IT-Sicherheit: Unwissenheit lässt sich nicht patchen

Neben der Wissenslücke klafft nicht selten auch eine technische Lücke, nämlich immer dann, wenn verbindliche schriftliche Anweisungen durch die implementierte Soft- und Hardware nicht umgesetzt werden. Passwörter haben nicht die vorgeschriebene Länge oder werden nicht regelmäßig geändert. Oder Anweisungen werden einfach ungesichert per E-Mail verschickt und vorhandene Sicherheits-Patches nicht eingespielt. Ein ganzheitliches Sicherheits-Management muss also sicherstellen, dass die Lücke zwischen Richtlinien und Technik geschlossen ist. „Unsere Erfahrungen aus zahlreichen Kundenprojekten bei namhaften Unternehmen zeigen, dass sich ein Kreislauf mit vier Schritten anbietet, um einerseits einen Sicherheitsprozess aufzubauen und andererseits den Prozess lebendig zu halten“, sagt Sicherheitsexperte Weigel.

Zunächst sollten Unternehmen eine Schwachstellen-Analyse (Vulnerability Management) vornehmen, mit der sie die aktuelle Ist-Situation über alle Systeme und IT-Plattformen hinweg aufzeichnen: Wo steht das Unternehmen, wie sind Server und Netze konfiguriert, ist die Hardware abgesichert? Hierbei dreht es sich nicht nur um „klassische“ Schwachstellen im Sinne von Exploits, sondern um einen Ansatz, der sowohl Raum für das herkömmliche Schwachstellenmanagement lässt als auch Konfigurationsfehler aufdeckt. Ist diese technische Landkarte gezeichnet, lassen sich die Schwachstellen korrekt und vollständig ermitteln. Wichtig ist dabei, sich in diesem ersten Schritt nicht gleich zu übernehmen und zu glauben, dass sich alle Schwachstellen sofort beseitigen lassen. Es bietet sich daher an, eine Art Minimum-Richtlinie (Baseline) festzulegen und innerhalb eines festgelegten Zeitrahmens beispielsweise die größten zehn oder 20 Schwachstellen zu beseitigen.

Im nächsten Schritt geht es bei der Fehlererkennung (Event Detection) darum, den Umfang an sicherheitsrelevanten Vorgängen und Systemen zu überwachen, der durch die Baseline beschrieben ist. Häufig besteht die Gefahr, dass dieser Startumfang von Unternehmen zu groß gewählt wird und die Konsolen der Systemadministratoren nach wenigen Wochen, manchmal sogar Tagen, berlaufen. Und das leider nicht nur mit echten Fehlern, sondern auch mit Meldungen, die vom System als Störung erkannt wurden, aber in Wirklichkeit kein Problem darstellen – die so genannten „False Positives“. Die menschliche Folge dieses Problems: Tritt dies häufig auf, sinkt die Aufmerksamkeit der Beobachter. Es ist daher wichtig zu wissen welche Ereignisse gespeichert werden, was ein echter Fehler ist und vor allem, was nicht. Diese Fragestellungen werden im Schritt drei, dem „Event Management“, beantwortet.

Den Kreislauf schließt Schritt vier „Incident Response“, der die Fragen beantwortet, wie ein Unternehmen mit Störungen umgehen sollte und welche Maßnahmen eingeleitet werden müssen. Dazu gehört neben dem technischen Personal auch die Rechtsabteilung, die Personalabteilung, die Revision und eventuell das Controlling einzubinden, um bei einem relevanten Vorfall geeignete Schritte vorzunehmen – ganz gleich, ob der Angreifer von innen oder außen kommt. Tritt ein Angriff oder Verstoß auf, wird überprüft, ob er durch die Überwachung auf Basis der Minimum-Baseline beschrieben ist. Ist er das nicht, werden die Minimumregeln um die neu gewonnenen Erfahrungen erweitert. Durch das Vollziehen des oben beschriebenen Prozesses wächst die Baseline Schritt für Schritt auf sehr maßvolle Art und Weise und erlaubt es den Unternehmen einen durchführbaren Sicherheitsprozess zu implementieren.

Nun ist aus rein menschlicher Sicht jede Richtlinie dazu da, dass gegen sie verstoßen wird. Insofern ist innerhalb des Sicherheitsprozesses zu beschreiben wie mit Abweichungen bezogen auf die Richtlinien umgegangen werden soll. Ausnahmen sind einzuplanen und stellen dann, wenn sie eintreten, ein meist akzeptiertes und vorhergesehenes Risiko dar.