Anwender lehnen integrierte Security-Lösungen ab

IT-Sicherheit benötigt zentrale Alarmanlage

02.03.2001
Unternehmensnetze sind in der Regel durch eine Vielzahl von IT-Sicherheitslösungen wie Firewalls, IntrusionDetection-Systeme (IDS), Virenschutz sowie Betriebssystem-spezifische Systeme für Windows NT, Unix beziehungsweise OS/390 (RACF) geschützt. Diese bieten eine punktuelle Absicherung einzelner Zugangs-Ports. David Ferré* vermisst allerdings eine übergeordnete Sicherheitslösung nach dem Prinzip einer zentralen Alarmanlage. Von David Ferré

Das Angebot an Systemen für die Absicherung von Unternehmensnetzen ist sehr komplex. Wer sich einen Überblick über aktuelle Anbieter und Produktlösungen zum Thema IT-Sicherheit in Unternehmen informieren will, kann auf der Homepage der Non-Profit-Organisation Sans Institute im Internet unter www.sans.org recherchieren. Geordnet nach verschiedenen Kategorien, zeigt die herstellerunabhängige Organisation auf, welche Lösungen existieren und welche spezifischen Sicherheitsbelange sie adressieren.

Auf Basis des existierenden Produktangebotes lassen sich Übergriffe von innen und außen hinreichend abwehren. Jedoch gestaltet sich die Überwachung solcher Systeme überaus aufwändig, da sie dezentral administriert und Sicherheitsverstöße nur lokal angezeigt werden. Eine übergeordnete Sichtweise über alle Sicherheitslösungen hinweg bieten nur solche Produkte in Echtzeit, die in der Auflistung von Sans in der Kategorie "Realtime Security Awareness" aufgeführt werden (www.sans.org/tools/tools3.htm# Real-Time Security Awareness). Sie geben direkt bei Erkennung eines sicherheitsrelevanten Ereignisses automatisch Antwort auf die Fragen "Wer ist für dieses Ereignis verantwortlich?", "Was genau ist passiert?", "Wo ist dieses Ereignis aufgetreten?", "Wann ist dieses Ereignis aufgetreten?", "Worauf hat sich dieses Ereignis ausgewirkt?"

In komplexen Netzen fallen Sicherheitsverstöße in den meisten Unternehmen erst nach mehreren Tagen auf. Dann erst sind alle Event-Logs der auf unterschiedlichen IT-Plattformen eingesetzten Sicherheitssysteme vom zentralen Sicherheitsverantwortlichen im Unternehmen manuell oder per Batchjob ausgewertet.

Um diese "Datenverarbeitung zu Fuß" kamen bisher selbst hochautomatisierte IT-Service-Center nicht herum, da existierende Point-Lösungen zueinander nicht kompatibel sind. Diesen Missstand haben Anbieter von IT-Sicherheitslösungen erkannt und versuchen derzeit, in Herstellerkonsortien industrieweit gültige Standards zu definieren. Ende der 90er Jahre sind beispielsweise in den USA rund ein halbes Dutzend solcher Konsortien gegründet worden. Diese sind jedoch häufig zu klein, um Standards schnell durchsetzen zu können, oder haben schlichtweg zu spät angefangen, an Standards für die Integration von Sicherheitsprodukten zu arbeiten. Organisationen wie beispielsweise Open Platform for Secure Enterprise Connectivity (Opsec) oder Adaptive Network Security Alliance (Ansa) bereiten spezielle Softwareentwicklungswerkzeuge vor, haben derzeit jedoch noch große Probleme, in dem diversifizierten Herstellermarkt für IT-Sicherheitsprodukte einen Konsens über Standards zu erzielen.

Anwender wollen unabhängig seinEinen anderen Ansatz wählen Unternehmen wie Network Associates mit der "Net Tools Secure Suite" oder Axent mit "ESM". Sie harmonisieren herstellerabhängige Produkt-Suites, um in den einzelnen Bereichen der IT-Sicherheit ein einheitliches Management anbieten zu können. Fehlendes Know-how wird mitunter durch Unternehmens- und Produktakquisitionen erworben.

Die Kehrseite dieses Weges ist für den Anwender eine steigende Abhängigkeit von einem einzigen Anbieter sowie ein erhöhter Investitionsaufwand für eine abgestimmte Lösung. Network Associates beispielsweise hat erfahren müssen, dass die Anwender genau dies nicht wollen: Anfang letzten Jahres hat das Unternehmen seine Strategie für integrierte Sicherheitslösungen aufgegeben und sich wieder in sechs selbständige Geschäftseinheiten gesplittet.

Damit die New Economy nicht an der umfassenden Absicherung von Unternehmensnetzen scheitert beziehungsweise sich verzögert, sind heute mehr denn je rasche Lösungen für den Aufbau einer transparenten Sicherheitsinfrastruktur gefordert. Unternehmen, die sich mit dem Gedanken tragen, ihre Geschäftsprozesse zunehmend über das Internet abzuwickeln, sind darauf angewiesen, ihre über alle Betriebssysteme hinweg gültigen Security Policies unter Nutzung ihrer existierenden IT-Sicherheitssysteme zu wahren und durch eine zentrale Kontrollinstanz optimal zu überwachen.

Unternehmen wie EMC, das Justizministerium der Vereinigten Staaten und auch DuPont setzen bei der Absicherung ihres Unternehmensnetzwerkes nicht auf die Absichtserklärungen einiger Anbieter, sondern haben bereits eine zentrale Echtzeit-Überwachung sämtlicher Sicherheits-Tools realisiert. Auf Basis der "Open E-Security Platform" (OeSP), einer datenbankgestützten Plattform für die Integration der gesamten in einem Unternehmen existierenden Sicherheitsinfrastruktur aus dem Hause E-Security, Inc., Florida, überwachen diese Unternehmen für unterschiedlichste Anwendungsfelder sämtliche derzeit eingesetzten und zukünftig genutzten IT-Sicherheitslösungen.

