Outsourcing von IDS/IPS

Ordnungsmerkmale

erschienen in: <kes> 2005#4, Seite 52

Rubrik: Management und Wissen

Schlagwort: IDS Managed Services

Zusammenfassung: Die Auswahl eines Dienstleisters für Einrichtung oder Betrieb von Intrusion Detection und Prevention kann – richtig angegangen – mehr bringen als nur die Entlastung von personellen Ressourcen und "geleastes" Know-how.

Autor: Von Udo Junk, Hamburg

Bei vielen deutschen Unternehmen sind mittlerweile Intrusion-Prevention-Systeme (IPS) im Einsatz oder in Planung. Doch längst nicht überall, wo sie schon aufgestellt sind, werden diese Sicherheitssysteme auch so überwacht, wie es nötig wäre, um einen umfassenden Schutz geschäftskritischer IT-Prozesse und IT-Ressourcen zu gewährleisten. Simples Aufstellen und Einschalten reicht hierfür – wie so oft – nicht aus; hier versprechen die Marketingaussagen mancher Hersteller nicht selten mehr, als die Systeme bei tiefergehender Analyse halten können. Hinzu kommt das generelle Problem, die finanziellen oder personellen Ressourcen aufzubringen, um IT-Sicherheit so zu organisieren, dass neben den Anforderungen des technischen Betriebs auch versicherungs- und revisionstechnische sowie datenschutzrechtliche Anforderungen vollständig erfüllt werden können.

Eine "Make-or-Buy"-Entscheidung (selbermachen oder outsourcen) hinsichtlich Intrusion Detection und Prevention sollte daher keine reine Kostenentscheidung sein – obwohl ein üblicherweise reduzierter Total Cost of Ownership (TCO) unabhängig von der Unternehmensgröße meist bereits für Outsourcing oder Outtasking spricht.

Die aus Intrusion Detection Systems (IDS) hervorgegangenen Intrusion-Prevention-Systeme (IPS) wurden entwickelt, um Angriffe automatisch und vor allem unverzüglich zu blockieren – bevor ein Schaden überhaupt erst entstehen kann. Damit aber ausschließlich gefährliche Aktivitäten blockiert werden und der legitime Datenverkehr unbehindert bleibt, sind an die Genauigkeit der Systeme hohe Anforderungen zu stellen, was einen entsprechenden Planungs- und Wartungsaufwand bedeutet (s. a. S. 49).

Neben fachlichen sind in Deutschland zudem auch die juristischen Anforderungen an die IT-Sicherheit besonders hoch – dies dokumentiert unter anderem der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) in seiner "Matrix der Haftungsrisiken" ([externer Link] www.bitkom.org/de/publikationen/1357_31034.aspx) – zusätzlich verstärkt durch wirtschaftliche Regularien wie Basel II (Kreditvergaberichtlinien) oder Solvency II (Versicherungen) und eventuell anzuwendenen ausländischen Vorschriften wie dem US-amerikanischen Sarbanes-Oxley Act (SOX). Auch in diesem Lichte kann sich ein Outsourcing empfehlen, das Haftungsrisiken auf einen Dienstleister abwälzt.

Nicht zuletzt gibt es "forensische Argumente", die im Falle eines Falles die Beweiskraft gesammelter Daten betreffen: "Da Log-Dateien mit einem Texteditor einfach zu manipulieren sind, kommt es darauf an, diese möglichst gut gerichtsverwertbar zu erheben und zu speichern," betont Dr. Oliver Gießler, Hamburger Rechtsanwalt und Spezialist für IT-Recht. "Werden sie zum Beispiel von einem Dienstleister mit revisionssicherer Software erhoben und archiviert, genießen sie in einem Rechtsstreit deutlich höhere Überzeugungskraft als eine einfache Log-Datei auf dem eigenen Server."

Management im Kontext

Bei der Auswahl eines Outsourcing-Partners stellt sich zunächst die Frage, wie viel an Managed Services erwünscht ist: Soll der Dienstleister nur die Fernüberwachung eines selbst eingerichteten Systems gewährleisten? Oder übernimmt er – im engen Dialog mit dem Kunden – bereits die Auswahl, vollständige Implementierung und den kompletten laufenden Betrieb des IDS/IPS? Sollen womöglich weitere Beratungs- und Outsourcing-Dienstleistungen in dieselben Hände gelegt werden, um ein umfassendes Sicherheitskonzept "aus einem Guss" zu erhalten?

