Die Infiltration über die Hintertür geht oft im Meldegetöse unter

Warum IT-Sicherheit von Innen und Außen wirken muss

Wenn es um IT-Sicherheit geht, teilen Unternehmen die Welt gern in Drinnen und Draußen. Draußen, da sind das Internet und die Welt vor den Unternehmensgrenzen, wo Hacker und andere Aggressoren auf den geeigneten Moment des Zugriffs warten. Drinnen hingegen gibt es das lokale Netz, in dem nur saubere, erwünschte Datenpakete durch die Drähte fließen.

Dazwischen halten zahlreiche elektronische Schlagbäume Wache: Die Firewall kontrolliert, welche Pakete in das lokale Netz gelangen, ein Proxy-Server terminiert ein- und ausgehende Verbindungen, Anti-Virus Gateways untersuchen den Datenverkehr auf Schadsoftware und Web Application-Firewalls schützen die nach außen offene Fassade vor Angriffen. Dabei ist das Internet ist auf jedem Endgerät allgegenwärtig. Berufliche und private Nutzung sind kaum voneinander zu trennen, und HTTP ist längst nicht mehr das einzig wichtige Protokoll. Aktuelle Browser integrieren über Plug-ins zahlreiche weitere Applikationen, deren Inhalte entweder innerhalb des Browsers oder sogar bis auf die Betriebssystemebene hinunter ausführbar sind.

Gefahr hinter den eigenen Linien

Für die Sicherheitsbeauftragten im Unternehmen hat das eine enorme Wandlung der Prioritäten zur Folge. Zwar muss nach wie vor das lokale Netz an den äußeren Grenzen vor Hackern geschützt werden, doch nun können sich Angreifer über den Browser direkten Zugang in das LAN verschaffen. Die Gefahr taucht sozusagen hinter der Demarkationslinie und innerhalb der sicher geglaubten Zone auf. Selbst wenn die Firewall in der Lage ist, den Datenverkehr der Clients zu untersuchen, was oft wegen der eingesetzten Verschlüsselung nicht möglich ist, existieren zahlreiche Schwachstellen in Browsern, Protokollen, Codecs und Plug-Ins. Diese Schwachstellen lassen sich ausnutzen, die dafür verwendeten Datenpakete passieren die Firewall fast immer ungehindert.

Die Folgen sind gravierend, wie die beinahe täglichen Meldungen über Einbrüche in Computersysteme belegen. Neben den Publicity-trächtigen Angriffen auf Ziele wie Sony finden tagtäglich zahllose Attacken statt, die es zwar nicht auf die Titelseiten schaffen, für die betroffenen Unternehmen aber nicht weniger garvierende Probleme nach sich ziehen.

Unternehmen kontern diese Attacken über verschiedene Ansätze. Ein Weg ist, die Nutzung des Internets zu beschränken und weniger Anwendungen zuzulassen. Flash, Java, Silverlight – all diese aktiven Inhalte können geblockt werden, mit positiven Folgen für die IT-Sicherheit. Leider reduziert man damit auch den Nutzwert des Internets für die Mitarbeiter ganz erheblich. Und wer nicht den Browser selbst zum Tabu erklären will, was dem totalen Informationsboykott gleichkommen würde, lässt notgedrungen eine ganze Palette an Attacken zu. Durch den zunehmenden Trend, mobile Geräte in das Firmennetz einzuklinken, ist der Ansatz der Blockade ohnehin zum Scheitern verurteilt.

Bedrohungen durch neue Applikationen und Endgeräte

Nach einer Studie von IDC (http://www.idc.de/press/presse_mc_security2011.jsp) aus dem vergangenen Jahr betrachten 42 Prozent der Unternehmen die Abwehr neuer Angriffsszenarien als wichtigste Herausforderung. Die Sicherheit mobiler Endgeräte folgt mit 39 % nur knapp dahinter. Malware-Angriffe bleiben die größte Internet-Bedrohung für alle Computer-Anwender, wie Anti-Virus Hersteller Sophos vermerkt. Dazu gehören gefälschte Antiviren-Programme und Search Engine Poisoning, die heutzutage alltäglich geworden sind. Social-Media-Bedrohungen haben sich in 2011 vervielfacht, insbesondere Facebook-Nutzer sind täglich mit Sicherheits-Themen konfrontiert.

Als Folge ist mehr Sicherheitstechnik auf den Endgeräten unvermeidlich. Wo früher bestenfalls eine Anti-Virus Software für den Basisschutz sorgte, ist heute meist noch eine Personal Firewall sowie Software zum Schutz vor Datenabfluss installiert. Network Access Protection hat in bestimmten, sicherheitssensitiven Bereichen ebenfalls Fuß gefasst und selbst Verschlüsselung auf dem Endgerät ist keine exotische Maßnahme mehr. Doch ganz gleich, welche Mittel man gegen die Angreifer in die Schlacht wirft, am Ende finden diese doch einen Weg, um die Verteidigungslinien zu durchbrechen. Sicherheitsverantwortliche dürfen sich nicht der Illusion hingeben, dass genügend Einzelmaßnahmen, strategisch auf die möglichen Angriffsvektoren verteilt, ausreichenden Schutz bieten. Es gibt kein Allheilmittel, keine „Silver Bullet“, die als geniale Universallösung jede Attacke abwehrt, ohne die Nutzbarkeit für die Anwender zu beschränken.

