Security-Maximierung als ganzheitlicher Prozess
Konzepte für Hochsicherheit
Wer nur die Technik im Auge hat, sichert nur selten wirtschaftlich sinnvoll. Außerdem muss er damit rechnen, dass Anwender die oft unbequemen technischen Maßnahmen aufweichen oder umgehen. Für Hochsicherheitsbereiche sind ganzheitliche Ansätze deshalb die bessere Wahl.
In IT-Umfeldern mit besonders hohen Security-Anforderungen ist es für die
Sicherheitsverantwortlichen unumgänglich, auch organisatorische Belange oder menschliche
Unzulänglichkeiten zu berücksichtigen. Im Zentrum stehen dabei Maßnahmen, die potenzielle Schäden
bereits im Vorfeld verhindern oder eindämmen. Prävention, Kontinuität und professionelle Konzeption
stellen die Kernprinzipien dar.
Firmenweites Sicherheitskonzept
Eine Hochsicherheitsumgebung kann ohne ein firmenweit gültiges Sicherheitskonzept, das
technische, aber vor allem organisatorische Vorgaben macht, nicht existieren. Es ist das zentrale
Dokument im Sicherheitsprozess eines Unternehmens oder einer Institution. Jede konkrete Maßnahme
muss sich darauf zurückführen lassen.
Ein solches Konzept macht zwingend eine Risiko- und Bedrohungsanalyse erforderlich. Nur wer
weiß, was zu schützen ist, kann die entsprechenden Assets sichern. Nur wer weiß, welche Art von
Schutz notwendig ist, kann auch Security-Maßnahmen innerhalb des Unternehmens so priorisieren, dass
sie wirklich eingehalten werden. Ein verabschiedetes Sicherheitskonzept muss dabei immer für alle
Personen in der Organisation verbindlich sein. Das Management ist hierbei explizit eingeschlossen,
will es nicht selbst die Sicherheitskette zerreißen.
Die Grundbedrohungen für IT-Systeme sind allgemein im Verlust der Verfügbarkeit, der Integrität
und der Vertraulichkeit zu sehen. Die darauf aufbauende Risiko- und Bedrohungsanalyse lässt sich in
vier Schritte aufgliedern:
Ermitteln der Schutzbedürftigkeit: Ermittlung aller Anwendungen und
Informationen sowie Festlegung der Schutzziele bezüglich der Sicherheitseigenschaften und der
möglichen Schadenswerte,
Bedrohungsanalyse: Ermittlung der "gefährdeten Objekte" und der einwirkenden
Bedrohungen. Beispiele hierfür sind: Hardware und Datenträger, Software und Datenbanken sowie
Anwender oder Rechtebesitzer. Eine Bedrohung kann sogar persönlichen Gefahren, beispielsweise für
leitende Mitarbeiter einschließen, die Superuser-Berechtigungen oder Firmengeneralschlüssel
besitzen,
Risikoanalyse: Bewertung der bedrohten Objekte anhand der ermittelten
Schutzbedürftigkeit, Schätzung der Wahrscheinlichkeit und Häufigkeit von Schäden; Bewertung dieser
Risiken nach "tragbar" und "untragbar", und
Definition von Anforderungen an das Sicherheitskonzept: Gegen alle nicht
tragbaren Risiken werden Maßnahmen ausgewählt und bestehende Restrisiken ermittelt und bewertet.
Restrisiken können zum Beispiel dann bestehen, wenn sich Risiken nur mit einem unverhältnismäßig
hohen Aufwand beseitigen lassen. Das Ergebnis der Risiko- und Bedrohungsanalyse enthält damit die
Vorgaben für das Security-Konzept. Diese legen auch fest, welche Art von Zugriffen es generell
nicht geben darf. Für den späteren Tagesbetrieb stellt dieses Vorgehen sicher, dass kein
Mitarbeiter beispielsweise über einen Firewall-Change-Request die Unternehmenssicherheit
beeinträchtigende Zugriffsrechte vergeben kann. Der "normale" Weg zur Definition von
Security-Policies "Alles was nicht explizit erlaubt ist, ist verboten" stellt hier nur einen
weiteren Schritt dar. Ein Beispiel für einen in jedem Fall verbotenen Zugriff in einem
Technologieunternehmen wäre ein direkter Remote-Zugriff von extern auf die Datenbankserver der
Entwicklungsabteilung.
Mehrstufige Firewalls im Zentrum der technischen Implementierung
Die technische Implementierung erfolgt auf Basis des definierten Sicherheitskonzepts. Dabei gibt
es immer unterschiedliche Lösungsansätze, die vom jeweiligen Budget abhängig sind.
Zwar werden bei einer erforderlichen Hochsicherheitslösung die zur Verfügung stehenden
Geldmittel in der Regel ausreichend sein – doch gerade im Sicherheitsbereich ist es auch schnell
geschehen, dass viel Geld für ineffiziente Techniken ausgegeben wird.
Für eine hochsichere Umgebung ist eine mehrstufige Firewall zwingend erforderlich. Hat ein
Angreifer das erste System überwunden, trennt ihn immer noch eine weitere Sicherheitsstufe von den
sensiblen internen Systemen.
