Unternehmen sind heute in weiten Teilen von der Funktionstüchtigkeit ihrer IT-Systeme abhängig. Deshalb ist ein funktionierendes IT- Risiko-Management nicht nur eine lästige Pflicht, um gesetzlichen Anforderungen zu genügen, sondern ein wichtiger Baustein, um zu verhindern, dass IT-Probleme die Geschäftsabläufe beeinträchtigen.
Fazit
Der Funktionsumfang der am Markt angebotenen Tools variiert sehr stark. Die Palette reicht von Checklisten für das Self- Assessment über detaillierte Fragenkataloge und zentrale Systeme für das Sicherheitsinformations-Management bis hin zu Tools, die IT-Risiken im Rahmen eines umfassenden Risiko-Managements mit abdecken. Dem Anwender bleibt zwar einerseits die Qual der Wahl, aus der Bandbreite das passende Tool auszuwählen. Andererseits ist mit der Vielfalt an Möglichkeiten auch für jedes Bedürfnis und für jede Unternehmensgröße ein passendes Werkzeug vorhanden, um nicht nur die "lästigen" gesetzlichen Anforderungen zu erfüllen, sondern die IT-Sicherheit insgesamt zu steigern.
Hier lesen Sie …
• welche Risiken die IT bedrohen;
• welche Tools das IT-Risiko-Management erleichtern;
• wie die vorgestellten Tools arbeiten und welche Ergebnisse sie liefern.
IT-Risiken
Die zu schützenden Unternehmenswerte (Assets) im Hinblick auf die IT eines Unternehmens reichen von Prozessen über eingesetzte Systeme bis hinunter zu den einzelnen Daten und Informationen.
Bedrohungen, die die Verfügbarkeit von IT-Prozessen und Systemen gefährden oder beeinträchtigen können, sind:
• Naturkatastrophen,
• Fehlfunktionen,
• Hardwarefehler,
• Softwarefehler,
• Betriebsfehler,
• Benutzerfehler (das unbeabsichtigte Lahmlegen von Systemressourcen oder Beschädigen von Prozessen und Systemen durch Anwendungsfehler oder Fehlverhalten),
• absichtliche Beschädigung von Prozessen und Systemen oder absichtliches Lahmlegen von Systemressourcen etwa durch das Einschleusen schädlicher Software (Malware) oder gezielte Angriffe.
Zu Bedrohungen, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten und Informationen beeinträchtigen können, zählen:
• Abhören oder Manipulation der internen/ externen Kommunikation,
• unberechtigte Zugriffe auf Daten und Informationen (unbewusst oder absichtlich durch das Vortäuschen einer Benutzer- oder System- Identität),
• unbewusstes Verändern oder absichtliche Manipulation von Daten und Informationen,
• bewusstes Löschen oder Zerstören von Daten und Informationen,
• Missbrauch von Systemressourcen und
• Diebstahl von Daten oder Ressourcen.
Leitfaden zur IT-Governance
IT-Governance beinhaltet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch das Management. Ziel ist, die IT kontinuierlich an den Unternehmenszielen und -prozessen auszurichten, das Unternehmen beim Erreichen von Geschäftszielen zu unterstützen, einen verantwortungsvollen und nachhaltigen Einsatz der IT-Ressourcen zu fördern sowie IT-bedingte Risiken einzuschränken. Eine funktionierende Abstimmung zwischen IT und Management (Alignment) ist damit eine grundlegende Voraussetzung für den Erfolg.
Das IT Governance Institute (ITGI) hat drei Tools herausgegeben, um Geschäftsführern, IT-Sicherheitsexperten und Betriebsprüfern ein besseres Verständnis ihrer jeweiligen Rollen und Verantwortungen im Hinblick auf die IT-Governance zu ermöglichen. Das "Board Briefing on IT Governance" richtet sich an Aufsichtsräte und die Führungsmannschaft. Der "IT Governance Implementation Guide" soll als Anleitung für die Ausführung oder Verbesserung von IT-Governance dienen und orientiert sich an den Grundlagen der international anerkannten Methode Control Objectives for Information and related Technologies (CobIT).
Das "IT Governance Business Game" schließlich richtet sich an alle IT-Governance-Interessierten und ermöglicht es den Teilnehmern, für einen Tag in eine Rolle zu schlüpfen, die sie normalerweise nicht ausüben, und damit über den eigenen Tellerrand hinauszublicken. Weitere Informationen und Download-Möglichkeiten unter www.itgi.org.
Audits und Self Assessments
Mittlerweile gibt es einige Tools, mit denen Anwender IT-Risiken messen und bewerten können. Aber auch Sicherheitsaudits durch externe Dienstleister sind dazu geeignet, die Effektivität und Effizienz der vorhandenen Security-Tools sowie von Prozessen und Maßnahmen zu prüfen. Allerdings liefern sie, sofern nicht kontinuierlich betrieben, nur eine Momentaufnahme. Erfahrungsgemäß werden nach dem Audit der externen Prüfer zwar die entdeckten Schwachstellen behoben, im Lauf der Zeit treten aber neue Lücken auf, die es kontinuierlich zu schließen gilt. Darüber hinaus kommt es auch auf die Effektivität des Sicherheits-Managements an. Hier sind organisatorische Abläufe kritisch zu hinterfragen, etwa: Werden Patches und Updates regelmäßig und auf allen relevanten Systemen eingespielt? Wie geht man mit Störungsmeldungen um? Wie begegnet man Restrisiken?
Hilfreich hierbei sind Self-Assessments, die auf standardisierten Fragebögen und Checklisten beruhen. Sie sind relativ einfach zu bewerkstelligen und liefern kontinuierlich Einschätzungen über den Stand der IT-Sicherheit, die Einhaltung festgelegter Regeln sowie die Überwachung und Steuerung der IT-Prozesse. Idealerweise orientieren sich entsprechende Tools an anerkannten Methoden und Richtlinien des Risiko-Managements wie zum Beispiel BS 7799 (British Standard) beziehungsweise ISO 17799 (International Organization for Standardization), der IT Infrastructure Library (Itil) oder den Control Objectives for Information and Related Technology (CobIT). CobIT ist speziell auf die Sicherheitsbelange von Unternehmen ausgerichtet und beinhaltet auch einen Methodenkatalog für IT-Risiken.
Microsoft Security Assessment
Dabei werden insbesondere die Belange international agierender Organisationen berücksichtigt. Itil konzentriert sich dagegen eher auf die Vermeidung von Risiken, indem Themen wie Security-Management, Configuration-Management und Service Level Agreements (SLAs) beschrieben werden.
Das "Microsoft Security Assessment Tool" (MSAT), das mittlerweile in Version 2.0 vorliegt, orientiert sich neben ISO 17799 am IT-Grundschutz, wie ihn das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert, und eignet sich laut Hersteller für Unternehmen und Organisationen mit bis zu 1000 Mitarbeitern. Die Risikobewertung erfolgt anhand von 172 Fragen: Neben grundlegenden Informationen zum Unternehmen sind Angaben zur Infrastruktursicherheit, zur Anwendungssicherheit, zur Betriebssicherheit, zur physischen und organisatorischen Sicherheit und zur Umgebung zu machen. Der Schwerpunkt der Analyse liegt hierbei auf den eingesetzten Techniken. So geht es in der Kategorie Betriebssicherheit (Betriebsabläufe) etwa um die Umgebung, Sicherheitsrichtlinien sowie das Patch- und Update-Management.
Nach Abschluss der Risikobewertungen stehen drei Berichte zur Verfügung, die ausgedruckt, als lokales MHTML-Dokument (Mime Hypertext Markup Language) gespeichert oder für Präsentationen in "Word" oder anderen Anwendungen formatiert werden können: Die Zusammenfassung gibt einen schnellen Überblick über Risiken und mögliche Verteidigungsmaßnahmen. Der vollständige Bericht liefert eine Bewertung im Detail, eine Zusammenfassung der Ergebnisse für die Geschäftsleitung, Vorschläge und Empfehlungen zu Abhilfemaßnahmen sowie eine Auflistung der dringlichsten Aufgaben, die zur Steigerung des Sicherheitsniveaus umzusetzen sind. Im Vergleichstest schließlich können verschiedene Bewertungen desselben Unternehmens miteinander verglichen, aufeinander bezogen oder auch das eigene Unternehmen an anderen gemessen werden. MSAT und das zugehörige Benutzerhandbuch können kostenlos unter www.microsoft.com/germany/technet/sicherheit/tools/ heruntergeladen werden.
Ebenfalls auf einem Fragenkatalog basiert das "Infosecure Risikoanalyse- und Compliance-Tool" (Israc) des Anbieters Infosecure. Es lässt sich zur Selbsteinschätzung durch Mitarbeiter, Verantwortliche im Bereich der Informationssicherheit, Risiko-Manager und Auditoren einsetzen, indem man zunächst die relevanten Organisationsstrukturen, Geschäftsprozesse, Prozessplattformen und Netze festlegt, die in die Risikobewertung eingehen sollen. Im nächsten Schritt wird die Bedeutung der jeweiligen Geschäftsprozesse ermittelt. Darauf folgt eine Identifizierung und Berücksichtigung möglicher Bedrohungen, deren potenzielle Auswirkungen auf das Unternehmen und die Einstufung der Wahrscheinlichkeit ihres Auftretens.
Tipps zur Verbesserung
Daran schließt sich die Auswertung der bereits im Unternehmen eingeführten Security-Maßnahmen auf der Grundlage des ISO 17799 oder des Standards ISF-SOGP (Information Security Forum Standard of Good Practice), an. So lässt sich das gegenwärtige Sicherheitsniveau feststellen, wobei jede Maßnahme, jeder Sektor sowie der Gesamtzustand auf einer Skala von 0 bis 10 dargestellt werden. In den folgenden Schritten erstellt Israc einen Plan mit Maßnahmen, die empfohlen werden, um das gewünschte Sicherheitsniveau zu erreichen.
Das plattformunabhängige Tool ist in einer "Business"- und einer "Enterprise"-Edition erhältlich. In der Enterprise-Version kann der Nutzer zusätzlich zu dem bereits enthaltenen Katalog eigene Fragen hinzufügen beziehungsweise andere streichen und so das Tool individualisieren.
Fragenkataloge sind zweifelsohne eine gute Möglichkeit, um den aktuellen Stand der Informationssicherheit zu messen und, wenn nötig, zu verbessern. Ein funktionierendes IT-Risiko-Management ist aber von der Aktualität der Daten abhängig, die in den verschiedenen Prozessen und Systemen zur Verfügung stehen. Dabei befinden sich IT-Verantwortliche in dem Dilemma, aus der Flut an Log-Events und Meldungen, welche die eingesetzten IT-Systeme produzieren, die tatsächlich relevanten Informationen zu sichten und einer Risikobewertung zuzuführen. Erst das Filtern, Korrelieren und Gewichten der Daten führt zu klaren Aussagen, die in die Risikobewertung einfließen können. Auch hierfür gibt es eine Reihe von Tools, die den Anwender unterstützen.
Korrelation zeigt Risiken auf
Der "IBM Tivoli Risk-Manager" (TRM) verfügt über eine Konsole, über die sich ein breites Spektrum von Applikationen, Geräten und Sicherheitsprodukten zentral überwachen lässt. Mit Hilfe von Adaptern lassen sich die Ereignismeldungen von Firewalls, Routern, Intrusion-Detection-Systemen und anderen Security-Lösungen übernehmen, filtern und in ein einheitliches Format bringen. Anschließend korreliert der TRM die Ereignisse und zeigt auf, wo Angriffe möglich sind.
Für die Korrelation bietet das Tool vier generelle Regeln, die bezüglich Absender beziehungsweise Ursprung einer Aktion, Ereigniskategorie und Empfänger (Ziel) des Angriffs kombiniert werden können. So lässt sich etwa feststellen, ob eine Denial-of-Service-Attacke von vielen Absendern mit mehreren Angriffsarten auf ein bestimmtes Ziel stattfindet.
Grenzwerte für den Alarm
Darüber hinaus verfügt die Software über eine Funktion, mit der sich Ereignisse je nach Gefahrenpotenzial gewichten und echte Gefahren von weniger wichtigen Meldungen unterscheiden lassen. Überschreitet ein Wert ein zuvor festgelegtes Niveau, wird ein Alarm ausgelöst. Zusätzlich zur Management-Konsole, auf der die Alarmmeldungen und Ereignisse in Echtzeit angezeigt werden, verfügt der TRM über eine relationale Datenbank zur Speicherung der Ereignisse. Mit Analysewerkzeugen und Reporting-Tools lassen sie sich von dort aus weiterverarbeiten. Es besteht auch die Möglichkeit, die Daten in ein Data-Warehouse-System zu überführen und zu analysieren.
Neben Security-Komponenten lassen sich über den Tivoli Risk Manager auch Informationsquellen wie Middleware, Standardsoftware und Eigenentwicklungen anbinden. Die gesammelten Daten können anschließend nach individuellen Gesichtspunkten oder entsprechend den gesetzlichen Anforderungen ausgewertet werden.
CA Inc. bietet für das zentrale Sicherheitsinformations-Management das "eTrust Security Command Center r8" an. Mit diesem Tool können Anwender Daten über sicherheitsbezogene Ereignisse aus Betriebssystemen, Anwendungen, Sicherheitssoft- und -hardware, Kommunikationssystemen, physikalischen Kontrollsystemen und anderen Infrastrukturkomponenten zentral zusammenführen und korrelieren. Dadurch werden die Rohdaten zu Informationen für Berichte und die Risikobewertung umgewandelt. Regeln für die Datenkorrelation finden sich in einer Bibliothek, lassen sich mit Hilfe eines Assistenten aber auch selbst erstellen. Über Web-Update-Services werden dem Anwender kontinuierlich neue Formeln für die Korrelation zur Verfügung gestellt.
Darüber hinaus ist es möglich, die zur Korrelation benötigte Richtlinien-Engine für das Erstellen von Scripts für Reaktionen auf bestimmte Ereignisse einzusetzen. Hierbei haben Anwender ebenfalls die Möglichkeit, Prioritäten festzulegen und kritische Ressourcen zu klassifizieren. Sie haben zudem die Option, Ereignisse und Sicherheitsvorfälle mit einer Visualisierungs-Engine aus dem Ereignis-Repository zu extrahieren und anzuzeigen. So können Muster und Abweichungen festgestellt sowie mehrere Ereignisse zur besseren Verarbeitung und Verfolgung zu Vorfällen gruppiert werden. Für eine zentrale Verwaltung der Sicherheitsinfrastruktur lassen sich weitere Netz- und System-Management-Lösungen von CA anbinden.
Risiken in der Matrix
Eine dritte Kategorie von Tools deckt das komplette Risiko-Management eines Unternehmens ab, wobei die Verwaltung der IT-Risiken als Teilbereich enthalten ist. Eines dieser Werkzeuge ist der "Valuemation Risk Manager", den USU und Excelsis gemeinsam entwickelt haben. Das Tool verfügt über Schnittstellen zu Unternehmensanwendungen und lässt sich an individuelle Prozesse anpassen. Es besteht die Möglichkeit, IT-Risiken in Form einer Risikomatrix je nach der Eintrittswahrscheinlichkeit und dem potenziellen Scha- den grafisch darzustellen. Der Ergebnisbericht erfüllt die Kriterien, die im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verlangt werden, und richtet sich an das Management. (ave)