netzwerk getrennt. Oder zumindest vom Internet, so genau konnte sie mir das auch nicht erklären, da müsse sie mal die Entwickler fragen. Aber so wichtig war das auch nicht, dass die Firewall automatisch reagiert, reicht ja. So ein Angreifer kommt ja eh immer aus dem Internet. Auf die Frage, ob die Firewall auch reagieren würde, wenn man die Datei umbenennen würde, schaute sie etwas komisch, wollte es aber auch nicht wirklich ausprobieren. Aber sie würde das mal mit auf die Liste der Fragen nehmen. Sie mache ja nur Vertrieb, das seien Interna, über die sie auch nur wenig wisse. Dann klickt sie noch eine Weile auf dem Laptop herum, die Firewall summt wieder lauter und im Log taucht eine Meldung auf, dass sie irgendeine Richtlinie verletzt habe. Spannend, vor allem weil der Laptop doch vom Netzwerk getrennt wurde, vielleicht hat er irgendein Funk-Modul eingebaut, damit die Firewall die Meldung trotzdem bekommt. Noch ein Punkt für die Frageliste.
Und jetzt ist alles konfiguriert, die agent.exe wird gerade testweise auf dem Domänencontroller installiert, der Chef höchstpersönlich ist extra in den Serverraum gekommen und schaut neugi
Auch hier übertreibe ich natürlich maßlos. Die Vertriebsmitarbeiterin kennt in der Regel natürlich ihr Produkt ausreichend gut, um mindestens die angebotene Funktionalität vorführen zu können, in vielen Fällen präsentieren sogar die Entwickler selbst ihre Produkte, denn wer könnte sie besser kennen und ggf. direkt neue Anforderungen direkt beim potenziellen neuen Kunden aufnehmen? Und eine EDR-Lösung, die direkt als erstes den Domain Controller lahmlegt, haha, der war gut… oder?
Vor einigen Monaten kam es zu einem Vorfall, der weltweit gleichermaßen für Aufsehen und blaue Bildschirme sorgte. Der große Anbieter eines EDR-Systems CrowdStrike hatte einen Fehler in seine Software eingebaut, der aus mir unbekannten Gründen durch alle QS-Stufen gefallen war und auf Millionen Windows-Servern und -Clients über ein Update ausgerollt wurde. Das Resultat: Weltweite Ausfälle wichtiger IT-Infrastruktur, ein Hersteller in Erklärungsnot und viele wütende Kunden, die ihre Verträge kündigten. Oder wie ich es nenne: Der weltweit erfolgreichste unbeabsichtigte Angriff auf IT-Infrastruktur. Durch die Art, wie EDR-Systeme funktionieren, verankern sie sich tief im System, tiefer als die meisten anderen Tools, die sie ja immerhin überwachen sollen. Dabei arbeiten sie auf Kernel-Ebene und wenn dort irgend etwas schief geht, knallt es eben richtig. Und wenn so ein System erst einmal auf Kernel-Ebene einen Fehler hat, der dafür sorgt, dass das System nicht mehr startet, hilft natürlich auch ein eilig ausgerolltes Hotfix-Update nicht, das ein lauffähiges System zur Installation benötigt. Und jetzt stellen wir uns mal vor, dass nicht ein kaputtes Update ausgeliefert wird, sondern dass ein Angreifer irgendeinen Weg in den Deployment-Prozess eines EDR-Anbieters gefunden hat und stattdessen seine Schadsoftware ausrollt, an allen Firewalls vorbei direkt in die Infrastruktur aller Firmen, die die jeweilige Lösung anwenden. Kann nicht passieren? I’ve got bad news for you…
Was in der kurzen Geschichte in den ersten drei Absätzen nicht übertrieben war, auch wenn man es vermuten könnte: So ein EDR sieht wirklich alles. Auch wenn nicht alle derartigen Systeme den gleichen Leistungsumfang haben, ähneln sich die Möglichkeiten fast überall sehr. Während man sie in der Regel installiert, um Auffälligkeiten bei Programmaufrufen, Downloads, System Calls und in den Speicher geladenen Inhalten zu finden und ggf. direkt zu unterbinden, handelt es sich bei diesen Tools um die reinsten Überwachungs-Maschinen. So lässt sich mit wenigen Klicks darstellen, wann welcher Nutzer sich am PC an- und abmeldet. Bewegt er längere Zeit seine Maus nicht? Vermutlich wieder am Tratschen mit den Kollegen. Und dass er gerade live im Privatchat mit dem Sekretär über den Chef lästert, na, wenn der wüsste. Aber das Passwort für sein Login sollte er wirklich mal ändern, da kommt doch jeder drauf! Diese Art der Überwachung ist ansich schon mehr als problematisch und in der Regel schlicht illegal, vor allem aber kann jeder mit den entsprechenden Rechten diese Daten einsehen. Die Administratoren, der Dienstleister mit Wartungszugang, der Chef, der einen eigenen Account verlangt hat, um selber mal schauen zu können, und natürlich auch der Hersteller der Lösung, der natürlich nur “anonymisierte Nutzungsdaten” erfasst und auf seinen US-Servern verarbeitet. Datenschutz, ick hör dir trapsen!