Wie so oft, kommt es auf die Strategie im Hintergrund an, die das gesamte Sicherheitsnetz dirigiert. Sieht man sich groß angelegte Studien über Sicherheitsvorfälle wie den „2011 Data Breach Investigations Report (http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf) von Verizon an, wird klar, dass die betroffenen Unternehmen meist alle Informationen zu den laufenden Angriffen zur Verfügung hatten – sie waren nur in der Fülle der Meldungen untergegangen, wurden nicht miteinander in Verbindung gebracht oder flossen nicht in das zentrale Information Security Management-System ein. Es gibt praktisch keinen Fall, wo die Angreifer spurlos agieren konnten. Gerade in größeren Unternehmen, die IT-Sicherheit schon aus Compliance-Gründen sehr ernst nehmen, gibt es zahlreiche Sicherheitssysteme, die die Angreifer schlicht übersahen oder nicht ausschalten konnten.

Ungenutzte Werkzeuge

41% aller im Rahmen des Verizon-Berichts überprüften Sicherheitsvorfälle waren in den Log-Daten der angegriffenen Organisationen dokumentiert, doch nur in 6% der Fälle spürten die Organisationen Sicherheitsverletzungen mit ihren IT-Security-Lösungen auf. Die Autoren der Studie führen dies darauf zurück, dass viele der technischen Kontrollsysteme mangelhaft konfiguriert sind, an falscher Stelle eingesetzt oder gar nicht genutzt werden.

Kein Wunder, denn für den Sicherheitsbeauftragten oder Administrator stellt die immer komplexer werdende Landschaft von Schutzmaßnahmen ein Problem in sich selbst dar. Firewalls, IPS-Systeme, Web Application Firewalls, Anti-Virus Gateways, File-Integrity Manager – zusammen produzieren sie Tausende von Log-Einträgen pro Minute. Das kann kein menschlicher Operator auswerten, weder in Echtzeit noch nachträglich. Und so konzentrieren sich die Abwehrmaßnahmen darauf, massive und eindeutig per Dashboard erkennbare Attacken abzuwehren. Die subtile Infiltration über die Hintertür geht im Meldungsgetöse unter.

Vielen Firmen fehlt das Bewusstsein, dass die produzierten Log-Einträge ein enormes Kapital darstellen. In ihnen befindet sich ein Querschnitt aller Geschehnisse im Netz, mit Schwerpunkt auf den sicherheitsrelevanten Vorkommnissen. Wer diese Informationsquelle anzapft und für sich zu nutzen weiß, kommt der „Silver Bullet“ am nächsten. Wie immer ist in solchen Fällen viel Vorarbeit nötig. Firmen müssen wissen, welche Informationen aus welchen Bereichen des Netzwerks vorliegen, welche Abschnitte noch ohne eigene Überwachungssysteme sind und wo möglicherweise redundante Datenquellen betrieben werden.

Wissen wo Sicherheit ansetzen muss

Am Anfang jeder Sicherheitsmaßnahme steht daher eine Schutzbedarfsfeststellung: Wo sind wichtige Informationen gespeichert? Welche Applikationen müssen immer laufen? Wo sind Ausfallzeiten tolerierbar? Mit diesen Daten gerüstet, kann der IT-Administrator zusammen mit dem Sicherheitsbeauftragten beginnen, die Datenmasse aus den Log-Dateien zu bewerten und zu kanalisieren. Spezialisierte Systeme zur Log-Auswertung können dabei helfen, indem sie erstens die Formate der unterschiedlichen Log-Quellen beherrschen und vereinheitlichen und zweitens, indem sie über eigene Auswertungsmechanismen die Daten vorsortieren. Automatisierung ist der wichtigste Aspekt, wenn große Mengen an Daten erfolgreich sortiert und nach der einen, der entscheidenden Nachricht durchsucht werden sollen.

Ein spezialisiertes Tool wie zum Beispiel Tripwire Log Center kann wichtige Vorarbeiten übernehmen und die Daten für das Sicherheitspersonal aufbereiten. Dazu werden zum einen die Gesamtmenge der Informationen deutlich reduziert und zum anderen Zusammenhänge erkannt, zwischen Vorkommnissen und potenziell gefährlichen Folgen. Fehlerhafte Login-Versuche beispielsweise, die ein VPN-Gateway meldet, müssen per se keine Gefahr darstellen. Doch wenn kurz danach auch die Logging-Funktion einer Firewall auf eine neue IP-Adresse umgeleitet wird, liegt der Verdacht nahe, dass ein Angreifer versucht, seine Spuren während des Einbruchs zu verwischen. Diese beiden Vorkommnisse aus der  – im gleichen Zeitraum – auflaufenden Datenmenge miteinander in Verbindung zu setzen, könnte kein menschlicher Administrator in so kurzer Zeit schaffen.

Eine umfassende Sammlung aller anfallenden Log-Daten und Konfigurationsänderungen sorgt nicht nur für Sicherheit gegen Eindringlinge von Außen. Die Dokumentation, wer wann was an welchem Gerät geändert hat, hat auch Folgen für die organisationsinterne Kultur des Change-Managements. Selbst wenn Administratoren im Grunde immer dazu verpflichtet sind, ihre Arbeiten an Servern, Switchen, Firewalls oder Anti-Virus Gateways zu dokumentieren, sind die Aufzeichnungen oft lückenhaft. Das kann Zeitgründen oder einfach der Vergesslichkeit geschuldet sein, manchmal stehen aber auch gezielt unsaubere Vorgänge dahinter. Innentäter gehören zur am meisten gefürchteten Spezies aller Angreifer, weil sie sich gut im System auskennen und die üblichen Perimeter-Sicherheitsmaßnahmen ja bereits umgangen haben.

Innentäter abschrecken

Nachdem die Sicherheitsmaßnahme in der Regel bekannt ist, kann allein schon das Vorhandensein einer solchen Überwachung potenzielle Angreifer abschrecken. Und wenn der Ernstfall doch eintritt, erleichtern korrelierte Log-Daten die forensische Analyse enorm. Mit konsequenter Überwachung von Log- und Konfigurationsdaten sind solche Attacken aus dem Innersten des Netzwerks deutlich besser beherrschbar. Weil so ein Tool darauf ausgelegt ist, Veränderungen nach ihrer potenziellen Gefährlichkeit zu wichten und dann entsprechend zu reagieren, bekommen die richtigen Mitarbeiter in sehr kurzer Zeit eine Information, die Ihnen Handlungsmöglichkeiten gibt, noch während der Angriff erfolgt. Dies setzt natürlich voraus, dass die Organisation im Rahmen der Sicherheitsanalyse entsprechende Prozesse etabliert hat, so dass zu jeder Zeit fachkundige Mitarbeiter vor Ort sind, die auf derartige Meldungen richtig reagieren.

Doch wer in einer solchen Konstellation „nur“ den Sicherheitsgewinn sieht, verpasst andere, handfeste Vorteile. Indem die Log-Daten nicht nur gesammelt, sondern benutzt werden, profitiert der komplette Systembetrieb. Es sind mehr Informationen zu den Geräten und kritischen Anwendungen verfügbar, die im Endeffekt auch deren Stabilität verbessern. So weiß die IT-Abteilung sofort, welchen Patch-Level eine Applikation oder ein Serverbetriebssystem haben und kann bei vergessenen Patches sofort reagieren. Mehr Stabilität bedeutet auch höhere Verfügbarkeit, die heute in vielen Unternehmen abteilungsintern durch Service Level-Agreements (SLAs) garantiert und abgerechnet wird. Diese zusätzlichen Daten, die von der IT-Abteilung in bestehende CMDB-Systeme eingebunden werden können, bieten auch einen Wegweiser in punkto Cloud Computing. Ob sich die Auslagerung in die Cloud lohnt, ist vor allem eine Frage der internen Kostenstruktur sowie der Anforderungen an Verfügbarkeit und Datensicherheit. Mit den Informationen aus Log- und Konfigurationsdaten lässt sich fundiert belegen, welche Service-Level für welche Anwendungen vonnöten sind.

Log- und Konfigurationsmanagement dient folglich dazu, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht, sowohl hinsichtlich der Sicherheit, als auch darüber hinaus. Damit ist das Thema längst über den Fokus der IT-Abteilungen hinaus bei der Geschäftsführung angekommen. Schließlich haftet das Management in vielen Ländern persönlich dafür, grundsätzlich angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen.

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf

 

Über Tripwire Inc.

Tripwire ist ein führender globaler Anbieter für intelligente, automatisierte IT-Sicherheit und Compliance. Mehrere tausend Unternehmen und Behörden sichern mit den Lösungen von Tripwire ihre IT-Infrastruktur, um sensible Daten zu schützen, Compliance nachzuweisen und Ausfallzeiten bei Systemen und Services zu verhindern. Tripwire VIAist ein umfassendes Paket aus branchenführenden Lösungen für Dateiintegrität, Richtlinien-Compliance sowie Log- und Event-Management. Tripwire VIAbietet Unternehmen die Möglichkeit zum proaktiven Nachweis kontinuierlicher Compliance, zur Risikominimierung und zur Sicherung der operativen Kontrolle durch Transparenz, Intelligenz und Automatisierung.

Mit Hauptsitz in Portland, Oregon, verfügt Tripwire über Niederlassungen in 15 Ländern weltweit. Das Unternehmen wurde kürzlich vom Portland Business Journal zur Fastest Growing Private 100 List hinzugefügt und vom Oregon Business Magazine als eines der 100 besten Unternehmen in Oregon ausgezeichnet. Weitere Informationen finden Sie unter www.tripwire.com und auf Twitter: @TripwireInc.

 

Pressekontakt:

PublicWare®

Christiane Jacobs

Tel.: 089-66 077 812

Email: cjacobs@publicware.de