Sicherheitsmanagement ohne autistische Silos Die einzelnen Sicherheitsmodule finden erst nach und nach auf einem zentralen Leitstand zusammen. Dabei ist es hohe Zeit, die autistischen ­Silos aufzugeben. Nicht zuletzt ist ein zentrales Sicherheitsmanagement bei der Vergabe der IT-Sicherheit an externe Dienstleister unabdingbar.

Protokolldaten sind wohlfeil. Schon klassische Firewalls produzieren Dutzende, wenn nicht Hunderte von Einträgen in der Sekunde. Und die Hardwarebox »Security Monitoring, Analysis and Response System« (MARS) von Cisco kann bis zu 500 Vorfälle pro Sekunde erfassen. Kein Wunder, dass Gartner-Sicherheitsspezialist Mark Nicolett davon spricht, dass die »Unternehmen in den Datenfluten ertrinken, die von den unterschiedlichen Sicherheitseinrichtungen erzeugt werden und nach einem einfachen Weg suchen, diese Daten zu korrelieren und sinnvoll zu nutzen«. Wenn es denn so einfach wäre. Kaum ein Bereich der IT-Sicherheit ist derzeit so »autistisch« organisiert wie der des Sicherheitsmanagements. Das liegt vor allem an der Neuartigkeit der Aufgabe. Über die Jahre haben sich in den Unternehmen unzählige Abwehrwerkzeuge angesammelt, die allesamt Spezialaufgaben erledigen und die hier nicht im Einzelnen aufgezählt werden sollen. Die Zusammenführung der mannigfachen Spezial-Hardware und Spezialsoftware und die Abbildung auf einem einzigen Leitstand kommen erst jetzt auf die Tagesordnung, weil die Lage zunehmend unübersichtlich wird. Auch ist kein Hersteller ohne Not darauf erpicht, seine Programmpakete mit denen anderer Anbieter kompatibel zu machen. Das Hauptaugenmerk der Hersteller liegt vielmehr voll auf technischen Verbesserungen und Funktionserweiterungen an ihrem jeweiligen Tool. So beschränkt man die Managementfunktionen weitgehend auf die eigene kleine Welt. Das ist mühselig genug. Auch für große Hersteller wie Cisco bedarf es schon einer großen organisatorischen und technischen Anstrengung, damit die hauseigene Managementsoftware »Cisco Security Manager« und die Logdaten-Erfassungsbox MARS mit dem eigenen »Produktezoo« zurechtkommen.

Wenig Kenntnis über das eigene Netz

Protokolldaten stammen aus den verschiedensten Quellen: aus Zugangs- und Authentisierungssystemen, aus Netzwerkkomponenten, aus Anwendungen und von Schwachstellen-Scannern. Alle haben in der Regel ihren eigenen Blick auf das Netz und den Verkehr und sie formulieren das Geschehen in ihrer eigenen Sprache. Für das Erkennen der wesentlichen Punkte und deren Interpretation werden oft absolute Spezialisten benötigt, will heißen: Sehr oft unterbleibt die Auswertung, weil derartige »Dechiffrierexperten« nicht zur Hand sind. Bei einer Umfrage unserer Schwesterzeitschrift »Network Computing« gaben nur 38 Prozent der Befragten an, dass sie ihre System- und Geräte-Protokolldateien zusammenführen und speichern. Und 37 Prozent gaben zu, dass sie die Logs nur dann analysieren, wenn im Netz etwas vorgefallen ist. Wenn sie dann nur auch etwas finden! Protokolldateien sind ja das eine, die Relevanz bestimmter Daten etwas ziemlich anderes. »Viele Firmen wissen absolut nicht, was in ihrem Netz los sind«, meint beispielsweise Philippe Courtot, CEO von Qualys. Die Firma bietet Schwachstellenanalyse und Risiko-Überprüfungen für externe und interne Netze als Dienstleistung an. Angesichts vielfältiger Unternetze ist das zwar nicht verwunderlich, aber dennoch misslich. »Große, weltweit agierende Unternehmen haben zwischen 400 und 500 Subnetze. Eine solche Netzgeografie ist mit den meisten Scannern sehr schwer abzudecken«, meint Courtot. Ohne Scanner mit zentraler Datenhaltung in einem Sicherheitsrechenzentrum lasse sich ein solches Netz nicht sinnvoll verwalten. Auch wenn die Administratoren ständig weltweit auf Achse seien, erhalte man bestenfalls Schnappschüsse von den jeweiligen Netzabschnitten, mit längst veralteten Informationen.

