cutimage - Fotolia

Eine erfolgreiche IT-Security-Lücken-Analyse erstellen

Bei einer IT-Sicherheitslücken-Analyse prüft man ein Netzwerk gegen einen Standard. So lassen sich verbesserungswürdige Bereiche herausfiltern.

Eine IT-Sicherheitslücken-Analyse (Information Security Gap Analysis) für ein Unternehmensnetzwerk zu erstellen, ist ein sehr nützliches Unterfangen. In den wenigsten Fällen wird die Aufgabe allerdings korrekt exerziert. Zunächst einmal muss sich ein Unternehmen über den Zweck im Klaren sein, damit das Ganze einen Nutzen hat. Bei einer Netzwerklücken-Analyse überprüft man ein Netzwerk gegen einen Standard, der sich bewährt hat. Ziel ist es, verbesserungswürdige Bereiche herausfiltern. Die Analyse markiert Highlights in Netzwerk-Bereichen, die mehr Aufmerksamkeit benötigen.

Eine Firma sollte eine Netzwerk-Sicherheitslücken-Analyse verwenden, um Schwachstellen in ihrem Netzwerk zu lokalisieren. Außerdem findet sie so Bereiche, in denen nachgebessert werden muss. Das Security-Team kennt die entdeckten Lücken möglicherweise bereits, vielleicht aber auch nicht. Der Prozess ist allerdings auch eine Chance, Netzwerk-Sicherheitsprobleme mit minimalem Aufwand zu entdecken und zu beheben. Zusätzlich kann man komplexere und wichtige Probleme offiziell an die Geschäftsleitung eskalieren.

Für die Durchführung einer Gap-Analyse gegen ein Netzwerk benötigt ein Unternehmen einen Benchmark. Mit Hilfe dieses Bezugswertes kann die Firmenumgebung mit einer oder mehreren Normen oder Vorschriften für das Unternehmen oder die Branche verglichen werden. Es gibt momentan viele derartige Richtlinien. Einige davon sind obligatorisch, wie der Payment Card Industry Data Security Standard (PCI DSS ) und andere sind gute Beispiele, wie man Standards und Best Practices implementiert.

Dazu gehört auch das US-amerikanische National Institute of Standards and Technology (NIST) oder der deutsche IT-Grundschutz. Nur wenige Unternehmen erfüllen alle Standards vollständig. Tauchen bei der Analyse Lücken auf, nutzt man das für die Identifizierung von Bereichen, bei denen nachgebessert werden muss. Falls die gewählten Rahmenbedingungen das Gewünschte nicht komplett abdecken, kann eine Firma andere Aspekte verschiedener Standards kombinieren, um einen ersten Benchmark zu erstellen.

Abhängig von Ihrer Branche und Ihrer Umgebung wird es jedoch schwer sein, ein Bezugssystem zu finden, dass alle Ihre Anforderungen perfekt erfüllt. Es ist völlig normal, einen Standard als Benchmark, zusammen mit anderen Steuerelementen von unterschiedlichen Benchmarks zu verwenden. Administratoren müssen sich auf ihr Urteilsvermögen verlassen, um zu entscheiden, was sie in ihrer Analyse berücksichtigen wollen. Viele Bezugswerte werden funktionieren, aber die Entscheidung bezüglich der Rahmenbedingungen liegt letztendlich bei Ihnen. Das ist ein maßgeblicher Ausgangspunkt. Ein Unternehmen sollte dennoch die Steuerelemente entsprechend der eigenen Kriterien und Geschäftsziele wählen. Das heißt nicht, dass nichts verändert werden darf, Sie sollten jedoch versuchen, die Rahmenrichtlinien vor Beginn einer Analyse so gut wie möglich fertigzustellen.

Eine Gap-Analyse lässt sich in vier Hauptbereiche unterteilen: Regelungen und Verfahren, Revision, technische Überprüfung sowie die Zusammenfassung der Ergebnisse und Prioritäten. Auf jede dieser vier Phasen gehen wir folgend separat ein.

