Sicherheitsmanagement als umfassender Prozess

Aus Linux-Magazin 06/2001

Sicherheitsmanagement als umfassender Prozess

Von

Die einzelnen Schritte beim Erstellen einer Security Policy hängen eng zusammen.

Security Management beginnt immer bei der Risikoanalyse. Aus ihr leitet sich die Security Policy ab, die zu konkreten Maßnahmen führt. Aber nicht nur die einzelnen Maßnahmen, sondern der gesamte Prozess ist laufend zu kontrollieren, zu verifizieren und zu aktualisieren.

Vom “I love you”-Virus über DoS-Attacken (Denial of Service) bis hin zu gezielter Spionage und Sabotage reichen die Gefahren, die Fachleute und die breite Öffentlichkeit gleichermaßen aufschrecken lassen. Wie anfällig unsere vernetzte Wirtschaft inzwischen ist, belegt der weltweite Schaden von 17,1 Milliarden US-Dollar, der nach Untersuchungen der Unternehmensberatung Mummert + Partner allein durch Viren verursacht wird.

Gefahr droht allerdings nicht allein von außen: Zwei von drei Angriffen auf die Datennetze von Unternehmen gehen auf das Konto der eigenen Mitarbeiter. Der wirtschaftliche Schaden, der allein in Deutschland durch die illegale Beschaffung oder Manipulation von Daten entsteht, wird auf etwa 20 Milliarden Mark geschätzt.

Vor diesem Hintergrund überrascht die noch immer geringe Sensibilität gegenüber diesem zentralen Thema. Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Studie deckte kürzlich auf, dass die Hälfte der befragten Unternehmen und Einrichtungen hierzu keinerlei Vorbereitungen getroffen hatten. Weder eine Gesamtstrategie zur IT-Sicherheit, noch schriftliche Zielsetzungen zur Sicherheit lagen vor. Das überrascht umso mehr, als die gleiche Studie feststellt, dass sich Investitionen in IT-Sicherheit überprüfbar rechnen.

Umfassendes Sicherheitsmanagement

Welche konkreten Maßnahmen umfasst Security Management? Gängige Suchmaschinen verweisen vor allem auf technische Lösungen wie beispielsweise Firewalls für die Internet- und Intranet-Koppelung, Zugangskontrollsysteme für Gebäude oder Intrusion Detection Systeme (IDS) zur Absicherung von Servern. Ein technisch orientierter Ansatz mit standardisierten Lösungen greift allerdings zu kurz. Umfassendes Security Management erfordert ein auf das einzelne Unternehmen bezogenes individuelles Vorgehen.

Klar ist: Vollständige Sicherheit kann es nicht geben, aber bestmöglicher Schutz im Rahmen der Möglichkeiten und Erfordernisse kann durchaus hergestellt werden. Dabei ist wichtig, dass es sich beim Security Management um einen Prozess handelt und nicht um einen Zustand. Es müssen klare Zuständigkeiten herrschen: Es ist nicht nur festzulegen, was gemacht werden soll, sondern auch, wer es durchführt. Und schließlich ist eine fortlaufende und unabhängige Kontrolle nötig.

Risikoanalyse mit Bewertung

Ausgangspunkt dieses Prozesses ist die Frage, welche Informationen und Daten es zu schützen gilt. Die Auswahl wird über eine Risikoanalyse getroffen. Sie identifiziert die Bereiche eines Unternehmens, die für sein Überleben kritisch sind, und bewertet den Schaden, der in diesem Bereich im schlimmsten Fall eintreten kann. Hierzu werden Abhängigkeiten analysiert und dann Lösungsmöglichkeiten zur Abwehr entwickelt. Obwohl dies alles beinahe trivial erscheint, besteht hierzu in nahezu allen Branchen und Unternehmen der unterschiedlichsten Größenordnungen erheblicher Nachholbedarf.

