UTM bzw. NGFW für kleine Firma notwendig?

Moin,

5 VLANs für 5 Clients? Im Ernst? Warum? Warum willst Du in so einer Kleinstumgebung das Netz in so kleine Häppchen zerhacken. Du hast hinterher für jeden Rechner praktisch ein eigenes VLAN. Das wird nur Ärger geben. Intern würde ich alles so lassen, wie es ist und mich nur um die Absicherung nach Außen kümmern.

Was ich überhaupt nicht verstehe: Was soll die DMZ? Was soll da rein? BMA? Brandmeldeanlage? Wenn ja, dann sollte die komplett neben her laufen. Die muss ja auch funktionieren, wenn der Router brennt.

my 2 cents

Erik

P.S.: Es gibt sicherlich Kleinstunternehmen, bei denen das sinnvoll ist. Ich hatte mal einen Kunden, der brauchte für sich und seine zwei Angestellten drei getrennte VLANs (die dann nochmal unterteilt wurden), weil er drei rechtlich unabhängige Steuer- und Vermögensberatungsgesellschaften in einem Büro betrieben hat und das Trennungsgebot es vorschreibt, dass das nicht über ein Netz laufen darf. Aber das sind Spezialfälle.

Moin @thenwn,


na ja, was den WAN/Internetanschluss angeht, so steht dieser meiner Erfahrung nach, bei einem kleinen Unternehmen fast genau so unter Beschuss wie auch bei den grossen Unternehmen. Daher sollte dieser, auch bei einem kleinen Unternehmen, grundsätzlich ebenfalls ordentlich abgesichert werden.
Bei den ganzen Problemen die die Palo Alto's oder Fortinet oder Cisco SGW in letzter Zeit gehabt haben, bin ich mit mittlerweile aber nicht mehr ganz sicher, ob die entsprechenden SGW's, wirklich ein besserer Schutz sind. 😔
Theoretisch definitiv ja, praktisch müssen jedoch einige deren Hersteller, meiner Ansicht nach jedoch schnell einen Zahn zulegen, damit das auch wirklich so ist.

Was den Rest angeht ... es sind nur 5 Clients ... sprich, bitte die Kirche im Dorf lassen, vor allem mit den ganzen VLAN's. Denn alleine eine saubere Konfiguration und auch Pflege der entsprechenden Regelwerke des SGW's, würde den Kunden dieser Grösse wahrscheinlich sehr schnell ruinieren und wenn du zwischen den internen netzen eh nur mit any to any durchlassen wolltest, dann kannst du dir die VLAN's auch gleich sparen.

Gruss Alex

+1

McAffee würd ich jetzt z.B. auch nicht einsetzen...

Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.

Aber ich lerne immer noch gerne dazu

Moin @Boomercringe,


so sehe ich das auch.

Ich sage nur ...

1987 - Gründung
1994 - Börsengang
1997 - Fusion mit Network General

... bis hierhin hat sich das Unternehmen eigentlich ganz gut entwickelt und nun zu der Talfahrt ...

2011 Übernahme durch Intel
2016 Übernahme durch TPG (Finanzinvestor) ... 🤮
2021 Übernahme durch eine Gruppe diverser Finanzinvestoren ... 🤮🤮

... . 😔

Gruss Alex

also zur Kernfrage:
Die (wenigen) UTMs, die ich bislang in Kleinunternehmen gesehen habe waren faktisch unkonfiguriert. Oder eigentlich verkonfiguriert, bis hin zur überflüssigen Öffnung von außen. Von Nutzung der "intelligenten" Funktionen keine Spur (was ich prinzipiell ok finde - aber so war es nicht "verkauft"). Faktisch wurden die Geräte als VPN-Gateway genutzt, weil die VPN-Funktionen so schön simpel gehalten sind. Entsprechend sah der Rest der IT-Dienstleistung dort aus: Außer Spesen nichts gewesen... Wohlgemerkt nicht von irgendwelchen Kunden im self-service eingerichtet, sondern von zertifizierten Partnern des Herstellers. Oha. Da hat sich die Schulung aber gelohnt. Hoffentlich hat wenigstens der Kaffee geschmeckt.

Die meisten KUs, die ich kenne (und nicht betreue) laufen auf Fritzbox oder ähnlichem. Und existieren - erstaunlicher Weise - immer noch Meine Kunden selbst rüste ich jeweils auf Mikrotik um, wenn die Zeit reif ist. Wird eine Firewall gewünscht, gibt es eine #Sense für's WAN.
Wer im Netzwerk in Echtzeit mit Router OS gearbeitet hat, bekommt eh bei den lahmen Browserlogs der UTMs das Schreien. Davon abgesehen sind die Teile auch beim Featureset befremdlich rudimentär und leistungsarm sowieso. Geht ja um Sicherheit, nicht um Netzwerknutzen. Für mich ist ein sicheres Netz in erster Linie ein transparentes Netz und diese Transparenz bietet Mikrotik wie niemand sonst. Jedenfalls auf KMU-Niveau. Konzerne mögen ganz andere Tools haben.

Von den (möglichen) pseudo"intelligenten" Funktionen einer UTM hat mich bislang niemand überzeugen können - und ich freue mich, eines Besseren belehrt zu werden. Bitte jederzeit gern. Ich lerne hier jeden Tag und freue mich drüber.

Ich finde TLS-interception inakzeptabel, sie widerspricht allen Sicherheitsaspekten einer end-to-end-encryption und ist in KU in denen oftmals auch privater Datenverkehr gestattet ist auch rechtlich erheblich problematisch. IMO bringt das mehr Unsicherheit als Sicherheit, siehe zB auch hier und hier.

Zudem sehe auch den Einsatznutzen eines UTM nicht wirklich.
Ein von außen erreichbarer Server steht in der DMZ und hat ggf. eigene Schutzvorkehrungen.
Ein interner Client hat den Defender o.a. an Bord. Soll ich glauben, dass der UTM-"Virenschutz", den ich über den aufgebrochenen Traffic jage, "besser" ist?
Ein nur intern genutzer Server braucht keinen Virenschutz. (Freu mich schon auf die Kommentare )
Vor was also schützt mich das UTM?

Sinnvoll am UTM ist (wenn aktiv) der DNS-Filter. Den bekomme ich aber mit einem PiHole jedoch für 50 EUR hin (zukünftig wohl auch in Router OS enthalten). Da brauche ich keine UTM für ein paar kEUR über die Lebenszeit.

Bleiben am Ende noch denkbare verhaltensbezogene Schutzmaßnahmen eines UTM. Wenn das Gerät das denn wirklich (und der DL es einrichten) kann. Das ist nämlich ausgesprochen komplex, bestimmte Verhaltensmuster zu definieren, bei denen das dann anspringen (und nicht ständig false positives bringen) soll. Es hat sicher Gründe, dass ich das noch nie in Aktion sehen durfte. Zumindest von einem Sophos-Partner hätte ich ansonsten die Einrichtung erwartet.

Bessere Firewalls, so habe ich mir erklären lassen, arbeiten mit Watchdogs auf Servern zusammen und reagieren entsprechend. Das ist prinzipiell interessant, habe ich auf einer KU-UTM aber noch nicht gesehen und wäre dort auch vielleicht übertrieben.

Spekulativ: Man kann wohl davon ausgehen, das (sogar) Microsoft seine Netze mit einigem mehr schützt, als Du je aufzubieten in der Lage bist. Dennoch tummeln sich dort bekanntlich Russen, Chinesen (wer auch immer) und klauen Keys, Mails und Quellcode. Wenn also die "intelligenten" Funktionen nicht einmal dort helfen... - ja was sagt uns das?

