Moin, Moin,

nach den Ereignissen der vergangenen Tage, muss ich dann doch mal hier ein paar Fragen los werden.

Mal angenommen, man sollte in einem Unternehmen folgender Dimensionen:

• ca. 600 Fat-Clients
• ca. 50 Fat-Clients welche DAUERHAFT nicht im Firmennetzwerk sind sondern via LTE oder in Fremdnetzwerken arbeiten
• 80% der Fat-Client-User arbeiten via Citrix. Haben also Lokal keinerlei Software und wenn, dann nur für Unternehmens-unkritische Dinge (also keine Sensiblen Daten)
• weitere ca. 800 ThinClients sind im Einsatz
• ca. 300 virtuelle Server wobei 90% auf Basis Windows und der Rest diverse Linux-Distributionen sind
• ca. 10 Physische Server
• Exchange-Cluster mit nur noch ca. 180 Postfächern (Raumpostfächer etc.). Die restlichen tatsächlichen Postfächer sind nach O365 migriert.
• Alle Daten werden verstärkt nach O365 migriert,- so auch alle Konzerndaten. Ein Fileserver wird sich dadurch auf kurz oder Lang erübrigen.
• als Unternehmen zählen wir zu einem Unternehmen mit "besonders sensiblen Daten mit hoher Schutzklasse"
• Unsere User sind extrem durchwachsen. Von Usern, die sich der Sensiblen Daten bewusst sind bis hin zu Usern die alles ausprobieren und augenscheinlich verantwortungslos und Fahrlässig handeln.
• Sämtliche Fat-Clients (außer die aus Punkt 2) werden Zentral gemanagt und mit Updates versorgt.
• es werden unterschiedliche Virenscanner eingesetzt. Für die VMWare-Umgebung einen und für die Fat-Clients einen anderen.
• Monatliche Penetrationstests von außen zeigen Schwachstellen auf, die Zeitnah gefixt werden.
• Eine Firewall ist vorhanden
• Ein Proxyserver wird ebenfalls eingesetzt

Nun die Frage aller Fragen: Welche eierlegende wollmilchsau ist die beste für den Schutz gegen Viren und Trojaner im Firmennetzwerk?

Das Problem: Ich kann alle Hersteller antanzen lassen und alle führen ihr Produkt vor und legen für mich schlüssig dar, warum ihr Produkt das beste ist. Ich bin mir dessen bewusst, dass es eben die eierlegende wollmilchsau nicht gibt und das eigentliche Problem meist 50cm vorm Rechner sitzt,- dennoch hoffe ich hier auf eine rege und konstruktive Diskussion.

Ich musste schon Hersteller aus dem Netzwerk schmeißen, weil sie während einer Problemlösung sagten: "das steht hier in dem Word-Dokument anders"! "Problemlöser" die nicht auf Basis echtem Wissens sondern auf Basis von Manuals arbeiten, finde ich persönlich gruselig.

Welche Lösung würdet ihr für welche Einsatzgebiete einsetzen und vor allem warum? Ich habe vor dem Tag schon schiss, an dem auch wir zum Opfer werden. ... Ich glaube dann habe ich rücken und lasse mich krank schreiben Ich habe schon ganze Gemeinden gesehen, die völlig Handlungsunfähig waren und wie ein Fisch ohne Wasser da hingen. Unis die Wochenlang auf Computer verzichten mussten.

Vielleicht zunächst das eigene Mindset ändern?
Niemandem ist geholfen, wenn die Verantwortlichen im Ernstfall mit "Rücken" zu Hause bleiben, weil sie wissen, dass gewaltig was in die Hose gegangen sein könnte.

Ich denke, auch Durchschnittsbürger in Deutschland/Westeuropa müssen gedanklich langsam akzeptieren, dass wir uns auf diversen Ebenen in einem permanenten, kriegsartigen Zustand befinden, insbesondere in Computernetzwerken. Respektive dessen müssten die IT-Abteilungen, insbesondere größerer und relevanter Betriebe, im Idealfall so aufgestellt sein, dass das System 24/7 aus Backups in möglichst kurzer Zeit wieder herstellbar ist und alle darauf eingestellt sind, dass ein Angriff eben jederzeit stattfinden kann. ACHTUNG, Allgemeinplatz: Die Frage ist nicht OB, sondern WANN!

Wie du selbst feststellst, kann es die eierlegende Wollmilchsau nicht geben. Ihr könnt nur versuchen die Risiken zu minimieren. Zu technischen Lösungen kann ich nicht viel sagen, da ich mich nur mit deutlich kleineren Netzen befasse.

Wenn das aber ein solch großer Laden ist, und du hier auf die technischen Details so abhebst - zudem aber feststellst, dass das Problem sehr oft vor dem Rechner sitzt, frage ich mich unwillkürlich, wie es da mit Schulungen bezüglich Social-Engineering-Attacken beim durchschnittllichen Angestellten bestellt ist!?

Eventuell kann man sich als größerer Firmenplayer auch HIER beraten lassen?

Moin Yatagan,

erst einmal danke für deine Antwort. Das mit dem "Rücken" zu Hause bleiben, war eher als Scherz gemeint.

Wir können auch 24/7 Backups widerherstellen, aber genau da fängt auch ein weiteres großes Problem an. Im Notfall einfach die Backups wieder in die Umgebung zu prügeln wird den Schaden eher vergrößern denn wenn Schadsoftware ins Unternehmen gekommen ist, hat schon mal min. ein Schutzmechanismus versagt. Ich will ja nicht die Schadsoftware, welche ich möglicherweise schon seid Wochen mit ins Backup packe, wieder zurück sichern. Das Backup selbst finde ich das kleinste Problem denn dank deduplication brauche ich da noch nicht mal viel Platz und mit instant recovery muss ich noch nicht mal auf die fertige Rücksicherung warten da ich die VM direkt aus dem Backup starten kann.

Schulungen (nicht nur für Social-Engineering-Attacken) werden bei uns regelhaft und nachvollziehbar als E-Learning den Usern zur Verfügung gestellt. Aber es geht ja in meiner Frage nicht um eine Möglichkeit, die User zu sensibilisieren sondern um die Frage nach der "besten" Schutzsoftware für Server und Clientbetriebssysteme.

Der Gefahr grundsätzlich sind wir uns auch völlig bewusst. Ich meine wir geben ja kein Geld für Pentests aus um bunte Auswertungen zu haben. Buntes Excel kann ich auch notfalls selbst. Wir werden auch einen Social-Engineering-Penetrationstests durführen. Das überhaupt im Einklang mit Betriebsräten zu bekommen, ist gar nicht so einfach. Wir erhoffen uns dadurch aber noch mehr Beachtung im Bezug auf IT-Sicherheit. Ich denke das wir hier alles in allem recht gut aufgestellt sind und vielen anderen Unternehmen da einige Schritte voraus sind. Mir geht es hier aber primär um die Frage nach den besten Erfahrungen in Bezug auf Schutzsoftware für eben erwähnte Systeme.

Ich könnte die Virenscanner hier auch so weiterlaufen lassen, wie sie sind und mich darauf ausruhen, dass ich sie aktuell halte. Dennoch versuche ich mich in meinen Bereichen immer wieder neu zu informieren und auf Stand zu bringen. Auch spielt da sicher der Preis eine gewisse Rolle. Für Virenscanner A wird beispielsweise Pro Exchange-Postfach lizenziert. Dabei ist es unerheblich, ob es sich um reale Postfächer oder um Raum,- oder Ressourcenpostfächer handelt. Für Virenscanner B wird hingegen pro Exchange-Server lizenziert wo die Anzahl der Postfächer keine Rolle spielt.

Ich denke, der einzige Aktive hier, der dir dazu eventuell etwas sagen könnte, wäre cosinus. Ansonsten ist das Forum mMn inzwischen leider viel zu klein, als das solche Fragen hier - insbesondere für eine solche Betriebsgröße - zufriedenstellend beantwortet werden könnten.

Zum Thema Social-Engineering-Pentests: Besonders solche halte ich für extrem wichtig!!! Mit ist klar, dass das durchaus auch problematisch sein kann, da niemand gern den Schwarzen Peter bekommen will. Da müssen dann auch die Vorgesetzten Milde walten lassen, da es ihnen vermutlich selbst nicht anders gegangen wäre. Problem ist, denke ich, das da in unserem Land kaum Awareness für sowas besteht und viele auf einem viel zu hohen Ross sitzen, bzw. Angst davor haben, den Fehler zu machen und später dafür abgestraft zu werden.

Diese Pentests werde ich so gestalten, dass keine Rückschlüsse auf einzelne Personen gezogen werden können. Von daher bekommt eh keiner auf den Deckel. Auch planen wir in den Standorten USB-Sticks zu "verlieren" um zu schauen, ob diese einfach so in den Rechner gesteckt werden.

Jetzt komme ich wieder zu den 50cm vorm PC... Selbst viele IT´ler klicken mittlerweile einfach "Akzeptieren" bei der Frage nach den Cookies. Das ist ganz normaler Prozess der vom Hirn in meisten Fällen auch vollkommen unterbewusst gemacht wird und selbst Menschen die Sagen, dass genau diese Buttons nicht "einfach so" drücken.... niemand ist perfekt und jeder hat seine Schwachstelle. Ich kenne Leute, die Software installieren wo man direkt sieht, dass das Auge einfach nur nach "OK" , "weiter" oder "Yes"-Schaltflächen sucht um in real time draufklicken zu können :-) Gelesen was da steht,- haben die dann nicht.

Zum Thema Kleine Forum... wir haben doch gelernt, dass es nicht auf die Größe ankommt Fachlich war ich sehr erstaunt, welche Kompetenz hier im Forum vorhanden ist.

Dein Anliegen ist min. zwei Nummern zu groß für ein (privates!) Forum. Außerdem geben wir hier auch nur Support für private Rechner und nicht für Firmen-PCs, die in einem KMU herumstehen. Es ist ja okay sich allgemein ein paar Anregungen zukommen zu lassen, aber dass diese wirklich etwas bringen für dein Vorhaben darf man anzweifeln.

Ich würde an deiner Stelle mit deinem zuständigen Systemhaus, Datenschutzbeauftragten und der Versicherung mal plaudern. Wenn ihr keine Versicherung habt: mal drüber nachdenken --> https://www.fuer-gruender.de/wissen/...-versicherung/
Im Vorfeld wird dann auch normalerweise geklärt bzw. eindeutig gezeigt, welche Voraussetzungen erfüllt sein müssen sprich welche Sicherheitsmaßnahmen umgesetzt wie zB regelmäßige (offsite) Backups, klare Rechtetrennung und sinnvolle Rechtevergabe, regelmäßige Updates, regemäßige Schullungen aller Mitarbeiter (awareness), Verschlüsselung, IDS etc. pp.

Die allgemeinen Sicherheitshinweise, die wir hier TOs am Ende der Bereinigung geben, sollten ja hoffentlich schon lange gängige Praxis sein bei euch.