Das BSI etwa stellt fest, dass selbst von Unternehmen, in denen bereits Schäden durch IT-Angriffe festgestellt wurden, dieser Schaden nur selten wertmäßig beziffert wird. Ohne diese Bewertung aber lässt sich eine sinnvolle Auswahl der möglichen und angemessenen Abwehrmaßnahmen nicht treffen.

Beispiel: Die Altstadt AG
Das fiktive Chemieunternehmen Altstadt AG mit 300 Mitarbeitern hat sich mit besonderen Verfahren auf die Herstellung von Vorprodukten für die Farbenherstellung spezialisiert. Das Unternehmen sicherte sich einen wichtigen Vorsprung vor der Konkurrenz. Am 1. April erhalten einige Mitarbeiter eine E-Mail mit einem Attachment namens PIPIPRINZ.EXE, das sich als beliebtes Windows-Spiel entpuppt. Kurz darauf erhalten die begeisterten Spieler eine Mail mit dem Attachment PRÜGELPRINZ.EXE, das bei der Installation eine wenig beachtete Schutzverletzung verursacht. Wochen später bricht das Mail-System unter einer Flut riesiger Mails zusammen. Sechs Monate später brechen die Umsätze des Unternehmens so dramatisch ein, dass ein Großteil der Belegschaft entlassen werden muss. Was war geschehen?

Die Datei PRÜGELPRINZ.EXE war ein Trojanisches Pferd. Es suchte das Firmennetz nach Daten zu dem von der Altstadt AG verwendeten Herstellungsverfahren ab. Dafür wurde ein intelligentes Suchschema benutzt. Die gefundenen Daten wurden anschließend per E-Mail an den Auftraggeber gesandt, wobei der Angreifer diese Aktion durch die Simulation eines Virus der Melissa-Klasse verschleierte. Was lief hier schief?

Natürlich hatte das Unternehmen für seine Internet-Ankopplung eine Firewall aufgebaut. Natürlich waren auch auf den Arbeitsplatzrechnern der Mitarbeiter Virenscanner installiert. Beide Maßnahmen griffen in diesem Fall jedoch nicht, denn das erste Attachment war kein Virus und diente nur dazu, den eigentlichen Angriff vorzubereiten. Die Mitarbeiter wurden durch diese Vorarbeit aber desensibilisiert. Bei dem zweiten Attachment handelte es sich um einen gezielt hergestellten Angreifer, der folglich auch in keiner Virendatenbank zu finden war. Man hatte schlicht mit keinem Angriff von innen gerechnet. Was also ist zu tun?

Am einfachsten lässt sich das an der Ausstattung der Arbeitsplätze veranschaulichen. Gerade in Hinsicht auf die Administrierbarkeit und damit die Sicherheit der Systeme ist es sinnvoll, alle Arbeitsplätze identisch aufzubauen. Dazu gehören eine identische Software-Ausstattung und der einheitliche Stand von Updates. Das kann man zum Beispiel durch eine zentrale Softwareverwaltung für alle Arbeitsplätze erreichen. Trennt man gleichzeitig alle von den Benutzern angelegten Daten von denen des Systems, ist ein Aufspüren von Veränderungen – beispielsweise das Einnisten eines Virus oder Trojanischen Pferdes – sehr leicht.

Umfassende Security Policy

Mit den Informationen aus der Risikoanalyse und der entsprechenden Bewertung wird ein Sicherheitskonzept erstellt. Als zentrales Element hierfür dient die Erstellung einer Security Policy mit drei wesentlichen Dimensionen:

  • IT-Sicherheit im Rahmen der Gesamtorganisation
  • Sicherheit der Netzinfrastruktur
  • Sicherheit der Systeminfrastruktur

In der Security Policy werden die generellen Sicherheitsstandards festgelegt. Ziel ist der Schutz des Firmeneigentums – inklusive Know-how, Datenbestand und Ansehen des Unternehmens. Unter anderem geht sie auch auf die Mitarbeiter als potenzielles Sicherheitsrisiko ein. Sie enthält daher Regelungen, die in die täglichen Arbeitsabläufe eingreifen.

