Ein sicheres internes Firmennetzwerk einrichten: Wichtige Tipps

Digitales Business

Digitales Business

Datum 22.10.2019
Lesezeit 7 Min.

Ein sicheres internes Firmennetzwerk einrichten: Wichtige Tipps

Ganz egal, ob in einem Kleinunternehmen, einem mittelständischen Betrieb oder einer großen Firma: Der Aufbau und die Einrichtung eines Firmennetzwerks wollen gut geplant und optimal durchgeführt werden – und das möglichst, bevor Ihre Mitarbeiter mit der Arbeit beginnen. Wir zeigen Ihnen, worauf es ankommt und was Sie beachten sollten.

Ein Firmennetzwerk einzurichten, ist mehr als das bloße Herstellen einer Netzwerkverkabelung und die Anschaffung einer Vielzahl von Computern. Neben den Client-Rechnern (also den Arbeitsplatz-Computern) müssen die Firewall, die DNS-Server und das WLAN eingerichtet werden. Außerdem darf eine passende Backup-Strategie nicht fehlen.


Eine entscheidende Grundregel ist: So komplex wie nötig, so einfach wie möglich

Eine der wichtigsten Grundregeln beim Aufsetzen eines Büronetzwerks lautet: Halten Sie den Aufbau des Netzwerks möglichst einfach, aber verzichten Sie nicht auf notwendige Sicherheitsmaßnahmen. Nicht jeder Drucker muss beispielsweise in ein Active Directory eingebunden werden, wenn er auch „so” (über die normale Windows-Umgebung oder via Direktanschluss) nutzbar ist. Die Windows-Netzwerkumgebung muss nicht aktiv gesperrt werden, wenn auf den Arbeitsplatzrechnern keine besonders sensiblen Daten zu erwarten sind. Auch das WLAN-Passwort muss nicht zwingend nur aus kryptischen Zahlen und Sonderzeichen bestehen, die sich niemand merken kann.

Trotzdem kann es sinnvoll sein, den Zugriff auf bestimmte Infrastruktursysteme so zu beschränken, dass nicht jeder auf alles Zugriff hat. Arbeiten Sie daher durchaus mit Nutzergruppen und Berechtigungsstufen – und gewähren Sie je nach Abteilung oder Aufgabenstruktur den betroffenen Mitarbeitern nur diejenigen Rechte, die sie wirklich benötigen.

Ein Gastzugang für Ihr Firmen-WLAN wiederum hilft Ihnen dabei, den normalen Zugang auf Ihren Mitarbeiterkreis zu beschränken und trotzdem möglichen Besuchern einen gewissen Service zu bieten.

 

Die wichtigsten Regeln für die Client-Infrastruktur

Eine normale (technische) Büroinfrastruktur besteht normalerweise aus zentralen Servern und jeder Menge Client-Geräten wie PCs, Laptops, Macbooks oder auch Smartphones.

Bevor Sie nun die einzelnen Clients an Ihr Firmennetzwerk anschließen, achten Sie zunächst auf

  • Aktualität: Sämtliche Rechner sollten mit der neuesten verfügbaren Betriebssystemversion ausgestattet sein.
  • Updates: Sämtliche verfügbaren Updates, auch für installierte Software, sollten installiert und die Geräte automatisch auf dem neuesten Stand gehalten werden.
  • Minimalismus: Auf den Arbeitsplatzrechnern sollten keine unnötigen Programme installiert sein, die nicht für den Betriebsablauf notwendig sind.
  • Rechtevergabe: Die Nutzer sollten insbesondere unter Windows nicht als Administratoren eingeloggt sein.
  • Virenschutz: Auf den Rechnern sollten die jeweils zugehörigen Antivirenprogramme wie beispielsweise der Windows Defender aktiviert und mit automatischen Updates versorgt sein.
  • Identifizierbarkeit: Die Rechner sollten jeweils mit einer eigenen, festen Büro-IP versehen werden (kein DHCP-Lease). So lassen sich später ungewöhnliche Aktivitäten und möglicher Viren- oder Malwarebefall leichter eingrenzen.

Viele Büroinfrastrukturen verfügen außerdem über unterschiedliche Stromkreise, die meist einzeln abgesichert sind. Nutzen Sie diese Tatsache, um kritische Geräte wie Desktop-PCs eventuell an einer unterbrechungsfreien Stromversorgung (USV) und hinter einem Überspannungsschutz anzuschließen. Bei einem Stromausfall lassen sich auf diese Weise wichtige Geräte noch kontrolliert herunterfahren und ein Blitzeinschlag beschädigt keine wertvolle Hardware. Vor allem Serversysteme sind empfindlich gegen derartige Einflüsse und sollten immer entsprechend abgesichert werden.

