Organisation eines effektiven Systems zur Sammlung von sicherheitsrelevanten Informationen
Abgesehen von den technischen Werkzeugen, die zur Gewährleistung der Sicherheit von Informationssystemen in Unternehmen eingesetzt werden, basiert jedes Sicherheitssystem in erster Linie auf Informationen. Um sich selbst effektiv schützen zu können, muss man ausreichend mit den potentiellen Bedrohungen vertraut sein. Dazu ist es nötig, ein System zur Sammlung von sicherheitsrelevanten Informationen zu implementieren.
Informationen über den Gegner helfen bei der Entscheidungsfindung, auch im Bereich der IT-Sicherheit. Wenn ein Unternehmen schnell über neue Sicherheitslücken im Bilde ist, können die von Schwachstellen betroffene Systeme rechtzeitig angepasst werden, bevor sie von Hackern oder bösartigem Code ausgenutzt werden können. Leider werden die Zeitabstände, um auf derartige Bedrohungen zu reagieren, immer kürzer. 2001 vergingen noch Wochen zwischen dem Zeitpunkt, zu dem die von dem Wurm Code Red ausgenutzte Schwachstelle ausfindig gemacht wurde, und der weiten Verbreitung des Wurms. Ein paar Monate später benötigte Nimda für seine Verbreitung nur noch eine Stunde. Anfang letzten Jahres verkürzte sich diese Zeit mit dem Wurm Slammer auf wenige Minuten. Nun gehen Experten davon aus, dass Hacker zwischen fünf und sieben Tagen benötigen, um einen von Microsoft veröffentlichten Patch auseinander zu nehmen und sich die nötigen Informationen zur Entwicklung von bösartigem Code zu beschaffen, der die betroffene Schwachstelle ausnutzt.
Rechtzeitige Warnmeldungen
Vorzeitige Warnmeldungen ermöglichen es Ihnen, diese kurze Frist bestmöglich zu nutzen. Je früher ein Unternehmen von einer Sicherheitslücke erfährt, desto mehr Zeit bleibt für das Testen von Patches, das Ändern der Konfiguration betroffener Systeme und die Benutzerwarnung.
Für die Umsetzung müssen Unternehmen jedoch gut organisiert sein und müssen sich zuerst einen Überblick über die vorhandenen Systeme verschaffen. Dazu gehören Software, Netzwerkgeräte und Betriebssysteme. Dieser aufwändige Schritt ist notwendig, um später festlegen zu können, welche Priorität etwaigen Warnmeldungen zuzuweisen ist. Langfristig bedeutet diese "Inventur" eine Zeitersparnis. Das Dokument kann in Form einer einfachen Tabelle mit einzelnen Spalten für die unterschiedlichen Anbieter (oder Hersteller), Produktnamen und Produktversionen erstellt werden. Es ist möglicherweise auch sinnvoll, den Standort und die Wichtigkeit des jeweiligen Systems anzugeben. Abhängig von der Anzahl der aufzunehmenden Systeme sollten Sie die Liste mit einer kleinen relationalen Datenbank (wie beispielsweise Access, MySQL, 4D usw.) erstellen, da diese Datenbanken größere Flexibilität als Tabellenkalkulationsprogramme bieten. Wenn Sie Ihre Systeme auf diese Art erfassen, können Sie gleich nach Eingang einer Warnmeldung eine spezifische Suche (nach Hersteller, Produkt oder Version) durchführen und festlegen, welche Systeme vorrangig angepasst werden müssen. Zur Vereinfachung des Vorgangs können Sie diese Bewertung mit Ihren Überwachungsverfahren für Softwarelizenzen verbinden.