Erster Schritt der IT-Sicherheitslücken-Analyse: Regelungen und Verfahren

Während dieser ersten Phase muss ein Unternehmen alle schriftlichen oder elektronischen Formulare überprüfen, die in einem Netzwerk gemäß seiner Netzwerk-Security-Richtlinie angewendet wurden. Veraltete Richtlinien, die ungenutzt und nicht überarbeitet auf einer Netzwerkfreigabe vor sich hindümpeln, sind obsolet. Entfernen Sie, was nicht benötigt wird, bringen Sie Aktuelles auf den neusten Stand, löschen Sie Veraltetes und fügen Sie neue Richtlinien in schriftlicher Form hinzu.

Wenn Netzwerksicherheitsrichtlinien nicht regelmäßig überprüft werden, sind sie für eine Firma absolut nutzlos. Ein offensichtliches Beispiel dafür sind Änderungen an der Firewall in Ihrem Netzwerk. Wie lauten Ihre Richtlinien, wenn es zu Modifikationen kommt? Wer darf Firewall-Änderungen in Ihrem Netzwerk durchführen und genehmigen? Das Unternehmen sollte sich der Regelungen bei einem Antrag auf Modifikationen unbedingt bewusst sein. Das Management muss den Genehmigungsprozess verstehen und die Administratoren benötigen standardisierte Arbeitsanweisungen, um die Änderungen entsprechend durchzuführen.

Zweiter Schritt der IT-Sicherheitslücken-Analyse: Revision

Die zweite Phase der Gap-Analyse ist die Revisionsprüfung. Dieser Schritt beinhaltet die Überprüfung der ausgewählten Rahmenbedingungen zusammen mit allen aktualisierten Richtlinien und Verfahren. Überprüfen Sie auch, ob das Unternehmen den eigenen Regularien folgt, indem Sie die Rahmenvorgaben entsprechend anwenden. Die Analyse betrifft nicht nur die Technik, sondern auch das Personal. Technisches Personal muss zum Beispiel die notwendigen Richtlinien kennen, wenn Sie eine Änderung an einer Firewall vornehmen. Sie müssen Sie die entsprechenden Tickets für das Änderungsmanagement einreichen und überprüfen.

Bei der Überprüfung offener Ports an einer Firewall sollte eine Firma zum Beispiel in der Lage sein, für jeden einzelnen Port alle entsprechenden Tickets zur Änderungskontrolle nachweisen zu können. Wenn ein Loch in der Firewall entsteht und es gibt keine Änderungskontrolle, dann muss diese Lücke geschlossen werden. Das gilt für sowohl für die technische, als auch für die verfahrensorientierte Seite.

Die ausgewählten Rahmenbedingungen legen fest, welche Ports offen sein sollen. Während das Netzwerk hinsichtlich der Rahmenvorgaben geprüft wird, kann eine Firma feststellen, dass ein Loch geschlossen werden muss. Lassen Sie uns bei dem Firewall-Beispiel bleiben. Wenn Port 3389 (Standard-Port für RDP) auf einer eingehenden Firewall geöffnet wurde, stellen Sie zunächst fest, wo sich die entsprechenden Änderungskontrollen für diese Modifikation befinden. Das hilft bei der Prüfung des Verfahrens. Dann gehen Sie einen Schritt weiter. Nutzen Sie die ausgewählten Rahmenbedingungen, um festzulegen, dass der für eingehende Verbindungen geöffnete Port eine Sicherheitsverletzung ist und somit gegen die Firmenstandards verstößt. Auf diese Weise koppeln Sie die Revision der Richtlinienprozedur mit den Rahmenvorgaben.

Dritter Schritt der IT-Sicherheitslücken-Analyse: Technische Überprüfung

Die dritte Phase der Gap-Analyse besteht aus einer technischen Überprüfung des Netzwerks. Dieser Abschnitt ist eng mit der Revisionsphase verbunden, stützt sich aber mehr auf die Rahmenvorgaben als auf Richtlinien und Verfahren. In der Prüfungsphase nimmt ein Unternehmen Richtlinien und Verfahren und wendet die Rahmenbedingungen darauf an. Auf diese Weise will man sicherstellen, dass den neuen Standards entsprochen wird. Bei der technischen Überprüfungsphase stellt eine Firma sicher, dass ihre technische Infrastruktur im Abgleich mit den Rahmenbedingungen auf dem neuesten Stand ist. Außerdem wird die Sicherheit der relevanten Systeme bis ins Detail überprüft. Wenden Sie die Rahmenvorgaben auf das Netzwerk an. Damit bestimmen Sie, ob alles den Standards entspricht. Die Rahmenbedingungen könnten zum Beispiel vorschreiben, dass ein IPS mit Ausgangsfilterung auf der Firewall installiert ist. In diesem Fall sollte die Firma prüfen, ob das in dieser Form korrekt ist. Wenn nicht, muss das Unternehmen Technologie einsetzen, um diese Löcher in seinem Netzwerk zu füllen.

