extra Harmonischer Dreier Security Die Folgen eines unzulänglichen Compliance und Risk Management Werk - zeuge und Anbieter Veranstaltungen

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Compliance und Risk Management Werk - zeuge und Anbieter Ressourcen, Regeln und Risiken in Einklang bringen Harmonischer Dreier Seite I Security Harmonischer Dreier Ressourcen, Regeln und Risiken in Einklang bringen Das Dreigespann Governance, Risk Management und Compliance (GRC) erlebt seit der Wirtschaftskrise einen Aufschwung, und wie bei allen jüngeren Trends schmücken sich auch hier zahllose Angebote mit diesem Akronym. Der Beitrag stellt die Kernelemente für diesen Aufgabenbereich sowie eine Vorgehensweise als Leitfaden vor. Sicherheitsprozesse und -abläufe aufsetzen Gut gemanagt Sicherheitsinformationen sammeln, verarbeiten und verwalten Zentraler Nachrichtendienst Vorschau Storage Gezielt aufbewahren die Technik aktueller Archivierungs systeme Veranstaltungen 1.ˇ ˇ5. März, Hannover CeBIT 22.ˇ ˇ25. März, Weimar GUUG-Frühjahrsfachgespräch ˇ ˇ12. Mai, Bonn BSI-Kongress: Sicher in die digitale Welt von morgen Seite VI Seite IX Seite XII ix extra Security zum Nachschlagen: Die Folgen eines unzulänglichen oder nicht vorhandenen Risikomanagements sind zumindest aus dem Banken - wesen hinlänglich bekannt. Auch Verstöße gegen das Bundesdatenschutzgesetz oder gegen die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) können Unternehmen teuer zu stehen kommen. Daher ist es nicht verwunderlich, dass die Begriffe Governance, Risk Management und Compliance zusammenfassend GRC immer öfter fallen, wenn es um das gesetzeskonforme und sichere beziehungsweise risikobewusste Management eines Unternehmens geht. Auch wenn der Begriff relativ deutlich umrissene Aufgabenfelder (siehe Kasten) umfasst, gibt es bislang noch keine klare Definition für GRC-Management. Die Softwarehersteller bedienen sich des Akronyms, um darunter mehr oder weniger umfassende Lösungen mit unterschiedlichen Fähigkeiten anzubieten. Die Analysten von Gartner verstehen unter GRC-Management die Automatisierung des Managements, der Messung, Anpassung und des Reportings von Kontrollmechanismen und der Risiken im Einklang mit Regeln, Richtlinien, Standards, Policies und Geschäftsentscheidungen. Bis vor Kurzem setzten viele Unternehmen noch einzelne Anwendungen ein, um damit einer ganz bestimmten Anforderung zu genügen, etwa den Sarbanes-Oxley-Bestimmungen oder branchenspezifischen Regularien. Doch diese eingeschränkte Sicht auf GRC ändere sich gerade, so Gartner, und Unternehmen wollen künftig zusätzliche Aktivitäten wie Audit-Management, IT-Governance, Remediation- und Policy-Management in ihr Vorgehen einbeziehen. Eine sogenannte Enterprise- GRC-Plattform (RGRC) muss gemäß diesen Trends vier Kernfähigkeiten mitbringen. Dazu gehört in erster Linie das Risk Management. Ein solches I

2 Werkzeug unterstützt die Verantwortlichen bei der Dokumentation, dem Einführen und Abarbeiten von Workflows, beim Aufdecken sowie der Analyse, dem Reporting und der Minimierung von Risiken. Neben den Aufgaben des operationalen Risikomanagements kann das Produkt unter Umständen auch Daten aus dedizierten Risiko-Analysewerkzeugen sammeln, um einen Überblick über das unternehmensweite Risk Management zu liefern. Das Risikomanagement ist immer noch der Haupttreiber bei der Entscheidung für GRC. Unerlässliche Kontrollmechanismen Compliance Management, die zweite wichtige Komponente, sollte die für die Thematik Verantwortlichen mit Dokumenta - tion, Workflows und Reporting Governance: bezeichnet eine Reihe von Policies, Prozeduren, Praktiken und organisatorische Strukturen, die auf die strategischen Ziele eines Unternehmens ausgerichtet sind. Dazu gehören auch die Richtlinien für das Aufsetzen und die Nutzung der IT (IT Governance). Ein sinnvolles GRC setzt regelmäßige Aktivitäten und deren Überprüfung voraus. sowie der Visualisierung der Kontrollziele unterstützen. Hinzu kommen die für die Sicherstellung der Compliance benötigten Kontrollmechanismen für die jeweiligen Risiken sowie Möglichkeiten für das Testen und die Mängelbeseitigung. Ein solches Werkzeug muss neben der Compliance im Finanzreporting auch die Einhaltung anderer Richtlinien und Gesetze unterstützen, etwa ISOˇ9000, PCI (Payment Card Industry) oder branchenspe - zifische Regularien, Service Level Agreements und interne Policies. Des Weiteren gehört ein Audit-Management dazu, das die internen Auditoren bei der Verwaltung von Arbeitspapieren unterstützt, aber auch beim Aufsetzen von Audit-bezogenen Aufgaben, dem Zeitmanagement sowie beim Reporting. Und schließlich bildet das Policy-Management die vierte zentrale Funktion von EGRC- Lösungen. Es umfasst eine spezielle Art des Dokumentenmanagements, die den Lebenszyklus von Policies von deren Erstellung, Überarbeitung und Änderung bis zur Archivierung verwalten soll. Die weiteren Aufgaben eines solchen Werkzeugs beinhalten die Zuordnung der Policies einerseits zu den Verantwortlichkeiten sowie Geschäftszielen und andererseits zu Risiken und Kontrollmechanismen, aber auch die Verteilung an Mitarbeiter und Geschäftspartner. Überprüfung der IT inklusive Definition von GRC (Governance, Risk Management, Compliance) Risk Management: leitet