Außerdem sollten Sie die Stromkreise von Peripheriegeräten wie Schreibtischlampen, Ventilatoren und anderen Nicht-EDV-Geräten sorgfältig von denen Ihrer Rechner trennen. Sonst kann ein defektes Gerät bei einem Kurzschluss ganz schnell mehrere Rechner nicht nur lahmlegen, sondern diese auch beschädigen.

Neben den genannten Sicherheitsaspekten sollten Sie außerdem dafür Sorge tragen, dass Rechner und Monitore, die nicht benutzt werden, abends abgeschaltet und nicht nur in den Standby-Modus versetzt werden. Bei einer gewissen Anzahl an Rechnern kann der Unterschied im Stromverbrauch durchaus erheblich sein, wenn nachts alle Geräte komplett ausgeschaltet sind.

 

Video: YouTube / Tech Impact

 

Stellen Sie sinnvolle Regeln für Passwörter auf und halten Sie sich selbst auch daran

Kaum etwas ist ärgerlicher, als wenn ein Router oder ein Server gehackt werden und darauf befindliche Daten in falsche Hände geraten. Legen Sie daher Regeln für Passwörter fest, damit diese folgende Kriterien erfüllen:

  • Es darf sich nicht um ein einfaches Wort handeln, das in jedem Lexikon zu finden ist.
  • Empfehlen Sie die Benutzung von Sonderzeichen und Groß- und Kleinschreibung.
  • Ein gutes Passwort sollte mindestens acht Zeichen lang, besser noch länger sein.
  • Ändern Sie sämtliche Standardpasswörter Ihrer Infrastruktur (wie beispielsweise das Ihres Routers) umgehend in Passwörter, die nur Sie und berechtigte Personen kennen.
  • Legen Sie fest, in welchen zeitlichen Abständen Passwörter zu wichtigen Infrastruktursystemen oder Firmen-Tools geändert werden müssen.
  • Erwägen Sie gegebenenfalls den Einsatz eines Passwort-Managementsystems, damit Passwörter nicht im Klartext auf den Desktops der Mitarbeiter abgelegt werden.

 

Legen Sie Ihre Backup-Strategie fest und nutzen Sie RAID-Systeme

Backups sind ein absolutes Muss. Ihren Wert erkennen viele aber erst, wenn Daten verloren gegangen oder beschädigt wurden. Auch für die regelmäßigen Backups liefert die Cloud eine gute Lösung. Denn hier erfolgen Backups der hinterlegten Daten automatisch beim und vom Cloud-Anbieter. Wenn dennoch Daten auf einer lokalen Festplatte hinterlegt sind, müssen Backups zwingend selbst durchgeführt werden.

Herkömmliche Festplatten speichern Daten magnetisch auf speziellen rotierenden Metallplatten. Mögliche Fehlerquellen wie mechanischer Verschleiß, starke Erschütterungen und die begrenzte Lebensdauer sind Ursachen für Datenverluste oder zerstörte Daten. Der Trend geht daher immer mehr hin zu SSD-Festplatten (Solid-State-Drive). Sie bestehen aus elektronischen Speicherbausteinen und benötigen keine mechanischen und rotierenden Elemente. Zudem sind sie wesentlich schneller als herkömmliche Festplatten und sie sind immun gegen Erschütterungen. Daten lassen sich nicht mehr löschen oder überschreiben.

So genannte RAID-Systeme (RAID = „Redundant Array of Independent Disks”) verringern zudem die Gefahr einer Beschädigung oder des Verlusts von Daten im Falle einer defekten Festplatte. Mehrere Festplatten werden schließlich so zusammengefügt, dass sie für den Anwender als eine Festplatte erscheinen. Fällt ein Laufwerk aus, stellt aufgrund gezielt redundanter Informationen ein Rebuild nach dem Ersatz der defekten Platte den ursprünglichen Zustand wieder her. Backups werden aber auf keinen Fall ersetzt.

Der Diebstahl von Daten wird oft viel später oder gar nicht bemerkt. Eine Verschlüsselung der Daten ist daher eine Lösung. Ohne Passwort sind Daten schließlich wertlos. Gerade bei mobilen Geräten ist es wichtig, die lokale Festplatte zu verschlüsseln. Auch USB-Sticks oder externe Festplatten sollten immer mit einem sicheren Schlüssel als Passwort geschützt werden. Gerade bei der Vielzahl an Passwörtern lohnt sich ein so genannter Passwort-Safe. Und um sichere Passwörter zu finden, ist der Einsatz eines Passwortgenerators sinnvoll.