Mit diesen Maßnahmen soll sichergestellt werden, dass die entsprechenden technischen Kontrollen vorhanden sind. Sie gehen letztendlich Hand in Hand mit einer Revisionsprüfung. Dennoch müssen die Rahmenbedingungen zuerst stimmig sein. Stellen Sie Fragen wie: Verwendet die Firma Virenschutz-Programme auf allen Servern? Gibt es Schwachstellen-Management? Benutzt sie Verschlüsselungs-Techniken auf ihren Datenbanken? Dies sind einige Beispiele für Kontrollelemente, bei denen man Rahmenvorgaben für einen Vergleich einsetzt. Dadurch bekommt ein Unternehmen Klarheit und hat die Möglichkeit zu verstehen, wie es in Bezug auf die heutigen Standards abschneidet.

Vierter Schritt der IT-Sicherheitslücken-Analyse: Zusammenfassung von Ergebnissen und Priorisierung

Die vierte Phase ist schließlich die Besprechung der Ergebnisse und die Priorisierung der neuen Aufgaben. In dieser Phase überprüft ein Unternehmen die Ergebnisse der anderen Phasen. Die gefundenen Resultate werden ausgewertet und Aufgaben zur Behebung von Lücken geordnet. Dazu gehören Treffen mit dem Management und Besprechungen mit jedem, der weitere Informationen liefern kann. Außerdem werden Schwachpunkte in Richtlinien und Verfahren angesprochen. Man diskutiert mögliche Lösungen, die sofort benötigt werden. Außerdem wird über durchführbare Techniken gesprochen, um dem aktuellen Benchmark zu entsprechen.

Alle Phasen sollten nach ihrer Priorität geordnet und durchgeführt werden. Diese Bereiche sind zu diskutieren und zu lösen, um die Lücken zu schließen. Unternehmen sollten Gap-Analysen in regelmäßigen Abständen durchführen. Damit kann sichergestellt werden, dass die Firma nicht zu schlechten Angewohnheiten zurückkehrt. Es sollte eine fortlaufende Liste der Bereiche geben, die verbessert werden müssen. Eine solche Liste kann das Audit-Team während der Prüfungen vor Ort zwischen den geplanten Gap-Analysen zusammenstellen. Wenn Ausnahmen festgestellt werden, sollten die betreffenden Bereiche in den Rahmenvorgaben überprüft werden. Das Ziel ist die konsequente Einhaltung der Rahmenbedingungen. Ein sich jährlich wiederholender Frühjahrsputz ist nicht optimal und daher unter allen Umständen zu vermeiden. Wenn diese Probleme auftreten, sollten sie sofort behoben, oder dem oberen Managements zugetragen werden.

Fazit

Denken Sie daran, dass eine Netzwerk-Sicherheitslücken-Analyse keine leichte Aufgabe ist. Es könnte längere Zeit in Anspruch nehmen, um den ausgewählten Frameworks-Standards eines Unternehmens nachzukommen. Während der Durchführung einer Analyse könnte eine Firma einige unangenehme Entdeckungen machen. Aber genau das ist der Zweck der Übung. Das ultimative Ziel ist es, ein Unternehmen vor denen zu schützen, die ihm schaden wollen. Das bedeutet Probleme vor einem potenziellen Angreifer zu finden.

Über den Autor:
Matthew Pascucci ist ein leitender Security-Techniker einer großen Einzelhandelsfirma. Dort ist er für das Anfälligkeits-Management-Programm zuständig. Er hat bereits für diverse Security-Fachzeitschriften geschrieben und bei vielen Firmen Vorträge gehalten. Weiterhin ist er bei seinem lokalen InfraGard-Ortsverband sehr engagiert. Sie können ihm via Twitter unter @matthewpascucci folgen oder seinen Blog www.frontlinesentinel.com besuchen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close