Die Platzierung der unterschiedlich zu schützenden Server erfolgt auf Basis des
Sicherheitskonzepts in abgegrenzten Security-Zonen mit entsprechenden Zugriffsregeln. Ein
verantwortungsbewusster Sicherheitsbeauftragter wird für die Systeme der Firewall auf einer
redundanten Auslegung bestehen, da Sicherheit immer auch Verfügbarkeit bedeutet.
Klassisch kommt als Internet-Firewall eine zweistufige Firewall zum Einsatz, kombiniert aus
einem modernen Paketfilter mit Stateful-Inspection (zum Beispiel von Checkpoint oder Fortigate) und
einem Application-Level Gateway (wie Genua Genugate). "Content-Security", also der Schutz vor
schädlichen Inhalten, ergänzt die eigentliche Firewall in Form einer auf separaten Servern
integrierten oder separat implementierten Lösung. Eine Untersuchung des Mail- und Webtraffics auf
Viren und Trojaner gehört in diesem Umfeld zum Pflichtprogramm.
Eine Organisation, die viele Anbindungen an Partnernetze (Kooperationsfirmen, ausländische
Niederlassungen, Konzernfirmen, Forschungseinrichtungen und so weiter) unterhält, wird
konzeptionell neben der Absicherung der Internetanbindung eine separate "Partner-Firewall"
einrichten. Die eigentlich vertrauenswürdigen Netze müssen somit nicht über die zentrale Firewall
geführt werden, an der mit dem Internet oder anderen externen Leitungen auch Zonen mit sehr
niedrigem Sicherheitsniveau angeschlossen sind.
Getrennte Firewalls
Häufig ist eine Trennung verschiedener Funktionsbereiche auch im Bereich der Internet-Firewall
sinnvoll: So stellt eine "E-Business-Firewall" die Zugriffe von extern auf das Online-Shop-System
sicher und erlaubt den Durchgriff des Web-Application-Servers in der DMZ auf eine weiter innen
stehende Datenbank. Außer Administrationszugriffen existieren hier aber keine weiteren erlaubten
Verbindungen zum internen Netz. Ein sehr restriktives Regelwerk auf dieser Firewalls vermindert so
die potenziellen Angriffspunkte. Für die Belange der internen Nutzer setzt die IT-Organisation eine
zweite "Surf-Firewall" ein, über die E-Mails, Internetsurfen und aus dem Unternehmen heraus
initiierte Datenübertragungen zu Partnerfirmen geleitet werden. Diese Firewall erlaubt außer E-Mail
keine Verbindungen von extern und kann so ebenfalls ein sehr hohes Sicherheitslevel erreichen.
Kombinationsangriffe über unterschiedliche Protokolle, die durch die in der Regel verschiedenen
Anforderungen von internen Usern und E-Business (externen Zugriffen) ermöglicht werden, erschwert
eine solche Konstruktion stark.
Ein weiterer Vorteil liegt darin, dass die Nutzergruppen sich gegenseitig nicht beeinflussen:
Eine "Mail-Lawine" oder starke Nutzung des Internets bremsen die Leistung des Online-Shops nicht
mehr aus, da der Traffic über unterschiedliche Firewalls geleitet wird. Umgekehrt bleibt die
interne Organisation bei einer Denial-of-Service-Attacke auf die E-Commerce-Umgebung
arbeitsfähig.
Dem Umstand, dass es in jedem Unternehmen Mitarbeiter unterschiedlicher Sicherheitseinstufungen
gibt, muss ebenfalls Rechnung getragen werden. Systembereiche, die ein sehr hohes Sicherheitsniveau
erfordern, sollten daher durch eine interne Firewall abgetrennt sein, sofern sie überhaupt mit dem
restlichen Firmennetz gekoppelt sein müssen. So kann beispielsweise der Callcenter-Agent nicht auf
den Netzbereich der Finanzabteilung zugreifen oder dem Praktikanten im Vertrieb bleibt der Zugriff
auf die Fileserver der Forschungsabteilung verwehrt.
Zum Schutz vor Serienfehlern – aber auch, um potenziellen Angreifern die Arbeit zu erschweren –
ist bei Hochsicherheitsumgebungen der Einsatz unterschiedlicher Hersteller von Hardware,
Betriebssystem und Firewall-Software zum Standard geworden. Ein neues Sicherheitsloch in einem
Firewall-Produkt kompromittiert bei einem solchen Konzept nicht sofort alle Firewall-Rechner.
Selbst wenn ein Blackhat-Hacker jede Schwachstelle des einen Firewall-Typus kennt, wird er in der
Regel an den weiteren Sicherheitssystemen scheitern, weil ihm hier das Detailwissen fehlt. Je nach
Umfeld müssen zertifizierte Komponenten im Firewall-Bereich zum Einsatz kommen. Dies kann unter
Umständen die Auswahl der Systeme deutlich einschränken. Für Deutschland gibt es mit dem System "
Genugate" derzeit nur eine einzige Firewall-Lösung, die durch das BSI (Bundesamt für Sicherheit in
der Informationstechnik) zertifiziert ist und damit breiten Einsatz bei Regierungsbehörden
findet.
Da nur derjenige, der merkt, dass er angegriffen wird, sich wirkungsvoll schützen und wehren
kann, sind im Firewall-Betrieb technisch implementierte und organisatorisch umgesetzten
Alarmierungs- und Überwachungsverfahren notwendig. Zusätzlich ist der Einsatz von Werkzeugen zur
Integritätsprüfung empfehlenswert: Ein Alarm wird ausgelöst, wenn Unberechtigte die überwachten
Dateien oder Konfigurationen modifizieren – häufig ein Indiz für einen erfolgreichen Angriff.
Die viel beschworene Intrusion-Prevention dagegen ist selbst in hochsicheren Umgebungen kein
Allheilmittel. Sie erzeugt oft zusätzliche Risiken, da die verwendeten Automatismen zur
Gefahrenabwehr unternehmenskritische Verbindungen blockieren können und somit von Angreifern für
DoS-Attacken missbraucht werden.
Integration des Security-Teams in den IT-Betrieb
Obwohl Sicherheit eine zeitkritische Angelegenheit ist, betreiben viele Firmen Firewalls mit
reinem Monitoring und Rufbereitschaft. Kommt es hier zu einem Einbruch, erfolgt die Reaktion meist
so spät, dass ein Schaden nicht mehr abgewendet werden kann. Die beste technische Implementierung
ist daher wertlos, wenn sie nicht rund um die Uhr überwacht und betrieben wird. Spezialisten müssen
jeden Tag 24 Stunden lang bereit stehen, um schnell und qualifiziert auf Security-Incidents
reagieren zu können und schnell eine Eskalation einzuleiten. Das Security-Team sollte deshalb in
den normalen IT-Betrieb integriert sein. Als separates Experten-Team, das erst bei Vorfällen
gerufen wird, bleibt es wirkungslos – es ist erst dann vor Ort, wenn ein Schaden bereits
eingetreten ist.
Für den Betrieb einer Sicherheitsumgebung und das dazugehörige Eskalationsverfahren muss ein
Unternehmen Prozesse definieren, die auch die Erfordernisse der zu schützenden Organisation
widerspiegeln. Diese Erfordernisse ergeben sich aus dem Sicherheitskonzept und können für
unterschiedliche Unternehmen vollständig konträre Maßnahmen erfordern: Im Bankenumfeld oder bei
Forschungseinrichtungen gilt es in der Regel, in jedem Fall die Vertraulichkeit und Integrität der
geschützten Systeme zu waren. Bei einem nicht abwendbaren erfolgreichen Hacker-Angriff wird das
Firewall-Team möglicherweise die Netzverbindung physikalisch trennen und damit den Angreifer "
aussperren".
Im Gegensatz dazu wird ein Energieversorgungsunternehmen den höchsten Wert auf die Verfügbarkeit
der Systeme legen – eine Notabschaltung von Servern aufgrund einer Hacker-Attacke wird hier kaum
erfolgen, da sie weit reichende Folgen wie Stromausfälle nach sich ziehen würde. Nicht zuletzt
deswegen ist es zur Erreichung von "Hochsicherheit" unumgänglich, das Thema Security von Anfang an
in die relevanten Projekte und Prozesse zu integrieren.
Gerade bei Firewalls ist auch die Nachvollziehbarkeit und Reproduzierbarkeit der
Betriebsaktivitäten ein wichtiger Parameter, sei es zum Schutz von Missbrauch, sei es zur Analyse
der Folgen eines Angriffs. Zusätzlich ist, noch mehr als in der sonstigen IT-Organisation,
Transparenz durch Monitoring und Reporting, auch für berechtigte Dritte wie Mitarbeiter der
Revision, gefragt.
Eine Sicherheitsumgebung muss auf Dauer sicher und stabil sein – aber sie ist auch ständigen
Änderungen durch neue Bedrohungen, bisher unbekannte Sicherheitslücken und Security-Patches
unterworfen. Security gilt es daher nicht nur einmalig zu implementieren. Sie ist ein "Kreislauf",
ein lebender, nie wirklich endender Prozess. Um die Sicherheit einer Umgebung zu erhalten, muss ein
Unternehmen daher immer wieder verifizieren, ob die Sicherheit dem vom Konzept her als erforderlich
festgelegten Rahmen noch entspricht.
Nur durch regelmäßiges Einspielen von Patches, die ständige Information der Administratoren über
neue Sicherheitslücken und Schwachstellen und durch die konsequente Aktualisierung der
Dokumentationen kann das Security-Niveau im Betrieb langfristig gehalten werden. Regelmäßige Audits
und Penetrationstests, also simulierte Angriffe auf die Systeme, die idealerweise durch externe
Spezialisten durchgeführt werden, stellen ergänzend sicher, dass die technische Umsetzung auch dem
entspricht, was vom Sicherheitskonzept vorgegeben wird.
Lesen Sie mehr zum Thema
