Wie ist es möglich, Aussagen zum eigenen Security Level, also zum Status der eigenen IT-Sicherheit, zu treffen? Die Maßnahmen, die ein Unternehmen zum Schutz der eigenen Daten treffen kann, sind vielfältig. Dieser Beitrag soll vor allem einen Aspekt der IT-Sicherheit und die damit verbundene Erfolgsmessung betrachten: Die technische Absicherung von Netzwerken gegen Schadprogramme.

Messen ist wichtig

Viren, Würmer und Trojaner sind noch immer die breitenwirksamsten Waffen der Malware-Industrie. Um sich gegen eine Infektion zu schützen, installieren Sicherheitsverantwortliche Virenschutz- und Patch-Systeme. Updates mit Virenpattern und Patches sind die letzte und gleichzeitig eine der wirksamsten Hürden im Abwehrwall. Ist jedes System im gesamten Netzwerk mit aktuellen Virenpattern und den neuesten Patches versorgt, haben bekannte Schadprogramme wenig Chancen. Neue Schadprogramme werden heute relativ schnell entdeckt und entsprechende Updates werden zeitnah bereitgestellt. Allerdings führen Rollouts nicht immer dazu, dass alle Rechner in einem Unternehmensnetz alle Updates erhalten. Verzögerungen und Fehler im Rollout-Prozess aber Gang und Gäbe. Deshalb ist es nötig, den Sicherheitsstatus zu messen.

Je komplexer ein Netzwerk ist, desto höher die Wahrscheinlichkeit, dass Updates im Verteilprozess manche Systeme nicht oder viel zu spät erreichen. Dies mag an der Performance des Netzwerks liegen, an Rechnern oder Laptops, die zum Zeitpunkt des Rollouts nicht online sind, an technischen Störungen oder anderen Fehlern. Update-Störungen sind ein bekanntes Problem. Die Ergebnisse einer Umfrage , die der Sicherheitsanbieter Ampeg 2008 in Großunternehmen durchführen ließ, bestätigen das: Von den befragten Sicherheitsverantwortlichen wüßten über die Hälfte, dass es in ihrem Unternehmen vorkomme, dass manche Rechner gar nicht mit Pattern oder Patches versorgt würden. Im Falle von Fehlern, komme es zudem vor, dass die Rollout-Systeme dies nicht zurückmelden würden. Das bedeutet, Sicherheitsverantwortlichen können nicht sagen, ob und wo in ihrem Netzwerk Schwachpunkte entstehen.

Diese Lücken können die Ursache für konkrete Malware-Infektionen sein, wie das Schadprogramm "Conficker" zeigt. Es sorgt seit Ende 2008 für Unruhe in den Sicherheitsabteilungen. Schon kurz nach dem Auftauchen des Programms im Oktober 2008, veröffentlichte Microsoft das sicherheitskritische Update "MS08-067", mit dem Unternehmen die betreffende Lücke schließen konnten. Ein viertel Jahr später konnte sich der Wurm trotzdem auf den Rechnern der Bundeswehr einnisten. Nach Angaben der Conficker Working Group waren bis zum Dezember 2010 immer noch mehr als 5.000.000 Rechner mit einer der diversen Conficker-Varianten infiziert. Es scheint unwahrscheinlich, dass große Unternehmen und Organisationen den Microsoft-Patch nicht ausgerollt haben. Sollten sie ihn dennoch ausgerollt haben, bleibt nur die Schlussfolgerung, dass durch Rollout-Fehler Lücken im Netzwerk geblieben waren.

Unternehmen, die in der Lage sind, den Sicherheitsstatus jedes einzelnen Rechners im Netzwerk zu erfassen, sehen wo Lücken sind und können diese sofort schließen. Alle anderen können nur reagieren, wenn die Schwachstellen durch eine Infektion evident geworden sind. Messbarkeit bedeutet Transparenz und Transparenz ist die Grundlage dafür, dass ein Unternehmen seinen Sicherheitsbetrieb verbessern kann. Deshalb ist die permanente und kontinuierliche Messung des eigenen Sicherheitsstatus so wichtig. Was aber definiert nun diesen "Sicherheitsstatus" eines Rechners? Welche konkreten Messgrößen beziehungsweise Key Performance Indikatoren (KPIs) können dazu herangezogen werden?

Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor.

Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben.

BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden.

Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden.

Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist.

F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.

KPIs für IT-Sicherheit

Es muss ein vordringliches Ziel eines jeden jedes Sicherheitsverantwortlichen sein, alle Systeme in seinem Netzwerk möglichst aktuell zu halten. Zu welchem Grad dieses Ziels erreicht wird, kann gemessen werden. Es ist möglich, nach jedem Rollout zu prüfen, ob alle beziehungsweise wie viele Rechner ein Virenpattern oder einen Patch auch tatsächlich erhalten haben. Ein gültiger Key Performance Indikator für die Update-Systeme wäre dementsprechend der "Erfüllungsgrad pro Rollout", der für jedes System im Netzwerk erfasst werden muss.

Ein weiterer wichtiger Indikator für den Sicherheitsstatus eines Netzwerks ist die Dauer von Rollouts. Vor dem Hintergrund einer permanent steigenden Anzahl von "Zero Day Exploits" ist es nicht nur wichtig, dass die Updates ihr Ziel erreichen, sondern auch, wie schnell sie das tun. Diese Einschätzung bestätigt auch die bereits zitierte Umfrage: Fast 70 Prozent der befragten Security Officer sind darin der Meinung, dass schon Verzögerungen der Pattern- oder Patch-Roll-Outs um wenige Stunden zu "einer relevanten zusätzlichen Bedrohung" führen würden. Virenpattern können sofort nach ihrer Veröffentlichung verteilt werden, was meist auch völlig automatisiert passiert. Patches werden von internen oder externen Computer Emergency Response Teams (CERT) auf ihre Systemverträglichkeit geprüft. Dieser Schritt kostet Zeit, so dass der Rollout danach umso schneller gehen muss.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Kein Messwert - aber für das Funktionieren des Sicherheitsbetriebs genauso wichtig - ist die Aktualität der Antiviren-Software und der dazugehörigen Scan-Engine. Deren Aktualität sollten Sicherheitsverantwortliche immer im Auge behalten. Vielfach wird die "End of Life-Meldung" des Herstellers der Schutzsoftware vom Security Management missachtet. Teilweise auch, weil veraltete Rechner-Hardware das Update auf die neue Software nicht erlaubt. Sind Software und Scan-Engine aber nicht aktuell, macht die Messung der restlichen KPIs nicht viel Sinn.

Messgrößen in der Praxis

Welche Indikatoren nutzen Security Officer zur Messung von IT-Sicherheit in der Praxis? Im Folgenden betrachten wir zwei gängige Methoden der Erfolgsprüfung in der IT-Sicherheit.

Aus Gesprächen, die AMPEG mit Kunden und Interessenten geführt hat, ging hervor, dass es in vielen Unternehmen üblich ist, die Anzahl der "gefangenen" Schadprogramme zu erfassen, um den Nutzen der Investition zu belegen. Dieser Wert und seine Entwicklung lassen aber keine Aussagen über den Sicherheitsstatus zu. Er eignet sich vielmehr zur Schwachstellensuche, wenn er für unterschiedliche Netzwerksegmente oder auch einzelne Rechner eingesehen werden kann. Weißt ein Standort, Netzwerksegment oder Rechner signifikant mehr Schadprogramme auf als der Durchschnitt, so ist das ein Hinweis darauf, dass sich dort vielleicht ein Trojaner verbirgt, der andere Malware nachlädt. Diese Art der Suche nach "Schwarzen Schafen" macht allerdings nur Sinn, wenn die Überwachung permanent durchgeführt wird. Doch der Aufwand dafür ist ohne spezielle Tools hoch und so analysieren Unternehmen die Unterschiede im Virenaufkommen in den seltensten Fällen differenziert. Laut den Aussagen von Marktteilnehmern gilt die Gesamtentwicklung an gefangenen Viren oft als Indikator für die Güte des Sicherheitsnetzes. Hier muss klar gesagt werden: Die Anzahl der erkannten Malware oder eine Untersuchung der "Cost per caught Virus" sind keine validen Messwerte für IT-Sicherheit.

In vielen Unternehmen ist es gebräuchlich, den Erfolg von Rollouts zu prüfen. Von den befragten Sicherheitsverantwortlichen verlassen sich nur 34 Prozent allein auf ihre Update-Systeme und sind der Ansicht, dass die Sicherheit ihres Netzwerks auch ohne die explizite Kontrolle des Update-Erfolges nicht grundsätzlich in Gefahr ist. Von der prüfenden Mehrheit begnügt sich allerdings etwa ein Drittel mit Stichproben. Werden diese Stichproben immer an denselben, als besonders kritisch eingestuften Systemen vorgenommen, kann dies zu deren Absicherung beitragen. Ein Indikator zur Beurteilung der übergreifenden Sicherheitslage lässt sich aus Stichproben aber nicht ableiten. Dies dürfte den Sicherheitsverantwortlichen auch bewusst sein, doch aus Mangel an Personal oder geeigneten Tools wird auf eine permanente Erfassung relevanter Indikatoren verzichtet.

Richtiges Messen

In Großunternehmen ist nicht möglich, den Sicherheitsstatus jedes einzelnen Systems nach einem Rollout manuell zu erfassen. Die lokalen Administratoren könnten keine anderen Aufgaben mehr wahrnehmen. Um den Verteilerfolg und auch die Geschwindigkeit der Update-Verteilung zu messen, bedarf es eines automatisierten Monitoring-Systems. Da große Unternehmen meist Sicherheitssysteme unterschiedlicher Hersteller parallel betreiben, bietet sich ein System an, welches die Informationen aus allen installierten Schutzsystemen verarbeiten kann.

In diesem Monitoring-System sind Grenz- und Schwellenwerte zu hinterlegen, konkrete und messbare Zielvorgaben für die Update-Systeme. Eine Zielvorgabe von "100 Prozent aller Rechner müssen eine Stunde nach dem Release eines neuen Updates versorgt sein" ist kaum realisierbar, weil die Umstände - die Prüfung von Patches durch das CERT, Wartungsarbeiten an einer Rechnergruppe, mobile Mitarbeiter mit Laptops etc. - eine so schnelle und komplette Versorgung in den wenigsten Fällen zulassen. Jedes Unternehmen muss abwägen und eigene realistische Vorgaben aus den Security Policies ableiten.

Das Monitoring-System gleicht im laufenden Betrieb die Vorgaben mit den tatsächlich erreichten Werten ab, bestimmt also das Security Level des Unternehmens. Der Abgleich geschieht idealerweise permanent, sodass Sicherheitsverantwortliche jederzeit wissen, wie es um den Sicherheitsstatus ihrer Systeme bestellt ist. Erhalten Rechner ein Update nicht oder verzögert, so wird dies vom System gemeldet. Maßnahmen zum Schließen der Sicherheitslücke oder zur Beschleunigung des Update-Vorgangs können sofort eingeleitet werden. Zeichnet das Monitoring-System die Messungen auf, können Langzeitbetrachtungen angestellt und nachverfolgt werden, wie sich das Security Level über die Zeit verbessert.

Fazit

Mit der Messung des Sicherheitsstatus geht ein Security Level Management einher, eine Qualitätssicherung für die IT-Sicherheit. Damit lässt sich das Restrisiko für eine Infektion mit Viren, Würmern und Trojanern senken. Auch mit einer Messung der relevanten Indikatoren und einem professionellen Security Level Management kann man nicht zu "einhundertprozentiger" beziehungsweise lückenloser IT-Sicherheit gelangen. Doch durch die geschaffene Transparenz erkennt der Sicherheitsverantwortliche ganz genau, an welchen Stellen er weiterarbeiten muss. (ph)