Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Besseres Management für mehr Sicherheit

Defense in Depth für Assets und Geschäftsprozesse

Besseres Management für mehr Sicherheit

26. September 2007, 14:05 Uhr |

Unternehmen können und wollen nicht mehr auf ständig neue Bedrohungen automatisch mit einer Erhöhung des IT-Budgets reagieren. Für den IT-Manager bedeutet das: weg von einzelnen Produktlösungen hin zu einer ganzheitlichen Betrachtung der Sicherheitsinfrastruktur.

IEine entscheidende Komponente für eine umfassende Sicherheitsarchitektur ist ein integriertes Identitäts- und Zugriffsmanagement.

Mit neuen Geschäftsmodellen und Technologien haben sich die Aufgaben der Unternehmens-IT radikal gewandelt und erweitert. Der Trend geht in Richtung »24 Stunden x 7 Tage-Verfügbarkeit« für interne und externe Anwender. Mithin: Der Betrieb der IT-Systeme ist zu einem überlebenswichtigen Faktor für Unternehmen geworden. Zugleich hat der Gesetzgeber als auch die Börsenaufsicht ein Mindestmaß an Sicherheit beim Betrieb der IT in den

revisionsbedingten und regulativen Vorgaben an das Risiko-Management eines Unternehmens fest geschrieben. IT-Sicherheit darf nicht mehr als Nebenrolle behandelt werden, sondern muss als strategische Aufgabe aufgegriffen werden.

Zugleich zeigt sich, dass die bisherigen Investitionen in einzelne Sicherheitswerkzeuge für Unternehmen eine kritische Schwelle erreicht haben. Das Management ist nicht länger gewillt auf ständig neue Bedrohungen durch neue Techniken mit einer Erhöhung des entsprechenden Budgets und/oder des Personals zu reagieren. Es fordert vielmehr, die Aktivitäten im Bereich der IT-Sicherheit zu konsolidieren, um den finanziellen Einsatz zu optimieren.

Auslöser für den aktuellen Tool-Mix in den Firmen war der Wunsch, durch das Hinzufügen weiterer Werkzeuge für punktuelle Sicherheitsaufgaben eine mehrstufige Verteidigung im Sinne der Defense-in-Depth-Konzepts (DiD) nachzubilden. Das Konzept des Defense-in-Depth wurde ursprünglich als fundamentales Schutzkonzept in der Reaktortechnik entwickelt. Es beruht auf mehreren Ebenen, den »gestaffelten Verteidigungslinien«, deren Vorsorgemaßnahmen von der Verhinderung von Störfällen über die Störfallbeherrschung bis hin zur geordneten Abschaltung reichen und dabei insbesondere auf die Integrität des Barrierensystems ausgerichtet sind.

Bezogen auf die IT-Sicherheit bedeutet das zunächst, der Packet-Filter der Firewall filtert, ein Router leitet nur weiter, was erlaubt ist, Switches & Co. verfügen über Zugriffskontrolllisten, Anwendungen werden durch Identitätsmanagement geschützt und Intrusion-Detection-Systeme spüren Anomalien auf. Der unkoordinierte Einsatz dieser unterschiedlichen Tools führt jedoch schnell zu einer Verletzung des Integritätsgebots eines Defense-in-Depth-Konzepts, da zum einen die Integration der diversen Tools mangelhaft ist und des Weiteren Neuerungen in der IT-Technik bestehende Sicherheitsmaßnahmen oftmals aushebeln.

Punktlösungen wie Antivirus-Software, Firewalls, Intrusion-Detection- oder -Prevention-Systeme oder Virtual-Private-Networks erzeugen jede für sich eine Unmenge an Reports und Statusmeldungen in unterschiedlichen Werkzeugfenstern, die für einen Sicherheitsadministrator das Risiko einer Informationsüberflutung in sich bergen. Wer aber den Wald vor lauter Bäumen nicht mehr sieht, läuft Gefahr, wichtige Meldungen in der Datenmasse zu übersehen. Ein effizientes Risikomanagement, das die Bedrohung nach ihrer Bedeutung für die Geschäftsprozesse priorisiert, ist hier kaum umsetzbar, da die Verbindung zwischen den Ereignismeldungen und den unternehmerischen Abläufen nur durch das Administrationspersonal erfolgt.

Nach den bisherigen Ausführungen sollte man jedoch nicht dem Trugschluss unterliegen, dass das Defense-in-Depth-Konzept in der IT untauglich ist. Die Frage ist vielmehr, wie sich eine erfolgreiche Sicherheitspolitik im Sinne eines belastbaren »DiDs« realisieren lässt. Im Kern heißt das, eine mehrstufige Verteidigung aufzubauen, die konsequent technische, organisatorische und operative Aspekte integriert und sich an den unternehmerischen Erfordernissen orientiert.