sich von den Anforderungen der Governance ab und bezeichnet den Prozess, der gewährleistet, dass wichtige Unternehmensabläufe mit möglichst geringem Risiko und den festgelegten Policies, Prozeduren, Praktiken und organisatorische Strukturen entsprechend funktionieren. Risikomanagement bedeutet ein frühzeitiges Erkennen, Analysieren und Minimieren von Gefahren für den Betrieb. Compliance Management: soll garantieren, dass die Unternehmensabläufe den gültigen Richtlinien und der Gesetzgebung entsprechen. Auch hier spielt die IT eine wesentliche Rolle, denn manche Gesetze wie das Bundesdatenschutzgesetz sind IT-spezifisch oder enthalten IT-relevante Teile, und andere wiederum lassen sich ohne IT-Werkzeuge nicht effizient umsetzen (etwa Auditing- oder Bescheinigungsanforderungen). Quellle: Kuppinger Cole + Partner Viele Anforderungen benötigen bekanntlich IT-Unterstützung. Daher wollen immer mehr Anwender Produkte, mit denen sie zusätzlich auch das Risiko und die Compliance ihrer IT managen können. Sie wollen das Reporting aus der Automatisierung der kontinuierlichen Überwachung der ERP-Anwendungen und anderer Teile ihrer Infrastruktur ebenso in ihre GRC-Plattform einbinden. Dies sind typischerweise Aufgaben des sogenannten IT GRCM, das in erster Linie auf die IT-Verantwortlichen ausgerichtet ist. Kern des IT GRCM sind Policy und Asset Repositories. Des Weiteren gibt es wie bei EGRC ein Basis-Dokumentenmanage - ment, Workflows und Reporting- sowie Dashboard-Funktionen. Alle Funktionen sind jedoch auf die IT-Controls ausgerichtet. Die Werkzeuge erhalten ihren Input aus den IT-Monitoring-Tools, beispielsweise aus dem Vulnerability Assessment, Konfigurations-Auditing, dem Identitäts- und Zugriffs - management oder dem Security Information und Event Monitoring. Für Martin Kuppinger von Kuppinger Cole + Partner ist eine der zentralen Forderungen an ein IT-GRC-Tool die Unterstützung von mehr als einem Compliance-Regelwerk und jeder Art von IT-System. Er erkennt hier einen Trend zu integrierten Lösungen, die sich des Weiteren mit spezialisierten Werkzeugen etwa für Fraud Detection oder Intrusion Detection auf Netzwerkebene kombinieren lassen. In einer GRC-Plattform darf nach Ansicht des Marktforschers ein IAM-be - zogenes (Identity Access Management) GRC-Tool nicht fehlen. Es muss sechs Kernfunktionen mitbringen: Analyse, Bescheinigung (Attestation), Authorization Management, Risk Management, Rollen - management sowie SoD- Verwaltung (Segregation of Duties). Der Analyse bedarf es, um die riesige Datenmenge aus den verschiedenen Systemen zu verwalten. Die Einträge in Audit-Logs, Echtzeitdaten und weitere muss ein solches System normalisieren und analy- II ix extra 3/2011

3 Langzeit-Archivierung im grünen Bereich Die patentierte Content-Archiv-Software icas ermöglicht es Unternehmen weltweit vorhandene, heterogene IT- icas Archive schonen IT-Budgets. Mit icas: Ohne icas: HP & icas: Archive für die Zukunft CeBIT Halle 3 Stand D34

4 sieren. Zudem hat ein GRC- System in der Lage zu sein, regelmäßig die Rechte- und Privilegienzuordnungen sowie weitere Settings zu überprüfen, und dies auf mehreren Ebenen. Denn, so Kuppinger, es reicht nicht aus, dass lediglich die Korrektheit der Zuordnung von Nutzern zu Geschäftsrollen bescheinigt wird. Darüber hinaus hat beispielsweise auch die Zuordnung dieser Geschäftsrollen zu Systemrollen oder Gruppen zu stimmen. Geregelter Zugriff auf allen Ebenen Während die sogenannte Attestierung einen Ansatz zu regelmäßigen Überprüfungen bietet, ist die Autorisierung ein Konzept der konsistenten, stetigen Verwaltung von Zugriffsrechten. Das Autorisierungsmanagement beginnt auf Geschäftsebene und reicht hinunter bis auf die verschiedenen IT-Systeme. Ein Kernelement dieser Funktion sind SoD-Regel - mechanismen, die miteinander in Widerspruch stehende Rechte etwa in ERP-Systemen beschreiben und die Konflikte auflösen. Diese Regeln lassen sich auf jeder Ebene definieren, und das GRC-Werkzeug sollte sie unterstützen sowie mit den SoD-Konflikten im Kontext der beschriebenen Risiken umgehen können. Die Aufgaben im IT-Risikomanagement unterscheiden sich nach Ansicht des Analysten nicht von denen des allgemeinen Risikomanagements. Darüber hinaus geht er davon ANBIETER VON GRC-PLATTFORMEN aus, dass die Plattformen mit einem einheitlichen Ansatz für die Verwaltung der Geschäftsrichtlinien ausgestattet werden. Damit soll es dann möglich sein, Business-Regeln zu beschreiben und diese den IT-Policies und -Einstellungen zuzuordnen. Die meisten heutigen Tools unterstützen einige Policy-Funktionen. Weitere Aspekte, die Kuppinger für GRC als zentral erachtet, sind SIEM (Security Information and Event Management) sowie ITSM (IT Service Management). Einen anderen Ansatz versucht auch das Analystenhaus Kuppinger Cole zu verwirklichen: Eine Referenzarchitektur soll den Begriff GRC klären, indem festgelegt ist, was ein entsprechendes Framework enthalten muss und wie die Hersteller Produkt Website Aline Aline GRC ARC Logics Axentis, TeamMate, Sword cchteammate.com BPS Resolver BPS Resolver BWise BWise Compliance 360 Compliance Computer Associates GRC Manager Cura Technologies Cura DB3 HiScout GRC Suite Double Check GRC&Audit Platform EMC RSA Archer egrc Solutions Ibi Research