Koalition von Security- und Systemmanagement
Systemstatus und Alarme im Blick
Kostendruck und ein gestiegenes Sicherheitsbewusstsein vieler Unternehmen erfordern von den IT-Abteilungen eine stärkere Ausrichtung hin zum internen Dienstleistungsanbieter. Die Geschäftsbereiche, die die IT-Dienstleistungen einkaufen, fordern dabei immer häufiger die Vereinbarung von Service Levels (SLAs), damit die Leistungen der eigenen IT-Abteilung mit externen Anbietern vergleichbar sind. Diese SLAs beinhalten neben den klassischen Performance- und Verfügbarkeitsvorgaben auch IT-Sicherheitsaspekte.
Eine effiziente Umsetzung dieser Anforderungen setzt eine Automatisierung der IT-Prozesse sowie
eine enge Integration von Security- und Systemmanagement voraus. Diese Automatisierung umfasst beim
klassisches Systemmanagement unter anderem die Disziplinen Backup, Softwareverteilung und
Performance Monitoring. Beim Security-Management betrifft dies zum Beispiel das Identity-Management
und Intrusion Detection (Angriffserkennung). Um die notwendigen Lösungen konkurrenzfähig umsetzen
zu können, orientieren sich viele IT-Abteilungen an Standards und Best-Pratice-Dokumentationen. Nur
so lassen sich neue Disziplinen schnell und kostengünstig implementieren.
IT Infrastructure Library
Der Trend zu einheitlichen und sicheren IT-Prozessen verstärkt das Interesse an der britischen
Best-Practice-Sammlung IT Infrastructure Library (ITIL). ITIL definiert eine einheitliche Sprache
und gibt Empfehlungen für die Umsetzung von Geschäftsprozessen. In diesem Rahmen gibt das Regelwerk
auch entsprechende Empfehlungen (Best Practices) für System- und Security-Management. Allgemein
geht ITIL auf die folgenden Bereiche ein:
Incidence-Management,
Problem-Management,
Service-Level-Management,
Change-Management,
Release-Management,
Configuration-Management,
Financial-Management,
Capacity-Management,
Availibility-Management,
IT-Continuity-Management und
Security-Management.
ISO-Standard 17799
Ganz auf Sicherheit konzentriert sich der ISO-Standard 17799 (Information Technology Code of
Practice for Information Security Management). Auch hier erhält der Administrator Empfehlungen, und
zwar in den folgenden Bereichen, die zum Beispiel mit "Zutrittskontrolle" über reine IT-Mechanismen
hinausgehen:
Sicherheitsrichtlinien,
organisatorische Sicherheit,
Klassifizierung und Kontrolle von Vermögenswerten,
Personalsicherheit,
physikalische und Umgebungssicherheit,
Kommunikations- und Betriebsmanagement,
Zugangskontrolle zu Informationen,
Systementwicklung und Wartung,
Sicherstellung kontinuierlicher Geschäftsabläufe und
Einhaltung von Vorschriften.
Auf dem Markt befindliche Lösungen mehrerer Hersteller setzen die im Standard eher allgemein
beschriebenen Ansätze praktisch um. Im Wesentlichen decken sie die folgenden Disziplinen ab:
Compliance- und Risk-Management sowie Identity-, Access- und Federated-Identity-Management.
Compliance-Management
Voraussetzung für jegliche Sicherheit ist die Definition von Sicherheitsrichtlinien (Security
Policies). Sie definieren, was aus Sicherheitsperspektive für ein Unternehmen akzeptabel ist und
was nicht, zum Beispiel ob ein interner Benutzer Dateien aus dem Internet laden darf. Es ist
offensichtlich, dass die Einhaltung dieser Richtlinien eine zentrale Rolle spielt. Aus diesem Grund
ist eine Überwachung der Einhaltung (Compliance-Management) wichtig. Der auf IT basierende Teil der
Sicherheitsrichtlinien ist durch entsprechende Compliance-Managementlösungen automatisch
kontrollierbar. Die Software überwacht von zentraler Stelle alle Systeme im Unternehmen (Server,
Clients, Router etc.) auf Einhaltung der Sicherheitsrichtlinien und erstellt darüber regelmäßig
Reports. Die Hersteller liefern solche Systeme in der Regel bereits mit vordefinierten Richtlinien
(Best Practices), die ein Unternehmen nur noch an seine konkreten Anforderungen anpassen muss.
Diese vordefinierten Richtlinien enthalten unter anderem die aus Sicherheitssicht optimale
Konfiguration eines Typs von Systemen. So sollte zum Beispiel unter Windows kein RPC-Service
(Remote Procedure Call) laufen und immer der aktuelle Sicherheitspatch eingespielt sein. Die
Richtlinien machen sich hier teilweise zunutze, dass viele der möglichen Angriffe bekannte
Schwachstellen ausnutzen, die sich durch geeignete Maßnahmen beseitigen lassen.