Echtzeitanforderungen

Es macht die Dinge nicht einfacher, dass die Zeithorizonte für die Erfassung und Verarbeitung der Protokolldaten immer kürzer wird und eine Korrelation mit den Sicherheitsrichtlinien unabdingbar ist. Dadurch kann dann, so die Intention, schnell auf Sicherheitsprobleme reagiert werden, indem auf bestimmten Vorrichtungen Kommandos gesperrt werden, die Probleme verursachen beziehungsweise verursachen könnten. Die Dinge werden aber auch dadurch nicht einfacher, dass in den letzten Jahren der eben skizzierte Gedanke der Übereinstimmungsprüfung mit vorgegebenen Maßgaben immer mehr ausgeweitet wird. Die Unternehmensleitung will nicht so sehr wissen, was alles passiert, sondern sie will wissen, ob die Systeme rund laufen, das heißt ob die geschäftlichen Abläufe sicher und effizient sind und ob sie die gesetzlichen und innerbetrieblichen Kontrollmechanismen erfüllen. Diese Situation geht einher mit einem Benennungswirrwar sondergleichen. Die in der IT sowieso wütende »Verschlagwortung« ist in Sachen Sicherheitsmanagement sozusagen auf ihrem Höhepunkt: »Security Event Management« (SEM), »Security Information Management« (SIM), »Enterprise Security Management« (ESM) oder doch nur »Log-Management«? Namen lassen sich leicht finden, aber nicht immer findet man unter den Namen dann die Funktionen, die man gern hätte. Genau wissen, was man eigentlich benötigt und dann ausprobieren, ob ein bestimmtes Produkt das auch tut, ist der einzige gute Ratschlag, den man hier geben kann.

Zwischenträger XML

Kein Produkt kann alles, aber viele Produkte können eine Menge. Auf Benennungen sollte weniger geachtet werden als auf Inhalte. Letztlich spielt sich Sicherheitsmanagement in dem Kraftfeld von Authentisierung und Autorisierung, Netzwerksteuerung und Schwachstellenanalyse ab. Wahrscheinlich wird man in diesem Operationsfeld die Software und Hardware verschiedener Hersteller einsetzen müssen, wenn man seine Geschäftsprozesse angriffsresistent und ­revisionssicher machen will und wenn man darüber hinaus jederzeit und schnell bestimmte Vorkommnisse in der Vergangenheit belegen können will. Es liegt auf der Hand, dass die involvierten Angebote in solch einem Kraftfeld ihre autistische Silostruktur ablegen müssen. Öffentlich gemachte APIs sind das mindeste und erste, was die Anwender in dieser Richtung erwarten dürfen. Die Strukturbeschreibungssprache XML bietet sich als Zwischenträger geradezu an. Auf mittlere Sicht werden auch immer mehr Produkte entstehen, die eine Vielzahl der in Sachen Sicherheitsmanagement genannten Module integrieren. Das Marktforschungsunternehmen Gartner hat mittlerweile schon die Kategorie »SIEM« für Produkte eingeführt, die Resistenz gegen Angriffe im Netz und Prüfung der Konformität von betrieblichen und gesetzlichen Vorschriften zusammenfassen.

SIM + SEM = SIEM?

Entsprechende Angebote gibt es in Hardware und Software. Gartner führt in einem technischen Positionspapier vom Mai 2006 19 Anbieter auf. Systemmanagement-Matadoren wie IBM oder CA führen in ersten Ansätzen das Sicherheitsmanagement mit dem allgemeinen System- und Service-Management zusammen. Im begehrten rechten oberen Teil des entsprechenden Koordinatensystems von Gartner – der Innovationskraft, gepaart mit Durchsetzungsfähigkeit am Markt beschreiben soll – platzieren die Analysten Nicolett, Williams und Proctor die Firmen Arcsight und Network Intelligence, dicht gefolgt von IBM, CA und NetIQ (mittlerweile von Attachmate gekauft). Was auch immer noch an automatischen Hilfsmitteln in Zukunft kommen wird: Basis eines jeden Sicherheitsmanagements muss eine organisatorische Anstrengung in den Unternehmen sein. Nötig sind Vorschriften, wie an den verschiedenen Standorten Protokolldaten einheitlich erfasst und gespeichert werden. Darüber hinaus wird eine Übersicht über die vorhandenen Systeme und deren Gewichtung innerhalb der Gesamt-IT beziehungsweise der Geschäftsprozesse benötigt. Erst wenn diese Hausaufgaben erledigt sind, kann Sicherheitsmanagement überhaupt greifen.

Prüfstein Outsourcing

Sicherheitsmanagement ist nicht zuletzt dann unabdingbar, wenn man daran denkt, einige oder alle Sicherheitsfunktionen an einen externen Dienstleister abzugeben. »Das Management sollte so konzipiert sein, dass es sich den Vorgaben von Auftraggeber und Auftrag­nehmer anpassen kann und selbst nur wenige Vorgaben macht«, formuliert Wieland Alge, Geschäftsführer des Innsbrucker Netzwerksteuerungspezialisten Phion die Anforderungen und fügt süffisant hinzu: »Viele Hersteller von Sicherheitsprodukten, die nicht von Anfang an Sicherheit und Management miteinander eng verknüpft haben, lassen die Dienstleister mit rudimentären Systemen allein. Es ist daher gängige Praxis, dass im Rahmen von Outsourcing der Dienstleister das Sicherheitsmanagement mit hohem Aufwand erst einmal entsprechend erweitern muss, damit er den Auftrag überhaupt zufriedenstellend ausführen kann«.