IT-Service- und Security-Management
Mit vereinten Kräften zu mehr Sicherheit
Zwischen IT-Betrieb und IT-Sicherheit herrscht oft ein unzeitgemäßes Silodenken vor. Unternehmen, die ihr Security-Management vom IT-Betrieb trennen, gefährden die Erbringung ihrer IT-Services. Gefordert ist deshalb die Verzahnung von IT-Service-Management (ITSM) mit Funktionen zur Analyse, Bewertung und Behebung von Schwachstellen.
Mit der Integration von IT-Service- und Schwachstellenmanagement werden Unternehmen rechtlichen
Anforderungen an die IT gerecht. Zu diesen Pflichten zählen unter anderem: das Sicherstellen der
Steuerung der Infrastruktur, das Sicherstellen der Steuerung der Applikationspflege und die
Archivierung aller relevanten Daten und Dokumente.
IT-Sicherheit ist ein weites Feld. Dazu gehören Maßnahmen und Lösungen für das Access- und
Identity-Management, Firewalls, Festplattenverschlüsselung, digitale Signaturen, Antiviren- und
Anti-Spam-Lösungen etc. Ein wichtiger Bestandteil ganzheitlicher Sicherheitsmaßnahmen ist zudem die
kontinuierliche Überprüfung der IT-Infrastruktur auf Schwachstellen.
Bei allen Maßnahmen spielt der Faktor Mensch eine große Rolle: Sicherheitsrichtlinien müssen
gelebt und umgesetzt werden, damit sie den beabsichtigten Nutzen für das Unternehmen liefern. Die
technische Unterstützung durch Lösungen für das IT-Service- und das Schwachstellenmanagement ist
kein Garant für die Umsetzung von Richtlinien; aber sie hilft den Mitarbeitern bei ihrer Arbeit und
ermöglicht dem Management, die Umsetzung und Ausführung von Richtlinien zu kontrollieren.
Täglich tauchen neue Schwachstellen in kritischen Unternehmensanwendungen und
Netzwerkkonfigurationen auf. Sind keine Verfahren zur Erkennung und Bewertung des Risikos von
Schwachstellen implementiert, werden das Netzwerk und unternehmenskritische Daten zum Ziel für
Viren, Würmer und Cyber-Kriminalität. Deshalb und aufgrund der zunehmenden Komplexität beim Betrieb
von IT-Systemen ist eine automatisierte und analytische Lösung für das Schwachstellenmanagement
unabdingbarer Bestandteil jedes Risikomanagementsystems. Ein umsichtiges Management vorhandener und
potenzieller Schwachstellen erfordert eine auf die Geschäftsprozesse abgestimmte Vorgehensweise.
Deshalb ist die enge Zusammenarbeit von IT-Security und IT-Operations sowie eine Integration der
entsprechenden Anwendungen zwingend erforderlich.
Lösungen für das Schwachstellenmanagement analysieren die IT-Infrastruktur regelmäßig auf
interne und externe Schwachstellen von Hard- und Software wie nicht angewendete Patches, Standard-
oder schwache Passwörter, Konfigurationsprobleme und -fehler, schwache Verschlüsselung, Backdoors,
Trojaner, offene Ports oder aktive Dienste und Dienstverweigerung.
Wichtig ist, dass die Lösung die IT-Infrastruktur aktiv auf alle möglichen Schwachstellen prüft.
Einige Lösungen analysieren die Infrastruktur lediglich auf der Basis einer Datenbank, in die die
verantwortlichen Mitarbeiter die vom Unternehmen eingesetzte Soft- und Hardware eintragen. Das
Risikopotenzial solcher Lösungen ist sehr hoch – häufig erfolgt die Aktualisierung der Datenbank
nicht zeitnah oder gar nicht. Zudem wird Software, die der Endanwender selbst installiert hat,
nicht erfasst.
Aktiv prüfende Lösungen führen den Scan über die gesamte IT-Infrastruktur durch und melden die
identifizierten Schwachstellen umgehend an die zuständigen Security-Mitarbeiter. Mittels Standards
wie zum Beispiel CVSS (Common Vulnerability Scoring System) erfolgt eine intelligente Priorisierung
der Schwachstellen aus technischer Sicht. Berücksichtigung finden dabei der Schweregrad der
Schwachstellen bezogen auf die Umgebung (Environmental Score) sowie Informationen über die
Bedrohung und deren Relevanz.
