![[Aufbauend auf der technischen Audit-Architektur können statisches, dynamische und/oder Realtime-Audit erfolgen, begleitet von der Audit-Organisation - über allem schwebt letztlich das Eskalations- und Berichtswesen]](65-1.jpg)
Abb. 1: Facetten des Audit
Die Definition und Umsetzung von Sicherheitsanforderungen stellt oft die Hauptaufgabe der IT-Security in Unternehmen dar. Zahlreiche Sicherheitskonzepte kommen an verschiedensten Stellen zum Tragen. Die tatsächliche Umsetzung zu kontrollieren und nachhaltig zu gewährleisten ist jedoch häufig nur von untergeordneter Bedeutung. Letztlich schaffen aber nur Kontrollen in Verbindung mit angemessenen Vereinbarungen in großen Unternehmen mit stark dezentraler Verantwortlichkeit den erforderlichen Anreiz, die in Policies und Konzepten vorgeschriebenen Maßnahmen durchgängig und dauerhaft umzusetzen. Vor allem Sicherheitsstandards, die sich nicht technisch erzwingen lassen, sind auf leistungsfähige Kontrollmechanismen angewiesen. Besonders hier ist das Instrument "Audit" geeignet und notwendig, um festzustellen, ob verabschiedete Standards in der Praxis eingehalten werden, um bei Verstößen zeitnah Gegenmaßnahmen einleiten zu können.
Unter Audit versteht man im Allgemeinen die selektive Kontrolle und Überwachung von Systemen unter sicherheitsrelevanten Gesichtspunkten. Diese Aufgabe erfordert Konzepte, um die Probleme der Sammlung, Archivierung und Auswertung der Audit-Informationen, die Nachvollziehbarkeit und Eindeutigkeit erkannter Sicherheitsverstöße und die Vermeidung einer ungewünschten Informationsflut zu lösen. Bei differenzierterer Betrachtung umfasst ein Audit verschiedene Blickwinkel, die von einem statischen bis hin zu einem echtzeitorientierten Ansatz reichen.
Abb. 1: Facetten des Audit
Der statische Aspekt konzentriert sich auf sicherheitsrelevante Einstellungen, beispielsweise der vergebenen Berechtigungen oder Konfigurationseinstellungen des installierten Betriebssystems. Das statische Audit hat zum Ziel, die Einhaltung der definierten technischen Sicherheitsrichtlinien oder Konzepte zu überprüfen. Es handelt sich um eine punktuelle Aktivität, die nur Informationen über den aktuellen Zustand eines Systems zum Prüfzeitpunkt liefert. Der Zustand des Systems kann sich jedoch innerhalb kürzester Zeit ändern. Die durch das Audit gewonnenen Sicherheitsinformationen sind dann im schlimmsten Fall unbrauchbar geworden.
Beispielsweise kann im Unternehmen die Kenntnis über monatlich durchgeführte Sicherheitsüberprüfungen und ihren Zeitpunkt dazu führen, dass Policies nur während des Prüfungszeitraums aktiviert und danach wieder deaktiviert werden. Der Auditor wird getäuscht, man errichtet quasi Potemkinsche Dörfer, die mit der betrieblichen Praxis nicht übereinstimmen.
Sinnbildlich ist dies mit einem Haus zu vergleichen, bei dem alle Türen verschlossen sind. Einem Einbrecher ist bekannt, dass der Sicherheitsdienst immer um Mitternacht seine Runde dreht und nach dem Rechten schaut. Der Einbrecher ist dann umso mehr auf der Hut und wird seinen Einbruch unter Umständen mit einem zuvor angefertigten Nachschlüssel nach Mitternacht durchführen. Nach vollbrachter Arbeit verschließt er alle geöffneten Türen wieder. Dem Sicherheitsdienst wird dann nichts auffallen, da bei seiner nächsten Runde alle Türen verschlossen sind und es keine Anzeichen für einen Einbruch gab.