Für die Umsetzung ist es dienlich, sich noch einmal vor Augen zu führen, was letztlich das Ziel ist. Schließlich muss IT-Sicherheit die Werte (Assets) eines Unternehmens vor Bedrohungen schützen und darf nicht zum Selbstzweck verkommen. Dies setzt eine Risikoanalyse voraus, um sich ein Bild über die betriebliche beziehungsweise finanzielle Bedeutung dieser Assets und deren potenzielle Bedrohung zu machen. Diese so gewonnene Transparenz erlaubt es, die Auswirkungen etwaiger Risiken zu bewerten und mit der Wirkung und Wirtschaftlichkeit von Gegenmaßnahmen zu vergleichen. Bedrohung in diesem Kontext heißt immer, dass Vertraulichkeit (Zugangsgewährung allein für Berechtigte), Integrität (Korrektheit und Vollständigkeit) sowie Verfügbarkeit von Ressourcen, Informationen oder Prozessen gefährdet sind. Die eingeleiteten Schutzmaßnahmen und

-richtlinien im Rahmen der Sicherheitspolitik zielen darauf, eine entsprechende Kompromittierung der Unternehmenswerte entweder von vorneherein zu unterbinden oder zumindest das Risiko zu begrenzen.

Die Verbindung Sicherheit und Unternehmenswert stellt im Grunde einen Paradigmenwechsel dar. Denn es werden die Assets an Stelle der Abwehr nicht erwünschter Eindringliche in den Fokus gestellt. Ein solcher Wechsel in der Vorgehensweise hilft zugleich, den neuen Anforderungen auf Grund zunehmender Vernetzung der Firmen untereinander als auch der digitalen Mobilisierung der eigenen Mitarbeiter adäquat zu begegnen. Er setzt zugleich voraus, dass das IT-Management über sämtliche Aspekte der eigenen Assets, wie Konfigurationen, Abhängigkeiten oder Status, stets auf dem Laufenden ist. Empfehlenswert ist an dieser Stelle der Aufbau einer Management-Datenbasis, die in Anlehnung an die im Rahmen der »ITIL«-Managementprozesse empfohlene Konfigurationsdatenbank sämtliche Asset-bezogenen Informationen verwaltet.

Eine entscheidende Komponente für den Aufbau einer umfassenden Sicherheitsarchitektur ist deshalb ein integriertes Identitäts- und Zugriffsmanagement, das Anwender sowie die Assets, also Geschäftsprozesse und unterliegende Infrastruktur, gemäß firmenpolitischer und rechtlicher Vorgaben zusammenbringt. In zentralen Verzeichnisdiensten werden transparent und konsistent die erforderlichen Anwenderprofile, Zugriffsrechte, Passwörter, Netzwerkkonfigurationen und weitere Daten als auch die damit verbundenen Sicherheitsregeln vorgehalten.

Der Nutzen eines integrierten Identitäts- und Zugriffsmanagements liegt sowohl in der Effizienzsteigerung durch die Vereinfachung der administrativen Aufgaben als auch im Sicherheitsgewinn durch die Unterstützung des gesamten Lebenszyklus einer Benutzeridentität – von der Definition und Verwaltung über die Aktivierung und Deaktivierung des Zugangs zu Informationen und Ressourcen sowie der Auditierung und dem Reporting der abgerufenen Dienste. Diese prozessorientierte Vorgehensweise garantiert, dass hier kein Sicherheitsrisiko entsteht, weil nach dem Aufgabenwechsel oder Ausscheiden eines Mitarbeiters die bisherigen Zugriffsberechtigungen nicht weiterleben, sondern automatisch angepasst beziehungsweise gestrichen werden.

Die zweite Komponente einer Sicherheitsarchitektur stellt das Threat-Management dar, das an die bekannte Perimeter-Sicherheit, also den Schutz der Infrastrukturen mit Hilfe von Firewalls und anderen Systemen, anknüpft. Zugleich werden hier neue, Asset-bezogene Konzepte aufgegriffen, die prozessorientiert Sicherheitslöcher einer IT-Infrastruktur stopfen, um die Verbreitung so genannter Malware und Pest, wie Spyware oder Adware, zu unterbinden. Ein solcher Prozess umfasst sämtliche Schritte des Lebenszyklus einer Schwachstellenanalyse inklusive Fehlerbeseitigung und besteht im Einzelnen aus:

  • Aufspüren und Profilieren der vorhandenen Komponenten,

  • Bestimmen, welche Konfiguration und welches Patch für die Komponenten vorhanden sind,

  • Verfolgen und Sammeln der Sicherheitswarnungen für die eingesetzten Komponenten und Programme,

  • Analysieren der Gefährdung der eigenen IT-Infrastruktur,

  • Bestimmen des jeweiligen Risikos für den Geschäftsbetrieb,

  • Priorisieren der zu behebenden Probleme nach deren Dringlichkeit für die Geschäftsprozesse,

  • Planen und Testen von Abhilfemaßnahmen,

  • Durchführen der Fehlerbeseitigung für die einzelnen Komponenten gemäß Prioritätenliste,

  • Dokumentieren der Fehlerbeseitigung sowie

  • Überwachen des gesamten Prozesses zur Schwachstellenanalyse und Fehlerbeseitigung, um die angestrebten Fortschritte in der Risikominderung zu verifizieren.