Alternativen und: Was ist eigentlich das Ziel?
EDR-Systeme bestechen vor allem durch zwei Argumente: Vollständige Sichtbarkeit und automatische Reaktion. Der Gedanke, durch diese Automatismen entlastet zu werden und automatisch vollkommen sicher zu sein, ist verlockend. Doch der Preis ist hoch, und damit meine ich nicht einmal die Summen, mit denen sich die Anbieter ihre Dienstleistung vergolden lassen. Eine derartig vollständige Überwachung der Mitarbeitenden ist in der Regel rechtlich im tiefroten Bereich und dürfte an so vielen Hürden (vom Betriebsrat, so vorhanden, bis zur EU-Gesetzgabung) scheitern, dass in den meisten Fällen eine derartige Lösung nicht oder nur sehr eingeschränkt zum Einsatz kommen dürfte. Wenn sich dann jemand um die rechtlichen Implikationen scheren würden, denn auf diese weist im Verkaufsgespräch natürlich niemand hin. Spätestens wenn es um Systeme geht, die besonders schützenswerte personenbezogene Daten verarbeiten, kann man beim Einsatz von EDR-Lösungen davon ausgehen, dass es nur einen Kläger braucht, damit es richtig, richtig teuer wird.
Doch was möchte man mit dieser Art von Systemen eigentlich wirklich erreichen? Sichtbarkeit ist ein zweischneidiges Schwert, automatische Reaktion ebenso. Denn spätestens wenn der Outlook-Client nicht mehr startet, weil das EDR-System ihn direkt wieder beendet, weil eine Phishing-Mail im Posteingang liegt und vom System als bösartig geflagt wird, zeigt sich die Schattenseite solcher Automatismen. Solange sie funktionieren und Arbeitsabläufe nicht stören, ist alles gut. Sobald sie aber nachgeschärft werden müssen, kann das ernsthaft in Arbeit ausarten, denn wer weiß denn schon auf Anhieb, wie eine entsprechende Ausnahme definiert wird, und vor allem, wie definiere ich sie so, dass sie auch für alle anderen komischen Mails gilt? Eigentlich wäre es doch schöner, wenn nur die Mail blockiert wird und nicht der ganze Client. Und schon versenkt man Stunden in die Lösungssuche für ein einziges Problem und landet im Endeffekt wieder beim Hersteller, der einen Workaround programmieren muss.
Sichtbarkeit bekommt man in den meisten Fällen direkt frei Haus. Nahezu alle Betriebssysteme, Router, Firewalls, Switche und sonstige Geräte haben, zumindest wenn wir vom Firmenumfeld und dafür entwickelte Software sprechen, die Möglichkeit, ihre Logs an einen Logserver weiterzuleiten. Außerdem gibt es auch Agents, die das übernehmen, beispielsweise wenn man Windows Event Logs auf einen Linux-Logging-Server schreiben will - oder anders herum. Sowohl Windows als auch Linux sowie nahezu alle Netzwerkkomponenten erlauben hierbei eine feingranulare Einstellung, welche Events als Logeintrag generiert und weitergeleitet werden sollen, auch wenn die Standardeinstellung in der Regel sehr zu wünschen übrig lässt. Auf jeden Fall schafft man sich mit einem separaten Logserver Sichtbarkeit, mit einem SIEM sogar automatisches Alerting bei Auffälligkeiten. Doch ein SIEM ist eben auch keine Fire&Forget-Lösung, die Konfiguration und Analyse der eingehenden Events und die Definition des “Normalverhaltens” kostet viel Zeit. Danach hat man jedoch ein System, das Auffälligkeiten in der Infrastruktur zuverlässig erkennt und nur noch Nacharbeiten benötigt, wenn neue Systeme und Software zum Einsatz kommen.
