| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Das Erkennen und Einschätzen von Sicherheitsrisiken sowie ihre Behebung oder Reduktion auf ein tragbares Risiko ist eine wesentliche Aufgabe, um möglichen Angriffen vorzubeugen. Dies lässt sich unter anderem durch eine Sicherheitsanalyse erreichen, in der man alle eingesetzten organisatorischen und technischen Sicherheitsmaßnahmen analysiert und bewertet sowie ihre korrekte Umsetzung überprüft.
Eine Schwachstellenanalyse ist eine weitere Möglichkeit, um die Sicherheit des eigenen Netzes zu überprüfen. Dabei wird nachgewiesen, welche Schwachstellen vorhanden sind und wie Angreifer diese ausnutzen können, beispielsweise mithilfe von Penetrationstests. Bei diesen Tests wird versucht, die Sicherheit der zu untersuchenden IT-Systeme von "außen" zu kompromittieren – man schlüpft quasi in die Rolle eines Hackers.
Eine weitere Möglichkeit bieten Untersuchungen, in denen IT-Komponenten, Prozessschnittstellen, Anwendungen oder auch Firewalls unter Sicherheitsaspekten überprüft werden. Solche Tests können interne, aber auch externe Prüfer durchführen.
Da immer wieder neue Schwachstellen bekannt werden, ist es sinnvoll, diese Tests in regelmäßigen Abständen durchzuführen; denn früher wirksame Sicherheitsmaßnahmen schützen möglicherweise nicht mehr oder nur noch unzureichend. Ebenso geben wesentliche Systemänderungen, Sicherheitsvorfälle oder der Einsatz von neuer Sicherheitstechnik Anlass zu erneuten Überprüfungen.
Netze bestehen im Wesentlichen aus IT-Systemen, beispielsweise Clients und Servern, aktiven Netzkomponenten (z. B. Router oder Switches), Netzwerkdruckern und so weiter. Zwischen diesen Komponenten gibt es Netzverbindungen sowie Verbindungen nach außen, zum Beispiel Internet-Anbindungen, Einwahl-Zugänge über ISDN oder Modem, Funkstrecken oder Mietleitungen zu entfernten Gebäuden oder Liegenschaften.
Zielobjekte einer IT-Sicherheitsuntersuchung sind in der Regel die über lokale oder öffentliche Netze angebundenen IT-Komponenten sowie ihre Verbindungen. Sie können eine Reihe von Schwachstellen aufweisen, zum Beispiel "ungepatchte" Betriebssysteme, Fehler in den zugrunde liegenden Diensten (z. B. DNS, E-Mail oder FTP) oder auch ungeänderte Default-Passwörter.
Ziel einer IT-Sicherheitsuntersuchung ist es, diese Sicherheitslücken zu entdecken und gegebenenfalls zu beheben. Es gibt verschiedene Möglichkeiten, eine solche Prüfung durchzuführen. Neben einer detaillierten Sicherheitsanalyse kann man mithilfe verschiedener Tests die Sicherheit des zu untersuchenden Netzes überprüfen. Man unterscheidet prinzipiell zwischen Black-Box-Tests und White-Box-Tests, die auf der Basis von unterschiedlichen Wissensständen durchgeführt werden.
Bei einem Black-Box-Test (oder Scan- und Penetrationstest) wird kein Vorwissen über die zugrunde liegende interne Architektur des Netzes und der implementierten Schutzmechanismen benötigt. Diese Tests simulieren die Situation eines Angreifers ("Hackers"), der selbst auch keine Kenntnisse über das Netz hat und keinen direkten Zugang zum System besitzt. Zu Beginn des Tests werden alle öffentlich zugänglichen Quellen genutzt, um Informationen über die Organisation zu sammeln, anschließend sucht man mithilfe von Tools gezielt nach Schwachstellen. Über gefundene potenzielle Schwachstellen versuchen die Tester in das interne Netz oder andere geschützte Bereiche einzudringen.
Vorteil dieser Black-Box-Tests ist, dass sie – sofern von einem externen Prüfer durchgeführt – mit wenig Arbeitsaufwand für den Auftraggeber verbunden sind. Nachteilig ist jedoch, dass diese Tests wenig Aussagekraft im Hinblick auf das Sicherheitsniveau des gesamten Netzes haben, da das Netz nur von "außen" betrachtet wird. Fehlerhafte Konfigurationsdateien oder Inkonsistenzen in der Rechteverwaltung lassen sich mithilfe dieser Tests in der Regel nicht finden. Für eine systematische Sicherheitsanalyse ist zusätzlich ein White-Box-Test nötig.
White-Box-Audits basieren auf umfangreichen Informationen (Netzpläne, Applikationen usw.), die der Auftraggeber dem Prüfer zur Verfügung stellt. Der Prüfer besitzt also Kenntnisse über Aufbau, Applikationen und Dienste des zu untersuchenden IT-Netzes. Mithilfe dieser Tests können neben technischen Überprüfungen, wie dem Check der System- und Serverkonfiguration, des Netzkonzeptes, der Sicherheits-Gateways oder der Rechtevergabe, auch organisatorische Prüfungen vorgenommen werden. Zum Beispiel lassen sich Inkonsistenzen oder Lücken in der Sicherheitspolitik des Unternehmens entdecken. Nachteile von White-Box-Tests sind ihr vergleichsweise hoher Zeit- und Arbeitsaufwand.
