In 8 Schritten zu einer Layer-basierten Sicherheitslösung

Die heutige Bedrohungslandschaft lässt es nicht länger zu, die IT-Sicherheit auf einen einzigen Security-Layer zu stützen und Security Controls nur auf den Netzwerkperimeter auszurichten. Vielmehr müssen die Organisationen dazu übergehen, so die Empfehlung der auf automatisierte Security und IT-Compliance spezialisierten Tripwire Inc., (http://www.tripwire.com/de/emea/), ihre schützenswerten Datenbestände mit einer vielschichtigen Verteidigungslösung zu umgeben.

Ursachen für Sicherheitsausfälle

Denn gibt es nur eine einzige Grenze ins Unternehmen, und dieser Schutzwall wird durchbrochen, kann der Angreifer praktisch beliebig auf sen¬sible Systeme und Daten im Netzwerk zugreifen. Richten also Organisationen ihre Security Controls auf nur einen Schutz-Layer wie den Perimeter aus, hängt möglicherweise die gesamte Sicherheit davon ab, dass diese Controls jederzeit und gegen alle Bedrohungen effektiv funktionieren. Fällt eine der Kontrollen aus, lässt sich der gesamte Security Layer umgehen. Viele Sicherheitsverletzungen sind die Folge von falsch konfigurierten Systemen, veralteten Software-Patches, unangemessenen Benutzerzugriffsberechtigungen, einem Mangel an Bewusstsein für Sicherheitsbedrohungen oder ungeeigneten Richtlinien, Verfahren und Vorgehensweisen.

Vielfach fallen Information Security Management-Systeme aus, weil einzelne Kontrollen ausfallen und keine anderen Mechanismen bestehen, um diesen Ausfall zu überwachen, zu erkennen oder zu kompensieren. Wurden diese Kontrollen isoliert voneinander entwick¬elt, bieten sie darüber hinaus keinen überlappenden Schutz und können nicht miteinander kommunizie¬ren. Ist eine Organisation nicht in der Lage, ihre Security Controls und deren Effektivität zu überwachen, bleiben Sicherheitsvorfälle oft unerkannt. Das Unternehmen weiß nicht, ob seine Kontrollen ausreichen und reagiert möglicherweise falsch auf Störungen im Firmennetz, da Quelle, Ziel und Umfang der Verletzung nicht bekannt sind.

Einen Ausweg bietet hier der Ansatz einer so genannten „Layered Security“. Sie stellt sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit der Informationen geschützt sind und es künftig bleiben. Das Layer-Konzept kann außerdem gewährleisten, dass sämtliche Security Controls integriert und auf das Management der verschie¬denen Risikograde ausgerichtet sind, die für geschäftsrelevante Informationen und Systeme bestehen.

Ansätze für eine Priorisierung

Ähnlich wie bei anderen, unternehmerischen Initiativen spielen auch bei der Implementierung eines Layer-basierten Sicherheitsprogramms die personellen und finanziellen Ressourcen eine bedeutende Rolle. In der Regel muss die Organisation zur Identifizierung und Implementierung der verschiedenen Kontrollen für die Informationssicherheit einen selektiven, Risiko-basierten Ansatz wählen und bei den tatsächlich zu schützenden Informationen ansetzen.

 

Die folgenden 8 Schritte zeigen Unternehmen einen gangbaren Weg zur Realisierung eines Risiko- und Layer-basierten Sicherheitskonzepts:

Schritt 1: Wichtige Informationen identifizieren

Man kann nur schützen, was man kennt. Dies trifft insbesondere auf den Bereich der Informationssicherheit zu. Der erste Schritt besteht daher in der Identifizierung der unternehmenskritischen Informationen und ihrer Speicherorte.

Schritt 2: Informationen kategorisieren

Nach ihrer Identifizierung müssen die Informationen entsprechend ihrer Bedeutung für die Organisation katego¬risiert werden. Die Bedeutung kann sich aus finanziellen Werten ableiten oder, wenn der Verlust der Daten den Geschäftsbetrieb oder „guten Ruf“ beeinträchtigt, auch ideeller Natur sein.

