Intrusion Detection: Zu viele Informationen

Doch allen enthusiastischen Ankündigungen zum Trotz stellen diese Systeme bei weitem kein Wundermittel für die Sicherheit von Unternehmen dar.

Tatsächlich sind die zweifellos nützlichen Intrusion Detection-Systeme (IDSs) in ihren Einsatzmöglichkeiten äußerst beschränkt. Außerdem gestaltet sich ihre Integration viel schwieriger, als es auf den ersten Blick scheinen mag.

Zunächst einmal sollte man sich klarmachen, was ein IDS eigentlich ist. Kurz gesagt handelt es sich um Software-Pakete, zum Teil in Kombination mit spezieller Hardware, die den Traffic in Ihrem Unternehmen überwachen. Gewöhnlich ist das IDS auf einem Server mit einer Netzwerkkarte installiert, die in der Lage ist, sämtlichen Traffic, und nicht nur den eingehenden, zu lesen. Außerdem ist die Karte mit einem Core Switch verbunden, der den gesamten Traffic auf den das IDS ausführenden Server kopiert.

Schon allein das Setup und Starten der Intrusion Detection-Software kann sich als mühselig erweisen. Üblicherweise beauftragen Unternehmen externe Fachleute mit dieser Aufgabe. Es gibt allerdings auch ein Open-Source-IDS mit dem Namen Snort und sogar eine Anwendung, um dieses von SourceFire aus auszuführen. Mit diesen Lösungen können Sie ein Intrusion Detection-System einrichten bzw. optimieren.

Doch was dann? Das Problem mit Intrusion Detection-Systemen ist, dass man genau festlegen muss, wonach diese suchen sollen, was gar nicht so einfach ist. So stellten wir beispielsweise kürzlich in einem IDS-Test fest, dass die Intrusion Detection-Software eine Reihe von PING-Befehlen als potenzielle Attacken wertete. Dabei handelte es sich ganz einfach um unsere APC-Geräte für unterbrechungsfreie Stromversorgung, die die Netzwerkkonnektivität prüften. An sich kein Problem, allerdings muss in einem großen Unternehmen zumindest ein Mitarbeiter darüber informiert sein, dass die angegebenen IP-Adressen von notwendigen Komponenten belegt sind und dass der entsprechende Traffic ganz normal ist. An diesem Punkt könnte man das IDS anweisen, diesen Traffic zu ignorieren.

Übertragen Sie nun diesen Vorgang auf alle Bereiche und alle Belange und alle Benutzer, die auf Ihr Unternehmensnetzwerk zugreifen bzw. zum Zugriff berechtigt sind. Selbst in einem Netzwerk mittlerer Größe bedeutet dies bereits unzählige IP-Adressen, über die jeweils ein Mitarbeiter Bescheid wissen muss. Dazu kommen dann noch weitere Gefahren, die über den gewöhnlichen Traffic der meisten Netzwerke hinausgehen. So könnten zum Beispiel einige Ihrer Benutzer auf Websites zugreifen, die Skripting verwenden, was eventuell ein Sicherheitsproblem darstellen kann.

Darüber hinaus könnten Sie in Ihrem Netzwerk Traffic aus Instant Messaging-Anwendungen vorfinden. Viele Unternehmen verfügen über Richtlinien, die festlegen, wer Instant Messaging benutzen kann, welche IM-Programme erlaubt sind und welche Art von Gesprächen geführt werden kann. Grund für diese Einschränkungen ist die Tatsache, dass über IM zahlreiche Würmer und Viren in ein System gelangen. Außerdem steht IM im Verdacht, häufig für „Informationslecks“ verantwortlich zu sein.

Wenn aber Ihr Intrusion Detection-System den IM-Traffic überprüft, muss zumindest ein Mitarbeiter wissen, wer zur Nutzung von IM berechtigt ist und welche Gespräche erlaubt sind. Genauso muss bei einer Suche nach unbefugten Benutzern im Netzwerk bekannt sein, wer die berechtigten Benutzer sind.

Das hört sich nun so an, als ob zum Betreiben eines Intrusion Detection-Systems eine enorme Expertise erforderlich sei – und genauso ist es auch. Und zwar nicht die Art von Expertise, die sich in eine Software eingeben lässt, so dass diese selbstständig arbeitet. Obwohl Sie natürlich einen Großteil der üblichen Aktivitäten im Voraus festlegen können (wie z. B. besagte Warnungen zu Stromversorgungsgeräten), müssen dennoch regelmäßige Evaluierungen durch Personen durchgeführt werden, die Ihr Netzwerk, Ihr Unternehmen und Ihre Sicherheitsanforderungen kennen. Ein Aufgabe, die Sie nur schwerlich extern erledigen lassen können.

Der Vorteil eines IDS besteht darin, dass es sich tatsächlich für die Sicherheit Ihres Unternehmens als ausschlaggebend erweisen kann. Allerdings sind die damit verbundenen personellen Anforderungen so hoch, dass die Implementierung eines IDS weder schnell noch einfach und auch nicht unbedingt kostengünstig ist.