Für E-Mail, Datenaustausch, Informationen aus dem Internet und Fernzugänge (Home-Arbeitsplätze) benötigt jedes Büro einen Internetanschluss. Kleine Büros sind mit einer asymmetrischen DSL (ADSL) mit mindestens 1 MBit Upstream und 6 MBit Downstream und einem flat-Tarif gut angebunden und »always on«. Den Nachteil der nicht statischen IP-Adresse4 kann man durch Registrierung bei einem dynamischen DNSDienst5 (z.B. www.DynDNS.org) teilweise ausgleichen, der einfache Serverdienste wieFTP6 oder Fernwartung ermöglicht. Größere Büros, die erweiterte Serverdienste wie z.B Groupware-Lösungen, eigenen E-Mail Server oder LAN-LAN-Kopplung per VPN7 betreiben wollen, sollten eine symmetrische DSL (SDSL) mit mindestens 2 MBit Up/Downstream wählen. Hier ist dann auch ein festes IP-Subnetz enthalten, sodass wichtige Server und Dienste direkt aus dem Internet erreichbar gemacht werden können. Vor allem E-Mail-Server sollten mit einer öffentlichen, nicht dynamischen IPAdresse konfiguriert werden. Viele E-Mail- Server akzeptieren nämlich Post von Servern mit dynamischer IP-Adresse aus Gründen des Spamschutzes nicht mehr.

Die Ankopplung des Büro-Netzwerks an das öffentliche Netz erfolgt im einfachsten Fall, also dem ADSL, durch einen Router mit integrierter Firewall und NAT (Network address translation). Ist der Router richtig konfiguriert, können viele Schädlinge erst gar nicht in das Büronetzwerk eindringen. Diese einfachen Firewalls arbeiten als Port-Filter und leiten nur explizit freigegebene Ports (Anschlüsse) aus dem Internet = WAN (wide area network) an Rechner im lokalen Netzwerk (LAN = local area network) weiter. In der Firewall sollten zumindest die Ports 135 bis 139 sowohl eingehend wie ausgehend blockiert werden. Diese Ports sind für die Veröffentlichung der freigegebenen Ressourcen in Microsoft-Netzwerken zuständig. Bleiben diese Ports offen, ist möglicherweise der gesamte Datenbestand von Unberechtigten einsehbar.

Auch das DMZ-Feature (Demilitarized Zone) solch einfacher Router sollte höchstens für Testzwecke verwendet werden, da ein Rechner, der in der DMZ steht, alle Internetpakete ungefiltert durchgereicht bekommt und nicht hinreichend vom LAN abgetrennt ist. Solche einfachen Gateways kosten ca. 200 Euro und werden vom Internet Service Provider meist subventioniert angeboten. Beim symmetrischen DSL mit festem Subnetz wird der Router meist vom Provider gestellt und konfiguriert. Diese Router leiten alleankommenden Pakete unbearbeitet und ohne Filterung oder NAT an die interne Schnittstelle weiter.

Somit ist hier eine nachgeschaltete, separate Firewall oder Security Appliance zwingend notwendig. Unter dem Schlagwort Security-Appliance bieten immer mehr Hersteller fertige, oft Linux-basierte Sicherheitslösungen an, die als Black Box das gesamte Sicherheitsmanagment, also Firewall, Virenschutz, Content-Filter sowie Intrusion-Detection übernehmen. Über einen Updateservice bleibt die Box immer auf dem aktuellen Stand.

Drucker, die allgemein verfügbar sein sollen, werden am besten direkt (per TCP-IP) ans Netz gekoppelt. Alle für Arbeitsgruppen ausgelegte Drucker verfügen über diese Option, die sie räumlich vom Server unabhängig macht. Der Server verwaltet die Warteschlange der Druckaufträge und verteilt bei Bedarf den Treiber im Netzwerk. So muss der Druckertreiber nur an einer Stelle gepflegt werden. Drucker ohne Netzwerkoption eignen sich nur als reine Arbeitsplatzdrucker. Sie sollten im Netzwerk nicht freigegeben werden, da weder Mechanik noch Treiber der höheren Belastung im Netzwerkbetrieb gerecht werden. Moderne Kopierer lassen sich auch als Drucker und Scanner ins Netzwerk einbinden. Speziell bei Farbkopierern gewinnt man so einen deutlichen Mehrwert.

