Netzwerkautomatisierung: Mehr Schutz für kritische Infrastrukturen

Die Versorgungssicherheit der modernen Gesellschaft ist ohne reibungslos funktionierende IT-Systeme und -Komponenten undenkbar. So können beispielsweise Störungen in den Sektoren Energie, Ernährung, Wasser, Transport und Verkehr oder Gesundheit zuweilen lebensbedrohliche Folgen für Teile der Gesellschaft nach sich ziehen. Daraus wird deutlich, dass sowohl das private als auch das öffentliche Leben vom Funktionieren kritischer Infrastrukturen abhängig ist. Wie verletzlich diese Infrastrukturen unserer modernen Gesellschaft sind, hat sich nicht nur im Falle terroristischer Anschläge und Kriege gezeigt, sondern beispielsweise auch bei der kürzlich aufgetretenen Naturkatastrophe im Ahrtal.

Kritische Infrastrukturen: KRITIS

In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt. Die Rechtsgrundlage zum Schutz dieser besonders schützenswerten Sektoren bildet die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV), die am 3. Mai 2016 in Kraft getreten ist.

Betreiber kritischer Infrastrukturen werden in der KRITIS-Verordnung verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Detailregelungen bestehen – diese Sicherheitsmaßnahmen mindestens alle zwei Jahre überprüfen zu lassen.

Mit Netzwerkautomatisierung leichter gesetzliche Vorgaben einhalten

Insbesondere Unternehmen, die zu einem der KRITIS-Sektoren gehören, müssen somit geeignete Maßnahmen ergreifen, um – wie vom Gesetzgeber gefordert – einen angemessenen Schutz der Informationstechnologie kritischer Infrastrukturen sicherzustellen. Zudem muss dafür auch ein Nachweis erbracht werden können. Doch vielen Organisationen fällt es noch immer schwer, die geforderten Vorgaben für die IT-Sicherheit umzusetzen. Hier kann ein automatisiertes Netzwerkmanagement Abhilfe schaffen.

Denn für viele Unternehmen ist es bereits ein Problem, festzustellen, ob ihr Netzwerk ordnungsgemäß geschützt ist und ob gesetzliche Standards eingehalten werden. Doch nur wenn Verantwortliche ihr Netzwerk mit allen Schwachstellen genau kennen, sind sie in der Lage, dieses auch entsprechend abzusichern.

Es kommt hinzu: Wenngleich sich viele Unternehmen an die gesetzlichen Vorgaben halten, fällt es ihnen zuweilen dennoch schwer, dies sowohl intern als auch im Falle behördlicher Prüfungen nachzuweisen. Dieser Zustand ist größtenteils auf eine veraltete Dokumentation der Netzwerkinfrastruktur zurückzuführen, da automatisierte Lösungen oftmals fehlen. Somit fehlt auch das Verständnis und der Einblick in die Netzwerk- und Sicherheitsinfrastruktur. Aber um den Erfolg von Compliance- Audits sicherzustellen und behördlichen Prüfungen standhalten zu können, ist es an der Zeit, neue Lösungen, Verfahren und Kontrollmechanismen einzuführen.

Vollständiger Überblick über das Netzwerk

Um Schwachstellen in ihrer Infrastruktur zu eliminieren, müssen sich die Sicherheitsverantwortlichen zunächst einen aktuellen und lückenlosen Überblick über das Netzwerk verschaffen. Eine manuelle Dokumentation der bestehenden Netzwerkinfrastruktur ist jedoch ein zeitaufwändiger und kostenintensiver Prozess, der zudem nur eingeschränkt Konfigurationsdaten liefert. In den meisten Unternehmen sind die Netzwerkpläne daher nie auf dem aktuellen Stand.