Datendiebstahl wird oftmals über Phishing in die IT-Strukturen verursacht. Dieses so genannte Social Engineering hat das Ziel, dass der Empfänger einer Phishing-Mail eine Datei oder einen Link innerhalb einer E-Mail öffnet oder anklickt. Gelingt das, wird zumeist ein Trojaner ins System installiert. Da helfen Firewall-Systeme und Antivirensoftwares. Bei der Wahl ist es allerdings wichtig, darauf zu achten, dass keine Einbußen bei der Geschwindigkeit zu spüren sind.

 

So konfigurieren Sie Ihre Firewall optimal

Für Firewalls wiederum gilt: Verzichten Sie auf potenziell gefährliche Any-Any-Zuweisungen – hierbei kann jedes Gerät über jeden Port mit einem anderen kommunizieren. Öffnen Sie jedoch in Ihrem Router all diejenigen Ports für ausgehende Anfragen, die üblicherweise für gängige Büroanwendungen genutzt werden. Hierzu gehören:

  • Port 80 und 8080: Normaler Web-Traffic
  • Port 443: HTTPS (sichere Webseiten)
  • Port 53: DNS-Anfragen
  • Port 110 (POP3) und 143 (IMAP): für unverschlüsselte E-Mails. Den SMTP-Port 25 sollten Sie möglichst nicht freigeben, da infizierte Rechner hierüber sonst möglicherweise Spam verschicken könnten.
  • Port 465 (SMTP über SSL), 993 (IMAP über SSL) und 995 (POP3 über SSL): Für verschlüsselte E-Mails. Auch hier gilt, dass Sie den SMTP-Port nur dann freischalten sollten, wenn neben Webmailern auch etablierte Mailprogramme wie Microsoft Outlook verwendet werden.

Andere Ports hingegen können Sie optional freigeben, wie beispielsweise:

  • Port 21: FTP-Verbindungen
  • Port 691: MS Exchange Routing in entsprechenden Umgebungen
  • Port 1503: Windows Live Messenger
  • Port 23399: Skype
  • Port 5938: Teamviewer

Je nachdem, welche Dienste außerdem bei Ihnen zum Einsatz kommen sollen, können weitere Portfreigaben notwendig sein. Eine Liste mit weiteren Portzuordnungen und Erläuterungen finden Sie in Windows-Umgebungen unter dem Pfad „C:\WINDOWS\system32\drivers\etc\services” (öffnen Sie die „services”-Datei mit einem geeigneten Texteditor).

Eingehende Verbindungsanfragen sollten Sie, außer gegebenenfalls für VPN-Verbindungen (falls genutzt), generell ablehnen lassen.

 

Nutzen Sie ausschließlich vertrauenswürdige DNS-Server

Ein weiteres mögliches Problem im Internetverkehr sind DNS-Server, die nicht vertrauenswürdig sind. Nutzen Sie daher ausschließlich Server, die allgemein als vertrauenswürdig bekannt sind oder die von Ihrem Provider direkt empfohlen werden. Da die sogenannten Domain Name Server dazu dienen, dem Namen einer Website eine IP-Adresse zuzuordnen, könnte dieses System dazu genutzt werden, eigentlich harmlose Anfragen an eine bestimmte Website auf ein fremdes System umzuleiten. Dieses wirbt dann mit ähnlicher Optik wie die Originalseite, um an sensible Eingaben wie Passwörter oder Kreditkartendaten heranzukommen.

 

Stellen Sie Regeln für den Internetverkehr auf

Die schnellste Internetleitung nützt Ihnen wenig, wenn mehrere Mitarbeiter gleichzeitig und ohne Bandbreitenbegrenzung in 4K-Qualität Videostreams schauen. Definieren Sie daher Maximalwerte für die Bandbreitenauslastung, sodass zu jeder Zeit genügend Reserven auch für andere Mitarbeiter verbleiben. Nicht jeder Download muss mit der maximal verfügbaren Geschwindigkeit abgeschlossen werden.

Einen guten Kompromiss stellen hier sogenannte „Fair-Queuing-Rules” dar, die Sie in den meisten Routern konfigurieren können: Hierbei wird die verfügbare Internetbandbreite einfach unter den zugreifenden Nutzern aufgeteilt. Befindet sich jemand also alleine im Büro, bekommt er oder sie alleine die volle Bandbreite des Anschlusses zur Verfügung gestellt. Bei zehn Nutzern bekommt jeder entsprechend ein Zehntel der verfügbaren Geschwindigkeit zur Verfügung gestellt.

Ob Sie generell die Nutzung von YouTube und anderen Streaming-Diensten untersagen, ist sicherlich genauso eine Frage Ihrer verfügbaren Bandbreite wie Ihrer Unternehmenspolitik. Werfen Sie am besten gelegentlich einen Blick in Ihre Logfiles, um Verursacher hoher Datenmengen zu identifizieren und im Sinne aller mögliche Gegenmaßnahmen zu ergreifen. Dazu zählen beispielsweise eine Bandbreitenbegrenzung pro IP-Adresse. Entsprechende sogenannte QoS („Quality of Service”)-Tools wie Netlimiter helfen Ihnen hier eventuell weiter, sofern Ihr Router diese Funktion nicht von Haus aus unterstützt.

