Das Erkennen und Einschätzen von Sicherheitsrisiken sowie deren Behebung oder Reduktion auf ein tragbares Risiko ist eine wesentliche Aufgabe, um möglichen Angriffen vorzubeugen. Dies kann unter anderem erreicht werden durch eine Sicherheitsanalyse, in der alle eingesetzten organisatorischen und technischen Sicherheitsmaßnahmen analysiert und bewertet werden. Des Weiteren wird deren korrekte Umsetzung überprüft.
Eine Schwachstellenanalyse ist eine weitere Möglichkeit, um die Sicherheit des eigenen Netzes zu überprüfen. Bei dieser Analyse wird nachgewiesen, welche Schwachstellen vorhanden sind und wie sie ausgenutzt werden können. Ein Hilfsmittel, um existierende Schwachstellen zu entdecken, sind Penetrationstests (vgl. S. 30 und KES 2002/2, S. 29ff). Bei diesen Tests wird versucht, die Sicherheit der zu untersuchenden IT-Systeme von "außen" zu kompromittieren, man schlüpft quasi in die Rolle eines Hackers.
Eine weitere Möglichkeit bieten Untersuchungen, in denen die IT-Komponenten, Prozessschnittstellen, die Anwendungen oder auch die Firewall unter Sicherheitsaspekten überprüft werden. Solche Tests können durch interne, aber auch durch externe Prüfer durchgeführt werden.
Es ist sinnvoll, diese Tests in regelmäßigen Abständen durchzuführen, da immer wieder neue Schwachstellen bekannt werden. In solchen Fällen schützen bereits installierte Sicherheitsmaßnahmen möglicherweise nicht mehr oder nur noch unzureichend. Ebenso geben wesentliche Systemänderungen, Sicherheitsvorfälle oder der Einsatz neuer Sicherheitstechnologien Anlass zu erneuten Überprüfungen.
Netze bestehen im Wesentlichen aus IT-Systemen, beispielsweise Clients und Server, aktiven Netzkomponenten (z. B. Router, Switches), Netzwerkdrucker etc. Zwischen diesen Netzkomponenten gibt es Netzverbindungen sowie Verbindungen nach außen, zum Beispiel Internet-Anbindungen, Einwahl-Zugänge über ISDN oder Modem, Funkstrecken oder Mietleitungen zu entfernten Gebäuden oder Liegenschaften.
Zielobjekte einer IT-Sicherheitsuntersuchung sind in der Regel die über lokale oder öffentliche Netze angebundenen IT-Komponenten sowie deren Verbindungen. Sie können eine Reihe von Schwachstellen aufweisen, zum Beispiel "ungepatchte" Betriebssysteme, Fehler in den zugrunde liegenden Diensten (zum Beispiel DNS, E-Mail, FTP) oder auch ungeänderte Default-Passwörter.
Ziel einer IT-Sicherheitsuntersuchung ist es, diese Sicherheitslücken zu entdecken und gegebenenfalls zu beheben. Es gibt verschiedene Möglichkeiten, eine solche Prüfung durchzuführen. Neben einer detaillierten Sicherheitsanalyse kann mithilfe verschiedener Tests die Sicherheit des zu untersuchenden Netzes überprüft werden. Man unterscheidet prinzipiell zwischen Black-Box- und White-Box-Test. Sie werden auf der Basis von unterschiedlichen Wissensständen durchgeführt.
Hierzu wird kein Vorwissen über die zugrunde liegende interne Architektur des Netzes und der implementierten Schutzmechanismen benötigt. Diese Tests simulieren die Situation eines Angreifers ("Hackers"), der selbst auch keine Kenntnisse über das Netz hat und keinen direkten Zugang zum System besitzt. Zu Beginn des Tests werden alle öffentlich zugänglichen Quellen genutzt, um Informationen über die Organisation zu sammeln, anschließend wird mithilfe von Tools gezielt nach Schwachstellen des Netzes gesucht. Werden potenzielle Schwachstellen gefunden, wird versucht, diese auszunutzen, um in das interne Netz oder andere geschützte Bereiche einzudringen.