iris IBM GRC (OpenPages) List Group GRC Evolution LogicManager LogicManager Mega Mega Suite governance-risk-compliance Methodware Enterprise Risk Assessor MetricStream GRC Oracle Fusion GRC Paisley Enterprise GRC Protiviti Governance Portal SAP Businessobjects GRC businessobjects/large/governance-riskcompliance/index.epx SAS Enterprise GRC Software AG GRC overview/default.asp Strategic Thought ARM management.html Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. verschiedenen Teile miteinander interagieren. Vier Phasen sollen ein solches Framework bestimmen (s. Abb.): ˇDie Modellierung der Anforderungen (Analysieren, Entscheiden und Übertragen der Compliance-Anforderungen aus unterschiedlichen Quellen auf die interne Control-Umgebung), ˇdie Statusuntersuchung (Zusammenführen verschiedener Arten von Informationen zu einem kohärenten Status der Compliance aufgrund der in der ersten Phase definierten Anforderungen), ˇVerbesserungsaktivitäten (eine Reihe von Projekten, die zur Verbesserung der Com - pliance führen sollen) ˇsowie das Krisen- und Vorfallsmanagement (vorbereitende Aktivitäten und Prozesse, die eine Organisation in die Lage versetzen, im Notfall adäquat zu reagieren). Die ersten drei Schritte sind regelmäßig zu wiederholen, während der letzte Schritt nur bei Bedarf auszuführen ist. Dem Framework muss ein Risiko-Datenmodell zugrunde liegen, in dem die betroffenen Einheiten modelliert sind. Das bedeutet, das Unternehmen muss erst die Assets und involvierten Geschäftsprozesse bestimmen und bewerten, auf die sich die GRC-Aktivitäten beziehen. Dann sollten die Verantwortlichen die Einflüsse, sprich Gefahren, und die Wahrscheinlichkeit des Eintreffens untersuchen, um schließlich verschiedene Gefahren in Gruppen zusammenfassen zu können und ihnen Kontollmechanismen zuordnen zu können. Ein solch einheitliches Modell ist laut Kuppinger Cole in der Lage, alle verschiedenen Facetten der GRC-Thematik abzudecken: Betrugserkennung, Finanzreporting, gesetzliche Compliance, unternehmensweite Sicherheit sowie Governance. (ur) Susanne Franke ist freie IT-Fachautorin in München. IV ix extra 3/2011

5 Anzeige Web 2.0 und The Ring of Fire Web 2.0 verspricht noch mehr Freiheit und Mobilität im Netz, allerdings heisst das auch, dass Netzwerke häufigeren Angriffen ausgesetzt sind. Dabei wird unter dem Begriff Web 2.0 keine grundlegend neue Art von Technologien oder Anwendungen verstanden, es handelt sich einzig um eine veränderte Nutzung des Internets durch den User. Das Web wird hier nicht mehr nur zur Verbreitung von Informationen instrumentalisiert, sondern die interaktive Beteiligung der Nutzer und die Generierung von Zusatznutzen stehen im Vordergrund auch für Unternehmen. Hier kann sich praktisch jeder frei bewegen, Anwendungen nutzen, Dateien bewegen etc. diese neue Freiheit bedeutet gleichzeitig auch neue Gefahren und Bedrohungen. Hier sollte also ein Ring of Fire errichtet werden, der Netzwerke von Unternehmen, die das Web 2.0 brauchen und nutzen, schützen. Man mag es kaum für möglich halten, aber das Instrumentarium dafür gibt es schon fast so lange wie das Internet selbst: man schützt sich mit einer Firewall. Die ersten Firewalls waren auf die Kontrolle von Ports, Protokolle und IP- Adressen beschränkt. Das reicht für die heutige Bedrohungslage längst nicht mehr aus, sie erfordert eine unmittel - bare Transparenz, die über Ports und Protokolle hinausgeht und Web-Anwendungen und Nutzer einschließt. Die Firewalls der heutigen Zeit müssen in der Lage sein, ein Risiko präventiv einzuschätzen. Mit Einsatz des Web 2.0 wird auch der Einsatz einer Firewall der nächsten Generation notwendig. Eine schnellerer Rhythmus... Ein Einblick in Protokolle und Ports und die Prüfung des auch verschlüsselten Datenverkehrs ist notwendig um zu kontrollieren, was wirklich vorgeht und wer welche Anwendungen nutzt. Nur so können unternehmensgerechte Regeln festgelegt werden für ein- und ausgehende Aktivitäten auf Anwenderebene. Da eine solche Kontrolle auf verschiedenen Ebenen stattfinden muß, kommen auch unterschiedliche Schutzmaßnahmen zum Einsatz. Eine Next-Generation-Firewall konsolidiert Sicherheitsdienste wie Intrusion Prevention, Malware- und Spyware-Schutz und URL-Filterung ohne zusätzliche Kosten oder erhöhten Integrationsaufwand. Die Regeln, die für diese Maßnahmen festgelegt werden, sollten in einem Fenster angezeigt werden, damit mögliche Konflikte und Überschneidungen geprüft und verhindert werden können. Einmal erstellte Regeln, die auch nach langer Zeit noch Gültigkeit haben können, müssen in einer veränderten Bedrohungslage migriert und integriert werden können, ohne viel Zeit darauf zu verwenden. Weil Internetkriminelle in mehrstufige Bedrohungen investieren, die auch unterschiedliche Angriffswege nutzen, reicht ein signaturbasierter Schutz nicht mehr aus. Eine Firewall muß also in der Lage sein, ein Risiko aufgrund von Verhalten, Reputation, Absender- und Empfängeradresse und des Inhalts zu bewerten. Das ganze soll möglichst in Echtzeit erfolgen. Oft sind Unternehmen physisch über mehrere Niederlassungen verteilt, die auch geschützt werden müssen. Es bietet sich also an, dass die in den Zweigstellen verteilten Firewalls über eine zentrale Stelle verwaltet werden, damit die