Symantec Deutschland
Symantec weltweit
Produkte & Services
Bezugsquellen
Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


© 1995-2008 Symantec Corporation.
All rights reserved.
Rechtliche Hinweise
Aktualisierte Datenschutzrichtlinien
Impressum
zurückDefaultSmall Business - Banner Artikel des Monats
 


Die Analyse der Unternehmenssicherheit: eine unterschätzte Notwendigkeit

Die Analyse der Sicherheit eines Unternehmens wird zur Notwendigkeit, sobald dieses ungeachtet seiner Größe oder Art ein IT-System über ein Netzwerk betreibt. In der Theorie ist vielen dieses Problem bewusst, die praktische Umsetzung stellt jedoch häufig ein Problem dar: Was genau zeichnet eine Sicherheitsanalyse aus?

Die auf dem Markt angebotene Palette von Diensten zur Analyse der Sicherheit in Unternehmen ist breit gefächert. Einige Anbieter analysieren Schwachstellen in Zusammenhang mit der Internet-Nutzung, andere bewerten die Risiken, denen das IT-System eines Unternehmens ausgesetzt ist, und dritte wiederum versuchen, die Sicherheitslücken Ihres Systems auszunutzen, um zu erkennen, wie widerstandsfähig Ihr System gegen Angriffsversuche ist. All diese Dienste werden unter dem Schlagwort "Sicherheitsanalyse" angeboten, aber zu sehr unterschiedlichen Preisen. Überraschend ist dies kaum, da die Dienste tatsächlich nur wenige Gemeinsamkeiten aufweisen.
Ein typisches Beispiel ist die "strukturelle" Sicherheitsanalyse. Hierbei handelt es sich um einen eher schwerfälligen Ansatz, bei dem ein Team von Sicherheitsexperten über einen Zeitraum von mehreren Wochen tätig ist. Eine Tatsache, die erklärt, warum dieses Modell bei kleineren Unternehmen eher selten zum Einsatz kommt.

Ziel dieser Sicherheitsanalyse ist es, die kritischen Ressourcen eines Unternehmens, seine Arbeitsabläufe, die Produktionswerkzeuge und IT-Systeme usw. zu analysieren. Darüber hinaus sollen die Risiken erkannt werden, denen diese Ressourcen ausgesetzt sind, und die Ergebnisse sollen den vorhandenen Sicherheitsverfahren gegenübergestellt werden. Die Komplexität dieses Modells ermöglicht eine bessere Aufteilung der Sicherheitsressourcen eines Unternehmens und soll dazu beitragen, die schlimmsten Risiken auszuschließen sowie die kritischsten Sicherheitsbereiche des Unternehmens zu schützen. Diese Art der Analyse, deren Kosten sich auf 1.500 bis 2.000 Euro pro Tag belaufen, wird basierend auf standardisierten Methoden durchgeführt. Beispiele hierfür sind der französische Dienst Mehari, der von Clusif (französische Vereinigung zum Schutz von IT-Systemen) entwickelt und verwaltet wird, sowie der in Großbritannien entwickelte und auf britischen Standards basierende Dienst CRAMM oder der von der ISACA (Information Systems Audit and Control Association) entwickelte Dienst COBIT. Vom Standpunkt eines Sicherheitspuristen aus muss eine exakte Analyseeher strukturell als technisch orientiert sein.

