Leibniz Universität Hannover

Leibniz Universität Hannover Fachbereich Wirtschaftswissenschaften Institut für Wirtschaftsinformatik Prof. Dr. Michael H. Breitner Rahmenthema Informationsmanagement und Informationssicherheit Herausforderung Intrusion Control: Maßnahmen, Prozesse und Werkzeuge Sommersemester 2007 betreut von Dipl. Ök. Robert Pomes vorgelegt von Hikmet Arslanoğlu Philipsbornstr. 24 30165 Hannover Matr. Nr.:2059677 hikmetarslanoglu@yahoo.de

1 Inhaltsverzeichnis INHALTSVERZEICHNIS... 1 ABBILDUNGSVERZEICHNIS... 2 ABKÜRZUNGSVERZEICHNIS... 3 1 EINFÜHRUNG... 4 2 GRUNDLAGEN DES INTRUSION CONTROL VOR DEM HINTERGRUND VON INFORMATIONSSICHERHEIT... 6 2.1 INFORMATIONSSICHERHEIT... 6 2.2 INTRUSION CONTROL... 8 3 INSTRUMENTE VON INTRUSION CONTROL... 9 3.1 INTRUSION PREVENTION SYSTEM... 9 3.1.1 Grundlagen... 9 3.1.2 Arten von IPS... 10 3.2 INTRUSION DETECTION SYSTEM... 11 3.2.1 Grundlagen... 11 3.2.2 Arten von IDS... 12 3.2.3 Reaktionen des IDS... 14 3.3 INTRUSION RESPONSE SYSTEM... 14 4 MAßNAHMEN ZUR ETABLIERUNG EINES INTRUSION CONTROLS... 15 4.1 TECHNISCHE MAßNAHMEN... 15 4.2 WIRTSCHAFTLICHE MAßNAHMEN... 16 4.3 RECHTLICHE MAßNAHMEN... 17 4.4 PERSONELLE MAßNAHMEN... 18 5 NOTWENDIGE PROZESSE ZUM INTRUSION CONTROL... 18 5.1 DATENSAMMLUNG... 18 5.2 DATENANALYSE... 19 5.2.1 Signaturanalyse... 19 5.2.2 Anomalieerkennung... 20 5.3 ERGEBNISDARSTELLUNG... 21 6 WERKZEUGE PRAKTISCHEN AUSGESTALTUNG EINES ICS S... 22 7 FAZIT... 24 8 LITERATURVERZEICHNIS... 27

2 Abbildungsverzeichnis Abbildung 1: Verlauf der beim CERT gemeldeten Vorfälle 4 Abbildung 2: Die Darstellung der möglichen IT Systeme 5 Abbildung 3: Ziele an Informationssicherheit 6 Abbildung 4: Übersicht von Verlässlichkeit eines Systems 7 Abbildung 5: Überblick auf die Phasen des IC 9 Abbildung 6: Optimales Sicherheitsniveau 16

3 Abkürzungsverzeichnis BSI Bspw. ca. Bundesamt für Sicherheit in der Informationstechnik Beispielsweise circa d. h. das heißt DoS dt. engl. ff. ICS IDS IP IPS IRS IS Denial of Service Auf Deutsch Auf Englisch fortfolgende Intrusion Control System (dt. Einbruchskontrollsystem) Intrusion Detection System (dt. Einbruchserkennungssystem) Internet Protokoll Intrusion Prevention System (dt. Einbruchsverhinderungssystem) Intrusion Response System (dt. Einbruchsreaktionssystem) Informationssicherheit o. V. ohne Verfasser S. Seite sog. Vgl. so genannte Vergleiche z. B. zum Beispiel

4 1 Einführung Jedes Mal wenn irgendein (Programmierer) sagt: Keiner wird sich je eine solche Mühe machen wird gerade irgendein Bengel in Finnland sich genau diese Mühe machen. Alex Mayfield 1 Im Zeitalter der Informationstechnologie ist die größte Macht das Wissen. Die dynamische Entwicklung und Verbreitung des Internets hat nicht nur dazu beigetragen, dass Informationen jederzeit und überall erreichbar sind, sondern sie hat auch den Alltag der Menschen enorm erleichtert. Infolge dieser Entwicklung rückte ebenfalls das Thema Informationssicherheit immer mehr in den Vordergrund. Einige Menschen benutzen immer häufiger den illegalen Weg zur Informationsgewinnung. Solche Vorfälle treten insbesondere bei Computersystemen ein. Ein wichtiger Grund hierfür ist der starke Wettbewerb zwischen den Unternehmen, welches durch die Globalisierung hervorgerufen wird. Nach Angaben von CERT 2 gab es im Jahr 2002 82.094 Informationssicherheitsverletzungen. Im Jahr darauf waren es 137.529 Informationssicherheitsverletzungen. Aufgrund dieser erschreckenden Verdopplung der IS Verletzungen, gewinnt die Informationssicherheit immer mehr an Bedeutung. Abbildung 1: Verlauf der beim CERT gemeldeten Vorfälle Quelle: Eigene Darstellung nach den Angaben von CERT 3 1 Mitnick, K., Simon, W., 2006, Die Kunst des Einbruchs, s. 25 2 CERT Computer Emergency Response Team (www.cert.org) 3 Vgl. http://www.cert.org/stats/cert_stats.html

5 Die Betrachtung der IS erfolgt aus unterschiedlichen Perspektiven. Für private Personen bedeutet die IS, dass sie die persönlichen Informationen, die sich auf den eigenen, betrieblichen und staatlichen Rechnern befinden können, gegenüber Dritten geschützt wird. Für die Firmen hat die IS eine hohe Priorität, um das Vertrauen der Kunden an das Unternehmen zu gewährleisten und die Geheimnisse und das Image der Firmen zu schützen. Abbildung 2: Die Darstellung der möglichen IT Systeme Quelle: In Anlehnung an DIHK 4 Abbildung 2 stellt die möglichen Bedrohungen der IS dar. Die Quellen der Bedrohungen sind menschliche und physische Bedrohungen, sowie Bedrohungen, die aus technischen Versagen entstehen. Die menschlichen Bedrohungen können nach der Absicht untergliedert werden. Die absichtliche Gefahr der IS kann sowohl durch interne als auch durch externe Personen des Systems entstehen. Die Motive der Angriffe stellen die Vielfalt dar. Neben beabsichtigten Angriffen, wie z. B. Rache, Macht, wirtschaftlicher Vorteil, kann ein Angriff auch ohne Absicht stattfinden. Eine Unterscheidung von Angriffen erfolgt nach folgenden Arten: Beispielsweise Erkundungsangriffe (Portscans, DNS Zonentransfers usw.), Exploit Angriffe (Ausnutzung von verborgenen Leistungsmerkmalen oder Fehlern) und DoS Angriffe (zur Dienstverweigerungen führende Angriffe). 5 Ein wichtiger Bestandteil der IS ist das Intrusion Control System (ICS). Das ICS steuert den Angriff auf ein Computersystem oder ein Computernetzwerk. Die vorliegende Arbeit beinhaltet das Thema ICS und die damit verbundene Technik, sowie die Werkzeuge und Maßnahmen. In der vorliegenden Arbeit werden zuerst die Grundlagen von IC vor dem Hintergrund der Informationssicherheit vorgestellt, und anschließend die Instrumente von IC behandelt. In 4 Vgl. DIHK, S. 6 5 Vgl. Pohlmann, N., Teil 4/12.3 S. 14

6 Kapitel vier werden die Maßnahmen zur Etablierung eines IC Systems dargestellt. Im folgedessen werden die notwendigen Prozesse zum IC System vorgestellt. Die Werkzeuge von ICS s werden in Kapitel sechs behandelt. Die Arbeit endet mit einem Fazit. 2 Grundlagen des Intrusion Control vor dem Hintergrund von Informationssicherheit 2.1 Informationssicherheit Die IS ist gekennzeichnet durch ein Konzept, durch Maßnahmen und Techniken mit dem Ziel Informationen vor absichtlichen oder unabsichtlichen Angriffen zu schützen. Die Speicherung der Informationen kann dabei sowohl auf Papier, in den Köpfen der Menschen oder auf Rechnern erfolgen. 6 Im Rahmen der ICS werden die Informationen nur auf elektronische Daten begrenzt. Die IS wird baut sich aus zwei Sichten auf. Die Sichten sind die Verlässlichkeit (engl. dependability) und die Beherrschbarkeit (engl. controllability). Während es sich bei der Verlässlichkeit um die Sicherheit der Systeme handelt, bezieht sich die Beherrschbarkeit um die Sicherheit der Betroffenen 7. Die beiden Sichten haben eine komplementäre Beziehung zueinander. Sie ergänzen sich. Die Abbildung 3 verdeutlich die Ziele bzw. die Grundwerte der Informationssicherheit. Abbildung 3: Ziele an Informationssicherheit Quelle: Eigene Darstellung 6 Vgl. BSI II, S. 8 7 Vgl. Dierstein, R., S. 343

7 Die Verlässlichkeit eines Systems kennzeichnet die Sicherheit der Informationen. Sie hat die Eigenschaft, dass Systeme, Prozesse und Informationen in ihrer Nutzung, ihrem Bestand oder ihrer Verfügbarkeit nicht unzulässig beeinflusst werden. 8 Die Verlässlichkeit setzt sich aus drei Bausteinen zusammen: der Verfügbarkeit, Vertraulichkeit und Integrität. Die Vertraulichkeit (engl. confidentiality) bedeutet, dass die Informationen vor unberechtigten Observationen geschützt werden. Es ist hierbei wichtig, dass in das System nur berechtige Nutzer eintreten können bzw. für Unerlaubte keine Informationsgewinnung möglich sein darf. 9 Beispielsweise surft ein Anwalt von seinem Praxis Computer aus, indem sich die Dateien über seine Mandanten befinden. Dabei dringt ein Hacker aus irgendeinem Grund in den gegen Angriffe nicht geschützten Computer ein und sammelt Informationen über die Mandanten. Damit ist die Vertraulichkeit der Daten verletzt. 10 Die Integrität von Informationen (engl. integrity) bedeutet, dass Daten bzw. Informationen durch unberechtigte Benutzer nicht zu manipulieren sind. Die Integrität der Informationssicherheit wird gewährleistet, indem die Informationen vollständig, korrekt und unverfälscht sind. 11 Zum Beispiel soll eine über ein Netzwerk versendete Information überprüft werden, ob die richtige Information versendet wurde. Würde hier ein Hacker den Inhalt der Dateien ändern statt zu sammeln, wäre die Integrität der Informationen verletzt. Die Verfügbarkeit (engl. availability) ist gewährleistet, wenn das Informationssystem gegenüber unerlaubter Beeinträchtigung der Funktionalität geschützt ist und dabei das Informationssystem, einschließlich der Daten für berechtige Person, in angemessenen Zeitraum zur Verfügung steht. 12 Abbildung 4: Übersicht von Verlässlichkeit eines Systems Quelle: In Anlehnung an Softways 8 Vgl. Breitner, M. H., Pommes, R., S. 24 9 Vgl. Eckert, C., S. 8 10 Vgl. http://www.informatikjahr.de/index.php?id=143 11 Vgl. Pohl, H., Weck, G.,S.41 12 Vgl. Fischer Hübner, S., S.8