gleichen Regeln überall angewendet werden.... für den Ring of Fire Die neue McAfee Firewall Enterprise vereint drei Innovationen zu einem Schutz: die Kombination von Transparenz, Steuerung von Anwendungen mit reputationsbasierter Bedrohungsintelligenz und Schutz vor vielseitigen Angriffen. Die Transparenz wird erreicht durch den Firewall Profiler, der alle Datenströme und Anwendungen erkennt, die gerade im Einsatz sind. So werden mögliche Risiken erkannt, und Richtlinien können schnell angepasst werden. Diese Richtlinien sind benutzerbezogen, d.h. Zugangsrechte können geprüft werden, sobald ein Nutzer eine Verbindung herstellt. Eine integrierte Anwendungssteuerung ermöglicht die Anpassung der Benutzerrechte innerhalb einer Anwendung. Die McAfee Firewall Enterprise bietet jedoch auch die Möglichkeit, nur festgelegte Nutzungszeiten zu gewähren oder Anwendungen komplett zu blockieren. Auch Whitelistings können erstellt werden, die lediglich Daten bestimmter Anwendungen zulassen. Die Verwaltung von Risiken muss durch die Verwaltung von Regeln ersetzt werden. Die McAfee Firewall ermöglicht das schnelle und problemlose Hinzufügen neuer Anwendungen. Durch die Zuweisung dynamischer Reputationsdaten zu Webseiten, Absendern und Standorten wird eine Blockierung von ca. 70 % aller unterwünschten Daten erreicht, bevor diese ins Netz gelangen. McAfee Firewall Enterprise verfügt außerdem über eine intuitive Verwaltungskonsole, über die an nur einem Bildschirm Regeln erstellt und Verteidigungsmaßnahmen bereitgestellt werden können. Neue Updates der Soft - ware werden automatisch über das Internet ausgebracht. Mit der neuen Generation der Firewalls wie McAfee Firewall Enterprise können die Gefahren, die durch die Nutzung von Web 2.0 entstehen, auf ein Minimum reduziert werden. Das geschieht ohne großen Aufwand und mit überschaubaren Kosten. Ein praktisch undurchdringlicher Ring of Fire kann also ohne große Probleme kreiert werden. Besuchen Sie uns auf der CeBIT 2011 in Halle 11, Stand D11. Erfahren Sie auf unserem McAfee-Forum am Dienstagvormittag, den 01. März und am Donnerstagnachmittag, den 03. März mehr über die McAfee Netzwerksicherheitslösungen der nächsten Generation.

6 Gut gemanagt Sicherheitsprozesse und -abläufe aufsetzen Um Sicherheitsbedrohungen angemessen zu begegnen, müssen die Verantwortlichen alle am Schutz beteiligten Hardware- und Software-Instanzen auf dem aktuellen Stand halten. Damit das funktioniert, ist es wichtig, für das Sicherheitsmanagement einen Ablaufprozess aufzusetzen. Nicht vergessen darf man dabei aber die Praxis, wenn etwa Sicherheits-Patches so schnell wie möglich eingespielt werden müssen. Das Sicherheits- und das Risikomanagement gelten gemeinhin als Spielwiese für Spezialisten in großen Unternehmen. Dabei demonstriert schon ein banales Alltagsbeispiel ganz eindringlich, wie sinnvoll eine Auseinandersetzung mit der Materie für jeden Anwendungsfall sein kann. Wer als Nutzer eine Personal Firewall sowie ein Anti-Virus- und Anti-Spam-Programm auf seinem Rechner installiert hat, kann ein Lied davon singen: Es ist beliebig kompliziert, Firewall, Schutzprogramm und die Patches des Betriebssystems so aufeinander einzustellen, dass alles reibungslos funk - tioniert. Im ungünstigen Fall etwa blockiert die Firewall den Durchlass eines Viren-Signatur- Updates vielleicht, weil sich seit dem letzten OS-Patch irgendwo eine vermeintlich belanglose Registry-Einstellung geändert hat. Dies schickt das Anti-Viren-Programm beim Start in eine Endloswarteschleife und der Rechner stellt jede weitere Kommunikation mit seinem Benutzer ein. In einer Zeit, in der sich die meisten Unternehmen in ihren Geschäftsabläufen auf ihre IT- Infrastruktur und Softwareanwendungen verlassen müssen, ist deren einwandfreie Funk - tionsfähigkeit eine überlebensnotwendige Bedingung. Doch Grafische Oberflächen und prozessorientierte Benutzerführung unterstützen die Verwaltung komplexer Firewall-Landschaften. Quelle: Gateprotect Malware, Viren oder Trojaner, aber auch Softwarefehler können die für Firmen kritischen Anforderungen an die Verfügbarkeit, Performance, Daten - integrität und -sicherheit untergraben. Die Folgen eines Angriffs durch Hacker oder Malware können finanzieller und rechtlicher Natur sein und zusätzlich den guten Ruf der Organisation schädigen. Realistisch betrachtet steckt dahinter allerdings eine vielfach komplexere Aufgabe, als die wenigen Teile des Softwarekonglomerats aus dem Eingangsbeispiel aufeinander abzustimmen. Ideal und Wirklichkeit Um den genannten Bedrohungen angemessen zu begegnen, ist es nötig, alle am Schutz beteiligten Hard- und Softwareinstanzen aktuell zu halten. In einer idealen Welt verfügen Unternehmen dazu über einen exakt definierten Ablaufplan, der in das Risikomanagement integriert ist und auf einen realistischen Bestand wirkt, den das Asset-Management beliebig genau bestimmen kann. Bevor Patches und Updates auf die Geräte der Produktivumgebung gespielt werden, kümmert sich ein extra dafür eingeteiltes Team von Experten darum, ob es Inkompatibilitäten mit den unternehmenseigenen Ressourcen oder unter den Patches selbst gibt. Solche Unzulänglichkeiten gibt es jedoch immer noch in der idealen Welt fast nie, weil alle Hard- und Softwarehersteller