Abwehrstrategien

So schützen Sie Ihr IT-Netz

02.04.2009
Von Marco Preuß

Checkliste für strukturiertes Vorgehen

Doch wie packt man ein "Secure-Networking"-Vorhaben an? Eine Checkliste für Security-Verantwortliche sollte einige feste Punkte umfassen: So gehört etwa eine regelmäßige Untersuchung des aktuellen Netzsicherheits-Status zur Routine. Problematisch ist dabei vor allem, dass die vorhandenen Workstations, Server und Netzkomponenten oft zu dynamisch wachsenden Strukturen gehören, die von unterschiedlichen Abteilungen betreut werden und daher dem zentralen Security-Team nicht immer transparent sind. Neben den kompletten Netzwerk-Audits nach CobiT oder ISO 27001 empfiehlt sich von Zeit zu Zeit - besonders nach Organisationsänderungen im Unternehmen - auch ein Netzwerk-Security-Scan. Dieser findet typischerweise den tatsächlichen Perimeter des Netzwerks, Leaks (unerlaubte Internet-Zugänge), unerlaubte IP-Adressen, unerlaubte Mail-Server, aber auch unautorisierte Partnerverbindungen. Vor allem beantwortet er die Grundsatzfrage "Was gehört alles zu meinem Netzwerk?" Immer wichtiger wird auch der Bereich Wireless Services. Unabhängig davon, ob ein Unternehmen Funknetze betreibt oder nicht, sollte es regelmäßig prüfen, ob unerwünschte vorhanden und die erwünschten gesichert sind. Schließlich ist zu klären, ob oder wie unternehmenskritische Daten unbemerkt und durch betrügerisches Handeln das Unternehmen verlassen können.

Für das Vulnerability Assessment, also das gezielte Aufdecken der Schwachstellen, gibt es mehrere Vorgehensweisen: So bieten Sicherheitsexperten professionelle Einbruchsversuche an, die in Absprache mit dem Unternehmen erfolgen. Dieses Ethical Hacking wird entweder nach fest vorgegebenen Zielen betrieben, etwa dem Eindringen bis ins LAN. Oder es hat die Vorgabe, alle Einbruchsmöglichkeiten aufzuzeigen. Der Vorteil dabei: Die Ethical Hacks geschehen schadensfrei, streng vertraulich, und als Endergebnis erhält man neben der Dokumentation aller entdeckten Schwachstellen einen Lösungsansatz. Je nach Infrastruktur und Ausgangslage können auch noch gezielt Schwerpunkte gesetzt werden, etwa auf Web Application Testing oder auf die Untersuchung der Firewall-Regeln. Die Ausbaustufen, also die Testtiefe, ist dabei individuell anpassbar. So kann es für eine Firma mit vielen Außendienstlern nützlich sein, zusätzlich ein Mobile Worker Assessment vorzunehmen, bei dem unter anderem gezielt die VPN-Zugänge gecheckt werden. Haben Vorfälle stattgefunden, die grundsätzlich mit Bordmitteln hätten verhindert werden können, liegt es oft am Security Monitoring: Wer schaut wann und wie oft nach den Meldungen? Werden die umfangreichen Firewall- und IDS-Logfiles permanent überwacht und analysiert oder nur sporadisch? Gibt es entsprechende Störfallbeantwortungs-Pläne?

Handlungsoptionen

IT-Sicherheit ist komplex und kostet viel Zeit und Geld. Doch es gibt verschiedene Möglichkeiten, das Ganze überschaubar zu halten.
  • Option 1: Man beschränkt sich auf die wichtigsten Maßnahmen. Für Bereiche, die weniger kritisch sind, reicht gegebenenfalls der Abschluss einer Versicherung. Doch das ist erfahrungsgemäß riskant und nur selten empfehlenswert.

  • Option 2: Wer alle Maßnahmen selbst planen und ausführen will, sollte vorher sorgfältig die Investitionen in Tools, Personal und Training kalkulieren.

  • Option 3: Überschaubarer wird es meist durch Auslagerung (Outtasking) einzelner Aufgaben an geeignete Anbieter von Managed Security Services. Durch Skaleneffekte kann ein entsprechender Dienstleister diese Services kostengünstiger anbieten und hat in der Regel eine breitere Informationsbasis zur Verfügung. Durch die sinnvolle Bündelung einiger Aufgaben können typischerweise weitere Einsparungen erzielt werden.