Wenn Du Deinen Kunden schützen willst, denke zunächst vielleicht mal ans Backup. Das ist nämlich in der o.b. Konstellation Mist - aber das ist einen eigenen Thread wert. Bedenke: Man kann noch so aufrüsten, wirkliche Sicherheit erreicht man nie. Deshalb wird ein wirklich verlässliches Backup immer gebraucht. Hier lohnt es sich, Energien reinzustecken. Der Rest darf solide sein. Voodoo braucht es hingegen nicht.

Viele Grüße, commodity

Ich freue mich ja immer, wenn mir dann erklärt wird, was "nur intern" bedeutet.

Aber das ist völlig losgelöst von der Frage "Virenschutz".

Moin @commodity:


solche Dinge kenne ich auch, jedoch liegt das Problem dabei oft auch bei den Kunden, die die komplexe Konfiguration eines SGW's und auch dessen Wartung, selber nicht beherrschen und andere nicht bezahlen möchten.
Denn eines möchte ich gleich festhalten, Sicherheit kostet Geld und das nicht nur in der IT Branche.
Und je mehr Sicherheit man haben möchte umso mehr muss man dafür bezahlen/opfern.


Geh einfach per Shell auf ne XGW und schau dir dort die Logs an, dort sind sie genau so flink wie auf einem Router und ausserdem sieht man in diesen auch viel mehr. 😉


OK, dann las uns einen Termin vereinbaren, und ich zeige dir dabei sehr gerne, was ein richtig konfiguriertes SGW, so alles drauf haben kann.


Das habe ich vor ganz langer Zeit, mal auch so gedacht, die Realität hat mich jedoch eines besseren belehrt.
Denn auch die Bösewichte kommunizieren über verschlüsselte Verbindungen und um eine solche Kommunikation erkennen und unterbinden zu können, muss man den verschlüsselten Datenverkehr zwangsweise aufbrechen und reinschauen. 😉



Es geht hier in erster Linie nicht um besser, sondern eher um eine weitere/zusätzliche Schutzbarriere, die im besten Fall dafür sorgt, dass schadhafte Daten den "internen" Client/Server erst gar nicht erreichen.


Ganz einfach, weil viele Angriffe nicht nur von aussen kommen, sondern auch von innen. 😔


Z.B. davor, dass ein Schädling kontakt zu seinem CC aufnimmt und das ist nur eines von duzenden Beispielen, die ich dir jetzt aufzählen könnte.


Das kann die Sophos XGS übrigens auch, mitunter daher ist auch ein Sophos AV Schutz auf den entsprechenden Clients oder Server sehr sinnvoll.


Der Laden ist schlichtweg zu gross und absolut miserabel organisiert und konzentriert sich zudem viel zu sehr auf die Steigerung des Umsatz durch seine Produkte, als auf deren Sicherheit.


Ja, Backup ist definitiv mitunter das Wichtigste ... aber ... auch das sollte ordentlich gemacht sein.
Denn ein vom Angreifer verschlüsseltes Backup, ist im Nachgang = kein Backup.

Gruss Alex

Danke, ich wollte eben genau das gleiche Posten

Da habt Ihr ja durchaus recht. Aber wenn es nicht ein Handwerker oder ähnliches wäre, hätte das der TO sicherlich erwähnt.

Hallo @MayBeSec
Damit meine ich, dass ein "Server" nicht von außen erreichbar ist, sondern lediglich im internen Netz von ein paar Leutchen, z.B. als Datengrab, genutzt wird. IMO einer der häufigsten Fälle in Kleinumgebungen. Klar, man kann immer argumentieren, dass ein Server ja zumindest nach außen kommuniziert und sich "was wegholen" kann. Dies wäre dann aber ein erfolgreicher Supply-Chain-Angriff - da würde ich mal sagen, in solchen Fällen wäre ein Virenschutzprogramm ebenfalls hilflos.

@MysticFoxDE
Hallo Alex,
Korrekte Aussage (aus Deiner Sicht - der Sicht eines qualifizierten und engagierten DL ). Die Realität sieht im Felde anders aus. Selbst wenn der Kunde das Glück hätte, auf solch einen DL zu stoßen, ist er (KU) im Regelfall nicht bereit oder finanziell in der Lage, etliche kEUR für die Einrichtung und Pflege einer UTM zur Abwehr einer zwar realen, aber dennoch eher unwahrscheinlichen Gefahr für seine kleine Struktur aufzubringen.

Wozu auch? Der Kunde hat da oft eine realere Sicht als wir, die wir täglich schlechte Nachrichten lesen, was bekannter Maßen die Paranoia anheizt. Gerade gestern hat mir ein Chirurg erklärt "unser Werkzeug sind unsere Hände, die Daten sind für die Behandlung total nachrangig."
Nenne Zahlen, dann wird das klarer, was ein Kleinkunde da (nicht) zahlen will/kann. Wenn IT-Sicherheit nur etwas für exklusive Zirkel sein sollte, liefe was falsch.
Auch hier ist die Realität eine andere, wie die fortwährende Existenz einer überwiegenden Zahl von immer noch lebenden Kleinunternehmen hinter Fritzboxen (und unkonfigurierten UTMs) belegt.
Seit wann arbeitest Du denn mit Router OS? Der Vergleich hinkt IMO nicht nur ein bisschen.

Unter Router OS kannst Du das Logging in Echtzeit sehr bequem (in GUI oder Shell) aufs differenzierteste filtern, wenn Du willst, bis auf das letzte Paket einer bestimmten Verbindung auf einem einzelnen Interface. Mach das auf einer Sophos dann mit tail und grep Ich bin ja wirklich gern auf der Konsole, aber was das Netzwerkhandling ist Mikrotik um Welten weiter. Und ich dachte immer, die UTMs wollen komfortabel Sicherheit schaffen. Für mich ist das (manchmal) schöner Schein. Router OS hingegen ein Arbeitsmittel.

