Security- und Systemmanagement
Schutz plus Steuerung
Security- und Systemmanagement wachsen enger zusammen: Das Systemmanagement bewältigt heute oft auch sicherheitsrelevante Aufgaben. Dabei ist es von Vorteil, wenn alle Fehlermeldungen einschließlich der Sicherheitsvorfälle an zentraler Stelle zusammenlaufen.
Nach den Regeln der international akzeptierten Best-Practice-Sammlung ITIL (IT Infrastructure
Library) des britischen OGC (Office of Government Commerce) ist das Security-Management weder dem
Service-Support- noch dem Service-Delivery-Set zugeordnet. Vielmehr ist es Gegenstand einer
separaten Veröffentlichung. Security-Management gilt als Querschnittsfunktion und ist eng mit allen
anderen ITIL-Disziplinen verwoben. Der Prozess Security-Management ermöglicht die Implementierung
eines IT-weiten Vorgehens zur integrierten Steuerung aller sicherheitsrelevanten Aspekte in der
IT.
Unabhängig davon, wo die Aufgaben angesiedelt sind, bleiben die klassischen
Sicherheitsanforderungen Verfügbarkeit, Vertraulichkeit und Integrität bestehen und müssen erfüllt
werden. Verfügbarkeit von Systemen und Anwendungen gilt dabei vorwiegend als Disziplin des
Systemmanagements. Backup-Funktionen sind hier ebenfalls angesiedelt. Aber auch Themen wie
Verschlüsselung und Datenintegrität sind an dieser Stelle zu nennen.
In ITIL berücksichtigt
Im ITIL-Regelwerk zum IT-Service-Management finden sich an verschiedenen Stellen Verweise auf
Sicherheitsaufgaben. Das Incident-Management beispielsweise befasst sich mit der Bearbeitung
sicherheitsrelevanter Incidents (normabweichender Vorfälle). Auch alle Security Incidents gehen im
Service-Desk – der zentralen Anlaufstelle für IT-Service-Belange – ein. Je nach Art des Incidents
ließe sich der Security-Manager auch direkt informieren. Sind beispielsweise Viren in das
Unternehmensnetzwerk eingedrungen, informiert der Service-Desk die Firewall-Administration über den
Sicherheitsvorfall. Hier leiten Fachleute die entsprechenden Maßnahmen ein und spielen
beispielsweise die aktuellsten Viren-Patterns ein. Zudem sind strukturelle Maßnahmen möglich, zum
Beispiel Veränderungen an den Firewall-Regeln. Es empfiehlt sich dabei, Security Incidents nach
einer speziellen Sicherheitsstruktur zu behandeln, die den Schutzbedarf des Unternehmens
widerspiegelt.
Oftmals entstehen sicherheitsrelevante Probleme auch bei unkoordinierten Veränderungen (Changes)
an der Hard- und Software sowie bei Prozess- oder Personaländerungsmaßnahmen. Das bedingt,
sicherheitsbezogene Auswirkungen im Change-Management zu berücksichtigen. So sollte jeder Request
for Change einen Sicherheitsbezug enthalten. Veränderungen gilt es so umzusetzen, dass sie nicht zu
einem Sicherheitsrisiko geraten. In der CMDB (Configuration Management Database) lässt sich zum
Beispiel zu jedem Configuration Item (Konfigurationsobjekt) die Schutzbedarfseinstufung als
weiteres Attribut hinzufügen. Diese Einstufung spiegelt die Aspekte der Verfügbarkeit,
Vertraulichkeit und Integrität wider. Anhand dieser Risikoklassifizierung lässt sich der
Change-Prozess entsprechend den Sicherheitsanforderungen aufbauen. Bereits die
Service-Level-Vereinbarungen (SLAs) müssen Sicherheitsparameter enthalten: Teil einer
Servicebeschreibung sind neben dem Inhalt des Services auch Angaben über die
Sicherheitsanforderungen, die sowohl auf IT- als auch auf Anwenderseite einzuhalten sind.
Management der Security-Komponenten
Überwachungsaufgaben und Alerts (Warnungen) über Incidents aus dem Sicherheits- und dem
Systemmanagement sollten dabei an einer zentralen Stelle zusammenfließen. Ist beispielsweise der
Dienst E-Mail wegen eines Virenbefalls der E-Mail-Server nicht mehr verfügbar, ist dies nicht nur
ein Problem für das Security-Team, sondern gleichzeitig eine Aufgabe für das klassische
Systemmanagement. Hier bietet es sich an, ein Überwachungs-Tool zu installieren, das jegliche Art
der Störmeldung umfasst. Einheitliche Überwachungs- und Meldestrukturen erleichtern die
organisationsübergreifende Zusammenarbeit.