8 Die Abbildung 4 stellt die Bedeutung der Verlässlichkeit im Sinne der Informationssicherheit näher dar. Die andere Sicht der Informationssicherheit ist die Beherrschbarkeit. Diese Sicht wird in der Literatur auch häufig als Verbindlichkeit bezeichnet. 13 Die Beherrschbarkeit ist die Sicht der Betroffenen und beschreibt die Sicherheit vor dem System, bei der Rechte oder schutzwürdige Belange der Betroffenen durch Nutzung oder Bestehen von Informationen unzulässig beeinflusst werden. 14 Sie setzt sich aus den folgenden Dimensionen zusammen: die Zurechenbarkeit und die Revisionsfähigkeit. Die Zurechenbarkeit (engl. accountability) ist die Zuordnung des Systems. Ein System gewährleistet die Zurechenbarkeit, wenn sie die Fähigkeit hat, die durchgeführten Aktionen und deren Ergebnisse nach seiner auslösenden Instanz zu definieren. 15 Die Revisionsfähigkeit beschreibt die hinreichend verlässliche Beweisbarkeit und Erkennbarkeit der Aktionen und deren Ergebnisse gegen Dritte. 16 Das bedeutet, dass die Verarbeitung der Daten durch Personen lückenlos nachvollziehbar sind. Die Revisionsfähigkeit wird auch als Rechtsverbindlichkeit bezeichnet. 17 2.2 Intrusion Control Das lateinische Wort Intrusion wird in vielen Fachliteraturen als Eindring bzw. Einbruchsvorgang übersetzt 18. In Bezug auf Informationssicherheit wird es als unerlaubter Zugriff auf ein Informationssystem verstanden. Der Begriff Intrusion Control (IC) stammt aus dem Englischen und bedeutet in Jargon Eindringungskontrolle. Der Begriff Eindringungskontrolle erfasst drei Faktoren: Verhinderung des Eindringens (Prevention) Erkennung des Eindringens (Detection) Behebung des Eindringens (Reaction) Ein Intrusion Control System ist durch die Gesamtheit der Software (und auch Hardware) mit dem Ziel Steuerung der Einbrüche bezeichnet. Der Zweck des ICS bezüglich der Sicherheitspolitik ist die potenziell unerlaubten Zugriffe auf die Informationen bzw. Daten, die sich auf dem Computersystem befinden, zu steuern und folglich die Anforderungen der Informationssicherheit zu gewährleisten. 13 Bspw. Hope/Prieß, S. 25 14 Vgl. Breitner, M. H., Pomes, R., S. 24 15 Vgl. Bace, R., Mell, P., S. 9 16 Vgl. Breitner, M.H., Pommes, R., S. 24 17 Vgl. Dieterstein, R., S. 7 18 Bspw. Heinrich, L., Heinzl, A., Roithmayr, F., S. 341 oder Drews, H. L., Kassel, H., Leßenich, R., S. 154

9 Abbildung 5: Überblick auf die Phasen des IC Quelle: Eigene Darstellung Als eine Vorbeugemaßnahme wird gegen einen Angriff auf ein System Intrusion Prevention System eingesetzt. Der zweite Faktor des ICS stellt das Erkennen des Einbruchs (engl. Intrusion Detection) dar. Für das Erkennen eines Eindringens ist das Intrusion Dedection System (IDS) als Teil eines ICS zuständig. In Kapitel 3.2 wird das IDS ausführlich behandelt. Wird ein Angriffsversuch zu einem erfolgreichen Angriff umgewandelt, dann sind reaktiven Maßnahmen zu ergreifen, um den Schaden des Angriffs zu begrenzen. IRS ist als ein Teil von ICS hierfür zuständig. Das IRS wird in Kapitel 3.3 genauer erläutert. 3 Instrumente von Intrusion Control 3.1 Intrusion Prevention System 3.1.1 Grundlagen Das Kürzel IPS steht für Intrusion Prevention System und ist eine Erweiterung des Intrusion Detection Systems (IDS). Das IPS ist demnach ein IDS, welches nicht nur Angriffsversuche auf ein Netzwerk oder Host erkennt und meldet, sondern auch die Wirkung von solchen Angriffen blockiert. 19 Dieses erfolgt dadurch, dass das IPS den ganzen Datenverkehr analysiert und Angriffe anhand von Angriffssignaturen zu erkennen versucht. 20 Das System trifft seine Entscheidungen nicht anhand des Absenders, wie es bei klassischen Firewalls üblich ist, sondern anhand des Paketinhaltes. Somit können zum Beispiel auch Angriffe von vertrauenswürdigen Quellen verhindert werden, die eine klassische Firewall nicht erkennen würde. Ein IPS ist gekennzeichnet durch folgende Eigenschaften 21 : IPS wird im Übertragungsweg eingesetzt; im Alarmfall kann der Datenstrom unterbrochen oder verändert werden, 19 Vgl. o. V.,http://www.mipscomp.ch/iss/menu/aboutGX.html 20 Vgl. BSI IV, S. 33 21 Vgl. o. V.,http://www.mipscomp.ch/iss/menu/aboutGX.html