Ein Werkzeug wie E-Trust-Vulnerability-Manager von Computer Associates sorgt an dieser Stelle für echte Entlastung und Effizienzgewinn. Die hardwarebasierende Sicherheits-Management-Lösung erkennt automatisch in Echtzeit die IT-Systeme eines Unternehmens und stellt diese Bestandsaufnahmen einer laufend aktualisierten Liste bekannter Schwachstellen gegenüber, um zu analysieren, welche IT-Komponenten im Unternehmen Schwachstellen aufzeigen und die Sicherheit der IT-Umgebung bedrohen. Es wird ein von innen nach außen gerichteter Ansatz für die Lokalisierung der Schwachstellen von IT-Komponenten im Unternehmen verfolgt, damit sich wichtige Netzwerk-Komponenten, wie Betriebssysteme, Applikationen oder Datenbanken, bis auf eine Ebene individueller Patches genau identifizieren lassen. Schwachstellen, die für kritische Geschäftsprozesse relevante Systeme betreffen, stehen ganz oben auf der automatisch erstellten Checkliste, die Anleitungen zur schrittweisen Beseitigung dieser Sicherheitslücken benennt.

Komplettiert wird die Sicherheitsarchitektur von der Komponente Sicherheitsinformationsmanagement, die das Sicherheitsmanagement endgültig als die überwachende Instanz in die Steuerungsposition bringt. Vergleichbar zu einem Leitstand werden hier in einer Managementumgebung sämtliche IT-Komponenten sowie Sicherheitswerkzeuge beobachtet und gesteuert. In einer zentralen Portal-gestützten Konsole werden Sicherheitsinformationen in einer grafischen, Web-basierten Benutzeroberfläche zusammengefasst. Die-se Verdichtung und Korrelation dämmt die Flut von Sicherheitsmeldungen ein und automatisiert Workflows zur Bearbeitung. Damit können Sicherheitsverantwortliche Ereignisse und Schwachstellen rasch erkennen und entsprechend der Dringlichkeit.

Innovative Verfahren, die in Anlehnung an die Kriminalistik sogenannte forensische Techniken und Methoden nutzen, vereinfachen hier die Arbeit der Administratoren zusätzlich. Vergleichbar zu einem Langzeitvideorekorder zeichnen sie das Geschehen im Unternehmensnetz auf. Dazu werden an einer oder mehreren strategischen Stellen im Netz Kollektoren eingesetzt, die in ihrer passiven Arbeitsweise an den traditionellen Sniffer erinnern. Unbemerkt lauschen sie an einem entsprechend konfigurierten Port eines Switches die Kommunikation und den Protokollverkehr im Netzabschnitt. Während des Einsammelns wird zugleich eine Wissensbasis aufgebaut, in der alle Kommunikationsobjekte, wie IP-Nummern, Hostnamen, Protokolle oder Usernamen, abgelegt werden. Für die spätere Analyse stehen alle Informationen über Objekte zur Verfügung, mit denen ein zu untersuchendes Objekt eine Kommunikationsverbindung unterhalten hat. So lassen sich beispielsweise mögliche Regelinkonsistenzen des IPS- und Firewall-Systems aufdecken, falls die Firewall Datenverkehr durchlässt, dieser jedoch vom IPS dann abgeblockt wird. Oder es ist möglich, aus den rekonstruierten Mail-Sessions eine Darstellung der Kommunikation von internen und externen Quellen vorzunehmen und die Logdatei der Telefonanlage mit diesen zu korrelieren. Wird hier eine Beziehung sichtbar, kann dies bedeuten, dass eine Insiderinformation nach außen gelangt ist, bei der eine E-Mail der Auslöser war, um eine Person zum Telefonhörer greifen zu lassen – oder umgekehrt.

Der Vorteil einer Asset- und Prozess-orientierten Sicherheitsarchitektur ist, dass sie die Umsetzung einer Sicherheitspolitik mit einem Höchstmaß an Effizienz unterstützt. Eine Tatsache sollte man dabei allerdings nicht aus den Augen verlieren: Bei aller technischen Unterstützung darf der menschliche Faktor nicht vernachlässigt werden. Das heißt zum einen, Unternehmen und Mitarbeiter müssen entsprechend für Sicherheit sensibilisiert sein. Das bedeutet aber auch, dass die eigentliche Gefahr für Unternehmen nicht von den häufig angeführten Skript-Kiddies und deren vergleichsweise simplen Attacken ausgeht, sondern von versierten Hackern, die zum Teil mit Hilfe aus der internen Organisation, den Unternehmen möglichst unbemerkt schaden wollen. Die Entlastung von Routine-Tätigkeiten sowie die automatische Verdichtung und Aufbereitung der anfallenden Daten zu aussagekräftigen Informationen im Rahmen eines umfassenden Sicherheitsmanagements eröffnet der Administration den unschätzbaren Pluspunkt, sich ganz auf das Aufspüren solcher Fälle konzentrieren zu können.

Armin Stephan, Consulting Manager Security bei Computer Associates

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
KONZEPTUM GmbH

KONZEPTUM GmbH
Zyxel Networks A/S

Zyxel Networks A/S
Plusnet GmbH

Plusnet GmbH
NFON AG

NFON AG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG