Starke Lösung gegen schwache Stellen

Der Umgang mit schützenswerten Daten gehört zum täglichen Geschäft nahezu aller Organisationen. Für die Berner IT-Dienstleisterin Bedag sind hoch sensible Informationsbestände sogar ein Kerngeschäft. In ihrem Rechenzentrum hütet sie 250 Terabyte vitaler Kundendaten. Entsprechend gut abgeriegelt präsentiert sich ihr Rechenzentrum: Es gehört zu den sichersten in Europa.

Doch die akribische Überwachung und der Schutz sensitiver Informationsbestände gegen Missbrauch ist für die Bedag nicht nur oberstes Gebot. Sie stellte die Firma auch vor wachsende Probleme. Denn mit -zunehmendem Einsatz unterschiedlichster Security-Vorrichtungen und einem immer komplexer werdenden Netzwerk kletterten Zeit- und Kostenaufwand für Beobachtung und Analyse von Sicherheitsvorfällen in nicht mehr tolerierbare Höhen.

Dario Verrengia, IT-Security-Auditor bei der Bedag, erinnert sich mit Schaudern: «Wir verwendeten für unsere Security-Scans verschiedene kleine Tools, zum Teil auch Gratisprodukte wie Nmap und Nessus», erklärt er. «Diese Insellösungen erforderten stundenlanges, manuelles Durchforsten von Sicherheitsmeldungen - von denen sich sehr viele als Fehlalarme erwiesen.»

Doch nicht nur die Häufung der «False-Positive-Alerts» bereitete dem Wirtschaftsinformatiker Probleme. Die alte Lösung erforderte auch eine ständige, manuelle Aktualisierung der Softwarestände, bot keine Automatisierungsfunktionen, konnte die gemeldeten Daten nicht grafisch aufbereiten, nahm keine Risikoeinstufung vor, erfasste die Veränderungen im Netz nicht immer und spiegelte keine Langzeithistorie, sondern nur Momentaufnahmen wider. «Und sie war ausschliesslich auf technischer Ebene nutzbar, bot keinerlei verständliche Informationen für das Management», komplettiert er die Liste der Unzulänglichkeiten.

Gründe genug für die Einführung eines modernen, effizienten Schwachstellenmanagements respektive Vulnerability Managements (VM). Dazu definierte die Bedag im Vorfeld einen umfangreichen Anforderungskatalog. Dies nicht zuletzt, weil die neue Umgebung Bestandteil der inzwischen erfolgten British-Standard-Zertifizierung nach BS7799-2:2002 war.

So wollte die Bedag alle Security-Daten zu den Informationsbeständen ihrer Kunden selbst bearbeiten können. Im Hinblick auf die British-Standard-Zertifizierung sollte überdies das Prinzip der Gewaltentrennung gelten: Der Systembetreiber darf die Systeme nicht auch gleichzeitig kontrollieren. Weitere -Anforderungen waren einfache, Browser-gestützte Bedienbarkeit, zeitunabhängige Automatisierungsfunktionen, grafisches Reporting und die Reduktion der Fehlalarme. Hohe Skalierbarkeit, stufengerechte Top-Down-Aufbereitung der Security-Daten, ein Ticketing-System und ein gutes OS-Fingerprinting zur Überwachung der Betriebssystemstände rundeten die lange Wunsch-liste ab. «Überdies war uns die Einbindung der Systemverantwortlichen wichtig», ergänzt Verrengia. «Das Tool sollte nicht nur für Revisoren oder technische Spezialisten taugen, sondern alle mit ins Boot nehmen. Das Management, das die eigentliche Verantwortung trägt, ebenso wie die Systemspezialisten.»

Mit diesem Anforderungskatalog machte sich die Bedag auf die Suche nach einem kompetenten Lösungspartner - und fand diesen in der Integralis. Diese konnte als einer der wenigen Security-Spezialisten auf dem Schweizer Markt mit einer umfassenden Expertise zum Thema VM aufwarten. Denn die Firma hatte bereits Anfang 2000 ein eigenes Vulnerability-Auditing-Team formiert und befasste sich seit 2002 intensiv mit entsprechenden Produkten.

«Integralis verschaffte uns schnell einen guten Überblick über den Markt und mögliche geeignete Produkte», erinnert sich Verrengia. «Aufgrund unseres Anforderungskatalogs kam neben Foundstone nur ein weiteres Produkt in die Auswahl. Dieses schied aber aus, weil die dort generierten Scan-Daten im amerikanischen Datacenter des Anbieters gehalten wurden und so die Bedag verlassen hätten.»

Heute verfügt die Bedag über ein VM-System, das rund um die Uhr automatisch gegen 2500 Netz-Devices überwacht und ohne weiteres Zutun des Security-Verantwortlichen Ergebnisse liefert, die, als Kennzahlen aufbereitet, managementfähig sind. Um das Prinzip der Gewaltentrennung durchzusetzen, sind drei speziell gehärtete Foundstone-1000-Appliances im Einsatz. Auf Basis dieser Plattformen kommt die Foundscan-Technologie zum Zug. Sie kann sämtliche Layer der Bedag-IT-Infrastruktur auf Schwachstellen untersuchen. Eine ausgeklügelte Angriffslogik, die im Rahmen der Simulation von Hackerangriffen eingesetzt wird, sorgt für genaue Scanergebnisse. Mit der integrierten Vulntrak-Technologie sind Sicherheitslücken von der Identifikation bis zur Behebung verfolgbar.

«Mit Integralis konnten wir eine Umgebung schaffen, die praktisch keine Wünsche offen lässt, uns Security-Verantwortlichen Arbeit abnimmt, das Netz komplett erfasst und zudem managementfähig ist», fasst Verrengia zusammen.

Die Einführung der Mitarbeiter in die Browser-basierte Lösung nahm nur rund 30 Minuten in Anspruch. Dabei wurden pro IT-Team zwei Systemverantwortliche ins Thema Schwachstellen-Management mit eingebunden. Durch die nun stufengerechte Aufbereitung der Scan-Daten werden die Informationen zum Sicherheitsstatus Empfänger-gerecht zur Verfügung gestellt: Für die Geschäftsleitung grafisch und mit den wichtigsten Risikokennzahlen pro Monat. Für die Systemadministration sehr detailliert und begleitet von technischen Anleitungen bis auf die Bit-Ebene.

«Ein wichtiger Grund für den Erfolg war auch die schrittweise Realisierung, zu der uns Integ-ralis geraten hatte», erklärt Verrengia. «Die sanfte Inbetriebnahme in kleinen Netzbereichen wurde nach fest definiertem Zeitplan um weitere Scans erweitert. Heute umfasst sie - ohne dass Systemabstürze unsere Informationsbestände gefährdet hätten - die gesamte IT-Infrastruktur. Der momentan laufenden Einbindung des zweiten Bedag-Standorts in Lausanne in die VM-Umgebung blicken deshalb alle Beteiligten zuversichtlich entgegen».

Informationen zum Unternehmen

Die Bedag wurde am 1. Februar 1990 gegründet und ist seit 1. Januar 2003 eine Aktiengesellschaft im Besitz des Kantons Bern. 2005 erzielte das Unternehmen 94.9 Millionen Schweizer Franken Umsatz. Es beschäftigt in Bern und Lausanne 400 Mitarbeiter(innen). Kunden sind öffentliche Verwaltungen wie die Kantone Bern und Waadt, verwaltungsähnliche Organisationen sowie private Unternehmen ausgewählter Branchen. Die Bedag deckt auf Basis hochsicherer Rechen-zentren die Bereiche Desktop-Services, Softwareentwicklung sowie Integrierte Lösungen ab. Die Dienstleistungen der Bedag sind nach ISO 9001:2000 und British Standard 7799-2:2002 zertifiziert. Letzteres haben in der Schweiz bisher weniger als 10 Unternehmen erhalten. Es stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar, das sich in eine Reihe anderer, internationaler Management-Systeme wie ISO 9001, ISO 14001 und ISO 20000 einfügt. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt.

Weitere Informationen

Komplettes, individuell skalier-bares Vulnerability Management.

Integrierte Kontrolle und Steuerung der Schwachstellenbeseitigung.

Sicherheits-Assessment auch für Wireless-Produkte.

OS-Fingerprinting; automatische Erkennung von Betriebssystemen und Netzkomponenten.

Ticketing; automatische Öffnung und Nachverfolgung von Cases.

Anschauliche Reports mit hohem Grafikanteil (Management-Infos auf einen Blick).

Überprüfung aller Netz-Layer.

Kundenspezifisch angepasste Web- und E-Mail-Warnfunktionen in Echtzeit.

Integration mit anderen Systemen (Datenausgabe an XML; CVE-kompatibel).

Umfassende Scan-Kontrolle mit Pause und Restore-Funktion.

Scan-Scheduler für tägliche, wöchentliche und monatliche Scans oder fortlaufende Überwachung (inklusive Festlegen von Zeitfenstern).