Fehlt es den IT-Verantwortlichen jedoch an einer aktuellen und detaillierten Sicht auf ihr Netzwerk, können sie im Falle eines Problems nicht schnell genug reagieren, um Schlimmeres zu verhindern. Dieser Zustand kann folglich ein großes Sicherheitsrisiko bergen. Eine Lösung zur Netzwerkautomatisierung ermöglicht es hingegen, sich jederzeit „just-in-time“ einen umfassenden Überblick über die gesamte Netzwerkinfrastruktur zu verschaffen – auch in Multi-Vendor- und hybriden Umgebungen (physisch / virtuell / softwaredefiniert). So lassen sich Hunderte von Hardwaremodellen und Netzwerkkomponenten wie Router, Switches, Firewalls, Load Balancer, Wireless Access Points, etc. analysieren und visualisieren. Um beispielsweise die Wege der Datenübermittlungen zu validieren und die Sicherheitslage entlang der kritischen Pfade der Anwendungen zu bewerten, können IT-Teams damit Zugrifflisten und Firewall-Richtlinien einsehen.

Übergreifende Informationsdarstellung für das Netzwerk

Sind die Informationen zur Netzwerkinfrastruktur über verschiedene Tools verteilt, ist es noch sehr viel schwieriger, sich einen vollständigen Überblick zu verschaffen. Aber auch die Erkennung von Problemen, Angriffen oder Sicherheitsverstößen im Netzwerk zu dokumentieren und umgehend darauf zu reagieren, werden bei der Nutzung unterschiedlicher Tools zu einer Herausforderung.

Netzwerkautomatisierungs-Lösungen wie NetBrain bieten ein RESTful API-Framework, das die Integration von anderen Netzwerk-Management-Lösungen wie Überwachungs-, Sicherheits-, Ticketing- und Protokollierungssystemen ermöglicht. Die Informationen aus den verschiedenen eingebundenen Tools werden unabhängig von Datenquelle, Menge oder Format auf einen gemeinsamen Nenner gebracht und können an zentraler Stelle in einer dynamischen Karte des Netzwerks visualisiert und für unternehmensweite Analysen genutzt werden.

Umfassende Dokumentation auf Knopfdruck

Eine umfassende Dokumentation ist einer der wichtigsten Schritte, um die Einhaltung der gesetzlichen Vorgaben nachzuweisen. Zur Netzwerk-Dokumentation zählen die Topologie des Netzwerks, die zugrunde liegenden Richtlinien wie Firewall-Regeln, Zugriffslisten, richtlinienbasierendes Routing aber auch Abstraktionsschichten in Software Defined Networks. Mit steigender Komplexität durch die Virtualisierung der Server und Netzwerke kann diese Aufgabe aber nicht mehr manuell bewältigt werden.

Lösungen zur Netzwerkautomatisierungen verfügen im Regelfall über tiefgehende Fähigkeiten hinsichtlich der Netzwerk-Discovery und dynamischer Maps. Damit lassen sich die Netzwerk-Topologie und das zugrundeliegende Netzwerkdesign analysieren, alle Komponenten im Netzwerk visualisieren und so ein bedarfsorientierter Netzwerkplan erstellen. IT-Verantwortliche können sich in diesem Netzwerkplan nicht nur jede beliebige Netzwerk-Komponente mit Nachbarn darstellen, sondern auch einzelnen Datenverkehr anzeigen lassen. Die detaillierten Netzwerkpläne, Bestandsberichte und Analysen des Netzwerkdesigns lassen sich jederzeit automatisiert erstellen und auf Knopfdruck aktualisieren. So müssen die Verantwortlichen Dokumentationen und Diagramme nicht mehr manuell erstellen, sie stehen jederzeit im benötigten Detailgrad auf Abruf bereit. Dadurch wird nicht nur eine umfassende Transparenz geschaffen, sondern es vereinfacht auch Compliance-Audits und erspart somit Zeit und Kosten.