Vorteil dieser Black-Box-Tests ist, dass sie, sofern durch einen externen Prüfer durchgeführt, mit wenig Arbeitsaufwand für den Auftraggeber verbunden sind. Nachteilig ist jedoch, dass diese Tests wenig Aussagekraft im Hinblick auf das Sicherheitsniveau des gesamten Netzes haben, da das Netz nur von "außen" betrachtet wird. Fehlerhafte Konfigurationsdateien oder Inkonsistenzen in der Rechteverwaltung können mithilfe dieser Tests in der Regel nicht gefunden werden. Für eine systematische Sicherheitsanalyse ist zusätzlich ein White-Box-Test nötig.
Diese Security-Audits basieren auf umfangreichen Informationen (Netzpläne, Applikationen usw.), die der Auftraggeber dem Prüfer zur Verfügung stellt. Der Prüfer besitzt also Kenntnisse über Aufbau, Applikationen und Dienste des zu untersuchenden IT-Netzes. Mithilfe dieser Tests können neben technischen Überprüfungen, wie der Überprüfung der System- und Serverkonfiguration, des Netzkonzeptes, der Sicherheits-Gateways oder der Rechtevergabe auch organisatorische Prüfungen vorgenommen werden. Zum Beispiel lassen sich Inkonsistenzen oder Lücken in der Sicherheitspolitik des Unternehmens entdecken.
Nachteile von White-Box-Tests sind ihr vergleichsweise hoher Zeit- und Arbeitsaufwand.
Folgende Mängel können in der Regel mithilfe von Black- und White-Box-Tests festgestellt werden:
IT-Sicherheitsuntersuchungen können sowohl unternehmensweit als auch in abgegrenzten technischen oder organisatorischen Bereichen (zum Beispiel Netzwerk, Firewall-Systeme o. Ä.) durchgeführt werden. Wird eine IT-Sicherheitsuntersuchung veranlasst, ist es zunächst notwendig, den konkreten Sicherheitsbedarf des zu untersuchenden Bereichs zu ermitteln. Man erreicht das durch eine Schutzbedarfsfeststellung. Mit deren Hilfe wird festgestellt, welcher Schutz für die Informationen und die verwendete Informationstechnik mindestens ausreichend und angemessen ist. Hat man auf diese Weise das eigene Sicherheitsniveau festgelegt, so können in einer Sicherheitsanalyse bestehende Schwachstellen ermittelt und erforderliche Maßnahmen identifiziert und umgesetzt werden.
Entscheidet man sich für die Initiierung einer solchen IT-Sicherheitsuntersuchung, so muss zuvor nicht nur entschieden werden, welche Bereiche der Organisation untersucht werden sollen, sondern auch, welchen Umfang eine solche Untersuchung haben soll.
Folgende Punkte sind hierbei vorab zu klären:
Aufgrund der meist starken Vernetzung der IT-Systeme innerhalb einer Organisation ist es ratsam, im Rahmen einer IT-Sicherheitsuntersuchung die gesamte IT und nicht nur einzelne IT-Systeme zu untersuchen.
Ist es aus Zeit- und Kostengründen nicht möglich, das gesamte IT-Netzwerk zu berücksichtigen, sollte man sich auf die sicherheitskritischen Bereiche konzentrieren. Dies können zum Beispiel die Kommunikationsverbindungen nach außen sein oder Kommunikationsverbindungen, über die hochschutzbedürftige Daten transferiert werden.
Abhängig vom Ziel einer solchen Untersuchung, ist eventuell ein Black-Box-Test ausreichend. Wird jedoch eine umfassende und aussagekräftige Sicherheitsüberprüfung gewünscht, sollte zusätzlich ein White-Box-Test durchgeführt werden. Je klarer das Ziel einer solchen Untersuchung definiert ist und je mehr Informationen (zum Beispiel Netzpläne, Anwendungen) dem Prüfer zur Verfügung gestellt werden, desto zeitsparender und wirksamer wird die Untersuchung.
