Umfassender Unternehmensschutz
Risk Management und Policy Enforcement
Die globale Würmer-, Bot- und Threat-Fauna im Internet wird zusehends unübersichtlicher. Administratoren müssen in dieser Situation wissen, welche Gefahren sie in welcher Reihenfolge abwehren wollen und wie sie die Abwehrmaßnahmen am jeweiligen Ort durchsetzen können.
Das entscheidende Kriterium für die Abwehr unterschiedlicher Spielarten von Malware ist, wie
groß die daraus jeweils resultierende Gefahr für Geschäftsprozesse sein könnte. Komplexe Lösungen
zur Inventarisierung und Analyse von Schwachstellen im Unternehmensnetzwerk helfen dabei, die
einzelnen Risiken und Schadenspotenziale für den Geschäftsbetrieb zu bewerten. Ein ergänzendes und
integriertes Policy Enforcement setzt dann entsprechende Richtlinien durch und stützt so die
Maßnahmen. Dieses Vorgehen kann heute auch die Endpunkte der immer komplexeren Netzwerkstrukturen
umfassen.
Die Fransen am Rand des Netzwerkteppichs
Gerade an den Endpunkten eines jeden Netzwerks ergeben sich für die modernen komplexen
Unternehmensinfrastrukturen vielfältige Schwachstellen. Die lokalen Systeme bilden aus Sicht des
Administrators ein unerfreuliches Gemenge, das sich immer schwieriger verwalten lässt. Ein Grund
für diese Situation ist die zunehmende Ausweitung der Kommunikationswege auf Geschäftspartner,
Projektangestellte oder mobile Mitarbeiter. Sie benutzen verschiedene Wege für den Zugang zum
Unternehmensnetzwerk – sei es über den Heim-PC, Notebooks, PDAs oder Internet-Terminals.
Doch auch bei fest installierten lokalen Arbeitsplätzen kommt es zu Lücken im Sicherheitssystem.
Hier droht nicht zuletzt Gefahr durch unbedachtes Verhalten der Mitarbeiter. Einer Studie von
McAfee zu Folge schließen mehr als die Hälfte der europäischen Angestellten private Geräte wie
MP3-Player, Digitalkameras oder USB-Sticks an PC und Netzwerk ihrer Arbeitgeber an (in Europa 51
Prozent; in Deutschland im Schnitt 46 Prozent).
Gleichzeitig fallen aber auch die Bedrohungen vielfältiger aus als früher. Heutige Malware kann
im Netzwerk auf verschiedenen Wegen Schaden anrichten. Multi-Vektor-Viren wie beispielsweise "Nimda"
verwenden E-Mails, Webserver und Internet-Browser als Infektionsquelle. Zusätzlich bilden Exploits
von Sicherheitslücken, Spyware oder die Infektion durch USB-Speichermedien Einstiegstore für aktive
Schadprogramme.
Selbst kleine Malware-Vorfälle können dabei beträchtlichen Schaden verursachen: Durchschnittlich
kostet ein möglicher Zwischenfall etwa 45.000 Euro und kann erhebliche Schäden mit sich ziehen
(McAfee-Studie "Gefahr von Innen", 2005). In Sicherheitsfragen ist deshalb mehr denn je die
Konzentration auf Details gefragt.
Risk-Management als Sicherheitslegislative
Für heterogene Zugriffswege müssen stringente Sicherheitsrichtlinien (Policies) durchgesetzt
werden, die dazu beitragen, die wichtigsten und gefährlichsten Lücken als erste effektiv zu
schließen. Um die richtige Reihenfolge zu finden, ist allerdings eine umfassende Inventur auch des
Netzwerkrands notwendig. Den Ausgangspunkt stellt die Bewertung der jeweiligen Risiken dar, die
sich vor dem Hintergrund der individuellen Unternehmensabläufe analysieren, quantifizieren und
daher priorisieren lassen.
