Erst unternehmensweit gültige IT-Sicherheitsrichtlinien schaffen einen Rahmen, um wertvolle Informationen gegen Missbrauch zu sichern. Der Aufbau einer Security-Policy inklusive entsprechender Kontrollmechanismen ist deshalb für Unternehmen aller Größenordungen ein Muss.

Alle IT-Security-Lösungen im gesamten Unternehmensnetz sollten integriert sein und nahtlos zusammenarbeiten können.

Wie in den meisten Projekten steht auch bei der Ausarbeitung einer IT-Security-Policy am Anfang ein Gremium. In ihm definieren neben IT-Spezialisten auch Mitarbeiter aus den Fachabteilungen, der Revision oder dem Risiko-Management die Sicherheitsrichtlinien. Die Leitlinien werden anschließend von der Unternehmensleitung, die bei Sicherheitsverletzungen in der Regel haftbar gemacht werden kann, genehmigt.

IT-Security-Policies basieren in der Regel auf erprobten Vorgehensweisen, den Best-Practices, und berücksichtigen im Idealfall auch die bereits gemachten Erfahrungen des Unternehmens mit Sicherheitsverletzungen. Die Richtlinien definieren, wie ein sicheres IT-System aufgebaut sein muss und wie es gegebenenfalls verändert und erweitert werden darf. Am Ende steht ein Entwurf für die sichere Implementation und Konfiguration von IT-Systemen.

Die Definition von Richtlinien reicht jedoch noch nicht, um IT-Systeme gegen Angriffe von innen und außen abzusichern. Unternehmen müssen darüber hinaus ihre Mitarbeiter informieren, warum und wie sie diese Policy umsetzen müssen. Sie müssen schließlich für den Einsatz geeigneter Technologien sorgen, um die beschlossene Security-Policy umsetzen und deren Einhaltung kontrollieren zu können. Richtlinien, die nicht gelebt und mit geeigneten IT-Lösungen unterstützt werden, bleiben nutzlos.

Top-Down-Ansatz in vier Schritten

In der Praxis hat sich für die Formulierung einer allgemeinen IT-Policy eine hierarchische Vorgehensweise mit vier Teilschritten durchgesetzt. Diese Vorgehensweise, die von allgemeinen Zielen in die konkrete Umsetzung im Tagesgeschäft mündet, hat sich auch beim Aufbau einer Security-Policy bewährt.

Im ersten Schritt formuliert das Gremium eine strategische Aussage zu Aufgabe, Mission und Vision von IT-Security. Diese hält beispielsweise fest, wie eng Geschäftsprozesse und IT-Security verbunden sind und welche Bedeutung dies für die Umsetzung der Unternehmensziele hat. Danach definiert das Gremium Grundsätze und Standards, die als Basis für die eigenen Sicherheitsrichtlinien gelten sollen. Solche Standards sind beispielsweise Cobit (Control Objectives for Information and Related Technology), BS7799, ISO 17799 oder das IT-Grundschutzhandbuch.

Cobit beinhaltet nicht nur eine international eingesetzte IT-Governance-Richtlinie, sondern auch eine Anleitung, mit der das Management den Status und die Effektivität des eigenen Unternehmens im Hinblick auf 34 übergeordnete Kontrollbereiche beurteilen kann. BS7799 enthält eine umfassende Sammlung von Best-Practice-Maßnahmen. Der erste Teil der Norm stellt einen Leitfaden dar und versteht sich als Kriterienkatalog für Sicherheitsfragen. Teil zwei beschreibt, wie sich Sicherheits-Management-Systeme beurteilen lassen und kann für ein formales Verfahren zur Zertifizierung herangezogen werden.

Das IT-Grundschutzhandbuch des BSI enthält Standardsicherheitsmaßnahmen, Umsetzungshinweise und Hilfsmittel für zahlreiche IT-Konfigurationen, die im heutigen IT-Einsatz anzutreffen sind. Sein Informationsangebot soll bei der schnellen Lösung häufiger Sicherheitsprobleme helfen, das Sicherheitsniveau anheben und die Erstellung von IT-Sicherheitskonzepten vereinfachen.

