Security Monitoring 23.10.2007, 09:22 Uhr

Ein Muss für jede Firma

Security Monitoring ist unverzichtbar. Denn immer mehr Standards und Regularien machen heute diesbezüglich klare Vorgaben. Zudem hilft die Auswertung der Logdaten, die Sicherheit markant zu erhöhen - und zwar ohne Mehrausgaben.
Uwe Maurer ist Senior Consultant der Integralis Deutschland.
Wer seine IT-Security nicht im Griff hat, steht mit einem Bein im Gefängnis. Denn Gesetze und Standards machen heute klare Vorgaben zum Nachweis der IT-Sicherheit im Unternehmen. Kann die ordungsgemässe IT-Sicherheit nicht belegt werden, drohen empfindliche Strafen.
Ein guter Weg, die IT-Security und damit die Compliance zu dokumentieren, bietet Security Monitoring. Weshalb es heute auch für dieses in den verschiedenen Regularien klare Formulierungen und Vorgaben gibt.

Standards fordern Security Monitoring

Im ISO-Standard 17799 ist dem Security Monitoring ein eigenes Kapitel gewidmet. Darin werden unter anderem die Vorgaben formuliert, dass die Systeme unter Einhaltung der gesetzlichen Vorschriften zu überwachen sind und dass alle sicherheitsrelevanten Ereignisse aufgezeichnet werden müssen. Überdies wird vorgegeben, dass die Effektivität der eingesetzten Schutzmassnahmen überwacht werden muss und die geforderte Richtlinienkonformität nachzuweisen ist. Weiterhin finden sich in ISO 17799 klare Empfehlungen als Schutzmassnahmen im Bereich Security Monitoring. So wird ein Audit-Logging ebenso vorgeschlagen wie die laufende Überwachung der Systemnutzung, die Implementierung eines ausreichenden Schutzes der Log-Informationen gegen Manipulationen, die Aufzeichnung der Administrations- und Betriebsaktivitäten, die lückenlose Fehleraufzeichnung und eine Zeitsynchronisation zur besseren Auswertbarkeit.
Verbindliche Vorschriften für das Security Monitoring sind auch im Gramm-Leach-Billey Act (GLBA) aufgeführt. Das Gesetz, welches sich auf den gesamten Finanzsektor bezieht, fordert ausdrücklich die Entwicklung unternehmensweiter Sicherheitsrichtlinien zum Schutz der Vertraulichkeit von Kundendaten vor bekannten Gefährdungen und unautorisierten Zugriffen. Ähnliche Bestimmungen finden sich im Payment Card Industry Data Security Standard (PCI DSS), einem Sicherheitsstandard zur Abwicklung von Kreditkartentransaktionen (siehe auch «Kreditkartennummer ohne Reue» in Computerworld 40/2007, Seite 8). In diesem Standard, in dem die Kreditkartenindustrie klare Massnahmen zur Erhöhung der Datensicherheit beim Umgang mit Kreditkartendaten vorschreibt, sind unter Punkt zehn bis zwölf drei klare Vorgaben zum Security Monitoring aufgeführt: Alle Zugriffe auf Daten von Kreditkarteninhabern sind zu protokollieren und zu prüfen. Alle Sicherheitssysteme und -prozesse sind regelmässig zu verifizieren. Es werden umfangreiche Audit-Trails und deren tägliche Kontrolle eingefordert.
Auch im Health Insurance Portability and Accountability Act (HIPAA), einem Standard für die Gesundheitsindustrie, oder im Federal Information Security Management Act (FISMA), einem Regelwerk für staatliche Institutionen, sind klare Direktiven für ein Security Monitoring vorgegeben.
Nicht zuletzt sind Strategien für umfassendes Sicherheitsmanagement, also Security Monitoring, zwingend nötig, um in Einklang mit internatioanlen Vorschriften wie Basel II und dem Sarbanes Oxley Act (SOX) zu sein. Denn auch diese verlangen von den Firmen eine gewisse Transparenz der Informationssicherheit.
Unternehmen müssen also künftig davon ausgehen, dass immer dann, wenn betriebliche Compliance-Anforderungen zum Tragen kommen, ein funktionierendes Security Monitoring sowie der korrekte Umgang mit den Logdaten eingerichtet und auch nachgewiesen werden müssen.

Ohne Security Monitoring geht es nicht

Doch Security Monitoring ist weit mehr als ein «lästiges Übel» zur Erfüllung von Vorschriften. Es bietet dem Unternehmen vor allem klare Vorteile punkto IT-Security. So beendet sauberes Security Monitoring beispielsweise den «Blindflug», in dem sich viele Firmen befinden, weil wichtige Daten, welche die Grundlage für die Optimierung der Informationssicherheit bilden, endlich erhoben und konsolidiert, zeitnah analysiert und zudem archiviert werden.
So erhält das Unternehmen eine klare Kenntnis über die Bedrohungslage. Der trügerische Schein, die bestehenden Sicherheitskonzepte würden ausreichend greifen und es bestehe somit kein Handlungsbedarf, weicht einer auf klaren Fakten beruhenden Übersicht über die IT-Sicherheit. Getroffene -Entscheidungen werden messbar und Investitionsentscheide können aufgrund verwertbarer Kennzahlen gefällt werden.