Und was ist jetzt mit Automatismen? Well, ich fürchte, zum aktuellen Zeitpunkt (02/2025) kann ich keine Lösung für die automatische Reaktion auf Anomalien wirklich empfehlen. Ich gebe aber auch zu, dass ich auf diesem Gebiet wenige Erfahrungen habe. Wenn jemand coole Tools kennt oder Ideen hat, lasst es mich gerne wissen! Bis dahin empfehle ich ein solides und sauber konfiguriertes Alerting bei auftretenden Anomalien direkt auf das Handy der Systembetreuer.
Alles sicher in der Cloud
Endlich! Nach dem ganzen Firewall- und EDR-Desaster hatte sich die Geschäftsleitung entschieden, dass doch noch einmal mit verschiedenen Anbietern über die Cloud zu reden. Und einer von denen hatte tatsächlich noch etwas Platz und hat angeboten, die Kernservices für ein paar Cent pro Stunde zu betreiben! Irre, wie günstig das ist und die ganze Migration der Mail- und Webdienste ging leicht von der Hand. Endlich können die Mitarbeitenden von überall aus arbeiten, ohne sich erst mühsam über das wackelige VPN in die Firma einzuwählen, außerdem sparen wir so richtig Geld! Die IT vor Ort besteht nur noch aus der Fritzbox, einem Server als “Brücke in die Cloud” und dem Etagenverteiler, sogar das NAS ist jetzt durch einen Cloud-Storage mit einer Nextcloud-Oberfläche abgelöst, das Gerät selbst haben wir sofort verkauft. Natürlich haben wir vorher unsere Dateien über die Oberfläche gelöscht, wir sind ja nicht blöd!
Ein wenig hakelig ist das Ganze ja schon gewesen, alleine das Ding mit dem 2. Faktor. In unserer Teststellung, die uns ein Mitarbeiter des Anbieters eingerichtet hatte, konnte man sich einfach mit Benutzernamen und Passwort anmelden und alles funktionierte sofort. Aber ab dem Moment, wo es real zur Sache ging und wir die Live-Umgebung in Betrieb nahmen, musste jeder Benutzer einen zweiten Faktor einrichten. Entsprechende Geräte haben wir nicht, viele unserer Nutzer haben nur ein Privathandy und wollen dort weder eine App installieren, noch ihre Nummer irgendwo für Dienstsachen angeben. Wir haben jetzt eine Option freigeschaltet, die den Einmalcode, der für die Anmeldung zusätzlich notwendig ist, an die Firmen-Mailadresse schickt. Die hat sowieso jeder auf dem Handy eingerichtet oder kommt per Webmailer dorthin - ist ja auch alles in der Cloud, voll praktisch! Sogar die Telefonie funktioniert über einen Onlinedienst, die teuren Tischtelefone haben wir direkt verkauft.
