IDS, IAM und Auditing
Dreifach-Prophylaxe für das Netzwerk
Wenn es um die Absicherung geschäftskritischer Daten geht, beschränken sich die meisten Unternehmen darauf, Angriffe von außen abzuwehren. Interne Sicherheitsverstöße werden hingegen oft erst dann entdeckt, wenn bereits Schaden entstanden ist. Sicherheitskonzepte müssen deshalb Lösungen umfassen, die die Netzwerkaktivitäten der Anwender regeln und überwachen.
Die täglich wachsende Zahl an Internet-schädlingen bekräftigt viele Unternehmen darin, in
Sicherheitslösungen wie Firewalls und Intrusion-Detection-Systeme (IDS) zu investieren. Tatsächlich
stellt Malware eine große Bedrohung für die IT-Sicherheit dar. Allerdings kommt bei der Planung von
Sicherheitskonzepten der zweite Hauptaspekt für die Datenintegrität häufig zu kurz: die Absicherung
vertraulicher Informationen vor Missbrauch aus den eigenen Reihen. Diese Nachlässigkeit überrascht,
kommt doch die Studie "The Infopro?s Information Security Study" des Marktforschungsunternehmens
Infopro vom Februar 2006 zu dem Ergebnis, dass 72 Prozent aller Unternehmen die Gefährdung der
Sicherheit durch interne Kräfte mindestens so hoch einschätzen wie die Bedrohung durch externe
Attacken. Allerdings sehen es laut einer Umfrage des Analystenhauses IDC vom November 2005 immer
mehr IT-Verantwortliche als eine ihrer größten Herausforderungen an, ihre Mitarbeiter anzuhalten,
die internen Sicherheitsrichtlinien zu befolgen.
Ein Mix aus komplementären Sicherheitslösungen wie IDS, Identity und Access Management (IAM)
sowie Auditing hilft dabei, inmitten komplexer Risikoszenarien die Kontrolle zu behalten.
Angriffe von außen rechtzeitig erkennen
Intrusion-Detection-Systeme (IDS) erkennen Angriffe auf die IT-Infrastruktur. Sie werden in
Kombination mit einer Firewall eingesetzt und steigern so das Sicherheitsniveau des Unternehmens.
Die meisten IDS-Systeme erkennen Malware-Attacken, indem sie – ähnlich wie Virenscanner – auf die
Signaturen bereits bekannter Schädlinge zurückgreifen. Dazu speichern sie alle für einen
Internetangriff charakteristischen Merkmale in einer Musterdatenbank. Das IDS vergleicht den
eingehenden TCP/IP-Verkehr fortlaufend mit den gespeicherten Schädlingssignaturen. Sobald ein
Muster im Datenstrom einer Signatur in der Musterdatenbank entspricht, löst das IDS sofort einen
Alarm aus und weist den Administrator beispielsweise per SMS oder E-Mail auf den Vorfall hin.
Gleichzeitig mit dem "Intrusion Alert" wird der Eindringling unter Quarantäne gestellt und so daran
gehindert, in das System einzudringen. Allerdings können signaturbasierte IDS-Lösungen nur solche
Angriffe abwehren, deren Muster sie bereits kennen. Um bislang unbekannte Angriffstypen abwehren zu
können, setzen andere IDS-Systeme auf den Einsatz von Heuristiken. Bei diesem Verfahren wird
versucht, Angreifer anhand der statistischen Analyse ihres Dateicodes zu identifizieren. Eine
Variante von IDS sind Intrusion-Prevention-Systeme (IPS). Im Gegensatz zu IDS kann IPS gefährliche
Aktionen nicht nur erkennen, sondern auch die Übertragung verdächtiger Datenpakete blockieren und
die Netzwerkverbindung unterbrechen. Hierzu arbeiten IPS-Lösungen ebenfalls mit Firewalls zusammen.
Dabei übernimmt die Firewall die Aufgabe, die von der IPS-Lösung definierten Regeln auf den
Datenverkehr anzuwenden.
Wachsamkeit ist das oberste Gebot
Während Schadprogramme aus dem Internet nach systematischen Handlungsmustern ablaufen, lässt
sich das Anwenderverhalten nicht anhand feststehender Kriterien überprüfen. Die Überwachung der
Netzwerkaktivitäten ist daher eine komplexe Aufgabe, die den Einsatz komplementärer Technologien
erfordert. Dies hat mehrere Gründe: Zum einen muss dafür gesorgt werden, dass Mitarbeiter nur in
dem Umfang auf Dateien zugreifen können, wie es ihr Aufgabenbereich erfordert. Zum anderen müssen
verbindliche Regeln definiert werden, anhand derer ein "normales" Anwenderverhalten von
Sicherheitsverstößen unterschieden werden kann. Erst wenn geklärt ist, wer was darf, lassen sich
unerlaubte Netzwerkaktivitäten erkennen.
Softwarelösungen für das Identity und Access Management liefern umfassende Funktionen für die
Erstellung und Verwaltung von Benutzerdaten. Ein wesentlicher Aspekt hierbei ist das so genannte
Provisioning (englisch für Bereitstellen). Dies bezeichnet die automatisierte Vergabe von
Zugriffsberechtigungen für bestimmte IT-Anwendungen und -Systeme gemäß einem definierten
Benutzerprofil. Positionen, Status und Aufgabenbereiche der Mitarbeiter befinden sich aber in einem
ständigen Wandel. Entsprechend flexibel müssen deshalb Benutzerrechte zugewiesen werden können. Aus
der Sicherheitsperspektive betrachtet ist aber das so genannte De-Provisioning noch wichtiger:
Sobald ein Mitarbeiter die Abteilung oder das Unternehmen verlässt, wird sein Benutzerprofil
entweder automatisch an die neue Position angepasst oder gelöscht. Sämtliche nicht mehr benötigten
Zugangsrechte werden sofort eingezogen. Auf diese Weise können Unternehmen sicherstellen, dass nur
berechtigte Mitarbeiter auf die für sie relevanten Daten zugreifen können.
Abwehr ohne Kontrolle ist zwecklos
Firewalls, IDS und IAM bilden eine schlagkräftige Phalanx gegen die Bedrohung von außen:
Gemeinsam verhindern sie, dass sich Schädlinge unbemerkt in das Unternehmensnetz einschleichen und
Unbefugte auf wichtige Daten und Systeme zugreifen können. Viele Unternehmen sehen damit die
Anforderungen an ein unternehmensweites Sicherheitskonzept erfüllt – eine Fehleinschätzung, die
gravierende Folgen haben kann. Zwar wird Angreifern von außen der Zugriff auf Informationen schwer
gemacht. Gegenüber Unachtsamkeit, Sabotage und Geheimnisverrat aus den eigenen Reihen ist das
Unternehmen jedoch machtlos. Um sicher zu gehen, dass Mitarbeiter ihre Zugriffsrechte nicht
versehentlich oder absichtlich missbrauchen, muss das Anwenderverhalten regelmäßig auf
Regelverletzungen hin überprüft und ausgewertet werden. Dies gilt insbesondere für die oft mit
unbeschränkten Rechten ausgestatteten Systemadministratoren. Das konsequente Monitoring der
Netzwerkaktivitäten verhindert, dass geschäftskritische Daten unerlaubt eingesehen, verändert oder
gestohlen werden können.
Auditing-Lösungen wie Consul Insight sammeln und speichern plattformübergreifend alle Log-Daten
in einem zentralen Verzeichnis. Anhand dieser Informationen lassen sich jeder Dateizugriff und die
damit verbundenen Aktionen in Echtzeit dokumentieren. Beispielsweise wird erfasst, welcher Anwender
eine Datei wie lange aufgerufen hat, ob er die Informationen verändert, versendet oder kopiert hat
und ob er dazu berechtigt war. Gleichzeitig werden alle sicherheitsrelevanten Informationen zu
übersichtlichen Reports zusammengefasst. Sicherheitsbeauftragte können sich so schnell und
unkompliziert vergewissern, dass die Netzwerkaktivitäten der Anwender mit den definierten
Sicherheitsrichtlinien übereinstimmen.
Auditing macht Netzwerkprozesse transparent
Sollte ein Benutzer entgegen den Regeln Daten aufrufen oder verändern, alarmiert die
Auditing-Lösung automatisch den Administrator. Bei Schutzverletzungen – beispielsweise dem
unautorisierten Löschen eines Datensatzes – liefern die gesammelten Log-Daten den notwendigen
Beweis, um den Verursacher zu überführen. Während IAM in einem Sicherheitskonzept die Funktion
eines Pförtners übernimmt, behält die Auditing-Lösung die Netzwerkaktivitäten wie eine
Überwachungskamera im Blick. Um dabei die Persönlichkeitsrechte der Anwender zu wahren, werden
Benutzerdaten in professionellen Auditing-Systemen anonymisiert dargestellt. Erst bei einem akuten
und schwer wiegenden Sicherheitsverstoß wird die Identität des Verdächtigten in Gegenwart speziell
autorisierter Personen aufgedeckt.
Lesen Sie mehr zum Thema
