Wahre Sicherheit kommt von innen, so lautet der Paradigmenwechsel in der IT-Security, denn die maßgebliche Herausforderung besteht darin, das wesentlichste Unternehmensgut, die Geschäftsinformationen, am Ort ihrer Haltung zu schützen. Dabei gilt es, Sicherheitsstrategie und -technologie im Sinne des gesamten Geschäfts und seiner Abläufe in Einklang zu bringen.

Der anstehende Paradigmenwechsel setzt Dienstleister voraus, die Sicherheitsstrategien und -technologien in Einklang bringen.

Der Markt für IT-Sicherheit zählt derzeit zu den wenigen IT-Märkten, die spürbar expandieren. Die wachsende Bedrohung vor allem aus dem Internet durch Hacking, Viren und Spam ist der Grund dafür. So sieht IDC diesen Markt in Westeuropa von 2,5 Milliarden Dollar im letzten Jahr bis 2008 im Schnitt um 15 Prozent auf 5 Milliarden Dollar wachsen. Allerdings sollten absolute Zuwachsraten nicht über die eigentliche Größenordnung von IT-Sicherheitsbudgets hinweg täuschen. Selbst in eher innovativ investierenden Banken und Versicherungen macht dieses Budget im Schnitt nur sieben Prozent des IT-Etats aus, im produzierenden Gewerbe sogar nur zwischen zwei und drei Prozent. Im asiatisch-pazifischen Raum hingegen liegt dieser Anteil über alle Branchen bei etwa 12 Prozent.

Ob in den Unternehmen trotz höherer Investitionsbereitschaft auf niedrigem Niveau Sicherheitsstrategien angemessen definiert, Sicherheitsregeln passgenau festgelegt und Sicherheitstechniken richtig ausgerichtet und gewichtet werden, daran haben die Marktanalysten ihre Zweifel. So registriert die Meta Group in vielen deutschen Unternehmen Sicherheitsdefizite von Anfang an. Auf eine dedizierte IT-Sicherheitsorganisation, die sich allein auf den Schutz von Daten, Systemen und Prozessen konzentriert, kann danach hierzulande nicht einmal ein Viertel aller Firmen verweisen, auf eine schriftlich fixierte IT-Sicherheitsstrategie lediglich die Hälfte. Eine Studie von IDC im Auftrag des europaweit agierenden IT-Dienstleisters Steria belegt: Gerade deutsche Unternehmen sind hoch sensibilisiert, Sicherheitsvorkehrungen gegen Hacker, Viren und Co. zu treffen. Eine ganzheitliche Sicherheitspolitik kommt hier dennoch meist zu kurz.

Sicherheitsdefizite

Diese unzureichende Sicherheitsaufstellung und -vorarbeit in vielen deutschen Unternehmen geht zwangsläufig auf Kosten der Umsetzung. Dadurch bleibt vielerorts alles beim Alten: ein gegenüber Intranet-, Extranet- und Internet-Teilnehmern löchriger Schutzschirm, der sich zudem als äußerst betriebsaufwändig und schwierig in der Anpassung bei veränderten Geschäftszielen oder Bedrohungsszenarien erweist. Ein weiterer Nachteil der fehlenden Konformität zwischen Sicherheitsstrategie und -technik: Sicherheitssysteme wie VPNs, Firewalls, Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS), Virus-Scanner, Content-Scanner, Authentisierungs- und Autorisierungssysteme werden in vielen Unternehmen weiterhin als Einzelsysteme betrachtet und ausgebaut. Das verhindert ein strategisches Zusammenspiel einzelner Sicherheitstechniken, das sich an den aktuellen Geschäftszielen und Bedrohungspotenzialen orientiert. Zudem führt dieses sicherheitstechnische Stückwerk über viele separate Konsolen zu einer unübersichtlichen Ereignisflut, die im Bedarfsfall richtiges und schnelles Handeln zusätzlich erschwert.

Paradigmenwechsel

Insider haben keinen Zweifel daran, wie Sicherheitsstrategie und -technologie in den Unternehmen effizienter harmonieren. Das setzt allerdings – unabhängig von einer umfassenden Sicherheitsstrategie orientiert an den aktuellen Geschäftszielen – die passende Strategie zum Technologieeinsatz voraus. Dabei sollten weniger die spezifischen Gefahren von außen wie Hacking oder Virusattacken, sondern der Sicherheitsanspruch der Geschäftsprozessketten mit ihren Daten die Sicherheitsstrategie bestimmen und den Einsatz von Sicherheitstechnologien im Unternehmen prägen. Entsprechend steht in den meisten Firmen ein strategischer wie sicherheitstechnischer Paradigmenwechsel an, Sicherheit nicht wie bisher von außen nach innen, sondern von innen nach außen zu sehen. Dieser notwendige Paradigmenwechsel in den Unternehmen wird zusätzlich durch den erweiterten Geschäftsradius über Intranet, Extranet und Internet mit allen damit verbundenen Sicherheitsanforderungen für die Informationsbereitstellung forciert.

Sicherheit kommt von innen. Deshalb sollten sich die Entscheider ausgehend vom Herz der Informationstechnik, der Business-Logik, vorerst auf die Zugriffskontrolle, getragen durch ein umfassendes Identitätenmanagement, konzentrieren, bevor die Sicherheitstechniken des Außenschirms, wie VPN, Firewall, IDS/IPS sowie Content- und Virus-Scanner, näher fokussiert werden. Für diesen anstehenden Paradigmenwechsel sprechen viele Gründe:

• Der Grad an zu etablierender Sicherheit ist von der Sensibilität der Geschäftsdaten- und -prozesse abhängig. Deshalb sollte aus der Business-Logik heraus die Sicherheitsstrategie und der Einsatz von Sicherheitstechniken vorangetrieben werden, und nicht wie bisher umgekehrt von außen nach innen.

• Die spezifischen Sicherheitsanforderungen einzelner Geschäftsprozessketten können nur ausgehend von der gemeinsamen Business-Logik verlässlich analysiert werden.

• Mit der Betrachtung der Geschäftsprozessketten und ihrer Sicherheitsanforderungen stehen in erster Instanz die Applikationen – Betriebssysteme, Netzdienste, Datenbanken und Anwendungen – im Fokus der Sicherheitsbetrachtungen, bevor Netzsicherheit- und Sicherheitstechniken des ersten Schutzwalls thematisiert und parametrisiert werden sollten.

• Die spezifischen Sicherheitsanforderungen einzelner Geschäftsprozessketten können nur in Kenntnis aller Kommunikationsteilnehmer sowie ihrer konkreten Daten- und Prozessanforderungen festgelegt werden. Voraussetzung dafür ist ein zentrales Identitätenmanagement über alle Teilnehmer aus Intranet, Extranet und Internet, um genau diese Transparenz zu eröffnen. Diese Basis an gesicherten Identitäten über den kompletten Geschäftsradius ist wiederum die Voraussetzung für eine umfassende Zugriffskontrolle, um die Business-Logik nach allen Seiten hin verlässlich gegen unberechtigte Zugriffe abzuschirmen.

• Die gezielte Informationsbereitstellung intern, für Geschäftspartner und Internet-Konsumenten ist nicht nur ein wesentlicher Wettbewerbs-, sondern auch Sicherheitsfaktor. Sie wird über die Kombination »Identitätenmanagement/Zugriffskontrolle« und persönliche beziehungsweise gruppenspezifische Rechte und Rollen verlässlich geregelt.

• Marktveränderungen haben direkten Einfluss auf die Geschäftsabläufe und die damit verbundenen Sicherheitsanforderungen. Entsprechend sollte zuerst im Rahmen von Identitätenmanagement/Zugriffskontrolle parametrisiert werden, bevor die Parametrisierung der Sicherheitssysteme des Außenwalls näher ins Auge gefasst wird.

