Von: Dr. Matthias Rosche
Unternehmen behandeln IT-Sicherheitsmaßnahmen heute vorwiegend pragmatisch: Einzelne Applikationen oder Dienste werden mit hohem technischen Anspruch abgesichert, aber ein fundiertes Sicherheitsmanagement fehlt in den meisten Fällen.
Dieser Mangel an strategischem Vorgehen fordert seinen Tribut. Aus den Nähten platzende demilitarisierte Zonen (DMZ), unterschiedliche Verschlüsselungstechniken und teilweise mehrfach redundante Managementsysteme sind der Status quo in vielen Betrieben. Problematisch ist nicht nur die zweifelhafte Wirtschaftlichkeit einer so gewachsenen Infrastruktur, sondern auch die Anfälligkeit gegen Hacker- und Virenangriffe, die sich aus dem fehlenden Überblick über die Strukturen ergibt.
Eine neue Generation von Enterprise-Resource-Planning-Systemen (ERP) führt nun zu noch stärkerer Internet-Nutzung. Produkte wie SAPs "Web Application Server" ermöglichen den Direktzugriff auf ERP-Daten aus dem Internet. Datenbestände, die auf den ersten Blick als sicherheitsrelevant einzustufen sind, verlassen damit ihre bisher abgeschotteten, ausschließlich im internen Netz angesiedelten Umgebungen. Dieser Trend der immer engeren Verknüpfung wichtiger Produktivdaten und unsicherer Netze ist nicht aufzuhalten.
Oft fehlt es an Organisation
Aus diesen Gründen sollte ein IT-Sicherheitsmanagement implementiert werden, das den Namen auch verdient: Strategisch, prozessorientiert sowie Technik und Organisation umfassend. Gerade der zuletzt genannte Aspekt wird immer wieder vernachlässigt und ist doch enorm wichtig. Bekannt ist beispielsweise der Fall eines Unternehmens, das in regelmäßigen Abständen mysteriöse Totalausfälle des Mail-Servers verzeichnete. Die Fehlersuche nahm internes und externes Personal in Beschlag und zog sich über einige Wochen hin, bis man dem Verursacher auf die Spur kam: Eine Aushilfe der Reinigungsfirma zog den Netzstecker des Mailservers heraus und schloss den des Staubsaugers an. Ein sauber strukturiertes Sicherheitskonzept hätte dafür gesorgt, dass genug Steckdosen zur Verfügung stehen, und dass alle Zutrittsberechtigten die notwendigen Verhaltensregeln kennen.
Den idealen Mittelweg finden
Ein unternehmensweites IT-Sicherheitsmanagement muss in relativ überschaubarer Zeit und mit kalkulierbarem Aufwand einzuführen sein, um nicht im Sande zu verlaufen. Grundsätzlich sollte es sich von der strategischen über die konzeptionelle bis hin zur operativen Ebene bewegen. Erstere beschreibt die übergeordnete Richtlinie und involviert das Top-Management, das Ziele und Strategien entwickelt, Verantwortlichkeiten und Kompetenzen festlegt und darüber entscheidet, inwieweit Sicherheit den freien Informationszugriff einschränken darf. Wesentlich ist hier auch die Vorbildfunktion der Unternehmensführung, die nur dann ein unternehmensweites Sicherheitsbewusstsein schaffen kann, wenn sie die geltenden Verhaltensregeln selbst einhält.
Das Management ist für die IT-Sicherheit verantwortlich und muss die entsprechenden Rahmenbedingungen schaffen. Börsennotierte Aktiengesellschaften sind durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) seit Mai 1998 gefordert, Risiken - zu denen auch der mangelhafte Schutz von Daten gehört - rechtzeitig zu erkennen. Für andere Unternehmensformen gelten ähnliche Regeln (Siehe NetworkWorld 09/01, Seite 38, "Ohne Firewall kein Kredit?").
In den konzeptionellen Bereich fallen das Risikomanagement - also die Analyse von Werten, Bedrohungen und Schwachstellen - sowie die Planung von Gegenmaßnahmen, Konzepte für den Notfall (Incident Handling und Krisenmanagement), Konfigurations- und Änderungsmanagement sowie die Ausbildung der Mitarbeiter für den Sicherheitsbereich. Diese Vorgaben dienen der operativen Ebene für die Implementierung, den Betrieb und die Wartung sowie für Monitoring und Audits.
In der heutigen Praxis beschränken sich die Sicherheitsaktivitäten in erster Linie auf die untere Ebene. Sicherheitsziele und -strategien existieren meist rudimentär, allerdings nur selten beim oberen Management und oftmals nicht wirklich ausgearbeitet und geprüft.
Eine Grobprüfung setzt die Prozesse in Gang
Sollen die existierenden, punktuellen Sicherheitslösungen unter diesen Voraussetzungen kurzfristig in einen unternehmensweiten Sicherheitsprozess eingebunden werden, empfiehlt sich in einem ersten Schritt die Konzentration auf die Konzeption: Sicherheitsziele, IT-Strukturanalyse und die Klassifizierung der IT-Werte sollten zunächst grob angegangen werden. Die genaue Ausarbeitung kann später erfolgen.
Oft liefert die grobe Prüfung bereits genügend Informationen darüber, was als erstes für die Sicherheit getan werden kann. Manchmal ergibt es sich, dass eine bereits implementierte Sicherheitslösung schon ein Notfallkonzept enthält, das Eskalation, Untersuchungen, Schutzmaßnahmen sowie die Nachbereitung beschreibt. Oder es stellt sich heraus, dass Betriebshandbücher und Handlungsanweisungen geschrieben werden müssen. Mit diesen Schritten kommt das Unternehmen seinem Sicherheitsmanagementkonzept bereits näher.
Auf anerkannte Standards setzen
Wichtig ist, dass auch die "kleinen Lösungen" einer nachvollziehbaren Methodik folgen, denn nur so lassen sie sich später unter dem Dach unternehmensweiter Sicherheitsrichtlinien zusammenfügen. Führende Gremien stellen dafür eine Reihe von Standards bereit, darunter ISO/IEC 1/SC 26/WG1, ISO/IEC TR 13335, das IT-Grundschutzhandbuch und das IT-Sicherheitshandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), BS7799 des British Standards Institut sowie ITIL des Office of Governmental Commerce.
All diese Werke folgen anerkannten Methoden, allerdings nach unterschiedlichen Prinzipien und mit verschiedenen Schwerpunkten und Detailtiefen.
Das IT-Grundschutzhandbuch und das IT-Sicherheitshandbuch vom BSI beispielweise liefern eine umfassende Beschreibung von Standard-Sicherheitsmaßnahmen. Die Kataloge sind im Baukastenprinzip aufgebaut und ermöglichen ein Vorgehen Komponente für Komponente. Für einzelne IT-Systeme ist genau beschrieben, wie sie sich sicher konfigurieren lassen und auf welche Schwachstellen zu achten ist. Auch die Prozesse, die erforderlich sind, um ein angemessenes Sicherheitsniveau zu erreichen, sind ausführlich dargestellt. Ermitteln lässt sich das Gefährdungspotenzial dabei durch einfache Soll-Ist-Vergleiche.
Das BSI-Werk ist auch bei der Überprüfung bestehender Sicherheitslösungen gut zu benutzen. Allerdings kann diese Methode in heterogenen Umgebungen mit vielen Komponenten zu einem enormen Aufwand führen. Bei Unternehmen mit hohem Schutzbedarf sind außerdem weitere Schritte erforderlich, die über den Grundschutz hinausgehen. Das BS7799/ ISO17799-Modell befasst sich im Gegensatz zu den BSI-Vorlagen primär mit dem Aufbau eines IT-Sicherheitsmanagements und seiner Verankerung in der Organisation. Es finden sich in diesem Fall keine detaillierten Umsetzungshinweise, sondern Beschreibungen der übergreifenden Anforderungen. Von Vorteil ist hier der Best-Practice-Ansatz, der im Gegensatz zum IT-Grundschutzhandbuch nicht von einer angenommenen Gefährdungslage ausgeht, sondern für jedes Sicherheitsniveau einsetzbar ist. Allerdings erfordert ein hoher Schutzbedarf auch hier Ergänzungen. BS7799 eignet sich besonders für international tätige Unternehmen, welche eine Zertifizierung anstreben. Darüber hinaus steigt der Aufwand unterproportional mit der Firmengröße.
Manche Maßnahmen eignen sich nur für Großunternehmen
Auch beim Modell nach ISO TR 13335 ist eine vollständige Umsetzung nur für mittlere und große Unternehmen sinnvoll. Bei dieser Methodik handelt es sich um einen rein generischen Ansatz ohne fixierte Lösung, der aber ein vollständiges Set an Methoden und Techniken des Sicherheitsprozesses bereitstellt. ISO TR 13335 ist äußerst flexibel einsetzbar und lässt sich leicht anpassen. Dies liegt unter anderem daran, dass hier das IT-Sicherheitsniveau erst festgelegt wird, wenn die Organisation und die Prozesse stehen. ISO TR 13335 stellt also auch ein ideales Vorgehensmodell dar, wenn bereits vorhandene Umgebungen in einen unternehmensweiten Sicherheitsmanagement-Prozess eingegliedert werden sollen. Wenig Sinn hat die ausschließliche Konzentration auf ISO TR 13335 allerdings für Unternehmen, welche eine Zertifizierung anstreben, denn diese sieht das Modell nicht vor.
In der Regel deckt keiner der genannten Standards alle Anforderungen im Unternehmen ab. Eine synergetische Nutzung ist deshalb oft die optimale Lösung. Sie setzt allerdings eine treffsichere Analyse der Anforderungen voraus. (jo)
Zur Person
Dr. Matthias Rosche
ist Leiter strategische IT-Sicherheitsberatung, Integralis GmbH, München.