Servermanagement: Sicherheit braucht Standards

Fast 40.000 offen erreichbare MongoDB-Datenbanken ohne jegliche Zugangskontrolle.

Sicherheitslücke. Datenleck. Gate. Leak. Worte die immer häufiger in den Medien auftauchen. Viele Menschen verstehen nur schwer die Dimensionen, die hinter solchen Meldungen stehen. Sie denken vielleicht in stereotypischen Bildern: Kriminelle Hacker im Hinterzimmer, die Geheimdienste oder im positiven Falle Edward Snowden. Ein aktueller Fall zeigt jedoch, dass einfache Methoden ausreichen können, um ein gewaltiges Problem zu erschaffen. Studenten des Centers for IT-Security, Privacy, and Accountability an der Uni Saarbrücken fanden mit einer relativ simplen Abfrage fast 40.000 offen erreichbare MongoDB-Datenbanken, welche keinerlei Zugangskontrolle aufwiesen (Hier zur Dokumentation “MongoDB databases at risk“). Kein Passwort, keine Transportverschlüsselung, keine Firewall die den Standard-Port schützte. Eine dieser Datenbanken enthielt rund 8 Millionen Kundendaten eines französischen Mobilfunkanbieters. Ohne jeglichen Schutz. Würden Sie sich als Kunde da noch wohlfühlen? Wie steht um die restlichen Standards, wenn das Sicherheits- und Servermanagement scheinbar keine hohe Prioritäten besitzen?

Turnschuhadministration – oder: Was haben Autos und Server gemeinsam?

Der Fehler? Viele vorkonfigurierte Installationen von MongoDB beschränken den Zugriff standardmäßig auf den lokalen Rechner. Für die Entwicklungsarbeit auf dem eigenen Rechner oder einem einzelnen Entwicklungsserver schien diese Sicherheitsstufe einigen Benutzern als ausreichend. Schon hier beginnt der Denkfehler: Lösungen und Ansätze können sich im agilen Entwicklungsprozess ändern, aber weder eine passwortgeschützte Authentifizierung, noch Verschlüsselung oder die Sicherung eine Standardports gehören in dieses variable Set. In diesem Bereich müssen mit dem Projektstart Richtlinien stehen, welche im gesamten Prozess konsequent umgesetzt gehören. Das schützt die eigene Entwicklung und hilft später eklatante Fehler zu vermeiden.

In der Realität siegen Not oder Bequemlichkeit. Insbesondere in den ersten Projektphasen scheint es größere Probleme als Sicherheit zu geben: Welche Technik wird überhaupt benutzt, wie sollen Funktionen umgesetzt werden und wieso ist es schon wieder tiefe Nacht? Viele Dinge werden “erstmal so” zum Laufen gebracht, um einen ersten proof-of-concept fertigstellen zu können. Daraus folgt, was wir Turnschuhadministration nennen: Das Team ist klein und irgendjemand setzt den Server auf. Viele verfügbare Anleitungen im Internet ermöglichen es heute, das Setup eines Servers zu bewerkstelligen. Doch, wie im Falle von MongoDB, weisen manche Anleitungen nicht konsequent genug auf wichtige Einstellungen hin. (Hier hat der Hersteller mittlerweile nachgezogen) Wie eingangs erwähnt, sollten schon an diesem Punkt umfangreiche Sicherheitsvorkehrungen beschlossen und umgesetzt werden, sonst geraten sie im Strudel von Release-Date und Beseitigung von Bugs schnell in Vergessenheit. Und was ist mit der Betreuung im laufenden Betrieb? Auch wenn man ein Auto starten kann und das Radio erfolgreich programmiert hat, enden Wartungsarbeiten in Eigenregie oft auf dem Standstreifen oder schlimmstenfalls im Graben. Hier wird am falschen Ende gespart. Noch schlimmer wirkt dieser Umstand bei Firmen, welche nicht als kleines Team starteten, sondern grundsätzliche Regeln für alle Geschäftsbereiche, wie das Servermanagement, besitzen sollten.

“Es wird schon nichts passieren. Wieso sollte gerade bei uns gesucht werden.” Falsch. Es wird passieren. Im günstigsten Fall sind es Sicherheitsforscher, die dann die Firmen und zuständigen Behörden informieren. In den meisten Fällen bemerken die Betroffenen nichts von dem Datenleck, bis Kundendaten missbräuchlich benutzt werden und der Fall mediale Aufmerksamkeit erhält. Dann ist es zu spät. Wieso sollten Kunden Ihrem Dienst noch vertrauen? Neben dem Produktnutzen ist das Vertrauen Ihre wichtigste Geschäftsgrundlage, d.h. solche Vorfälle werden Sie in Ihren Umsätzen spüren. In extremen Fällen in riesigen Dimensionen inklusive Schadensersatzansprüchen.