Sogar unsere Clients verwalten wir jetzt über die Cloud, ganz easy über den Browser. Der Admin ist heilfroh, dass er keine GPOs mehr schubsen muss, der verbleibende lokale Server ist ein Domänencontroller, der sich stetig mit der Cloud synchronisiert, und so kann sogar die administrative Arbeit komplett remote - theoretisch vom Strand in den Malediven aus - erledigt werden. A propos, unseren Admin hat seit Tagen tatsächlich niemand mehr gesehen…
Man ahnt es - auch hier übertreibe ich, dass sich die Balken biegen. Eine Cloud-Strategie ist in der Regel nichts, was man “mal eben” und ohne Plan umsetzt, die Migration von Diensten will wohl überlegt sein und über die Anmeldeverfahren informiert man sich selbstverständlich vorher, bzw. wird vom Anbieter selbst informiert. Die Cloud ist eben doch etwas anders als die On-Premises-Welt und mit anderen Zugriffs- und Verwaltungskonzepten ändern sich auch die Nutzungskonzepte. Doch schon bei der Geschichte mit dem oberflächlich freigeräumten und verkauften NAS hört die Fiktion auf: Häufig finden sich auf diversen Marktplätzen im Internet gebrauchte Festplatten zu Spottpreisen, die nicht selten von Firmen ausgemustert werden, um noch ein paar Euro zu sparen oder “damit theoretisch noch funktionierende Hardware nicht weggeworfen werden muss” - ein nobler Gedanke, der aber seine Tücken hat, für beide Seiten. Denn das einfache Löschen von Daten reicht nicht aus, in den meisten Fällen lassen sich solche Daten mit wenigen Handgriffen selbst durch Laien wiederherstellen. Mehr als die Fähigkeit, ein kostenloses Tool zu installieren, die Platte anzuschließen und auf “restore” zu klicken braucht man nicht. Und plötzlich haben Dritte Zugriff auf interne Firmendaten.
Aber ich möchte hier nicht wirklich über Datenabfluss durch fehlende Sorgfalt bei der Entsorgung von Datenträgern reden, vielleicht widme ich dem Thema irgendwann einen eigenen Beitrag. Hier soll es um die Cloud gehen, mit ihren Versprechen der permanenten Verfügbarkeit, einfacher Wartung, geringer Kosten, Sicherheit und Skalierbarkeit. Kann man sich mit der Cloud nicht teure Infrastruktur und Fachkräfte, die sie betreiben müssen, sparen?
Fallstricke: Von Kostenexplosion bis Restore
Wer seine Services in die Cloud migriert, sollte sich einiger Punkte bewusst sein. Unter anderem könnte die Vorstellung, dass Cloud-Dienste im Vergleich zu eigener Infrastruktur immer die kostengünstigere Lösung sind, ein teurer Trugschluss sein. Denn in der Cloud wird in der Regel nach Ressourcennutzung berechnet. Wer einen Dienst betreibt, der im Leerlauf nur sehr geringe Ressourcen (CPU-Zeit, Arbeitsspeicher, Storage, übertragene Datenmenge, …) verbraucht oder gar nur wenn er benötigt wird überhaupt aktiviert wird, kommt verhältnismäßig günstig davon. Üblicherweise landen aber ressourcenhungrige Anwendungen in der Cloud, die permanend laufen müssen. Und so summieren sich die Kosten schnell auf, die Ursachen sind ohne das nötige Hintergrundwissen eher undurchsichtig. Und wer ganze Infrastrukturen in der Cloud betreibt, könnte im Einzelfall deutlich teurer davon kommen als mit dem traditionellen Rechenzentrums-Betrieb. Und auch die Fehlannahme, dass man sich durch den Cloud-Betrieb Arbeitskräfte sparen würde, die regulär Server und Software warten, wird mit Erstaunen feststellen, dass eine Cloud ebenfalls fachmännisch gewartet, konfiguriert und betrieben werden muss.
Ein häufiges Argument ist auch, dass die eigene Infrastruktur permanent auf dem aktuellen Stand, abgesichert und überwacht werden muss und dass diese Tätigkeiten bei einem Cloud-Dienst, bei dem sich der Betreiber direkt um die Infrastruktur kümmert, wegfallen würden. Natürlich braucht man sich keine Gedanken mehr um Server zu machen, die bereits nach kurzer Vernachlässigung zu lohnenden Zielen für Angreifer werden. Doch auch in der Cloud wird in der Regel Software eingesetzt, die in der Verantwortung des Nutzers liegt. Und da diese Software-Stacks oft permanent verfügbar und nicht hinter den virtuellen Wällen der Netzwerkgrenzen der lokalen Firmen-Infrastruktur verborgen sind, stellt auch die kleinste Fehlkonfiguration, ein um einen Tag verspäteter Patch oder ein übersehener Alert eine ernsthafte Bedrohung dar. Auch wenn die meisten Cloud-Anbieter im Business-Segment mittlerweile mindestens 2FA oder anderweitige Absicherungen mindestens der administrativen Accounts erzwingen, sind die betriebenen Services dann doch nur eine Web-Oberfläche entfernt, die im Zweifel mit einer Schwachstelle steht oder fällt.
In den letzten Monaten habe ich von der einen oder anderen Firma gehört, die einen weiteren Denkfehler machte und dafür teuer bezahlen musste: Denn die Annahme, Cloud-Dienste seien automatisch mittels Snapshots oder Backups geschützt, ist nur bedingt richtig. Denn während viele Cloud-Anbieter entsprechende Funktionalitäten anbieten, kann es durchaus sein, dass diese eine kostenpflichtige Zubuchobtion darstellen, mit teilweise happigen Kosten für den verwendeten Storage. Wir reden hier nicht von ein paar Gigabyte Speicher, bei ganzen Infrastrukturen geht es gerne in die Terabyte. Gute 122€ listet beispielsweise Amazon für die teuerste Version ihres Backup-Speichers für ein Terabyte Datenbank-Tabellen-Backup pro Monat (Stand 02/2025). Das mag vergleichsweise harmlos klingen, vergleicht man es aber beispielsweise mit einem LTO9-Tape mit 18TB Speicherkapazität zum gleichen Preis, relativiert sich die Vorstellung, es hier mit einem Schnäppchen zu tun zu haben. Und sollte man einmal in die Situation kommen, etwas aus dem Cloud-Backup vornehmen zu müssen, zahlt man beim selben Anbieter bis zu 500€ pro Terabyte. Möchte man die Möglichkeit haben, die gesicherten Elemente zu durchsuchen, kostet das pro Million Dateien 20 Cent. Je nach Cloud-Anbieter weichen diese Preise leicht ab, aber generell bewegen sich die Preise derzeit ungefähr in der genannten Preisklasse. Und wer den Backup-Storage nicht gebucht und konfiguriert hat, steht im Zweifel auch mal ohne Wiederherstellungsmöglichkeit da.
Cloud oder nicht Cloud, das ist die Frage
Die Entscheidung für oder gegen die Cloud oder gar einen Mischbetrieb will wohl überlegt sein. In allen Szenarien benögtigt man geschultes Fachpersonal, um die eigene Infrastruktur sicher zu betreiben. Und neben den oben genannten Überlegungen sollte man auch regulatorische, rechtliche und ggf. auch versicherungstechnische Aspekte berücksichtigen. Ob bestimmte Daten (beispielsweise besonders schützenswerte Personendaten wie Gesundheitsdaten) überhaupt bei einem bestimmten Cloud-Anbieter verarbeitet werden dürfen, ist manchmal gar nicht so leicht herauszufinden. Dürfen derartige Daten nicht außerhalb der EU verarbeitet werden, stellt sich nämlich schnell die Frage: Wer versichert mir denn bei Systemen, die sich über die ganze Welt hinweg synchronisieren, dass die Daten tatsächlich nicht die Grenzen der EU überqueren und gen USA oder China abwandern? Cloud-Systeme sind für Nutzende definitiv undurchsichtig, quasi eine Black Box, und auch wenn in den Verträgen der jeweiligen Dienste zugesichert wird, dass die entsprechenden Serverfarmen in der Region “europe-west3” stehen, bleibt ein fader Beigeschmack. Denn Landesgrenzen sind im Cyberspace nur schwer auszumachen. Und wo wir gerade beim Thema “Vertrauen” sind: Man sollte sich vollkommen darüber im Klaren sein, dass man im Falle einer Cloud-Strategie dem jeweiligen Anbieter seine Infrastruktur anvertraut. Wenn ich aktuell (immer noch 02/2025) mit bangen Blicken über den großen Teich schaue, wo Tech-Oligarchen das Ruder übernehmen und mehr und mehr politische, aber auch technologische Macht erhalten, habe ich durchaus kein gutes Gefühl mit dem Wissen, dass es einen von ihnen möglicherweise nur wenige Klicks kostet, um unliebsame Firmen(infrastruktur) von der digitalen Landkarte zu tilgen.
Der Dienstleister kümmert sich
Die Cloud-Migration wurde inzwischen zurückgefahren, stattdessen steht im behelfsmäßigen Serverraum jetzt ein neuer Server, der die benötigten Dienste bereitstellt. Grau-schwarz, irgendwie unspektakulär, aber unglaublich leistungsfähig. Man muss ja auch in die Zukunft planen, für den Fall, dass das Geschäft boomt und aus den 20 immerhalb kurzer Zeit 200 Angestellte werden. Und es macht ja auch wirklich Spaß, mehrere Terabyte große Daten hin und her zu kopieren, die Bedienoberfläche fast schon vor dem Klick reagieren zu sehen und eine VM nach der anderen hochzufahren. Irgendwann wird man diese Leistungsfähigkeit brauchen, und dann rechnet sich die Investition.
Bis dahin muss gespart werden. Der bisherige Administrator nimmt nun andere Aufgaben wahr. Irgendwo anders, denn hier wird kein Administrator mehr benötigt. Der Dienstleister, der den Server angeboten, konfiguriert, eingebaut und mit allem Nötigen bespielt hat, übernimmt ab jetzt alle administrativen Tätigkeiten. Über einen Fernwartungszugang kann er direkt auf die komplette Infrastruktur zugreifen, bekommt Meldungen direkt von den Systemen und kümmert sich auch noch um den User-Support! Papierstau im Drucker? Bevor dieser von den Mitarbeitenden entdeckt wird, sitzt der Servicetechniker bereits im Auto. Windows-Updates? Kein Problem, alle Clients werden am Wochenende nach dem Patchday automatisch hochgefahren, installieren Updates und schalten sich wieder ab. Ein eingerissener Fingernagel? Die Dienstleister-Hotline alarmiert den Notdienst. Sogar die Einbruchmeldeanlage wird von ihm überwacht und konfiguriert, wer braucht da noch Personal vor Ort? Auch wenn der Dienstleister durch 24/7-Bereitschaft und hochqualifiziertes Personal gut das doppelte eines Administrator-Gehalts pro Monat kostet, durch diesen Mehrwert rechnet sich das Ganze definitiv!
Nia, erkennt jemand, an welcher Stelle ich ein wenig überspitzt geschrieben habe? Ihr ahnt es… und dennoch, eigentlich hört sich das Ganze doch ganz gut an, selbst in der Übertreibung, oder?
Nun, jedenfalls bis zu dem Zeitpunkt an dem das passiert, was wir in den letzten Jahren gehäuft beobachten und nicht selten in langwierigen Incident Response-Einsätzen wieder richten mussten. Dienstleister, die die Infrastruktur ihrer Kunden betreuen, sind heute ein beliebtes Ziel für alle möglichen Arten von Angreifern. Denn solch einen Dienstleister beispielsweise mit einer Ransomware-Attacke lahmzulegen, erzeugt durch die Zahl der veräergerten Kunden durchaus einen nicht zu unterschätzenden Druck, doch das Lösegeld zu zahlen anstatt monatelang nur eingeschränkt den vertraglichen Pflichten nachzukommen. Lohnenswert sind Dienstleister auch aus anderen Überlegungen heraus. Denn für die Wartung der Kundensysteme benötigt man für jeden Kunden entsprechende Zugänge, die nicht selten relativ ungeschützt auf den internen Systemen der Dienstleister abgelegt sind. Und selbst wenn sie in Passwort-Safes abgelegt sind, kostet es einen Angreifer oft nur einen gut platzierten Keylogger, um an die Zugangsdaten zu gelangen. Ein zweiter Faktor würde in den meisten Szenarien Abhilfe schaffen, doch die Realität zeigt, dass es nach wie vor Dienstleister gibt, die auf diese Sicherheitsmaßnahme lieber verzichten - die Gründe dafür erschließen sich mir bisher leider nicht. Und wie auch immer die Zugangsdaten zu den Kundensystemen abhanden gekommen sein mögen - hat ein Angreifer erst einmal Zugriff, sind durch einen einzigen Angriff alle Firmen, die der Dienstleister betreut, die nächsten Opfer. Minimaler Aufwand, maximaler Profit, denn irgend jemand zahlt immer.
