Management für mehr IT-Sicherheit Komplexe Bedrohungen erfordern das Handeln der Chefetage

Transkript

1 Management für mehr IT-Sicherheit Komplexe Bedrohungen erfordern das Handeln der Chefetage Autor: Volker Rath, Senior Security Consultant Symantec Security Services, BSI Lead Auditor Hacken ist mittlerweile nicht mehr etwas, das nur den IT-Cracks vorbehalten ist. Durch leicht zu erwerbende und einfach zu bedienende Software können auch versierte Laien komplexe Viren erstellen und mit Hilfe von Trojanern in fremde Rechner eindringen. Hacken scheint heute eine Art Volkssport geworden zu sein. Wie sollen Behörden auf diese erhöhte Gefahrenquelle reagieren? Besonders bei der derzeitigen Wirtschaftslage, wo Behörden nur begrenzte Ressourcen zur Verfügung stehen. Die Budgets sind meistens nicht gerade üppig und die Personaldecke oft dünn. Mangelnde Kapazitäten und unkoordinierte Maßnahmen bilden so eine der Haupt-Schwachstellen in der IT-Sicherheit vieler Behörden. Organisatorische Mängel und die unzureichende Kommunikation zwischen IT-Leitern, leitenden Angestellten und Mitarbeitern verstärken die Probleme noch zusätzlich. Auf das richtige Sicherheitsmanagement kommt es an Nachlässigkeiten bei der IT-Sicherheit bieten den Nährboden für Computerviren. Hacker wissen genau, dass die Vielzahl der Verbreitungsmöglichkeiten dieser komplexen Bedrohungen die meisten Behörden schlichtweg überfordern. Gegenmaßnahmen werden oft zu spät oder nur unvollständig eingeleitet. Die Erfahrungen bei der Bekämpfung der jüngsten Viren-Attacken haben die Situation in den Behörden einmal mehr offen gelegt. Behörden, die neben einer flächendeckenden Installation von Virenschutzsoftware auch spezielle Firewall- und Proxy-Einstellungen zur Blockung einzelner Virentypen sowie Intrusion Detection Systeme zur frühzeitigen Erkennung von Viren nutzen, für ihre Systeme relevante Sicherheitspatches installieren und auch auf akute Bedrohungen gut organisiert reagieren, sind leider auch heute noch eine Seltenheit. Oft verlässt man sich in Unternehmen und auch Behörden blind auf die installierten Firewalls, Virenschutzlösungen und weiteren Sicherheits-Tools. Dass der Einsatz hochwertiger

2 Sicherheitstechnologien allein sämtliche Sicherheitsrisiken ausschließen kann, ist jedoch ein Irrglaube. Die Installation der Produkte ist nur der erste Schritt, aktives Sicherheitsmanagement ist jedoch ein kontinuierlicher Prozess. Sicherheitsmanagement nach ISO Um dauerhafte und konstante Sicherheit organisationsweit gewährleisten zu können, ist die Implementierung eines "Information Security Management System" (ISMS) notwendig. Ein ISMS ist ein Paket von Richtlinien, Maßnahmen, Tools und Aufzeichnungen, welches zum Beispiel in der internationalen Norm ISO detailliert beschrieben wird. Textkasten: Hintergrund zur ISO Seit mehr als 100 Jahren legen das British Standards Institute (BSi) und die International Organization for Standardization (ISO) globale Richtlinien für Standards in den Bereichen Betrieb, Produktion und Leistung fest. Ein Bereich, für den das BSi und die ISO bisher keine Standards definiert hatte, war die Informationssicherheit. Im Jahr 1995 veröffentlichte das BSi den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit E-Commerce abzudecken. Probleme wie Y2K und EMU entwickelten sich jedoch 1995 zu den gravierendsten Problemen überhaupt. Zu allem Überfluss wurde der BS 7799 als zu inflexibel beurteilt und nur vereinzelt anerkannt. Der Zeitpunkt war offensichtlich nicht der richtige und Sicherheitsaspekte standen nicht im Fokus des Interesses. Vor vier Jahren änderte sich jedoch die Situation. Im Mai 1999 legte das BSi mit der zweiten, grundlegend überarbeiteten Version von BS 7799 einen erneuten Vorschlag vor. Diese Ausgabe enthielt viele Verbesserungen und Änderungen gegenüber der Version von Die ISO fand Interesse daran und begann mit der Überarbeitung von BS Im Dezember 2000 nahm die International Standards Organization (ISO) den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards eingeführt. Für Y2K, EMU und ähnliche Probleme hatten sich bis 2000 Lösungen und entschärfende Maßnahmen gefunden und die