Telefonanlagen basieren heute noch größtenteils auf ISDN. Doch VOIP (Voice-over-IP) ist inzwischen den Kinderschuhen entwachsen und kann nicht nur durch erhebliche Einsparungen bei den Gebühren punkten. Auch die möglichen funktionalen Leistungsmerkmale, Flexibilität der Konfiguration und Zukunftssicherheit durch offene Standards sprechen für VOIP, beispielsweise die transparente und gebührenfreie Einbindung von Zweigstellen oder Heimarbeitsplätzen an die Telefonanlage. Die Mitarbeiter sind dabei immer unter der gleichen Nebenstelle erreichbar. Leistungsmerkmale wie Warteschlangen, Konferenzschaltung, individuelle Voicemailbox, Parallelklingeln, Wählen per Mausklick (CTI) waren bisher teuren Telefonanlagen vorbehalten.

Folgende Varianten eines Wechsels zu VOIP sind möglich:

• Die bestehende Telefonanlage wird weiterbetrieben und mit einem VOIP-Gateway ergänzt. Dadurch können zumindest die Gesprächsgebühren reduziert werden.
• Die Telefonanlage wird durch eine VOIPAnlage ersetzt und selbst gemanagt.
• Man verzichtet völlig auf eine eigene Telefonanlage und nutzt die Dienste einer Hosted PBX (Privat Branch Extension = Telefonanlage). Die Variante ist vor allem für kleinere Büros interessant.

Bei allen Vorzügen einer VOIP-Anlage darf man einen Nachteil nicht übersehen: Durch die Zusammenlegung von Datenund Sprachdiensten auf eine technologische Grundlage sinkt die Diversität. Eine redundante Internetanbindung und entsprechende SLA (Service Level Agreements) können diesen Punkt entschärfen.

Auf dem Server sollten nur speziell für Server entwickelte Virenscanner installiert werden, die jede abgelegte Datei in Echtzeit scannen. Die Virensignaturdatei wird jede Nacht über ein automatisches Update auf den neuesten Stand gebracht. Spezielle Beachtung muss man Notebooks schenken,die auch außerhalb des Büros betrieben werden. Sie benötigen zusätzlich einen lokalen Virenscanner, um das Einschleppen von Viren zu verhindern.

Häufige Infektionsquelle sind E-Mails. Hier ist vor allem die Aufklärung der Mitarbeiter wichtig: keine Post von unbekannter oder zweifelhafter Herkunft öffnen, keine Anhänge mit den Endungen .exe, .com, .bat, .cmd, .vbs, .js, .pif akzeptieren. Viele Provider bieten virengescannte Postfächer an. Betreibt man ein eigenes Mail-Gateway, sollte es mit einem VirenscannerPlug-in ausgestattet sein. Vor bekannten Viren ist das Netz damit weitestgehend sicher. Gegen neue, unbekannte Viren bieten viele Programmhersteller einen Newsletterdienst an. Die hier vorgeschlagenen Maßnahmen, z. B. Einspielen von Sicherheits-Updates oder Sperren von Ports in der Firewall, solltenzeitnah umgesetzt werden.

Neu entdeckte Sicherheitslücken werden von professionellen Hackern inzwischen in großem Stil systematisch ausgenutzt. Auf allen Systemen sollten daher zumindest sicherheitskritische Updates automatisch und täglich eingespielt werden. Im (Microsoft-) Netzwerk gibt es dafür den Serverdienst WSUS (Windows Software Update Service), der die zentrale Verwaltung, Freigabe und Verteilung von Softwareupdates ermöglicht.

