Zunehmender Konkurrenzdruck und das Bestreben, durch Übernahmen die Wettbewerber auszuschalten, führen in Rechenzentren zu neuen Gefahren. Entlassungen auf der einen und das Abwerben von engagierten Mitarbeitern auf der anderen Seite sorgen für ein erhöhtes Risiko, da diese Mitarbeiter immer ein Wissen über die interne Ablauf- und Aufbauorganisation ihres früheren Brötchengebers mitnehmen. Mit stetig steigender Tendenz häufen sich deshalb Vorfälle, bei denen das Wissen ehemaliger Mitarbeiter dazu benutzt wird, einer Firma entweder bewusst zu schaden oder Details auszuspionieren, die der Konkurrenz nützlich sein können. Die Kriminalität nimmt zu, und es ist zu erwarten, dass die oft zu hörende Aussage "Die meisten Angriffe erfolgen aus dem Inneren" in den nächsten Jahren revidiert werden muss.
Allgemein verfügbare Tools, mit denen sich DoS-Attacken vornehmen oder Makrofunktionen in Anwendungen missbräuchlich nutzen lassen, sorgen zusätzlich dafür, dass die Angriffe von außen sicher nicht abnehmen werden. Die technologische Schwelle, die für solche Aktionen zu überwinden ist, wird immer niedriger.
Man kann heute davon ausgehen, dass grundlegende Sicherheitsmaßnahmen mehr oder weniger wirkungsvoll in Rechenzentren implementiert sind. Dazu gehören unter anderem Feuermelde-, Brandschutz- und Löschanlagen, multiple Stromversorgung und Backup-Generatoren, Gebäudeschutz und Wachdienste, Firewall-Systeme und Intrusion-Detection-Lösungen, die Einbruchsversuche bemerken und protokollieren.
Auslagerung als ChanceDer Betrieb von Firewall- und Intrusion-Detection-Systemen sowie die laufende Wartung von Betriebssystemen und Standardanwendungen verursachen einen ständig steigenden personellen Aufwand. Deshalb werden immer häufiger applikations- und technologie-spezifische Aufgaben an spezialisierte Dritte übergeben. Mit dieser Auslagerung verbindet sich für RZ-Betreiber die Pflicht und Chance, sich auf grundsätzliche und bisher vernachlässigte Aufgaben zu konzentrieren, die im Haus bleiben: die Sicherheitsorganisation, die Einführung und Pflege von Policies sowie Prozeduren, die Ermittlung des Schutzbedarfs, Risikokalkulationen und abgestufte Katastrophenpläne. Letztere müssen unter anderem einen "Business Continuity Plan" und Prozeduren zur Wiederherstellung von Daten nach einer Betriebsstörung (Disaster Recovery) enthalten. Ein wichtiger Bestandteil sind auch Eskalationsprozeduren, denn niemand hat die Zeit und Ruhe, im Falle eines erfolgreichen DOS-Angriffes zu überlegen, wer informiert werden muss und was von wem in einer Presseveröffentlichung publiziert werden soll.
Unabhängig davon, ob die Aufgaben von internen oder externen Mitarbeitern bewältigt werden - ohne die Bildung einer Sicherheitsorganisation lässt sich das Unternehmen nicht wirksam schützen. Manche größere Unternehmen etablieren spezialisierte Information Security Operations Centers (SOCs). Dabei ist zu beachten, dass Technologie und der Einsatz von Tools zwar ein wichtiger Punkt sind. Doch der Fokus muss zuerst auf Prozessen, dann auf Personal- und Sachressourcen und erst in dritter Priorität auf Tools sowie Technologien liegen.
Regeln exakt formulierenIn einem SOC sind, unabhängig davon, ob es physikalisch oder virtuell zentralisiert wird, folgende Aufgaben zusammengefasst: Research, Monitoring, Scanning, Response und Reporting.
Sie können natürlich nur auf Basis von exakt formulierten, im Betrieb kommunizierten Sicherheitsregeln und davon abgeleiteten Prozeduren erfüllt werden.
-"Research" besteht aus der möglichst täglichen Beobachtung verschiedener Quellen mit dem Ziel, ständig auf dem aktuellen Stand der identifizierten Bugs ("Vulnerabilities") zu sein sowie zu entscheiden, inwieweit diese relevant für die eigenen Systeme sind und mit welchen Mitteln die angebotenen Lösungen umgesetzt werden müssen.
-"Monitoring" umfasst die Bewertung von sicherheitsrelevanten Alarmen und Ereignissen, deren Weitermeldung und gegebenenfalls die Initiierung einer Eskalation. Die Meldungen, die verarbeitet werden müssen, kommen unter anderem aus Netz- und Host-Intrusion-Detection-Systemen (IDS), Firewall-Events, Netz-Logfiles, Policy-Audit-Alerts und Antivirus-Alerts. Ein wesentlicher Teil des Monitoring ist die Pflicht, die genannten Quellen stets aktuell und das Volumen an Meldungen unter Kontrolle zu halten, ohne wesentliche Informationen zu unterdrücken.
-"Scanning" beinhaltet regelmäßige und möglichst automatisierte "Vulnerability Scans" und Netzwerk-Audits. Diese ständigen Aktionen können keinesfalls periodische Risiko-Assessments ersetzen, erhöhen jedoch das allgemeine Niveau und gewährleisten schnellere Reaktionen auf unvorhergesehene Risiken. Auch hier ist es wesentlich, die eingesetzten Tools ständig auf dem neuesten Stand zu halten, da sonst der betriebene Aufwand zu einer trügerischen Sicherheit führt.
-"Response and Reporting" sind der kritischste Prozess im SOC. Er beinhaltet formale Eskalations- und Reaktionsprozeduren für den Fall von Ereignissen (Incident Response Procedure). Das können Virenausbreitung, Denial-of-Service-Angriffe und Hacker-Einbrüche sein, die dazu führen, dass Systeme heruntergefahren werden müssen, Netze überlastet sind, IP-Adressen geblockt werden, Restore notwendig wird oder kriminalistische Untersuchungen eingeleitet werden müssen. Dazu ist die Definition von Rollen notwendig, damit beispielsweise entschieden werden kann, wer informiert werden muss oder wer Aktionen freigibt. Das Reporting ist natürlich auch wichtig, um die Effizienz des SOC nachzuweisen. Dazu müssen im Vorfeld entsprechende Messkriterien vereinbart worden sein. Die wichtigsten Reports enthalten eine Bewertung des Einflusses der erfassten Ereignisse auf das Geschäft sowie einen Nachweis über die erreichten Sicherheitskennzahlen und die Einhaltung von Sicherheitspolicies. Heute sind Risikoanalysen und Kennzahlen zur Sicherheit nur in Best-Practice-Organisationen zu finden, deren Mitglieder systematisch ihre entsprechenden Erfahrungen sammeln. Die Entwicklung wird in den nächsten Jahren aber auch zu Security-Service-Level-Agreements führen. Außerdem können SOCs Aufgaben in der Anwenderadministration wahrnehmen oder zumindest überwachen.
Eine wesentliche Herausforderung ist die Abwehr von Viren, Trojanern und Makroviren. Zunehmende Zentralisierung, verbunden mit erhöhter Rechenleistung und optimierten Produkten, gestatten es, die Virenabwehr in der ersten Stufe vom eigentlichen Angriffsziel, dem PC, auf eine sicherere Infrastruktur zu verlagern. Ein typisches Beispiel ist die inzwischen hohe Verbreitung von Antivirenprodukten auf E-Mail- Servern. Dies darf jedoch nicht dazu führen, das sich der Anwender in einer vermeintlichen Sicherheit wiegt. Die letztendliche Verantwortung für einen virenfreien PC hat der Anwender. Gegen Unachtsamkeit, Nachlässigkeit und Leichtsinn helfen keine Technologien, sondern nur ein stetiges internes Agieren, um das Bewusstsein für die Sicherheit beim einzelnen Anwender zu schaffen.
RZ in Domänen aufteilenDarüber hinaus ist es notwendig, ein Rechenzentrum nicht als homogenes Ganzes zu betrachten, sondern in Domänen aufzuteilen. Diese können nach verschiedensten Kriterien gebildet werden. Wesentlich ist eine Unterscheidung nach Gefährdungs- und Risikopotenzialen. So kann zum Beispiel das Ziel sein, den Entwicklungs- und Testbereich in eine eigene, auch physikalisch im Netz getrennte Domäne zu separieren, um das Wissen von Mitarbeitern im Entwicklungsbereich nicht zu unnötigen Risiken werden zu lassen. Häufig werden auch bestimmte Daten konsequent in einer eigenen Domäne zusammengefasst, um speziellen Sicherheitsanforderungen gerecht zu werden. Als klassische Beispiele sind hier Personal- und Gehaltsdaten zu nennen.
*Matthias Wehrsig ist Business-Development-Manager bei der Meta Group in München.