3 allgemeine Qualität des Standards hatte sich erheblich verbessert. Die Annahme des ersten Teils von BS 7799 (der erste Teil umfasst jene Kriterien, die die Basis des Standards bilden) durch die ISO sorgte dafür, dass man sich endlich auf Sicherheitsstandards einigte, die weltweit akzeptiert wurden. Der ISO Standard umfasst jedoch nicht den zweiten Teil von BS 7799, der den Bereich der Umsetzung abdeckt. Der grundsätzliche Unterschied zwischen dem ISMS und den meisten anderen Sicherheitsansätzen besteht darin, dass zur Erreichung des Zieles nicht der Bottom- Up, sondern der Top-Down-Ansatz gewählt wird. Ein Information Security Management System basierend auf der ISO gliedert das Thema Unternehmenssicherheit in zehn Hauptbereiche, wie zum Beispiel Sicherheitsorganisation, Zugangskontrolle oder Security Policy. Für jeden dieser Bereiche werden standardisierte Prozesse von der Analyse über die Implementierung bis hin zur regelmäßigen Überwachung der Sicherheitsstandards beschrieben. Die Entscheidung für ein Information Security Management System muss nicht zwangsläufig bedeuten, dass jeder der genannten Bereiche in ein entsprechendes Projekt eingebunden werden muss. Eine Fokussierung auf ein Teilgebiet (zum Beispiel Netzwerk- und Systemsicherheit) kann ein erster Schritt in die richtige Richtung sein. Für die erfolgreiche Implementierung eines Information Security Management Systems ist es zwingend notwendig, dass in allen Hierarchieebenen der Behörde Personen bestimmt werden, die für die Einhaltung und regelmäßige Überprüfung der Sicherheitsmaßnahmen und -regeln verantwortlich sind. Sicherlich stellt dies den schwierigsten Schritt dar, denn oft hat sich das Management bis zu diesem Zeitpunkt noch nicht eingehend mit dem Thema IT-Sicherheit beschäftigt. Hinzu kommt, dass das für die Realisierung notwendige Budget zur Verfügung gestellt werden muss. Durch das KonTraG 1 sind allerdings börsennotierte AGs sowie große und mittelgroße GmbHs zur Risikovorsorge durch Einrichtung eines Risk Management Systems sowie zur Erstellung eines regelmäßigen Risikoberichtes verpflichtet, das heißt eine Involvierung des Managements ist unabdingbar. 1 Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde am 1. Mai 1998 verabschiedet und schreibt unter anderem die Einrichtung eines Risikomanagement- und Früherkennungssystems für börsennotierte AGs und prüfungspflichtige GmbHs vor.

4 Step by Step zum Sicherheitsmanagement-System Als erster Schritt bei der Implementierung eines Information Security Management Systems erfolgt eine Identifizierung des vorhandenen Risikos (Risk-Assessment). Sind die einzelnen Risikobereiche identifiziert, werden die vorhandenen Dokumente und Prozesse auf ISO Konformität untersucht (Gap-Analyse). An diesem Punkt stellt sich heraus, welche Prozesse neu definiert werden müssen und welche Sicherheitsprozeduren fehlen beziehungsweise nicht aktuell sind. Alle weiteren Aktionen sollten in einzelne Teilbereiche gegliedert werden, für die unterschiedliche Arbeitsgruppen gebildet werden. Zunächst ist es wichtig, dass bestimmte Policies für die Bereiche erstellt werden, welche die grundsätzliche Sicherheitspolitik der Behörde definieren. Dazu gehören Passwortschutz, Umgang mit vertraulichen Daten, System-Konfigurationen, Zugangssicherheit und Gebäudesicherheit. Die ISO beschreibt genau, welche Policies erstellt werden sollen. Alle weiteren Schritte basieren auf diesen Dokumenten und sollen deren Einhaltung sichern. why Policy what Standards how Prozeduren i Nachweis Doch die Erstellung solcher Security-Policies reicht nicht aus. Die Realität zeigt, dass diese oft aufgrund mangelnder Zeit und auch Akzeptanz durch die Mitarbeiter entweder nur flüchtig überflogen oder ungelesen archiviert werden. Das trägt wenig zur Erhöhung der aktiven und passiven Sicherheit in den Behörden bei. Die Herausforderung besteht nun darin, Mitarbeiter dazu zu bringen, die Richtlinien bewusst wahrzunehmen und das auch zu überprüfen. Folgende Punkte spielen dabei eine wichtige Rolle:! Wie kann man erreichen, dass die relevanten Richtlinien von Mitarbeitern gelegen und entsprechende Passagen bei Änderungen erneut zur Kenntnis genommen werden?