Das macht den Sicherheitsdienst natürlich nicht überflüssig. Solche statischen Audits sind aber vor allem dann sinnvoll, wenn man neue Systeme aufgebaut hat oder wenn diese stichprobenhaft auf Einhaltung von Sicherheitsrichtlinien überprüft werden sollen. Ein solches Audit schafft schnell und zuversichtlich Klarheit über die aktuelle Sicherheitslage in bestimmten Teilen der Informationstechnik. So zeigt beispielsweise die Sicherheitsüberprüfung einer Web-Umgebung, wo zielgerichtete Investitionen in die Sicherheit sinnvoll sind.
Falls im eigenen Unternehmen Know-how fehlt, bietet sich zur Überprüfung von komplexen Umgebungen die Nutzung von Dienstleistern an. Eine weitere Möglichkeit ist der Einsatz von statischen Analysetools, um Informationen über Standard-Systeme zu erhalten. Zudem bildet die (ggf. regelmäßige) Durchführung eines statischen Audits die Ausgangslage für die nächste Stufe: das dynamische Audit.
Ein dynamische Audit richtet sich auf Ereignisse, die als sicherheitskritisch eingestuft und bei ihrer Entdeckung sofort gemäß vorab definierter Regeln (Policy) zu behandeln sind. Es ist somit möglich, ein Sicherheitsloch nach seinem Eintreten zeitnah zu schließen und weiteren Schaden zu vermeiden. Darüber kann man auch Sicherheitslücken erkennen, die nur temporär auftauchen. Anders als beim statischen Audit können selbst kurzzeitig geöffnete Hintertüren auffallen.
Im Beispiel des Gebäude-Wachdienstes lässt sich ein dynamisches Audit am besten durch die Verwendung einer Videokamera darstellen. Wie schon im ersten Beispiel dreht ein Wachdienst seine mitternächtliche Runde. Doch zusätzlich sind die Eingänge des Hauses mit einer Videokamera überwacht, die alle nächtlichen Aktivitäten an den Türen aufzeichnet. Den musterhaften Einbrecher muss dies nicht zwar abschrecken, da er keinen sofortigen Zugriff zu befürchten hat, wenn er mit seinem Nachschlüssel in das Haus eindringen und schnell wieder verschwinden kann. Die nachträgliche Auswertung des Videobandes kann aber Hilfestellung bei der Aufklärung geben, ob ein "Angriff" stattgefunden und um welche Art es sich gehandelt hat. Im Beispiel würde offenkundig, dass es sich um einen Einbruch mit einem Nachschlüssel gehandelt hat. Darüber hinaus kann man bei den folgenden Ermittlungen anhand der Aufnahmen versuchen, den Täter zu identifizieren. Für die Sicherheit des Hauses bedeutet diese Erkenntnis einen Fortschritt, da man Investitionen zur Verbesserung der Sicherheitslage, etwa durch neue Schlösser, jetzt zielgerichtet tätigen kann.
Für die IT-Security im Unternehmen erfordert ein dynamisches Audit die konsequente Auswertung der Daten, die auf den IT-Systemen erhoben werden. Technisch gesehen liegen die Informationen über Art und Ausgestaltung durchgeführter Angriffe oder Spuren von Sicherheitslücken in den Log-Files der Betriebssysteme oder Protokolldateien der Anwendungen. Um ein dynamisches Audit im Unternehmen einzuführen, bedarf es einer abgestimmten Vorgehensweise oder noch besser einer Audit-Architektur, die verschiedene Audit-Maßnahmen bündelt.
In der Kombination mit einem statischen Audit-Ansatz (erfolgreiche Sicherheitsüberprüfung) bedeutet dies für das dynamische Audit, zumindest alle Manipulationen oder Änderungen an den Einstellungen eines gehärteten IT-Systems zu erfassen und anschließend auszuwerten. Nur so ist gewährleistet, dass ein gehärtetes System, welches den Sicherheitsanforderungen des Unternehmens entspricht, über längere Zeit gesichert betrieben werden kann. Zumindest ist dann der IT-Verantwortliche immer darüber informiert, ob Schwächen aufgetreten sind. Zudem lassen sich diese dann zeitnah und zielgerichtet schließen.