10 IPS verfügt über Module, die aktiv die Regeln von Firewall Systemen beeinflussen können; dabei kann wieder der Datenstrom unterbrochen oder verändert werden. Folgende Vorteile sind mit einem IPS verbunden: Gezieltes Verfahren der relevanten IP Pakete, d. h. keine komplette Sperrung der betreffenden Kommunikation, Einfache Integrationsmöglichkeiten in Sicherheitsgateways, Geringe Notwendigkeit von Interaktionen zum Unterbinden von Angreifen, keine zentrale Management Station zur Auswertung der Daten, keine Versendung von (evtl. Personenbezogenen) Daten zur zentralen Management Station, Aktiver Schutz durch IPS im Vergleich zu IDS, Gleichzeitige Angriffserkennung und Abwehr, Verfall von aufwändigen Arbeiten, da der Angriff direkt verhindert wird. Neben den Vorteilen, gibt es aber auch einige Nachteile von IPS: Performance Verluste, wodurch höhere Fehlerraten des IPS entstehen können, Keine Erkennung von Ereignissen in verschlüsselten Kommunikationsdaten, Verringerung der Verfügbarkeit der Netzanbindung; bei Fehlalarmen (False Positives) können Pakete evtl. fälschlicherweise verworfen werden, Schwer zu konfigurieren, häufig nur für Windows und Linux Systeme verfügbar, 22 Relativ hohe Anschaffungskosten, sowie Betriebskosten. 23 3.1.2 Arten von IPS Intrusion Prevention Systeme werden in drei Gruppen untergliedert: dem Host Intrusion Prevention System, dem Network Intrusion Prevention System und dem Hybrid Intrusion Prevention System. Host Intrusion Prevention Systeme (HIPS) sind rechnerbasierte Software Agenten, welche auf jedem zu überwachenden System installiert werden. Sie stellen eine Art Hülle um den Systemkern dar und kontrollieren den Zugriff auf System Ressourcen. Ein wichtiger Vorteil von HIPS ist die Wahrnehmung von gefährlichen Prozessen auf dem eigenen Rechner (RootKits u.a.). Werden bestimmte Verletzungen von Richtlinien, welche die Tätigkeiten von root oder spezifischen privilegierten Prozessen beschreiben, identifiziert, verhindern die Systeme jegliche weitere Ausführung und können gegebenenfalls den User abmelden oder den Prozess beenden. 24 22 Vgl. Securitymanager 23 Vgl. Securitymanager 24 Vgl. Spenneberg, R., S. 53

11 Die Vorteile von HIPS sind die geringe Datenmenge und der Bedarf einer geringen Bandbreite, die Erkennung des Systemzustands auf dem Rechner und die geringe Fahlalarmrate (engl. False Positive). Die Nachteile sind der hohe Aufwand, welcher mit der Verwaltung eines Host verbunden ist, und die eingeschränkte Sicht des Systems, da dieser nur auf den eigenen Rechner begrenzt ist. Im Gegensatz zum HIPS ist ein Network Intrusion Prevention System (NIPS) netzwerkbasiert. Sie arbeiten in der Regel auf einem Rechner, wo sie von dort aus den gesamten Netzwerkverkehr analysieren. Erkennt das NIPS gefährliche Pakete, so wird deren Weiterleitung gestoppt. Aufgrund dessen werden NIPS auch Gateway IDS oder Inline IDS genannt. Der Unterschied zu den traditionellen NIDS ist die Art und Weise der Erkennung des Angriffs. Weiterhin bieten sie neben der Protokollierung des Angriffs die Möglichkeit der Weiterleitung. Die Vorteile von NIPS sind die Überwachung, bzw. der Schutz des ganzen Netzwerks, der bessere Schutz bei DoS Attacken, der gute Überblick über das gesamte Netz, sowie das zentrale Management. Zudem werden auch Attacken auch auf unbenutzte Adressen erkennbar. Der große Nachteil von NIPS ist die Erforderlichkeit einer hohen Bandbreite und der damit verbundenen Verzögerungen. 25 Zudem kann das Netzwerk IPS zu einem Single point of failure 26 werden. Eine weitere Art von IPS ist das Hybrid Intrusion Prevention Systems. Sie verbindet die Eigenschaften von NIPS und HIPS. Dadurch erhöht sich die Sicherheit. 3.2 Intrusion Detection System 3.2.1 Grundlagen Intrusion Detection System (IDS) ist ein Teilgebiet von ICS. IDS ist ein System und dient zur Erkennung von Angriffen auf Computersystemen bzw. Computernetzen. 27 Die Aufgaben des IDS sind 28 : die Erkennung von Angriffen, die Überwachung der Funktionen, die Überwachung der Integrität von Systemen, die Sicherung der Beweise, die Erkennung der allgemeinen System Störungen und die Benachrichtigung der zuständigen Personen, falls unerlaubte Zugriffe auf das Computersystem vorhanden sind. 25 Vgl. http://www.gwdg.de/gwdg Nachrichten/GN0607/gn0607_03.html 26 Als Single Point of Failure (dt.: einzelne Fehlerstelle ) werden diejenigen Bestandteile eines Systems bezeichnet, die bei einem Ausfall den einen ganzen Systemausfall verursachen. Vgl. http://netzikon.net/lexikon/s/spof.html 27 Hope/Prieß, 2003, S.188 28 Geschonneck, A., S. 43