Risk-Management
Ergänzend zum Compliance-Management versucht auch das Risk-Management den Schaden für IT-Systeme
zu minimieren, den Angriffe verursachen. Im Gegensatz zum Compliance-Management handelt es sich
hier aber um Angriffe, die ein Unternehmen nicht im Vorfeld verhindern kann. Hier ist daher eine
rechtzeitige und eindeutige Erkennung notwendig. Viele Unternehmen setzen hierbei auf Sensoren und
Intrusion-Detection-Systeme (IDS). Dabei überwachen dedizierte Infrastrukturkomponenten zum
Beispiel die Server auf Angriffe. Diese Lösungen werten den Status der überwachten Systeme aus,
indem sie die Einträge in den Log-Dateien oder aus anderen Informationsquellen mit bekannten
Angriffsmustern vergleichen.
Einzelne Intrusion-Detection-Systeme können aber jeweils nur einen bestimmten Teil der gesamten
Infrastruktur überwachen. Da diese Komponenten aber weitgehend unabhängig voneinander sind, fehlt
den Systemadministratoren zur schnellen Gegenwehr eine übersichtliche Gesamtdarstellung. Aus diesem
Grund ist es ratsam, eine übergelagerte, zentrale Instanz einzuführen, an die die IDS alle Events
weiterleiten. Das System korreliert dann die eingehenden Events: Es filtert Duplikate aus und
stellt zusammenhängende Events als einen einzigen Event auf dem Bildschirm des Systemadministrators
dar. Basierend auf diesen komprimierten Events kann das System automatisch Gegenmaßnahmen wie das
Sperren eines angegriffenen Ports einleiten.
Identity-Management
Eine schon seit den Anfängen der IT existierende Aufgabe ist die Benutzerverwaltung. Gerade hier
wird das Zusammenspiel zwischen System- und Security-Management besonders deutlich. Der in der
Vergangenheit vorwiegend manuell ausgeführte Prozess der Einrichtung, Änderung und Löschung von
Accounts ist sehr zeitaufwändig: Er erfordert zum einen eine hohe Zahl von Administratoren, zum
anderen sinkt die Produktivität der Benutzer, da diese auf ihre Zugriffsberechtigung warten müssen.
Der manuelle Prozess führte auch häufig dazu, dass sich Berechtigungen ansammeln: Ein Mitarbeiter,
der schon lange im Unternehmen ist und häufig die Abteilung gewechselt hat, besitzt möglicherweise
noch die Zugriffsrechte aus allen Abteilungen. Teilweise verliert er die Rechte noch nicht einmal,
wenn er das Unternehmen verlässt, da einfach vergessen wurde, seine Accounts zu löschen – so
genannte verwaiste Accounts.
Heutzutage lösen intelligente, rollenbasierte Identity-Lösungen die manuellen Prozesse mehr und
mehr ab. Diese Lösungen richten die Benutzerkonten automatisch anhand der Funktion oder Position
ein, die eine Person im Unternehmen hat, sobald sie in der Mitarbeiterdatenbank erscheint. Verlässt
die Person das Unternehmen, werden die Accounts ebenso automatisch gesperrt oder gelöscht.
Identity-Managementlösungen erkennen Änderungen in der Position des Anwenders und setzen dies in
entsprechend geänderte Berechtigungen um.
Die Automatisierung der Benutzerverwaltung kann die Wartezeit auf neue Berechtigungen – so nach
Änderung der Tätigkeit eines Mitarbeiters – erheblich reduzieren und die Einhaltung des
zugesichertern SLAs garantieren, zum Beispiel die Anpassung eines Accounts innerhalb von drei
Stunden. Im weiteren Ausbau der Identity-Managementlösung besteht die Option einer Anbindung an
Lösungen für Softwareverteilung, Inventarisierung, Lizenzmanagement und User Helpdesk (Service
Desk).
Die Zusammenarbeit mit einer Softwareverteilungslösung sorgt nicht nur für die Einrichtung der
notwendigen Berechtigungen auf den Serversystemen, sondern auch gleich für die Installation der
dazugehörigen Softwareprodukte auf dem Client. Dieser Vorgang wird anschließend im
Inventarisierungssystem sowie im Lizenzmanagement dokumentiert. Das bietet jederzeit eine
Gesamtsicht auf die Ressourcen des Anwenders. Die Anbindung an den User Helpdesk ermöglicht den
Mitarbeitern des Helpdesks, eingehende Anrufe zur Passwortverwaltung – wenn zum Beispiel ein
Anwender sein aktuelles Passwort vergessen hat – direkt im Identity-Management umzusetzen und dem
Benutzer ein neues zu generieren.
Access-Management
In der Regel hat heute jedes System und jede Anwendung eine eigene Rechteverwaltung, was oft zu
Inkonsistenzen und zusätzlichem Administrationsaufwand führt. Das Ziel ist deshalb die Einführung
eines zentralen Access-Managementsystems. Damit lassen sich Kosteneinsparungen bei der
Implementierung neuer Anwendungen erzielen, da nicht mehr für jede Anwendung ein eigenes
Zugangsmodul zu programmieren ist. Außerdem senkt die Pflege eines zentralen Datenbestands die
Administrationskosten.