ihre Updates und Patches nur hinreichend getestet und sorgfältig auf - einander abgestimmt veröffentlichen. Die Wirklichkeit sieht im weitaus größten Teil aller Unternehmen jedoch ganz anders aus. Dort sind viele Adminis - tratoren und Verantwortliche ohnehin über ihre Kapazität hinaus belastet. Für langwierige Kompatibilitätstests nebst zugehöriger Recherche, welcher Patch oder Bugfix gerade jetzt notwendig ist, bleibt in der Praxis fast nie Zeit zumal, wenn das Aufspielen wegen einer akuten Gefahr schnell erfolgen muss. Situationsverschärfend kommt hinzu, dass eine unternehmensumspannende Managementlösung nur selten ganz oben in der Bewilligungsliste der IT-Budgets zu finden ist. Das vordergründige Argument: Sicherheitsmanagement hat für die Geschäftsprozesse eine untergeordnete Bedeutung. Dennoch hat das Szenario der idealen Welt mehr als nur akademischen Wert. Selbst wenn der zur Verfügung stehende finanzielle Rahmen klein ist, die Teams lediglich aus einem einzigen Administrator bestehen dürfen und der Alltagsstress kaum Zeit lässt, es rentiert sich in jedem Fall, das Security-Management als geordneten Prozess aufzusetzen. Hilfreich kann es sein, sich an der Norm ISO/IEC (ehemals ISO/IEC 17799) zu orientieren, die inhaltlich auf dem British Standard Nr. 7799, Teil 1 (BS :1999) aufbaut (siehe Kasten). Sie enthält zum Beispiel die Beschreibung diverser Kontrollmechanismen. Den deutschen Anteil an der internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 Information Technology Security Techniques trägt die Gruppe DIN NIA IT-Sicherheitsverfahren. Hilfestellung durch Normen Nach der Überarbeitung der ISO/IEC 17799:2000 kamen jeweils neue Hauptkategorien und Sicherheitsmaßnahmen hinzu, außerdem definierten die Beteiligten einen neuen Überwachungsbereich (Information Security Incident Management Umgang mit Sicherheitsvorfällen). Als Grundlage für die Standardisierung gilt dabei eine Sammlung von Erfahrungen, VI ix extra 3/2011

7 ESET-Virenschutz für die gesamte Firmen-IT Damit Ihr Unternehmen kein Pflegefall wird

8 Verfahren und Methoden aus der Praxis (ähnlich ITIL), um einen Best-Practice-Ansatz zu erreichen. Eine Zertifizierung nach ISO/IEC ist allerdings grundsätzlich nicht machbar, da es sich bei der Norm um eine Sammlung von Vorschlägen und nicht For derungen handelt. Will ein Unternehmen ein Informationssicherheits-Management-System zertifizieren lassen, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC möglich. Welche Bereiche einer normgerechten Her - angehensweise unterliegen, zeigt der Kasten auf dieser Seite. Eine der wichtigsten Erkenntnisse: Der Einsatz eines Software-Tools allein löst noch kein Sicherheitsproblem. Security-Management ist stets ein Kompromiss aus einem komplett selbst überwachten Prozess und von Hersteller und Dienstleister vorgegebenen Teilen. Konkret heißt das beispielsweise, dass kaum ein Unternehmen in der Lage ist, die regelmäßig erscheinenden Betriebssystem-Patches selbst zu testen, sondern diese Verantwortung an den Hersteller abgibt. Besonders im Security-Umfeld gibt es oft gar keine Alternative zu dieser Vorgehensweise, denn bei akuten Bedrohungen müssen dort die Patches so schnell wie möglich eingespielt werden. Dazu gehört auch, dass sich die Verantwortlichen rechtzeitig über die aktuelle Bedrohungslage informieren. Der Aufwand, die einschlägigen Community-Web - seiten, Mailing-Listen, Foren und Blogs sowie Herstellerverlautbarungen zu beobachten, ist jedoch selbst für Spezialisten in einem IT-Team gewöhnlicher Größe enorm. Appliances können unterstützen Security-Management nach ISO/IEC 27002:2005 Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen: 1. Weisungen und Richtlinien zur Informationssicherheit 2. organisatorische Sicherheitsmaßnahmen und Management- Prozess 3. Verantwortung und Klassifizierung von Informationswerten 4. personelle Sicherheit 5. physische Sicherheit und öffentliche Versorgungsdienste 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) 7. Zugriffskontrolle 8. Systementwicklung und Wartung 9. Umgang mit Sicherheitsvorfällen 10. Notfallvorsorgeplanung 11. Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits Die elf Bereiche gliedern sich in 39 Hauptkategorien, Kontrollziele genannt. Sie sind mit insgesamt 133 Sicherheitsmaßnahmen untersetzt, deren Anwendung das Erreichen der Kontrollziele unterstützen soll. Quelle: Wikipedia Ein Beispiel dafür, wie ein durchdachtes Konzept dem Endanwender viel Arbeit und Kopfzerbrechen ersparen kann, liefert eine UTM-Firewall-Appliance (Unified Threat Management), auf der eine Kombina - tion aus Open-Source-Software und kommerziellen Produkten arbeitet. In den allermeisten Fällen wird sich der Betreiber für eine Appliance entschieden haben, um den eigenen Aufwand möglichst gering zu halten. Von den Sicherheits- Fea tures aus dem Open- Source-Umfeld weiß er, dass sie besonders leistungsfähig und aktuell sind, weil die Commu nity permanent ein waches Auges darauf hält und Bugs wie Fixes dafür flott kommuniziert. Er selbst hingegen verfügt weder über ausreichend Kompetenz noch über die Zeit, sich ständig auf dem Laufenden zu halten. Er profitiert davon, wenn der UTM-Firewall-Anbieter dediziert zu diesem Zweck ein eigenes Team unterhält, das nichts anderes