5 ! Wie kann die Masse von sicherheitsrelevanten Dokumenten (Policies, Standards, Prozeduren, Nachweise) geordnet und strukturiert werden?! Wie stellt man fest, ob die Richtlinien noch den Anforderungen des Geschäftsprozessinhabers entsprechen?! Wie wird überprüft, ob alle Maßnahmen bekannt sind und durchgeführt wurden?! Wie lässt sich die Einhaltung der Richtlinien automatisiert, regelmäßig und mit vertretbarem Aufwand überprüfen organisatorisch und technisch? Das Problem besteht also nicht nur in der Erstellung, sondern auch in der Bekanntmachung, dem Management und der Überprüfung sämtlicher Sicherheitsrichtlinien. Grundlage für ein Information Security Management System (ISMS) Um die genannten Herausforderungen zu lösen, müssen zunächst einige Voraussetzungen realisiert werden. Begonnen werden sollte damit, die Verantwortlichkeiten in den einzelnen Bereichen zu klären. Als Verantwortlicher für das Sicherheitsmanagement sollte ein Security Officer bestimmt werden. Er definiert die Policies, auf denen der gesamte nachfolgende Sicherheitsprozess basiert. Zusammen mit den Fachabteilungen erstellt er außerdem die Standards oder auch Richtlinien. Standards beschreiben, welche Sicherheitsanforderungen an konkrete Werte oder Prozesse gestellt werden. Da die technische Umsetzung der geforderten Richtlinien Einfluss auf die tägliche Arbeit der Mitarbeiter hat, werden diese von den jeweiligen Fachabteilungen erstellt. Da der Security Officer verantwortlich für den gesamten Sicherheitsprozess ist, obliegt ihm die Überprüfung der Prozeduren sowie der Einhaltung aller Sicherheitsrichtlinien. Ein Beispiel: Ein Sicherheitsbeauftragter wurde autorisiert, ein Sicherheitsmanagement zu implementieren. Nach einer Risikoanalyse definiert er die grundlegende Sicherheitspolicy. Jetzt werden in Zusammenarbeit mit den jeweiligen Fachabteilungen individuelle Sicherheitsstandards definiert, zum Beispiel das tägliche Backup von wichtigen Servern oder die Verwendung strenger Passwörter.

6 Da die Umsetzung der geforderten Maßnahmen je nach System unterschiedlich ist, werden die verantwortlichen Personen aufgefordert, entsprechende Dokumentationen für die Umsetzung der geforderten Maßnahmen zu erstellen (Prozeduren) und diese umzusetzen. Durch regelmäßige Audits werden die Einhaltung und Umsetzung der Richtlinien überprüft und direkt an die Unternehmensleitung und den Sicherheitsbeauftragten als Prozessverantwortlichen berichtet. Werden die Aufgaben an dieser Stelle nicht wie beschrieben sauber getrennt, kommt es zu Interessenskonflikten, zum Beispiel zwischen der erforderlichen Sicherheit und dem zur Verfügung stehenden Budget. Dann fällt die strenge Einhaltung der Richtlinien mangelndem Sicherheitsbewusstsein, Ressourcenmangel oder gar der Bequemlichkeit zum Opfer. In der Realität werden die Sicherheitsmaßnahmen oft nach bestem Wissen und Gewissen, zum Beispiel von der IT-Abteilung oder dem Facility-Management realisiert. Die Praxis zeigt, dass eine exakte Überprüfung der getroffenen Maßnahmen und Sicherheitsrichtlinien jedoch die Ausnahme sind und nicht regelmäßig durchgeführt werden. Warum Standards so schwer umzusetzen sind, liegt unter anderem daran, dass es nicht jedem Mitarbeiter zuzumuten ist, die Masse an Dokumenten vollständig zu lesen. Alleine das Auffinden aller zugehörigen Dokumente ist oft zu zeitaufwändig. Dabei müssen die Mitarbeiter gar nicht alles lesen. Es mangelt oft also schlicht an der gefilterten und geordneten Bereitstellung an Informationen, um den Sicherheitsprozess zu optimieren und dessen Umsetzung zu erleichtern, denn die Einbindung der Mitarbeiter ist ein wichtiger Faktor für den Erfolg eines neuen Sicherheitskonzeptes.