EMC sichert beispielsweise sein Unternehmensnetz, an das weltweit mehr als 10 000 Mitarbeiter in verschiedenen Standorten und bei Vertragshändlern angeschlossen sind, über eine Vielzahl an Firewalls, Intrusion Detection Systems, Scanner sowie auch native Sicherheitssysteme von Datenbanken und Betriebssystemen ab. Dabei steigt die Anzahl der zu überwachenden Systeme rasch an. Durch die Echtzeitüberwachung sichert das Unternehmen das Netzwerk der Vertragspartner ab und kann damit alle Sicherheitsübergriffe auf das Netzwerk in der ganzen Welt zeitecht verfolgen.

Erfahrungswerte von Anwendern haben gezeigt, dass innerhalb von nur zehn Tagen ein zentrales Sicherheits-Center in Betrieb zu nehmen ist, das sämtliche Sicherheitsübergriffe zentral meldet und von dem aus sich in der Folge Abwehrmaßnahmen anstoßen lassen. Es gibt Anwender, die berichten, dass der personelle Aufwand für die Überwachung von dezentralen Sicherheitssystemen durch die automatisierte Auswertung von Event-Logs um 80 Prozent reduziert werden kann.

Auf einer grafischen Benutzeroberfläche werden Sicherheitsverstöße auf der zentralen Konsole angezeigt. Sämtliche an das zentrale Netzwerk angebundenen Standorte beziehungsweise lokalen Netze sind dort anschaulich abgebildet. Beim Auftreten einer Alarmmeldung aus einem angebundenen Sicherheitssystem leuchtet die betroffene Filiale in einer Signalfarbe auf. Dabei erlauben so genannte Drill-down-Funktionen per Mausklick die exakte Lokalisierung und Spezifizierung der Meldung.

Agenten übernehmen VermittlungsfunktionFür etwa 30 verschiedene marktgängige Sicherheitsprodukte existieren bereits vorkonfigurierte Agenten, die diese Einzelsysteme mit der OeSP verbinden. Diese Agenten greifen den SNMP-Strom (Traps) der Einzellösungen ab beziehungsweise werten bei Systemen, die keinen solchen Datenstrom absetzen, die Eventlogs aus und generieren daraus einen SNMP-Strom. Dadurch ist eine vollständige Integration von Systemen verschiedener Hersteller gewährleistet.

Diese intelligente Form der Datengenerierung macht die Agenten unabhängig von herstellerspezifischen Anwendungs-Schnittstellen (APIs) und damit auch von Modifikationen an diesen. Ferner ermöglicht die Technologie, innerhalb kürzester Zeit neue Agenten für die meisten Standard-Sicherheitslösungen zu entwickeln. So beträgt die durchschnittliche Entwicklungszeit für einen neuen Agenten zwei Tage.

Für komplexe Sicherheitssysteme wie RACF existieren darüber hinaus Standardanwendungen wie der Automated Security Auditor für OS/390, "Beta 89" aus dem Hause Beta Systems Software AG, Berlin, der die bisher manuelle Analyse von SMF-Datensätzen (SMF=System Management Facility) für Sicherheitsverstöße vollständig automatisiert.

Das Justizministerium der Vereinigten Staaten von Amerika setzte die OeSP erstmals im Vorfeld und zum Jahrtausendwechsel ein. Gezielte Hacker-Angriffe waren besonders in der Silvesternacht zu befürchten, so dass sich niemand mehr auf die manuelle Auswertung von Event-Logs verlassen wollte. Eine solche Auswertung wäre nicht nur viel zu zeitintensiv gewesen, es hätten durch sie auch geplante Attacken erst viel zu spät erkannt werden können.

Korrelierende Meta-Agenten sind dabei eine wesentliche Unterstützung. Sie sind in der Lage, Angriffsmuster zu erkennen und so intelligente Sicherheitsattacken von innen oder außen zu entdecken. Versucht beispielsweise ein nicht autorisierter Nutzer jeweils zweimal auf drei verschiedenen Ebenen (Betriebssystem, Datenbank, Applikation) eines typischen dezentralen Servers ein Benutzerkonto zu öffnen, so registrieren die entsprechenden Basisagenten jeweils zwei fehlgeschlagene Logins. In der Regel wird damit noch kein Alarm ausgelöst. Erst der korrelierende Meta-Agent erkennt eine Systematik und meldet das Ereignis.

Real-Time-Security-Awareness-Lösungen sind durch die Flexibilität und Möglichkeiten zur Echtzeiterkennung und -abwehr von Sicherheitsübergriffen für den Einsatz in mittelgroßen bis großen Unternehmen prädestiniert. Dabei bietet die zentrale Überwachung komplexer IT-Netzwerke mit einem hohen Datenaufkommen über das Web, wie sie in E-Business-orientierten Unternehmen beziehungsweise bei Internet-Service-Providern vorkommen, einen besseren Schutz beim Betrieb ihrer Internet-Aktivitäten. Aber auch Unternehmen mit hohen Sicherheitsanforderungen wie Banken, Versicherungen, Industrieunternehmen und auch Behörden profitieren von einem stets aktuellen Überblick über den Sicherheitsstatus in ihren komplexen Netzwerken.

*David Ferré ist Senior Product Manager bei der Beta Systems Software AG in Berlin.