Sicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze

Transkript

1 Kurzfassung Sicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze Isabel Münch 1 Ziel einer Sicherheitsrevision ist es, zu überprüfen, ob die eingesetzten IT-Systeme und IT-Verfahren sicher betrieben werden bzw. eventuell vorhandene Sicherheitslöcher aufzufinden. Ein Sicherheitsaudit ist im allgemeinen sehr aufwendig, dauert dementsprechend lange und bindet intern und extern Personal. Ein Basissicherheitscheck ist weniger aufwendig und kann im allgemeinen innerhalb von zwei Wochen komplett abgeschlossen werden. Im Rahmen des Vortrages wird dargestellt, welche Revisionsansätze innerhalb des BSI existieren und in der praktischen Arbeit eingesetzt werden und wie diese in ein umfassendes Revisionskonzept einfließen sollen. Einleitung Um ein gleichmäßiges IT-Sicherheitsniveau innerhalb einer Organisation erreichen und erhalten zu können, muß die Umsetzung aller erforderlichen IT-Sicherheitsmaßnahmen regelmäßig überprüft werden. Hierfür werden zunehmend einsatzfähige Revisionskonzepte durch die Bundesverwaltung nachgefragt. In einigen Teilbereichen werden Revisionsansätze durch das BSI bereits erfolgreich angewendet, etwa durch Basissicherheitschecks zur Überprüfung der Umsetzung von IT-Grundschutzmaßnahmen oder durch Penetrationstests bei Firewalls. Um das IT-Sicherheits-Ist organisationsweit überprüfen zu können, ist aber ein umfassendes Revisionskonzept notwendig. Als Grundlage für dieses Revisionskonzept wurde im BSI ein dreistufiges Modell gewählt. Aufbauend auf einem Basissicherheitscheck in Stufe 1 sollen in Stufe 2 Fachgespräche und Analysen für die verschiedenen IT-Systeme durchgeführt werden. In Stufe 3 werden Penetrationsversuche durch geschulte Experten durchgeführt. Revision in der Praxis Bei der Durchführung von Sicherheitsanalysen setzt das BSI in der täglichen Arbeit Ansätze aus allen drei Stufen ein: 1 Isabel Münch, BSI, Bonn 6. Deutscher IT-Sicherheitskongreß des BSI 1

2 Revision Stufe 3 Penetrationstest, toolgestützt und manuell Revision Stufe 2 Fachgespräche und Analysen für die verschiedenen IT-Systeme, z.b. NT, Novell, Unix, TK-Anlagen Revision Stufe 1 Basissicherheitscheck auf Basis von IT-Grundschutz Es werden Basissicherheitschecks zur Überprüfung der Umsetzung von IT-Grundschutzmaßnahmen durchgeführt. Durch das BSI werden diese als Dienstleistung für Bundesbehörden organisiert. Da der Beratungsbedarf in Fragen der IT-Sicherheit durch die zunehmende Abhängigkeit von der IT in den letzten Jahren stetig steigend war, mußten hier neue Wege gefunden werden, den um Beratung nachfragenden Stellen möglichst kurzfristig einen Überblick über den Stand ihrer IT-Sicherheit zu bieten und Lösungsansätze für dabei aufgezeigte Probleme zu bieten. Zu diesem Zweck wurde der Basissicherheitscheck entwickelt. Er ist eine schnelle Ist- Aufnahme des bestehenden IT-Sicherheitsstandards als Basis für die Planung von Sofortmaßnahmen und weitergehende Sicherheitsanalysen. Ein Basissicherheitscheck hat eine durchschnittliche Dauer von 10 Arbeitstage, darin sind drei bis vier Tage Untersuchung vor Ort enthalten. Zur Vorbereitung der Untersuchung werden notwendige Informationen und Unterlagen ausgetauscht. Die eigentliche Untersuchung vor Ort wird durch ein BSI-Beraterteam in enger Zusammenarbeit mit der beratenen Behörde durchgeführt. Ein Team des BSI führt dann Interviews und Begehungen in der Behörde durch, bei der die IT-Systeme auf Schwachstellen und Schutzmaßnahmen untersucht werden. Als Hilfsmittel dienen die Vorgaben des IT-Grundschutzhandbuches des BSI. Das BSI erstellt und übergibt danach den Ergebnisbericht. Dieser liefert trotz der Kürze der Zeit einen umfangreichen Überblick über die aktuelle IT-Sicherheitssituation der beratenen Behörde. Auf dessen Grundlage können dann weitergehende Sicherheitsanalysen folgen. In vielen Fällen zeigt der Bericht auch auf, daß ein dringender Handlungsbedarf des Managements bzw. der IT-Sicherheitsverantwortlichen vorhanden ist, um aufgedeckte Schwachstellen zu beseitigen Deutscher IT-Sicherheitskongreß des BSI

3 Im Rahmen der Untersuchung von Netzanbindungen werden Penetrationstests bei den eingesetzten Serversystemen durchgeführt. Hier steht die Sicherheit der Firewalls im Vordergrund, also der Schutz der internen Netze oder sensibler Teilnetze vor Angriffen durch Hacker. Die Penetrationstests werden aufbauend auf dem Wissen über typische Schwachstellen und Angriffsmöglichkeiten durchgeführt. Teilweise kommen dabei auch Tools zur Überprüfung der sicherheitsrelevanten Konfigurationen ins Spiel. Ein Beispiel ist hier USEIT als Tool zur Überprüfung der Sicherheit von Unix-Systemen, das im Auftrag des BSI entwickelt worden ist. Daneben gibt es viele andere Tools, die - meist betriebssystemspezifisch - typische Konfigurationsschwachstellen überprüfen. Das BSI untersucht z. Z., ob die Notwendigkeit besteht analog zu USEIT entsprechende Tools für andere Betriebssysteme entwickeln zu lassen, z. B. für Windows NT oder Novell, oder ob der bestehende Bedarf durch existierende Tools abgedeckt werden kann. Erarbeitung eines Revisionskonzepts Das BSI beabsichtigt, zunächst eine Vorgehensweise zur Erstellung eines Revisionskonzeptes zu entwickeln sowie dieses Gerüst um weitere Bausteine für die verschiedenen IT-Systeme zu ergänzen. Hierzu werden z. B. Verfahrensbeschreibungen für Penetrationstests ausgearbeitet, die es ermöglichen sollen, trotz der jeweils spezifischen IT-Konfigurationen eine Vergleichbarkeit der Penetrationstests zu gewährleisten, die innerhalb einer Revision gewonnenen Erfahrungen an andere Kollegen weiterzugeben, und die zeitaufwendigen Analysen potentieller Schwachstellen in kürzerer Zeit durchführen zu können. Hier hat es sich z. B. als sinnvoll herausgestellt, für die zu untersuchende Stelle im Vorfeld Unterlagen vorzubereiten, aus der diese ersehen kann, welche Informationen das BSI für die Durchführung von Penetrationstests oder Sicherheitsanalysen benötigt. Seitens der Berater gibt es hier sehr genaue Vorstellungen, welche Grundmenge an Informationen - abhängig von IT-spezifischen Gegebenheiten - für die Vorbereitung der Untersuchung benötigt wird. Die Erfahrung hat aber gezeigt, daß viele Organisationen erstaunlich lange Vorlaufzeiten brauchen, um diese Informationen zusammenzustellen, selbst wenn bei Projektstart betont wurde, daß alle benötigten Unterlagen vorhanden wären. 6. Deutscher IT-Sicherheitskongreß des BSI 3