7 Am besten werden diese Informationen den Mitarbeitern durch eine zentrale Datenbank, die alle Dokumente zur IT-Sicherheit sowie zusätzliche Hilfe wie zum Beispiel FAQs, Kontaktadressen oder Hintergrundinformationen zum Thema Sicherheit enthält, zugänglich gemacht. Neben der öffentlichen sollte auch eine nicht öffentliche Datenbank existieren, die nur für die Sicherheitsverantwortlichen zugänglich ist und als Informations-, Dokumentations- und Archivierungsplattform dient. Hier können zum Beispiel Reports, Logs, Historien über Konfigurationsänderungen, Dokumentationen, Vertretungspläne sowie Kontaktadressen hinterlegt werden. Durch die Berücksichtigung individueller Erfahrungen, Vorschläge und Problemdarstellungen können die Mitarbeiter zusätzlich für das Thema Sicherheit sensibilisiert werden und die Akzeptanz für die Umsetzung des neuen Sicherheitskonzeptes steigt. Konstanter Sicherheitsstandard Eine besondere Herausforderung stellt die kontinuierliche Aufrechterhaltung des technischen Sicherheitslevels sowie die zentrale Überwachung des Gesamtsystems dar. Genau wie eine Alarmanlage rund um die Uhr arbeitet, sollten Netzwerke und Server ebenfalls an sieben Tagen in der Woche 24 Stunden überwacht werden. Bei Kapazitätsproblemen in der internen IT-Abteilung bietet sich das Outsourcing dieser Dienstleistungen oft als eine kostengünstige Alternative an. Die Überwachung des Systems erfolgt mithilfe von Intrusion Detection Systemen sowie mit Tools für eine automatische Überprüfung von Rechner-Konfigurationen auf Policy-Konformität. Um den Umfang und die Komplexität der zu überprüfenden Daten und Systeme zu bewältigen gilt es, Prozesse zu automatisieren und Informationen zu bündeln. Leider arbeiten die einzelnen Lösungen (Firewall, Intrusion Detection Systeme, Virenschutz etc.) noch nicht selbständig zusammen, so dass ein entsprechendes zentrales Alarming individuell aufgesetzt werden muss. Mit einem zentralen Alarming, Monitoring und Reporting, wie es ein ISMS leistet, können schnell Berichte erstellt werden, die der Geschäftsleitung einen schnellen Überblick bieten. Um das angestrebte Sicherheitsniveau aufrecht zu erhalten, sind regelmäßige Prüfungen der Policies, Standards und Prozesse notwendig, die von den jeweiligen

8 Verantwortlichen initiiert werden. Solche Reviews geben weiterhin die Möglichkeit, Vorschläge zu diskutieren und Erfahrungen auszutauschen. Fazit Die Zunahme an komplexen Bedrohungen und Angriffen auf die Unternehmensnetze erfordert stärker denn je das Handeln der IT-Verantwortlichen. Ein möglichst optimaler und dauerhafter Schutz wird allerdings nur dann zu verwirklichen sein, wenn Sicherheitsstandards nicht nur transparent und messbar sondern auch durch einen zyklischen Prozess ständig optimiert werden. Viele Behörden setzen leider die zur Verfügung stehenden Möglichkeiten bisher nicht ein und so kommt es immer wieder vor, dass Hacker oft monatelang unbemerkt Zugang zu den Systemen haben. Die Implementierung eines Information Security Management Systems, wie es zum Beispiel die ISO beschreibt, kann hier wirkungsvoll Abhilfe schaffen. Generell spielt es keine Rolle, ob dem ISMS die ISO oder das BSI Grundschutzhandbuch zugrunde gelegt wird. Da das BSI Grundschutzhandbuch einen mehr Technik orientierten Ansatz verfolgt, kann auch eine Kombination der beiden Standards durchaus sinnvoll sein. Entscheidend ist die Realisierung einer koordinierten Aufrechterhaltung und Überprüfbarkeit von Sicherheit. Ziel ist es letztlich, ein Management-Framework zu realisieren, das die Effizienz der Investitionen im Bereich Sicherheit erhöht und dauerhaft sicherstellt. Dabei müssen erst Informations- und Kommunikationsprobleme gelöst werden, damit technische Lösungen optimal zu realisieren sind.