Es geht eben bei Router OS nicht um "einen" Router. Was der "Router" hier so loggt und filtert vermittelt dieser kleine Handbuchauszug vielleicht (Stichwort "Topics". Auch die Sophos loggt fleißig und ordentlich (viele Dienste, viele Logs). Was anderes würde man unter Linux aber nicht erwarten, oder?
Da hätte ich doch gern einen Auszug aus einem Beispiellog Das wäre ja ein Ereignis, wenn die Sophos, die ebenso ein Linux ist, wie jede andere UTM und auch Router OS, da mehr sichtbar machen kann als das OS selbst.
Mit den paar Tools, die Sophos unter der Stichwortkombi Shell + Manual reichlich lustlos offeriert aber nicht, oder?
https://support.sophos.com/support/s/article/KB-000035558?language=de
https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/1173 ...
Das ist total super, das nehme ich gern an, wenn ich den nicht bezahlen muss . Machen wir gern per PN was aus Freue mich ohnehin, mal mit Dir nicht nur zu schreiben.
Das ist schon klar, aber kein Grund den "guten" Verkehr aufzubrechen. Noch dazu mit einer Closed-Source-Implementierung, bei der einiges dafür spricht, dass sie eher Unsicherheit schafft, als Sicherheit (siehe den Golem-Artikel oben). Du bist doch bei MS so aufmerksam und weißt, was "Closed" bedeutet. Meinst Du das ist nur bei MS so? Überall, wo dem Menschen nicht auf die Finger geschaut wird, kommt der Schlendrian rein. Früher oder Später. Schau nur die 3CX an, die ich immer gern als Standardbeispiel heraushole. Kommerzielle Unternehmen zielen naturgemäß auf das Optimum zwischen Aufwand und Marge.
Nein, doppelt gemoppelt ist in der IT Unsinn, soweit es nicht um Redundanz geht. Nur wenn ein zweites Tool zusätzliche Sicherheit bietet, ist es berechtigt. Die Verdoppelung von Prüfpunkten ist keine zusätzliche Sicherheit.
Auch der Punkt, dass die UTM den Virus schon früher blocken könnte als der Client-Virenschutz ist für mich nicht valide. Wo der Virenschutz blockt ist ja nun wirklich egal. Der Virus in der Leitung zwischen Firewall und Client springt ja nicht frei im Netzwerk herum.
Das ändert gar nichts. Legt der Angreifer ein bösartiges File auf dem Server ab, ist es Aufgabe des Client-Virenschutzes, die Ausführung zu verhindern. Hat der Angreifer Rechte, Schadcode direkt auf dem Server zur Ausführung zu bringen, ist der Server bereits übernommen. Dann hilft auch ein Virenschutz nicht mehr. Wirken kann der Virenschutz überhaupt nur in der Interimsphase (Angreifer intern, Server nicht übernommen, aber mit gefährdetem Dienst). Dann müsste der Virenschutz also verhindern, dass eine bis dato unerkannte Schwachstelle aktiv ausgenutzt werden kann (bekannte Schwachstellen hast du ja gepatcht ). Sorry, das rutscht für mich ins Religiöse. Wer an den Schutz vor Zerodays durch kommerzielle Virenscanner o.ä. glauben mag, mag das tun. Ich tue es nicht und sehe auch kein Verhältnis von Aufwand und Nutzen für diesen Grenzfall. Schon gar nicht in einem KU, dass ich mit einem ordentlichen Backup selbst als Einzelkämpfer nach spätestens einem Tag wieder am Arbeiten habe.

An dieser Stelle hätte ich sehr gern auch nur ein einziges Beispiel aus Fachliteratur, -Presse oder eigener fachllicher Erfahrung, wo ein Angriff von intern mittels eines Servers erfolgte, den der Angreifer nicht bereits übernommen hatte. Ich bin kein Sicherheitseperte, sondern nur ein Klein-Admin, vielleicht weiß ich nur deshalb nichts drüber. Bis ich aber so ein Beispiel kenne und verstehe, halte ich Virenschutz auf Servern eher für Marketing als nützlich.
Ersteres ist der Standardtask. Meist wird das über den DNS-Filter realisiert. Für den ich keine UTM brauche. Die anderen Beispiele sind?
Klar, mit Mustererkennung bei aufgebrochenem Traffic kann man da fraglos mehr rausholen und unterbinden. Punkt für die UTM. Praktische Relevanz? IMO eher gering. In diesem Fall muss ja zunächst schon ein Schädling am Virenschutz vorbei gekommen sein. Ob dieser Punkt zudem das unsicher machen des gesamten Netzes durch den Aufbruch von TLS rechtfertigt, muss jeder für sich entscheiden. Wie immer: Es gibt hier keine absolute Wahrheit
Aber für die UTM-Lösung sehr absoluten Kosten- und Pflege-Aufwand)
Tja, wenn man denn erwartet, dass der was taugt. Nun ist es leider auch bei Sophos so, dass Produkte hinzugekauft und/oder zum Hauptprodukt hinzugestrickt werden, dabei eher lustlos umgesetzt (Stichwort Wifi-AP und awetool). Explizit ist das das ist dann Glückssache und wir sind wieder beim Glauben. Kritisch formuliert ist das eine Form des modernen Ablasshandels
Ja, klar, ein KU wird an dieser Stelle genau das Leisten, was MS nicht schafft.
Das Problem ist doch, dass der Marketingterminus "UTM" suggeriert, dass man die Sicherheit konfektioniert einkaufen kann, es aber real nicht so ist. Nicht für MS und nicht für's KU. Und auch nicht für alle dazwischen.
Davor zu schützen, ist nicht die Aufgabe der Firewall. Wer diesen Basic-Task nicht beherrscht, dem hilft sicher auch keine UTM aus der Patsche

+1, schöner kann man es kaum formulieren. Bin aber, wie gesagt, nicht vom Fach
Das UTM-Marketing suggeriert leider anderes. Zumindest sahen das diejenigen so, die ich zu ihrer Anschaffung befragen konnte. Die dachten, viel hilft viel. Bzw. die dachten nichts, der DL hat es ihnen so verkauft. Religion eben. Hatten 'ne UTM am Perimeter aber ihr "Hyper-"Backup auf nem NAS im im selben Netz im selben Rack...

Viele Grüße, commodity

Moin @commodity,


die Kontaktdaten hast du gleich per PN und ich freue mich ebenfalls mal am Telefon mit dir etwas zu quatschen. 😁

Bei der Konfig die ich dir zeigen würde, sind übrigens so gut wie alle Zähne scharf und im Einsatz. 🤪

Und nein, du muss dafür nichts bezahlen.
Du darfst mich im Gegenzug aber auch nicht für den einen oder anderen Schock den ich dir mit meinen Geschichten eventuell bereite, verklagen. 😉

Gruss Alex

Hallo Alex!
Das nenne ich mal einen tollen Kollegen! Aber das wussten wir ja bereits
Klagen lohnt sich in D ohnehin nicht. Da müssten wir schon US-Recht vereinbaren

Viele Grüße, commodity

@commodity


Gutes Beispiel wie unterschiedlich "nur intern" interpretiert werden kann. Dass die paar Leutchen, die auf diesen Server zugreifen ggf. allerdings selbst über externe Anbindungen, sei es nun Internet oder was auch immer an Netzwerkverbindungen, verfügen, wird dann gerne mal übersehen. Und dann brauche ich auch keine Verbindungen, die der Server selbst nach außen aufbaut.

Ich verstehe unter intern tatsächlich intern, d.h. komplette physische Trennung, keine Netzwerkverbindungen nach innen oder noch außen, und das gilt für alle Systeme innerhalb dieser Security-Zone. Du musst zwingend physischen Zugriff haben und selbst innerhalb dieses Netzwerks wird zwischen den Systemen noch "gefiltert" um bei einem möglichen Einschleusen von Schädlingen das Schadensausmaß zu reduzieren.

Hallo @MayBeSec,
es geht hier ja (nur) um meine These, der ("interne") Server benötigt keinen Virenscanner. Das Argument hierzu ist: Der Virenscan erfolgt auf den (zugreifenden) Clients. Auf mittelbare
(die bei meiner Beschreibung ja selbstverständlich sind) kommt es mithin nicht an. Ein weiterer Scan auf dem Server wäre nicht mehr als Doppelmoppel nach dem Prinzip "viel hilft viel" und IMO Unsinn.
Wir können also die Frage, wer was wie als "intern" definiert in diesem Fall glatt außen vor lassen.

Ich finde es dennoch total gut, wenn hier jemand vom Fach auf die Begrifflichkeiten schaut. Wenn das eine anerkannte Definition ist, wie Du "intern" beschreibst, hast Du vielleicht noch eine Fundstelle dafür? Meine Doku freut sich immer über erläuternde Links.

@thenwn
mach vielleicht gelegentlich einen Thread dafür auf.