tut, als den Kontakt zur Community der Entwickler und Benutzer aktuell zu halten. Dies ergibt einen sofort einsehbaren Geschwindigkeitsvorteil. Außerdem verhindert es, dass der Anwender einen Fehler etwa bei einem Kompatibilitätsproblem wiederholt, den ein anderer schon früher gemacht und veröffentlicht hat. Es liegt im Wesen einer UTM-Firewall-Appliance, dass sie für die Sicherheit eines Unternehmens einen besonders kritischen Punkt darstellt. Ein Ausfall wäre für den Betreiber ein Desaster. Überwacht eine kompetente Community sowohl die Bedrohungslage als auch das Funktionieren der Patches, stellt sich fast immer ein Gewinn an Sicherheit ein, und zwar zusätzlich zum Geschwindigkeitsvorteil. Es spricht aber nichts dagegen, dass außer der Open-Source-Software ebenfalls kommerzielle Produkte auf der Appliance laufen können. Anbieter von Anti-Virus-Lösungen liefern ihre Signaturen heute mindestens im Stundentakt; auf der Appliance auch im Zusammenspiel mit anderer Software ohne Probleme. Allerdings ist es selten sinnvoll, den geschilderten Prozess vollständig zu automatisieren. Die individuelle Situation im Alltag des Anwenderunternehmens kann bisweilen ein manuelles Eingreifen erforderlich machen, jedenfalls sollte die Option dazu existieren. Dabei kommt es offensichtlich wieder auf eine exakte Definition des Einsatzortes an: Bei einer Firewall sollte ein kompetenter Administrator entscheiden können, ob das Aufspielen eines Patches oder eines Updates zu einem bestimmten Zeitpunkt gewünscht ist oder nicht. Bei einem Viren-Signatur-Update auf dem Desktop-Systems eines Endanwenders darf diese Entscheidung dagegen nicht beim Nutzer liegen. Vielmehr sollte garantiert sein, dass ein Endbenutzer keine wichtigen Sicherheitsfunktionen deaktivieren kann. Fazit Zu den wichtigsten Aufgaben für ein effizientes Security-Management zählt die Definition eines sauberen Prozesses, der auf der möglichst exakten Kenntnis der eingesetzten Hardware und Software aufsetzt. Kriterien dazu können beispielsweise die einschlägigen internationalen Normierungswerke liefern. Hilfestellung kommt von geeigneter Soft- und Hardware, etwa in Form von Sicherheits-Appliances, die als alleinige Problem - löser aber nicht taugen. Vielmehr ist ein durchdachtes und individuell abgestimmtes Konzept gefragt. Wie viel Eigenleistung des Anwenderunternehmens bei der zeitnahen Beobachtung etwa der Bedrohungslage sinnvoll und möglich ist, hängt von den zur Verfügung stehenden Ressourcen und der Qualifika - tion des zuständigen Personals ab. Meist ist es außerdem sinnvoll, Mitarbeiter vor allem IT-fremde durch spezielle Security-Awareness-Maßnahmen für die Thematik zu sensibili - sieren und entsprechende Schulungen abzuhalten. (ur) Susanne Franke ist freie IT-Fachautorin in München. VIII ix extra 3/2011

9 Zentraler Nachrichtendienst Sicherheitsinformationen sammeln, verarbeiten und verwalten Das Akronym SIEM gehört noch immer zu den wenig bekannten Kürzeln der IT-Sicherheitswelt. Dies wird sich ändern, denn das sogenannte Security Information and Event Management ist für die Erfüllung vieler Compliance-Anforderungen und für ein funktionierendes Informations-Sicherheitsmanagement (ISMS) nach ISO eine wichtige Vorbedingung. Wie auch immer eine Organisation sich dem Thema Informationssicherheit nähert, sie muss auf jeden Fall wissen, wie ihr aktueller Status ist und ob sich der eigene Sicherheitslevel eher nach oben oder nach unten bewegt. Das soll das sogenannte Security Information and Event Management, das zentralisierte Erfassen, Interpretieren und Verwalten aller Daten aus sicherheitsrelevanten Systemen, leisten. Ohne dieses Wissen ist es unmöglich, zielgerichtete Maßnahmen zu ergreifen. Außerdem drohen Fehlinvestitionen bei der Auswahl von Sicherheitsprodukten, und auch ein Nachweis ausreichender Vorkehrungen lässt sich nicht führen. Compliance-Anforderungen spielen eine weitere wichtige Rolle: Externe Vorgaben aus der Wirtschaft und aus dem nationalen und internationalen Recht etwa fordern die Kenntnis des eigenen Status explizit oder implizit ein. Unternehmen schließlich, die ein Managementsystem für Informationssicherheit nach ISOˇ27001 oder BSI-Grundschutz einführen wollen, sind im Rahmen des typischen Regelkreislaufs solcher Management systeme zu einer kontinuierlichen Beobachtung der Sicherheitssitua- NETGEAR FÜR KLEINERE UND MITTLERE UNTERNEHMEN Sicherheit ist kostbar. Und kostengünstig. Bieten Sie Ihren Kunden mit NETGEAR pass genaue Lösungen für kleinere und mittlere Unternehmen. Entdecken Sie Enter prise -Class-Qualität mit erheblichen Kosten vorteilen und übersichtlichem Lizenzierungs modell. In NETGEAR ProSecure Security-Appliances kommt die beste verfügbare Sicherheitsarchitektur zum Einsatz. Sie bieten durch 1,2 Mio. bzw. 3,2 Mio. Signaturen einen effektiven Schutz vor Viren und Malware und arbeiten durch die Stream-Scanning-Technologie bis zu fünfmal schneller als herkömmliche Lösungen. Sie finden uns in Halle 11, Stand D16 UTM5/10/25/50 All-in-one-Gateway-Lösungen mit Router, Application-Proxy-Firewall, VPN, IPsec und SSL-VPN für bis zu 50 Computer-Arbeitsplätze. STM150/300/600 Security-Appliances für Web- und -Threat-Management für bis zu 600 Computer-Arbeitsplätze. Fordern Sie jetzt weitere Informationen oder Ihren persönlichen Katalog an: telefonisch unter oder per UTM50 STM600