Unabhängig davon, wie viel letztlich innerhalb und außerhalb des eigenen Hauses erfolgen soll, muss ein IDS/IPS – wie jede Sicherheitstechnik – im Gesamt-Kontext einer Sicherheits-Policy und der Geschäftsprozesse eines Unternehmens aufgehängt sein. Dazu bedarf es einer umfassenden Analyse mit dem Ziel der Etablierung von IT-Governance im Sinne der Steuerung der IT und IT-Sicherheit durch die Business-Anforderungen. Damit garantiert die Einführung eines IDS/IPS-Remote-Managements im Idealfall nicht nur die Durchsetzung aller externen Anforderungen und die Übernahme des Haftungsrisikos, sondern auch die Etablierung geeigneter Management-Prozesse und prozessorientierter Strukturen im eigenen Unternehmen.

Ein zusätzliches Argument für eine weiter gehende Einbindung des Outsourcing-Partners ist die Notwendigkeit, die Ergebnisse (Alarmmeldungen) und möglichen Reaktionen des IDS/IPS sowie des Servicepersonals auf die eigene Business-Logik abzustimmen. Eine Voraussetzung für angemessene Reaktionen auf Security Incidents ist zudem, dass genaue Anweisungen über die Einstufung von Vorfällen als sicherheitsrelevant hinterlegt und entsprechende Alarmierungs- und Handlungsoptionen sowie Eskalationswege vorgegeben sind. Diese schließen Informationsanweisungen an bestimmte Personen(gruppen) ebenso ein wie das Auslösen definierter Gegenmaßnahmen (Security Incident Control) oder auch einen Disaster-Recovery-Plan für den Fall des Versagens der Intrusion-Prevention-Systeme.

Fragliche und tatsächliche Incidents sollten grundsätzlich an einer zentralen Stelle auflaufen, egal ob sie manuell oder automatisch ausgelöst wurden; nur in Ausnahmefällen sollten System oder Dienstleister bestimmte Personen über Vorfälle direkt informieren. Ein entscheidender Punkt ist die Priorisierung von Sicherheitsvorfällen, die in jedem Fall durch ausgewiesene und erfahrene Experten und nicht automatisiert erfolgen sollte. Reportings über Sicherheitsvorfälle müssen, wie auch jeder Incident selbst, natürlich vertraulich behandelt und nur befugten Personen(gruppen) zugänglich gemacht werden (sicherer Kanal und gegenseitige Authentifizierung).

Die Erfüllung all dieser Anforderungen erfordert gegebenenfalls, dass dem Dienstleister im Netzwerk des Kunden Hard- und Software zur Verfügung stehen, die auch bei Ausfall der Internetanbindung eine lückenlose Überwachung, Alarmierung und Reaktion ermöglichen. Forensische Analysen beispielsweise von Denial-of-Service-Attacken könnten sonst unter Umständen unmöglich werden.

Task beim Kunden Aktivität beim Anbieter
Security Incident Management Single Point of Contact (SPoC), Hotline
Priorisierung (Impact)
Workarounds
Monitoring
Eskalationsmanagement
Reporting
Security Problem Management Klassifizierung von Problemen
Problemlösung
Schwachstellenanalyse
Security Release Management Information des Kunden
Einstufung von Updates hinsichtlich Dringlichkeit
Einstufung von Softwareerweiterungen
Security Change Management Updates von Hard- und Software
Planung oder Durchführung von Changes
Security Consulting Strategische Beratung

Tabelle 1: Idealerweise stellt ein Outsourcing-Partner ein modulares System von Serviceleistungen bereit, das sich individuell auf die Anforderungen des Kunden anpassen lässt.

