In dieser Folge geht es um die Erweiterung der technischen Möglichkeiten um ein organisatorisches Konzept: Die Sicherheitsrichtlinie (Security Policy). Die technischen Schutzvorrichtungen wie z.B. Firewall, Intrusion-Detection- und Prevention-System oder Honeypot schützen vor vielen Gefahren, die sich aus der Anbindung eines Netzwerks an das Internet ergeben. Aber damit sie das richtig tun können, müssen sie auch richtig eingesetzt werden. Eine Firewall weiß nicht von sich aus, welche Pakete sie abweisen und welche sie passieren lassen soll. Dafür muss sie entsprechend konfiguriert werden. Ebenso ein IDS: Welche Pakete einen Alarm auslösen sollen und welche harmlos sind, muss definiert werden. Diese und alle weiteren sicherheitsrelevanten Maßnahmen und Entscheidungen müssen irgendwo festgelegt werden. Dieses "Irgendwo" sind die Sicherheitsrichtlinien. Kurz gesagt geht es dabei darum, verbindlich festzulegen, wie das IT-System geschützt wird und was zu tun ist, wenn seine Sicherheit gefährdet wird.

Laufende Anpassungen notwendig

Dabei ist es nicht damit getan, einmal Sicherheitsrichtlinien festzulegen. Diese müssen laufend an die sich ändernden Bedingungen in Unternehmen (z.B. Hinzukommen neuer Anforderungen) und Umfeld (z.B. Auftreten neuer Bedrohungen) angepasst werden. Dafür hat sich ein schrittweises Vorgehen, wie es in vielen Normen (z.B. ISO 13335, BS 7799,...) beschrieben wird, bewährt. Dabei wird von vier Projektphasen ausgegangen:

• (Sicherheits-)Ziele setzen,
• Risiken erkennen und minimieren ("Risikomanagement"),
• entsprechende Schutzmaßnahmen umsetzen und
• deren Wirksamkeit sicherstellen.

Ziele

Hauptziel der IT-Sicherheit ist der zuverlässige Betrieb der IT-Systeme entsprechend den Notwendigkeiten der Geschäftsprozesse. Das konkrete Ziel einer Sicherheitslösung können dabei je nach Anwendungsfall Effektivitätsziele (z.B. "maximale Sicherheit"), ergonomische Ziele (z.B. "möglichst einfache Bedienung") oder ökonomische Ziele (z.B. "minimale Anschaffungs- oder Betriebskosten") sein. Im Rahmen der Zielsetzung werden die einzelnen Ziele entsprechend ihrer Wichtigkeit bewertet, um bei sich widersprechenden Einzelzielen trotzdem ein optimales Ergebnis zu erreichen.

Risiken

Beim Risikomanagement sind die bestehenden Risiken zu analysieren, entsprechende Schutzmaßnahmen auszuwählen und deren Umsetzung entsprechend der jeweiligen Priorität zu planen. Bei der Risikoanalyse wird das zu analysierende System vom Rest der IT-Welt abgegrenzt und in Einzelkomponenten oder Gruppen davon gegliedert. Jede Komponente bzw. Gruppe wird entsprechend ihrer Bedeutung für das Unternehmen bewertet. Danach werden mögliche Bedrohungen und Schwachstellen sowie vorhandene Schutzmaßnahmen untersucht. Darauf aufbauend werden die jeweiligen Risiken und geeignete Schutzmaßnahmen ermittelt. Danach kann entschieden werden, ob ein bestehendes Risiko toleriert und als unternehmerisches Risiko getragen werden kann oder ob ein zu hohes Risiko durch Schutzmaßnahmen auf ein akzeptables Maß reduziert werden soll.

Schutzmaßnahmen

Die Schutzmaßnahmen werden in drei Kategorien unterteilt:

• Organisatorische Schutzmaßnahmen optimieren die betrieblichen Abläufe.
  Beispiele sind der Umgang mit den Zugangs- und Zugriffsrechten eines Mitarbeiters bei dessen Ausscheiden, Vertretungsregelungen beim Ausfall eines Administrators usw.
• Administrative Schutzmaßnahmen optimieren die Verwaltung der IT-Systeme.
  Beispiele sind die Administration der Firewall, die Überwachung von Intrusion-Detection- und -Prevention-Systemen oder der Umgang mit Sicherheitsupdates. Auch die Kontrolle von Umsetzung, Weiterentwicklung und Wirksamkeit der Schutzmaßnahmen gehören dazu.
• Technische Schutzmaßnahmen stellen durch den Einsatz von Hard- und Software den gewünschten Schutz her.
  Beispiele sind Firewall, IDS/IPS, Virenscanner oder Verschlüsselungssoftware.

Wirksamkeit

Um die Wirksamkeit der Schutzmaßnahmen sicherzustellen, sind diese an drei Anforderungsbereichen auszurichten, regelmäßig zu überprüfen und weiterzuentwickeln:

• Systembedingte Anforderungen, die sich z.B. aus vorhandenen Schwachstellen oder Einschränkungen ergeben.
• Interne Anforderungen, z.B. neu hinzukommende Schutzfunktionen, Änderungen in der Organisation oder ein erhöhter Wert der zu schützenden Daten.
• Externe Anforderungen, z.B. das Bekanntwerden neuer Schwachstellen oder Angriffe.

Die Überprüfung der Wirksamkeit erfolgt z.B. durch Penetrationstests der Firewall-, Intrusion-Detection- und -Prevention-Systeme oder eine Kontrolle der Umsetzung der organisatorischen Schutzmaßnahmen. Dabei erkannte Schwachstellen sind, ggf. durch eine Anpassung der Sicherheitsrichtlinien, zu beheben. Im Rahmen der Weiterentwicklung sind die sich durch neu hinzukommende Anforderungen ergebenden Schutzmaßnahmen in die Richtlinien aufzunehmen bzw. vorhandene Schutzmaßnahmen entsprechend anzupassen.

In der nächsten Folge wird die Entwicklung von Sicherheitsrichtlinien an einem Beispiel demonstriert.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Entwicklung einer Security Policy"

• About Security #53: Security Policy
• About Security #54: Security Policy – Ein Beispiel
• About Security #55: Security Policy – Ein Beispiel, 2
• About Security #56: Security Policy – Ein Beispiel, 3