10 verstreuten Informationen und weiterer sicherheitsrelevanter Daten zu erleichtern, sodass die Verantwortlichen auf der Basis der Ergebnisse sinnvolle Sicherheitsentscheidungen treffen können. Dazu müssen SIEM-Systeme eine Reihe komplexer Aufgaben lösen. Eine erste Aufgabe, bei der SIEM-Systeme Sicherheitsverantwortliche unterstützen sollen, ist die Analyse des Datenbestands aus unterschiedlichen Perspektiven. In einem Gateway-Log beispielsweise, das das Auftreten aller möglichen Spionageprogramme aufzeichnet, sind im Normalfall nicht alle Einträge von unmittelbarem Interesse. Der Administrator muss sich im Arbeitsalltag auf die Malware konzentrieren, die in seinem Netz überhaupt Schaden anrichten kann. In einem reinen Windows-Netzwerk etwa stellt Windows-Malware eine große Bedrohung dar, deren Auftreten gegebenenfalls Alarme rechtfertigt. Das Beispiel AlienVault zeigt einen typischen SIEM-Bildschirm mit Incident-Status, Netzwerkdarstellung und Risikosituation (Abb. 1). tion gezwungen. Nur so können sie ihre Maßnahmen und Risikoabschätzungen überprüfen, und ohne leicht zugängliche Dokumenta tion der Sicherheitsvorfälle bekommen die Organisationen kein Zertifikat. Logdaten als Quelle Zu den im Rahmen eines Security Information and Event Management relevanten Informationen gehören unterschiedliche statische und dynamische Daten: ˇInformationen über die jeweils aktuelle Funktionsfähigkeit von Sicherheitssystemen, ˇDaten über den Patch-Status von Softwarekomponenten, ˇdie aktuelle Konfiguration relevanter Systeme, ˇZuverlässigkeits- und Laufzeitdaten, ˇInformationen über die Einhaltung von Richtlinien, ˇStatistiken über Funde von Viren und anderer Malware, ˇDaten über Verluste mobiler Speichermedien und Endgeräte, ˇunerlaubte Zugriffsversuche auf vertrauliche Ressourcen und vieles mehr. Auf der technischen Ebene ist die reine Erhebung dieser Daten unproblematisch, denn nahezu alle IT-Systeme vom Server über Firewalls und Intrusion-Detection-Appliances bis hin zu Authentifizierungssystemen liefern auf Wunsch fast beliebig umfangreiche Logdateien. In diesen Dateien gehen die wirklich sicherheitsrelevanten Informationen allerdings oft unter. Außerdem sind sie häufig nur für Techniker verständlich, die die Systeme gut kennen. SIEM hilft bei allen Vorgängen SIEM-Systeme wurden entworfen, um die Verwaltung, Speicherung, Auswertung und Aufbereitung der in den Logdateien Herausfinden, was relevant ist Schädliche Programme für Linux-Rechner sind hier dagegen nur eine Randerscheinung. Diese Einschätzung ändert sich zwangsläufig, wenn plötzlich die Anschaffung von Linux-Servern ansteht. In diesem Fall lohnt sich ein statistischer Rückblick auf die Linux-Mal - ware-funde in der Vergangenheit, um das Risiko abschätzen zu können, das den neuen Systemen im konkreten Netz drohen wird. Der Betreiber kann anhand solcher Daten den Schutzbedarf für die Linux- Server feststellen und seine Entscheidung für bestimmte Maßnahmen nachvollziehbar rechtfertigen und dokumentieren. Logdateien so zu verwalten, dass sie für Auswertungen aufgrund aktu eller, aber auch möglicher zukünftiger Anforderungen zur Verfügung stehen, ist somit ein wichtiger Funkti- X ix extra 3/2011

11 onsbereich von SIEM-Systemen. Eine andere Herausforderung liegt darin, dass über die sicherheitsbezogene Relevanz von Informationen häufig individuelle Schwellenwerte entscheiden. Eine hohe Zahl täglicher Zugriffe auf eine öffentlich zugängliche Datenbank zum Beispiel ist normal, aber ab einer gewissen Zugriffszahl könnte eine Denialof-Service-Attacke dahinter stecken. Tippfehler bei der Authentifizierung an internen Systemen gehören ebenfalls zum normalen Betriebsalltag, aber je nach Muster und Häufigkeit können sie auch auf einen Versuch hindeuten, die Sicherheitsmechanismen eines Systems zu überwinden oder es über einen Software fehler in einen unkontrollierten Zustand zu bringen. Damit ein SIEM-System erkennen kann, ob eine Anomalie vorliegt und ob sie irrelevant ist oder auf einen Angriff hindeutet, muss es die normale Kommunikation im Netz kennen und gegebenenfalls nach dem Muster von Fraud-Detection- Produkten Informationen über bekannte Angriffsmuster aufnehmen können Funktionen, die in den existierenden Angeboten allerdings noch selten zur Verfügung stehen und auf recht unterschiedlichen technischen Ansätzen beruhen. Es gehört zu den wichtigsten Qualitätsmaßstäben für SIEM-Lösungen, dass sie vorhandene Daten unter immer neuen Vorgaben untersuchen können und sich auf die Sicherheitsanforderungen des Betreibers genau einstellen lassen. Dies gilt nicht nur für nachträgliche Analysen, sondern auch für die Echtzeitüberwachung mit Warnfunktion. Dabei spielt unter anderem die Fähigkeit eine Rolle, Informationen aus verschiedenen Quellen korrelieren zu können, denn komplexe Angriffsformen zeigen sich oft erst beim Abgleich von Sicherheitsdaten aus verschiedenen Systemen. Nichttechnische Quellen als Problem Sicherheitsinformationen aus nichttechnischen Quellen, die viele Unternehmen gern in die Managementsysteme aufnehmen würden, lassen sich mit SIEM nur mühsam verarbeiten. Für Sicherheitsverantwortliche ist es beispielsweise interessant, ob Schulungsziele von Awareness-Kampagnen die Unterrichteten erreicht haben oder auf welchem Stand Maßnahmen sind, die im Rahmen einer ISMS-Einführung (Information Security Management System) umgesetzt werden müssen. Informationen dieser Art müssen von Personen erfasst und in ein standardisiertes Format gebracht werden. Dies und die Tatsache, dass schon bei der Eingabe der Informationen subjektive Bewertungen ins Spiel kommen, macht eine sinnvolle automatische Auswertung zu einem Vorgang mit recht vagen Ergebnissen. Moderne SIEM-Systeme versuchen, dem Benutzer eine möglichst übersichtliche Benutzeroberfläche ( Dashboard ) zu bieten, die heute fast immer