Stehen intern eigene Fachkräfte in geeignetem Maße für eine IT-Sicherheitsuntersuchung nicht zur Verfügung, muss auf externe Berater zurückgegriffen werden. Jedoch muss sich die Organisation darüber im Klaren sein, dass eine umfassende Prüfung nur in Zusammenarbeit mit dem internen Fachpersonal durchgeführt werden kann. In der Regel werden Projektteams gebildet, die aus internem Fachpersonal, Mitgliedern des Managements und externen Beratern bestehen. Dies erleichtert den notwendigen Know-how-Transfer zwischen den Gruppen.
Gründe für die Einbeziehung externer Prüfer:
Natürlich gibt es auch Gründe dafür, die Überprüfung durch eigenes Fachpersonal durchführen zu lassen, zum Beispiel Aufbau von Fachwissen, Geheimhaltung von wettbewerbswirksamen Informationen. An dieser Stelle soll aber nicht weiter darauf eingegangen werden.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Die Berufsbezeichnung Unternehmensberater ist – im Gegensatz zum Steuerberater – nicht geschützt. Jeder kann sich so nennen, ganz gleich welche Ausbildung und Qualifikation er dafür mitbringt. Deshalb ist die fachliche und persönliche Qualifikation der Prüfer bei der Auswahl eines Beratungsunternehmens besonders wichtig.
Die in Frage kommenden Beratungsunternehmen sollten zu einem unverbindlichen Vorgespräch eingeladen werden. Ein solches persönliches Vorgespräch hat den Vorteil, dass man das geplante Projekt ausführlich besprechen kann, zum Beispiel Vorgehensweise und Projektplan. Außerdem kann man feststellen, ob eine Zusammenarbeit auf kommunikativer Ebene überhaupt möglich ist. Bestehen von Anfang an Kommunikationsprobleme innerhalb des zukünftigen Projektteams, ist eine konstruktive Zusammenarbeit nicht zu erwarten.
Folgende Kriterien sollten bei der Auswahl eines Beratungsunternehmens berücksichtigt werden:
Das Unternehmen sollte Verfahren und Tools zur Durchführung von Penetrationstests zur Verfügung haben und diese kurz vorstellen.
Es genügt nicht, Schwachstellen nur festzustellen. Das Beratungsunternehmen sollte auch in der Lage sein, sie zu bewerten und Lösungen anzubieten.
Nicht nur das Unternehmen muss fachliche Qualifikationen vorweisen, sondern auch die an der Untersuchung beteiligten Mitarbeiter des Unternehmens. Dies kann zum Beispiel in Form eines tätigkeitsbezogenen Lebenslaufs und nachgewiesener Administratorkenntnisse (gegebenenfalls Zertifikate) erfolgen. Wichtig ist auch, dass der hauptverantwortliche Mitarbeiter nicht zum ersten Mal eine Untersuchung dieser Art durchführt.
Neben dem IT-Fachwissen, sollte auch Know-how über Projektmanagement zur Verfügung stehen
Das Beratungsunternehmen muss darstellen können, wie es IT-Sicherheitsüberprüfungen durchführt. Anhand der Plausibilität eines solchen Prüfungskonzeptes lässt sich viel über die Erfahrung, die ein Unternehmen in der Durchführung von Sicherheitsuntersuchungen hat, ableiten.
Nachgewiesene Erfahrungen in der Durchführung von IT-Sicherheitsanalysen und Penetrationstests. Der Nachweis sollte in Form von aussagekräftigen Referenzen oder Publikationen erbracht werden. Es ist sinnvoll, diese Referenzen stichprobenartig nachzuprüfen.
Die Firma sollte Kenntnisse nicht nur im reinen IT-Umfeld haben, sondern auch zum Beispiel auf dem Gebiet der Gebäudeinfrastruktur oder auch im Bereich von Organisationsabläufen besitzen.
Häufig geht es bei der Beratung, besonders bei Lösungsvorschlägen, um die Empfehlung bestimmter Methoden oder Sicherheitstechnologien. Um die Neutralität zu wahren, sollten die Prüfer nicht durch Provisionen oder Verträge an bestimmte Lieferanten gebunden sein.