Schaden gezielt abwenden

Die Absicherung der Assets eines Unternehmens ist unabdingbar. Sie darf aber nicht dazu führen, dass IT-Systeme in ihrer Anwendung betriebsunfähig werden. Schutzmassnahmen können daher nicht auf maximale Sicherheit hin ausgelegt werden, weshalb Restrisiken und die Gefahr von Sicherheitsvorfällen bleiben. Beeinträchtigen solche Vorfälle die Verfügbarkeit der Systeme, führt dies zu merklichen Konsequenzen in den betrieblichen Abläufen. Andererseits hinterlassen diese Events und besonders auch Angriffe ihre Spuren - oder zeichnen sich schon im -Vorfeld ab. Durch gutes Security Monitoring und schnelle Reaktion ist die IT in der Lage, die Auswirkungen solcher Sicherheitsereignisse zu verhindern, definierte Sicherheitsziele einzuhalten und möglichen Schaden abzuwenden.

Verbessertes Sicherheitsniveau

Überdies lässt sich mittels Security Monitoring das Sicherheitsniveau verbessern. IT-Sicherheit sollte nämlich immer aus einem ausgewogenen Verbund von Prävention, Überwachung und Reaktion bestehen. Werden etwa die Themen «Überwachung» und «Reaktion» vernachlässigt, muss erheblich mehr Aufwand in die Einrichtung und Konfiguration präventiver Schutzmassnahmen investiert werden. Mit Security Monitoring kann die IT-Abteilung mit den gleichen Budget- und Personalressourcen ein wesentlich höheres Sicherheitsniveau erreichen.

IT-Security muss Chefsache werden

Die IT-Sicherheit entwickelt sich immer mehr zur Chefsache und muss daher so gestaltet werden, dass sie auch tatsächlich gemanagt werden kann. Es müssen Schutzmassnahmen für die Unternehmenswerte bestimmt werden, mit deren Umsetzung die IT-Abteilung das Risiko sinnvoll, ohne Beeinträchtigung der betrieblichen Abläufe, minimieren kann. Dazu muss die Umsetzung der definierten Massnahmen kontrolliert werden. Den hierfür nötigen Überblick liefern Kennzahlen und interne Audits. Die benötigten Daten über den Ist-Zustand der IT-Umgebungen werden durch Security Monitoring ermittelt und an die übergeordneten Management-Informationssysteme übergeben. Die so identifizierten Kennzahlen dienen der Unternehmensführung unter anderem als Entscheidungsgrundlage für gezielte Investitionen in die IT-Sicherheit.
Zudem erlauben die Kennzahlen nachvollziehbare Rückschlüsse über die Situation und Entwicklung in den verschiedenen Unternehmensbereichen. Die regelmässig zu erstellenden Reports sollten daher nicht nur über Anzahl und Art der sicherheitsrelevanten Events, sondern auch über die möglichen Auswirkungen und eventuell getroffenen Gegenmassnahmen, deren Status und Effekte informieren.

Vorgaben erfüllen, Vorteile schaffen

Mit effektivem Security Monitoring als Bestandteil eines ganzheitlichen Sicherheitsmanagements sind Firmen bestens für die rechtlichen und unternehmerischen Anforderungen an ihre IT-Sicherheit gerüstet. So können sie gesetzliche Vorgaben einhalten, den unterbrechungsfreien Geschäftsbetrieb sicherstellen, Risiken initiativ minimieren, ihre bestehenden Sicherheitsumgebungen optimieren und überdies das operative Tagesgeschäft effektiver gestalten.
Logdaten-Auswertung

Tipps für ein effizientes -Security Monitoring

Diese Fragen sollte Ihr Unternehmen mit Ja -beantworten können:
- Ist die IT in der Lage, aus Logdaten verwertbare Informationen zu gewinnen?
- Kann die IT-Abteilung sicherstellen, dass sämtliche Informationen zu Sicherheitsvorfällen lückenlos generiert und auch analysiert werden, so dass Angriffe sofort erkannt und abgewehrt werden können?
- Existieren automatisierte Verfahren, um aktuelle Schwachstellen in den IT-Infrastrukturen sofort zu erkennen, zu überwachen und nötigenfalls zu beheben?
- Kann die IT-Abteilung zur Einhaltung von relevanten Compliance-Vorschriften die dazu notwendigen Audit-Überwachungsdaten zur Verfügung stellen?
Uwe Maurer



Das könnte Sie auch interessieren