12 Ein Angriff kann durch IDS nicht verhindert werden 29, deshalb wird es als Alarmanlage des Computersystems ( netzes) formuliert. IDS stellt die passiven Sicherheitsmaßnahmen der ICS dar. Es ergänzt mit Firewall die Sicherheit gegen das Eindringen. 30 3.2.2 Arten von IDS Es werden drei Arten von IDS unterschieden: Diese sind die Host Based IDS (HIDS), die Network Based IDS (NIDS) 31 und die Hybrid Based IDS. 3.2.2.1 HIDS Host Based Intrusion Detection System (HIDS) stellt das älteste IDS dar. 32 Es wurde für militärische Zwecke entwickelt, um die Sicherheit der Großrechner zu gewährleisten. Als HIDS wird ein System bezeichnet, auf dem jeweils ein Sensor auf dem zu schützenden Rechner installiert wird. 33 Das System bekommt die benötigten Daten direkt von den zu überwachenden Rechnern. Die Daten, welche das HIDS für seine Funktionen braucht, sind Log, Kernel und Systemdaten der Rechner. Host Intrusion Detection Systeme sind insbesondere in der Lage eine missbräuchliche Verwendung der Systeme durch Insider zu erkennen. 34 Weitere Vorteile des HIDS sind: Attacken sind erkennbar, welche NIDS aufgrund des verschlüsselten Verkehrs nicht erkennt. 35 Bösartige Software (z. B. Trojaner) sind leichter definierbar, weil codierte Informationen im Netzwerk auf dem Host bereits unverschlüsselt existieren. 36 Eine umfassende Überwachung der Vorgänge auf dem Rechner ist möglich. Es besteht die Möglichkeit über eindeutige Aussagen über den Angriff. Nachteile des HIDS sind: Hohe Lizenzskosten, da das System auf jedem Rechner installiert werden muss, Kann durch einen DoS (Denial of Service) 37 Angriff ausgeschaltet werden, Netzaktivitäten sind nicht überwachbar, Wird das System stillgelegt, betrifft das auch das IDS, HIDS belasten ernorm die Rechnerleistung des jeweiligen Rechners. 38 29 Geschonneck, A., S. 44 30 Spenneberg, R., S. 46 31 http://www.honeypots.net/ 32 http://www.networksec.de/sites/be_ids/arten.php 33 http://www.emsisoft.de/de/kb/articles/tec030702/ 34 Vgl. Spenneberg, S. 47 35 Vgl. Müller, K., (I) 36 Vgl. Müller, K., (I) 37 DoS Angriffe haben Ziel, durch sich wiederholendes Anfragen an einen Zielrechner außer Betrieb zu lassen. (Vgl. Schneier, B., S. 35) 38 Vgl. Müller, K., (I)

13 3.2.2.2 NIDS Netzbasierte IDS lauschen auf den Schnittstellen des Computernetzwerks und analysieren die gelesenen Pakete in bezug auf Verbindungen zwischen Netzteilnehmern. Das System wird in einem Netzwerksegment oder auch auf dem Netzwerkkoppelelement installiert. 39 Das System erhält die Netzwerkpakete durch so genannte Network Sniffer. Ein einziger Sensor kann unter Umständen auch für das ganze Netzwerk ausreichen. Die NIDS sind gut geeignet, um solche Angriffe zu erkennen, die von außen kommen. 40 Die weiteren Vorteile von NIDS sind: Angriffe auf mehre Hosts/Netzwerke, Anzeichen von Angriffen und Missbrauch von Netzwerkressourcen sind leicht erkennbar, Erkennung von Angriffen, welche durch die Firewall nicht verhinderbar sind, Sensoren sind passiv und werden infolgedessen nicht gesehen, Überwachung eines ganzen Netzes mit Hilfe nur eines, Die Funktion des Sensors ist auch dann nicht gefährdet, wenn das Zielsystem ausgeschaltet wird, Niedriger Aufwand, weil nicht auf jedem Host eigene Sensoren einzurichten sind, Auch die Erkennung von Angriffen, welche keinen Einfluss auf Hostdaten haben. Nachteile von NIDS sind: Eingeschränkter Einsatz in geswitchten und/oder verschlüsselten Netzen, Datenschutz; Zugriff auf gesamten Datenverkehr, Bei Bandbreitenproblemen besteht keine lückenlose Überwachung, In geswitchten Netzwerken besteht keine lückenlose Überwachung (nur durch Mirror Port auf einem Switch), Die Beobachtung sämtlicher Datenpakete ist durch eine kleine Anzahl von Sensoren nicht möglich. 3.2.2.3 Hybride IDS Ein Hybrides IDS beinhaltet in sich die Eigenschaften von HIDS und NIDS. Daher erhöht sich die Abdeckung auf dem Computernetzwerken durch HIDS und NIDS. 41 Der zentrale Managementknoten sammelt die benötigten Informationen von den einzelnen Hosts. Dieser Managementknoten ist ebenfalls mit dem NIDS verbunden und kann jedes auftretende Netzwerkereignis mit denen der einzelnen Host in Zusammenhang bringen, wodurch wiederum einige der Hauptnachteile von HIDS und NIDS aufgehoben werden. 39 Vgl. Gößel, G; Beine, G., S. 6 40 Vgl. Spenneberg, S. 50 41 http://www.networksec.de/sites/be_ids/arten.php