Wie ist das Unternehmen organisiert? Deckt ein Berater alle Fachbereiche ab, oder gibt es eine Aufgabentrennung, zum Beispiel zwischen den IT-Experten und dem Projektmanagement?
Welche Beratungsgebiete deckt das Unternehmen ab? Welche Leistungen werden in diesen Bereichen angeboten? Eventuell müssen für spezielle Anwendungen weitere externe Berater hinzugezogen werden.
Welche Philosophie vertritt das Unternehmen? Bietet es zum Beispiel Lösungen hauptsächlich für mittelständische Institutionen an oder berät es vorzugsweise Großunternehmen?
Hat das Unternehmen eine Haftpflichtversicherung? Dies ist wichtig, falls durch aktive Angriffe im Verlauf der Überprüfung unbeabsichtigt Schäden entstehen. Es sollte anhand der Versicherungspolice kontrolliert werden, ob mögliche Schäden abgedeckt sind.
Hat das Beratungsunternehmen Niederlassungen in der Region? Dies kann von Vorteil sein, wenn man ad hoc die Beratungsleistung in Anspruch nehmen möchte. Ebenso wirkt sich dies auf mögliche Reise- und Unterbringungskosten aus.
Das Unternehmen sollte nach ISO 9000 zertifiziert sein.
Da das Prüfungsteam nicht ausschließlich aus den externen Prüfern besteht, sondern auch aus dem eigenen Fachpersonal, müssen diese verschiedenen Gruppen miteinander arbeiten können. Dies ist nur möglich, wenn die "Chemie" stimmt.
Geplanter Zeitaufwand für die IT-Sicherheitsüberprüfung
Beginn der Überprüfung
Kommt es zu einem Vertragsabschluss, muss ein Non Disclosure Agreement (NDA), eine Verschwiegenheitsklausel, auf jeden Fall Vertragsbestandteil sein. In dieser Verschwiegenheitsklausel sichert jeder Vertragspartner dem anderen zu, dass er alle ihm von ihm zur Kenntnis gebrachten Informationen als Betriebsgeheimnis behandelt und Dritten nicht zugänglich macht.
Im Verlauf des Projektes ist es wichtig, dass regelmäßige Projektgruppensitzungen stattfinden, in denen der Projektfortschritt, auch in Form von Zwischenberichten, dargestellt wird. An diesen Sitzungen sollten Mitglieder des Managements und eventuell auch des Betriebs-/Personalrates teilnehmen.
Der Betriebs-/Personalrat sollte auf jeden Fall über die Einbeziehung eines externen Unternehmens informiert werden. Dies ist zwar in den meisten Fällen nicht mitbestimmungspflichtig, aber sollten sich aufgrund der Untersuchung zum Beispiel neue Arbeitsmethoden ergeben, so muss der Betriebs-/Personalrat dem zustimmen. Er hat in einem solchen Fall das Recht auf rechtzeitige und umfassende Unterrichtung. Abgesehen davon ist es im Sinne der vertrauensvollen Zusammenarbeit zwischen Arbeitgeber und Betriebs-/Personalrat, dass dieser über die Art, das Ziel und den Umfang des Einsatzes von externen Prüfern in der Institution unterrichtet wird.
Das Ergebnis einer solchen Überprüfung sollte ein detaillierter Bericht sein, in dem das Vorgehen der IT-Sicherheitsüberprüfung klar beschrieben wird. Die Untersuchungsschritte müssen dokumentiert und alle erlangten Informationen über gefundene Schwachstellen aufgelistet sein. Des Weiteren müssen konstruktive, umsetzbare Lösungen vorgeschlagen werden. Sinnvoll ist die zusätzlich Anfertigung eines Managementreports. Der Managementreport enthält eine Zusammenstellung der auffälligsten Schwachstellen, die bei der Untersuchung festgestellt wurden. Der Report wird in einer Schlussbesprechung der Unternehmensleitung präsentiert.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 41