Im dritten Schritt hält das Gremium fest, wie IT-Security hergestellt, dauerhaft überprüft und gewartet werden kann. In diesem Stadium formuliert es auch, wie die Sicherheitsarchitektur aussehen soll und welche Lösungen zum Einsatz kommen. Im vierten Schritt schließlich entwirft das Gremium konkrete Handlungsanweisungen für das Tagesgeschäft, beispielsweise mit Checklisten oder Beschreibungen, wie bestimmte Vorgaben umzusetzen sind.

IT-Lösungen sorgen für Einhaltung der Policy

Unter Investitionsaspekten werden im dritten Schritt die Weichen gestellt, mit welchen Security-Produkten ein Unternehmen langfristig arbeiten möchte. Notwendig ist hier eine genaue Prüfung verfügbarer Lösungen sowie ein Abgleich mit den eigenen Anforderungen.

Unternehmen, die sich mit dem Identity- und Access-Management beschäftigen, müssen sich hier fragen, ob sie ein spezielles Access-Control-System auf einem Server einsetzen oder auf die Bordmittel der Betriebssysteme vertrauen wollen. Sieht der ausgewählte Best-Practices-Standard vor, dass administrative Aufgaben und Rechte getrennt sein müssen (Separation of Duties), so lässt sich diese Vorgabe mit unterschiedlichen Lösungen umsetzen. Denkbar ist, zunächst verschiedene Rollen zu definieren – Stichwort Identity-Management und User-Provisioning – und den Zugriff auf Unternehmensinformationen zu kontrollieren – Stichwort Access-Control. Denn das Access-Management definiert und kontrolliert die Beziehungen zwischen den jeweiligen Benutzern und Ressourcen und legt fest, welcher Benutzer zu welchem Zeitpunkt in welcher Form auf welche Daten zugreifen darf. Die Verwaltung von digitalen Identitäten und Benutzer-Accounts ist die klassische Domäne des Identity-Managements.

Nach Erhebungen des Marktforschungsunternehmens Datamonitor sind unautorisierte interne und externe Zugriffe für 42 Pro-zent der Sicherheitsverletzungen in Unternehmen verantwortlich. Unautorisierte Zugriffe interner Mitarbeiter richten dabei den größten Schaden an. Darüber hinaus implementieren Unternehmen zunehmend Portale, Content-Management-Systeme oder andere Web-gestützte Applikationen. Jedes System hat eigene Sicherheitsmechanismen, die einzeln mit viel Aufwand zu pflegen sind. Fehlt eine anwendungsübergreifende Verwaltung, muss der Administrator die Mitarbeiter für alle Plattformen und Applikationen einzeln anmelden.

Die Situation wird weiterhin dadurch erschwert, dass die erste Anmeldung eines Mitarbeiters nur die Spitze des Eisbergs ist: Datamonitor hat ermittelt, dass Unternehmen innerhalb von 18 Monaten über die Hälfte der Stellenbeschreibungen ändern. 25 Prozent strukturieren in diesem Zeitraum ihre Organisation um. Unternehmen müssen deswegen neue Wege finden, wie sie IT-Ressourcen einheitlich, sicher und effizient zu ihrer Security-Policy verwalten.

Rolle vorwärts ins Identity-Management

Die Lösung bringt das Identity-Management: Benutzer erhalten eine digitale Identität, und ihnen werden gemäß ihrer Aufgabe im Unternehmen eine oder mehrere Rollen zugeordnet. Diese wiederum bestimmen, welche Accounts und Zugriffsrechte der jeweilige Benutzer auf den Systemen und Applikationen benötigt, welche dann automatisiert umgesetzt werden.

Eine weitere Komponente des Identity-Managements ist das Single-Sign-On, kurz SSO. Mit SSO werden Anwender nach einer einmaligen Authentifizierung für alle Applikationen, auf die sie zugreifen dürfen, autorisiert und angemeldet und müssen sich nicht mehr für jede Anwendung das entsprechende Passwort merken. Ein Directory schließlich stellt als Rückgrat des Identity-Managements die notwendigen Verzeichnisdienste zur Verfügung. Mit ihrer Hilfe verwalten große Unternehmen alle Informationen über Mitarbeiter, Kunden und Partner. Das Ergebnis ist ein elektronisches Verzeichnis, das ein globales Netz und nicht nur einzelne Informationsinseln abdeckt.

