Unternehmens IT-Sicherheit (wg. Trojaner)

[tagene]

Hallo zusammen,

ich arbeite für eine Beratungsfirma in Köln und wir hatte vor kurzem einen sog. Erpressungstrojaner wodruch sämtliche Datenbanken & Dateien seit dem letzten BackUp futsch waren! Sehr schmerzhaft..
Infolgedessen habe ich nun folgende Frage an euch:

Ausgangslage:
- Jeder Mitarbeiter (ca. 25) hat einen eigenen Computer/ Notebook und es gilt ausnahmslos seit Beginn: keine privates online surfen (oder priv. E-Mails). Dafür gibt es extra einen Internet-Surf-Raum.
- E-Mails in: sollen an einem (vom DatenBank-Server-Netzwerk exkludierten Netzwerk) empfangen/ gelesen/ gedruckt werden (im o.g. Surf-Raum)
- E-Mails out: jeweils vom jeweiligen Rechner

Fragen bzgl. Unternehmens-IT-Sicherheit:
1. Welche Möglichkeiten gibt es, die Internetverbindung lediglich für bestimmte Programme zu erlauben (z.B. nur E-Mail out + jegliche Datev-Anwendungen)
2. Einige nehmen die Notebooks mit nach Hause und schließe diese (wahrs.) auch an andere Netzwerke an. Welche Sicherheitsmaßnahmen kann man hier ergreifen, dass man eben keinen Trojaner mit in das Firmennetzwerk bringt? Andere Netzwerke sperren? Wächterkarte oder so etwas?
3. Viele nutzen die USB-Ports für Maus und Tastatur. Leider wohl nicht ausschließlich. Denn ein fremder USB-Stick kann ja leicht einen Trojaner in's Netzwerk holen.
Gibt es dafür eine Lösung? Tastatur & Maus weiterhin über die USB-Ports, USB-Sticks jedoch nur nachdem sie autorisiert wurden.
4.

Frage 2:
Vorab: Wir möchten keinen Arbeitnehmer ausspionieren, überwachen oder die Tastaturschläge loggen.

Gesucht wird eine Software, mit der nachvollzogen werden kann, welcher Prozess an einem Arbeitsplatz für welche Zeitraum benutzt wurde, damit die Arbeitszeit auf die Mandaten übertragen werden kann.
Außerdem besteht der Verdacht, dass der eine oder andere Mitarbeiter die Unternehmenssoftware für private Zwecke benutzt. Dafür wurde sehr wahrscheinlich ein USB-Stick als externe Datev-DatenBank benutzt. Das ist nicht gewollt und verletzt die internen Bestimmungen und führte wohl letztendendes zu der oben beschriebenen Situation.

Wir hoffen, ihr habt evtl. den ein oder anderen Hinweis für uns und bitten um eure Unterstützung.

Bis dann und viele Grüsse,
Tagé

 

[sukkka]

Welches Mail system?
Gibts Firewall?
Gibts antivirus?

 

[sia]

1. Welche Möglichkeiten gibt es, die Internetverbindung lediglich für bestimmte Programme zu erlauben (z.B. nur E-Mail out + jegliche Datev-Anwendungen)

Firewall und keine installierbaren Anwendungen.

2. Einige nehmen die Notebooks mit nach Hause und schließe diese (wahrs.) auch an andere Netzwerke an. Welche Sicherheitsmaßnahmen kann man hier ergreifen, dass man eben keinen Trojaner mit in das Firmennetzwerk bringt?

Softwareinstallation verhindern, EXE-Dateien in eine GPO-Whitelist (gehe jetzt mal von Windows aus). Antivirus (Bitdefender hat nette Cloud-Lösungen für kleine Unternehmen).

3. Viele nutzen die USB-Ports für Maus und Tastatur. Leider wohl nicht ausschließlich. Denn ein fremder USB-Stick kann ja leicht einen Trojaner in's Netzwerk holen.
Gibt es dafür eine Lösung? Tastatur & Maus weiterhin über die USB-Ports, USB-Sticks jedoch nur nachdem sie autorisiert wurden.

Mathmos hat mir da mal was empfohlen:

Schau dir mal

You do not have permission to view link please Anmelden or Registrieren

an.

Wenn ich mich nicht täusche kann man damit eine White- bzw. Blacklist umsetzen. Zudem sollte sich definieren lassen, was gemacht werden soll, wenn Stick X angeschlossen wird (also z. B. das das darauf gespeicherte Veracrypt-Volumen gemountet werden soll).

Frage 2:
Vorab: Wir möchten keinen Arbeitnehmer ausspionieren, […] Gesucht wird eine Software, mit der nachvollzogen werden kann, welcher Prozess an einem Arbeitsplatz für welche Zeitraum benutzt wurde

Setzen, sechs. Das ist ausspionieren.

damit die Arbeitszeit auf die Mandaten übertragen werden kann.

Time-Tracking-Software hilft. Da gibt es z.B. mite oder bestimmt auch was von Datev.

Außerdem besteht der Verdacht, dass der eine oder andere Mitarbeiter die Unternehmenssoftware für private Zwecke benutzt. Dafür wurde sehr wahrscheinlich ein USB-Stick als externe Datev-DatenBank benutzt.