Folgende Mängel können in der Regel mithilfe von Black- und White-Box-Tests festgestellt werden:
IT-Sicherheitsuntersuchungen können sowohl unternehmensweit als auch in abgegrenzten technischen oder organisatorischen Bereichen (z. B. Netzwerk, Firewall-Systeme o. Ä.) ablaufen. Wird eine IT-Sicherheitsuntersuchung veranlasst, ist es zunächst notwendig, den konkreten Sicherheitsbedarf des zu untersuchenden Bereichs zu ermitteln. Man erreicht das durch eine Schutzbedarfsfeststellung, die feststellt, welcher Schutz für die Informationen und die verwendete Informationstechnik mindestens ausreichend und angemessen ist. Anschließend können in einer Sicherheitsanalyse bestehende Schwachstellen ermittelt und erforderliche Maßnahmen identifiziert und umgesetzt werden.
Bezüglich des Umfangs einer Untersuchung sind folgende Punkte vorab zu klären:
Aufgrund der meist starken Vernetzung von IT-Systemen innerhalb einer Organisation ist es ratsam, im Rahmen einer IT-Sicherheitsuntersuchung die gesamte IT und nicht nur einzelne IT-Systeme zu untersuchen. Ist es aus Zeit- und Kostengründen nicht möglich, das gesamte Netzwerk zu berücksichtigen, sollte man sich auf die sicherheitskritischen Bereiche konzentrieren.
Abhängig vom Ziel einer solchen Untersuchung, ist eventuell ein Black-Box-Test ausreichend. Wird jedoch eine umfassende und aussagekräftige Sicherheitsüberprüfung gewünscht, sollte zusätzlich ein White-Box-Test durchgeführt werden. Je klarer das Ziel einer solchen Untersuchung definiert ist und je mehr Informationen (z. B. Netzpläne und Anwendungen) dem Prüfer zur Verfügung stehen, desto zeitsparender und wirksamer wird die Untersuchung.
Greift man für eine IT-Sicherheitsuntersuchung auf externe Berater zurück, so sollte man sich darüber im Klaren sein, dass eine umfassende Prüfung nur in Zusammenarbeit mit eigenen Mitarbeitern durchgeführt werden kann. In der Regel werden Projektteams gebildet, die aus internem Fachpersonal, Mitgliedern des Managements und externen Beratern bestehen. Dies erleichtert den notwendigen Know-how-Transfer zwischen den Gruppen. Gründe für die Einbeziehung externer Prüfer können sein:
Natürlich gibt es auch Gründe dafür, die Überprüfung durch eigenes Fachpersonal durchführen zu lassen, zum Beispiel: Aufbau von Fachwissen oder Geheimhaltung wettbewerbswirksamer Informationen.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Die Berufsbezeichnung Unternehmensberater ist – im Gegensatz zum Steuerberater – in Deutschland nicht geschützt; jeder kann sich so nennen, ganz gleich welche Ausbildung und Qualifikation er dafür mitbringt. Deshalb ist die fachliche und persönliche Qualifikation der Prüfer bei der Auswahl eines Beratungsunternehmens besonders wichtig.
Die infrage kommenden Beratungsunternehmen sollten zu einem unverbindlichen Vorgespräch eingeladen werden. Ein solches persönliches Vorgespräch hat den Vorteil, dass man das geplante Projekt ausführlich besprechen kann, zum Beispiel Vorgehensweise und Projektplan. Außerdem kann man feststellen, ob eine Zusammenarbeit auf kommunikativer Ebene überhaupt möglich ist. Bestehen von Anfang an Kommunikationsprobleme innerhalb des zukünftigen Projektteams, ist eine konstruktive Zusammenarbeit nicht zu erwarten. Bei der Auswahl eines Beratungsunternehmens sollte man zudem die folgenden Kriterien berücksichtigen:
Das Unternehmen sollte Verfahren und Tools zur Durchführung von Penetrationstests zur Verfügung haben und diese kurz vorstellen.
Es genügt nicht, Schwachstellen nur festzustellen; das Beratungsunternehmen sollte auch in der Lage sein, sie zu bewerten und Lösungen anzubieten.
Nicht nur das Unternehmen muss fachliche Qualifikationen vorweisen, sondern auch die an der Untersuchung beteiligten Mitarbeiter des Unternehmens. Dies kann zum Beispiel in Form eines tätigkeitsbezogenen Lebenslaufs und nachgewiesener Administratorkenntnisse (gegebenenfalls Zertifikate) erfolgen. Wichtig ist auch, dass der hauptverantwortliche Mitarbeiter nicht zum ersten Mal eine Untersuchung dieser Art durchführt.
Neben dem IT-Fachwissen, sollte auch Know-how über Projektmanagement zur Verfügung stehen.
