![[ALTText]](48-1.jpg)
Durchführung eines Sicherheits-Audits
Firewall-Portale mit Virenschutz und Proxies sind heutzutage etablierte Lösungen für die sichere Abgrenzung von Firmennetzen zur Außenwelt. Häufig werden solche Lösungen einmal nach gewissen Kriterien installiert und sollen von da an den "notwendigen" Schutz gewährleisten. Dabei vergisst man leicht, dass ein Sicherheitsportal dauernden inneren und äußeren Veränderungen unterliegt, die sich auch auf den Schutzgrad sowohl positiv wie negativ auswirken, unter anderem:
An diesem Punkt setzt das Security Audit ein. Wichtig ist es, eine nachhaltige Überprüfung des gesamten Sicherheits-Dispositivs und nicht einzelner Komponenten vorzunehmen. Ein Security Audit prüft das gesamte Internet-Portal auf Schwachstellen und auf die Standhaftigkeit gegenüber dem Risikopotenzial.
Durchführung eines Sicherheits-Audits
Basierend auf den gewonnenen Audit-Erkenntnissen werden im Rahmen einer Security Policy das notwendige Sicherheitsniveau, die Hauptrisiken, Verantwortungsverteilung und der fortlaufende Prozess zur langfristigen Wahrung des Sicherheitsniveaus definiert. Dies bildet das Fundament für das Sicherheitskonzept, das Regelwerk, die Organisation, bauliche Maßnahmen, Hilfestellungen für die Mitarbeiter und regelmäßige Kontrollen. Erst eine solche Strategie stößt einen fortwährenden Prozess an, der die Sicherheit nachhaltig gewährleistet.
Ein geschicktes Sicherheitsdispositiv besteht aus unterschiedlichen Maßnahmen, um das Unternehmen vor Risiken zu schützen. Die Maßnahmen sind so zu gestalten, dass ein Angreifer in jedem Falle die schlechteren Karten hat. Fehleinschätzungen der Bedrohungslage beziehungsweise der Risiken beeinträchtigen das Sicherheits-Dispositiv und schlagen sich in jedem Falle auf die Kosten nieder, sei es im Rahmen der Überversicherung oder der Schäden. Ein Sicherheit-Audit beginnt daher zweckmäßigerweise mit einer Risikobetrachtung.
Die großen Bedrohungsszenarien aus dem Internet lassen sich unter Viren, Trojanische Pferde, Malicious Mobile Code und Hacking zusammenfassen. Malicious Mobile Code (MMC) kommt vor allem über Webseiten ins Haus: MMC wird – je nach Sicherheitseinstellungen – unmittelbar im Browser ausgeführt und üblicherweise ohne Aktion des Benutzers gestartet. Auch solcher Code kann zerstörerisch sein oder der Spionage dienen.
Ein weiteres Risikopotenzial ergibt sich durch die Vernetzungen mit Drittfirmen (Lieferanten und Kunden). Häufig verkennt man, dass diese Drittfirmen wiederum mit ihren Partnern vernetzt sind, sodass sich dadurch ein bisweilen weltumspannendes (privates) Netz ergibt, dessen Größenordnung und Bedrohungsszenarium mit dem Internet vergleichbar ist.
----------Anfang Textkasten----------
Abgesehen von Finanzinstituten sind Unternehmen noch zu wenig verpflichtet, ihre Informationstechnik genügend zu sichern. Die Stärke der Sicherheit liegt im Ermessen der Unternehmen und ist in der Praxis sehr unterschiedlich ausgeprägt. Entgegen weit verbreiteter Auffassung bestehen derzeit keine direkten gesetzlichen Vorgaben dafür, wie ein Unternehmen seine EDV-Sicherheitseinrichtungen ausgestalten muss. Es existieren lediglich Spezialvorschriften, zum Beispiel im Atomrecht. In der Praxis allerdings gibt es gute Gründe, mit dem Blick auf die Rechtsprechung gewisse Standards aus eigenem Interesse einzuhalten.
Vor fast drei Jahren ist in Deutschland das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft getreten. Wichtigstes Ziel dieses Gesetzes ist eine Vielzahl von Unternehmen unterschiedlichster Rechtsformen zu einer verstärkten Kontrolle kritischer Entwicklungen anzuhalten und sie dazu zu bewegen, diese Entwicklungen auch in ihren Bilanzen zu veröffentlichen. Mit den Worten des Gesetzgebers heißt das: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden können." (§ 91 Abs. 2 AktG) Obwohl dieser Impuls aus Deutschland kommt, stellt sich die Frage, ob dies nicht auch für die Schweiz zutrifft.
Zusätzliche Bedeutung erlangt die IT-Sicherheit durch die neue Basler Eigenkapitalvereinbarung (NBE). Dabei handelt es sich um eine Empfehlung des Basler Ausschusses für Bankenaufsicht, der bei der Bank für Internationalen Zahlungsausgleich tagt. In dieser Vereinbarung wird empfohlen, die Bonität und Kreditwürdigkeit von Unternehmen anhand verschiedener Kriterien zu beurteilen. Gefragt ist, wo das Unternehmen Schwachstellen aufweist, welche die Rückzahlung eines aufgenommenen Kredits in Frage stellen. Die IT-Sicherheit als eines von mehreren Merkmalen für die zukünftige Entwicklung eines Unternehmens wirkt sich damit nicht nur auf Lageberichte, einen möglichen Verkaufserlös bei der Unternehmensveräußerung oder auf Schadenersatzansprüche gegen ein Unternehmen aus. Auch die Kreditvergabe wird sich in Zukunft, abhängig vom jeweiligen Geschäftsfeld, nach den Standards im IT-Bereich richten.