Besserer Durchblick

Zudem erspart die Vorgehensweise von innen nach außen unnötige Investitionen, Projektmehrarbeit und erhöhte Betriebsaufwände. Sie verschafft beispielsweise Klarheit darüber, wo sich das Unternehmen an den Eingängen in die lokalen Netzwerke eine Benutzer-Authentisierung ersparen kann, wenn sie ohnehin im Rahmen von Identitätenmanagement/Zugriffskontrolle durchgeführt wird. Für welche Protokolle Application-Proxies notwendig sind und welche Checks auf Anwendungsebene dagegen via Identitätenmanagement/Zugriffskontrolle abgewickelt werden können, das wird ebenfalls mit der richtigen Projektierungsreihenfolge von innen nach außen deutlich. Der Firewall-Einsatz kann dadurch vereinfacht werden. Auch administrativ setzt diese Reihenfolge die richtige Gewichtung. Sie schärft den Blick dafür, dass sich die Sicherheitssysteme des Außenwalls, wie VPN-Systeme, Firewalls und IDS/IPS, dem zentralen Verwaltungsprinzip unterordnen sollten, indem die hier registrierten Teilnehmer mit in die zentrale Benutzerverwaltung, Teil des Identitätenmanagements, einfließen. Durch diesen Schachzug reduziert sich für das Unternehmen insgesamt der Verwaltungsaufwand für den kompletten Sicherheitsschirm. So müssen dadurch alle Teilnehmer über alle Systeme nur noch einmal erfasst, gepflegt und bei Bedarf gelöscht werden. Das wiederum trägt zu stets aktuellen und damit konsistenten Einträgen für ein durchgehend hohes Sicherheitsniveau über den gesamten Sicherheitsschirm ohne gefährliche Eintragsleichen bei.

Gleichzeitig verschafft diese Integration dem Administrator Transparenz über alle registrierten Identitäten sowie ihre Rechte und Rollen, auf einzelne IT-Ressourcen zuzugreifen, auch für schnelle Anpassungen. Auch für die Sicherheitsstrategen wird dadurch der gesamte Sicherheitsschirm besser überschau- und kontrollierbar. Die Hersteller von VPN-Systemen, Firewalls, IDS/IPS aber auch von Content- und Virus-Scannern auf ihre Integrationsfähigkeit gegenüber Identitätenmanagementlösungen wie von BMC, Computer Associates, Evidian, Hewlett-Packard, IBM/Tivoli, Novell, Siemens, Sun Microsystems oder Syntegra zu hinterfragen, wird damit für Unternehmen zu einem Schlüsselfaktor bei der Produktauswahl. Hier bietet ein produktunabhängiger IT-Dienstleister wie Steria durch Benchmarking eine wertvolle Hilfestellung.

Auf das Firewall-Konzept achten

Zuvor sollten aber das Lösungskonzept der Firewall im Interesse des Unternehmens unter die Lupe genommen werden, um die Komplexität des Außenwalls herunterzufahren, hier das Sicherheitsniveau anzuheben sowie die Administrationskosten weiter zu reduzieren. Die Integrationsfähigkeit der Firewall spielt in diesem Zusammenhang eine ganz wesentliche Rolle, aber nicht nur sie. Auf die folgenden Punkte sollten die Entscheider besonders achten.

• Integration von Virus- und Content-Scanner: Der auf separate Server abgesetzte Virus- beziehungsweise Content-Scanner sollte über Protokolle wie HTML, SMTP und/oder FTP in die Firewall-Lösung integrierbar sein. Beide Scanner sollten zudem unter zentraler Firewall-Oberfläche mit verwaltet werden können. Das schärft unter zentraler Oberfläche den Überblick, erspart den Einsatz von gesonderten Konsolen und reduziert den Administrationsaufwand.

• Einbindung von IDS beziehungsweise IPS: Das System sollte direkt auf die Log-Informationen der Firewall zugreifen können. Zudem sollte das IDS oder IPS Regeln der Firewall dynamisch verändern können, damit bereits hier Angriffe automatisch geblockt werden können.

• Hoch verfügbare Auslegung: Beides, die redundante Firewall als auch Load-Balancing, also die gleichmäßige Lastverteilung im Normalbetrieb, sollten unter zentraler Firewall-Administrationsoberfläche verwaltbar sein, ohne dass für beide Dienste separate Regelsätze angelegt und gepflegt werden müssen. Auch das vereinfacht die Administration, erspart Extrakonsolen und schärft den Überblick über die Gesamtkonstellation.

• SNMP-Agenten für Hochverfügbarkeit/Load-Balancing: Der Firewall-Hersteller sollte für beide Funktionalitäten SNMP-Agenten bieten, damit die Hochverfügbarkeitskonstellation einschließlich Lastverteilung zur eigenen Ablaufsicherheit via Netzwerkmanagementkonsole überwacht werden kann.

