Ein zusätzlicher ISDN-Router sichert im Alarm-System die Verfügbarkeit des Administrations-Kanals.
Ein Firewall-System, relativ unbeobachtet in den Raum gestellt, genügt schon lange nicht mehr, um die Sicherheit eines Netzwerks zu gewährleisten. Umfassende Sicherheitskonzepte müssen her, basierend auf Schutzbedarfs- und Bedrohungsanalysen. In der Konsequenz führt dies zu einer Vielfalt von Produkten, die nicht nur installiert, sondern auch administriert werden müssen. Jede Veränderung in der Konfiguration sowie das Hinzufügen oder Entfernen von Diensten kann die Sicherheit beeinträchtigen. Damit haben die Administratoren schon in den täglichen Routineaufgaben eine hohe Arbeitslast zu bewältigen.
Laut einer Articon-Studie beschäftigen viele Unternehmen nur einen einzigen Mitarbeiter für die Administration der Sicherheitssysteme. Dieser Mitarbeiter muss sich kontinuierlich auf dem neuesten Stand halten und sich schon im Vorfeld umfangreiche Kenntnisse aneignen. Ist er im Urlaub oder verlässt gar das Unternehmen, fehlt oftmals gleichwertiges Know-how.
Ein hoher Sicherheitsanspruch steht damit in den deutschen EDV-Abteilungen oft knappen Ressourcen gegenüber. Arbeitsüberlastung ist jedoch eine Gefahr für die Sicherheit: Log-Files werden nur selten ausgewertet, Updates nicht regelmäßig eingespielt, Sicherheits-Checks nur spärlich gefahren.
Rund ein Drittel der in der Articon-Marktstudie befragten 60 deutschen Unternehmen wertet Log-Dateien nicht routinemäßig aus. Doch dies ist Basisarbeit in Sachen Sicherheitsadministration, die erfahrungsgemäß etwa 30 bis 60 Minuten Arbeitszeit pro Tag und Firewall verschlingt. Aufgezeichnete Log-Files sind nur soviel wert wie ihre Auswertung und die anschließende Reaktion.
Für die Auswertung selbst können am Markt erhältliche Tools zum Einsatz kommen. Die Problematik besteht aber darin, dass durch das alleinige Heranziehen und Auswerten der Firewall-Log-Daten nicht unbedingt die Sicherheitslage korrekt erfasst wird. Häufig ist erst durch die Kombination und Analyse von Daten aus verschiedenen Quellen ein gezielter Angriff erkennbar.
Aus diesem Grund wurde für den Betrieb der Articon-Alarmzentrale eine wissensbasierte Auswertesystematik entwi-ckelt, die es unter anderem zulässt, auch scheinbar nicht zusammenhängende Ereignisse zu einem Gesamtbild zu korrelieren und in ihrer Sicherheitsrelevanz einzustufen. So zeigt beispielsweise die Praxis, dass bei gezieltem Ausspionieren eine zeitliche Dehnung erfolgt, um die Wahrscheinlichkeit der Erkennung zu minimieren. Durch manuelles Auswerten von Log-Daten würden solche Angriffe nur per Zufall erkannt.
Ein wichtiger Synergieeffekt ist, dass einmal erkannte neue Angriffsmuster auf Grund der wissensbasierten Auswertung bei keinem angeschlossenen Unternehmen mehr greifen. Die Administratoren werden damit von zeitraubenden Analysen der mittlerweile täglich eintreffenden Sicherheitsmeldungen entlastet.
Höherer Schutzbedarf steigert die Arbeitsbelastung eines Administrators weiter, da dann die externen Netzwerkzugänge durchgehend überwacht werden müssen. Vor allem außerhalb der Bürozeiten ist es für die Systeme gefährlich. Denn Hacker schlagen bevorzugt nachts, an Wochenenden und an Feiertagen zu. Folglich ist bei besonderem Sicherheitsbedarf ein Drei-Schicht-Betrieb erforderlich. Ein Unternehmen muss also mindestens drei Vollzeitmitarbeiter komplett für die Administration abstellen sowie evtl. bei Urlaub und Krankheit für Ersatz sorgen. Diese Kosten will aber kaum ein Unternehmen tragen.
Eine mögliche Lösung für Ressourcen- und Know-how-Probleme ist Outsourcing. Erfahrene Security-Spezialisten zeichnen die Log-Dateien auf und werten sie aus. Bevor die externe Alarmzentrale ihre Arbeit aufnimmt, wird zusammen mit dem Unternehmen eine Reaktions- und Alarmierungsmatrix definiert. Die Reaktionsmatrix legt fest, wie auf welches Ereignis oder welche Ereignisklasse zu reagieren ist. Die Bandbreite reicht dabei im unkritischen Fall von einer Protokollierung bis hin zur Abschaltung der Firewall, wenn unmittelbar Gefahr im Verzug ist.
Die Einstufung der Sicherheitsrelevanz kann von Firma zu Firma variieren. In jedem Fall entsteht aber für das überwachte Unternehmen ein sicherheitstechnischer Notfallplan. Eine vorher festgelegte Reaktion auf klassifizierte Ereignisse kann somit unmittelbar erfolgen. Derartige Vorsorgemaßnahmen findet man in der Praxis heute leider nur selten, obwohl sie dringend anzuraten sind. Die Alarmierungsmatrix bestimmt, wer bei welchem Ereignis zu welcher Zeit zu informieren ist. So liegt es dann beispielsweise beim Sicherheitsverantwortlichen des Unternehmens, die Freigabe zum Wiederanlauf der Firewall nach einer Sicherheitsabschaltung zu erteilen.