Vor diesem Hintergrund ist es dringend erforderlich, frühzeitig die Akzeptanz der zu treffenden Maßnahmen zu fördern und die Mitarbeiter einzubeziehen. Werden notwendige Sicherheitsmaßnahmen von den Mitarbeitern als Behinderung oder gar als Repression betrachtet, werden sie oft bewusst unterlaufen.

Organisation und Strukturen

Wichtig ist auch, dass die organisatorischen Strukturen (Weisungsbefugnisse, Zuständigkeiten) eindeutig geklärt sind. Für die Mitarbeiter muss klar sein, wer für welche Punkte der Policy der Verantwortliche und wer lediglich der Durchführende ist. In der Regel wird die Security Policy zu einem Teil des Arbeitsvertrags und jeder Mitarbeiter bestätigt durch seine Unterschrift, dass er von ihrem Inhalt Kenntnis genommen hat.

Natürlich sind für die aktive Durchsetzung und Kontrolle der Regeln auch technische Maßnahmen notwendig. Darüber hinaus ist auch die Einführung von Standards und Klassifizierungen eine große Hilfe. So sollten etwa die Server nach der Wichtigkeit der Daten und des Betriebsstatus klassifiziert werden, entsprechend der in der Risikoanalyse vollzogenen Bewertung: Was bedeutet es für mein Unternehmen, wenn der Server einen Tag lang ausfällt, die Daten verloren gehen oder gar von der Konkurrenz eingesehen werden können?

Durchsetzen der Regeln

Um die Durchsetzung der Sicherheitsregeln gegen Angriffe zu unterstützen, gibt es diverse Möglichkeiten, je nachdem, ob es sich um den physikalischen Zugang zu Gebäuden oder Daten oder den virtuellen Zugang über das Netz der Firma handelt. Dabei kann es sich sowohl um das Schloss an einem Aktenschrank, einen Tresor, einen Wachmann vor der Tür oder um den Passwortschutz für den Zugriff auf besonders wertvolle Daten handeln.

Eine weitere Unterscheidung trifft man zwischen dem Schutzbedürfnis gegen Angriffe von außen und dem gegen Angriffe von innen. Angriffe von außen kann man dabei leichter in den Griff bekommen, dafür gibt es eine Vielzahl von Möglichkeiten. Sie beginnen beim Schutz des internen Netzes durch Firewalls und gehen über Systeme zur Einbrucherkennung und Virenscanner bis hin zum Schutz ganzer Gebäudekomplexe durch Wachdienste. Die Abgrenzung ist dabei einfach: Alle Guten sind drinnen, alle Bösen sind draußen. Jeder Pförtner hat genaue Anweisungen, welche Personen er zu welchen Zeiten auf das Firmengelände lassen darf.

Die einzelnen Schritte beim Erstellen einer Security Policy hängen eng zusammen.

Die einzelnen Schritte beim Erstellen einer Security Policy hängen eng zusammen.

Angriffe von innen

Sehr viel schwerer zu realisieren ist der Schutz gegen Angriffe von innen, weil man hier keine klaren Grenzen ziehen kann. Zudem verfügt ein interner Angreifer in der Regel über detailliertes Insiderwissen. Mögliche Ansatzpunkte für die Abwehr sind eine Einschränkung der Kommunikation, der Zugriff auf Daten nur auf Need-to-Know-Basis, aber auch Personenschleusen, um besonders sensitive Bereiche eines Gebäudes (etwa Rechenzentren) zu schützen. Auf diese Art würde ein Angriff von innen zumindest behindert, weil der Angreifer in seiner Bewegungsfreiheit eingeschränkt ist.

