IT-Sicherheit – Wissen, was die Zukunft bringt

Zukünftige Bedrohungen sind schwer vorherzusagen, dennoch ist der Blick in die Zukunft für die IT-Security entscheidend. Dabei gilt: wer aus der Vergangenheit lernt, ist für die Zukunft besser aufgestellt. Die Perimeter-Phase

Es ist noch keine zehn Jahre her, da stellten Schwachstellen in der Netzwerkinfrastruktur die Hauptbedrohungen der IT-Security dar. SYN-Flodding und Ping of Death waren zu dieser Zeit typische Angriffsformen. Hinzu kamen Viren und – allgemeiner gesprochen – Malware, die mittels Disketten und „Turnschuh“-Distribution verteilt wurden. Als Gegenmaß;nahme wurde einfach das betroffene Betriebssystem repariert (gepatcht) und neue Firmware aufgespielt, mit der die Schwachstellen behoben waren. Ein Sicherheitsbewusstsein, das Prävention und Nachhaltigkeit umfasst, war kaum vorhanden.

Heutzutage spielt das Patchen zwar immer noch eine groß;e Rolle, jedoch haben wir dazugelernt. Abwehrmaß;nahmen gegen die auf NICs und Protokolle gerichteten Angriffe sind selbstverständlicher Bestandteil standardmäß;iger Sicherheitsvorkehrungen geworden.

Die Compliance-Phase

Das Angriffsverhalten änderte sich über die Jahre, und nach der sogenannten Perimeter-Phase kam die Compliance-Phase. Plötzlich standen Anwendungen und Serversysteme im Fokus von kriminellen. Attacken auf SQL-Datenbanken, Internet-Browser und -server sowie PDF-Reader waren und sind keine Seltenheit. Und wieder wurde repariert und neu installiert. Mit neuen Technologien, wie IDS/IDP, Content-Filter mit IM&P2P-Blockern und Anti-Virus/-Spam/-Phishing/-Pharming Gateways wurde zusätzlich gegen die immer stärker wirtschaftlich motivierten Angriffe vorgegangen.

Gleichzeitig professionalisierte sich das Lager der Angreifer, so dass kompliziertere, mehrfach verschachtelte Angriffsmuster entwickelt wurden, um neue Wege in die geschützten Bereiche der Unternehmen zu finden. Ein wahres Katz-und-Maus-Spiel begann.

Es kam soweit, dass sich die europäischen Regierungen zum Handeln gezwungen fühlten. Sie erließ;en Gesetze und Regelungen zum Schutz von Unternehmen. Dabei handelt es sich um verpflichtende Anforderungen an Unternehmen, die von vielen jedoch nur zähneknirschend und mit teilweise sehr hohem Aufwand erfüllt werden. Die Einhaltung der Compliance, bestehend aus regelmäß;igen Reports und Kontrollen (IT-Audits), und das Einrichten von ISMS-Prozessen wurde in den meisten Fällen den ohnehin mit dem Tagesgeschäft überlasteten IT-Abteilungen aufgetragen. Die Folge: die Überlastung der IT-Abteilungen wurde zu einem groß;en Sicherheitsrisiko.

Die operationale Phase

Heute befinden wir uns in der operationalen Phase. Systemschwachstellen werden im Rahmen eines proaktiven Sicherheitsmanagements regelmäß;ig automatisiert geprüft und analysiert. Notwendige Korrekturen werden in ein Ticketsystem übertragen und durchgeführt. Berichte können endlich ad hoc erstellt werden, da eine kontinuierliche – dem PDCA-Regelkreis folgende Verbesserung der IT-Sicherheit erfolgt.

Denial-of-Service-of-Security-Staff

Wer schon mal in einem Firewall-Logfile mit ca. 500 MByte nach einer auffälligen Verbindung oder in einem SNMP-Log nach dem Trap des gehackten Routers gesucht hat, der weiß;, wie aufwändig und ermüdend diese Suche nach der Stecknadel im Log-Haufen ist. Hinzu kommt, dass in Zukunft immer komplexere Sicherheitssysteme eingesetzt werden. Die Menge der produzierten Log-Daten wird durch die neuen Systeme immens steigen, so dass die Verantwortlichen vor einer groß;en Herausforderung stehen werden, was die Speicherung, Überwachung und Analyse betrifft.

Ein Horrorszenario entsteht, in dem die durch unterschiedliche Systeme in unterschiedlichen Formaten gespeicherten Log-Informationen kaum in Beziehung zu bringen sind. Die Verantwortlichen müssten sich in dieser Vielfalt genau auskennen, ein groß;es Sicherheits-Know-how mitbringen und detaillierte Kenntnisse über die kritischen Geschäftsprozesse im Unternehmen vorweisen. Eine solche Aufgabe könnte nicht einmal das IT-Sicherheitspendant der bekannten Eier legenden Wollmilchsau erfüllen. Die drohende Gefahr der Zukunft wird daher der Denial-of-Service auf der Sicherheitsmannschaft (Denial-of-Service-of-Security-Staff= DoSoSS) sein.

Security Incident und Event Management Tools

Um dieser Gefahr entgegenzuwirken, sollten alle Logs in einem System im gleichen Format gespeichert werden. Auffälligkeiten sollten automatisch identifiziert und einem Sicherheitsanalysten zur Kontrolle weitergeleitet werden. Das Ziel muss sein, mit Hilfe von Security Information und Event Management (kurz SIEM) – Lösungen aus zehn Milliarden Einträgen eine überschaubare Anzahl von ca. 80-100 relevanten Ereignissen herauszufiltern. Solche Tools versprechen eine Korrelation der unterschiedlichsten Log-Dateien mit Zusammenfassungen und Filter basierend auf intelligenten, lernenden Algorithmen.

Und tatsächlich, erste Erfahrungen bei groß;en Installationen zeigen eine Reduktion der Ereignisse in der versprochenen Größ;enordnung, bei gleichzeitiger Übereinstimmung mit verbindlichen Regelungen und Gesetzen. Zudem zeigt sich auch, dass durch die Verfügbarkeit der Reports auf tatsächliche Einbrüche und Attacken schneller und effektiver reagiert werden kann. Plötzlich wird transparent, was im Netzwerk passiert, so dass Angriffe nicht mehr unbemerkt bleiben.

Die Trendermittlung von Verkehrsdaten hilft darüber hinaus, das Netzwerk besser auf zukünftige Belastungen vorzubereiten, so dass ein bisher nicht beachteter Zusatznutzen entsteht, der für sich allein betrachtet schon nahezu den Einsatz dieser Tools rechtfertigt:

Das sind doch gute Zukunftsaussichten

Und dennoch bleibt die Frage: Was folgt nach dem proaktiven Absichern aller sieben Ebenen des ISO/OSI Schichtenmodells und der Automatisierung des Sicherheitsmanagements? Die Antwort lautet: Nach den sieben Ebenen kommt die achte Ebene, der Mensch. In den letzten Jahren wurden verstärkt Sicherheitstrainings und Sensibilisierungsmaß;nahmen ergriffen, um eine positive Verhaltensänderung bei den Mitarbeitern zu erreichen. Handlungsbedarf herrscht aber weiterhin.

Wer weiterdenkt wird merken, dass es auch hier neuer Methoden bedarf, die Social Engineering entgegenwirken und ein neues Sicherheitsbewusstsein zur Folge haben.

(Autor: Rainer Rehm, (ISC)²-zertifizierter CISSP, Security Architect im Global Security Department bei Nokia Siemens Networks)