Wichtig ist beim Outsourcing, dass das Unternehmen regelmäßig über die Ereignisse informiert wird. Die Alarmzentrale muss in der Lage sein, täglich, wöchentlich oder monatlich Berichte über die Ereignisse zu erstellen. Diese Berichte sollen dem Kunden auch die Entwicklung der Sicherheitsvorfälle aufzeigen, sprich belegen, ob diese sich häufen oder abnehmen. Werden vermehrt Angriffe festgestellt, sorgen spezifische Maßnahmen dafür, dass auch eine strafrechtliche Auswertung möglich ist. Nutzt die Articon-Alarmzentrale heute noch ausschließlich verschlüsselte E-Mail oder gedruckte Form zum Berichtversand, so sollen die Zusammenfassungen zukünftig über eine Web-Schnittstelle (nach vorheriger Authentifizierung) zu jeder Zeit abrufbar werden.
Bei der Spezifikation der Informationskanäle zwischen Auftraggeber und -nehmer müssen bei klassischen Kommunikationswegen wie Telefon und Fax spezielle Kennwörter und Verfahren sicherstellen, dass Social Engineering ausgeschlossen ist. Bei kryptographisch gesicherten Verbindungen ist auf eine hinreichende Qualität zu achten: Die Articon-Alarmzentrale nutzt beispielsweise Triple DES (112Bit) bzw. Blowfish (128Bit) zur Verschlüsselung, für die Authentisierung kommen 2048Bit lange RSA-Schlüssel zum Einsatz.
Auch Ausfallsicherheit ist wichtig: Da der Hauptalarmierungsweg bei Articon per Internet erfolgt, wird aus Sicherheitsgründen ein zusätzlicher ISDN-Router beim Kunden installiert. Der Abbruch der Standard-Verbindung zur Alarmzentrale oder das Ausbleiben des regelmäßig gesendeten "Heartbeats" löst sofort einen Alarm aus, und zusätzlich wird eine Direktverbindung per ISDN geöffnet. Dies gewährleistet selbst bei Denial-of-Service-Angriffen eine kontinuierliche Überwachung der Firewalls. Auch der Totalausfall einer Alarmzentrale sollte keinen überwachungsfreien Zustand hervorrufen, sondern durch Ersatzrechenzentren abgefangen werden.
Ein zusätzlicher ISDN-Router sichert im Alarm-System die
Verfügbarkeit des Administrations-Kanals.
Alle Vorgänge innerhalb der Alarmzentrale erfordern revisionssichere Prozesse, für wesentliche Abläufe nach dem Vier-Augen-Prinzip. Nimmt beispielsweise ein Mitarbeiter bei Articon einen Sicherheitsvorfall entgegen, kann diesen nur ein anderer abschließen. Auch hier ist der Unterschied zur gängigen Praxis in den Unternehmen deutlich erkennbar: Dort bleibt es in der Regel einem Mitarbeiter überlassen, sicherheitskritische Entscheidungen zu treffen oder gar Sicherheitseinstellungen an der Firewall vorzunehmen.
Neben der technischen und organisatorischen Sicherheit gilt es für den Betrieb eines Sicherheitsrechenzentrums den physischen Schutz zu beachten. Nur speziell gesicherte und abgeschirmte Räume, die ausschließlich vom Sicherheitspersonal betreten werden dürfen, garantieren absolute Vertraulichkeit.
Das Thema Outsourcing dürfte der Einschätzung von Articon zufolge auch in Europa an Bedeutung gewinnen. Die letzte Integralis Security-Studie hat ergeben, dass die Sensibilität des Top-Managements für dieses Thema zunimmt. Auch wenn 51% der Befragten der aktuellen KES/Utimaco-Studie noch mangelnde Unterstützung durch das Top-Management als Behinderung bei der Informationssicherheit angaben, so dürfte doch Risikomanagement zunehmend zur Chefsache werden. Denn das am 5.März 1998 vom Deutschen Bundestag verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet insbesondere Vorstände von Aktiengesellschaften stärker als bisher, ein angemessenes Risikomanagement für ihr Unternehmen vorzusehen. Ziel dieser Verschärfung ist es, den gestiegenen Risiken für Unternehmen mehr Bedeutung zuzumessen und damit die Aktionäre besser vor finanziellen Verlusten zu schützen. Die Zunahme der Abhängigkeit der Unternehmen von einer funktionierenden Datenverarbeitung einerseits und der breite Einsatz von elektronischer Kommunikation andererseits erfordern auch für diese Bereiche ein Risikomanagement. Die Rund-um-die-Uhr-Betreuung der Firewalls eines Unternehmens durch einen Outsourcing-Partner kann wesentlich dazu beitragen, die Forderungen des KonTraG nach geeigneten Überwachungssystemen zu erfüllen.
Andreas Lamm ist Leiter Strategic Development bei der Articon-Integralis AG, Ismaning
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 73