 

BYOD („Bring your own device”) – Ja, aber mit System

Eine Möglichkeit, den Büromitarbeitern mehr Flexibilität zu gewähren, ist, ihnen das Verwenden eigener Geräte im Büronetzwerk zu erlauben. Dies kann jedoch zu Problemen führen, wenn auf den Geräten möglicherweise Schadsoftware oder Viren vorhanden sind und sich diese im Büronetzwerk verteilen. Hier hilft ein gründlicher Check, bevor ein neues Gerät im Firmennetz zugelassen wird.

Die meisten Router ermöglichen es anschließend, DHCP-Zuweisungen nur an bestimmte MAC-Adressen (eindeutige Hardware-Adressen, die pro Gerät beziehungsweise Netzwerkkarte vergeben werden) zu erlauben. Nachdem Sie also ein neues BYOD-Gerät überprüft haben, notieren Sie sich dessen MAC-Adresse und schalten Sie genau diese für Ihr Büronetzwerk in der DHCP-Konfiguration frei.

 

Auch im Homeoffice sollten klare Regeln gelten

Wählen sich Ihre Mitarbeiter von zu Hause aus per VPN in Ihrem Büronetzwerk ein? Dann werden deren heimische Computer wie ein Teil Ihres internen Netzwerks behandelt. Das bedeutet auch, dass sich ausgehend von den privaten Rechnern der Mitarbeiter mögliche Schadsoftware in Ihrem Netz verbreiten könnte. Daher sollten möglichst auch Homeoffice-PCs denselben oder wenigstens ähnlichen Standards unterliegen wie Ihre Bürohardware.

Achten Sie außerdem darauf, dass die heimischen Rechner durch deren Anwender oder durch Sie so konfiguriert werden, dass sie für das normale Surfen nach VPN-Einwahl deren eigene Internetverbindung nutzen – sonst kann es schnell passieren, dass Ihre Büro-Datenleitung von den Homeoffice-Geräten mitbenutzt (und somit zusätzlich belastet) wird. Unter Windows muss hier in der VPN-Verbindung der Haken bei „Standardgateway für das Remotenetzwerk verwenden” entfernt werden, sofern er gesetzt war.

 

Junger Mann arbeitet und telefoniert im Homeoffice

Viele Mitarbeiter schätzen die Möglichkeit, im Homeoffice zu arbeiten. Damit nichts schiefgeht, sollten die verwendeten Geräte grundsätzlich in Ihrer Firma bekannt sein.

All-IP oder nicht? Die Vorteile einer standardübergreifenden Lösung auch für Telefonie

Das Thema All-IP ist spätestens seit der geplanten, endgültigen Abschaltung von ISDN in aller Munde. Sofern Sie ohnehin Ihre IT-Infrastruktur neu planen, können Sie sich eventuell die Anschaffung einer Hardware-Telefonanlage sparen. Die Lösung heißt All-IP: Hierbei sind die verwendeten Arbeitsplatztelefone nichts anderes als kleine Computer – die Ihre vorhandene Internet-Leitung genauso nutzen wie die dort ebenfalls angeschlossenen Computer. Mehr zum Thema All-IP verraten wir Ihnen auch an anderer Stelle in diesem Magazin.

 

Ihre interne IT-Infrastruktur: Darauf kommt es an

  • Wenn Sie ein Firmennetzwerk einrichten, sollten dessen Sicherheit an erster Stelle stehen – ohne jedoch unnötige Einschränkungen zu machen.
  • Verlagern Sie Backups in die Cloud und nutzen Sie hausintern ausschließlich RAID-Systeme für den gemeinsamen Zugriff.
  • Geben Sie in Ihrer Firewall nur wirklich benötigte Ports frei und sperren Sie Ihr Büronetzwerk gegen Zugriffe von außen.
  • Sorgen Sie dafür, dass sämtliche Client-Rechner, auch im Homeoffice, bei Ihnen „bekannt” sind und über diese über aktuelle Updates verfügen.
  • Auch Geräte, die von den Mitarbeitern mitgebracht werden, sollten auf dem neuesten Stand sein und einzeln im Netz registriert werden.

 

Welche Anforderungen gibt es bei Ihnen an das (neue) interne Firmennetzwerk? Sind BYOD und Homeoffice bei Ihnen ein Thema oder eher nicht? Wir freuen uns auf Ihren Kommentar.


Kontakt aufnehmen

Sie haben Fragen zu unseren Produkten und Angeboten?
Dann rufen Sie unter 0800 5054515 an.

 

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail