Sicherheitsmanagement im Business-Kontext
Das Wesentliche im Blick
IT-Sicherheit ist eine Managementaufgabe. Die Leitung eines Unternehmens muss Prioritäten dafür setzen, welche Unternehmensressourcen und Werte mit welchem Aufwand geschützt werden, und die einzelnen Sicherheitsmaßnahmen und -werkzeuge müssen sich in ein zentrales, ganzheitliches Sicherheitsmanagement einbetten.
Neben der Gefahr von außen muss bei modernen Sicherheitskonzepten immer auch die von innen
ausgehende Gefährdung bedacht werden. Beispielsweise verzeichnete jedes dritte Unternehmen laut
einer Studie – im Auftrag von Computer Associates und TÜV Secure IT wurden 216 Firmen in
Deutschland und der Schweiz befragt – im vergangenen Jahr unautorisierte Zugriffsversuche oder
Datendiebstahl von aktuell Beschäftigten (13 Prozent), ehemaligen Mitarbeitern (sechs Prozent)
sowie Partnern oder Zulieferern (drei Prozent). 28 Prozent der Befragten äußerten sich nicht,
weiteren 40 Prozent waren keine Fälle von Datendiebstahl bekannt. Hinzu kommt, dass
revisionsbedingte und regulative Vorgaben wie der Sarbanes-Oxley-Act und Basel II zusätzliche
Anforderungen an das Sicherheitsmanagement stellen.
Budgets stoßen an Grenzen
Eine weiterer Aspekt ist, dass die Verbesserung der Sicherheit für viele Unternehmen eine
unüberwindbare Aufgabe zu sein scheint. Sie reagieren auf jede neue Bedrohung durch Investitionen
in weitere Werkzeuge und stopfen immer neue Sicherheitslücken – eine echte Sisyphusarbeit. Die
Administratoren müssen feststellen, dass mehr Werkzeuge nicht zwingend zu einem höheren
Sicherheitsniveau führen. Im Gegenteil: Die Vielzahl der Oberflächen und die Flut der Warnhinweise
von Betriebssystemen, Anwendungen, Hardware, Kommunikationssysteme und aus weiteren Quellen machen
eine schnelle, sachgerechte Bewertung und Reaktion unmöglich.
Dies führt umgehend zur dritten Problematik, mit der sich Sicherheitsadministratoren heute
auseinandersetzen: Die bisherigen Budgets für punktuelle Sicherheitslösungen haben eine kritische
Schwelle erreicht. Unternehmen stellen weitere Investitionen immer gründlicher auf den Prüfstand.
In jüngster Zeit wird in den Managementetagen die Forderung laut, trotz wachsender Ansprüche den
finanziellen Aufwand für IT-Sicherheit zu begrenzen, die Investitionen zu optimieren und
gleichzeitig das Unternehmerrisiko zu minimieren.
All dies bedeutet zusammengenommen, dass IT-Sicherheit über rein technische Maßnahmen längst
hinausgehen muss. IT-Sicherheitskonzepte dürfen nicht allein auf die Abwehr externer Attacken
ausgelegt sein, sondern müssen auch Anwender im eigenen Netz und solche bei externen
Geschäftspartnern mit einbeziehen. Nötig ist deshalb ein Wechsel der Herangehensweise. Im
Mittelpunkt darf nicht mehr allein die Perimetersicherheit – also der Schutz der Infrastrukturen
durch Firewalls, Virtual Private Networks und so weiter – stehen, sondern die Ausrichtung an den
Sicherheitsbedürfnissen der Unternehmenswerte (Assets). Mit anderen Worten: Die Sicherheitslösungen
dürfen nicht auf Stand-alone-Basis operieren, sondern müssen mit den kritischen Anwendungen eines
Unternehmens wie Buchhaltung, Lohnbuchhaltung, Personalwesen und Fertigung verbunden sein.
Klare Strategie gefragt
Voraussetzung für ein deratiges Vorgehen ist eine klare Strategie im Umgang mit
Unternehmensinfrastrukturen und -Anwendungen. Auf dieser Basis lässt sich dann eine Risikoanalyse
durchführen, um sich über die finanzielle Bedeutung der jeweiligen Unternehmenswerte im Klaren zu
sein und um die Wahrscheinlichkeit eines Schadens inklusive der Schadenfolgen zu bewerten. Die
Verbindung von Sicherheit und Unternehmenswert dokumentiert zudem, dass es sich bei der Lösung um
einen Service handeln muss. Dessen Aufgabe ist es, Vertraulichkeit, Integrität und Verfügbarkeit
von Anwendungsservices (Daten, Prozesse und Ressourcen) zu gewährleisten. Die im Rahmen der
Sicherheitspolitik eingeleiteten Schutzmaßnahmen und -richtlinien zielen darauf, eine entsprechende
Kompromittierung der Unternehmenswerte von vornherein zu unterbinden oder zumindest das Risiko
eines solchen Ereignisses möglichst effektiv und effizient zu begrenzen.
ITIL als Grundlage für Sicherheitsmanagement
Ein Vorbild für die Etablierung eines service- und prozessorientierten Sicherheitsmodells
liefert das IT-Infrastructure-Library-Modell (ITIL), das sich hinsichtlich der Methoden und
Kontrollregeln für Sicherheit meistens des ISO-Standards ISO 17799 bedient (zur Arbeit mit ITIL
siehe auch mehrere Beiträge im LANline Spezial V/2004). Auf Basis des geforderten Service-Levels
als auch der Risikoanalyse lässt sich die technische Unterstützung planen und implementieren,
während in der zentralen Kontrollinstanz Sicherheitsrichtlinien und -verfahren definiert und
überwacht (ausgewertet) werden.
Die hieraus abgeleitete Sicherheitsarchitektur adressiert drei Risikobereiche:
Gefahrenanalyse und -abwehr (Threat-Management: Was passiert wo?),
Zugriffskontrolle und Benutzerverwaltung (Access- und Identity-Management: Wer
ist der Benutzer? Wer darf was?); und das
Sicherheitsinformationsmanagement (Security Information Management: Welche
Auswirkungen auf die Geschäftsprozesse sind zu bedenken?).
Den zentralen Baustein bei führenden Sicherheitsmanagementlösungen bildet ein "
Management-Repository", das in Anlehnung an die für ITIL-Managementprozesse vorgeschlagene
Konfigurationsdatenbank sämtliche Asset-bezogenen Informationen zentral verwaltet.
Service-orientierte Managementarchitektur
Das Repository wird ergänzt von einer service-orientierten Managementarchitektur, die den
unterschiedlichen Sicherheitswerkzeugen zur Integration dient und so das Fundament für eine
anwendungs- und komponentenübergreifende Authentifizierung, Autorisierung und Auditierung
implementiert. Ähnlich wie bei den jüngsten Generationen von Anwendungssoftware liegt der
Sicherheitsarchitektur hier ein Servicebus zugrunde, der über alle Anwendungs- und
Netzwerkkomponenten hinweg geschäftsprozessbegleitend sicherheitsrelevante Informationen wie
beispielsweise Nutzerdaten austauscht. Die Unterstützung von Standardprotokollen wie LDAP, aber
auch Formate wie ODBC, SNMP und so weiter oder Webservice-Protokollen wie SAML (Security Assertion
Markup Language) und SPML (Service Provisioning Markup Language) erlaubt die sichere Kommunikation
über alle Account-Tabellen und Zielsysteme hinweg – selbst wenn externe Partnerfirmen einbezogen
werden müssen. Im Kontext der in einem Geschäftsprozess involvierten Systeme werden hierzu alle
notwendigen Benutzer-Authentifizierungs-, Berechtigungs- und Attribut-Informationen durchgereicht
und der komplette Ablauf von der Kontrollinstanz "verlustfrei" überwacht.