12 SIEM liefert gezielt Daten für Nicht-Techniker hier ein Executive-Bildschirm aus dem Open-Source-System OSSIM, das sich auf Compliance-Informationen konzentriert (Abb. 2). zugleich Echtzeitüberwachung mit Warnfunktionen und umfangreiche Analysemöglichkeiten bietet. Beide Funktionsbereiche sind darauf abgestimmt, dass die Informationen auch Managern zugänglich sein sollen, deren technisches Verständnis begrenzt ist. So geben diese Werkzeuge Bedrohungstrends etwa das Malware-Aufkommen oder Angriffsformen wie Denial of Service häufig als statistische Grafiken aus und fassen sie automatisch zu Reports zusammen. Diese Berichte lassen sich in Sicherheitsdokumentationen auf - nehmen und helfen den Unternehmen, entsprechende Compliance-Anforderungen zu erfüllen. Die Burton Group verweist in ihrem SIEM- Market-Profile von 2010 darauf, dass Schätzungen zufolge 80 Prozent der verkauften SIEM- Lösungen aus Compliance- Gründen angeschafft werden. Bei der Echtzeitüberwachung zeigen die Werkzeuge in vielen Fällen Netzwerke als grafische Landkarten an, wobei sich der Sicherheitsstatus einzelner Systeme beispielsweise nach dem Ampel-Prinzip an den Farben Rot, Gelb oder Grün erkennen lässt. Oft ist es möglich, für jedes dargestellte System per Mausklick auf die Karte tiefergehende Informationen abzurufen. Manche Produkte erlauben es auch, festgelegte Verfahren zum Umgang mit Sicherheitsvorfällen einzuleiten dies können technische Reaktionen wie die Abkopplung sensibler Systeme oder Maßnahmen wie die Benachrichtigung von zuständigen Fachkräften sein. Auf Kompatibilität achten Daten langfristig aufzubewahren steht nicht besonders weit oben auf der Prioritätenliste der IT-Verantwortlichen. Lippenbekenntnisse gibt es wie beim Backup viele. Damit Archivierung gesetzlichen und anderen In ix extra 4/2011 Storage: Gezielt aufbewahren die Technik aktueller Archivierungssysteme DIE WEITEREN IX EXTRAS: Um Logdaten unterschiedlicher Sicherheitsprodukte und gegebenenfalls Informationen aus zusätzlichen Quellen auswerten zu können, müssen SIEM- Produkte die Logs in einem gemeinsamen Repository sammeln, normalisieren, kategorisieren, auf sicheren Hoch - leistungsspeichersystemen ablegen, korrelieren, auswerten und schließlich anschaulich darstellen. Anwender, die ein entsprechendes System implementieren möchten, sollten deshalb darauf achten, dass das ausgewählte Produkt mit den bereits im Netz vorhandenen Sicherheitssystemen zusammenarbeitet und dass die Architektur die Einbindung immer neuer, zukünftiger Datenquellen erlaubt. Moderne Systeme erfassen inzwischen beispielsweise sogar die Social-Media-Aktivitäten der Anwender in einem Netzwerk. Anwender sollten außerdem berücksichtigen, dass sich ein einmal installiertes SIEM-System auch auf die Einbindung neuer Sicherheitsprodukte ins Netzwerk auswirkt. Jede neue Security-Appliance oder -Software zieht Abstimmungsarbeiten an der SIEM-Technik nach sich. Die technische Konfiguration macht allerdings nur einen Teil dieses Aufwands aus. Hinzu kommt die Verankerung von Sicherheitsregeln, Schwellenwerten, Kategorien von Events und anderen Informationen in der SIEM-Umgebung, die sich wiederum aus der Risikosituation des Unternehmens sowie einzelner IT-Systeme ableiten. Speziell das Definieren von Korrelationsregeln kann extrem aufwendig sein. Sie beschreiben unter anderem, welche Daten welcher Quellen beim Zusammentreffen mit bestimmten Daten anderer Quellen auf einen Sicherheitsvorfall schließen lassen. Sowohl die Flexibilität des jeweiligen SIEM-Systems als auch die Anwenderfreundlichkeit der Konfiguration entscheiden dabei über den Implementierungsaufwand mit. Als eine neue Herausforderung nennt die Burton Group in der schon erwähnten Studie die Erfassung von Daten aus der Cloud durch SIEM-Systeme. Vor allem für die Übermittlung von Security-Event-Informationen mangelt es noch an praktikablen Verfahren. (ur) Bettina Weßelmann ist freie Journalistin und Spezialistin für unternehmensinterne Sicherheitskommunikation. Regelungen entsprechend in die Praxis umgesetzt wird (Stichwort Compliance ), bedarf es eines Migrationskonzeptes: Je nach Wertigkeit muss das Data Lifecycle Management die Daten auf verschiedenen Stufen ablegen. Das Datenwachstum lässt sogar das Interesse an Tapes wieder aufleben. Erscheinungstermin: Ausgabe Thema Erscheinungstermin 5/11 Networking Mobile Firmenzugänge VPN und 28.ˇ04.ˇ11 die Alternativen 6/11 Embedded Systems Product Lifecycle Management 26.ˇ05.ˇ11 im Automotive-Umfeld 7/11 Security Application-Scanner, Web-Firewalls & Co. 23.ˇ06.ˇ11 Sicherheit im Web 2.0 XII ix extra 3/2011