Effektiver Schutz vor Spam ist heute ein wichtiges Kriterium. Da die Techniken der Spammer immer raffinierter werden, wächst auch der Aufwand, einen guten Spamfilter zu betreiben. Zunächst einige Tipps, wie Sie Ihre E-Mail-Adresse vor Spammern möglichst "geheim" halten können:

• Legen Sie sich für zweifelhafte Kontakte eine Dummy-Adresse bei einem Freemailer zu. Diese Adresse können Sie dann gelegentlich einfach ändern.
• Verwenden Sie die echte Email-Adresse nur mit seriösen Partnern
• Veröffentlichen Sie Ihre echte Email-Adresse nie im Klartext im Web, z.B auf Ihrer Homepage oder in Foren jeglicher Art. Roboter scannen das Web systematisch nach E-Mail-Adressen. Verwenden Sie besser ein Bild Ihrer E-Mail-Adresse.

Spamfilterung ist an verschiedenen Stellen möglich:

• Beim ISP, der ihre Mailboxen betreibt
• Auf Ihrem eigenen Mail/Exchange-Server
• Auf einer Ihrem Netzwerk vorgeschalteten Security appliance
• Über spezialisierte Onlinedienste, die als Zwischenstation die Überprüfung der eigenen Mailboxen übernehmen.
  
  

Trotz aller Vorkehrungen, ein System vor Ausfällen zu schützen, ist eine regelmäßige, möglichst automatisierte Datensicherung auf externe Medien unerlässlich. Diese sollten an einem sicheren Ort, am besten außerhalb des Büros, aufbewahrt werden.

Am häufigsten ist die Wiederherstellung von einzelnen versehentlich gelöschten Dateien nötig. Eine komplette Datensicherung schützt aber auch vor Vandalismus, Diebstahl und technischen Versagen. Dein Desaster Recovery Plan sollte notwendige Handlungsschritte für solche Fälle beinhalten mit dem Ziel, möglichst schnell wieder ein lauffähiges (Not-) System auf die Beine zu stellen.

Als Sicherungsmedium kommen die bislang benutzten Bänder immer mehr aus der Mode. Sie werden durch die vergleichsweise komfortable Sicherungen auf preiswertere, externe Festplatten ersetzt. Ein weiterer Pluspunkt ist die Möglichkeit einer Synchronisation, bei der nur geänderte Daten kopiert werden. Das spart Zeit und schont die Festplatten in den Servern.

Bei einer vollständigen Datensicherung auf Band muss dagegen immer der gesamte Datenbestand gelesen und geschrieben werden. Ein Sicherungsprogramm sollte die synchronisierende Datensicherung unterstützen. Aber auch mit ein paar Zeilen VBS-Script lassen sich automatisch ablaufende Sicherungsschemenerstellen.

Als bewährtes Sicherungsschema gilt: Freitagnacht Komplettsicherung, Montag bis Donnerstag differenzielle Sicherung, d.h. jede Tagessicherung beinhaltet alle Änderungen bis zur letzten Vollsicherung. Die Komplettsicherungen sollten mindestens drei Monate zurückreichen.

Zusätzlich zu den externen Sicherungen gibt es bei Windows-basierten Servern ab 2003 die Möglichkeit der "Schattenkopien", womit sich frühere Versionen von Dateien direkt aus dem Explorer heraus wiederherstellen lassen. Dieser Mechanismus schützt vor allem vor versehentlichem Überschreiben bzw. Löschen von Dateien. Die allgemeine Sicherung ersetzt natürlich nicht eine projektbezogene Archivierung von wichtigen Planungsständen. Diese kann auf DVD erfolgen und wird direkt im Projektordner abgelegt.

[mehr...]

Jeder Büroinhaber muss letztendlich selbst entscheiden, welche Anforderungen er an seine IT-Infrastruktur stellt und wieviel er dafür investieren will. Für den Mitarbeiter stellt der Rechner das wichtigste Arbeitsgerät dar. Nur wenn Gerät, Software und die dazugehörigen Dienste im Hintergrund reibungslos zusammenspielen, wird er die bestmögliche Produktivität erzielen.

Autor:
Armin Winter
www.flumen.de