Was macht der ZID für die IT-Sicherheit?
Vielen Benutzern ist nicht klar, welche Dienstleistungen der ZID im Bereich der IT-Sicherheit bietet. Dieses Dokument gibt einen groben Überblick über einige unserer weitreichenden Dienstleistungen und verweist auf weiterführende Dokumentationen.
Weitere Dienstleistungen im Bereich der IT-Sicherheit finden Sie am Web-Server des ZID zur IT-Sicherheit:
https://www.uibk.ac.at/zid/security/
Firewallsysteme
Der ZID betreibt zwei unterschiedliche Firewallsysteme:
Der Übergang zum Internet (WAN) ist durch eine sogenannte Borderfirewall (BFW) geschüzt. Diese bietet für die gesamte Universität eine gute Grundsicherheit. Auf der BFW wird versucht, die gängigsten Ursachen für Sicherheitsprobleme zu verhindern, indem gewisse Zugriffe, Applikationen und Ports blockiert werden, die als unsicher und gefährlich eingestuft werden. Genauere Informationen zur Borderfirewall erhalten Sie unter "Informationenen zum Borderfirewallsystem".
Diese Sicherheitsmaßnahmen tragen dazu bei, dass Schadsoftware nicht direkt aus dem Internet in das Datennetz der Universität gelangt. Die BFW schützt aber nicht vor der Ausbreitung von Schadsoftware im Datennetz (wenn dieser beispielsweise über einen Laptop eingeschleppt wurde), da nur der Verkehr zwischen dem Internet und der Universität, nicht aber der interne Verkehr kontrolliert werden kann.
Aus diesem Grund bietet der ZID für Institute zusätzlich zur Borderfirewall eine sogenannte Institutsfirewall an. Damit werden die Rechner auch vor den anderen Systemen an der Universität geschützt. Außerdem kann diese Bereichsfirewall genauer Ihren Bedürfnissen angepasst werden.
Eine kurze Einführung zur Bereichsfirewall für Institute finden Sie unter "Bereichs- und Instituts-Firewallsystem des ZID".
Schutz vor Viren
Der ZID verwendet zentrale und lokale Virenscanner Instanzen zum Schutz vor schädlichen Programmen.
Zentrale Virenscanner
Das Netzwerk der Universität Innsbruck ist so konfiguriert, dass alle ein- und ausgehenden Mails die zentralen Mailrelays passieren müssen. Hier werden all EMails auf Viren überprüft. Zu diesem Thema gibt es seitens des ZID eine umfangreiche Dokumentation:
https://www.uibk.ac.at/zid/systeme/mail/mailrelay/
Außerdem werden alle Dateien, die auf den Windows Shares (Laufwerke I:\, J:\, K:\) abgelegt werden, automatisch auf Viren überprüft.
Die zentralen Virenscanner werden automatisch auf den neuesten Stand gehalten, sodass neue Viren möglichst schnell erkannt werden. Bei den Mailrelays werden sogar zwei unterschiedliche Virenscanner eingesetzt, um einen möglichst umfassenden Schutz zu bieten und neue Viren möglichst schnell zu erkennen.
Lokale Virenscanner
Der ZID verwendet als lokalen Virenscanner das Microsoft-Produkt Defender Antivirus:
- Der Virenscanner steht ab Windows 10 zur Verfügung,
- er ist bei Windows 10 bereits vorinstalliert,
- für die Institute entstehen keine zusätzlichen Kosten
Schutz vor Spam
Auf den Mailrelays wird neben den Virenscanprogrammen eine Software zur Erkennung von Spam eingesetzt. Mails, die mit an Sicherheit grenzender Wahrscheinlichkeit Spam sind oder von Systemen kommen, die Spam verschicken, werden verworfen. EMails, bei denen das nicht genau beurteilt werden kann, werden von uns nach einem Punktesystem markiert, sodass Sie selbst einstellen können, ob Sie diese erhalten wollen.
Eine umfangreiche Dokumentation dazu finden Sie unter:
http://www.uibk.ac.at/zid/systeme/mail/mailrelay/spamassassin.html
Zentral verwaltete Klientensysteme
Mit den verwalteten Windows/Linux PCs bietet der ZID ein auf Windows/Linux basierendes Klientensystem, das zentral gewartet wird. Das System ist in Bezug auf die Sicherheit sorgfältig konfiguriert und notwendige Updates (nicht nur im Bereich der Sicherheit) werden automatisch installiert. Überdies bietet das System eine große Zahl bereits vorinstallierter Software.
