Adobe (2019)<\/strong> Buchbinder (2020)<\/strong> CDU (2021)<\/strong> Grund f\u00fcr diese Angriffe war nicht etwa ein engagierter Hacker, der Schwachstellen in einer API-Schnittstelle gefunden hat, sondern vielmehr eine Datenbank, die weder durch ein Passwort noch durch die Firewall gesch\u00fctzt war. Daher ist wohl die wichtigste Ma\u00dfnahme, die Unternehmen & Co. bei der Implementierung von IT-Sicherheit umsetzen k\u00f6nnen, die minimale Rechtevergabe. Die Idee dahinter ist denkbar einfach: Verbiete alles, was nicht explizit erlaubt ist.<\/strong> Doch wie sieht das in der Praxis aus?<\/p>\n\n\n\n Der Einfachheit halber ist die folgende Anleitung f\u00fcr Unternehmen geschrieben, dort gibt es am meisten zu beachten. Diese kann jedoch problemlos auch auf andere Bereiche wie das Homeoffice, Freiberufler und Technikbegeisterte \u00fcbertragen werden.<\/p>\n\n\n\n Der erste Schritt ist die Implementierung der minimalen Rechtevergabe auf Netzwerkebene. Eine Firewall entsprechend zu konfigurieren ist auch bei gr\u00f6\u00dferen Unternehmen unter verh\u00e4ltnism\u00e4\u00dfig geringem Aufwand leicht umzusetzen. F\u00fcr eine m\u00f6glichst effiziente und \u00fcbersichtliche Rechtevergabe sollte eine Unterteilung der Clients nach Abteilungen (Produktion, Vertrieb, Management, etc.) mittels VLANs vorgenommen werden. Dies ist sowohl mit dem einstufigen als auch dem zweistufigen Firewallkonzept m\u00f6glich, wobei das BSI hier das zweistufige Firewallkonzept empfiehlt.<\/p>\n\n\n\n Nun wird innerhalb der Firewall als Grundkonfiguration eine Drop (oder auch Deny) Policy gew\u00e4hlt. Dabei werden alle Anfragen, die nicht durch andere Firewallregeln explizit zugelassen werden, verworfen. Hier ist jedoch Vorsicht geboten: Um sich nicht selbst auszuschlie\u00dfen, muss bei der Umstellung von einer Allow Policy auf eine Drop Policy der weitere Zugang zu der Firewall durch den Administrator sichergestellt werden. Das weiterf\u00fchrende Firewall-Regelwerk k\u00f6nnte nun wie folgt aussehen:<\/p>\n\n\n\n Erh\u00e4lt ein Angreifer durch physischen Zugang, erratenem VPN-Passwort oder Virusbefall Zugriff auf das interne Netzwerk, so ist weiterhin sichergestellt, dass der Schaden m\u00f6glichst gering gehalten wird.<\/p>\n\n\n\n
7,5 Million Kontodaten ohne Passw\u00f6rter, welche insbesondere bei zuk\u00fcnftigen Pishingangriffen verwendet werden k\u00f6nnten.<\/p>\n<\/div>\n\n\n\n
9 Millionen Mietvertr\u00e4ge der Autovermietung Buchbinder, darunter personenbezogene Daten von B\u00fcrgern, Promis und Politiker. <\/p>\n<\/div>\n\n\n\n
20 Tausend Datens\u00e4tze zu Personen und deren politische Meinung aus Wahlkampfapp CDU Connect.<\/p>\n<\/div>\n<\/div>\n\n\n\n![](\"\/assets\/icon\/cybersecurity.svg\")
\n Kennen Sie schon unsere Services<\/a> im Bereich der IT-Sicherheit?<\/span>\n<\/div><\/div>\n\n\n\nDie minimale Rechtevergabe umsetzen<\/h2>\n\n\n\n
Hardware-Firewall<\/h4>\n\n\n\n
![\"\"](\"https:\/\/www.mankord.com\/article\/wp-content\/uploads\/2021\/12\/einstufiges_firewallkonzept.png\")
![\"\"](\"https:\/\/www.mankord.com\/article\/wp-content\/uploads\/2021\/12\/zweistufiges_firewallkonzept.png\")
Quell-IP<\/strong><\/td> Ziel-IP<\/strong><\/td> Port<\/strong><\/td> Action<\/strong><\/td><\/tr> *<\/td> Homepage-Webserver<\/td> 80, 443<\/td> ALLOW<\/td><\/tr> VLAN: Intern<\/td> Intranet-Webserver<\/td> 80, 443<\/td> ALLOW<\/td><\/tr> VLAN: Buchhaltung<\/td> Buchhaltung-SQL-Datenbank<\/td> 3306<\/td> ALLOW<\/td><\/tr> VLAN: Produktion<\/td> Warenwirtschaftssystem<\/td> WWS-Ports<\/td> ALLOW<\/td><\/tr> ERP-Server<\/td> ERP-SQL-Datenbank<\/td> 3306<\/td> ALLOW<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
![](\"\/assets\/icon\/headset.svg\")
\n