Outsourced die Server-Administration!

Die Investition in einen professionellen Administrator scheint eine vermeidbare Investition darzustellen. Insbesondere kleine Unternehmen und Startups stehen vor dem Problem, dass die beschränkte IT-Infrastruktur eine dedizierte Vollzeitstelle nicht zu rechtfertigen scheint. Wenn jedoch die konstante Verfügbarkeit Ihres Services und die Sicherheit Ihrer Daten zwei unternehmenskritische Punkte darstellen, sollten Sie auf professionelles Servermanagement setzen. Eine sinnvolle Lösung bietet das Outsourcing von Serveradministration. Sie sparen sich die Kosten für interne Stellen, welche nie voll ausgelastet werden könnten, ohne dabei auf Servicequalität und Sicherheit verzichten zu müssen. Profitieren Sie bis zu 24 Stunden täglich von professionellem Servermanagement, ständiger Bereitschaft und schneller Response-Time. Kurz: Sie brauchen sich keine Sorgen um Ihre Server zu machen.

Zusätzlich können Ihnen erfahrene Profis Möglichkeiten für die Optimierung Ihrer Struktur geben. Die initialen Mehrkosten werden durch mögliche Einsparungen im Betrieb, weniger Geschäftsstörungen durch reibungslose Funktion der Server und niedrige Sicherheitsrisiken schnell amortisiert.

 

secu-ring – Ihr professioneller Anbieter für Servermanagement und Administration

Unsere Mitarbeiter sind professionelle Administratoren, welche langjährige Erfahrungen vorweisen können und konstant weitergeschult werden. So vermeiden Sie kleine wie auch schwerwiegende Pannen, die das Vertrauen in Ihr Produkt nachhaltig zerstören oder anderweitig Ihren Geschäftsbetrieb beeinflussen könnten.

Unsere Dienste sind frei von Anbieterbindung, d.h. Sie bestimmen wo Ihre Angebote und Daten gehostet werden. Nach der Analyse Ihrer Bedürfnisse und technischen Voraussetzungen hilft Ihnen secu-ring bei dem Aufbau einer anwendungsgerechten und leicht skalierbaren Serverlösung. Wir kümmern uns um das initiale Setup und überwachen Ihre Server nach Ihren Vorstellungen. Mit gängigen Sicherheitsstandards beschützen wir Ihr System gegen Angriffe von außen. Auf erkannte Produktlücken oder Fehlfunktionen reagieren unsere Administratoren unverzüglich. Automatische Routinen spielen alle relevanten Updates der Packetanbieter spätestens nach einer halben Stunde ein. Sicherungsmechaniken wie automatische Failovermechanismen, Cluster-Dateisysteme oder dynamische Lastverteilung ermöglichen einen dauerhaft reibungslosen Betrieb. Viele Kunden profitieren jetzt schon von unserer langjährigen Erfahrung und unseren intelligenten Lösungen.

Konzentrieren Sie sich auf Ihr Produkt und ihren Erfolg. Wir kümmern uns um Ihre Server.

Wünschen Sie eine maßgeschneiderte Lösung? Kontaktieren Sie uns.

3 responses on “Servermanagement: Sicherheit braucht Standards

  1. Sascha Möbius

    Bequemlichkeit ist immer der größte Feind der Sicherheit. Sollte man keine Lust auf umfangreiche Einstellungen haben -> outsourcen. Macht man ja auch beim Essen auch so 🙂

  2. Olaf Stichtenoth

    Das eigentlich interessante ist ja, dass das selbe Problem auf unterschiedlichen Ebenen immer wieder zum tragen kommt. Vor vielen Jahren wurden W-LAN Router standardmäßig ohne Passwort ausgeliefert und es hat sich gezeigt, dass die meisten Nutzer zu bequem sind, eins zu setzen. Erst als die Auslieferung im verschlüsselten Modus gesetzlich vorgeschrieben wurde, waren W-LAN Zugänge in der Regel verschlüsselt. Die Parallelen zum aktuellen Fall sind erstaunlich groß. Allerdings ist der mögliche Zugriff auf sensible Daten auf Servern von Firmen noch ein klitzekleines bisschen gravierender…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.