Die Dokumentation zum Uni-PC finden Sie hier: http://www.uibk.ac.at/zid/systeme/pccs/.
Dokumentation und Beratung
Die besten Sicherheitsmaßnahmen helfen wenig (und sind teilweise kontraproduktiv), wenn sie nicht entsprechend dokumentiert sind und die Benutzer bei Bedarf nicht entsprechend beraten werden.
Besonders hervorgehoben werden soll hier die Möglichkeit eines IT-Sicherheitsgespräches: Dazu kommt ein Mitarbeiter des ZID an Ihr Institut und berät Sie und ihre Kollegen bei alltäglichen oder auch speziellen Fragestellungen. Er bespricht mit dem EDV-Beauftragten die Infrastruktur des Institutes und bietet Verbesserungsvorschläge und weist auf das relevante Angebot des ZID hin. Bei Interesse wenden Sie sich bitte an den ZID.
Datensicherung
Oft wird vergessen, dass auch Sicherheitskopien der Benutzerdaten oder ganzer Systeme ein wichtiger Teil der Sicherheit sind.
Die Systeme des ZID sind alle durch mehrere Versionen von Backups gesichert, sodass jedes System in kurzer Zeit wiederhergestellt werden kann.
Der ZID bietet auch Möglichkeiten zur Sicherung Ihrer persönlichen Daten - sei dies nun auf zentralen Systemen oder auf Ihrem persönlichen PC.
Eine Zusammenfassung zum Thema Backups finden Sie unter Sicherung und Wiederherstellung von Daten
Netzwerküberwachung
Der ZID unternimmt große Anstrengungen, Sicherheitszwischenfälle bereits frühzeitig zu erkennen. Damit ist es uns in den meisten Fällen möglich, Sicherheitsprobleme bereits vor dem Benutzer und Administrator eines Systems zu erkennen. Wenn ein Sicherheitszwischenfall auftritt - ob nun ein Rechner mit Schadsoftware infiziert ist oder von einem Angreifer aktiv kompromittiert wurde - wird es daher oft der Fall sein, dass wir Sie (beziehungsweise den EDV-Beauftragten des Institutes) darüber informieren.
Es folgt eine kurze Beschreibung der von uns eingesetzten Methoden:
Von den zentralen Systemen werden zahlreiche Logs erzeugt. Einige davon weisen auf Sicherheitszwischenfälle hin - beispielsweise unerlaubte Verbindungsaufbauten zu Windows-Klienten, direktes Versenden von Mails oder Verbindungsaufbauten zu nicht verwendeten IP-Adressen.
Das Verkehrsaufkommen zwischen Rechnern an der Universität und externen Systemen wird an den Firewallsystemen protokolliert. Über eine Analyse der Logs kann sehr oft auf Sicherheitszwischenfälle geschlossen werden - etwa bei Systemen, die kompromittiert wurden und vom Angreifer beispielsweise als Bot missbraucht werden (BotNets).
Bei Sicherheitszwischenfällen können diese Daten auch verwendet werden, um den Angriff nachzuvollziehen.
Es ist zu beachten, dass hier erstens nur der Verkehr zwischen internen und externen Systemen (nicht der interne Verkehr) erfasst wird, und dass zweitens nur die Verbindungsdaten, nicht aber der Inhalt der Verbindungen, aufgezeichnet werden.
Schließlich verwendet der ZID auch ein sogenanntes "Intrusion Prevention System". Dieses versucht, im Datenverkehr (wieder zwischen internen und externen Systemen) Muster von Schadsoftware direkt festzustellen und zu blockieren.
Aktive Überprüfungen
Erkennen wir ein Sicherheitsproblem oder werden wir von anderen darauf aufmerksam gemacht, überprüfen wir den betroffenen Rechner aktiv. Damit ist erstens oft ersichtlich, ob am Rechner ungewöhnliche Dienste laufen, und zweitens ist auf diesem Weg oft feststellbar, ob bei dem System ein Sicherheitsproblem vorliegt, das von einem anderen Rechner aus ausnutzbar ist.
Kompetent betreute Systeme
Und schließlich ist der ZID bemüht, seine eigenen zentralen Systeme sicher zu halten, sodass Sie diese durchgehend produktiv nutzen können.