Die Größe der Risiken berechnet sich dabei aus drei Faktoren. Wichtig ist erstens, welche
Zugangsmethoden und Rechte die einzelnen betrachteten Benutzergruppen – vom IT-Administrator bis
hin zum externen Mitarbeiter oder auch Kunden – am Endpunkt auf die sogenannten "Assets" eines
Unternehmens haben. Zu den Assets gehören alle Hard- und Software-Ressourcen der Organisation, die
verschiedenen Datensätze und Informationen sowie digitale Geschäftsprozesse. Die zweite Größe nach
den Assets bilden die "Vulnerabilities". Als Größe wird in diesem Fall erfasst, wie offen eine
Lücke im System gegenüber Angriffen ist. Dabei wird auch berücksichtigt, welche Folgelücken die
Ausnutzung der primären Angriffspunkte reißen würde. Der dritte Größe sind dann die aktuellen
Bedrohungen ("Threats"), deren Aktivität zum Kalkulationszeitpunkt bewertet wird. Daraus ergibt
sich die Formel:
Risk = Asset x Vulnerability x Threat
Die Formel liefert für jedes einzeln betrachtete Risiko einen Wert. Arithmetisch ist aus den
Ergebnissen dann einfach die Reihenfolge abzuleiten, in der die Risiken verringert werden
müssen.
Zwei Beispiele sollen nun das entsprechende Vorgehen illustrieren. Ein Außendienstmitarbeiter
einer Versicherung hat über sein Notebook Zugriff auf zentrale Kundendaten als "Asset" und kann in
diesem Bereich Datensätze ändern und löschen. Da die fraglichen Informationen für die
Kundenbetreuung wichtig sind und weil häufig auf sie zugegriffen wird, ist der Asset-Wert hoch.
Besitzt der Anwender ein Firmen-Notebook, das regelmäßig mit Updates und Patches ausgestattet wird,
ist dieses Notebook relativ sicher. Der Vulnerability-Wert steigt aber, wenn das Notebook nicht
aktuell gepatcht ist. Je höher nun das aktuelle Threat-Potenzial ist, umso größer ist zusätzlich
das lokale Risiko.
Im Vergleich dazu hat ein ungesicherter USB-Stick eines freien Mitarbeiters unabhängig von der
Art der Bedrohung auch dann einen beträchtlichen Risikowert, wenn dieser Mitarbeiter auf seinem
temporären Arbeitsplatz im Unternehmen nur Zugriff auf die von ihm zu bearbeitende Grafiken hat und
andere Inhalte gesperrt sind. Die Anbindung des Arbeitsplatzes an die E-Mail-Infrastruktur, die als
Asset jeden Mitarbeiter betrifft, sorgt hier für das nötige Grundrisiko, denn der USB-Stick kommt
zum Beispiel als Träger von Malware in Frage.
Risikoanalyse als permanenter Kreislauf
Die Beispiele zeigen, dass die Risikoanalyse als permanenter Kreislauf funktionieren muss (siehe
Bild 1). Grundsätzlich ändert sich der Risikowert etwa dann, wenn neue Bedrohungen auftauchen, der
freie Mitarbeiter plötzlich Zugriff auf Buchhaltungsdaten hat oder – in der anderen Richtung – sein
Privat-Notebook durch ein gepatchtes und gesichertes Unternehmens-Notebook ersetzt wird.
Eine Risikomanagementlösung, die den Umgang mit den Risiken für Unternehmensnetze erleichtert,
besteht im allgemeinen aus einer Scan-Engine, einem Dashboard-Modul für das Reporting
beziehungsweise die Datenaufbereitung, einem Managementmodul für webbasiertes Monitoring sowie
einer Datenbank mit Informationen über das Unternehmen, das vorhandene Netzwerk und die aktuellen
Sicherheitsbedrohungen. Eine zentrale Appliance übernimmt typischerweise die Inventarisierung von
Assets und Vulnerabilities sowie die Ermittlung und Korrelation von aktuellen Threats. In eine
solche Appliance lassen sich unterschiedliche Module zur genauen Identifizierung der
Sicherheitsprobleme integrieren. Mit einem Threat-Correlation-Modul können auf die Minute genau
Threat-Intelligence-Alarme in entsprechenden Kontrollzentren weitergegeben werden, sodass die
Sicherheitsverantwortlichen umgehend auf rasant um sich greifende Ereignisse wie Internet-Würmer
oder Serverattacken reagieren können. Das Threat-Correlation-Modul stellt dabei eine Risikoliste
für sämtliche Bedrohungen bereit, die auf der Gegenüberstellung beziehungsweise Korrelation von
Ereignissen und Asset- sowie Vulnerability-Informationen des Unternehmens beruhen. So kann eine
Organisation auch dann, wenn die Zeit drängt, schnell auf die Frage antworten, wann und an welcher
Stelle die Bedrohung am größten ist.