Wie für die meisten Problemstellungen sind auch für ein dynamisches IT-Audit technische Lösungen am Markt vorhanden. In Abstimmung mit statischen Audit-Tools kann so eine Informationsbereitstellung über den Zustand der Sicherheit im Unternehmen erfolgen.
![[Screenshot: NetIQ Security Manager]](65-2.jpg)
Abb. 2: Für das dynmaische Audit von IT-Systemen stehen
technische Lösungen zur Verfügung (im Bild: NetIQ
Security Manager)
Die Echtzeit-Variante des IT-Audits stellen Intrusion Detection/Response Systeme dar (IDS). Diese komplexen Instrumente dienen zur Erkennung von Angriffsprofilen und der entsprechenden Reaktion darauf; das Einleiten von Gegenmaßnahmen ist jedoch ein hoch komplexes Thema. Um bei dem Gebäudesicherheits-Beispiel zu bleiben, würde das für den Einbrecher des Hauses bedeuten, dass er nach seinem Eintritt oder schon beim Versuch die Türe zu öffnen, mit automatisierten Gegenmaßnahmen rechnen müsste oder vom zeitgleich informierten Wachdienst verhaftet würde.
Die Voraussetzung für alle derartigen Aktivitäten bildet eine Security-Policy oder auch das Sicherheitskonzept eines Unternehmens. Ohne die darin getroffenen Regelungen, die beschreiben, was eigentlich verboten oder erlaubt ist, kann kein entsprechendes Audit aufgebaut werden. Aufbauend auf allen vorangegangenen Ausführungen ist zur Umsetzung eines Audits zudem ein individueller Grundschutz für das Unternehmen zu definieren, der auf die im Unternehmen vorhandenen Konzepte abgestimmt ist. Er stellt damit die Basis für eine Audit-Architektur dar, mit der die verschiedenen Aktivitäten von einer Sicherheitsüberprüfung bis hin zu einem IDS koordiniert werden.
Die Audit-Organisation umfasst zwei verschiedene Bereiche: zum einen die technischen Aspekte und Ansätze des Audits, die Art, wie es durchgeführt wird und welche Hilfsmittel das erleichtern – zum anderen die organisatorische Seite, in welchem Rahmen die Mitarbeiter handeln können, die ein Audit durchführen, aber auch Festlegungen, welche Vorkehrungen zu treffen sind, damit das Audit im Unternehmen rechtlich durchführbar wird.
Die technischen Möglichkeiten für Audits bergen ein hohes Abschreckungspotenzial. Wenn es im Sprichwort heißt, dass nicht der Förster den Wald schützt, sondern die Angst vor dem Förster das vollbringt, so kann dies – übertragen auf die Auditierung – bei falscher Betrachtungsweise im Unternehmen starke Ablehnung nach sich ziehen. Wer Angst hat, überwacht zu werden, wird versuchen, der Überwachung zu entgehen. Aus Einsicht verhält man sich eher kooperativ. Daher ist der Aspekt der organisatorischen Einbettung und Einführung im Unternehmen vorrangig zu behandeln.
Was bedeutet dies für die IT-Security? Das vorrangige Ziel muss sein, den Mitarbeiter und die Unternehmensdaten vor Angriffen von außen oder – schenkt man den Statistiken Beachtung sogar zu 80 % – von innen zu schützen. Dieses Ziel gilt es entsprechend zu kommunizieren. Gerade der Schutz des einzelnen Mitarbeiters wird durch das Audit erst möglich, da Zu- und Angriffe auf seine Daten oder seinen Benutzer-Account nachvollziehbar werden.
