Och Kinners... komm, wir machen das ganz einfach: 2x 19" SHA-fähige Synos, dazu noch ne 19"-Kiste für's Backup, alles zu mir (Colocation), dazu noch WS+Mailstore wird virtualisiert (nicht auf den Synos), dazu noch die SPLA-Lizensierung und ihr seit durch, kostet halt entsprechend, aber... wer fragt schon nach Geld...
Aber mal ernsthaft... Da kann man ja soviel bauen und basteln und machen und tun, aber eins steht sicherlich fest: der größte Gefahrenfaktor ist und bleibt der Mensch. Das gilt nicht nur in Bezug auf Dinge wie SocialEngineering, sondern u.a. eben auch auf Dinge wie "Programmierung" (jou, wer hätte es gedacht, ein DSM wird auch nur von Menschen programmiert...). Wenn man ein "konformes" Maß an Sicherheit erreichen will, gilt es da schon "einiges" an Aufwand zu kalkulieren. Allerdings sollte der TO (oder Geschäftsführer) selber abwägen wie wo was wann benötigt wird. Verschlüsselung von Festplatten ist mit Sicherheit erstmal eine der leichtesten Übungen, eine "sichere" Aufbewahrung der Backups ist schon wieder so eine Sache (nein, "Zuhause" ist nun nicht unbedingt sicher), ggf. ein Bankschliessfach. Egal wie man es dreht und wendet, es gibt etliche Faktoren zu beachten und jeder dieser Faktoren bedarf einer eigenen (objektiven, wie subjektiven) Einschätzung derer, die die Verantwortung für die Daten tragen.
Kurzum:
Ich denke, wir haben die Szenarien Defekt und Wasser durch das externe Backup adressiert. Beim Risikobereich Einbruch sehe ich zwei Handlungsfelder. Der räumliche Einbruch mit Entwendung des NAS kann ich m.V.n nur mit Sicherungsmaßnahmen vor Ort entgegenwirken (verstärkte Tür, verschlossener Schrank, Überwachung). Die Strategie für digitalen Einbruch: Zugriff auf NAS nur lokal oder per VPN erreichbar, 2-Faktor-Authentifizierung, Verschlüsselung. Welche wesentlichen Punkte sollte ich hinzufügen?
(hoffe, dass das jetzt nicht von goetz als Vollzitat angemahnt wird, da fehlt ja noch ein wenig zu
)
- Defekt ist kein Schaden, welcher zwangsläufig durch äussere Einflüsse entsteht, ein simples Versagen von Hardware kann jederzeit vorkommen und dagegen kann man auch nichts machen (ausser ggf. HA-Cluster oder ein Backup samt Ersatzgerät vorrätig haben, je nachdem wie lang die Downtime zu ertragen ist)
- Wasser/Feuer sind gesondert zu betrachten, bei dem einen reicht es, das Gerät weiter oben zu platzieren (zb bei Rohrbruch und überflutetem Boden), bei dem anderen müsste es ein feuerfestes Gehäuse sein (oder man hat so Features wie eine Argon-Löschanlage...)
- Bei einem Einbruch sollte man sich immer eins vor Augen halten: Einbrecher sind meist nicht die schlausten Leute was die IT angeht und können auch nur selten entsprechende Wertigkeiten abschätzen: kleines Beispiel: 19"-Server mit 1,5TB RAM, 4 sehr dicke Intel-CPUs und etlichen 4TB-Enterprise-SSDs - fetter Klotz - preislich im mittleren bis oberen 5-stelligen Bereich - liegt zu Wartungsarbeiten auf dem Tisch. Direkt daneben liegt das kleine alte MacBook von 2011. Direkt daneben liegt das (auch schon etwas ältere) iPhone 7. Was meinste wird da mitgenommen? In der Regel wird geklaut, was man kennt und wo man weiss, dass es sich verkaufen lässt. Weder eine Tür, noch ein Schrank, noch eine Überwachung halten Einbrecher davon ab, wenn Sie es denn wirklich wollen (und mitunter ihr Ziel auch schon kennen). Das sollte man stets im Hinterkopf behalten. Wer will, kann.
- Was die Digitale Schiene angeht, klar, da kann man jetzt so richtig die Sau vom Stapel lassen....
Faktisch stellen sich aber direkt ein paar Fragen, wie z.B. ob ihr "intern" überhaupt das notwendige Knowhow besitzt um sowas fachgerecht zu implementieren, oder ob man die Verantwortung nicht doch lieber in externe Hände gibt. Grundsätzlich sei gesagt, dass ein "vernünftiger" ("Sinn&Verstand" und so...) Umgang mit Daten jedweder Art schon eine Menge bringt. Schlussendlich gibt es "etliche" Maßnahmen um Zugriffe weiter einzuschränken, die Frage ist eben nur: was darf's kosten? (womit wir wieder beim Anfang wären).
Wie man merkt, man dreht sich im Kreis. Erstmal das Budget festlegen, dann festlegen, welche Punkte einem "besonders" wichtig sind und dann kann man auch entsprechende Überlegungen anstellen. Vorher bringt das alles nämlich nicht soviel. Ebenso darf man auch nie vergessen: Wo ein Wille, da ein Weg. Falls es dicke kommt, hat ggf. ein verärgerter Mitarbeiter (Du?
) eine Kopie des Schrankschlüssels
Also: Bevor die Überlegungen hier VIEL zu weit gehen... klär erstmal die Sache mit dem Budget und was bisher an Hardware (inkl. Router/Firewall) da ist und... achja... die banalen Dinge wie z.B. Virenscanner auf den Clients(!!!) hab ich mal aussen vor gelassen. Zum guten Schluss:
BSI Leitfaden Informationssicherheit
Wünsche viel Erfolg!
