Wie ist es möglich, Aussagen zum eigenen Security Level, also zum Status der eigenen IT-Sicherheit, zu treffen? Die Maßnahmen, die ein Unternehmen zum Schutz der eigenen Daten treffen kann, sind vielfältig. Dieser Beitrag soll vor allem einen Aspekt der IT-Sicherheit und die damit verbundene Erfolgsmessung betrachten: Die technische Absicherung von Netzwerken gegen Schadprogramme.
Messen ist wichtig
Viren, Würmer und Trojaner sind noch immer die breitenwirksamsten Waffen der Malware-Industrie. Um sich gegen eine Infektion zu schützen, installieren Sicherheitsverantwortliche Virenschutz- und Patch-Systeme. Updates mit Virenpattern und Patches sind die letzte und gleichzeitig eine der wirksamsten Hürden im Abwehrwall. Ist jedes System im gesamten Netzwerk mit aktuellen Virenpattern und den neuesten Patches versorgt, haben bekannte Schadprogramme wenig Chancen. Neue Schadprogramme werden heute relativ schnell entdeckt und entsprechende Updates werden zeitnah bereitgestellt. Allerdings führen Rollouts nicht immer dazu, dass alle Rechner in einem Unternehmensnetz alle Updates erhalten. Verzögerungen und Fehler im Rollout-Prozess aber Gang und Gäbe. Deshalb ist es nötig, den Sicherheitsstatus zu messen.
Je komplexer ein Netzwerk ist, desto höher die Wahrscheinlichkeit, dass Updates im Verteilprozess manche Systeme nicht oder viel zu spät erreichen. Dies mag an der Performance des Netzwerks liegen, an Rechnern oder Laptops, die zum Zeitpunkt des Rollouts nicht online sind, an technischen Störungen oder anderen Fehlern. Update-Störungen sind ein bekanntes Problem. Die Ergebnisse einer Umfrage , die der Sicherheitsanbieter Ampeg 2008 in Großunternehmen durchführen ließ, bestätigen das: Von den befragten Sicherheitsverantwortlichen wüßten über die Hälfte, dass es in ihrem Unternehmen vorkomme, dass manche Rechner gar nicht mit Pattern oder Patches versorgt würden. Im Falle von Fehlern, komme es zudem vor, dass die Rollout-Systeme dies nicht zurückmelden würden. Das bedeutet, Sicherheitsverantwortlichen können nicht sagen, ob und wo in ihrem Netzwerk Schwachpunkte entstehen.
IT-Sicherheit messen
-
Warum muss IT-Sicherheit gemessen werden? Sicherheits-Updates sichern Systeme gegen Malware ab, doch in komplexen Netzwerken passieren Fehler: Nicht alle Rechner erhalten jedes Update. Um in der Lage zu sein, die Lücken zu erkennen und proaktiv zu handeln, müssen Sicherheitsverantwortliche das Security Level aller Systeme am besten permanent messen.
-
Was kann konkret gemessen werden? Manche Unternehmen machen es sich einfach und messen Werte, die sich leicht erfassen lassen, zum Beispiel das Virenaufkommen. Den Sicherheitsstatus kann man daran nicht festmachen. Sinnvolle Key Performance Indikatoren sind zum Beispiel der "Erfüllungsgrad pro Rollout".
-
Wie misst man richtig? Messen findet aus strategischen Gründen statt. Die IT-Sicherheit soll verbessert werden. Dazu müssen Ziele definiert werden, denen die Leistung der Sicherheitssysteme genügen soll. Mittels "Security Level Management", einem Ansatz zur Qualitätssicherung für die IT-Sicherheit, können Unternehmen das Restrisiko für Malware-Infektionen messbar senken.
Diese Lücken können die Ursache für konkrete Malware-Infektionen sein, wie das Schadprogramm "Conficker" zeigt. Es sorgt seit Ende 2008 für Unruhe in den Sicherheitsabteilungen. Schon kurz nach dem Auftauchen des Programms im Oktober 2008, veröffentlichte Microsoft das sicherheitskritische Update "MS08-067", mit dem Unternehmen die betreffende Lücke schließen konnten. Ein viertel Jahr später konnte sich der Wurm trotzdem auf den Rechnern der Bundeswehr einnisten. Nach Angaben der Conficker Working Group waren bis zum Dezember 2010 immer noch mehr als 5.000.000 Rechner mit einer der diversen Conficker-Varianten infiziert. Es scheint unwahrscheinlich, dass große Unternehmen und Organisationen den Microsoft-Patch nicht ausgerollt haben. Sollten sie ihn dennoch ausgerollt haben, bleibt nur die Schlussfolgerung, dass durch Rollout-Fehler Lücken im Netzwerk geblieben waren.
Unternehmen, die in der Lage sind, den Sicherheitsstatus jedes einzelnen Rechners im Netzwerk zu erfassen, sehen wo Lücken sind und können diese sofort schließen. Alle anderen können nur reagieren, wenn die Schwachstellen durch eine Infektion evident geworden sind. Messbarkeit bedeutet Transparenz und Transparenz ist die Grundlage dafür, dass ein Unternehmen seinen Sicherheitsbetrieb verbessern kann. Deshalb ist die permanente und kontinuierliche Messung des eigenen Sicherheitsstatus so wichtig. Was aber definiert nun diesen "Sicherheitsstatus" eines Rechners? Welche konkreten Messgrößen beziehungsweise Key Performance Indikatoren (KPIs) können dazu herangezogen werden?
KPIs für IT-Sicherheit
Es muss ein vordringliches Ziel eines jeden jedes Sicherheitsverantwortlichen sein, alle Systeme in seinem Netzwerk möglichst aktuell zu halten. Zu welchem Grad dieses Ziels erreicht wird, kann gemessen werden. Es ist möglich, nach jedem Rollout zu prüfen, ob alle beziehungsweise wie viele Rechner ein Virenpattern oder einen Patch auch tatsächlich erhalten haben. Ein gültiger Key Performance Indikator für die Update-Systeme wäre dementsprechend der "Erfüllungsgrad pro Rollout", der für jedes System im Netzwerk erfasst werden muss.
Ein weiterer wichtiger Indikator für den Sicherheitsstatus eines Netzwerks ist die Dauer von Rollouts. Vor dem Hintergrund einer permanent steigenden Anzahl von "Zero Day Exploits" ist es nicht nur wichtig, dass die Updates ihr Ziel erreichen, sondern auch, wie schnell sie das tun. Diese Einschätzung bestätigt auch die bereits zitierte Umfrage: Fast 70 Prozent der befragten Security Officer sind darin der Meinung, dass schon Verzögerungen der Pattern- oder Patch-Roll-Outs um wenige Stunden zu "einer relevanten zusätzlichen Bedrohung" führen würden. Virenpattern können sofort nach ihrer Veröffentlichung verteilt werden, was meist auch völlig automatisiert passiert. Patches werden von internen oder externen Computer Emergency Response Teams (CERT) auf ihre Systemverträglichkeit geprüft. Dieser Schritt kostet Zeit, so dass der Rollout danach umso schneller gehen muss.
Kein Messwert - aber für das Funktionieren des Sicherheitsbetriebs genauso wichtig - ist die Aktualität der Antiviren-Software und der dazugehörigen Scan-Engine. Deren Aktualität sollten Sicherheitsverantwortliche immer im Auge behalten. Vielfach wird die "End of Life-Meldung" des Herstellers der Schutzsoftware vom Security Management missachtet. Teilweise auch, weil veraltete Rechner-Hardware das Update auf die neue Software nicht erlaubt. Sind Software und Scan-Engine aber nicht aktuell, macht die Messung der restlichen KPIs nicht viel Sinn.
Messgrößen in der Praxis
Welche Indikatoren nutzen Security Officer zur Messung von IT-Sicherheit in der Praxis? Im Folgenden betrachten wir zwei gängige Methoden der Erfolgsprüfung in der IT-Sicherheit.
Aus Gesprächen, die AMPEG mit Kunden und Interessenten geführt hat, ging hervor, dass es in vielen Unternehmen üblich ist, die Anzahl der "gefangenen" Schadprogramme zu erfassen, um den Nutzen der Investition zu belegen. Dieser Wert und seine Entwicklung lassen aber keine Aussagen über den Sicherheitsstatus zu. Er eignet sich vielmehr zur Schwachstellensuche, wenn er für unterschiedliche Netzwerksegmente oder auch einzelne Rechner eingesehen werden kann. Weißt ein Standort, Netzwerksegment oder Rechner signifikant mehr Schadprogramme auf als der Durchschnitt, so ist das ein Hinweis darauf, dass sich dort vielleicht ein Trojaner verbirgt, der andere Malware nachlädt. Diese Art der Suche nach "Schwarzen Schafen" macht allerdings nur Sinn, wenn die Überwachung permanent durchgeführt wird. Doch der Aufwand dafür ist ohne spezielle Tools hoch und so analysieren Unternehmen die Unterschiede im Virenaufkommen in den seltensten Fällen differenziert. Laut den Aussagen von Marktteilnehmern gilt die Gesamtentwicklung an gefangenen Viren oft als Indikator für die Güte des Sicherheitsnetzes. Hier muss klar gesagt werden: Die Anzahl der erkannten Malware oder eine Untersuchung der "Cost per caught Virus" sind keine validen Messwerte für IT-Sicherheit.
In vielen Unternehmen ist es gebräuchlich, den Erfolg von Rollouts zu prüfen. Von den befragten Sicherheitsverantwortlichen verlassen sich nur 34 Prozent allein auf ihre Update-Systeme und sind der Ansicht, dass die Sicherheit ihres Netzwerks auch ohne die explizite Kontrolle des Update-Erfolges nicht grundsätzlich in Gefahr ist. Von der prüfenden Mehrheit begnügt sich allerdings etwa ein Drittel mit Stichproben. Werden diese Stichproben immer an denselben, als besonders kritisch eingestuften Systemen vorgenommen, kann dies zu deren Absicherung beitragen. Ein Indikator zur Beurteilung der übergreifenden Sicherheitslage lässt sich aus Stichproben aber nicht ableiten. Dies dürfte den Sicherheitsverantwortlichen auch bewusst sein, doch aus Mangel an Personal oder geeigneten Tools wird auf eine permanente Erfassung relevanter Indikatoren verzichtet.
Richtiges Messen
In Großunternehmen ist nicht möglich, den Sicherheitsstatus jedes einzelnen Systems nach einem Rollout manuell zu erfassen. Die lokalen Administratoren könnten keine anderen Aufgaben mehr wahrnehmen. Um den Verteilerfolg und auch die Geschwindigkeit der Update-Verteilung zu messen, bedarf es eines automatisierten Monitoring-Systems. Da große Unternehmen meist Sicherheitssysteme unterschiedlicher Hersteller parallel betreiben, bietet sich ein System an, welches die Informationen aus allen installierten Schutzsystemen verarbeiten kann.
In diesem Monitoring-System sind Grenz- und Schwellenwerte zu hinterlegen, konkrete und messbare Zielvorgaben für die Update-Systeme. Eine Zielvorgabe von "100 Prozent aller Rechner müssen eine Stunde nach dem Release eines neuen Updates versorgt sein" ist kaum realisierbar, weil die Umstände - die Prüfung von Patches durch das CERT, Wartungsarbeiten an einer Rechnergruppe, mobile Mitarbeiter mit Laptops etc. - eine so schnelle und komplette Versorgung in den wenigsten Fällen zulassen. Jedes Unternehmen muss abwägen und eigene realistische Vorgaben aus den Security Policies ableiten.
Das Monitoring-System gleicht im laufenden Betrieb die Vorgaben mit den tatsächlich erreichten Werten ab, bestimmt also das Security Level des Unternehmens. Der Abgleich geschieht idealerweise permanent, sodass Sicherheitsverantwortliche jederzeit wissen, wie es um den Sicherheitsstatus ihrer Systeme bestellt ist. Erhalten Rechner ein Update nicht oder verzögert, so wird dies vom System gemeldet. Maßnahmen zum Schließen der Sicherheitslücke oder zur Beschleunigung des Update-Vorgangs können sofort eingeleitet werden. Zeichnet das Monitoring-System die Messungen auf, können Langzeitbetrachtungen angestellt und nachverfolgt werden, wie sich das Security Level über die Zeit verbessert.
Fazit
Mit der Messung des Sicherheitsstatus geht ein Security Level Management einher, eine Qualitätssicherung für die IT-Sicherheit. Damit lässt sich das Restrisiko für eine Infektion mit Viren, Würmern und Trojanern senken. Auch mit einer Messung der relevanten Indikatoren und einem professionellen Security Level Management kann man nicht zu "einhundertprozentiger" beziehungsweise lückenloser IT-Sicherheit gelangen. Doch durch die geschaffene Transparenz erkennt der Sicherheitsverantwortliche ganz genau, an welchen Stellen er weiterarbeiten muss. (ph)