Wichtig ist jedoch der nächste Schritt, der bei fehlender Integration von IT-Security und
IT-Operations nicht vollziehbar ist: die Betrachtung des technischen Risikos im Vergleich zum
tatsächlichen Risiko für den geschäftskritischen IT-Service (Business Impact). Dabei werden der
potenzielle Unternehmensschaden sowie Verfügbarkeit, Vertraulichkeit und Integrität bezogen auf das
betroffene Zielsystem/-gerät bewertet.
Risikomanagement ist nur dann effektiv, wenn sich identifizierte Schwachstellen kontrolliert
beheben lassen. Auf der Basis der analysierten und bewerteten Schwachstellen kann der Mitarbeiter
aus dem Security-Management den Change-Prozess starten. Dank einer durchgängigen Integration von
IT-Security und IT-Operations wird der folgende Prozesse mit allen notwendigen Schritten in einer
Lösung abgebildet: Das IT-Security-Team wird automatisch benachrichtigt, wenn das System neue
Schwachstellen identifiziert oder Risikowerte sich verändern. Es kann sich so auf Schwachstellen
mit hoher Bedrohung für das Unternehmen konzentrieren. Mit geeigneter Softwareunterstützung sind
die technische Schwachstellenbeschreibung, -bewertung und -lösung auf Knopfdruck zu öffnen. Eine
solche Lösung prüft auch die Konfiguration betroffener Geräte und Systeme über die CMDB
(Configuration Management Database); zudem öffnet und kategorisiert sie einen RFC (Request for
Change) zur Behebung der Schwachstelle.
Die IT-Operations-Mannschaft wiederum erhält eine Analyse der Auswirkung auf die IT-Services und
eine entsprechende Priorisierung des RFCs. Sie kann ein Wartungsfenster auf Basis der
Dienstleistungsvereinbarungen (SLAs) einplanen, den Genehmigungsprozess für den RFC anstoßen, für
die Durchführung des Requests for Change sorgen und den Erfolg des durchgeführten Changes in Bezug
auf die Auswirkungen auf die IT-Services kontrollieren. Danach erhält das IT-Security-Team
automatisch Rückmeldung über reduzierte Risiken (gesunkene CVSS-Werte).
Für einen revisionssicheren Nachweis werden alle Maßnahmen und Bearbeiter sowie die Veränderung
der Schwachstellenwerte vor und nach der Durchführung des Requests for Change protokolliert. Dabei
muss die Lösung sicherstellen, dass die Schwachstellenüberprüfung nicht einmalig, sondern
kontinuierlich erfolgt, und dass die Ergebnisse entsprechend protokolliert werden.
Synergieeffekte zeigen sich unter anderem in der Inbetriebnahme neuer Geräte und Systeme. Sobald
IT-Operations neue Geräte und Systeme in der CMDB hinterlegt, sind diese für das Team der
Informationssicherheit sichtbar. Die IT-Security-Mitarbeiter werden in den Inbetriebnahmeprozess
eingebunden und führen bereits vor Produktivsetzung die Risikobewertung durch. Die Mitarbeiter
können unmittelbar die Werte für die Unterstützung geschäftskritischer IT-Services hinterlegen,
sodass diese beim ersten Bekanntwerden einer Schwachstelle zur Verfügung stehen. Umgekehrt verfügt
das IT-Betriebsteam über aktuelle Einschätzungen zur IT-Sicherheit und kann diese bei der
Implementierung von Changes oder der Inbetriebnahme neuer Geräte oder Systeme berücksichtigen.
Sichere Geschäftsanwendungen
Die Integration von Schwachstellen- und IT-Service-Management ermöglicht es Unternehmen,
effizienter zu arbeiten sowie zugleich gesetzliche und regulatorische Anforderungen zu erfüllen.
Geschäftskritische IT-Services sind durch die frühzeitige Identifikation und das Beseitigen von
Sicherheitsrisiken hochverfügbar. Integriertes Schwachstellen- und IT-Service-Management liefert
eine fundierte Grundlage für sicherheitsrelevante Entscheidungen und bildet die Basis für den
Aufbau eines Risikomanagementsystems. Risiken, verursacht durch externe wie auch interne
Schwachstellen, lassen sich so kosteneffizient minimieren. Das Zusammenspiel von IT-Operations und
IT-Security liefert Synergieeffekte bei Service-Operations-Prozessen wie der Durchführung von
Changes. Unternehmen erhalten einen revisionssicheren Nachweis ihrer IT-Compliance.
Lesen Sie mehr zum Thema