Datev-Einstellungen sperren?

 

[virtus]

Erpressungstrojaner wodruch sämtliche Datenbanken & Dateien seit dem letzten BackUp futsch waren!

Für die meisten Crypto-Trojaner gibt es mittlerweile Decrypter/ Passwort-Generatoren.
Prinzipiell würde ich euren Mitarbeitern eine Schulung im Umgang mit Emails/ Websites und Computersicherheit empfehlen.

1. Welche Möglichkeiten gibt es, die Internetverbindung lediglich für bestimmte Programme zu erlauben (z.B. nur E-Mail out + jegliche Datev-Anwendungen)

Prinzipiell geht das eigentlich nicht. Wie phre4k sagte, kannst du die Installation von Drittanwendungen blockieren und nur bestimmten Anwendungen eine Portfreigabe einräumen. Letztlich schützt dich das aber nicht wirklich. Eine Schadware kann auch eigentlich legitime Anwendungen missbrauchen, um Daten über das Internet auszutauschen. boese_datei_ohne_internet.exe kann bspw. den Browser starten und diesen anweisen bestimmte Daten an eine Webseite zu übermitteln. Da kommst du auch mit einer Firewall nicht weiter.

2. Einige nehmen die Notebooks mit nach Hause und schließe diese (wahrs.) auch an andere Netzwerke an. Welche Sicherheitsmaßnahmen kann man hier ergreifen, dass man eben keinen Trojaner mit in das Firmennetzwerk bringt? Andere Netzwerke sperren? Wächterkarte oder so etwas?

Soll die Mitnahme von Geräten prinzipiell gestattet oder ausgeschlossen werden? Die einfachste Lösung wäre natürlich die Mitnahme der Geräte zu untersagen. Alternativ wäre es möglich auf den Geräten einen VPN Server einzurichten und die Firewall so zu konfigurieren, dass das Gerät nur über den Unternehmens-VPN kommuniziert. Damit können die Mitarbeiter zwar über deren unsichere Netzwerke eine Internetverbindung herstellen, aber bauen einen sicheren Tunnel über das VPN auf.

3. Viele nutzen die USB-Ports für Maus und Tastatur. Leider wohl nicht ausschließlich. Denn ein fremder USB-Stick kann ja leicht einen Trojaner in's Netzwerk holen.
Gibt es dafür eine Lösung? Tastatur & Maus weiterhin über die USB-Ports, USB-Sticks jedoch nur nachdem sie autorisiert wurden.

Eventuell könnte das von phre4k bzw. mathmos vorgestellte Tool Abhilfe schaffen. Andererseits können manipulierte USB-Sticks dem System auch vorgaukeln eine Tastatur/ Maus zu sein und dann manipulierte Eingaben ausführen. Ich würde fast behaupten, dass du auf dieser Ebene keine Chance hast, Einfluss zu nehmen.

Gesucht wird eine Software, mit der nachvollzogen werden kann, welcher Prozess an einem Arbeitsplatz für welche Zeitraum benutzt wurde, damit die Arbeitszeit auf die Mandaten übertragen werden kann.

phre4k hat ja bereits gesagt, dass das genau Ausspionieren darstellt. Prinzipiell ist das möglich, eine konkrete Software kann ich dir allerdings gerade nicht nennen.

Außerdem besteht der Verdacht, dass der eine oder andere Mitarbeiter die Unternehmenssoftware für private Zwecke benutzt. Dafür wurde sehr wahrscheinlich ein USB-Stick als externe Datev-DatenBank benutzt. Das ist nicht gewollt und verletzt die internen Bestimmungen und führte wohl letztendendes zu der oben beschriebenen Situation.

Ich habe keine Erfahrung mit Datev, aber dort gibt es sicher eine Administrative-Ebene, auf der man den Zugriff auf externe Datenbanken beschränken kann.

 

[GoPro]

Laptops nur per RDP auf VMs zugreifen lassen?

 

[CroneKorkN]

Liegen die Datenbanken und Dateien denn nicht auf einem zentralen Server?

Ansonsten was größtenteils schon gesagt wurde:
-Kein Admin Zugang
-Installationsrechte nehmen
-Internet nur über einen VPN-Client
-Firewall einrichten
-Dateien zentral verwalten

Liegt jetzt eigentlich eure IT-Sicherheit in den Händen der ngb-User?

 

[Xypro]

Grundsätzlich empfehle ich bei dem Thema einen Blick auf den BSI .
Dort bisschen einlesen und man erhält eine gute Übersicht auf was man achten muss. Auch die Checklisten können helfen um die Notebooks zu härten.
Wenn euch das Thema wirklich am Herzen liegt und es am Ende nicht irgendwas geknaubtes sein soll, dann solltet ihr euch an ein Beratungsunternehmen wenden dass mit euch eine Maßgeschneiderte Lösung erarbeitet. Hier und da paar Programme installieren um paar Löcher zu stopfen hilft selten auf längere Sicht :-/ Ist leider nicht gerade die günstigste Alternative.