Ich hatte im Übrigen (schon heute) eine nicht nur ausgesprochen nette, sondern auch höchst informative und fachlich versierte Demonstration einer XGS im Betrieb durch den lieben Kollegen @MysticFoxDE. Auf den ersten Blick ist die XGS in hohem Maße weiter entwickelt als die SG, was sich aber auch in einer beachtlichen Komplexität wieder spiegelt. Für einen Router OS Lover wie mich war das kein Problem, aber für Kollegen die da nicht so tief drin stecken (wollen) ist die Eignung als Werkzeug schon deshalb etwas fragwürdig. Wenn, dann sollte so ein Maschinchen schon mit dem gebotenen Verständnis und Eifer konfiguriert werden.
Insgesamt hat sich an meiner Position zu UTM (bislang) nichts geändert. Im KU < 50 MA ist das Overkill. Der Nutzen bleibt zumindest fraglich. Positive Resonanz aus der Forschung habe ich nicht gefunden - nur negative Berichte dazu. Kollege @MayBeSec hat hier vielleicht noch ein paar Primärquellen. Ich nur sekundäre (wenn überhaupt - aber immerhin):
https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehr ...
https://www.privacy-handbuch.de/handbuch_90a1.htm
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-161 ...

In etwas größeren Strukturen bietet ein UTM mit einer modernen Firewall klar den Vorteil eines zentraleren Managements, insbesondere wenn man sich dafür entscheidet, auch die Endpoints damit zu verwalten. Was aber sicherheitstechnisch insofern fragwürdig ist, als man sein Sicherheitskonzept von der Qualität eines Herstellers abhängig macht. Deshalb arbeitet man in deutlich größeren Strukturen, soweit ich gehört habe, auch mit einem Herstellermix.

Im KU ist Letzteres aber ohnehin kein Punkt von Bedeutung. Dort lässt sich ein sogar besseres Schutzniveau IMO mit der Kombi aus einem sauber konfigurierten Firewall-Router und der Verwendung von Applocker erreichen. Wenn dann auch artig Updates eingespielt werden und es ein Backup gibt, was den Namen verdient, noch ein kleiner PiHole oben drauf, dann hast Du aus meiner Sicht Deinen Job ordentlich gemacht.

Viele Grüße, commodity

Moin @commodity,


Danke, war mir ebenfalls eine Freude.


Ja, ein solches Geschoss muss man schon richtig beherrschen können, sprich, man muss sich bei der Einrichtung und auch dem späteren Betrieb solcher Geräte, zumindest wenn man deren zusätzliche Sicherheitsfeatures auch alle richtig nutzen möchte, auch von Layer 1 bis Layer 7 auskennen und nicht nur von Layer 1 bis Layer 4.
Leider erwarten jedoch einige unserer Kollegen, dass sich eine SGW auch mit nur Layer 1 bis Layer 4 Wissen bezwingen lassen muss und dann kommt genau das raus, was du leider auch bei bei einem deiner Kunden sehen/erleben durftest. 😔

So, jetzt muss ich aber ganz schnell weiterflitzen.

Gruss Alex

Da der Kollege @MayBeSec leider keine Fundstelle nachgereicht hat, nur noch kurz nachgetragen, was ChatGPT unter einem "internen Server" versteht. Ich denke, die Terminologie kann danach bis auf Weiteres als geklärt gelten:
(weiter gehende Erläuterungen gekappt, da ohne Relevanz)

Viele Grüße, commodity

Moin @commodity,


so einfach ist das fürchte ich nicht wirklich, weil die Klassifizierung "interner Server", alleine für sich nicht eindeutig ist, sondern vielmehr von der jeweiligen Fragestellung/Betrachtung abhängig ist.

Denn als "internen Server" bezeichnet der Eine die Server die er auch besitzt, der Andere die, die er verantwortet. Für den Nächste sind "interne Server" alle Server die innerhalb seines internen Produktivnetzes stehen, nicht aber die aus der DMZ und der Übernächste bezeichnet wiederum sämtliche Server die auf seinem Gelände stehen als "intern". Dann gibt es auch welche, die Server die in der Cloud laufen, ebenfalls als "intern" bezeichnen, weil diese 1:1 (AD Sync/AD Member) in die interne Umgebung integriert sind, u.s.w.

Gruss Alex

Na ja, mich hatte primär interessiert, ob es eine offizielle Terminologie gibt, da der Kollege hier als Berater i.S. Sicherheit auftritt. Spezialisten arbeiten ja üblicherweise dicht an der Wissenschaft und verfügen daher normaler Weise über entsprechende Quellen aus der Fachliteratur. Vielleicht kommt ja noch was.

Auch wenn es keine wirkliche "Quelle" ist: Die Interpretation eines KI-Sprachmodells, das zudem sehr technisch geprägt ist, ist für mich als allgemeine Beschreibung des Begriffes erstmal eine nutzbare Basis. Deine Darstellung (und auch die Interpretation des Kollegen) belegen aber, dass es oftmals sinnvoll ist, die Terminologie abzuklären, bevor man ins Gespräch steigt.

Ich freue mich, dass immerhin hiernach offenbar Einverständnis besteht, dass die von mir beschriebenen Server keinen Virenschutz benötigen. Darum ging es ja in der Sache.

Viele Grüße, commodity

Moin @commodity,


👍


Ich fürchte, dass du für diesen Punkt hier eher wenig Zusprache bekommst und ich selbst, muss dieser Annahme leider auch widersprechen. Im Gegenteil, ich würde sogar sagen, dass der Betrieb, insbesondere eines Windows-Servers, ohne AV, in den meisten Fällen eher gefährlich ist.

Und auch das BSI, empfiehlt ausdrücklich die Verwendung von Virenscannern auf den Servern.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...


https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

Gruss Alex

Ich brauche keine Zusprache. Der Widerspruch hielt sich ja sichtbar in Grenzen. Und die fachlichen Argumente fehlen gänzlich

Es gibt IMO auch keine technische Begründung dafür (dazu habe ich oben schon ausgeführt).
Wenn auf den zugreifenden Clients ein Virenschutz läuft, ist der Verkehr auf den Server bereits gefiltert. Mit Durchlauferhitzern kann man Duschen, auf dem Server braucht man sie nicht. Der Virus kommt ja nicht durch die Luft geflogen

Auch das BSI bestätigt Dich da nicht (davon mal abgesehen, dass der altbackene bürokratische Laden kaum Maßstab sein kann - wenn man nicht muss). Die sprechen im Screenshot oben von Systemen, die dem Datenaustausch dienen und packen es in den Kontext zu Gateways. Damit ist doch klar, dass ein interner Server nicht erfasst ist, sondern die Systemgrenze zu schützen ist. System ist hier allein die Struktur Server>-<Clients und die ist ja mit dem Client-Schutz geschützt.

Diese Erklärung wäre, deiner Interpretation des BSI folgend, total widersprüchlich. Warum sollten dann nur Windows-Server geschützt werden? Das Internet besteht im Wesentlichen aus Linux-Servern. Die stehen zumeist sogar offen am Netz. Linux verfügt faktisch über keine Virenscanner (jedenfalls keine tauglichen). Es ist eine Binsenweisheit, dass für Linux ebenso aktive Schädlinge existieren wie Windows. Nach Deiner These wäre das Netz längst zusammen gebrochen. Ich stimme Dir aber zu, dass der Betrieb eines Windows-Servers per se eine Sicherheitslücke darstellt da kommen wir aber nicht drum rum und der Virenschutz bewahrt uns hier auch nicht.
Dennoch, durch die Luft wird auch der Windows-Server nicht angesprochen, deshalb sehe ich Deinen Punkt nicht.