Die skizzierte Sicherheitsarchitektur legt das Fundament zu mehr Effizienz in Administration und
Betrieb. Sie stellt mit ihrer Durchgängigkeit zugleich einen ersten Schritt hin zur konsequenten
und vollständigen Überwachung kritischer Unternehmensprozesse dar.
Überwachung kritischer Unternehmensprozesse
Die unterschiedlichen Einzellösungen wie beispielsweise Antivirensoftware, Firewalls,
Intrusion-Detection-Systeme, User Provisioning, Single Sign-On und Vulnerability-Management
erzeugen jedoch weiterhin eine große Menge an Sicherheitsdaten, sodass die Gefahr groß ist,
wichtige Signale wie kritische Ereignisse und Angriffe auf das System zu übersehen. Das alleinige
Sammeln von Rohdaten und Ereignissen in einer Log-Datei ist hier nicht ausreichend. Vielmehr müssen
die Daten zu aussagekräftigen Informationen verdichtet werden, um sachgerechte und
geschäftsprozessorientierte Entscheidungen treffen zu können. Nötig ist folglich eine Instanz, die
neben der Überwachung von Sicherheitsregeln eine effektive Zuweisung von Ressourcen, die
Priorisierung und Verwaltung von Workflows im Umfeld kritischer Ereignisse sowie die Umsetzung
gezielter Vorsorgemaßnahmen unterstützt. Sie dient zugleich der Umsetzung der zentralen
Kontrollkomponente aus dem bereits erwähnten ITIL-Sicherheitsmodell in ein praktikables
Werkzeug.
Der Weg zum zentralen Sicherheitsleitstand
Die Gartner Group nennt solche Lösungsansätze "Sicherheitsinformationsmanagement" (siehe
Tabelle), die – wie beispielsweise E-Trust Security Command Center von CA – das zentrale
Ereignismanagement durch ein umfassendes Analyse- und Berichtsystem und Statusüberwachung der
Unternehmenswerte in Echtzeit ergänzen. Vergleichbar mit einem Leitstand werden sämtliche
IT-Komponenten sowie Sicherheitswerkzeuge beobachtet und gesteuert. Eine zentrale portalgestützte
Konsole fasst Sicherheitsinformationen in einer webgestützten Benutzeroberfläche zusammen. Diese
Verdichtung und Korrelation dämmt die angesprochene Flut von Sicherheitsmeldungen ein und
automatisiert Workflows zur Bearbeitung. Damit können Sicherheitsverantwortliche Ereignisse und
Schwachstellen rasch erkennen und entsprechend der Dringlichkeit sowie potenzieller Auswirkungen
auf die Geschäftsprozesse reagieren. Innovative Verfahren, die in Anlehnung an die Kriminalistik so
genannte forensische Techniken und Methoden nutzen, vereinfachen hier die Arbeit der
Administratoren. Dazu werden an einer oder mehreren strategischen Stellen im Netz Kollektoren
eingesetzt, die in ihrer passiven Arbeitsweise an den traditionellen Sniffer erinnern. Unbemerkt
lauschen sie an einem entsprechend konfigurierten Port eines Switches der Kommunikation und dem
Protokollverkehr im Netzabschnitt, um Regelinkonsistenzen zu erkennen.
Parallelen zur Unternehmenssteuerung
Auch in diesem Punkt lässt sich noch einmal eine Parallele zum Bereich der Unternehmenssoftware
ziehen. Denn Sicherheitsinformationsmanagement nutzt im Grunde die gleichen Techniken zur
Informationsgewinnung und Entscheidungsunterstützung, wie sie in der strategischen
Unternehmenssteuerung zum Einsatz kommen. Und ähnlich wie die Unternehmensleitung mit Hilfe von so
genannten Business Intelligence Tools ein aktives, effizientes Management anstrebt, verhelfen
Lösungen zum Sicherheitsinformationsmanagement den Administratoren zum sachgerechten Eingreifen
nach betrieblichen Gesichtspunkten.
Lesen Sie mehr zum Thema