Ein zentrales Access-Managementsystem übernimmt die Aufgabe der Autorisierung und
Authentifizierung von Benutzern. Bei der Authentifizierung geht es darum, zu ermitteln, welche
Person sich am System anmeldet. Gebräuchliche Authentifizierungsverfahren sind User-ID und Passwort
sowie Tokens und Zertifikate. Der anschließende Schritt der Autorisierung ermittelt, auf welche
Systeme der Benutzer zugreifen und welche Aktionen er dort durchführen darf. Das
Access-Managementsystem bedient sich dabei der vom Identity-Management bereitgestellten
Benutzerdaten.
Außerdem setzt das Access-Management ein Single Sign-on um. Single Sign-on (SSO) soll das alte
Problem beseitigen, dass Benutzer sich an mehreren Systemen anzumelden haben. Dabei müssen sie
teilweise unterschiedliche Benutzer-IDs und Passwörter verwenden. SSO erlaubt jetzt, dass der
Benutzer sich nur einmal an seinem Desktop anmeldet. Die SSO-Lösung sorgt für die automatische
Anmeldung an den weiteren Anwendungen. Eine solche Lösung erleichtert dem Benutzer die Arbeit
immens und erhöht die Gesamtsicherheit, da er sich nur noch ein Passwort merken muss. Besitzt er
hingegen eine Vielzahl von Benutzer-IDs und Passwörtern, besteht die Gefahr, dass er seine
Zugangsdaten aufschreibt und im Schreibtisch deponiert.
Federated-Identity-Management
Die beschriebene SSO-Funktionalität setzt in der Regel eine enge Kopplung der Systeme und das
Vorhandensein der Benutzer in allen beteiligten Systemen voraus. Heute wollen immer mehr
Unternehmen ihren Kunden, die beispielsweise über Webportale auf Anwendungen zugreifen, weitere
Dienste zur Verfügung stellen, die von anderen Unternehmen angeboten werden. Hierbei leitet ein
System entweder den Benutzer direkt zu Webanwendungen eines anderen Unternehmens weiter, oder die
Applikationen der beiden Unternehmen tauschen über Webservices Daten aus.
In beiden Fällen muss der Benutzer normalerweise in beiden Systemen bekannt und auch
authentifiziert sein. Möchte man zumindest die zweite Authentifizierung – besser noch das doppelte
Speichern der Benutzerdaten – vermeiden, so kommt in jüngster Zeit immer mehr das so genannte
Federated-Identity-Management zum Einsatz. Hier müssen die beteiligten Unternehmen zunächst eine
Vertrauensbeziehung (Trust Relationship) aufbauen. Anschließend lässt sich die Identifikation eines
Benutzers zwischen den Systemen weitergeben. Das Vermeiden der doppelten Speicherung von
Benutzerdaten spart Administrationskosten und erleichtert dem Endbenutzer die Verwendung der
bereitgestellten Dienste. Voraussetzung ist aber die gegenseitige Vertrauensbeziehung, die sowohl
auf organisatorischer wie auf technischer Seite gegeben sein muss.
Vermeidung von Sicherheitsrisiken
System- und Security-Managementsoftware soll IT-Prozesse optimieren und sicherer gestalten. Da
solche Lösungen meist in verteilten Umgebungen mit hohen Berechtigungen laufen, bildet sie aber
auch selbst ein gewisses Sicherheitsrisiko. Dieses Sicherheitsrisiko muss einerseits der
Softwarehersteller berücksichtigen, indem er zum Beispiel jede Kommunikation mittels SSL (Secure
Sockets Layer) verschlüsselt. Auch muss er dafür sorgen, dass sich alle Komponenten gegenseitig
authentifizieren und nur berechtigte Personen auf Backups zugreifen können. Andererseits muss der
Anwender aber auch die Anweisungen und Empfehlungen des Herstellers beachten und die notwendigen
Rahmenbedingungen schaffen. So sollten keine unberechtigten Personen Zugriff auf das physikalische
Backup-Medium haben. Auch hier hilft das Compliance-Management.
Fazit
Das Einhalten der heute geforderten SLAs ist nur durch eine enge Kopplung von System- und
Security-Management möglich. Durch das Verhindern von Angriffen auf die IT-Infrastruktur mithilfe
des Compliance-Managements und der frühzeitigen Erkennung erster Angriffe lassen sich
Systemausfälle vermeiden oder zumindest reduzieren. Das erhöht die allgemeine Systemverfügbarkeit.
Zudem veranschaulicht der Einbezug von Security-Events ins SLA, inwieweit Angriffe auf die
IT-Infrastruktur für die Verfehlung zugesicherter Service-Levels verantwortlich waren. Dies ist
gegebenenfalls für eine spätere Haftung sowie für den weiteren Ausbau der Security-Lösungen von
Bedeutung. Die Einführung eines Access- und Identity-Managements wiederum erhöht die
Anwenderfreundlichkeit durch Single Sign-on und die Anbindung an den User Helpdesk. Gleichzeitig
lassen sich so die Betriebskosten senken.
Lesen Sie mehr zum Thema