Zu den klassischen Systemmanagementkomponenten gehören Monitoring-Lösungen und zentrale
Managementkonsolen. IT-Komponenten wie Firewall (Hard- und Software), Virenscanner,
Verschlüsselungs- und VPN-Software, Intrusion-Detection-Systeme, Content-Filter, URL-Filter,
Smartcards, Managable Switches und Disaster-Recovery-Software fallen klassischerweise in den
Bereich des Sicherheitmanagements. Sie sind jedoch auch immer Bestandteil der IT-Landschaft und
damit Gegenstand des Systemmanagements: Ob eine Firewall ihren Dienst nicht mehr erfüllen kann,
weil sie ein technisches Problem aufweist oder weil eine Sicherheitsstörung vorliegt – beides führt
zu eingeschränkter Funktionalität und Verfügbarkeit. Dann ist es sinnvoll, dass dieser Incident
eine zentrale Stelle erreicht, die die erforderlichen Maßnahmen einleitet. Auch im klassischen
Systemmanagement gibt es Incidents, die die Einschaltung eines Datenbankspezialisten oder
Netzwerkexperten erfordern; hier gliedert sich das Heranziehen eines Sicherheitsspezialisten bei
Security Incidents nahtlos ein.
Die Praxis hat gezeigt, dass Unternehmen zentrale Informationen über Security Incidents fordern.
Früher kamen Virenscanner zum Einsatz, die lokal auf dem PC in einem Logfile erkannte Viren
vermerkt haben. Mittlerweile verfügen diese Produkte über eine zentrale Konsole, die erkennen
lässt, welche Virenvorfälle auf welchem Rechner eingetreten sind. Das ermöglicht es,
herauszufinden, welche Mitarbeiter CDs, USB-Sticks oder Programme mit fragwürdiger Quelle ins
Unternehmensnetz einschleusen, die dann für Virenvorfälle sorgen. Eine solche Virenabwehrkonsole
ist in den Service-Desk integrierbar. Er erstellt dann automatisch ein Ticket, das über die Abwehr
eines Virenvorfalls informiert. Diese Informationen lassen sich in einem allgemeinen Reporting über
die Art der Incidents auswerten.
Patch-Management
Eine hohe Bedeutung kommt ferner dem Security-Patch-Management im Umfeld der Softwareverteilung
zu. Einerseits ist das zügige Einspielen von Patches notwendig, um Sicherheitslücken zu schließen,
bevor es zu einem Vorfall kommt. Andererseits aber kann ein voreilig oder fehlerhaft eingespielter
Patch auch zum Ausfall von Systemen und Funktionen führen. Beispielsweise bietet Microsoft mit
seinem Software Update Server automatische Updates an. Auf diesem Weg könnten nicht-funktionierende
Updates ins Unternehmensnetz gelangen. Das automatisierte Einspielen neuer Patches birgt somit ein
Sicherheitsrisiko. Das Patch-Management ist daher inzwischen eine eigene Disziplin im
Softwaremanagement geworden. Dies zeigt, dass eine Integration gewünscht und notwendig ist.
Praktisch alle Anbieter von Client-Managementlösungen bieten hier inzwischen Lösungen an.
Mit den gängigen Softwaremanagementlösungen lassen sich Referenzsysteme aufsetzen, um das
Patch-Management über Prozeduren zu regeln. Ein Referenzsystem entspricht beispielsweise dem
Standardarbeitsplatz eines Sachbearbeiters oder eines Mitarbeiters aus der Buchhaltung
einschließlich den jeweils benötigten Anwendungen. Die IT-Abteilung installiert diese
Referenzsysteme im Labor, um darauf neue Patches einzuspielen. Sie testet einen neuen Patch in den
jeweiligen Umgebungen der Referenzrechner und verteilt ihn schließlich mit einer Push-Installation
auf die Produktionssysteme. Hier arbeiten Security- und Systemmanagement eng zusammen: Der
Change-Prozess berücksichtigt alle sicherheitsbezogenen Aspekte, sodass nur erfolgreich getestete
Patches zur Installation kommen.
Grundschutzhandbuch
Die technischen Aspekte des Security-Managements lassen sich gut in das Systemmanagement
integrieren. Im Security-Management fallen jedoch nicht nur technische Maßnahmen an.
Organisatorische oder personelle Maßnahmen passen weniger gut in den Zusammenhang der
Systemverwaltung. Professionelles Sicherheitsmanagement setzt voraus, dass eine Security Policy
(Sicherheitsregelwerk) den Umgang mit sensiblen Daten, Systemen und Anwendungen eines Unternehmens
regelt. Hier ist es erforderlich, Verantwortlichkeiten, Zugangs- und Zugriffsrechte sowie
Firewall-Konzepte festzulegen und ein Sicherheitsbewusstsein im Unternehmen zu schaffen. Das
Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
beschreibt einen Lösungsweg für methodisches Vorgehen beim IT-Sicherheitsmanagement. Das Handbuch
wird regelmäßig überarbeitet und den neuesten Entwicklungen der IT-Welt angepasst. Es enthält eine
Methodik, die es erlaubt, sich dem Thema IT-Sicherheit effizient zu nähern, und stellt damit eine
wertvolle Hilfe in der IT-Praxis dar.
Ein Sicherheitsprojekt gemäß GSHB beginnt mit der IT-Infrastrukturanalyse. Sie erfasst und
betrachtet den gesamten IT-Verbund: IT-Systeme, Anwendungen, Räumlichkeiten (Rechenzentrum,
Serverräume etc.) und die verbindenden Netze. Nach der Erfassung der Objekte erfolgt die
Schutzbedarfsanalyse. Fachleute stufen alle Objekte hinsichtlich der Sicherheitsziele
Vertraulichkeit, Integrität und Verfügbarkeit in vordefinierte Klassen ein, wie zum Beispiel "
niedrig", "mittel", "hoch" und "sehr hoch". Der Anspruch des GSHB ist es nun, für die Schutzstufen "
niedrig" und "mittel" geeignete Schutzmaßnahmen – einen Grundschutz – vorzuschlagen. Bei höherem
Schutzbedarf empfiehlt das GSHB, eine spezielle Risikoanalyse durchzuführen und Maßnahmen zu
ermitteln, die über den Grundschutz hinausgehen.
Das GSHB liefert ein umfangreiches Nachschlagewerk und beschreibt Gefährdungen sowie Maßnahmen.
Dazu sind im GSHB Bausteine definiert, die Teile oder Aspekte eines IT-Verbundes beschreiben, so
zum Beispiel Unix-Server, Windows-2000-Server, Firewalls, Virenschutz, Serverräume oder die
Verkabelung. Mit diesen Bausteinen lässt sich der IT-Verbund nachbilden, also modellieren. Die
Bausteine enthalten jeweils eine Zuordnung zu den Gefährdungen und zu den passenden Schutzmaßnahmen
aus den Katalogen des GSHB. Unter Zuhilfenahme des GSHB und seiner Methodik lässt sich ein
Sicherheitskonzept erstellen, das alle relevanten Aspekte berücksichtigt. Die ausgewählten
Maßnahmen entsprechen dabei Best Practices (bewährten Vorgehensweisen aus der Praxis). Ein
Softwarewerkzeug des BSI kann die Arbeit mit dem Grundschutzhandbuch erleichtern: Das GS-Tool
unterstützt alle Stufen des Grundschutzprojekts, angefangen von der IT-Infrastrukturanalyse über
die Schutzbedarfsfeststellung bis hin zur Modellierung, Planung und Umsetzung der Maßnahmen.
Sicherheit nicht nur technische Aufgabe
Damit ist Security-Management eine Aufgabe, die sich nicht auf die technische Überwachung
reduzieren lässt. Zu berücksichtigen ist, wie eine technische Maßnahme in der Praxis tatsächlich
wirkt, sodass sie nicht unterlaufen wird oder gar nicht anwendbar ist. Im technischen Bereich sind
Security- und Systemmanagement bereits eng zusammengewachsen. Dieser Trend wird sich fortsetzen.
Vom Patch-Management bis hin zum ausgereiften Configuration-Management wären dann alle
Sicherheitsangelegenheiten zunehmend mit der Geschäftskontinuität verbunden.
Lesen Sie mehr zum Thema