Definierter Leistungsumfang

Im besten Fall steht seitens des Dienstleisters ein modular dimensionierbarer Baukasten von Services zur Verfügung (vgl. Tab. 1). So oder so sollten Art und Umfang der Dienstleistung unbedingt in mess- und prüfbaren (!) Service Level Agreements (SLAs) festgeschrieben werden (vgl. <kes> 2005#3, S. 16). SLA-Kernelemente sind klare Definitionen, Servicezeiten, Anforderungen an Verfügbarkeit und Zuverlässigkeit, Reaktionszeiten, Eskalationsprozeduren, Notfallplanung, Sicherheitsaspekte, Verrechungs- und Messgrößen sowie Messverfahren. Um adäquat auf interne Veränderungen in den Geschäftsprozessen, aber auch in der IT-Infrastruktur reagieren zu können, sollte man SLAs maximal für eine Laufzeit von einem Jahr abschließen.

Ideal zur Überprüfung des Kosten-Nutzen-Verhältnisses oder der Einhaltung vereinbarter SLAs sind so genannte Key Performance Indicators (KPIs), die als Kontrollinstanzen in einem Remote Management von IPS verwendet werden können; leider findet dieser Mechanismus aus der IT Infrastructure Library (ITIL) im Security-Bereich bislang kaum Anwendung. Die vom Dienstleister eingesetzten Tools müssen hierzu in der Lage sein, Kennzahlen unabhängig vom eingesetzten Produkt zu erbringen.

Ein einfaches Beispiel für eine solche quantitative Messgröße stellt der Total Cost of Ownership (TCO) eines IPS dar. Auch dazu sollte ein Anbieter von Remote Management profunde Aussagen tätigen können, denn die Kosten sind ja ein wichtiger Faktor des Outsourcings.

Spannender wird es im Zusammenspiel mit Critical Success Factors (CSFs), die den Erfolg der Einführung eines IPS-Remote-Managements messbar machen. So sind beispielsweise die Zahlen der implementierten Verbesserungen oder umgekehrt auch die Security Incidents aufgrund noch nicht implementierter Verbesserungen nutzbare KPIs für den Erfolgsfaktor "proaktive Erkennung von Security Risks und Vorschläge zur Verbesserung". Für die Betrachtung des "effektiven Einsatzes zur Verfügung stehender Ressourcen" könnten etwa die Pro-Kopf-Kosten des für Security aufgewendeten Budgets als Maßzahl dienen.

Und auch die Begriffe Vertraulichkeit, Integrität und Verfügbarkeit sollten konkret mit Zahlen unterfüttert werden: Hier bieten sich die Zahlen der intern und extern verursachten Security Incidents sowie der durch Security-Audits gefundenen Schwachstellen an.

Anforderungen

Im Endeffekt ist der Abschluss von SLAs jedoch keine Garantie dafür, dass ein Dienstleister oder das von ihm betriebene IDS/IPS tatsächlich die geforderten Effekte erzielen kann. Entscheidend sind hierbei nicht zuletzt das Know-how und die internen Verfahren auf Anbieterseite. Um dem Kunden hier eine gewisse Sicherheit zu geben, sollte das qualitative Niveau hinsichtlich Wissen in Punkto IT-Sicherheit, IT-Betrieb und Prozessmanagement von unabhängiger Seite bestätigt sein.

Hierzu können beispielsweise eine Zertifizierung nach BSI-Grundschutzhandbuch oder der Nachweis von "Best Practices" auf der Basis anerkannter Standards hilfreich sein (ITIL, BS 7799 bzw. ISO 17799). ISO 17799 formuliert beispielsweise 10 so genannte Normenelemente zur IT-Sicherheit. Zu diesen Richtlinien für die Prozess- und Servicequalität zählen unter anderem Überlegungen zur Mitarbeitersicherheit, physischer Sicherheit, Access Control und organisatorischer Struktur.

Auskunft über die persönliche Qualifikation der Mitarbeiter eines Dienstleisters kann deren "Zertifizierung" bezüglich eingesetzter Produkte oder Fachgebiete liefern – beispielsweise als Cisco Certified Internetwork Expert (CCIE) oder Check Point Certified Security Expert (CCSE) beziehungsweise Certified Information Systems Security Professional (CISSP). Als Kriterium zur Bewertung der Integrität und Vertrauenswürdigkeit externer Mitarbeiter können auch Überprüfungen durch unabhängige Organe herangezogen werden, etwa regelmäßige Sicherheitsüberprüfungen durch den Verfassungsschutz oder die NATO. Referenzen können zudem Aufschluss über besondere Erfahrungen bezüglich bestimmter Branchen geben.