Gefahrenpotentiale erkennen, bevor Hacker sie nutzen

Kleine und mittelständische Unternehmen (KMU) hingegen sind mehr an Diensten interessiert, die zwar ebenfalls unter dem Begriff "Sicherheitsanalyse" angeboten werden, aber auf einem konkreteren Ansatz basieren. Darunter fällt beispielsweise die Analyse möglicher Online-Schwachstellen. Ziel ist es, alle Sicherheitslücken innerhalb eines Unternehmens zu erkennen (das IT-System wird von außen, d. h. vom Internet aus, betrachtet). Bei diesem Prozess kommen Prüfprogramme zum Einsatz, die bekanntes Angriffsverhalten nutzen, um Schwachstellen zu erkennen. Jeder einzelne Angriff wird dabei automatisch getestet (davon ausgenommen sind natürlich die Angriffe, die den Schutz der zu analysierenden Systeme aufheben). Dahinter steht die Idee, bekannte Gefahrenpotentiale von Web- und FTP-Servern sowie von anderen Anwendungen zu erkennen, bevor diese von Hackern ausgenutzt werden können. Der Vorteil dieser Tests liegt darin, dass sie schnell und kostengünstig sind und problemlos implementiert werden können (die meisten sind online verfügbar). Die Preise belaufen sich in der Regel auf etwa zwei- bis dreitausend Euro und schließen unbegrenztes Testen auf mehreren Computern über einen Zeitraum von einem Jahr ein. Nachteil: Mithilfe dieser Tests werden nur bereits bekannte Gefahrenpotentiale aufgedeckt, die relativ einfach zu erkennen sind.

Beeindruckende Ergebnisse

Bei komplexeren Gefahrenpotentialen, die nur mit wirklichem Expertenwissen erkennbar sind, kann der Penetrationstest Abhilfe schaffen. Bei diesem Test starten Sicherheitsexperten einen Angriff auf das IT-System eines Unternehmens, um zu erkennen, wie sie in das System eindringen können, und versuchen die erkannten Sicherheitslücken auszuschließen, bevor sie von echten Hackern ausgenutzt werden können. Diese Tests sind natürlich kostenintensiver als automatisierte Tests, da sie nur unter Beteiligung eines Sicherheitsexperten durchgeführt werden können. In der Regel ist ein derartiger Test in weniger als einer Woche abgeschlossen. Die Abrechnung erfolgt nach einem festen Gebührensatz (in der Regel weniger als 10.000 Euro) oder nach einem Tagessatz, der etwa dem Preis der strukturellen Analyse entspricht. Bei diesen Tests simulieren Sicherheitsexperten das Angriffsverhalten von Hackern und versuchen, anhand der ihnen zur Verfügung stehenden Informationen, Tools und Tricks in das System einzudringen. Die Ergebnisse sind häufig beeindruckend. So konnten sich in der Vergangenheit Sicherheitsexperten, die diese Art von Dienst anbieten, Zugriff auf die Gehaltsinformationen der Führungskräfte eines Unternehmens verschaffen! Die Kehrseite dieser Art der Analyse ist, dass sie nur einen begrenzten Bereich abdecken kann. Der Sicherheitsexperte dringt unter Ausnutzung mehrerer Schwachstellen über einen bestimmten Weg in das Unternehmen ein und erkennt dabei jedoch ausschließlich diese Schwachstellen. Andere Gefahrenpotentiale bleiben bis zu ihrer gezielten Aufdeckung unerkannt.

Zum Schluss sei noch eine letzte Kategorie der Sicherheitsanalyse genannt, die kleinen und mittelständischen Unternehmen häufig angeboten wird, und einen ausgereifteren Ansatz hinsichtlich der Sicherheit bietet: Die rein technische Analyse. Ähnlich der strukturellen Analyse (und zu vergleichbaren Kosten!) werden bei der technischen Analyse die Funktionen neuer Internet-Anwendungen, Teile proprietärer Software oder Server-Gruppen getestet, um sicherzustellen, dass Sicherheitsrisiken ausgeschlossen sind, bevor sie online eingesetzt werden. Hierbei handelt es sich um einen sehr technisch ausgerichteten Dienst, den die Mehrheit kleiner und mittelständischer Unternehmen nicht unbedingt benötigt. Regelmäßige, automatisierte Tests auf Gefahrenpotentiale und ein jährlicher Penetrationstest sind wahrscheinlich die beste und sicherlich die kostengünstigste Alternative für KMUs.

Links (nur in englischer Sprache):

http://www.cramm.com/
http://www.isaca.org
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI_GB.pdf


zurück zum Seitenanfang

 nach oben