Sicherheit verlangt auf vielen Ebenen Kompetenzen, die vor allem kleine und mittelgroße Unternehmen nicht im Hause haben. Dann ruft man Experten zur Hilfe, die mit ihrem Wissen einspringen. Doch wann ist ein Consultant ein guter Consultant, und wann braucht man ihn wirklich?

Bevor man einen Consultant oder Dienstleister wählt, sollte man einen Blick auf dessen Referenzen und bereits betreute Projekte werfen.

Unternehmen geben weltweit Milliarden für Sicherheitsdienste aus. Sie lassen ihr Netz von außen und innen auf die Probe stellen, buchen Rundumsorglos-Pakete, bei denen die Dienstleister Sicherheitskonzepte entwerfen und nebst -geräten und -policies implementieren. Der globale Markt für Informationssicherheitsdienste – inklusive Consulting, Integration und Implementierung, Managed-Service, Response-Dienste sowie Schulung und Training – werde von 8,5 Milliarden im Jahr 2002 auf 21,7 Milliarden Dollar im Jahr 2007 anschwellen. Dies bedeute eine jährliche Wachstumsrate von 21 Prozent, wie IDC in ihrer Studie vom jüngsten August schätzte. Eine positive Entwicklung, denn Mehrausgaben für Informationssicherheit sind prinzipiell gut. Sie können den GAU verhindern, einen Vorfall, bei dem kritische Daten vernichtet und das betroffene Unternehmen in den Ruin getrieben wird. Bei der Summe stellt sich aber die Frage, ob das viele Geld vernünftig eingesetzt wird. Vor jeder potenziellen Schwäche sofort in Panik geraten und das ganze Netz per Penetrationstest zu durchleuchten, erscheint bei der Masse der Schwächenpublikationen seitens der Hersteller wenig sinnvoll. Wann also ist der richtige Zeitpunkt, um einen Consultant oder Systemintegrator an Bord zu holen? Welche Dienste sind wann nützlich, welche Kriterien hat der Experte oder Dienstleister zu erfüllen, damit man ihn risikofrei sensible Interna prüfen lassen kann?

Startkriterien

Bevor man erwägt, einen externen Dienstleister ins Haus zu holen, sollte man auf jeden Fall den Istzustand der eigenen Sicherheitsinfrastruktur untersuchen und mit künftigen Anforderungen abgleichen. Außerdem ist es empfehlenswert, die Qualität des eigenen Personals zu evaluieren. Ist es fähig, eigene sicherheitsrelevante Sachbelange zu bearbeiten und Entscheidungen zu fällen? Oder ist es bei bestimmten Aufgaben sinnvoller, sie an einen externen Dienstleister auszulagern? Danach folgt eine Inventur der gesamten Organisationsstruktur inklusive der Außenstellen. Diese Informationen geben beispielsweise schon Aufschluss darüber, welche Systeme ständig mit dem Internet oder anderen Filialen verbunden sein müssen und demzufolge andere Anforderungen stellen.

Ein Teil der internen Analyse sollte sich auf das Risikopotenzial fokussieren. Hinter dem Begriff verbirgt sich eine Schadensbewertung. Wie groß wird der wirtschaftliche Verlust sein, wenn bestimmte Dienste ausfallen, Daten korrumpiert oder gar gestohlen werden und das Image der Firma leidet? In einigen Unternehmen, vor allem bei größeren, ist schon diese grundlegende Analyse ohne externe Hilfe kaum zu stemmen.

Info Checkliste

Bevor ein Unternehmen einen externen Partner an Bord holt, sollte es Folgendes abklären:

1. Eine komplette Bewertung der existierenden Infrastruktur sollte durchgeführt und mit künftigen Anforderungen abgeglichen werden. Auf Basis der Informationen kann das Unternehmen entscheiden, ob die bereits aufgesetzte Struktur genügt. Falls nicht, sollte es entscheiden, ob das Projekt in Eigenverantwortung oder mit Hilfe eines externen Partners durchgeführt werden soll.

2. Man sollte den Ruf und Lebenslauf des Security-Consultants auswerten, der für das Projekt in Frage kommt. Dies gibt Hinweise auf seine Qualitäten.

3. Danach sollte man die vom Consultant bereits durchgeführten Projekte begutachten.

4. Falls der Dienstleister Sicherheitsprodukte evaluieren oder gar integrieren soll, so sollte man vorher sicherstellen, dass das Individuum oder die Firma bereits Wissen auf dem jeweiligen Themengebiet gesammelt hat und die notwendige Technik beherrscht. Dabei sollte man nur diejenigen Consultants wählen, die herstellerunabhängig sind.

5. Wenn der Dienstleister oder Consultant nach Sicherheitslöchern in Unternehmensanwendungen suchen soll, so ist eine Evaluierung seiner Referenzen notwendig. So findet man heraus, ob er genügend Wissen über die Applikation gesammelt hat und ihr Sicherheitsniveau tatsächlich erhöhen kann.

6. Das Budget sollte klar begrenzt und die Ziele deutlich, am besten vertraglich ausformuliert sein.

Consultants anheuern

Wann soll man einen externen Sicherheitsexperten engagieren? Das hängt ab vom Budget und dem Wissensstand in der eigenen IT-Abteilung. Gerade kleine und mittelgroße Unternehmen können sich eine dezidierte Sicherheitsabteilung nicht leisten. Ihnen gilt der Rat, sich frühzeitig mit einem Sicherheitsexperten oder einem entsprechenden Dienstleister in Verbindung zu setzen. Diese sollten schon bei der Erarbeitung der Sicherheitspolitik oder Security-Policy eingreifen, auf dieser Basis eine Sicherheitstrategie entwickeln und mit Produkten umsetzen, die sie auswählen und implementieren. Auch große Unternehmen, die ihre Sicherheitsstruktur grundlegend überholen wollen, werden von externer Hilfe profitieren. Eine Firma mit verteilten Außenstellen und Netzwerk-Nodes beispielsweise könnte externen Experten Teile der dezentralen Elemente zuteilen, um die Modernisierung strukturierter vorzunehmen. Falls die Risikoanalyse generell bestätigt, dass entweder die Ressourcen oder das Wissen der eigenen Abteilung nicht genügen, um das Projekt in Eigenverantwortung zu bewältigen, sollte man sich auf die Suche nach einem Consultant begeben.

Falls der Dienstleister Sicherheitsprodukte evaluieren und integrieren soll, so sollte er bereits breites Wissen über die verfügbaren Lösungen und Techniken erworben haben. Die »Learning by doing«-Methode ist hier fast schon tödlich. Um sein Wissen zu bewerten, kann man den Ruf und den Lebenslauf des Experten zu Rate ziehen. Auch ein Blick auf Projekte, die er bereits realisierte, offenbart seine Kompetenz.

Die jüngste Marktentwicklung hat das Auswahlprozedere aber erschwert. Neben Storage ist Security das einzige Marktsegment, das von der IT-Krise kaum betroffen wurde. »Der Fokus auf Sicherheit hat Sicherheitsexperten wie Pilze aus dem Boden schießen lassen«, warnt Craig Walker, Sicherheitsadministrator der Versicherung West Bend. »Fast jeder behauptet heute, er habe ein neues Sicherheitsprodukt oder eine neue Dienstleistung im Programm.« Das sagt einiges über die zu erwartende Qualität der Lösungen aus.

Es ist gleichermaßen wichtig, dass der Consultant unabhängig und unvoreingenommen aufgestellt ist. In einigen Fällen sind Sicherheitsexperten und -dienstleister zu eng an einen Hersteller gebunden. Oder sie kennen den Markt nicht genau und wählen daher immer die gleichen Produktgruppen aus, in der Regel vom Markführer. Dass diese Lösungen für den individuellen Einsatzfall nicht immer die besten oder die günstigsten sind, versteht sich von selbst. Hier helfen Analysen staatlicher Institutionen oder Universitäts-gebundene Forschungsergebnisse, da sie prinzipiell unbefangene Resultate erzielen.

Man sollte generell von Consultants Abstand nehmen, die nur die Lösung eines Herstellers vorschlagen, auch wenn für den Einsatzfall zahlreiche Angebote in Frage kommen. Sie können den Verdacht nicht entkräften, sie seien nur am Verkauf des einen Produkts interessiert, unabhängig von den individuellen Projektbedingungen.

Wenn der externe Consultant nach Schlupflöchern in Unternehmensanwendungen fahnden soll, so muss er seine Kompetenz unbedingt mit Referenzen belegen. Diese müssen zeigen, dass er die Applikationen tatsächlich versteht und ihr Sicherheitsniveau entsprechend anheben kann. Einige Sicherheitsverantwortliche in Unternehmen beklagten, dass ihre Consultants nur rudimentäre Vorschläge machten. Empfehlungen wie »die Default-Passwörter müssen geändert werden und dürfen keineswegs irgendwo ungesichert abgelegt sein« sind Allgemeinplätze, die ohnehin in der Sicherheitspolitik ausformuliert sind. Das Unternehmen sollte den Consultant auch fragen, ob er plane, weitreichende Analysen durchzuführen, sei es ein Blackbox-, ein Livetest oder gar Programmcode-Verifizierungen.

Unternehmen müssen ihre Ziele klar umreißen, bevor sie einen Consultant anheuern. Das bestätigt Laura Koetzle, Analystin bei Forrester Research: »Man muss wissen, was man will, bevor der Consultant auftaucht. Andernfalls wird er versuchen, sein Rundumsorglos-Paket zu verkaufen, das der Kunde vielleicht gar nicht braucht oder zahlen kann.«

In der jüngsten Dekade ist es fast schon alltäglich geworden, mit Hilfe von Consultants zu verifizieren, wie robust der externe Abwehrschirm an der Peripherie des Netzes aufgesetzt ist. Die Spezialisten führen in dem Fall einen Penetrationstest durch, der mit Hilfe zahlreicher feindlicher Taktiken und Werkzeuge das Netzwerk von außen angreift. Diese gemieteten Angriffe lassen sich nach Bedarf durchführen und zeigen in ihren Berichten im Detail Schwächen im Netz oder in den Systemen. Sie sind hilfreich, den tatsächlichen Istzustand im Netzwerk zu beleuchten. Sie legen offen, welche Schwächen und Angriffe die interne Struktur verletzen könnten, falls ein echter Hacker sie durchführt. Die Ergebnisberichte sollten auf jeden Fall detailliert beschreiben, wie der Dienstleister vorgegangen ist. Nur dann bleiben seine Schritte transparent, und es ist nachvollziehbar, wie es ihm gelungen ist, das Netz zu korrumpieren. Die detaillierte Erklärung der Angriffsmethodik beweist dem Unternehmen auch, ob der Provider oder Consultant sein Handwerk beherrscht. »Ich habe mit vielen Unternehmen gesprochen, die bereits einen Penetrationstest durchführen ließen«, erklärt Nicholas Percoco von Ambiron, Mitarbeiter einer Information-Security-Advisory-Firma. Als er einen der darin generierten Berichte untersuchte, hat sich gezeigt, dass dieser Dienstleister »ein kommerzielles Vulnerability-Tool einsetzte, dessen Berichte ausdruckte und eine Seite mit seinem Profil hinzufügte. Dieser Test hat 50000 Dollar gekostet. Die hätten allerhöchstens 5000 Dollar dafür verlangen dürfen.«

Einige Organisationen fahren diese Tests regelmäßig, um die Entwicklung der Netzwerksicherheit historisch nachzuzeichnen. Obwohl diese Tests ausführlich zeigen, wie ein Hacker die potenziellen Sicherheitslücken gegen das Unternehmen ausnutzen kann, sagen sie nichts über die generelle Informationssicherheitsstrategie aus. Diese wird in den Tests nicht bewertet. »Alles, was die Ergebnisse aussagen, ist, dass unter bestimmten Bedingungen jemand in das Netz einbrechen kann«, erklärt Koetzle. »So ein Test teilt wenig über große Zusammenhänge im Netz mit.«

Einige Consultants oder Vorstände greifen Penetrationstests gerne als Schocktherapie auf, um zusätzliches Budget für Sicherheitsinvestitionen freizurütteln. »Consultants bieten diesen Test manchmal zu Dumping-Tarifen an, weil sie sich sicher sind, mit den Ergebnissen für Unruhe zu sorgen«, erklärt Koetzle. »So ein Test ist ein wertvolles Instrument, sofern das Unternehmen spezifische Sachverhalte testen will. Er zeigt auch, wie viel Aufwand jemand treiben muss, um einzubrechen. Als generelles Messinstrument zur Bewertung der gesamten Sicherheitspositur ist es dagegen eher ungeeignet.«

Info Budgetierung

Das Themenfeld Sicherheit kostet Geld. Leider ist es kaum kalkulierbar, inwieweit sich diese Investitionen rechnen. Denn im Gegensatz zu anderen IT-Projekten lässt sich ein höheres Sicherheitsniveau nicht in Produktionssteigerungen oder Kostenreduktionen ummünzen. Trotzdem gibt es Ansätze, den Wert und die Effizienz von Sicherheitsprodukten und -diensten zu bestimmen.

Das Chemieunternehmen Dow Chemical in Midland verwendet mehrere Matrix-Modelle, mit denen die Firma den Wert von Vulnerability-Assessment- sowie Intrusion-Detection-Diensten bestimmt. Mit den Modellen berechnet sie ebenfalls, wie gut diese Dienste funktionierten.

Bevor ein solches Projekt budgetiert wird, führt das Unternehmen eine interne Analyse durch, um die Benefits des Dienstes zu identifizieren. Diese Gewinne sind in der Regel immaterieller Natur, beispielsweise ein gesteigertes Sicherheitsbewusstsein der eigenen Mitarbeiter.

Hat man sich einmal für einen Dienstleister entschieden, formuliert Dow seine Anforderungen und Erwartungen in klaren Service-Level-Aggreements (SLAs) aus. Diese werden im Vertrag mit dem Dienstleister festgehalten. Der Provider seinerseits liefert daraufhin eine Reihe von Werkzeugen, unter anderem Vulnerability-Assessment-Programme, die potenzielle Sicherheitsfälle wie Standard-Software-Schwächen oder unsaubere Konfigurationen aufdecken wollen.

Sobald der Dienstleiser ein Loch entdeckt, ist er dazu verpflichtet, es zu schließen und herauszufinden, wodurch das Problem entstanden ist. Diese Leistungen werden dann mit den im Vertrag zugesagten Zielen abgeglichen.

Der Provider muss seine Ergebnisse ausführlich in Berichten aufzeichnen, die von der Dow-Sicherheitsabteilung auf System- und Netzebene ausgewertet werden. Danach nutzt das Chemieunternehmen die Dienste eines zweiten Providers, um die Arbeit des ersten zu bewerten.

Der zweite Dienstleister muss dabei ähnliche Vulnerability-Assessment- und Intrusion-Tests fahren.

Schwächensuche

Vulnerability-Scans suchen mit Hilfe entsprechender Werkzeuge von innen nach Schwächen in Systemen und Netzkonfigurationen. Viele Unternehmen greifen bei diesem Dienst auf externe Quellen zurück, da ihnen intern das gewisse Know-how fehlt.

Solche Untersuchungen müssen unbedingt eine Verbindung schaffen zwischen dem kritischen Geschäftsprozess, allen daran beteiligten Komponenten im Netz und den gefundenen Schwächen. Natürlich ist es wichtig zu wissen, dass beispielsweise interne Server noch nicht gegen SQL-Slammer-Angriffe abgehärtet sind. Wertvoll werden diese Informationen aber erst, wenn der Test die gefundenen Schwächen anhand der Transaktionsbedeutung sortiert. Aus dieser Hierarchie ergibt sich, welche Plattformen stärker gesichert sein müssen als andere und entsprechend schnell gepatched werden müssen. Die restlichen, weniger kritischen Systeme können dann sukzessive folgen.

Percoco wendet ein, dass Vulnerability-Scans für sich genommen die Sicherheit im Netz noch nicht stärken. »Die Ergebnisse solcher Tests sollte man auf keinen Fall als Freischein verstehen, wenn sie wenige oder keine Schwächen finden.« Denn trotz fortschrittlicher Analyseverfahren können immer noch viele False-Positives und -Negatives auftreten. Unternehmen sollten einen Vulnerability-Scan daher mit Beratungsdiensten koppeln, die den Administrator dabei unterstützen, die Ergebnisse auszuwerten und Pläne für Gegenmaßnahmen zu schmieden.

Solche Scans finden allerdings nur bekannte Schwächen wie Buffer-Overflows, HTTP-Verstöße oder unveränderte Default-Passwörter. Gegen Zero-Days-Attacks und andere unbekannte Verfahren sind sie genauso machtlos wie die meisten Abwehrkonzepte.

Damit Vulnerability-Assessment oder Intrusion-Detection-Dienste richtig greifen, sollte der Sicherheitsverantwortliche einige Vorarbeit leisten. Zuerst sollte er ein- und ausgehende Daten in seinem Netz messen, um Aussagen über den Normalzustand und das alltägliche Verkehrsmuster treffen zu können. Im nächsten Schritt kann er zwischen geschäftsrelevanten und -irrelevanten Daten unterscheiden, so dass der Dienstleister den unwichtigen Teil von vornherein herausfiltern kann. Dies wird die späteren Ergebnisse erheblich aufwerten, da das Hintergrundrauschen verstummt.

Ein Informationssicherheits-Audit bewertet technisch, wie die Organisation ihre Sicherheitspolitik durchsetzt und wo sie greift. Die Auditoren analysieren dazu das Verkehrsmuster und das Netzverhalten, führen eine Reihe von Tests durch, darunter einige Vulnerability-Assessments, und befragen die Mitarbeiter. Auf diese Weise wollen sie feststellen, wie effizient Sicherheitsmaßnahmen greifen, seien es Passwortrichtlinien, die Zugriffsrechte oder die Netzeinwahl.

Diese Audits werden aber keine Wirkung zeigen, solange das Unternehmen die Berichte nicht in die Praxis umsetzt und die gefundenen Schwächen beseitigt. Solche Audits sollten zudem keine Eintagsfliegen sein. Vielmehr müssen Unternehmen sie regelmäßig durchführen, um Änderungen in der IT-Infrastruktur in die Analysen einzupflegen und neue Software-Schwächen zu berücksichtigen. »Diese Audits schaffen Transparenz und Gewissheit. Nur sollte es nicht bedeuten, dass man bis zum nächsten Audit auf seinen Händen sitzt«, erläutert Koetzle.

Wichtig ist, dass der Audit-Service-Provider das Geschäft der Organisation versteht. Dann kann er die Risiken, denen das Unternehmen potenziell ausgesetzt ist, viel genauer einstufen. Die Infrastruktur einer Bank beispielsweise muss unter ganz anderen Aspekten betrachtet werden als die Werte eines herstellenden Betriebs. Diese Voraussetzung spart am Ende Geld, da ein geschäftsftfremder Dienstleister das potenzielle Risiko eventuell viel höher einschätzt, als es tatsächlich ist, und mehr Aufwand betreibt, als erforderlich wäre. Mehr Aufwand heißt automatisch mehr Kosten. Wie viel ein Unternehmen letztendlich in Sicherheit investieren will, ist eine Frage des Geschäftsfeldes, in dem es sich bewegt, und eine Frage der Informationen, die im Netzwerk ausgetauscht werden. [ nwc, pm ]