Sicherheitsmechanismen, die Betriebssystem oder Server standardmäßig enthalten, entsprechen nicht den heutigen Sicherheitsanforderungen. Vor allem die Administrator- und Superuser-Konzepte der Betriebssysteme und die damit verbundene Möglichkeit eines uneingeschränkten und anonymen Zugriffs auf geschäftskritische Daten stellt eine ernsthafte Gefahr dar. Deshalb müssen diese Daten zusätzlich geschützt werden. Das Access-Management bietet hier effiziente Lösungen, um auf Basis der unternehmensweit gültigen Policy die Daten gegen unberechtigte Zugriffe zu sichern.

Das Access-Management sollte sich in eine plattformübergreifende, unternehmensweite Sicherheitslösung integrieren lassen, so dass es auch mit den altbewährten Mainframe-Lösungen zusammenarbeitet und Anwendern damit ein zentrales, kostengünstiges Zugriffsmanagement ermöglicht.

Die Policy sollte berücksichtigen, dass eine Zugriffskontrolle nicht erst auf Applikationsebene einsetzt, sondern bereits auf der Betriebssystemebene startet und dabei prüfen muss, wie das Betriebssystem Systemressourcen frei gibt. Da alle Anforderungen erst nach Zugriff auf eine Applikation durch den Betriebssystemkernel geleitet werden, lassen sich unberechtigte Zugriffe und potenzielle Angriffe bereits in dieser frühen Phase abwehren. Dann lässt sich auch sicherstellen, dass nur autorisierte Nutzer wichtige Betriebssystem- und Applikationsprozesse beispielsweise in Datenbankservern beenden dürfen. Administratorenrechte allein reichen dazu nicht aus. Selbst der Zugriff berechtigter Clients kann so festgelegt werden, dass dies nur von einem bestimmten Ort und in einem bestimmten Zeitfenster auf eine Applikation möglich ist.

Identity- und Access-Management arbeiten eng zusammen und bedingen sich unter organisatorischen Sicherheitsaspekten: Das Access-Management legt die Beziehungen zwischen den jeweiligen Ressourcen und Benutzern fest, die vorher mit Hilfe des Identity-Managements definiert wurden. Deshalb hat beispielsweise Computer Associates Lösungen für das Identity- und Access-Management zu der integrierten Lösung E-Trust-Identity-and-Access-Management (IAM) kombiniert. Der Vorteil für den Anwender: Synergiepotenziale werden optimal realisiert, der Verwaltungsaufwand wird weiter reduziert und dadurch ein noch schnellerer RoI erzielt. Administratoren können aus einer identischen Oberfläche heraus Benutzer-Accounts anlegen und Zugriffsrechte definieren. Zudem setzt eine Lösung wie E-Trust-IAM auf einer einheitlichen Infrastruktur auf. Damit nutzt nicht mehr jede Komponente eine eigene Datenbank, sondern das gemeinsame Directory als zentrale Lösung für die Speicherung von Benutzerinformationen und Zugriffsrechten.

Schwachstellen automatisch finden und beheben

Anwendern, die sich für eine Policy auf Basis von ISO 17799 entschieden haben, bietet sich mit Lösungen wie dem E-Trust-Vulnerability-Manager eine Möglichkeit, Reports über die Einhaltung der Richtlinien automatisch zu generieren. Die Lösung für das Auffinden und Beheben von Schwachstellen gleicht die vorgefundene IT-Infrastruktur gegen die vorgeschriebenen Konfigurationseinstellungen des ISO-Standards ab und erstellt anschließend einen Report, wie viele Maschinen derzeit den Best-Practice-Standard einhalten. Für die Komponenten, die diesen Standard nicht einhalten, schlägt das Vulnerability-Managementsystem entsprechende Maßnahmen vor. Darüber hinaus bieten Lösungen für das Management von Schwachstellen auch die Möglichkeit, selbst ein System mit einer Standard-Security vorzugeben, an dem die anderen Systeme dann gemessen werden.

Alle Security-Lösungen sollten integriert und nahtlos zusammenarbeiten können. Oft ist es schon schwer genug, die Sicherheitsrichtlinien gegen den gewohnten »Schlendrian« durchzusetzen. Ein Flickenteppich aus Sicherheits-Punktlösungen erhöht den Arbeitsaufwand der Verantwortlichen, die sich dann nicht mehr um die unternehmensweite Durchsetzung der beschlossenen Policy kümmern können, sondern wertvolle Arbeitszeit auf das Monitoring der Punktlösungen aufwenden.

Armin Stephan, Consulting Manager Security Management bei Computer Associates