Schritt 3: Bedrohungen identifizieren

Im nächsten Schritt müssen die ver¬schiedenen Bedrohungen und Gefahrenquellen festgestellt werden, die für die identifizierten und kategorisierten Informationen bestehen. Beispielsweise stellt eine staatlich finanzierte Gefahrenquelle eine größere Bedrohung dar, als ein Gelegenheitsangreifer. Ob eine Organisation regierungsseitig unterstützte Angriffe fürchten muss, hängt von der Art ihrer Tätigkeit ab.

Schritt 4: Schwachstellen bewerten

Sind die möglichen Bedrohungen identifiziert, müssen die Schwachstellen der bestehenden Security Controls festgestellt und die Wahrscheinlichkeit ihrer Ausnutzung ermittelt werden. Eine Schwachstelle, deren Ausnutzung technisch komplex ist, ist potenziell weniger gravierend, als eine einfach zu durchbrechende Lücke.

Schritt 5: Risiken bewerten

Im Anschluss an die Bewertung der Schwachstellen lassen sich die Risiken für die Informationssicherheit ermitteln, denen eine Organisation ausgesetzt ist. Dazu werden die verschiedenen Bedrohungen, ihre Quellen, die Wahrscheinlichkeit eines tatsächli¬chen Angriffs und die Folgen einer Bedrohung für die geschüt¬zten Informationen untersucht. Anschließend können die Risiken anhand ihrer potenziellen Folgen für die Organisation klassifiziert werden. Mit diesem Vorgehen können Organisationen dann priorisieren, welche Risiken zusätzliche Security Controls erfordern, um einen besseren Schutz von Informationen und Systemen zu gewährleisten.

Schritt 6: Security Controls identifizieren

Jetzt können die konkreten Security Controls bestimmt werden, die eine Organisation für die einzelnen Layer benötigt. So wird sichergestellt, dass jedes Risiko auf einem für das Unternehmen akzeptablen Niveau ist. Am Beginn steht die Identifizierung jener Kontrollen, die die am höchsten bewerteten Risiken adressieren. Dieser Identifizierungsprozess sollte bei den Kontrollen auf dem Information-Layer ansetzen und von dort zu den Kontrollen der verschie¬denen äußeren Layer verlaufen. Neben der Implementierung technischer Kontrollen müssen Organisationen sicherstellen, dass angemessene Richtlinien, Verfahren und Vorgehensweisen bestehen und eingehalten werden. Hierfür ist möglicherweise eine Schulung des Personals erforderlich.

Schritt 7: Kontrollen implementieren

Nun können die Kontrollen implementiert werden. Dabei sollte auf einen Layer- Ansatz zurückgegriffen werden, so dass die Organisation erfährt, wenn eine Kontrolle versagt und deren Ausfall durch eine andere Kontrolle kompensiert werden kann. Die Controls müssen im Zuge der Implementierung getestet werden. So wird sichergestellt, dass sie wie geplant funktionieren und tatsächlich dem Risiko entgegen¬wirken, für das sie vorgesehen sind.

Schritt 8: Kontinuierliches Monitoring

Mit der Zeit wandeln sich die geschäftlichen Anforderungen: Dem Netzwerk werden neue Systeme hinzugefügt und die eingesetzten Technologien für die Systeme ändern sich bzw. werden regelmäßig aktualisiert. Entsprechend ist auch das Risiko-basierte Sicherheitskonzept als kontinuierlicher Prozess zu verstehen, der sich mit dem Unternehmen weiterentwickelt. Die einmal implementierten Security Controls dienen bei kontinuierlichem Monitoring als dynamische, wertvolle Sicherheitskomponenten, mit deren Hilfe das Unternehmen aus Fehlern lernen und evtl. Schwachstellen beseitigen kann, so dass die sensitiven Informationsbestände der Organisation auch bei veränderten geschäftlichen Anforderungen geschützt sind.