Dass viele Dienstleister ihrer Sorgfaltspflicht auf verschiedenen Ebenen nicht nachkommen ist ein trauriger Fakt. Die eigenen Systeme nur unvollständig abzusichern ist eine Sache, aber mit den Zugängen zu Kundensystemen derart fahrlässig umzugehen, die anvertrauten Systeme nicht nach allen Regeln der Kunst abzusichern und in Kauf zu nehmen, dass auch hochkritische Daten von diesen abfließen, die andere. Selbstverständlich arbeiten auch hier nur Menschen, und Menschen machen Fehler. Jedoch darf man bei Dienstleistern, die damit werben, Systeme ihrer Kunden vollumfänglich, sicher und verantwortungsvoll zu betreuen, mindestens damit rechnen, dass mit sauberen Prozessen, gut geschulten Mitarbeitern und zeitgemäßen technischen Vorkehrungen dafür gesorgt wird, diese Versprechen auch einzuhalten.
Vielleicht doch wieder zurück zum Haus-Admin
Während die Argumente für einen externen Dienstleister wie beispielsweise hohe Verfügbarkeit, kurze Reaktionszeiten, breite Wissensbasis und zentrale Ansprechpartner durchaus ihre Vorteile haben, nehmen die entsprechenden Personen nicht am Arbeitsleben des Auftraggebers teil. Sie erleben nicht den Alltag und die Arbeitsweise der Mitarbeitenden und haben damit im Zweifel Schwierigkeiten, Anforderungen im Kontext zu sehen. Ein externer Dienstleister wird immer ein gutes Stück anonym bleiben, außenvor, und die Hemmschwelle, mit vermeintlich kleineren Problemen dort anzurufen ist deutlich höher, als den IT-Kollegen aus dem Nachbarbüro kurz auf dem Flur oder an der Kaffeemaschine anzusprechen. Der Informationsfluss ist einfach besser und ungezwungener, Unklarheiten sind schneller geklärt und viele kleine Probleme, die ansonsten nie zur Sprache kommen würden, türmen sich so nicht zu unzufrieden machenden Mengen auf.
Ich möchte gar nicht behaupten, dass externe Dienstleister, die Teile der IT-Administration und des Supports übernehmen, generell eine schlechte Idee sind. Wie gesagt braucht es ausgebildetes Fachpersonal, und wenn man das selbst nicht bereitstellen kann (dafür mag es unterschiedlichste Gründe geben), kann ein Dienstleister durchaus sinnvoll sein. Doch alle Aufgaben auszulagern birgt auch Risiken wie die genannten Supply-Chain-Attacken oder auch Probleme bei Nichterreichbarkeit des Dienstleisters, unklaren Absprachen und Zuständigkeiten, oder ganz banal: Das finanzielle Interesse des Dienstleisters, möglichst viele Kunden gleichzeitig zu betreuen, ohne mehr Personal bereitstellen zu müssen. Letzteres sorgt nicht selten zu Problemen, wenn mehrere Kunden gleichzeitig mit denselben Problemen zu kämpfen haben - ich erinnere an Schwachstellen wie Shitrix, Log4Shell, Hafnium und so viele andere, die nahezu alle IT-Dienstleister und Systemhäuser aufgrund der breitflächigen Kundenbetroffenheit an (und über) ihre Auslastungsgrenzen brachten.
