Gerade Firmen und Behörden sind immer häufiger Ziel von organisierten Hackerangriffen. Dabei investieren diese viel Geld in Infrastrukturen mit VPN-Netzwerken, Firewalls, Virenscannern und IT-Spezialisten. Trotz dieses Wettrüstens mit den Cyberkriminellen können Hackerangriffe nicht komplett verhindert werden. Gerade für kleinere Firmen kann es schwierig werden dieses kostspielige Wettrüsten mitzumachen. In diesem Artikel stelle ich meine Idee vor, wie KVM-Switches zur Verhinderung von Cyberspionage eingesetzt werden können. Zudem beschreibe ich die Installation eines KVM-Switches.
Aktuelle Situation
Die internen Daten einer Firma oder Behörde sind nicht für die Außenwelt bestimmt. Diese Tatsache macht Sie interessant für Angriffe durch Cyberkriminelle. Mit diesen Informationen lässt sich beim richtigen Käufer eine Menge Geld verdienen. Nach den neuesten Meldungen von heise.de über TDL4-Botnetze, die illegalerweise als Proxies zur Anonymsierung benutzt werden können, sieht man, dass selbst gute Virenscanner und Firewalls nach dem ersten Auftreten eines Schadprogramms der neuen Generation einige Zeit benötigen, diese zu erkennen und unschädlich zu machen. Und gerade wenn Firmenrechner gekapert werden und als Proxies für schmutzige Geschäfte verwendet werden, kann dies zusätzlich zum Datenklau sehr schädlich für das Ansehen der Firma werden. Bei diesen neuen Schädlingen ist es sehr schwierig diese nachträglich zu löschen, da Sie ein verschlüsseltes Dateisystem implementieren, um sich vor den Virenwächtern zu verbergen. Bis der Virus auf dem PC entdeckt wird, kann es also meist schon zu spät sein (wenn er überhaupt gefunden wird).
Wettrüsten wird zur Kostenfalle
Im weltweiten Wettrüsten zwischen Cyberkriminellen gegen Firmen und Behörden gibt es keinen Stillstand. Neben den üblichen Grundschutzmaßnahmen des BSI werden immer aufwendigere Techniken zur Cyberabwehr eingesetzt. Der Bund hat z.B. bereits ein nationales Cyberabwehrzentrum eingerichtet. Gerade für kleine Firmen kann dies jedoch im Vergleich zu ihrem Umsatz sehr teuer werden.
Was kann ein KVM-Switch?
(Quelle: http://www.digitus.info/produkte/archiv/kvm-switch-ps2-mit-mausklickfunktion-4-port-dc-ic814i-mc/)
Da ich mir für die Einrichtung meines Webservers (Link zum Blogpost) einen KVM-Switch (meiner heißt DIGITUS DC IC814I-MC – KVM – PS/2) zugelegt habe, ist mir die Idee gekommen, diesen für die Zwecke von Cyberabwehr einzusetzen. Mit einem KVM-Switch kann ich mehrere PCs mit einer Tastatur, Maus und Bildschirm betreiben. Dies spart zum einen Platz auf dem Schreibtisch, da man nicht mehr für jeden Rechner eine eigene Tastatur, Maus und Bildschirm benötigt, zum anderen kann sehr schnell mit der Maus bzw. Tastatur zwischen den PCs hin und her gewechselt werden (auch wenn der PC z.B. in einem anderen Zimmer steht). Selbst über das Netzwerk kann mit einem KVM-Switch mit KVM over IP auf verschiedene Rechner zugegriffen werden.
Wie setze ich den KVM-Switch zur Cyberabwehr ein?
Um einen wirksamen Schutz der Firmendaten herzustellen, muss das interne Netzwerk der Firma (VPN-Verbindungen) und das äußere Netzwerk hardwaretechnisch getrennt werden. Denn gerade „normale Internetseiten“, die ein Mitarbeiter besucht, dienen Cyberkriminellen als Einfallstor. Wenn der Virus dann erst mal auf dem Firmen-PC eingedrungen ist, mit dem der Nutzer gleichzeitig die internen Daten bearbeitet, ist es nicht mehr weit, bis diese ausspioniert sind.
Konkret umgesetzt bedeutet dies, dass ein Mitarbeiter 2 PCs an seinem Arbeitsplatz bzw. zu seinem normalen PC einen über KVM over IP ansteuerbaren Rechner in einem von VPN-Netz abgetrennten 2. Netz hat. Mit dem einen Rechner bearbeitet er Firmendaten im VPN-Netz. Er ist so konfiguriert, dass er nicht ins WWW kommt jedoch E-Mails versenden kann. Mit dem anderen kann er (natürlich mit installiertem Virenschutz und Firewall) im WWW recherchieren. Wenn dieser Rechner infiziert ist, hat dies noch keine unmittelbaren Auswirkungen auf die Sicherheit der Firmendaten, da dort keine vorhanden sind. Die Rechercheergebnisse können nach Virencheck als PDF-Dokumente auf den anderen Rechner per USB-Stick übertragen werden. Es kann bei Neueinrichtung des Rechners ein Backup erstellt werden, dass von Zeit zu Zeit über den WWW-Rechner gespielt wird, um Infizierungen durch Schädlinge, die nicht vom Virenscanner verhindert wurden, zu löschen (BIOS-Viren können jedoch so nicht beseitigt werden).
Fazit
Dieses Vorgehen erschwert das Ausspionieren von Firmendaten erheblich und ist dennoch kostengünstig (ein KVM-Switch kostet gerade einmal ca. 70 €). Einen 100%igen Schutz bietet es natürlich auch nicht, da ggf. Dateien, die vom WWW-Rechner auf den anderen übertragen werden, verseucht sein könnten und der Virus über das Mailprogramm Daten verschicken kann. Um dies zu erschweren sollte man sich überlege, welche Daten (außer Dokumenten) man wirklich auf dem Rechner im VPN-Netz braucht. Aus recherchierten Internetseiten „druckt“ man am besten PDF-Dateien mit Programmen wie z.B. PDF-Creator. Auch für den privaten Gebrauch ist dieses Vorgehen gut anwendbar. Der einzige Unterschied ist, dass man seine Mails über einen Internetdienst (wie GMX und Freemail) verschickt.
KVM-Switches bei Amazon
Wie richte ich einen KVM-Switch ein?
Die Installation
Ansicht von Vorne:
Ansicht von Hinten:
Der KVM-Switch braucht kein separates Netzteil um zu funktionieren. Es reicht der Strom, den er über die angeschlossene Hardware bezieht. Die Einrichtung ist kinderleicht, wenn man weiß, welche Kabel zu welchem PC gehören. Zuerst werden auf der Rückseite (Ansicht von Hinten) im Bereich (2) die zu steuernden Rechner mit den bei einem KVM-Switch häufig beiliegenden Kabeln verbunden. Der grüne PS/2-Anschluss wird mit dem Mausanschluss des jeweiligen Rechners, der violett mit dem Tastaturanschluss des jeweiligen Rechners verbunden. Das VGA-Verbindungskabel (oder sofern der KVM-Switch dies unterstützt auch DVI-Anschlusskabel) an den entsprechenden Monitoranschluss der Grafikkarte des zu steuernden Rechners gesteckt. Dabei können soviel Rechner mit einem KVM-Switch verbunden werden, wie Dreierkombinationen auf der Rückseite im Bereich (2) vorhanden sind. Wenn beide Rechner mit dem Switch verbunden sind, wird auf der Rückseite noch im Bereich (1) der zu verwendende Bildschirm angeschlossen. Danach muss noch auf der Vorderseite im bereich (3) die zur Steuerung verwendete Maus (grün) und Tastatur (violett) am richtigen PS/2-Anschluss eingesteckt werden. Damit ist die Installation abgeschlossen. Bei neueren KVM-Switches kann auch ein USB-Anschluss und Lautsprecheranschlüsse zentral genutzt werden.
Tip: Zusammengehörige Kabel für die angeschlossenen Rechner mit Kabelbindern verbinden. Das verschafft Übersicht.