14 3.2.3 Reaktionen des IDS Das IDS kann gegen einen Einbruch nur passive Reaktionen vornehmen. Diese Reaktionen werden als passiv bezeichnet, weil sie nicht direkt gegen Angreifer vorgehen, sondern vielmehr gezielt die zuständige(n) Peson(en) warnen. Mögliche Reaktionen von IDS sind: Reporting: Benachrichtigung der zuständigen Person(en) durch - Sendung einer Mail, - lokalen Alarm, wie Pop Up Fenster auf dem Monitor oder durch ein akustisches Signal, - Sendung einer Nachricht auf das Handy, Pager oder ähnlichen Mobilgeräten. Logging: Protokollierung des Einbruchs. 3.3 Intrusion Response System Das Intrusion Response System (IRS) ist eine Komponente des ICS. Die Aufgabe der IRS besteht darin, automatisierte Reaktionen gegen einen Einbruch durch die Einleitung von IDS vorzunehmen. Diese Reaktionen werden charakteristisch als aktive Reaktionen bezeichnet. Das System greift gegen den Einbruch von Angreifern ein, mit dem Ziel den Schaden des Einbruchs zu beseitigen, zu verringern und den Angreifer zu identifizieren. In der Literatur wird IRS als Teil von IDS bzw. als reaktionsfähiges IDS bezeichnet. 42 Das IRS ergänzt das IDS. Eine reine IRS existiert zurzeit nicht. Der Grund der Annahme ist das IDS auch die Reaktionen bei einem Einbruchsfall vornimmt. Der Unterschied der Systemreaktionen ist, dass das IDS passive Reaktionen vornimmt, welche als Benachrichtigung und Dokumentation gruppiert werden. Die Reaktionsfähigkeiten des IRS unterscheiden sich von Produkt zu Produkt. 43 Die möglichen Reaktionen des Systems gegen einen Einbruch sind: Unterbrechung der Verbindung des Angreifers; Beenden der Verbindung der Kommunikation mittels aktives Einbringen von Reset Paketen in das Netz. 44 Blockierung der Pakete des Angreifers: eine kurzfristige Regeländerung der Firewall, um spezifische Zugangsmöglichkeiten für Angreifer für eine bestimmte Zeit zu sperren und Zeit für Sicherungsmaßnahmen zu gewinnen. Bei der Sperrung wird von der IP Adresse des Angreifers ausgegangen. Dabei kann der Angreifer möglicherweise bewusst eine falsche IP Adresse benutzen. Blockierung von Zugriffsrechten und Diensten, die der Angreifer nutzt: durch eine neu erstellte Konfiguration der Firewall bzw. des Routers. 42 Bspw. Hoppe/Prieß, 188 ff. 43 Vgl. BSI I, 2002, Seite 14 44 Vgl. BSI I, 2002, Seite 15

15 Herunterfahren des gesamten Netzwerks bei Härtefällen. Hier ist zu beachten, dass das Ausschalten des Netzwerks das Ziel des Angriffs sein kann, beispielsweise DoS Attacken. Gegenangriff starten; die IRS sind in der Lage in den Rechner des Angreifers einzudringen. Der Sinn des Gegenangriffs kann die Informationsbeschaffung über die Gegner sein, um ihn besser identifizieren zu können. Bei einem automatisierten Gegenangriff müssen folgende Aspekte beachtet werden: - Die rechtlichen Konsequenzen, wie z. B. das Bundesdatenschutzgesetz (BDSG 4 und 4a). - Es besteht die Möglichkeit eines Third Party Effect, d. h. dass ein unschuldiger Rechner, bzw. ein unschuldiges Netzwerk von dem Angreifer erfolgreich attackiert wurde. Infolge dessen nutzt der Angreifer dieses Netzwerk als Sprungbrett, um von dort aus weitere Netzwerke zu attackieren. Bei einem Gegenangriff existiert die Möglichkeit den Unschuldigen zu treffen. 45 Vorteile von IRS sind: Beseitigung von Angriffen, Zeitgewinn; die IRS reagiert bei Einbruchsfällen schneller als Administratoren, Identifizierung des Angreifers, Reduzierter personeller Aufwand. 4 Maßnahmen zur Etablierung eines Intrusion Controls Um den Sicherheitsgrad eines Computersystems bzw. Netzwerks zu erhöhen, müssen einige Maßnahmen in Betracht gezogen werden. Diese Maßnahmen sind technischer, wirtschaftlicher, rechtlicher und personeller Natur. 4.1 Technische Maßnahmen Die Systemeigenschaften und das zu etablierende Schutzsystem müssen übereinstimmen. Zum Beispiel ist die Nutzung des NIDS auf das System, das nur aus einem Rechner besteht, nicht möglich. Ein anderes Beispiel wäre die Durchführung des IDS auf ein leistungsschwaches System. Dabei spielen das Betriebssystem, der Prozessor des Systems und die Bandbreite des Netzwerks eine entscheidende Rolle. Die Anzahl der Sensoren müssen entsprechend den Systemeigenschaften optimiert werden. Zu viele Sensoren können das gesamte Netzwerk deutlich verlangsamen. Im Gegensatz dazu können zu wenige Sensoren Lücken bei der Beobachtung bezüglich des Netzwerks verursachen. 45 Mehr Information über das Third Party Effect unter Müller, K. (II)

16 Die technische Infrastruktur des zu schützenden Systems spielt ebenfalls im Rahmen der technischen Maßnahmen bei der Etablierung eine zu beachtende Rolle. Bei der Infrastruktur ist die Integrität der anderen Einrichtungen des Systems zu beachten, wie z. B. Hubs, Switch, Firewall. Ein anderer wichtiger Punkt ist die Einbettung der Sensoren. Bei einem Netzwerk bestehen viele Möglichkeiten die Sensoren einzubetten, wie z. B. vor oder nach der Firewall. Bei einem Hybride IDS ist es wichtig zu beachten, auf welchen Rechner und Netzwerkknoten die Sensoren eingebettet werden sollen. 4.2 Wirtschaftliche Maßnahmen Bei dem Aufbau eines ICS muss der wirtschaftliche Aspekt berücksichtigt werden. Die allgemeinen wirtschaftlichen Aspekte für die Informationssicherheit stellen die Grundlage für die Etablierung eines ICS dar. Die folgende Graphik zeigt das optimale Sicherheitsniveau an. Es ist der Schnittpunkt zwischen den Kosten des Sicherheitsniveaus und der Kosten, die durch Schäden entstehen. Die Kosten bei der Einführung eines ICS sind zu implementieren. Die zu beachtenden Kostenarten sind 46 : Abbildung 6: Optimales Sicherheitsniveau Quelle: In Anlehnung an Breitner, M., Pommes, R Anschaffungskosten: - Software: Von Bedeutung ist die Systemauswahl aus wirtschaftlicher Perspektive, aufgrund der Lizenzkosten von der Software. Das ist ein Nachteil der 46 Vgl. BSI I, S. 21 ff

17 HIDS gegenüber der NIDS. Andererseits ist zu beachten, ob eine Kommerzielle oder Open Source Software benutzt wird. - Hardware: Für die ICS werden in der Praxis oft externe Rechner eingesetzt. Je grösser das Netzwerk ist, desto mehr Rechner werden benötigt. Die Datenbanken stellen auch Hardwarekosten der Anschaffungskosten dar. Ebenfalls fallen Kosten für Zubehör, wie z. B. Verkabelung, Switch und Hubs. - Integration: Für die Integration fallen Kosten für die Kalibrierung, Installation und Inbetriebnahme des Systems an. Wartungskosten: - Um das System fehlerfrei in Funktion zu halten, muss es ständig gepflegt werden. Diese Pflege verursacht Wartungskosten. Betriebskosten: - Personal: Je nach Größe des Unternehmens und des Netzwerks wird für die Systempflege und System Instandhaltung, sowie für nicht automatische reaktive Maßnahmen Personalmaßnahmen getroffen. Bei größeren Unternehmen bestehen in der Regel ein Sicherheitsteam oder verantwortliche Personen (Administratoren). Bei mittleren oder kleinen Unternehmen werden IS Verantwortlichen diese Sicherheitsaufgabe zusätzlich zugeteilt oder es werden externe Dienstleister mit dieser Aufgabe beauftragt. 47 - Schulungskosten: Sowohl die Schulung des Sicherheitsteams als auch die Sensibilisierung der Mitarbeiter muss durchgeführt werden. Zusätzlich fallen häufig Supportkosten seitens des Herstellers an. Diese können Schulungen der eigenen Mitarbeiter, Updates und Hilfe bei der Integration und Installation umfassen. 4.3 Rechtliche Maßnahmen Bei einem Einsatz von ICS wird eine Menge von personenbezogenen Daten aufgezeichnet. Aber nicht nur personenbezogene Daten, sondern auch Daten, die für die Zuordnung von Personen zu bestimmten Aktivitäten von Nöten sind, werden zu Erkennung von Angriffen gesammelt. Einige Bespiele hierfür sind 48 : die Aufzeichnung unberechtigter Zugriffsversuche auf Daten, die Aufzeichnung unberechtigter Zugangsversuche zu Anwendungen und die Aufzeichnung der IP Adressen oder Domain /Rechnernamen, von denen aus Angriffe oder Angriffsversuche gestartet wurden. Mit Hilfe von IDS können Angriffe zurückverfolgt werden, um somit seinen Verursacher ermitteln zu können. Welche personenbezogenen Daten hierbei gesammelt werden ist stark abhängig von der Einsatzweise und Konfiguration, bzw. Kalibrierung des IDS. 47 Vgl. Pohlmann, N., Teil 4/12 S. 1 48 Vgl. BSI IV, S. 3

18 Wichtig ist, dass bestimmte relevante gesetzliche Vorgaben, bei einer IDS Datenaufzeichnung, zu beachten sind. Diese sind 49 : Das Bundesdatenschutzgesetz (BDSG, Stand 19.7.2002), 3a, 4, 4a, 5, 11, 14, 19a, 28 und 31. Die Telekommunikations Datenschutzverordnung (TDSV, Stand 21.12.2000), 3. Das Gesetz über den Datenschutz bei Telediensten (TDDSG, Stand 14.12.2001), 4 6. Das Gesetz über die Nutzung von Telediensten (TDG, Stand 14.12.2001), 4. Das Betriebsverfassungsgesetz (BetrVG, Stand 10.12.2001), 87 und 90 für nichtöffentliche oder öffentlichrechtliche Wettbewerbsunternehmen. Das Personalvertretungsgesetz des Bundes (BPersVG, Stand 9.7.2001) bzw. des zuständigen Landes, hier beispielhaft 75 BPersVG. 4.4 Personelle Maßnahmen Die personellen Maßnahmen umfassen: Die Verantwortung der Leitungsebene; für die Einführung zum ICS muss in erster Linie ein Bedürfnis für das ICS existieren. Die Leitung der Organisation, Betrieb oder Unternehmen muss diesen Bedarf sehen. Sensibilisierung und Schulung von Mitarbeitern; die Nutzer des Systems müssen für den Erfolg des ICS sensibilisiert und geschult werden. Schulung der Verantwortlichen; vor allem aber ist die Qualifikation der verantwortlichen Person(en) sehr wichtig. Sie sollen über die geeignete Kompetenz verfügen. 50 Organisierung (Bildung) des Sicherheitsteam; bei größeren Unternehmen mit großen und komplexen Netzwerken, muss ein Sicherheitsteam zusammengesetzt werden. 5 Notwendige Prozesse zum Intrusion Control Ein IC besteht grundsätzlich aus drei Prozessen, um die notwendigen Funktionen gewährleisten zu können. Diese Prozesse sind: Datensammlung Datenanalysierung Ergebnisdarstellung 5.1 Datensammlung Das IDS sammelt die notwendigen Rohdaten mit Hilfe seiner Sensoren. Die notwendigen Daten unterscheiden sich nach der Methode der Datenanalyse. Um ein wirkungsvolle Analyse zu verwirklichen, müssen genügend Informationen zur Verfügung stehen. Dabei ist zu 49 Vgl. BSI IV, S. 4 50 Vgl. BSI III, S. 22 ff

19 beachten, dass zu viele Daten auch das ICS negativ beeinflussen können. Ein Beispiel für einen negativen Einfluss ist z. B. die Abweichung der Analyse von der Echtzeit. Für die Verringerung der Datenmenge wird das sogenannte Preprocessing (Vorverarbeitung) durchgeführt. 51 Die Quelle der Daten unterscheidet sich nach der Art eines IDS. Bei einem hostbasierten IDS handelt es sich um Protokolldaten (Auditdaten) und Betriebsmittelvergaben durch das Betriebssystem. Bei einem netzwerkbasierten IDS handelt es sich um Protokolldaten und um Betriebsmittelvergaben durch das Betriebssystem. Dies beinhaltet sämtliche Pakete, die in Bezug auf Verbindungen zwischen verschiedenen Netzteilnehmern erfolgt. 5.2 Datenanalyse Der tatsächliche Erkennungsprozess der Überwachung findet in der Datenanalysekomponente statt. Die Datenanalysekomponente analysiert die Daten, welche von der Datensammlungskomponente gesammelt werden. Resultiert nach der Analyse eine Informationssicherheitsverletzung, werden die vorgegebenen Maßnahmen eingeleitet. 52 5.2.1 Signaturanalyse Eine Signatur ist eine bestimmte Datenkombination, die zu Identifizierungszwecken von Personen dient. Anders ausgedrückt sind Signaturen Ereignisse im IDS Kontext, die Charakteristiken von speziellen Protokollen beschreiben, bzw. die auf einen bekannten Angriff oder ein missbräuchliches Systemverhalten hindeuten. Dabei umfassen Signaturen einfache Zeichenerkennungen in Daten ( pattern maching ) bis hin zu komplexen Verhaltensmustern. Die Signaturanalyse (engl. Signatur Analysis) wird in der Literatur auch als Missbrauchserkennung (engl. Misuse Detection) bezeichnet. Diese Methode dient zur Angriffserkennung, die auf einem String Matching Algorithmus basiert. Die Signaturerkennung versucht in Datenpaketen verschiedene Protokollschichten nach bekannten Signaturen (Mustern) zu vergleichen. 53 Die Angriffe haben in der Regel bestimmte Merkmale, wie zum Beispiel Flags oder Strings im Nutzerdatenvolumen (engl. Payload). 54 Das IDS muss eine Signaturdatenbank für die bekannten Angriffsmuster besitzen. Aufgrund dessen vergleicht das System die Signaturen des Netzwerks bzw. des Rechners mit dem der Mustersignaturen. Falls sich aus der Analyse eine Übereinstimmung ergibt, nimmt das System es als ein Angriff wahr, andererseits schlägt die Signaturanalyse fehl. Um eine maximale Sicherheit zu gewährleisten muss die Signaturdatenbank kontinuierlich aktualisiert werden. Die Vorteile einer Signaturanalyse sind: 51 Vgl. Frank, F., Welsche, G., Hildebrandt, A., Meyer, M., S. 7 52 Vgl. Müller, K R., S. 188 53 Vgl. Plate, J.; Holzmann, J. 54 Vgl. Müller, K. (II)