Bestimmung eines Agenten für sicherheitsrelevante Informationen
Unternehmen müssen einen Mitarbeiter wählen, der für alle Informationen bezüglich Sicherheitsfragen zuständig ist. Es ist dabei sehr wichtig, eindeutig eine Person für diese Aufgabe zu bestimmen und eine offizielle Anzahl von Arbeitsstunden festzulegen, die für die Betreuung des Informationssystems aufzuwenden sind. Die gewählte Person bildet den Vermittler zwischen den Informationen aus unterschiedlichen Quellen und verschiedenen IT-Teams und muss in der Lage sein, Fragen aufzuklären, z. B. welche Systeme angepasst werden müssen, wann diese Systeme angepasst werden müssen und welche Risiken damit verbunden sind. Die dafür zuständige Person sollte jederzeit einen genauen Überblick über die zuletzt erkannten Schwachstellen, Vireneausbreitungen und Hacker-Techniken haben.
Mehrfache Informationsquellen
Die benötigten Informationen stammen aus mehreren Quellen, die das Unternehmen in regelmäßigen Abständen abfragt. Dazu gehört zunächst die Mitgliedschaft bei elektronischen schwarzen Brettern, auf denen die Schwachstellen der wichtigsten Unternehmenssysteme nach Anbietern (von Virenschutz, Betriebssystem usw.) geordnet veröffentlicht werden, auch wenn nicht immer Berichte zu allen vorhandenen Schwachstellen vorliegen. Zudem gibt es offizielle Organisationen wie die verschiedenen CERTs (Computer Emergency Response Teams). Die bekannteste CERT-Organisation ist beispielsweise die University of Carnegie-Mellon. Jedes Land verfügt über eine eigene CERT-Organisation, die üblicherweise der Regierung unterstellt ist, sowie über bestimmte Internet-Dienstanbieter und Universitäten, die Informationen veröffentlichen. Die unterschiedlichen CERTs veröffentlichen ihre Warnmeldungen auf Websites und per E-Mail. Daher ist ein Abonnement dieser Dienste für die Informationserfassung äußerst sinnvoll.
Obwohl die CERTs qualitative Informationen veröffentlichen, reagieren sie nicht immer so proaktiv wie private Veröffentlichungseinrichtungen. Daher ist es auch sehr wichtig, Mailing-Listen zu Schwachstellen zu abonnieren, z. B. Bugtraq. In diesen Listen wird in der Regel sehr schnell über Schwachstellen berichtet, meistens bevor die Prüfung durch CERTs abgeschlossen ist. Dennoch werden die Sicherheitslücken durch eine Reihe von besonders kompetenten und proaktiven Experten zunächst sorgfältig überprüft und analysiert. Dieses System funktioniert bereits seit mehreren Jahren sehr erfolgreich. Sie sollten sich außerdem auf Websites für Sicherheitsinformationen informieren, die zusätzlich zu den neuesten Schwachstellen auch unterschiedliche Artikel mit Warnungen vor den neuesten Betrugstechniken oder Vireneausbreitungen enthalten.
Schließlich dürfen kommerzielle Dienstanbieter nicht außer Acht gelassen werden, die Unternehmen die Sammlung von sicherheitsrelevanten Informationen abnehmen können. Diese Dienstanbieter führen Systemprüfungen aus und senden spezifische Warnmeldungsberichte an den IT-Manager. Diese Berichte enthalten nur relevante Schwachstellen und sind besser strukturiert als andere Listen und Berichte, da sie vom Dienstanbieter neu abgefasst wurden, und basieren trotzdem auf denselben Informationsquellen, wie beispielsweise den oben angegebenen Publikationen.
Weitere Informationen:
Glossar:
CERT: Computer Emergency Response Team. Eine Organisation, die für das Sammeln und Prüfen von Informationen über IT-Vorfälle und die Ausgabe entsprechender Warnmeldungen zuständig ist.
Relationale Datenbank: Datenbank, in der Informationen als separate Einheiten gespeichert werden, die miteinander durch "Relationen" verknüpft sind. Mit diesem System können Sie Daten aufteilen, während Sie gleichzeitig weiter damit arbeiten.