Voraussetzung ist natürlich, dass die technischen Sicherheitsmaßnahmen keine Lücken aufweisen. Zudem genügt es nicht, ein Sicherheitskonzept einmal einzuführen, die festgelegten Regeln müssen auch überwacht und aktualisiert werden.

Die Überwachung betrifft mehrere Aspekte. An erster Stelle steht die Kontrolle im laufenden Betrieb. Die Security Policy ist dabei das rahmengebende Dokument. Sie enthält einen Maßnahmenkatalog, der im Wesentlichen wie das Regelwerk einer Firewall funktioniert. Für jede potenzielle Sicherheitslücke ist eine entsprechende Aktion niedergelegt, die bei deren Eintreten durchgeführt würde.

Gleichgewicht der Kräfte

Es ist auch nicht trivial, riesige Logdateien von Firewalls nach Angriffen zu durchforsten und die kryptischen Aussagen richtig zu interpretieren. Systemadministratoren sollten die Situation gegenüber dem eigenen Management offen kommunizieren und keinesfalls Repressalien oder Vorwürfe befürchten müssen. Denn Fakt ist: Die internationale Gemeinschaft der Angreifer verfügt durch Spezialisierung praktisch immer über eine fachlich bessere Ausgangsposition.

Wenn im eigenen Haus kein entsprechendes Know-how vorhanden ist, kann externe Hilfe von spezialisierten Dienstleistern mit professionellen Prüf- und Abwehrstrategien das Gleichgewicht der Kräfte wieder herstellen. Leider wiegen sich aber noch immer viele Unternehmen aufgrund des so genannten Sicherheits-Paradoxons in Sicherheit: So lange keine gravierenden Schäden auftreten oder diese möglicherweise gar nicht einmal entdeckt werden, scheint sich die heikle Frage nach ausreichender Sicherheit nicht zu stellen. Diese Haltung ist zwar weit verbreitet, aber prinzipiell ist diese Form der Ignoranz existenzgefährdend.

Einschleichende Fehler

Ebenso wichtig ist die regelmäßige Kontrolle der im Rahmen des Konzepts eingeführten Standards. Legen diese beispielsweise fest, welche Softwarepakete auf den Rechnern einer Abteilung installiert sein dürfen, muss die Einhaltung der Konfiguration in unregelmäßigen Abständen geprüft werden. Wer sich dabei nur auf die Sicherheitsmechanismen des installierten Betriebssystems verlässt, wird sich wundern, wie findig Mitarbeiter sein können, wenn sie Moorhühner jagen wollen.

In die gleiche Kategorie fallen Regelwerke von Firewalls, Access Control Lists bei Intrusion-Detection-Systemen oder auf Fileservern sowie die Datenbanken der Virenscanner auf den Arbeitsrechnern. In der Regel verharren solche Systeme nicht in einem Zustand, sondern unterliegen ständiger Veränderung.

Sei es durch einen neuen Mitarbeiter, der in das Unternehmen einsteigt und Zugriffsberechtigung auf die Daten des Fileservers benötigt, sei es der ISP, der für einen Kunden einen neuen Server aufstellt und entsprechende Regeln auf der Firewall hinzufügen muss. In jedem Fall muss in die Konfiguration von sicherheitskritischen Systemen eingegriffen werden. Im schlimmsten Fall schleicht sich dabei ein Fehler ein, der aufgrund der Komplexität des Systems nicht sofort erkannt wird. Je länger ein Fehler im System bleibt, desto höher ist die Wahrscheinlichkeit, dass er auch ausgenutzt wird.

Das Vier-Augen-Prinzip

Dieser Begriff wird oft missverstanden: Das Vier-Augen-Prinzip bedeutet nicht, dass zwei Mitarbeiter gemeinsam eine Konfigurationsänderung durchführen. Gemeint ist vielmehr, dass zwei Mitarbeiter getrennt voneinander die Änderungen ausarbeiten und beide Ergebnisse dann verglichen werden. Oder die Änderungen werden von einem Mitarbeiter ausgearbeitet und dann einem zweiten zur Prüfung vorgelegt.