Proaktiver Schutz durch Automatisierung: Compliance Checks & Change-Management

Um potenzielle Sicherheitslücken aufzudecken, müssen IT-Teams jede Konfiguration im Netzwerk analysieren. Dies geschieht üblicherweise manuell via CLI oder mit benutzerdefinierten Skripten. Die manuelle Prüfung der Konfigurationen ist jedoch sehr mühsam. Und die benutzerdefinierten Skripte beschleunigen den Prozess nur marginal, da die Skripte immer wieder angepasst werden müssen und nicht zu vernachlässigende Skripting-Kenntnisse erfordern. Eine moderne Netzwerk-Automatisierung hingegen kann jede Netzwerkkonfiguration anhand einer Reihe von vorab definierten Compliance-Regeln überprüfen:

• Sind die Gerätekennwörter verschlüsselt?
• Sind die Berechtigungen richtig gesetzt?
• Sind Zeitüberschreitungen (Time-Outs) konfiguriert?
• Werden die Standardeinstellungen der Hersteller noch genutzt?

Um diese Analyse durchzuführen, untersucht die Automatisierungslösung jede Gerätekonfiguration und sucht nach vordefinierten Regeln für jedes Gerät. Sollte ein Geräte nicht Compliance-konform arbeiten, meldet die Software das.

Auch das Schließen von Sicherheitslücken ist häufig noch ein manueller und daher sehr langsamer Prozess. Hier schafft eine Netzwerkautomatisierung ebenfalls Abhilfe, indem auch diese für die Sicherheit kritischen Prozesse schnell und zuverlässig automatisiert werden. Mit einem zusätzlichen Change-Management-Modul werden die erforderlichen Änderungen zudem ITIL-konform implementiert.

Intent-based Automation

Störungen im Netzwerkbetrieb lassen sich per-se nie ausschließen. Daher ist es vor allem im Bereich kritischer Infrastrukturen von enormer Bedeutung, Fehler im Netzwerk so schnell wie möglich zu erkennen und die Ursache des Problems zu beheben. Einen wichtigen Beitrag zur Beschleunigung dieses Prozesses leistet die sogenannte Intent-based Automation (IBA). Dabei wird die Funktionsweise des Netzwerks über Aufgaben und Absichten definiert, beispielsweise die verzögerungsfreie Übertragung der IP-Telefonie. Mit Hilfe der IBA wird proaktiv validiert, dass das Netzwerk die von ihm erwarteten Aufgaben erfüllt. Darüber hinaus werden mit diesem Ansatz Störungen erkannt, noch bevor sie sich auf das Unternehmen auswirken. Wird ein Fehler erkannt, wird sofort eine Ursachenanalyse eingeleitet, wodurch eine schnellere Behebung der entsprechenden Störung ermöglicht wird.

Resümee

Für die Betreiber kritischer Infrastrukturen ist es nach wie vor eine große Herausforderung den regulatorischen Anforderungen in puncto IT-Sicherheit zu genügen. Viele Prozesse im Bereich des Netzwerks werden vielerorten noch immer manuell erledigt, was aufseiten der IT-Teams einen hohen personellen Bedarf erfordert und die Kosten für den Netzwerkbetrieb in die Höhe treibt. Einen Ausweg bieten hier moderne Netzwerkautomatisierungslösungen, mit deren Hilfe sowohl die Dokumentation des Netzwerks mit wenigen Klicks erstellt als auch proaktiv Sicherheitslücken im Zusammenhang mit dem Unternehmensnetz begegnet werden kann. Auch die frühzeitige Identifizierung von Netzwerkfehlern sowie deren unverzügliche Behebung mit Hilfe der Intent-based Automation sind für Kritis-Unternehmen unverzichtbar, um Störungen rechtzeitig begegnen zu können und so den Vorgaben des Gesetzgebers Rechnung zu tragen. Lösungen zur Netzwerkautomatisierung leisten somit einen wichtigen Beitrag zum Schutz und dem störungsfreien Betrieb kritischer Infrastrukturen.