Viele Grüße, commodity

Wovon reden wir eigentlich genau, wenn wir von Virenschutz sprechen? Windows Defender ist doch heute Bestandteil jedes Windows Betriebssystems.

@commodity
Ich denke, wir beide verfolgen grundlegend unterschiedliche Ansätze.

Fangen wir also mal mit deinem Zitat aus ChatGPT an
"Ein "interner" Server bezieht sich im Allgemeinen auf einen Server, der innerhalb eines privaten Netzwerks oder einer Organisation betrieben wird und nur für interne Benutzer oder Geräte zugänglich ist. Im Gegensatz zu einem "externen" Server, der über das Internet öffentlich zugänglich sein kann, ist ein interner Server normalerweise nur über das lokale Netzwerk oder über spezifische Netzwerkkonfigurationen erreichbar"

Was steht denn da nun?

"bezieht sich im Allgemeinen", innerhalb eines "privaten Netzwerks", "normalerweise nur über".

Wenn Du diese ChatGPT-Fragment tatsächlich konkret bewertet steht da gar nichts als "Allgemeinverbindliche Definition". Aber Schwamm drüber.
Schlimmer finde ich, dass Du eine allgemeingültige Definition für etwas erwartest in einem Sicherheitskontext, und alles, was zu einer verlässlichen Definition in diesem notwendig wäre, komplett außen vor lässt.

Mein Ansatz ist dagegen, was sind meine schützenswerten Assets, welche gesetzlichen, regulatorischen, vertraglichen Anforderungen wirken, welche Risiken mit welchen Gefährdungen greifen und was bedeutet das für meine Definition "intern".

"Intern" sagt in der ChatGPT-Antwort genau NULL darüber aus, was ich versuchte Dir schon oben in meiner etwas provokanten Aussage "Ich freue mich ja immer, wenn mir dann erklärt wird, was "nur intern" bedeutet."

So gesehen freue ich mich noch immer.

Denn die Defintion "nur intern", die du bzw. ChatGPT geliefert haben, sagen im Kontext Security rein gar nichts. Genau NULL. Schlicht, weil es diese nicht geben kann, denn im Kontext Security gibt es je nach Scope ganz unterschiedliche Sicherheitszonen für "intern".

Das einzige das deine Definition von intern sagt, und das ist schon wohlwollend formuliert, ist, dass es etwas außerhalb und etwas innerhalb gibt. Mehr nicht.

So kann man das natürlich gerne machen und wenn das für dich die Lösung ist, ok, go for it. Nur, wenn du den Server als "intern" definierst und deswegen keine AV darauf anwenden möchtest, wieso siehst du dann deine Clients, die darauf zugreifen und ebenfalls nach deiner Definition "intern" sind, durchaus für AV relevant?

Vielleicht löst ja dieses Beispiel den gedanklichen Knoten hinsichtlich "was ist intern" dahingehend, dass es dich nicht voranbringt, sondern dass du einen anderen Ansatz bereits heute zumindest in Teilen ja schon anders handhabst, sonst würdest du nicht für "interne" Systeme heute schon unterschiedliche Sicherheitsanforderungen umsetzen und formulieren.

Und jetzt darfst du vielleicht nochmal über die Frage nachdenken: "Was ist nur intern?"

Auch hierzu übrigens mal noch eine Anmerkung, die du völlig außer Betracht lässt und das ist unabhängig von irgendeinem OS:

Du betrachtest nur den Client-Zugriff und stellst die steile Behauptung auf, dass über deren AV-Schutz der Server ja schon gesichert sei.

Ich, und eigentlich jeder, der sich etwas vernünftig damit befasst, betrachtet in einer Risikobewertung auch den physischen Zugriff und wie hierüber, um bei AV-Schutz zu bleiben, mögliche Schädlinge in das System eingeschleust werden können, vom berühmten angestöpselten USB-Stick bis zu direkt von dort aufgebauten Verbindungen, ohne dass ein Client eingebunden ist.

Du hast also eine ganz erhebliche Lücke in Deiner Risikobewertung bzw. in der tatsächlichen Absicherung.

Aber ok, auch da wieder, wenn du glaubst, dass das die Lösung für dich ist: go for it!

Hallo @MayBeSec,
danke für Deine Ausführungen. Die von Dir völlig zutreffend angesprochenen Anforderungen sind IMO ohne Einfluss auf die verwendete Terminologie. Vereinheitlichte Begriffe sind die Basis jeden Meinungsaustausches (und ein Sicherheitskonzept erstellt man ja ganz sicher nicht allein). Es geht nicht darum, was Du oder ich als "intern" ansehen oder nicht. Mich hatte lediglich interessiert, ob Deine oben verwendete "andere" Definition von "intern" eine Eigenkreation oder ein belegbarer Sprachgebrauch ist. Das ist nun klar.

Dass wir Dinge aus unterschiedlichen Perspektiven betrachten ist nicht verwunderlich. Du bezeichnest (wenn überhaupt) den Typus eines Gerätes nach den bestehenden Sicherheitsanforderungen, ich hingegen typisiere zuerst und fange, von dort ausgehend an, die Sicherheit zu gestalten. Vielleicht ist das für Dich zu pragmatisch, aber aus administrativer Sicht sind mir Deine Fragen nach
völlig Wumpe. Für mich sind nichtöffentliche Daten grundsätzlich so zu schützen, dass sie nicht geklaut oder vernichtet werden. Und wenn doch, sollten sie zumindest wiederherstellbar sein.
Das gilt in erster Stufe völlig unabhängig von ihrem Wert. Dieser und weitere Aspekte, die Du oben ansprichst, wie zB Bedrohungslage und -wahrscheinlichkeiten spielen dann natürlich in weiteren Ebenen eines Sicherheitskonzepts eine Rolle und da dürfen dann auch die regulatorischen Anforderungen kommen. Mein Netz muss aber bereits einen ausreichenden Angriffsschutz bieten, bevor die Bürokraten kommen und im KU spielen die auch kaum keine Rolle. Hier im Thread geht es um ein KU und dessen Server. Und meine Aussage war und ist: Ein solcher Server braucht keinen Virenschutz.

Den von Dir vermuteten "Knoten" sehe ich nicht. Es ist keine besondere Erkenntnis, dass auch ein (meine Def.: ) "interner" Server mittelbar aus dem bösen Internet (oder auch dem bösen Intranet) erreicht wird. Das spielt aber für die hier diskutierte Frage überhaupt keine Rolle, wie bereits mehrfach ausgeführt.
Wenn man einen Virenschutz überhaupt für erforderlich hält (die Frage sprichst Du IMO zu Recht an), dann genügt der Virenschutz am (wie das BSI im vom Kollegen @MysticFoxDE oben übermittelten Bild ja auch im Prinzip formuliert) Netzübergang bzw. dem Gerät, das den Datenaustausch zwischen zwei Netzen aktiv betreibt. Setzt man nicht bereits Virenschutz am Perimeter ein, ist der den Datenverkehr nach innen vermittelnde Client der Austauschpunkt und das ist auch der Ort, wo der Virenschutz sinnvoll sein kann, weil über den Client ja auch von innen Schadcode zum Server gebracht werden könnte. Kein einzelnes böses Bit aber kommt auf den (aus Sicht des Internets) hinter den Clients liegenden Server, das in diesem Fall nicht bereits einen Virenschutz passiert hat.

Falls Du das überhaupt anders siehst und etwas dazu sagen willst: Als Fachfrau/Fachmann/fachlich Interessierte(r) beschreibe doch einen Angriffsvektor, der den Virenschutz auf einem Server in einem klassischen Server - Clientsystem, wie es der TO oben beschreibt, rechtfertigen könnte. Als kleiner Admin muss ich ja nicht alles wissen. Ich äußere hier nur meine (immerhin praktizierte) Meinung, um Überlegungen und Erfahrungen weiter zu geben, aber auch um von der Erfahrung anderer zu lernen.

Im Übrigen bin ich total bei Dir, dass ein Sicherheitskonzept natürlich etwas sehr Individuelles ist. Aber darum ging es mir nicht. Diesen Aspekt hast Du ja schon in Deinem allerersten Post vorbildlich thematisiert.

Muss ich nicht, denn die Frage wurde nie gestellt. Es ging und geht nicht um die allgemeine Frage "was ist intern" und was nicht, sondern darum, ob ein Server, den ich rein zur sprachlichen Veranschaulichung als internen Server definiert habe, einen Virenschutz benötigt.
Ein Client würde dieses Attribut vielleicht gar nicht bekommen können. Der stünde zwar bei einer Netzwerkbetrachtung auch intern, wäre nach meiner Definition aber nicht so zu sehen, weil er faktisch den Übergang zum Internet bildet.

@Boomercringe, korrekt. Auch den kann man bei einem "intern" verwendeten Server getrost abschalten, falls hier nicht noch jemand einen Angriffsvektor nachträgt. Meist werden eh die produktiven Verzeichnisse ausgeschlossen, aber auch das ist egal. Doppelt macht es jedenfalls nicht besser. MS geht wohl davon aus, dass man deren Server auch ins Internet hängt. Wer das macht und das Gerät von dort direkt befüttern lässt, kann über die Aktivierung des Defenders nachdenken. Ich würde selbst hier ein paar Fragezeichen machen, habe mich mit der Frage aber noch nie auseinandersetzen müssen.

Edit: @MayBeSec: Während ich obiges schrieb, wirst Du doch noch etwas konkreter. Das ist super.
Ich finde es prima, dass Du Dich mit IT-Sicherheit befasst, aber mit Administration hast Du eher nichts zu tun, korrekt? Klingt doch zu sehr nach Trockenschwimmen.
Keiner der von dir beschriebenen Aspekte ist ein Angriffsvektor, den ein Virenschutz abfängt. Dazu ist er weder gemacht noch tauglich. Und - um beim Thema zu bleiben: Ich habe nur etwas zum (überflüssigen Virenschutz gesagt. Nicht zu sonstigen Sicherungen

a) phyischer Zugriff. Klar. Ist wichtig, hat aber nichts mit Virenschutz zu tun. Am Thema vorbei. Sitzt der Hacker am Gerät, schraubt er es auf, startet er einen Bootstick u.ä. ist die Sicherheit passé.

b) USB-Stick - fällt eigentlich auch unter physischen Zugriff, aber davon mal abgesehen: Wie kommen denn die "bösen" Daten des Sticks Deiner Ansicht nach auf das Gerät? Da müsste ja jemand am Server sitzen und ein administratives Login haben... Wir können uns vorstellen, was derjenige wohl mit dem Virenschutz machen würde Der Fall des "bösen" Bootsticks fällt hingegen unter a) und wir haben das doch wohl im UEFI ausgeschlossen?
Virenschutz ist - jedenfalls im KU - sicher nichts, was vor bösartigen Administratoren schützen soll und kann.

c) direkt aufgebaute Verbindungen: Mit welcher "Verbindung" schleust Du denn den Schadcode ein? Administrativ sind da ja nun erstmal das AD und (bei etwas höheren Anforderungen) Radius davor. Auch wer von intern auf einen Server zugreifen möchte, braucht erstmal Rechte. Hat er die, ist der Virenschutz bereits tot. Was darüber hinaus (immer) möglich ist, ist dass von intern freigegebene Dienste angegriffen werden. Das erfasst aber kein Virenscanner sondern (evtl) ein IDS und/oder ein Watchdog.

Viele Grüße, commodity

Du hast immer noch nicht den physischen Zugriff, um auf meine zweite Anmerkungen zurückzukommen, in deiner Betrachtung.

Dem angestöpselten USB-Stick und den darauf befindlichen Schädlingen ist es völlig egal, wie dein Perimeter-Schutz auf Netzwerkebene realisiert ist und auch, ob deine Clients eine AV haben. Du lässt physischen Zugriff komplett außen vor.

Du hast am Ende eine Sicherheitslücke, ist einfach so.

Aber ich will das auch gar nicht weiter diskutieren, soll ja selbst jeder für sich und für sein Unternehmen selbst entscheiden, was für ihn der gangbare Weg ist.

Nach manchen Aussagen was im K(M)U-Umfeld nicht wichtig sei und eigentlich Wumpe sollte sich allerdings auch niemand wundern wenn dann die Statistiken über die Sicherheitsvorfälle aufgeteilt nach Kleinen, Mittleren und Großunternehmen ausfallen, wie sie eben ausfallen, wobei der ersten beiden genannten Bereiche nahezu 95% ausmachen.

Ist halt nicht so wichtig

Doch, ich kann nur nicht so schnell schreiben, wie Du gepostet hast
Beschreibe gern noch die von Dir gesehenen Angriffsvektoren etwas genauer, dann können wir da tiefer einsteigen. Ich lasse mich auch wirklich sehr gern überzeugen. Das wiederum geschieht durch Fakten, bitte nicht durch solch Gejammer, das Du jetzt hier oben drüber anschlägst.

Klartext: Wir (also die aktiven Kollegen in diesem Forum) admistrieren hier tagtäglich im Feld und tragen Verantwortung (selbst ich im KU) für Millionenwerte. Und Du kommst mit physischem Zugriff, USB-Sticks und internen Angriffen (welche Art auch immer Du meinen mögest) wenn wir über Virenschutz sprechen?
Der Satz von Dir
war richtig gut, klingt aber jetzt doch sehr nach Broschüre, denn im substanziellen Verständnis der Zusammenhänge bestehen ersichtlich noch erhebliche Defizite. Aber das kann ja noch werden.

Viele Grüße, commodity

Moin @Boomercringe,


ja, der Defender ist heute sowohl bei den Servern als auch bei den Client immer mit dabei und bei dem letzteren, lässt er sich auch nicht entfernen und beim ersteren bleibt er per default an, auch dann, wenn eine andere AV installiert wurde. 🤢

Und ja, mag sein, dass seine Erkennung mittlerweile ganz OK ist, seine Verwaltung und auch das Monitoring, ist ohne ein Microsoft Konto, für meinen Geschmack jedoch absolut gruselig. Und auch die Tatsache, dass man dem Defender mit erhöhten Rechten, ratzt fatz die alle Zähne ziehen kann, weil dessen Manipulationsschutz absolut lächerlich ist, sollte man ebenfalls nicht übersehen.

Gruss Alex

@commodity
Du hast mich überzeugt, man braucht auf "internen" Servern keinen Virenschutz!

Belassen wir es dabei, dass ich Theoretiker bin ohne Verantwortung und nur Broschüren runterbete in Deinen Augen und Du der Praktiker mit der unzähligen Erfahrung und Verantwortung für Millionenwerte.

Moin @commodity,

bin aktuell im Stress, daher kann ich mich zu dem Folgenden, nur sehr kurz äussern.


Deine Auslegung der BSI Aussage, ist so leider nicht korrekt.


Denn der BSI empfehlt (der Freien Wirtschaft), respektive, schreibt den Behörden ausdrücklich vor ("MUSS"), einen Virenschutz sowohl auf einem Gateway, als auch auf deren IT-Systemen zu betreiben und mit IT-Systemen, mein der BSI nicht nur die Clients, sondern insbesondere auch die Server, aber auch NAS-Geräte, u.s.w., sprich, im Grunde am Besten auf allem, wo relevante/kritische Daten verarbeitet und insbesondere auch abgelegt werden.

Ferner ist deinen Annahme, dass ein AV-Schutz auf einer NGFW oder einem SGW, genau denselben Schutz bieten soll wie auch der lokal installierte Virenscanner, in mehrfacher Hinsicht leider auch nicht richtig.
Aus Zeitmangel kann ich jetzt jedoch nur auf den wesentlichsten Punkt davon eingehen.
Eine AV Erkennung auf einer/m NGFW/SGW ist, sofern es sich um einen Schädling für Windows oder auch MacOS handelt, nur signaturbasiert möglich und zwar aus einem ganz einfachen Grund. Die meisten NGFW's und auch SGW's sind Linux basiert und können daher auch keine Verhaltenserkennung für die oben genannten Schädlinge vornehmen, weil sie schlichtweg (und auch zum Glück) diese nicht ausführen und deren verhalten "studieren/überwachen" können. Zudem reagiert eine reine signaturbasierte Erkennung auch nicht wirklich gut bei 0-Day's.

Auf einem Client oder Server, kann ein Virenscanner hingegen auch mit der Verhaltenserkennung den Schädling auf den Zahn fühlen und die schlägt bei unseren Kunden, mittlerweile mindestens genauso so häufig an, wie die signaturbasierte Erkennung.
Sprich, ja, ein gewisser Teil der Schädlinge, vor allem die oben bereits angesprochenen 0-Day's, können leider durch ein(e) NGFW/SGW durchspazieren und werden dann hoffentlich, entweder von der verhaltensbasierten Erkennung auf dem Client/Server aufgehalten und wenn nicht, dann hoffentlich bei einem späteren Vollscann dankt aktualisierter Signaturen entdeckt. Wenn auf den Servern jedoch keine AV installiert ist, dann kann man im Nachgang auf diesen auch keinen Schädling ausfindig machen.
Und nein, bloss weil sich ein Schädling auf einem System einnisten konnte, heisst das noch lange nicht, dass er auch die AV lahmlegen kann. Zumindest bei Sophos, ist das, korrekte Konfiguration natürlich vorausgesetzt (Manipulationsschutz + Heartbeat), nicht wirklich so einfach möglich.

Ausserdem bieten moderne AV Lösungen nicht nur reine Viruserkennung, sondern auch Device-Control und App-Control und meist noch einen Haufen anderen, mal mehr mal weniger nützlichen Security-Schnickschnack.

So, jetzt muss ich aber ganz schnell weiterflitzen.
https://tenor.com/de/view/play-fox-bounce-bounce-ball-gif-8180197

Gruss Alex

Moin @MayBeSec,


bitte sachlich bleiben, auch @commodity, denn dieses persönliche gerupfte, hilft hier am Ende des Tages nicht wirklich jemandem und vor allem nicht euch beiden.

Ausserdem habe ich bei Milliardenwerten, schon viel sportlichere Aussagen gehört. 🙃

Wir sollten versuchen "Gemeinsam- und voneinander" und nicht "Einsam- und gegeneinander" zu lernen und auch zu leben. ☮️🕊️

Gruss Alex

Hallo Alex,
Der Forumskollege gibt sich als "Berater Sicherheit" aus und parliert mit (durchaus vernünftigen) Allgemeinplätzen über IT-Sicherheit, um dann, wenn er technisch konkret wird, direkt zu belegen, dass er einfachste administrative Zusammenhänge nicht versteht, geschweige denn beherrscht. Es ist völlig ok (und sogar wünschenswert), wenn jemand hier etwas nicht weiß, das geht allen mal so und darum sind wir u.a. hier.
Wer aber gleich mit dicker Hose einsteigt, eine Weile auf die Kacke haut und sich dann derart kenntnisfrei (und vor allem ohne Verständnis für den geäußerten Unsinn) outet, muss auch den "Trockenschwimmer" aushalten. Solch substanzloses Gelaber ist in einem Fachforum noch überflüssiger, als der Virenschutz auf dem beschriebenen Server.
Das richtet sich nicht gegen den Forumskollegen persönlich, sondern gegen die Art und Weise, wie er mit offenbar gut gepflegtem Nichtwissen hier auf Security Advisor macht. Er hat es selbst in der Hand, daran zu arbeiten.

Jajaja - Du hast den Punkt schon wieder übersehen: Zum Server spaziert nichts, was nicht durch den/einen Client kommt. Deshalb ist das gedoppelt, wenn der Virenschutz schon auf den Clients werkelt. Und doppelt hält hier nicht besser, sondern heizt.
Auch Du benennst bislang an keiner Stelle den vermeintlichen Angriffsvektor, den dieser (zweite) Virenscanner im System abfangen soll. Ohne Angriffsvektor aber kein Schutzbedarf, sind wir uns da wenigstens einig?

Deine Interpretation der Aussage des BSI ist eine Auslegung - wie auch meine Nur Du verabsäumst IMO, den Kontext des BSI zu berücksichtigen: Die Definition "IT-Systeme, die dem Datenaustausch dienen" ist ja völlig ungreifbar, denn dazu dient IMO jedes IT-System. Da wird es aber ganz schnell albern. Gemeint ist hier der Datenaustausch mit einem "fremden" Netz, wie auch der Terminus Gateway verdeutlicht. Und den haben wir beim "internen" Server nicht.

Viele Grüße, commodity

Moin @commodity,


nein habe ich nicht, daher auch der Wink mit dem 0-Day, die meistens durch die/das NGFW/SGW und auch die Clients und deren AV, "durchspazieren" und sich dann z.B. auf einem Server ohne AV, dauerhaft einnisten können.
Und das ist nur eine von sehr vielen Möglichkeiten.


Das ist nicht korrekt, vor allem da wir über Security sprechen, den hier gilt nicht wirklich das Kernprinzip sondern eher das Zwiebelschalenprinzip/Schichtenmodell.


Doch das habe ich, siehe ...


... und mehr möchte ich zu diesem Thema, sprich einem möglichen Angriffsweg, hier auch nicht wirklich in einem öffentlichen Beitrag schreiben, da ich schlichtweg absolut keinen Bock darauf habe, dass mir entweder Aqui oder gar Frank, mein Fell über die Ohren zieht, weil ich mich an eines der heiligsten Gebote, sprich, "Regel Nr. 5: Verbotene Inhalte" nicht gehalten habe.

Aber, ich möchte dir zu diesem Thema gerne das folgende Video empfehlen ...

https://www.youtube.com/watch?v=ndiq3haQWAk

... in welchem nicht Theoretiker sondern sehr erfahrene Praktiker darüber sprechen/berichten.
Für die Frau Silvana Rössler, verbürge ich mich übrigens persönlich.
Ich habe mit ihr schon den einen oder anderen Incident wieder zur Ruhe geschaukelt und glaub mir, was IT-Security und vor allem das Wissen um mögliche Angriffsvektoren angeht, steckt die uns alle hier locker in die Tasche.