Es ist festzuhalten, dass nicht alles erlaubt und sinnvoll ist, was technisch möglich ist. Um dieses frühzeitig klarzustellen, ist es wichtig, verschiedene Stellen im Unternehmen über die geplante Vorgehensweise zu informieren und im Rahmen der Einführung mit einzubinden:
Im Gespräch mit den genannten Stellen hat die Praxis gezeigt, dass bestimmte Fragestellungen wie beispielsweise "Was wird protokolliert?" und "Wer wird darüber informiert?" frühzeitig beantwortet gehören. Die dadurch erzielte Transparenz in der Vorgehensweise schafft leichter eine positive Einstellung zum Thema Audit.
Eine zusätzliche Motivation für das frühzeitige und umfassende Festschreiben der organisatorischen Abläufe liefert der Schaden, den blinder Aktionismus – übereifriges Handeln – verursachen kann. Panik- oder Stegreifaktionen vergrößern leicht das Unheil, verschleiern womöglich die tatsächlichen Vorkommnisse und werfen im Nachhinein ein negatives Licht auf den Auditablauf.
Daher muss von vornherein klar sein, was derjenige, der eine Meldung über einen Vorfall erhält, nach der ersten Untersuchung und Bewertung für weitere Maßnahmen zu ergeifen hat. Dabei stellen sich folgende Fragen:
Für eine effiziente Verfolgung benötigt man unbedingt eine Eskalationsstrategie. Es ist festzulegen, wo die Kompetenzen des Audits enden und wer im Angriffsfall zu Hilfe gezogen werden kann. Derart definierte Abläufe schützen nicht nur vor Missbrauch, sondern geben dem Mitarbeiter, der das Audit durchführt, eine klare Richtlinie an die Hand, wie er sich bei einem Sicherheitsvorfall verhalten sollte.
Vorrangiges Ziel sollte es sein, unter Berücksichtigung der besonderen Bedingungen der IT-Infrastruktur des jeweiligen Unternehmens schnellstmöglich die Einführung eines Basis-Audits zu erreichen. Kern der Maßnahmen ist die effektive Durchführung von statischen und dynamischen Audits, die eine Vorreiterrolle beim Aufbau eines umfassenderen Audits spielen können. In diesem Rahmen müssen grundlegende Voraussetzungen wie ein schadenminimierendes Eskalationsverfahren oder eine abgestimmte Audit-Organisation geschaffen werden. Der Einsatz dieser Maßnahmen wird dann leicht auch der "Türöffner" für weitere Aktivitäten, etwa die Einführung eines Intrusion Detection Systems.
Zusätzlich gilt es, bei den internen Mitarbeitern, die sich mit dem Audit beschäftigen, Wissen aufzubauen. Die Sensibilität für die Themen Security und Audit sollte durch Theorie und Praxis gefördert werden. Das erleichtert die zukünftige Nachverfolgung von Sicherheitsvorfällen.
Abschließend ist zu beachten: Falls das Audit einen Vorfall anzeigt, ist das zunächst immer nur ein Indiz für einen möglichen Angriff, nie der Beweis. Die zur Beweissicherung erforderlichen Kenntnisse sind im Vorfeld abzustimmen, werden jedoch erst mit fortlaufendem Umsetzungsstand der Aktivitäten ihre Praxisnähe beweisen können.
Somit gilt es zur zeitnahen Vorfallsentdeckung ein Doppelziel zu erreichen: einerseits den Aufbau eines Audit-Systems mit einer weitgefassten Sicherheitsarchitektur, andererseits ein geschärftes Verständnis der IT-Mitarbeiter und der Organisation sowie Muster für effiziente Reaktionen. Technische Lösungen, die als zentraler Verwaltungspunkt für alle Anwendungen und Systeme im Unternehmen ein Gesamtbild über deren Sicherheit(-slücken) abgeben, können dabei eine große Hilfe sein.
Michael Thoenißen ist Berater beim NetIQ-Partner security in mind IT-Consulting.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 65
