Security-Prüfungen stark nachgefragt
Basis ist oft die Schwachstellenanalyse
Prüfungen der IT-Sicherheit werden 2011 von Kunden bei Pallas deutlich stärker nachgefragt als im Vorjahr. Das ist sicher auch auf die sehr öffentlichkeitswirksamen Aktionen der Gruppen Anonymous und LulzSec zurückzuführen, die seit Ende 2010 Geldinstitute, namhafte Unternehmen und staatliche Organisationen angreifen. Dabei dringen sie als Hacker in Server ein oder sorgen durch Denial-of-Service-Attacken für den Ausfall von Systemen. Auch dass sie dabei meist hehre Beweggründe vorgeben, bringt sie in die Schlagzeilen.
Bisher weniger publikumswirksam, aber eigentlich viel gravierender sind die umfangreichen Hacker-Einbrüche, die McAfee im August 2011 unter dem Stichwort "Shady RAT" bekannt gemacht hat. Gravierender, weil dabei über Jahre hinweg Hintertüren offengehalten und beständig Daten abgeschöpft wurden. Mit solchen "Advanced Persistent Threats" sollen nach Aussage von McAfee, alle 2000 weltgrößten Unternehmen attackiert worden sein, ob sie es nun wissen oder nicht. Derartige großangelegte Wirtschaftskriminalität wird üblicherweise feindlichen staatlichen Stellen angelastet.
Nun gibt es bekanntlich keine hundertprozentige Sicherheit und Sicherheitsmaßnahmen werden immer teurer, je weiter sie fortschreiten und in Grenzbereiche vorstoßen. Der Einstieg (oder die Wiederaufnahme) in den Verbesserungsprozess gerade bei mittelständischen Unternehmen gelingt aber mit relativ kleinem Aufwand durch die sogenannte Schwachstellenanalyse.
Schema einer Schwachstellenanalyse
Da das schwächste Glied die Stärke der ganzen Sicherheitskette bestimmt, ist es sehr empfehlenswert, top-down vorzugehen und sich zunächst eine Übersicht über die Gesamtheit der Sicherheitsbaustellen zu verschaffen und diese dann nach Wichtigkeit zu sortieren. Durch die Konzentration auf Kernbedrohungen einerseits und die kritischen eigenen Systeme andererseits bleiben die Kosten einer Schwachstellenanalyse sehr niedrig. Ein Experte überprüft unter diesen Gesichtspunkten im Rahmen einer Begehung und Befragung exemplarisch und modular die gesamte IT-Infrastruktur, also Netzwerkkomponenten, Server- und Arbeitsplatzsysteme sowie die Umgebungsinfrastruktur. Als Ergebnis entsteht ein schriftlicher Bericht, der die ermittelten sicherheitskritischen Schwachstellen beschreibt und nach Risikoklassen bewertet. Vorgeschlagene Maßnahmen zur Behebung bzw. Verminderung der Schwachstellen in einer der Kritizität entsprechenden Priorisierung werden ebenfalls festgehalten. Der Bericht kann gleichzeitig als Handlungsleitfaden für weitere Sicherheitsmaßnahmen dienen.
Die Schwachstellenanalyse hat auch einen nicht zu unterschätzenden psychologischen und bewusstseinsbildenden Effekt. Sie nimmt der Gefahrenlage den diffusen Bedrohungscharakter und schärft den Blick für die wirklich kritischen Risiken. Und sie dient auch dazu, zwischen Geschäftsleitung und IT-Personal das gegenseitige Vertrauen zu vertiefen und die beiderseitige Verantwortlichkeit zu fördern.
Bei der stichprobenartigen Überprüfung und Befragung macht es Sinn, Checklisten nach den IT-Grundschutz-Katalogen des BSI zugrundezulegen, um trotz der exemplarischen Vorgehensweise eine möglichst vollständigen Überblick zu bekommen. Die Tiefe der Checklisten kann an die speziellen Notwendigkeiten angepasst werden.
Eine weitere Abrundung erhält die Schwachstellenanalyse durch einen Blackbox-Test. Dabei werden die von außen per Internet sichtbaren Dienste und Ressourcen der Kunden-IT-Infrastruktur untersucht. Es wird ein konservativer Scan durchgeführt, der den Betrieb nicht stört (z.B. kein Denial of Service Attacke, kein Eindringversuch). Die Ergebnisse werden aufgrund ihrer sicherheitskritischen Relevanz bewertet und Maßnahmen vorgeschlagen.
Weitere Informationen:
Pallas GmbH
Dr. Kurt Brand
Hermülheimer Str. 8a
50321 Brühl
Tel.: 02232-1896-0
Fax: 02232-1896-29
Email: information (at) pallas.de
Impressum