Wie bediene ich den KVM-Switch?
Wenn die PCs gestartet sind, erkennt der KVM-Switch diese automatisch (am jeweiligen Anschluss leuchtet eine grüne Kontrollleuchte). Auf der Vorderseite im Bereich (1) & (2) befinden sich Knöpfe mit denen zwischen den angeschlossenen PCs umgeschaltet werden kann. Weiterhin kann mit Betätigung der Maus zwischen den PCs gewechselt werden. Dazu drückt man zuerst die mittlere Maustaste und dann die Linke Maustaste, um einen Anschluss nach links zu wechseln. Analog funktioniert dies mit der rechten Maustaste, um nach rechts zu wechseln. Der derzeit aktive Anschluss wird mit einer roten Kontrollleuchte auf der Vorderseite des KVM-Switches markiert. Zudem ist ein Wechsel mit der Tastatur möglich. Bei meinem Switch muss ich dazu zweimal die linke [Strg]-Taste drücken um nach links bzw. die rechte [Strg]-Taste zweimal um nach rechts zu wechseln.
Nährere Infos dazu findet man auch in der Bedienungsanleitung des Switch (hier der Link zur Anleitung für meinen Switch).
Also 36€ für einen Internetpc kann ja nur ein relativ alter gebrauchter PC sein.
Aber dennoch ist die Idee ganz ok, selbst wenn man ca. 150€ für den Internet PC ausgibt.
Bei 3 Platzen wären das lediglich 450€.
Wenn man NUR surft auf dem Internetrechner gibt es doch nicht sooo viel Wartung. Da ist ja nichts installiert. Außer Browser, Emailprogramme und Schutzprogrammen.
Wem das zu teuer ist der soll halt mit virtuellen PC´s im Internet surfen. Aber auch da kann es beim übertragen von Dateien zu Problemen kommen.
100% Schutz vor Viren gibt es: PC und Router aus lassen, hehe
Um meinen Kommentar moeglichst kurz zu gestalten – die Idee ist unwirksam und kostenintensiv.
1) Viren verbreiten sich auch ueber USB-Sticks
2) 2 PC’s pro Abrbistplatz kosten sehr viel Geldsowohl in der Anschaffung als auch in der nachfolgenden Wartung
Um einen wirklich wirksamen Schutz vor Rootkits / Viren zu haben, bedarf es schon etwas mehr Ueberlegung.
Trotzdem … netter Versuch 🙂
Hallo,
danke für deinen Kommentar. Mir ist schon bekannt, dass sich Viren auch über USB-Sticks verbreiten. Sogar über Hardware wie Maus und Tastatur. Einen 100%igen Schutz gibt es nicht. Ich habe ja auch Firewalls und Virenscanner angesprochen. Wie sich jedoch anhand der aktuellen Entwicklung (Stucknet und Co) zeigt, sind diese auch nicht perfekt. Wenn ich also meine Daten als kleine Firma schützen will, hänge ich doch einfach meinen Rechner nicht ins Netz oder in separates Netz und habe eine Art „Internerechner“ mit dem ich nach Außen kommuniziere. Das ist zwar sehr radikal, aber ich habe damit bisher gute Erfahrung gemacht.
Ich habe mir zuhaus das beschriebene System aufgebaut. Mein „Internetrechner“ hat mir 36 € gekostet. Die Wartung mache ich selber (Virenscanner aktualisieren, Patches installieren). Der Internetrechner ist sehr stromsparsam und ich spare mir einen Bildschirm. Mir ist schon klar, dass das in größeren Unternehmen ziemlich warm wird, wenn jeder zwei Heizungen unter dem Tisch hat. Vielleicht lässt sich ja da was mit Virtuellen PCs in der Cloud machen. Ich kenne mich da zu wenig aus. Ich halte diesen Vorschlag für kleinere Unternehmen (mit vielleich 3 Mitarbeitern) für gut umsetzbar, da diese sich so einen Penetrationstest sparen können.
Was schlägst du stattdessen vor? Ich bin für nützliche Anregungen immer offen.