----------Ende Textkasten----------
Weitere Sicherheitslücken entstehen über Erweiterungen am Firewall-Portal: Klassische Web-Auftritte werden erweitert mit E-Business-Applikationen, WAP-Servern, Datentransfer- und Remote-Anschlüssen für Mitarbeiter und Kunden. Diese neuen Dienstleistungen greifen in Echtzeit auf vitale Unternehmensdaten zu. Solche Erweiterungen verlangen automatisch eine Designänderung des Firewall-Portals und eine sichere Struktur der Applikationen.
Nebst den Systemen und Netzwerken ist auch die menschliche Komponente zu betrachten. Sicherheitsmaßnahmen und Sicherheitseinstellungen unterliegen einer ständigen Wartung und Pflege: Patches für Betriebs- und Sicherheitssysteme erhöhen nur die Robustheit gegen Angriffe, wenn sie auch eingespielt werden. Zusätzlich ist die Parametrisierung der Sicherheit durch das Regelwerk periodisch auf Schwachstellen und Performance-Beeinträchtigung zu prüfen.
Und nicht zuletzt sind die Menschen selbst ins Sicherheitsdispositiv mit einzubeziehen. Unternehmensdaten sind durch Unwissenheit oder Nachlässigkeit der Mitarbeiter zusätzlichen Risiken ausgesetzt.
Ein Sicherheits-Audit ist letztlich nichts anderes als eine Risikoanalyse über ein definiertes und gut abgegrenztes Umfeld. Die ersten Fragen liegen darum in der Sicherheits-Anforderung bezüglich Vertraulichkeit, Verfügbarkeit und Integrität. Dabei zeigen sich immer wieder überraschende Diskrepanzen zwischen Anspruch und Wirklichkeit.
Bei einer Untersuchung wurden die Ansprüche an die Vertraulichkeit eines E-Business-Servers als sehr hoch, die Verfügbarkeit mit einer maximalen Ausfallzeit von vier Stunden und die Integrität ebenfalls als sehr hoch beurteilt, da das System Buchhaltungs- und Lohndaten verarbeitet. Das Dispositiv hat jedoch keine Datenverschlüsselung und die Benutzeranmeldung erfolgte mit User-ID und Passwort.
Die DMZ einer untersuchten Umgebung enthielt den Webserver, den Mail-Relay, einen FTP-Server und das E-Commerce-Portal. Da der FTP-Server nur unbedeutende Daten enthält, wurde auf ihn kein Sicherheitsfokus gelegt. Aber gerade dieser Server kompromittierte die DMZ: Mit einem Hack konnten die Auditoren via FTP-Server auf den E-Commerce-Server zugreifen und dort Passwörter abfragen. Der Zugriff auf die Daten war damit gegeben.
Auf einem anderen System betreuten zwei unterschiedliche Personengruppen das Firewall-Portal: System-Administratoren den Firewall, Webserver, Virenschutz und das Operating das E-Business-Umfeld. Es zeigte sich, dass das Operating im produktiven System neue Applikationen testet. Das gesamte E-Business-Umfeld war zwar hochverfügbar, aber ohne Katastrophenvorsorge.
Wieder ein anderer Kunde hatte für die gleiche Problemstellung zwei Lösungen entwickelt, da der Zugriff auf die Applikation in einem Falle via Internet und im anderen Falle per Wählleitung erfolgt. Die Kosten für die Entwicklung der zweiten Lösung und der doppelten Wartung standen überproportional einfachen und kostengünstigen Sicherheitslösungen gegenüber, die beiden Verfahren gerecht werden.
Wie bei der Wartung eines Fahrzeugs gibt es auch beim Security Audit einen großen und einen kleinen Service. Zuerst ist eine umfassende Prüfung des gesamten Internet-Portals notwendig. Nebst der allgemeinen Sicherheit sind alle Server auf die Installationsqualität zu prüfen. Zudem gilt es, die Netzbeziehungen über einen gewissen Zeitraum zu überwachen. Mit normalen Scannern wird die Verletzbarkeit der Systeme geprüft und bei kritischen Servern sind manuelle Hacks vorzunehmen. Zusätzlich muss man E-Business-Applikationen auf richtiges Design und Hacking-Resistenz prüfen. Die eingesetzten Mittel sind den Sicherheitsanforderungen und dem Risikopotenzial gegenüberzustellen, um bestehende Lücken aufzudecken.
Nach einem solch umfassenden Audit genügt es zunächst, das Dispositiv periodisch mit Hilfe von Scannern auf seine (Un-)Durchlässigkeit zu prüften. Nach einer größeren Änderung oder nach ein bis zwei Jahren ist jedoch wieder ein umfassendes Audit nötig.
Richard Roth ist Security Consultant bei der nextiraOne (vormals Alcatel eBD) in Kloten (CH).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 48