Ja schon, aber weder du noch ich kennen alle möglichen Angriffsvektoren weil es schlichtweg zu viele davon gibt und täglich kommen neue hinzu. Daher darf man beim Thema Sicherheit auch nie nur vom Möglichen ausgehen, sondern muss auch immer das Unmögliche im Auge behalten.
Und leider gehört der Bereich IT-Security zu denen, wo ich bisher die meisten Pferde vor der Apotheke habe kotzen sehen müssen. 😔


Ich fürchte nicht ganz, den ich habe mit dem BSI schon direkt das eine oder andere durchgevespert, insbesondere das Thema SGW's. 😉

Schau dir bitte das folgende Dokument nochmals genauer an.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ..?




Und, nicht oder.

Und auch in der folgenden Doku ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

... die sowohl für Clients als auch für Server gilt, steht ausdrücklich das folgende geschrieben.


Das "Windows-Clients" am Ende bezieht sich übrigens mehr auf im Sinne von Netzwerkclients,
womit im Sinne des Betriebssystems, sowohl ein Windows-(Server)-Client als auch ein Windows-(Client)-Client gemeint ist. Ich weis, verwirrend, aber so ist das mit dem BSI manchmal eben. 🙃


s.O.


Ähm, ja, das kann beim Thema IT-Security, leider auch ganz schnell passieren. 😔


Es ist eher der generelle Datenaustausch, sprich auch Intern zu Intern und nicht nur Intern zu Extern oder umgekehrt gemeint. Denn auch das BSI liebt das Zwiebelschalenprinzip ... für meinen Geschmack manchmal sogar viel zu übertrieben.

Gruss Alex

Hallo Alex, danke für Deine Erläuterung
Das ist ein erster Ansatz. Ich gehe unten drauf ein.
Das hingegen ist nur eine Behauptung.
Ersteres ist eine Marketing-Phrase, die ein (sinnvolles) Bekleidungsprinzip geklaut hat, zweiteres meint Tiering. Ein zweiter Virenschutz ist keine Schicht i.S. der Tiering-Prinzipien. Passt hier nicht recht. Tiering ist absolut wichtig, keine Frage. Hat jedoch mit dem Thema "Virenschutz auf internem Server" nichts zu tun.
Dann muss ich davon ausgehen, dass es das war, mit den eigenen Gründen. Die Forenregel bezieht sich auf "Anleitungen zu Straftaten". Die abstrakte Erörterung denkbarer Angriffsvektoren ist keine Straftat und auch mit dem Beispiel "Knacken einer Software" nicht zu vergleichen. Das ist ein bisschen wie bei Deiner Auslegung des BSI: Du bastelst Dir da was zurecht.

Im übrigen danke ich Dir für den Link. Ich werde das Video durchsehen und nachtragen, wenn sich daraus noch etwas ergibt.
Links sind allerdings keine Argumente. Eine Fundstelle kann in einer Erörterung u.U. ein Argument/einen technischen Ansatz untermauern, nicht aber ersetzen.

Das einzige technische Argument, das ein von mir sehr geschätzter und höchst kompetenter Administratorenkollege in diesem langen Thread für den Einsatz von Virenschutz auf einem internen Server bringt, ist also der Durchlauf eines Zerodays bis hin zum Server.
Das spricht, damit Du mich nicht missverstehst, überhaupt nicht gegen Deine Fachkompetenz, nicht im Geringsten. Es stützt vielmehr meine These, dass ein solcher Virenschutz überflüssig ist. Denn sonst hätte ein solcher Administratorkollege fraglos (mehr) fachliche Argumente.

Dann mal konkret:
Was macht der Zeroday? Wie spaziert er durch?
Ich gehe davon aus, dass wir uns einig sind, dass ein Angreifer, um "durchzuspazieren", zunächst den Client erfolgreich hacken muss. Er kommt ja nur über den Client an den Server heran. Selbst dann könnte höchstens eine Dateiablage auf dem Server erfolgen, jedoch nicht die Ausführung von Code, denn Clients dürfen auf Servern (jedenfalls auf KU-Servern) IMO keinerlei Code ausführen. Und Clients haben auch keinen Zugriff auf Bereiche, in denen ausführbarer Code auf dem Server liegt. Selbst wenn es also einem Hacker gelänge, Schadcode über den Client auf den Server zu bringen, führt dieser sich dort nicht magisch von allein aus. Code muss immer noch aufgerufen werden. Dies könnte ein Client tun. Die Ausführung in diesem Fall würde aber auf dem Client erfolgen, nicht auf dem Server - und auf dem Client hast Du ja Virenschutz

Dies mal außer Acht gelassen: Wenn ein Zeroday einen Client übernommen hat und dieser eines Tages entdeckt wird. Würde dann jemand, der verantwortungsvoll arbeitet sagen: Oh, ein Virus auf dem Client, na, auf den Servern haben wir ja Virenschutz, also müssen wir nichts weiter machen, als den Client platt?
Nein, der verantwortliche Rat wäre es, in diesem Fall das ganze System zu prüfen. Dann kann ich als eine von vielen Maßnahmen einen Scanner über den Server laufen lassen.

Zerodays im Übrigen, wachsen nicht auf Bäumen, sondern werden gezielt eingesetzt. Auch wenn im KU durchaus Millionenwerte in Frage stehen können, ist die Wahrscheinlichkeit, dass ein Angreifer seinen Zeroday u.U. in einem KU "verheizt" (denn jede Ausnutzung steigert das Risiko der Entdeckung) äußerst gering. KUs (und auch KMUs) sind sicher nicht die bevorzugten Ziele von Zeroday-Angriffen. Die werden gehütet wie ein Schatz, um dann auf das "richtige" Opfer angesetzt zu werden.

Die Zitate des BSI kannst Du allen Lesern ersparen. Sie sagen - konkret - nicht das Geringste zur Fragestellung aus, wie jeder lesen kann. Das sind juristisch determinierte Beschreibungen, die, wie alle Regeln, generalisieren und daher ausgelegt werden müssen. Dies wiederum ist nicht das Handwerk des Administrators. Das Eis sollten wir lassen, es gibt in diesem Forum schon genügend Hobbyjuristen, von denen sich noch keiner mit Ruhm bekleckert hat

Ich freue mich im Übrigen über die Einigkeit
und sehe den Punkt
als stärkstes bisheriges Argument an. Einzig, es ist kein technisches, sondern ein psychologisches.

Für Virenschutz auf dem Server gibt es hiernach zwei Gründe:
1. Zur Beruhigung vor technisch nicht rational begründbaren Gefahren
2. Zur Einhaltung der AVB einer Versicherung (die kein KU, das ich gesehen habe, je hätte einhalten können)

Viele Grüße, commodity

P.S. Für mich ist - weiterhin - ein echtes Backup immer noch die wichtigste Maßnahme des Angriffschutzes in einem KU. Mit diesem sind auch die physischen und psychischen Aspekte, die hier im Fred angesprochen wurden abgedeckt. Ich betone das hier nochmals, weil ich immer wieder sehe, dass zwar (in gedankenloser Selbstverständlichkeit) zu UTM und Virenschutz gegriffen, beim Backup aber massiv geschludert wird. Was dann die Versicherung auch nicht zufrieden stellt
Abschließend veranschaulicht dieses schöne Beispiel nochmals, wie das BSI so etwas formuliert. Sinnvoll, aber so generalistisch bzw. so wenig konkret und verklausuliert, dass jedenfalls ein KU (oder sein Admin) daraus kaum eine ausreichende Datensicherung bauen wird. Der Sicherheit förderlich ist diese Art der Betrachtung IMO nicht, aber das ist ein anderes Thema.