4 Eine Stufe des Revisionskonzepts sind Fachgespräche und Analysen für die verschiedenen IT-Systeme. Diese werden schon länger im Rahmen umfassender oder auch themenspezifischer IT-Sicherheitsuntersuchungen durchgeführt, sind aber in der bisherigen Form sehr aufwendig und personalintensiv. Neben der Ausarbeitung von Verfahrensbeschreibungen und Grundlagendokumenten sollen hier Checklisten bei der Vorbereitung, Durchführung und Ergebnisdarstellung solcher Analysen helfen. Hierfür sollen zunächst Checklisten für einzelne Themenbereiche entwickelt bzw. getestet werden. Da aber die IT-Sicherheit einzelner Teilbereiche auch immer entscheidend von der Qualität des IT- Sicherheitsmanagements abhängt, sollten natürlich auch die übergreifende Organisation und Verwaltung der IT-Sicherheit untersucht werden. Revisions-Checklisten werden entsprechend dem Stufenmodell des Revisionskonzeptes für alle drei Stufen vorbereitet werden. Für Stufe 1 werden die bereits im Rahmen der Basissicherheitschecks erprobten Formblätter zur IT-Grundschutzerhebung übernommen, die einen zügigen Soll-Ist-Vergleich zwischen den vorhandenen und den im IT-Grundschutzhandbuch empfohlenen Sicherheitsmaßnahmen ermöglichen. Darüber hinaus werden bzw. wurden auf Basis des IT-Grundschutzhandbuches Checklisten für Revisionen der Stufe 2 und 3 erarbeitet. Bild: Formblatt zur IT-Grundschutzerhebung Aufbauend auf dem IT-Grundschutzhandbuch wurden viele IT-Sicherheitskonzepte erarbeitet und konkrete Maßnahmen zur Erreichung des IT-Sicherheits-Solls abgeleitet. Diese müssen im laufenden Betrieb regelmäßig überprüft und aktualisiert werden. Hierfür 4 6. Deutscher IT-Sicherheitskongreß des BSI

5 sollen mit den Revisions-Checklisten weitere Hilfsmittel angeboten werden, die für den höheren Schutzbedarf, aber auch für neue Erfordernisse erweiterbar sind. Dies erfolgte zunächst für einige ausgewählte Bausteine wie Organisation, Personal, Windows 95 und Windows NT. Die hierbei erarbeiteten Checklisten wurden bzw. werden noch in konkreten Beratungsprojekten des BSI erprobt, um zu überprüfen, inwieweit der theoretische Ansatz praxistauglich ist. Es wurden folgende zentrale Anforderungen identifiziert: Die Checklisten müssen in der Praxis leicht anwendbar sein, damit die Benutzer dieses neue Hilfsmittel akzeptieren und einsetzen. Die Checklisten müssen einfach an neue Anforderungen angepaßt bzw. erweitert werden können. Es sollen sowohl neue Themengebiete in der vorgegebenen Struktur erstellt als auch neue Maßnahmen und benutzerspezifische Anpassungen hinzugefügt werden können. Anwender sollen sowohl weitere Fragen hinzufügen als auch Fragen, die für die betreffende Organisation nicht relevant sind, weglassen können. Die Checklisten müssen so strukturiert und gegliedert werden, daß die Durchführung der Revision durch mehrere Personen möglich ist. Die Checklisten sollten soweit wie möglich vollständig und korrekt sein. Sie sollten natürlich verständlich formuliert sein, damit keine Mißverständnisse bei der Beantwortung der Frage auftreten und eventuell falsche Antworten gegeben werden. Das Ergebnis der Revision sollte sich gut ablesen lassen, dabei sollten Problemfelder leicht identifizierbar sein. Das Ergebnis sollte außerdem übersichtlich und kompakt darstellbar sein (z. B. in Form eines Managementreports). Mit Hilfe der Checklisten soll der Umsetzungsgrad des IT-Grundschutzes überprüfbar sein. Die erarbeiteten Checklisten sollen nach einer Testphase mit registrierten Anwendern des IT-Grundschutzhandbuches diskutiert werden. Nach einer Erprobungsphase werden sie dem IT-Grundschutzhandbuch als weitere Hilfsmittel beigefügt. 6. Deutscher IT-Sicherheitskongreß des BSI 5

6 Bild: Checkliste der Stufe 2 zu Organisation Ausblick Das IT-Grundschutzhandbuch des BSI ist inzwischen als Grundlage für die Entwicklung von IT-Sicherheitskonzepten anerkannt. Auf der Basis dieses Know-Hows und der in der Beratungspraxis gesammelten Erfahrung wird mit der Entwicklung und Standardisierung von Verfahren zur regelmäßigen Überprüfung der vorhandenen IT-Sicherheitsmaßnahmen die Möglichkeit geschaffen, solche Überprüfungen in überschaubarer Zeit mit begrenztem Aufwand und vergleichbaren Ergebnissen bei einer Vielzahl von Organisationen durchzuführen. Nur mit solchen effizienten Verfahren kann die Aufrechterhaltung bzw. Steigerung des IT-Sicherheitsniveau in der Praxis auf breiter Front erreicht werden Deutscher IT-Sicherheitskongreß des BSI