• Echte Application-Proxy-Funktionalität: Wo notwendig sollte sie zur Verfügung stehen und die Funktionalitäten einer sogenannten Application-Level-Firewall ersetzen, die lediglich Stateful-Inspection zur Anwendungsschicht hin erweitert. Denn nur Application-Proxies entkoppeln für den Prüfvorgang die Kommunikation und bieten so einen zusätzlichen Sicherheitsfaktor. Zudem fehlt Application-Level-Firewalls meist die Fähigkeit, auf gefährliche Bit- und/oder Kommando-Muster zu filtern. Angriffe, die über solche Strukturen lanciert werden, erkennt die Firewall daher nicht.

• Qualität der Protokollierung: Je vielfältiger die Log-Informationen, die innerhalb von Protokolldateien und Proxy-Verbindungen gespeichert werden können, um so mehr geben sie die tatsächliche Gefahrenlage wider, in der das Unternehmen schwebt. Auch für Revisionszwecke ist diese Detailtiefe hilfreich. Zudem sollten im Rahmen der Protokollierung weitere wichtige Leistungsmerkmale nicht zu kurz kommen. Dazu zählen die Möglichkeiten, für anschließende Auswertungen unterschiedliche Detailtiefen festlegen und ganze Pakete speichern zu können. Mit der Erfüllung des ersten Kriteriums kann der Administrator vermeintlich gefährliche Daten genauer unter die Lupe nehmen, mit der Erfüllung des zweiten Kriteriums das komplette Datenpaket einschließlich der Verbindungsdaten des vermeintlichen Angreifers genauer in Augenschein nehmen.

• Qualität der Auswertung: Alle Protokollinformationen sollten nicht nur durch die zentrale Firewall erfasst, sondern auch vorgefiltert werden. Nur dann hält sich die Flut an Log-Informationen unter zentraler Firewall-Oberfläche in Grenzen, weil hier nur die wesentlichen Ereignisse angezeigt werden. Dazu sollte die Fähigkeit der Firewall kommen, auf wichtige Ereignisse automatisch Alarme auszulösen, so über SNMP-Traps, SMTP, E-Mail, SMS, Pager und Systemprogramme. Unterstützt die Firewall außer rudimentärem ASCII- und Unix-Textformat Exportformate wie Excel, Webtrends oder Oracle, steht einer komfortablen und erhellenden Auswertung der protokollierten Daten nichts im Wege.

Fazit

Sicherheit kommt von innen. Dementsprechend besteht für die Unternehmen die maßgebliche Herausforderung darin, vorerst das wichtigste Unternehmensgut, die Geschäftsinformationen, am Ort ihrer Haltung zu schützen, bevor die richtige Ausgestaltung und Parametrisierung des ersten Sicherheitswalls anvisiert werden sollte. Nur diese Vorgehensweise von innen nach außen erlaubt den Entscheidern zudem, den Einsatz von Sicherheitsmaßnahmen und -technologien im Unternehmen strategisch auszurichten, richtig zu gewichten und dadurch auch Fehlinvestitionen zu vermeiden.

Statt dessen, wie heute meist in den Unternehmen, vorrangig am äußeren Wall zu korrigieren und zu ergänzen und den inneren Wall zu vernachlässigen, stellt die notwendige Sicherheit buchstäblich auf den Kopf und führt zu einem kaum steuerbaren und anpassbaren sowie einem betriebsaufwändigen Sicherheitssystem. Genau dies können sich Unternehmen angesichts des wachsenden Bedrohungspotenzials, immer kurzlebigerer Produkt- und Dienstleistungszyklen sowie weiterhin knapper IT-Budgets nicht mehr leisten.

Der anstehende Paradigmenwechsel, die notwendige Sicherheit von innen voranzutreiben, setzt allerdings IT-Dienstleister wie Steria voraus, die Sicherheitsstrategien und -technologien wirtschaftlich und geschäftsnah in Einklang bringen und dazu mit einer professionellen Methodik aufwarten. Dann zahlt sich der komplette Schutzschirm nicht nur in puncto Zugewinn an Sicherheit und Anpassungsflexibilität, sondern auch unter dem Kostenaspekt langfristig für das Unternehmen aus.

Jörn Hüttges, Solution Manager, Steria