Alles eine Frage der Technik
Was macht nun eigentlich IT-Sicherheit aus? Die Kostenspanne der Technik ist keine Kenngröße, um die Wirksamkeit der getroffenen Absicherungsmaßnahmen zu bewerten. Ob ich beispielsweise einen Server mit teurer Spezialsoftware (wie den oben genannten EDR-Systemen) absichere oder die vom Betriebssystem bereitgestellten Methoden nutze, um das System vor Angriffen zu schützen, hängt zu guten Teilen auch von meinen Anforderungen udn Erwartungshaltungen ab. Für einen in einer DMZ stehenden Webserver, der die Unternehmens-Webseite bereitstellt, benötige ich kein EDR-System, denn die grundsätzliche Absicherung des Betriebssystems, des Webservers und ggf. der Datenbank und dem Scripting-Framework im Hintergrund ist mit Hausmitteln (entsprechendes Wissen vorausgesetzt) mit wenigen Handgriffen machbar. Für zentrale und komplexere Systeme, die innerhalb der internen Infrastruktur stehen, kann man über saubere Konfiguration der Firewalls sowie der Härtung der Systeme das meiste an Bedrohungsszenarien ebenfalls abfangen, hier kann sich ein Blick auf erweiterte Lösungen jedoch durchaus lohnen, je nach Bedrohungsszenario. Angriffsszenarien wie Log4Shell haben zudem gezeigt, dass auch bei sorgfäliger Absicherung des Perimeters trotzdem nicht ausgeschlossen werden kann, dass ein Außentäter bis tief in eigentlich geschützte Netzwerkbereiche Zugriff erlangt. Eine zusätzliche Sicherheitsschicht kann duchaus angemessen sein, man sollte nur die Vor- und Nachteile sowie das benötigte Wissen, das für die Implementierung nötig ist, bei der Entscheidung berücksichtigen. Und spätestens wenn Sicherheitslösungen eine Verbindung zu externen Systemen (lies: in die Cloud) benötigen, um ihre Funktion bereitzustellen, ist ihr Einsatz auf abgeschotteten Systemen mit hohem Schutzbedarf nahezu ausgeschlossen - denn ein einziger erfolgreicher Angriff auf den Betreiber der für die Verteilung der Konfiguration zuständigen Server kann dafür sorgen, dass diese kritischen Kernsysteme an allen anderen Sicherheitsmaßnahmen vorbei unbemerkt kompromittiert werden.
Zurück zur Eingangsfrage
Die Frage, ob IT-Sicherheit teuer sein muss, kann ich ganz klar mit “jein” beantworten. Ich sage nicht, dass man kein Geld dafür ausgeben sollte und ich behaupte auch nicht, dass man rein mit kostenlosen Lösungen immer ans angestrebte Ziel kommt, ohne an anderer Stelle teils massive Abstriche machen zu müssen. Er glaubt, sicher zu sein, nur weil er Hard- und Software für sechs- oder siebenstellige Summen angeschafft hat, ist vermutlich genauso auf dem Holzweg wie diejenigen, die in Handarbeit mit kostenlos verfügbarer OpenSource-Software ihre eigenen Sicherheitslösungen zusammenklöppeln und nicht selten an der Komplexität der Thematik scheitern. Wie so oft gilt: Mit Augenmaß kommt man weiter.
Wer in die Schulung seiner Mitarbeitenden investiert, macht auf jeden Fall schon einmal nichts falsch. Denn egal welchen Weg (oder Mischweg) man in der Absicherung seiner Infrastruktur geht - ohne administrative Mitarbeiter, die eingesetzte Lösungen und die Problematik, die sie beheben sollen möglichst im Detail verstehen und bedienen können, sind diese Lösungen wenig wert. Wer eine moderne Firewall zum Schutz des Netzwerkes administrieren soll, aber ICMP nicht von IGMP unterscheiden kann, den Drei-Wege-Handshake für eine coole Begrüßungsformel oder VLAN für ein besonders schnelles Funkprotokoll hält, benötigt dringend das notwendige Grundlagenwissen über Netzwerktechnik, um überhaupt zu verstehen, wie die Firewall sinnvoll den Datenverkehr verwalten kann. Auch für IDS-/IPS- oder DLP-Systeme sowie andere Sicherheitsmaßnahmen, die auf Netzwerkebene geschehen, benötigt man dieses und weiteres Fachwissen. Und ohne ein gutes Verständnis über die Funktionsweisen und Möglichkeiten der eingesetzten Betriebssysteme scheitert man selbst mit professionellen Lösungen an der sinnvollen Absicherung, denn jede Sicherheitsmaßnahme hat immer auch das Potenzial, den Betrieb zu beeinflussen oder gar einzuschränken.