Ein bedeutsamer Punkt ist zudem die Herstellerunabhängigkeit eines Dienstleisters. Angesichts des großen Angebots im Markt kann ein solcher Outsourcer die jeweils technisch führenden und zum Einsatzort und -zweck passendsten Komponenten liefern und gleichzeitig flexibel auf veränderte Gegebenheiten reagieren. Im Idealfall sind die beim Kunden zu verwendenden Komponenten im eigenen Labor des Outsourcers entsprechenden Tests unterzogen worden, was ebenfalls als Indikator für die Kompetenz auf Seiten des Dienstleisters dienen kann – zumal die Praxis (zumindest in der Vergangenheit) bei IDS/IPS zum Teil Differenzen der tatsächlichen Leistungsfähigkeit zu den von den Herstellern in Datenblättern gemachten Angaben gezeigt hat.

Ausblick

Technisch wird und muss sich bei der Intrusion Prevention sicherlich noch einiges tun – nicht zuletzt angesichts sich stetig verändernder Angriffsmuster und -methoden sowie wachsender Anforderungen an die Integriät der Netze: "Die heute gängige Herstellervergleichsmethodik der IPS/IDS hinsichtlich des Durchsatzes wird deshalb zukünftig gegenüber der Effektivität und Effizienz der Systeme in den Hintergrund treten", erwartet beispielsweise Dr. Wolfgang Böhmer, unter anderem Lehrbeauftragter der TU Darmstadt und akkreditierter Grundschutz-Auditor. "Die Hersteller werden mehr und mehr gefordert, ihre zukünftigen Produkte (Stichwort: Roadmap) mit logikbasierten Elementen ausstatten zu müssen, um der Komplexität der Anforderungen gerecht zu werden. Alle muster- und vergleichsbasierenden Verfahren werden zukünftig an Bedeutung verlieren."

Zukünftige IPS werden hierzu eine mehrwertige Interpretation von Ereignissen auf Basis "unscharfer Logik" (Fuzzy Logic) integrieren müssen, die sich in der bibliotheks- und informationswissenschaftlichen Praxis bereits seit mehreren Jahren bewährt hat. Anhand der unscharfen Logik könnten solche Systeme lernfähig sein und "bekannte Informationen" auf neu eintreffende Daten anwenden, um diese zu bewerten. So könnte man den Bedrohungsgrad einer Dateneinheit in definierten Skalen bestimmen und gleichzeitig ließen sich die neu gewonnenen Informationen ohne Eingriff von außen auf nachfolgende Datenpakete anwenden, um eine schnellere und weniger administrationsintensive Reaktion zu erzielen, die besser mit der wachsenden Geschwindigkeit von Bedrohungen mithalten kann.

Fazit

Auch heute schon ist die Reaktionsgeschwindigkeit ein wichtiger Faktor, den es bei einem Dienstleister zu berücksichtigen gilt – Reaktionszeiten zu Incidents von maximal fünf Minuten sind im Prinzip durchaus realistisch erreichbar. Für das aktuell realisierbare Security Level sind neben technischen auch organisatorische und juristische Anforderungen zu beachten und in die Vereinbarungen mit einem Outsourcer festzuschreiben. Die konsequente Analyse und Ausrichtung auf die Geschäftsprozesse des Kunden sollte dabei selbstverständlich sein. Gleichzeitig bietet sich mit der Einführung eines IDS/IPS-Remote-Management eine Gelegenheit für den strategischen Einstieg in die (interne) IT-Governance, sofern dieser Schritt noch nicht vollzogen wurde. Auch mit einer durchgängigen Security Policy und einem tatkräftigen Security Consulting lässt sich zwar keine hundertprozentige, aber doch das derzeit mögliche Maximum an IT-Sicherheit und Investitionsschutz erreichen.

Udo Junk ist Security Consultant bei Telindus ([externer Link] www.telindus.de).