Das Beratungsunternehmen muss darstellen können, wie es IT-Sicherheitsüberprüfungen durchführt. Anhand der Plausibilität eines solchen Prüfungskonzeptes lässt sich viel über die Erfahrung, bei der Durchführung von Sicherheitsuntersuchungen ableiten.
Nachgewiesene Erfahrungen in der Durchführung von IT-Sicherheitsanalysen und Penetrationstests: Der Nachweis sollte in Form von aussagekräftigen Referenzen oder Publikationen erbracht werden. Es ist sinnvoll, diese Referenzen stichprobenartig nachzuprüfen.
Die Firma sollte Kenntnisse nicht nur im reinen IT-Umfeld haben, sondern auch zum Beispiel auf dem Gebiet der Gebäudeinfrastruktur oder von Organisationsabläufen besitzen.
Häufig geht es bei der Beratung, besonders bei Lösungsvorschlägen, um die Empfehlung bestimmter Methoden oder Sicherheitstechnologien. Um die Neutralität zu wahren, sollten die Prüfer nicht durch Provisionen oder Verträge an bestimmte Lieferanten gebunden sein.
Wie ist das Unternehmen organisiert? Deckt ein Berater alle Fachbereiche ab, oder gibt es eine Aufgabentrennung, zum Beispiel zwischen den IT-Experten und dem Projektmanagement?
Welche Beratungsgebiete deckt das Unternehmen ab? Welche Leistungen werden in diesen Bereichen angeboten? Eventuell müssen für spezielle Anwendungen weitere externe Berater hinzugezogen werden.
Welche Philosophie vertritt das Unternehmen? Bietet es zum Beispiel Lösungen hauptsächlich für mittelständische Institutionen an oder berät es vorzugsweise Großunternehmen?
Hat das Unternehmen eine Haftpflichtversicherung? Dies ist wichtig, falls durch aktive Angriffe im Verlauf der Überprüfung unbeabsichtigt Schäden entstehen. Es sollte anhand der Versicherungspolice kontrolliert werden, ob mögliche Schäden abgedeckt sind.
Hat das Beratungsunternehmen Niederlassungen in der Region? Dies kann von Vorteil sein, wenn man einmal ad hoc die Beratungsleistung in Anspruch nehmen möchte. Ebenso wirkt sich dies auch auf mögliche Reise- und Unterbringungskosten aus.
Das Unternehmen sollte nach ISO 9000 zertifiziert sein.
Da das Prüfungsteam nicht ausschließlich aus den externen Prüfern besteht, sondern auch aus dem eigenen Fachpersonal, müssen diese verschiedenen Gruppen miteinander arbeiten können. Dies ist nur möglich, wenn die "Chemie" stimmt.
Geplanter Zeitaufwand für die IT-Sicherheitsüberprüfung
Beispielsweise der mögliche Beginn der Überprüfung
Kommt es zu einem Vertragsabschluss, muss ein Non Disclosure Agreement (NDA), eine Verschwiegenheitsklausel, auf jeden Fall Vertragsbestandteil sein. In dieser Verschwiegenheitsklausel sichert jeder Vertragspartner dem anderen zu, dass er alle ihm zur Kenntnis gebrachten Informationen als Betriebsgeheimnis behandelt und Dritten nicht zugänglich macht.
Im Verlauf des Projektes ist es wichtig, dass regelmäßige Projektgruppensitzungen stattfinden, in denen der Projektfortschritt, auch in Form von Zwischenberichten, dargestellt wird. An diesen Sitzungen sollten Mitglieder des Managements und eventuell auch des Betriebs-/Personalrates teilnehmen.
Der Betriebs-/Personalrat sollte auf jeden Fall über die Einbeziehung eines externen Unternehmens informiert werden. Dies ist zwar in den meisten Fällen nicht mitbestimmungspflichtig; sollten sich aber aufgrund der Untersuchung zum Beispiel neue Arbeitsmethoden ergeben, so muss der Betriebs-/Personalrat dem zustimmen. Er hat in einem solchen Fall das Recht auf rechtzeitige und umfassende Unterrichtung. Abgesehen davon ist es im Sinne der vertrauensvollen Zusammenarbeit zwischen Arbeitgeber und Betriebs-/Personalrat, dass dieser über die Art, das Ziel und den Umfang des Einsatzes von externen Prüfern in der Institution unterrichtet wird.
Das Ergebnis einer solchen Überprüfung sollte ein detaillierter Bericht sein, in dem das Vorgehen der IT-Sicherheitsüberprüfung klar beschrieben wird. Die Untersuchungsschritte müssen dokumentiert und alle erlangten Informationen über gefundene Schwachstellen aufgelistet sein. Des Weiteren müssen konstruktive, umsetzbare Lösungen vorgeschlagen werden. Sinnvoll ist die zusätzliche Anfertigung eines Managementreports. Der Managementreport enthält eine Zusammenstellung der auffälligsten Schwachstellen, die bei der Untersuchung festgestellt wurden. Der Report wird in einer Schlussbesprechung der Unternehmensleitung präsentiert.
Katja Vogel ist Referentin im Referat Internet-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> Berater-Special 2006, Seite 4
|