Ebenfalls sinnvoll ist die grafische Aufbereitung und Klassifizierung der Bedrohungspotenziale
nach Geschäftsbereichen und Systemplattformen. Auch die Ziele für die Verbesserung (Remediation)
der Policy sowie für die Policy-Neufassung sollten in diesem Zusammenhang festgehalten werden. Eine
automatisierte Lösung sollte beim Aufspüren von Schwachstellen so genannte "trouble tickets"
ausstellen und diese nach erfolgreicher Schließung der Sicherheitslücke wieder auflösen. Im
Anschluss übernimmt eine zentrale Risikomanagementlösung möglichst gleichzeitig die Behebung der
festgestellten Risiken und das Reporting.
Policy Enforcement als Sicherheitsexekutive
Solche Lösungen können in der Praxis Risiken selbst an Hunderttausenden von Endgeräten
überwachen und in Echtzeit adäquate Maßnahmen durchsetzen. Manuell lässt sich dergleichen nicht
ohne weiteres schaffen. Das Risikomanagement muss sowohl lokale und auch Remote-Zugänge
kontrollieren und Systeme externer Anwender in die Sicherheitsrichtlinien eines Unternehmens
einbinden, die über keine Unternehmens-Tools zum Zugangsmanagement verfügen.
Jede Risokoanalyse bleibt nutzlos, wenn es keine Wege gibt, die daraus resultierenden
strategischen Sicherheitsentscheidungen des Administrators auch durchzusetzen. Netzwerksicherheit
umfasst deshalb Analyse und "Policy Enforcement". Beide Bereiche müssen miteinander verzahnt sein,
Informationen austauschen und sich gegenseitig überwachen. Das Policy-Enforcement überprüft alle
Systeme, die sich in das Netzwerk einloggen, bei jeder Verbindungsanwahl sowie im gesamten Verlauf
der Verbindung auf die jeweiligen Sicherheitseinstellungen. Zudem überwacht es die Einhaltung von
Sicherheitsrichtlinien und blockt automatisch den Zugriff, wenn ein System bestimmten Regeln nicht
entspricht. Oft genügt in einem solchen Fall aber auch eine Zugriffseinschränkung für den
Netzwerkteilnehmer. Dazu wird gerade bei kleinen Netzwerken nicht zwangsläufig eine große
Sicherheitsmanagementlösung benötigt, sondern es genügen in vielen Fällen spezielle
Überwachungs-Tools, die die Einhaltung bestimmter Sicherheitsrichtlinien unterstützen. Auch diese
Tools überwachen sowohl unternehmenseigene wie auch externe Systeme, die nicht vom Netzwerk
verwaltet werden.
In großen Netzen überwachen verteilte Repository-Datenbanken die Aktualität der
Bedrohungssignaturen und die Installation der korrekten Engines, Service-Packs, Hotfixes und
Patches. Die Systeme liefern auf diese Weise Informationen für das übergeordnete Risikomanagement
und setzen gleichzeitig die jeweiligen Maßnahmen um. Idealerweise sind solche Lösungen nicht
proprietär, sondern unterstützen die verschiedensten Sicherheitslösungen. Sie sollten mit Lösungen
wie Cisco Network Admission Control (CNAC), der Microsoft Network Access Protection (NAP) oder dem
TCG Trusted Network Connect (TNC) 802.1x zusammenarbeiten.
Verzahnung tut not
Risikomanagement stellt zwangsläufig systemübergreifende Anforderungen. Wer für
Unternehmenssicherheit sorgen möchte und Geschäftsprozesse dennoch ungehindert ablaufen lassen
will, muss wissen, was er auf welche Weise und in welchem Maße schützen will. Bei der großen Zahl
von grundverschiedenen Systemen in modernen Netzwerken können nur Risikobewertungssysteme in
Kombination mit Tools zur Gefahrenabwehr und zur Durchsetzung von Sicherheitsrichtlinien eine
wirkliche Sicherheit geben.
Lesen Sie mehr zum Thema
