Dipl.-Inform. Carsten Eilers

Die technischen Schutzvorrichtungen wie z.B. Firewall, Intrusion-Detection- und Prevention-System oder Honeypot schützen vor vielen Gefahren, die sich aus der Anbindung eines Netzwerks an das Internet ergeben. Aber damit sie das richtig tun können, müssen sie auch richtig eingesetzt werden. Eine Firewall weiß nicht von sich aus, welche Pakete sie abweisen und welche sie passieren lassen soll. Dafür muss sie entsprechend konfiguriert werden. Ebenso ein IDS: Welche Pakete einen Alarm auslösen sollen und welche harmlos sind, muss definiert werden. Diese und alle weiteren sicherheitsrelevanten Maßnahmen und Entscheidungen müssen irgendwo festgelegt werden. Dieses "Irgendwo" sind die Sicherheitsrichtlinien. Kurz gesagt geht es dabei darum, verbindlich festzulegen, wie das IT-System geschützt wird und was zu tun ist, wenn seine Sicherheit gefährdet wird.

Laufende Anpassungen notwendig

Dabei ist es nicht damit getan, einmal Sicherheitsrichtlinien festzulegen. Diese müssen laufend an die sich ändernden Bedingungen in Unternehmen (z.B. Hinzukommen neuer Anforderungen) und Umfeld (z.B. Auftreten neuer Bedrohungen) angepasst werden. Dafür hat sich ein schrittweises Vorgehen, wie es in vielen Normen (aktuell z.B. die ISO/IEC-27000-Reihe, früher deren Vorgänger ISO/IEC 13335 und BS 7799,...) beschrieben wird, bewährt. Dabei wird von vier Projektphasen ausgegangen:

• (Sicherheits-)Ziele setzen,
• Risiken erkennen und minimieren ("Risikomanagement"),
• entsprechende Schutzmaßnahmen umsetzen und
• deren Wirksamkeit sicherstellen.

Ziele

Hauptziel der IT-Sicherheit ist der zuverlässige Betrieb der IT-Systeme entsprechend den Notwendigkeiten der Geschäftsprozesse. I.A. bedeutet dass, das man die üblichen Schutzziele der IT-Sicherheit erreichen will:

• Vertraulichkeit - Daten können nur von den dazu autorisierten Benutzern gelesen werden.
• Verfügbarkeit - Der Zugriff auf die Daten durch die authentifizierten und autorisierten Benutzer ist jederzeit gewährleistet.
• Integrität - Eine unbemerkte und unbefugte Manipulation der Daten ist nicht möglich, jede Änderung ist nachvollziehbar.
• Nicht-Abstreitbarkeit (Verbindlichkeit) - Eine vom Benutzer durchgeführte Aktion kann von diesem nicht abgestritten werden.
• Authentizität - Die Echtheit/Korrektheit der Daten lässt sich nachweisen.

Das konkrete Ziel einer Sicherheitslösung können dabei je nach Anwendungsfall Effektivitätsziele (z.B. "maximale Sicherheit"), ergonomische Ziele (z.B. "möglichst einfache Bedienung") oder ökonomische Ziele (z.B. "minimale Anschaffungs- oder Betriebskosten") sein. Im Rahmen der Zielsetzung werden die einzelnen Ziele entsprechend ihrer Wichtigkeit bewertet, um bei sich widersprechenden Einzelzielen trotzdem ein optimales Ergebnis zu erreichen.

Risiken

Beim Risikomanagement sind die bestehenden Risiken zu analysieren, entsprechende Schutzmaßnahmen auszuwählen und deren Umsetzung entsprechend der jeweiligen Priorität zu planen. Bei der Risikoanalyse wird das zu analysierende System vom Rest der IT-Welt abgegrenzt und in Einzelkomponenten oder Gruppen davon gegliedert. Jede Komponente bzw. Gruppe wird entsprechend ihrer Bedeutung für das Unternehmen bewertet. Danach werden mögliche Bedrohungen und Schwachstellen sowie vorhandene Schutzmaßnahmen untersucht. Darauf aufbauend werden die jeweiligen Risiken und geeignete Schutzmaßnahmen ermittelt. Danach kann entschieden werden, ob ein bestehendes Risiko toleriert und als unternehmerisches Risiko getragen werden kann oder ob ein zu hohes Risiko durch Schutzmaßnahmen auf ein akzeptables Maß reduziert werden soll.

Schutzmaßnahmen

Die Schutzmaßnahmen werden in drei Kategorien unterteilt:

• Organisatorische Schutzmaßnahmen optimieren die betrieblichen Abläufe.
  Beispiele sind der Umgang mit den Zugangs- und Zugriffsrechten eines Mitarbeiters bei dessen Ausscheiden, Vertretungsregelungen beim Ausfall eines Administrators usw.
• Administrative Schutzmaßnahmen optimieren die Verwaltung der IT-Systeme.
  Beispiele sind die Administration der Firewall, die Überwachung von Intrusion-Detection- und -Prevention-Systemen oder der Umgang mit Sicherheitsupdates. Auch die Kontrolle von Umsetzung, Weiterentwicklung und Wirksamkeit der Schutzmaßnahmen gehören dazu.
• Technische Schutzmaßnahmen stellen durch den Einsatz von Hard- und Software den gewünschte Schutz her.
  Beispiele sind Firewall, IDS/IPS, Virenscanner oder Verschlüsselungssoftware.

Wirksamkeit

Um die Wirksamkeit der Schutzmaßnahmen sicherzustellen sind diese an drei Anforderungsbereiche auszurichten und regelmäßig zu überprüfen und weiterzuentwickeln:

• Systembedingte Anforderungen, die sich z.B. aus vorhandenen Schwachstellen oder Einschränkungen ergeben.
• Interne Anforderungen, z.B. neu hinzukommende Schutzfunktionen, Änderungen in der Organisation oder ein erhöhter Wert der zu schützenden Daten.
• Externe Anforderungen, z.B. das Bekanntwerden neuer Schwachstellen oder Angriffe.

Die Überprüfung der Wirksamkeit erfolgt z.B. durch Penetrationstests der Firewall-, Intrusion-Detection- und -Prevention-Systeme oder eine Kontrolle der Umsetzung der organisatorischen Schutzmaßnahmen. Dabei erkannte Schwachstellen sind, ggf. durch eine Anpassung der Sicherheitsrichtlinien, zu beheben. Im Rahmen der Weiterentwicklung sind die sich durch neu hinzukommende Anforderungen ergebenden Schutzmaßnahmen in die Richtlinien aufzunehmen bzw. vorhandene Schutzmaßnahmen entsprechend anzupassen.

Ab der nächsten Folge wird die Entwicklung eine einfachen Sicherheitsrichtlinie an einem Beispiel demonstriert.

Carsten Eilers

Kategorien: Grundlagen

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Donnerstag, 8. November 2018: Security Policy - Ein einfaches Beispiel, Teil 1

Vorschau anzeigen

Wie angekündigt werde ich ab dieser Woche die Entwicklung einer Sicherheitsrichtlinie (Security Policy) an einem Beispiel beschreiben. Da das ein sehr komplexer Vorgang ist werde ich jedoch "nur" das Netzwerk betrachten, und auch kann ich nu