Durch das Vier-Augen-Prinzip lässt sich also nur die Wahrscheinlichkeit einer Fehlkonfiguration vermindern. Denn arbeiten zwei Administratoren gemeinsam eine Lösung aus, folgt automatisch einer den Gedankengängen des anderen und macht dabei mit hoher Wahrscheinlichkeit dieselben Fehler. Hier sind Synergien also ausnahmsweise unerwünscht.

Hat man erst einmal akzeptiert, dass eine ursprünglich fehlerfreie Konfiguration nicht auf Dauer so bleibt, liegt die Lösung des Problems auf der Hand: Regelmäßige Audits, eventuell in variablem zeitlichen Abstand, helfen dabei, die schleichende Unterwanderung einmal eingeführter Regeln und Standards zu verhindern. Dabei dient die Security Policy als zentrale Instanz, gegen die alle Ergebnisse der Audits verifiziert werden müssen.

Gefahr durch Routine

Das größte Problem bei jeder Art von Überwachung ist die Routine, die sich zwangsläufig nach einer gewissen Betriebszeit einstellt. Die Erfahrung zeigt, dass jede Routinearbeit, die mit größerem Aufwand verbunden ist, irgendwann liegen bleibt, vor allem, wenn der zuständige Mitarbeiter mit anderen Aufgaben ausreichend beschäftigt ist. Wenn sich beispielsweise der für die zentralen Server zuständige Administrator Tag für Tag durch viele hundert KByte an Logmeldungen kämpfen muss, um nach möglichen Verstößen zu suchen, wird mit hoher Wahrscheinlichkeit seine Motivation für diese ungeliebte Aufgabe nachlassen.

Jede Richtlinie greift also nur, wenn sie einer stetigen Kontrolle unterliegt. Dabei muss jedoch nicht nur ihre Einhaltung laufend überprüft werden. Eine Security Policy, die nicht aktualisiert und den sich wandelnden Strukturen und Anforderungen angepasst wird, ist in absehbarer Zeit nicht mehr das Papier wert, auf dem sie gedruckt wurde. Auch sorgfältig ausgearbeitete Sicherheitsrichtlinien altern und müssen daher in regelmäßigen Abständen revidiert werden. Zudem müssen auch die Randbedingungen geprüft werden, die beim Erstellen des Sicherheitskonzepts eine Rolle spielten. Das kann sogar die Durchführung einer erneuten Risikoanalyse bedeuten, um die sicherheitskritischen Bereiche des Unternehmens neu zu definieren.

Fazit

Es ist unmöglich, sich gegen alle eventuellen Bedrohungen zu schützen. Im Privatleben mag man das mit einem Achselzucken übergehen. Geht es jedoch um die Sicherheit eines Unternehmens, ist man gut beraten, sich nicht auf technische Insellösungen zu verlassen, auch wenn sie in der Werbung vollmundig als “umfassender Schutz” präsentiert werden.

Die Auswahl technischer Mittel steht erst am Ende eines Sicherheitskonzepts. Von entscheidender Bedeutung ist es, Sicherheit insgesamt und IT-Sicherheit insbesondere als umfassende und an den Geschäftsprozessen orientierte Größe zu betrachten. Eine angemessene Sicherheit ist durchaus als Basis für das erfolgreiche Bestehen im Wettbewerb zu sehen.

Die hierfür erforderlichen Investitionen lassen sich einer klassischen Kosten-Nutzen-Bewertung unterziehen – ein Vorgehen, das bei diesem Tabu-Thema jedoch nur selten genutzt wird. Einerseits überraschend und auf der anderen Seite sehr beruhigend stellt sich dann bei nüchterner Analyse heraus, dass Sicherheit nicht nur notwendig ist, sondern sich durchaus rechnet. ( fjl)

Der Autor
Metin Dogan ist Vorstand der Frontsite AG.
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben