Security extra Mit Controls gegen Risiken - heise online · SAP GRC. Solche Produkte inte-grieren...

Werkzeuge für GRC –kurz für Governance,

Risk Management und Compli-ance – erheben den Anspruch,bei der Erfüllung der Anforde-rungen aus all diesen Berei-chen zu helfen. Diese Art vonSoftware wurde in den vergan-genen Jahren populär, nach-dem Ereignisse wie der Enron-Skandal oder die Finanzkrise2008 eine Anpassung recht -licher Vorschriften für Unter-nehmen in vielen Bereichennach sich zogen. Regulierungenwie SOX (Sarbanes-Oxley Act)oder die MaRisk (Mindestanfor-derungen an das Risikomanage- ment) entstanden neu oderwurden verschärft.

Tools unterstützen

GRC-Tools sollen Anwenderun-ternehmen dabei unterstützen,diese Vorgaben zu erfüllen, also„compliant“ zu sein. Sie sollenaber auch helfen, Risiken in Un-ternehmen besser zu kennenund sie gezielt zu reduzieren.Denn nur Risiken, die mankennt, kann man angehen. Undnur, wenn man den aktuellenStatus kennt, kann man gezieltreagieren.

GRC ist immer noch ein ver-gleichsweise junges Marktseg-ment. Unternehmen haben sichgerade in der ersten Zeit nachdem Inkrafttreten der neuen Re-gulierungen häufig noch mitExcel-Tabellen und anderen An-sätzen beholfen. Daher be-schränkte sich der Anspruchmancher Anbieter auch zu-nächst lediglich darauf, das„bessere Excel“ zu bieten unddie zu erfüllenden Vorgaben undihren Status zentral zu verwal-ten. Inzwischen ist der Markt je-doch deutlich breiter gewordenund die Werkzeuge sind sehrviel leistungsfähiger.

Das Grundprinzip von GRC-Produkten besteht aber weiter-hin darin, sogenannte Controlszu definieren. Ein Control ist einSteuerungselement, das die zuüberwachenden Parametersowie den Umgang mit ihnenfestlegt. Grundsätzlich unter-scheidet man zwischen manuel-len und automatischen Controls.Manuelle Steuerungselementewerden von definierten Verant-wortlichen von Hand zu defi-nierten Zeitpunkten gepflegt,während automatische Controlsihre Informationen direkt von IT-Systemen erhalten.

I

Mit Controlsgegen RisikenGovernance, Risk Management, Compliance

GRC ist in den letzten Jahren für viele Unternehmen zueinem Muss geworden. Doch potenziellen Anwendernsei geraten, erst genau zu klären, um welche Risiken siesich in welcher Weise kümmern wollen. Dabei stellt sichmeist schnell heraus, dass ein Tool alleine ohnehin nichtausreicht – es geht zunächst um Organisation undProzesse.

Securityextra

Tools für Complianceund Sicherheits -managementGovernance, Risk Management, Compliance

Mit Controls gegen Risiken Seite I

Der Umgang mit dem Unberechenbaren

IT-Notfallmanagement Seite VI

Security Information and Event Management

Zentrale Sammelstelle Seite X

Vorschau

Networking/HostingWhite Label Hosting – der deutsche Reseller-Markt Seite XIII

Veranstaltungen5. März, HannoverCeBIT Security Konferenz 2012 www.heise.de/events/2012/cebit_security_konferenz

17.ˇ–ˇ20. April, MünchenEuropean Identity Conference www.id-conf.com

24.ˇ–ˇ26. April, LondonInfosecurity Europe www.infosec.co.uk/

iX extra

Security zum Nachschlagen:

www.heise.de/ix/extra/security.shtml

Ein

Ver

lags

bei

heft

er d

er H

eise

Zei

tsch

rifte

n Ve

rlag

Gm

bH

& C

o. K

G

sponsored by:

Security

Extra

In der Praxis hat sich ein Mixaus beiden Arten bewährt. Auto-matische Controls sind typi-scherweise aktueller und – beirichtiger Konfiguration – kor-rekt. Allerdings lassen sich nichtalle Controls automatisieren, daAnwender oft auch manuelle Ri-sikoeinschätzungen und andereFaktoren erfassen müssen. DasManko manueller Controls istihre häufig mangelnde Aktuali-tät und die Gefahr, dass dieAussagen der Verantwortlichennicht ehrlich sind. Gerade beierkannten Risiken besteht auchdie Gefahr, dass sie vertuschtwerden sollen.

VordefinierteHilfestellungenInnerhalb des breiten Spek-trums von GRC-Produkten las-sen sich mehrere Kategorienunterscheiden. Auf der oberstenEbene stehen Produkte, die vonihren Anbietern häufig als „En-terprise GRC“-Lösungen ver-kauft werden. Eher angebrachtwäre aber der Begriff „BusinessGRC“, weil sie die Perspektiveder Business-Bereiche berück-sichtigen und IT-Risiken sowiederen operationelle und strate-gische Gefahren dabei oft weit-gehend ausblenden. Es geht

also gar nicht um das gesamteUnternehmen, sondern nur umeinen Teil davon.

Diese Lösungen bieten in-zwischen immer häufiger dieMöglichkeit, die Controls derbekannten Regulative einzule-sen, sowie sogenannte „Con-trols Frameworks“, also eta -blierte Rahmenwerke, in denenwichtige Steuerungselementevordefiniert sind. Zu diesen Ver-ordnungen zählen Vorgaben wie

SOX, das BDSG (Bundesdaten-schutzgesetz) und viele andere.Bei den Controls Frameworksist beispielsweise CoBIT zu nen-nen. Viele der Hersteller habeninzwischen Online-Communitieseingerichtet, in denen Anwenderihre eigenen Controls Frame-works austauschen können.

Auf der Ebene darunter finden sich unterschiedlicheGruppen von Werkzeugen.Dazu zählen spezielle Lösungeninsbesondere für OperationalRisk Management, also für dieErmittlung und Überwachungspezifischer operationeller Risi-ken, wie sie beispielsweise inder Finanzindustrie, beim Wert-papierhandel oder bei Versiche-rungen typisch sind.

Eine zweite Gruppe von Pro-dukten sind die CCM-Lösungen(Continuous Controls Monito-ring). Sie überwachen definierteControls in Systemen. Ein Bei-spiel ist der ständige Vergleichder Daten von Wareneingängenund Auftragsdaten – wennWaren eingehen, bevor der Auf-trag erstellt wird, geht offen-sichtlich etwas schief. CCM-Systeme helfen dabei, solcheSituationen auch über System-grenzen hinweg zu erkennen.

Auch integrierte, aber sys-temspezifische Lösungen sindauf dieser mittleren Ebene ein-zuordnen – das bekanntesteBeispiel in diesem Segment ist

SAP GRC. Solche Produkte inte-grieren verschiedene früher ge-trennte Funktionen mit Prozess-,Risiko- und den systemspezifi-schen Controls für Zugriffsbe-rechtigungen.

Organisation,Prozesse, ToolsSchließlich gibt es unterschied-liche Lösungen, die Informatio-nen für automatisierte Controlszuliefern können, respektive –oft ohne die explizite Definitionsolcher Controls – für die Ein-haltung von regulatorischen undinternen Vorgaben in bestimm-ten Teilbereichen benötigt wer-den. Dazu zählt insbesondereder Bereich Access Governance,bei dem es um die Kontrolle undauch das Management von kor-rekten Zugriffsberechtigungengeht. Aber auch SIEM-Produkte,IT-Service-Management-Syste-me und andere Produkte tragenzu einer vollständigen GRC-Lö-sung bei.

Schon die Vielschichtigkeitdes Marktes und die dahinterstehenden Konzepte – bei-spielsweise Controls –, die vielengesetzlichen und aufsichtsbe-hördlichen Vorgaben und die un-terschiedlichen Controls Frame-works machen deutlich, dassvor der Einführung von Tools an-dere Aufgaben stehen. Es gehtinsbesondere darum festzule-

Security

II iX extra 3/2012

Bevor ein Unternehmen GRC-Werkzeuge einsetzt, sollte es sich darüber im Klaren sein, welcheProzesse und Bereiche betroffen sind (Abb.ˇ1).

GRC bezeichnet unternehmerische Handlungsebenen zur erfolgrei-chen Führung eines Unternehmens.

Governance:ˇGrundsätze der Unternehmensführung. Die Geschäfts-führung oder Leitung legt die Ziele der Organisation fest. Sie definiertdie zu ihrer Erreichung anzuwendenden Methodiken und plant diedafür notwendigen Ressourcen. Dabei achtet sie besonders auf denWertbeitrag jeder Geschäftseinheit zum gemeinsamen Erfolg, bei-spielsweise der IT mittels der Definition des Teilzieles IT-Governance.

Risk:ˇManagement von bekannten und unbekannten Risiken, die dasErreichen der Unternehmensziele gefährden. Das Ziel ist die Bereit-stellung von Strategien zur Risikoauseinandersetzung. Dazu erfasstdas Risikomanagement/der Risikomanager die Risiken, klassifiziertsie und verabschiedet Methoden zur Risikobehandlung. Durch dieAnwendung einer Risikomanagementmethodik werden außerdem vor-handene Restrisiken für die Führungsebenen transparent und von derOrganisation überwacht.

Compliance:ˇVerpflichtung der Organisationen zur Einhaltung voninternen und externen Regularien für die Bereitstellung und Verarbei-tung von Informationen. Ziel der Regularien ist es, den Wert der Infor-mationen zu erhalten, indem man Datenschutz-, Sicherheits- undIdentitätsverstößen vorbeugt. Von besonderer Bedeutung ist dabei dieInformationstechnik, da sie heute einen bedeutenden Beitrag zurInformationsverarbeitung leistet.

Was bedeutet eigentlich GRC?

….auch beim Einsatz externer Medien.

ESET scannt auf Wunsch alle USB-Sticks und Festplatten,

Speicherkarten sowie DVDs und CDs. Sie können außer-

dem Wechselmedien auf Grundlage der Art des Mediums,

des Herstellers, der Speichergröße und weiteren Kriterien

blockieren lassen.

Innere Sicherheit für Ihren PC ...

Besuchen Sie uns

auf der CeBIT 2012

Halle 12

Stand C66

ANTIVIRUS | ANTISPY WARE | FIREWALL | ANTISPAM | KINDER SICHERUNG

INTERNET SECURITY 2012

W W W.ESET.DE

Extra

gen, wer sich um welche Con-trols kümmern muss. Dazu istes erforderlich, ein eigenes Con-trols Framework, das aus unter-schiedlichen Regulationen undanderen Vorgaben resultiert, zudefinieren. Dies aber setzt vor -aus, dass Verantwortlichkeitenin der Organisation feststehen.In den meisten Fällen müssenauch neue Rollen und Organisa-tionseinheiten definiert werden –oft gibt es einen Chief Risk Of-ficer (CRO) oder Chief Compli -ance Officer (CCO) als Ergebnis.

Viele Unternehmen machendabei den fundamentalen Fehler,diesen Schritt ausschließlich auseiner abgehobenen Business-Perspektive vorzunehmen. DieKonsequenz ist, dass sie dannhäufig auf Produkte setzen, diefast ausschließlich auf manuel-len Controls basieren, und dassdie IT-Governance völlig isoliertbetrachtet wird. Man kann fürerfolgreiche GRC-Initiativen abernicht zwischen Business und ITtrennen; die Organisation mussebenso ganzheitlich betrachtetwerden wie die spätere Einfüh-rung von Werkzeugen.

Diese Erkenntnis setzt sichlangsam auch im Markt durch.Dies belegten in den vergange-nen Monaten gleich zwei großeÜbernahmen von Business-GRC-Anbietern: RSA Securitykaufte Archer und einige Mona-te später IBM OpenPages, einender Marktführer im BereichBusiness GRC. Beide Hersteller

verfolgen eine Strategie, in derverschiedene Ebenen der GRC-Infrastruktur enger miteinanderverzahnt werden. Andere Anbie-ter verfolgen eine Strategie, dieeine einfache Einbindung vonIT-Informationen als automati-sierte Controls erlaubt.

Innerhalb des Business-GRC-Segments gibt es dabei er-hebliche Unterschiede in Aus-richtung und Funktionsumfangvon Produkten, sodass auchhier eine genaue Spezifikationder Anforderungen und Analyseder Hersteller vor einer Ent-

scheidung erforderlich ist. Inden verschiedenen IT-Gover-nance-Feldern wie der AccessGovernance gibt es wiederumeine kaum überschaubare Zahlvon Anbietern, teilweise mitFokus auf IT-GRC insgesamtoder spezialisiert auf bestimm-te Funktionen wie die AccessGovernance.

GRC richtig gemacht

Es empfiehlt sich in diesemkomplexen Umfeld unbedingt,zunächst eine Gesamtsicht auf

das Thema GRC zu definieren,bevor man die einzelnen Teil -aspekte isoliert angeht. AufDauer geht es darum, die Managementperspektive mit Dash boards, wie sie Business-GRC-Lösungen bieten, mit dendarunterliegenden, sehr viel stär-ker operationalen Ebenen eng zuverzahnen – und zwar sowohlorganisatorisch als auch auf derSeite der Werkzeuge. Dies wirdam besten gelingen, wenn An-wenderunternehmen von Beginnan mit einem Gesamtbild vonGRC im Unternehmen arbeitenund daraus definierte Teilprojek-te mit klar definierten Schnitt-stellen bilden. Insbesonderegilt es auch, auf die unsinnigeTrennung zwischen einem Busi ness-GRC und dem IT-GRCvon Anfang an zu verzichten.

Das ist nicht zuletzt deshalbsinnvoll, weil die Konzepte mitder Definition von Controls, derIdentifikation und Bewertungvon Risiken, den grundlegendenProzessen und erforderlichenorganisatorischen Strukturenimmer gleich sind, unabhängigdavon, auf welchen Teil des Un-ternehmens die Herausforde-rungen von GRC zugeschnittenwerden sollen. (sf/ur)

Martin Kuppingerist Analyst und Gründer von

KuppingerCole.

Security

IV iX extra 3/2012

ANBIETER VON GRC-PRODUKTENHersteller Produkt WebsiteAgiliance RiskVision OpenGRC www.agiliance.com/productsApprova Continuous Controls Monitoring www.approva.netBWise GRC Platform www.bwise.com/solutions-services/grc-platformC1 Solutions GRC www.c1-solutions.com/c1/loesung/grc.htmCA GRC Manager www.ca.comCrossIdeas Ideas www.engiweb.com/CrossIdeasCura Software GRC Platform www.curasoftware.comeGestalt SecureGRC www.egestalt.com/governance-risk-and-compliance.htmlIBM Tivoli Compliance Insight www-01.ibm.com/software/at/itsolutions/securityLixto GRC Suite www.lixto.com/?page_id=2427&lang=deMEGA GRC www.mega.com/en/c/solution/p/grcMetricStream GRC www.metricstream.comModulo Risk Manager www.modulo.com/risk-managerNogacom NogaLogic www.nogacom.com/german/solutions/GRC.htmlOpenText GRC-Suite www.opentext.de/3/global/productsOracle Fusion GRC www.oracle.com/de/solutions/corporate-governanceSAP GRC www.sap.com/germany/solutions/business-analytics/

governance-risk-and-compliance.epxSAS Enterprise GRC www.sas.com/software/governance-risk-complianceSoftware AG ARIS www.softwareag.com/de/solutions/grc/overviewThomson Reuters Enterprise GRC accelus.thomsonreuters.com/solutions/enterprise-grc

Die Übersicht erhebt keinen Anspruch auf Vollständigkeit.

Wie in so vielen Bereichen bedarf es bei GRC keiner einmaligen Einrichtung und Durchführung,sondern einer ständigen Beobachtung und gegebenenfalls Anpassung (Abb.ˇ2).

Netzwerke sind keine statischen Infrastrukturen,sie ändern sich ständig, abhängig von denAnforderungen, die an sie gestellt werden, vonVorkommnissen, denen sie unterworfen sind undvom Wachstum eines Unternehmens. Dement -sprechend flexibel muss sich auch die Sicherheiteines Netzwerks gestalten. Sie sollte einfach zuinstallieren sein, Bedrohungen sofort abwehren,Risiken verwalten und Richtlinien durchsetzen und das mit möglichst geringem Aufwand.

Die McAfee® Network Security Platform kombiniertdiese Fähigkeiten in einem Sicherheitspaket. Alle ansNetz angeschlossenen Geräte werden mit einer Kombi-nation aus Intrusion Prevention und interner Firewallgeschützt. Dadurch bildet sich ein überlappender, inte-grierter Schutz, der die Verteidigungsfunktion der Fire-wall auf das interne Netzwerk ausweitet. Mit einer Leis-tung von mehreren Gigabit werden Signaturen ebensokorreliert wie Anomalien und Information über Denial-of-Service- und Distributed-Denail-of-Service-Angriffe,damit diese abgewehrt werden können, noch bevor sieihr Ziel erreichen.

Unternehmensweiter SchutzMcAfee Network Security Platform durchsucht über

100 Protokolle und bietet die Möglichkeit, mehr als 3.000qualitativ hochwertige Signaturen mit mehrfachen Attri-buten zu prüfen. Standard-Richtlinien können innerhalbweniger Minuten eingerichtet und über eine zentrale,Browser-basierte Konsole effizient verwaltet und aktuali-siert werden. Diese Konsole, McAfee ePolicy Orchestra-tor® (ePO™) ermöglicht einen Echtzeit-Überblick überDetailangaben zum System-Host wie z.B. Patch-Status,Details zum Schutzstatus undüber Host IPS- sowie Viren- undSpyware-Schutzvorfälle. Darüberhinaus kann der Anwender Da -ten aus verschiedenen Tools fil-tern und erfassen, um maßge-schneiderte Reports zu erstellen. Damit lassen sich Risi-ken besser einschätzen. Daneben hilft McAfee ePolicy Or-chestrator dabei, Systeme vor Risiken abzuschirmen,während Patches validiert und aufgespielt werden.

Alles unter KontrolleMit McAfee Network Security Platform kann der

Netzwerkverkehr kontrolliert und für einzelne Netz-werksegmente, eine Gruppe von Hosts oder auch nurein einzelnes System eigene Richtlinien und Schutzmaß-nahmen festgelegt werden. Der Administrator kannselbst bestimmen, wann Patches aufgespielt werden.Auch die Umsetzung von Richtlinien kann nach den An-forderungen des Unternehmens gestaltet werden. Aufdiese Weise liegt die Kontrolle ganz in Ihren Händen.

Bedrohungsanalyse aus der CloudBedrohungen werden durch McAfee Global Threat

Intelligence (GTI) erkannt. Hier handelt es sich um

einen umfassenden Cloud-basierten Dienst zur Bedro-hungsanalyse. Er schützt ein Netzwerk 24 Stunden amTag in Echtzeit. Seit neuestem ist auch die Abschir-

mung gegen Botnets in McAfeeNetwork Security Platform inte-griert. Grundlage sind 60 Millio-nen bekannte Malware-Samplessowie die Reputationsanalyseeines Vielfachen an Internet -

verbindungen auf Basis von mehr als zwei MilliardenIP-Kontakten pro Monat. So werden Bedrohungenschneller und treffender erkannt und der Schutz effektiver.

VirtualisierungUnternehmen konsolidieren zunehmen ihre Rechen-

zentren, verlagern IT-Services in die Cloud und virtuali-sieren ihre zentralen Infrastrukturen. Deshalb muss dieSicherheit ihrer physischen und virtuellen Systemumge-bungen übergreifend sein. Die Sensoren der McAfeeNetwork Security Platform überwachen den Datenver-kehr virtueller Maschinen und Rechenzentren. Die Plat-form registriert hier sowohl den Traffic innerhalb sol-cher Konstellationen als auch zwischen virtuellen undphysischen Umgebungen.

Für weitere Informationen besuchen Sie uns auf derCeBIT 2012 in Halle 12, Stand C50 oder unterhttp://mcaf.ee/lt14a

Anzeige

Netzwerksicherheit aus einer Hand

Notfallmanagement um-fasst die Vorsorge mit Prä-

ventivmaßnahmen sowie diePlanung der Bewältigung einesNotfalls mit der Wiederherstel-lung von Geschäftsprozessenund Systemen. Vereinfacht aus-gedrückt, werden die unterneh-menswichtigen Prozesse analy-siert, Schwachstellen dabei aufgedeckt und Verfahren füralle denkbaren Formen des IT-Ausfalls definiert. Vielfachtaucht in der Literatur in diesemZusammenhang auch der engli-sche Begriff der „Business-Im-pact-Analyse“ auf, der identi-sche Sachverhalte beschreibt.

Auf der Suche nach Informa-tionen zu unternehmensweitemNotfallmanagement ist dasBundesamt für Sicherheit in derInformationstechnik – kurz BSI– eine unverzichtbare Adresse.Es bietet Informationen, Toolkitsund Notfallhandbücher, und dasweitgehend zum Nulltarif. DieIT-Grundschutz-Kataloge desAmts dokumentieren auch fürden Notfall Standard-Sicher-heitsmaßnahmen aus den Be-reichen Organisation, Personal,Infrastruktur und Technik, diebei normalen Sicherheitsanfor-derungen zur Absicherung vontypischen Geschäftsprozessen

und Informationsnetzen sinnvollund notwendig sind.

BSI: Standard zur RisikoanalyseDie BSI-Standards und nunauch der „BSI-Standardˇ100-4Notfallmanagement“ bieteneine gute Basis, um die Organi-sationsstrukturen von KMU undgroßen Unternehmen auf Kri-senzeiten vorzubereiten. Dar -über hinaus arbeiten auch diemeisten professionellen Notfall-management-Dienstleister nachdiesen Richtlinien, da es sichum eine Sammlung bewährterPraktiken handelt. Vor diesemHintergrund hat das BSI einenStandard zur Geschäftsfort -führung basierend auf den IT-Grundschutz-Katalogen erarbei-tet. Diese Vorgehensweise emp-fiehlt sich, wenn Unternehmenoder Behörden bereits erfolg-reich mit den IT-Grundschutz-maßnahmen arbeiten.

Die darin beschriebenenProzesse umfassen die Notfall-vorsorge, -bewältigung und die -nachsorge. Dabei hält sich der Grundschutz streng an die

Security

iX extra 3/2012

IT-NotfallmanagementDer Umgang mit dem Unberechenbaren

Es muss nicht gleich die große Katastrophe in Form eines Komplettausfalls durchBrand, Hochwasser oder Stromausfall sein. Auch kleinere Notfälle wie ein einzelnerServercrash oder die Insolvenz eines Dienstleisters können schon zu erheblichenStörungen im Betriebsablauf führen und hohe Kosten verursachen. Mehr Sicherheit vor derartigen Überraschungen versprechen Notfallmanagement-Systeme, dieAusfallchaos durch organisiertes Vorgehen ersetzen.

Das Prozessmodell zum Notfallmanagement nachBSI-Standard 100-4beschreibt alle notwendigenSchritte, um Notfällen in der IT wirkungsvoll zubegegnen (Abb.ˇ1).

��

��

��

��

��

�� !��

Quel

le: B

SI

SSL-Zertifikate

www.psw.netbereits ab 15 E pro Jahr

Vertrauen Sie auf über

JahreErfahrung

ix0312_000_mit_Anz.indd 128 21.02.2012 10:47:32 Uhr

internationalen Standards (BS 25999) und ISO-Normenwie ISO 27 001. Kern des Vor-gehens ist die Durchführungeiner Business-Impact-Analyse.Diese steht am Anfang der Be-trachtung und erfasst alle kriti-schen Geschäftsprozesse undRessourcen. Das Ergebnis die-ser Analyse bildet die Basis fürden Wiederanlauf des Geschäfts-oder Produk tionsbetriebes nachNotfällen. Hierbei ermitteln dieVerantwortlichen alle zur Pro-zessbeschreibung notwendigenDaten und legen die Prioritätenfür den Wiederanlauf bezie-hungsweise die Fortführungdes normalen technischen Be-triebs fest.

Webkurs zum EinstiegEinen einfachen Einstieg in dieThematik IT-Notfallmanagementim Unternehmen bietet der On-line-Kurs „Notfallmanagement“des BSI. Auch wenn sich die In-formationen in erster Linie anKMU und Großunternehmenrichten, ist die Vorgehensweisebei allen Schadensfällen unab-hängig von der Unternehmens-größe ähnlich. Nach der soge-nannten Initiierung – die mitdem Aufbau der organisatori-schen Voraussetzungen fürNotfallmanagement-Prozessegleichzusetzen ist – folgen

Konzeption, Umsetzung desNotfallvorsorgekonzepts, dieeigentliche Notfallbewältigung,Tests sowie Übungen und zumSchluss die ständige Anpassungund Verbesserung des Notfall-Systems (Abb. 1).

Auf eine einfache Formel gebracht besteht ein Notfall -konzept aus einem –ˇNotfallvorsorgekonzept fürden präventiven Schutz gegenNotfälle und deren Auswirkun-gen und–ˇeinem Notfallhandbuch mitHandlungsanleitungen für Not-fälle und Krisen.

Das Notfallvorsorgekonzeptkann beispielsweise bei einemFreiberufler oder Einmannunter-nehmen ganz einfach nur auseiner Virenschutzlösung mitDatensicherung bestehen. DieAnleitungen im Notfallhandbuchpassen in diesem Beispiel viel-leicht sogar auf einen Wasch-zettel und enthalten im ein-fachsten Fall lediglich die

Security

Bei der Business-Impact-Analyse werden alle

kritischen Geschäftsprozesseund Ressourcen erfasst und

daraus Notfallvorsorge -konzept und Notfallhand -

bücher konzipiert (Abb.ˇ2).

��

��

��

��

��

��

�� !��

"�� #��$��#��

!�� "��

Quel

le: B

SI


® securing

the digital worldTMsoftware security

Software Security Digital Media Protection 2-Factor Authentication MARX Software Security GmbH www.marx.comD-85104 Wackerstein +49(0)8403/9295-0 [email protected]

Ein Labyrinth an Lizenzklauseln schützt Ihre Software nicht - dafür gibt´s die CRYPTO-BOX®

0D14Feb12sa(iX-advert)

CeBIT 2012

Halle 12 - Stand C36

Telefonnummer eines Dienst-leisters, der bei Rechnerausfalldas entsprechende Ersatzsys-tem anschließt oder die Daten -sicherung zurückspielt.

Im Falle eines KMU oder Un-ternehmen mit angebundenerProduktion sind die Prozesse allerdings komplexer, und dassowohl im Bereich Vorsorge alsauch was die Beschreibung not-wendiger Handlungsanleitungenangeht. Das Prinzip der Vorge-hensweise ist jedoch weitge-hend identisch.

Software für dasNotfallmanagementJe nach Unternehmensgrößeund Vernetzungsgrad der Pro-zesse kann die Fülle an Infor-mationen schnell Ausmaße annehmen, die sich ohne ent-sprechende Softwareunterstüt-zung kaum noch überblickenlässt. Um Gefährdungen zuidentifizieren, die zu einer Un-terbrechung der Geschäftspro-zesse führen können, bietetsich zum Beginn eines Notfall -ma nage menteinführungs pro-jekts eine Risikoanalyse an.Diese lässt sich mit demGSTOOL des BSI durchführen.Bei der Software handelt es sichum ein Hilfsmittel für erfahreneAnwender der IT-Grundschutz-Kataloge. Das Toolkit ist im Prin-zip eine Datenbankanwendungzur Erstellung von Sicherheits-konzepten nach den Richtliniendes IT-Grundschutzes.

Experten, die sich mit denProzessen und Verfahren derGrundschutz-Kataloge ausken-

Der BSI-Standard 100-4 zum Notfallmanagementbaut auf den anderen BSI-Standards zur Informati-onssicherheit und Risikoanalyse auf. Das Notfall -management ist jedoch grundsätzlich als ein eigen-ständiger Prozess (Abb. 1) gleichberechtigt nebenInformationssicherheitsmanagement und Risiko -management in der Organisation zu etablieren.

Sowohl bei der Einführung als auch bei der Auf-rechterhaltung können GRC-Tools unterstützen. Not-fallmanagement ist einer der wesentlichen Treibervon GRC in den letzten Jahren, da die regulatori-schen Anforderungen und die Governance-Ausrich-tung der Unternehmen immer mehr eine Robustheitder Organisationen gegenüber Ereignissen fordern,die ihre Ziele gefährden.

In der Initiierungsphase definiert die Leitung, welcheAufgaben und Kompetenzen das Notfallmanagementumfassen soll. Dazu legt sie den Geltungsbereich fest,die organisatorischen Voraussetzungen wie Bildungdes Krisenstabes und Benennung seiner Mitgliedersowie die Schnittstellen der Zusammenarbeit mitanderen Managementsystemen wie Qualitäts-, Infor-mationssicherheits- und Risikomanagement. Fernererfolgt eine Betrachtung der rechtlichen Anforderun-gen und sonstigen Vorgaben (Compliance).

In der darauf folgenden Konzeptionsphase erstelltdas Projektteam unter Beteiligung der Fachabteilun-gen die beiden wesentlichen Bestandteile des Not-fallkonzepts: das Notfallvorsorgekonzept und dasNotfallhandbuch. Da sich dieses eng an denGeschäftszielen der Organisation orientieren soll,erhebt die Organisation in der sogenannten Busi-ness-Impact-Analyse (BIA) die notwendigen Infor-mationen zu sämtlichen Geschäftsprozessen sowieFunktionen und analysiert sie. Die Qualität dieserAnalyse ist entscheidend für die Wirksamkeit derspäteren Notfallplanung.

Nachdem die Verantwortlichen an die BIA anschlie-ßend Kontinuitätsstrategien entwickelt haben,erstellt nun das Notfallmanagement das Notfallvor-sorgekonzept. Es enthält hauptsächlich Maßnahmenund Aktivitäten, die vorbeugend umgesetzt werdensollten, um die Eintrittswahrscheinlichkeit einesSchadens zu verringern. Außerdem Vorbereitungs-

maßnahmen, die ein rasches Reagieren auf einSchadensereignis erlauben. Hinweise zum Aufbauund Inhalt enthält der BSI-Standard 100-4.

Ein Restrisiko bleibt bestehenNach seiner Erstellung müssen die Verantwortlichendafür sorgen, dass das Notfallvorsorgekonzept ver-teilt, umgesetzt und aktualisiert wird. Einer derletzten Schritte im Einführungsprozess ist dann nochdie Auseinandersetzung mit dem „Unbekannten“.Nicht alle Risiken lassen sich durch Vorsorge auf einerträgliches Maß reduzieren. Deshalb muss das Not-fallmanagement sich auf Notfall- und Krisenbewälti-gung vorbereiten. Dazu etabliert es für den Ernstfalleine Vorgehensweise für das Krisenmanagement.

Im Wesentlichen überlegen die Projektmitgliederund Know-how-Träger Szenarien, die eintretenkönnen. Dazu gehören etwa Fälle höherer Gewaltwie Naturereignisse und gewalttätige HandlungenDritter oder auch Anschläge sowie deren Androhung.Ferner benötigt die Bewältigung derartiger Szena-rien eine Aufbau- und Ablauforganisation. BeideTeile muss das Notfallmanagement im Notfallhand-buch beschreiben und mit den notwenigen Ressour-cen ausstatten.

Um sicherzustellen, dass die beschriebenen Abläufeund auch die Aufbauorganisation funktionstüchtigsind, muss das Notfallmanagement regelmäßig Testsund Übungen durchführen. Durch die Auswertunggewinnt die Organisation wesentliche Hinweise zumStand der Dinge und zur Verbesserung der Notfall-strategien.

Nachdem zur Etablierung des Notfallmanagementsein Projekt durchgeführt wurde und das Projektteamalle Schritte einmal durchlaufen hat, muss es dieErgebnisse später in einen Managementprozessüberführen. Die Aufrechterhaltung und kontinuier -liche Weiterentwicklung ist eine große Herausfor -derung und das Management der Organisation sollte den Stand der Dinge im Rahmen eines Berichts wesens regelmäßig überprüfen. Teilweisekann man in diesem Zusammenhang Kennzahlenverwenden, an denen ein Fortschritt zu erkennen ist.

Ronny Frankenstein

Umsetzung eines IT-Notfallmanagements

Security


Extra

nen, finden darin ein wertvollesToolkit. Einsteiger in die Materiedürften es trotz guter Dokumen-tation schwer haben, direktdamit zu arbeiten. Die Softwaregibt es in der Versionˇ4.7 beimBSI als 30-Tage-Testversion.Danach fallen je nach Lizen-zumfang Lizenzkosten zwischen900 und 23ˇ000ˇEuro an.

Im Oktober 2011 stellten dieverantwortlichen Entwicklernach über zwei Jahren Entwick-lungszeit die neue Versionˇ5.0des GSTOOL auf der IT-Security-Messe in Nürnberg vor. Das neuewebbasierte Tool bietet platt-formunabhängiges Arbeiten. Aktuell sind jedoch noch keineInformationen oder Webclientsdafür auf den Seiten des BSI ver-fügbar. Wie das Bundesamt fürSicherheit in der Informations-technik uns auf Nachfrage mit-teilte, sollen die aktualisiertenInfos und Downloads zum Tool- kitˇ5.0 jedoch bis März oder spä-testens April 2012 online sein.

Auf dem Markt gibt es au-ßerdem kommerzielle Produkte,mit denen sich ein Notfallplansowie ein -handbuch erstellenlassen. Sie lehnen sich in derRegel an die Vorgehensweiseaus den BSI-Grundschutz-Kata-logen an, verfeinern sie odergreifen Teile davon heraus.Dabei geht die Zielrichtung die-ser Pakete über die Problem-stellung der Geschäftsfortfüh-rung (Business Continuity) oftsogar hinaus. Vielmehr ist dasNotfallmanagement meist nurein Aspekt im Rahmen von umfangreichen sogenannten Compli ance- und Corporate-oder IT-Governance-Maßnah-men. Ihre Zielsetzung ist es,

nationale und internationale Ge-setze und Vorschriften in Unter-nehmen einzuhalten, wobei nurein Teil davon Business Conti-nuity und Notfallmanagementsowie die damit verbundenenDokumentationspflichten in derIT betrifft.

Im Rahmen von GRC (Gover-nance, Risk-Management, Compliance) besteht die Haupt-aufgabe des Notfallmanage-ments darin, Ausfällen von Geschäftspro zessen im Unter-nehmen vor zubeugen und IT-Ressourcen vollständig und revisionssicher zu dokumentie-ren. Viele Branchenlösungen undfast jede Qualitätsmanagement-Software decken Teil aspekte undDokumentationspflichten ab, diezu den Auf gaben eines Notfall-management-Systems gehö-ren. Dabei sind die Anforderun-gen an Sicherheitslösungen soindividuell wie die Unterneh-men, die sie absichern sollen.Viele Anbieter bieten auf ihrenWebseiten kostenlos ergän -zendes Informationsmaterialund Fallstudien an, die vom IT-Notfallplan über die Ein -führung in die Business-Im-pact-Analyse bis hin zum Notfall management nach BSI-Standard exemplarischeLösungen aufzeigen.

Fazit

Der Weg zu einer maßge-schneiderten Notfallmanage-ment-Lösung für Unternehmenführt in der Regel über einen indiesem Bereich spezialisiertenDienstleister. Die meisten bie-ten als ersten Schritt eine oft kosten lose Sicherheits- und

Risikoanalyse an, denen danngegebenenfalls kostenpflich tigeUmsetzungsschritte folgen.Kunden sollten dabei daraufachten, dass sich derartige Si-cherheits checks an den Vorga-ben des IT-Grundschutz-Kata-logs des BSI orientieren. Aktuellist dieser das Maß aller Dingeim Bereich IT-Sicherheit. Dabeiberücksichtigt der Grundschutz-Katalog im Rahmen der Notfall-vorsorge auch Aspekte wie den

Datendiebstahl, Datenverlust,Viren- und Spamvorsorge.

So umfasst ein komplettesNotfallmanagement letztlichnicht nur den Not-, sondern auchden Normalfall, der bei Spam-schutz und Firewall beginnt undalle Aspekte eines reibungslosenIT-Betriebs im Kleinen wie imGroßen betrachtet. (sf/ur)

Ulrich Schmitzist Content Manager

und IT-Fachredakteur.

Security

iX extra 3/2012 IX

Das GSTOOLerleichtert die

Umsetzung von IT-Sicherheits -

konzepten nachden Regeln

der IT-Grund -schutz-Kataloge

(Abb.ˇ3).


Extra

S IEM, so die Kurzform vonSecurity Information and

Event Management, gibt es seitden Neunzigerjahren des letztenJahrhunderts. Seither sind dieAnsprüche an ein solches Sys-tem (ebenfalls SIEM genannt)mehr und mehr gestiegen,immer komplexere Systemesind die Folge.

Schon in der Bezeichnungstecken die beiden Zielsetzun-gen des SIEM: Zum einen sollenInformationen gesammelt undgespeichert werden, um darausReports aufzubereiten und Vor-fälle nachträglich untersuchenzu können. Zum anderen lassensich Events in Echtzeit verarbei-ten und daraus Daten für dasMonitoring und die Vorfalls -erkennung (Incident) erzeugen.Die meisten Produkte, die der-zeit auf dem Markt verfügbarsind, konzentrieren sich aufeinen dieser beiden Aspekte.Ein Unternehmen, das ein SIEMeinführen möchte, sollte sichdaher vorher darüber klar wer-den, welche Ziele es mit derSoftware erreichen will.

Die erste Aufgabe für einSIEM besteht darin, die Ereig-nisse aus vielen unterschiedli-chen Quellen und Geräten zusammeln und in ein einheitli-ches Format zu bringen. DieEvents können über vielerlei Ka-näle kommen, beispielsweisesyslog, SNMP, WMI, Netzwerk-Flows oder Datenbanktabellen.Die meisten Event-Quellenhaben eigene, vom Hersteller

festgelegte Attribute und, fallssie syslog verwenden, aucheine eigene Syntax in den Mel-dungen. Für manche Systemebenötigt das Management-Tooleinen Agenten auf dem Systemoder einen Zugang dorthin, umdie Events einsammeln zu kön-nen. Deshalb ist es bei der Wahleines SIEM wichtig herauszu-finden, ob und wie gut es dievorhandene Systemlandschaftunterstützt und ob die Eventsabgeholt (pull) oder angeliefert(push) werden können.

Anpassung an eigene BedürfnisseEine nächste Aufgabe für dasSIEM besteht darin, die Eventsmöglichst in Echtzeit miteinan-der in Beziehung zu stellen(Korrelation) und über histori-sche Vergleiche zu analysieren.Als Hilfestellung liefern die Her-steller bereits eine ganze ReiheRegeln mit, die der Anwenderan seine Bedürfnisse anpassenkann. Er hat überdies die Mög-lichkeit, weitere eigene Regelnzu erstellen – und wird dies inden allermeisten Fällen auchtun, um die für ihn relevantenAussagen zu bekommen.

Regeln können beispielswei-se ähnliche Events zusammen-fassen oder potenzielle Proble-me, Verstöße oder Angriffeidentifizieren und sogenannteIncidents (Vorfälle) erzeugen.Letzteres geschieht, wenn einEvent oder mehrere die Bedin-

Security

X iX extra 3/2012

ZentraleSammelstelleSecurity Information and Event Management

Anforderungen der Compliance zu gesetzlichenVerordnungen sowie der Bedarf an mehr Transparenz im Bereich Sicherheit bescheren dem sogenannten„Security Information and Event Management“ immer größeren Erfolg.

THEMEN:

Technische Experten im Unternehmen und deren Vorgesetzte sowie Sicherheits- und Datenschutzverantwortliche, Netzwerkadministratoren und Netzwerkplaner.

Sponsoren

Smartphones, Tablets und Notebooks machen vieles leichter – nur die Sicherheit nicht.

Gestohlene Geräte, abhörbare Funknetze, Daten in der Cloud, Smartphone-Trojaner usw sind Gefahren, die gezielte Vorkeh-rungen und neue Sicherheitskonzepte erfordern.

Hamburg MünchenStuttgart Köln

Teilnahmegebühr: 570,- Euro (inkl. MwSt.), Frühbuchergebühr bis 08.04.2012: 539,- Euro (inkl. MwSt.)

Anmeldung:

organisiert von

IT agility. Your way.

MOBILE SECURITY Die Smartphone-Herausforderung meistern

Tageskonferenz von heise Security 2012

chen vieles leichter –

RIITTYYg meists ernern

y 2012


gungen mindestens einer Regelerfüllen. Die Regeln könnenwiederum aufeinander aufbau-en, aus erkannten Incidentsweitere erzeugen und damitbeliebig komplex werden. DesWeiteren können sie Schwel-lenwerte überwachen, zumBeispiel die Anzahl der Login-Versuche innerhalb von zehnMinuten.

Zwei Faktoren bestimmendie Fähigkeit der Echtzeit-Korre-lation des SIEM: Zum einen gehtes um die Anzahl der Events proSekunde (EPS), die das SIEMverarbeiten – das heißt normali-sieren und analysieren – kann,und zum anderen spielen dieMächtigkeit der Attribute undder Logik des Regelprozessorsdes Systems eine wichtigeRolle. Manche SIEMs könnenauch die Auswirkungen einesIncident auf die IT- oder Ge-schäftsprozesse ableiten. DieHerausforderung für die Praxisliegt hier darin, alle Daten undRegeln zusammenzustellen, diediese Art von Aussagen ermög-lichen.

Mehr Informationen,mehr ErkenntnisseDes Weiteren können die Datenaus den Events mit solchen ausanderen Quellen ergänzt wer-den. Ein gutes Beispiel dafürsind die Bestandsdaten der

Softwareversionen aus den Sys-temen in Kombination mit denErgebnissen von Vulnerability-Scans und den Schwachstellen-meldungen eines Dienstleisters.Streng genommen sind die Ergebnisse der Vulnerability-Scans und Schwachstellenmel-dungen auch nur Events, dieman mithilfe von Regeln aus-

wertet. Eine solche Regelkönnte beispielsweise die Be-wertungs-Policy des CVSS(Common Vulnerability ScoringSystem) sein, aus der sich Re-aktionszeiten für das Einspielenvon Patches ergeben.

Die andere, ausgesprochennützliche Funktion eines SIEMbesteht darin, in historischen,

also den gesammelten Datenzu suchen und daraus Berichtezu erstellen. Dies kann über dieerzeugten Incidents geschehenund darüber hinaus auch überdie normalisierten Daten bis hinunter zu den Rohdaten. DieSysteme umfassen bereits fer-tige Suchen und Reports für typische Fragen des Betriebs,

Security

ANBIETER VON SIEM-PRODUKTENHersteller Produkt WebsiteAccelOps SIEM www.accelops.com/product/siem.php Dell SecureWorks SIEM www.secureworks.com/services/securityeIQ networks SecureVue www.eiqnetworks.com/HP ArcSight www8.hp.com/de/de/software/software-solution.htmlIBM Tivoli www-01.ibm.com/software/tivoli/products/security-info-

event-mgr/Juniper Networks Security Threat Response www.juniper.net/de/de/products-services/security/strm-series/LogLogic LogLogic www.loglogic.com/5LogRhythm LogRhythm for SIEM www.logrhythm.com/Applications/SIEM.aspxNetIQ Security Manager www.netiq.com/products/sm/default.aspNitroSecurity NitroView www.nitrosecurity.com/products/enterprise-security-manager/Prism Microsystems EventTracker www.eventtracker.comQ1 Labs QRadar q1labs.com/Quest Software InTrust www.quest.com/intrust/RSA enVision www.rsa.com/node.aspx?id=3170Sensage SIEM www.sensage.com/content/advanced-siem-and-log-

managementSolarWinds Log & Event Manager www.solarwinds.comSpectrum Systems netForensics www.spectrum-systems.com/vendors/netforensics.htmSplunk Enterprise Security Suite www.splunk.comSymantec Security Management www.symantec.com/business/solutions/projectsTenable SecurityCenter www.tenable.com/productsTripwire Log Center www.tripwire.com/it-security-software/log-event-

management/security-information-event-management-siem/Trustwave SIEM https://www.trustwave.com/siem/

Die Übersicht erhebt keinen Anspruch auf Vollständigkeit.

Sie kennen keine Geheimnisse und geben der Welt gern alles über sich preis?

E-Mail-Verschlüsselung am Gateway (S/MIME, PGP) PDF-Mail: ad hoc sicher kommunizieren De-Mail-Gateway mit Outlook-Integra on

Bieten Sie Ihren Kunden Rechtssicherheit im E-Mail-Verkehr und pro eren Sie als unser Vertriebspartner!

Net at Work GmbH Tel.: 0 52 51-30 46 00 www.enqsig.de

SecurityPlazaHalle 121222

Testversionjetzt als kostenfreier

Download


aber auch Möglichkeiten, nachder sprichwörtlichen „Nadel imHeuhaufen“ zu suchen. Selbst-verständlich kann der Nutzer ei-gene Berichte erstellen, teilwei-se als buntes Dashboard.

Häufig sind die mitgeliefer-ten Regeln und Reports schon

auf Compliance-Anforderungenausgerichtet, sei es nach Stan-dards wie COBIT, PCI DSS odernach ITIL. Hersteller, die denamerikanischen Markt im Blickhaben, berücksichtigen auchSOX und HIPPA (Health InsurancePortability and Accountability

Act). Für den europäischenMarkt ist es wichtig, dass dasSIEM das Kreditwesengesetz(KWG) und EuroSOX unterstützt.Werben Hersteller mit Unterstüt-zung des Standards ISOˇ27001oder dem Grundschutzhand-buch, so ist dies von nur gerin-gem Nutzen, da deren Forde-rungen zu abstrakt sind, um sieauf konkrete Regeln im SIEMabzubilden.

Einführung undBetriebEin Unternehmen, das ein SIEMeinführen möchte, sollte diesgut planen. Außerdem sollte esFachleute zur Verfügung haben,die in der Lage sind, die nöti-gen Anpassungen in allen Be-reichen des SIEM vorzunehmenund eventuelle Fehler zu lokali-sieren und zu beseitigen. DieEinführung des Managementsvon Sicherheitsinformationenist nur zu einem geringen Teilein technisches Projekt. Vielwichtiger ist es, die richtigen Verantwort lichen und Prozessezu bestimmen, damit auch die„richtigen“ Fragen gestelltwerden. Einem Unternehmen,das bereits Regeln und Prozes-se etabliert oder sogar schonKennzahlen festgelegt hat, fälltdies leichter.

Der erste Schritt besteht wieimmer darin, die Anforderungenfestzulegen. Das Anwenderun-

ternehmen muss klare Ziele de-finieren, die es über ein SIEMerreichen will. Geht es bei-spielsweise allein um Compli-ance-Anforderungen, dann istes weniger wichtig, Events inEchtzeit abzuarbeiten. Ist jedochdas Ziel, schnell auf Angriffe zureagieren, benötigt das Unter-nehmen auch Personalkapazi-täten, um rund um die Uhr aufIncidents zu reagieren.

Als Nächstes muss festge-legt sein, welche Daten dieSoftware überwachen und sam-meln soll, sowie nach welchenKriterien dies entschieden wird.Wer nach dem Motto „mankann nie wissen, wozu man esmal braucht“ möglichst vieleDaten erheben will, sei gewarnt:Das SIEM wird schnell an dieGrenzen seiner Verarbeitungs-kapazitäten stoßen und die Mit-arbeiter verzweifeln bei derSuche nach relevanten Informa-tionen. Darum die Empfehlung,sich auf das Wesentliche zu be-schränken, um ein SIEM-Projekterfolgreich abzuschließen. DasProjektteam sollte dann dieFestlegung mit den unterneh-mensinternen und externenCompliance-Anforderungenabgleichen und daraus die ge-wünschten Dashboards und Reports ermitteln.

Geräte ermitteln,Bedarf festlegenAuf der technischen Seite giltes zu ermitteln, welche Klassenvon Netzwerkgeräten, Sys -temen und Anwendungen vor-handen sind. Sie sollten nachihrer kritischen Bedeutung fürdas Unternehmen und nachCompliance-Anforderungenpriorisiert werden. Auch mussfeststehen, welche Events je-weils relevant sind.

Schon während der Pla-nungsphase des SIEM sollte dasUnternehmen den laufenden

Security

XII iX extra 3/2012

Die grafische Aufbereitungder gesammelten Datenverschafft denSystemverantwortlicheneinen guten Überblick.

Projektleiter wissen, dass sie die Reports und Dashboards mehr-mals anpassen müssen, bis diese die Informationen liefern, diedem Unternehmen bei der Security-Analyse helfen. Nachfolgendeinige Kennzahlen, die sich in der Praxis bewährt haben:

–ˇVerhältnis der Geräte, die das SIEM überwacht, zum Bestandaus der CMDB (Configuration Management Database)

–ˇVerhältnis der neuen zu den erledigten Compliance-Issues proMonat, Quartal, Jahr, mit Trend

–ˇAnzahl der fehlgeschlagenen Zugriffsversuche, gruppiert nachwichtigen Arten (z.B. Ressourcen für die Zahlungsabwicklung)

–ˇhäufigste Zugriffe von privilegierten Benutzern mit anschließen-der Konfigurationsänderung

–ˇungewöhnliche DNS-Zugriffe und -Anfragen

–ˇProzentsatz der Systeme, die ausreichend schnell (gemäßCVSS-Bewertungs-Policy) aktualisiert werden, nach Gefahren-potenzial der Systeme, mit Trend

–ˇunerlaubtes oder erwünschtes Verschieben von virtuellenMaschinen nach Gast und nach Host

–ˇhäufigste Ziele erkannter Angriffe

–ˇhäufigste Systeme mit mehrfachen Malware-Funden; häufigsteSysteme mit erneutem Befall

–ˇuntypische Aktionen (insert, delete, update, select) auf Daten-banken

Für die Analyse hilfreiche Kennzahlen

Betrieb im Auge haben. Dennhier kommt einiges an Aufwandhinzu. Je besser die Dokumen-tation und der Change-Manage-mentprozess sind, und je besserdie Umgebung vorbereitet ist,umso einfacher lässt sich dasSIEM in Betrieb nehmen und be-treiben. Prozesse sind erforder-lich, um neue Systeme mit demSIEM zu verbinden, und zwarunterschieden nach Gerätetypund Umgebung.

SIEM und Change-ManagementEs empfiehlt sich auch, dieSoftware und Konfiguration be-reits in den Standard-System -images vorzubereiten. DieseProzesse lassen sich am bes-ten direkt in den Change-Ma-nagementprozess integrieren,um ein lückenloses Monitoringund Auditing sicherzustellen.

Vorteilhaft ist ein SIEM, dasdas Betriebspersonal automa-tisch über neue Event-Quellenbenachrichtigt, um diese zügigeinbinden zu können.

Für den Betrieb eines SIEMsollten Anwender noch weiterePunkte beachten: beispiels -weise wie häufig die Zugangs-daten zu den überwachten Geräten gewechselt werdenmüssen und wie dies gesche-hen soll. Aus den Audit- undCompliance-Anforderungen

ergeben sich teilweise sehr unterschiedliche technischeAnforderungen, zum Beispielan die Aufbewahrungsfristenvon Logfiles und deren Lö-schung, an den Integritäts-schutz durch Prüfsummen oderSignaturen, und hieraus wie-derum an benötigte Speicher-kapazitäten oder das Protokol-lieren der Zugriffe.

Ein weiterer wichtiger Punktbetrifft die Zugangskontrollezum SIEM und der darunterlie-genden Datenbank. Hier sam-meln sich im Laufe der Zeit Rie-senmengen an Informationen zuInterna an. Daher ist es wichtig,genau festzulegen, wer Zugriffauf welche Daten hat. Bekommtdas Betriebspersonal Zugang zu historischen Incidents, dann

kann das bei der Analyse aktuel-ler Vorfälle helfen und die Reak-tion verbessern. Es öffnet aberauch Tür und Tor zu Missbrauch,wenn zu viele Details zu leichtzugänglich sind. (sf/ur)

Hartmut Goebelberät mittelständische und

große Unternehmen undKonzerne beim Management

von IT-Sicherheit.

Security

Wer Hosting-Services anbietenmöchte – sei es als Webdesig-ner, Anwendungsentwickleroder Systemhaus –, muss keineigenes Rechenzentrum betrei-ben. Die Branche der Hoster of-feriert vielfältige Angebote auchfür Wiederverkäufer. Sei es alsReseller-Modell auf Provisions-

basis oder als sogenanntesWhite Label Hosting. Ob Do-mains, Shared-Hosting-Pakete,Applikationen oder kompletteServer: Eine breite Palette anProdukten steht White-Label-Resellern zur Verfügung, um siemit eigener Wertschöpfung zuverknüpfen und unter eigenem

Namen an den Endkunden wei-terzuverkaufen. iX extra gibteinen Überblick über die Beson-derheiten des GeschäftsmodellsReselling, über Anbieter, derenProdukte und nützliche Tools.

Erscheinungstermin: 29. März 2012

In iX extra 4/2012Networking/Hosting: White Label Hosting – der deutsche Reseller-Markt

DIE WEITEREN IX EXTRAS:

Ausgabe Thema Erscheinungstermin

5/12 Storage Pro und contra Unified Storage – 26.ˇ04.ˇ12SAN, NAS oder was?

6/12 Security Sicheres Mobile Computing: 31.ˇ05.ˇ12„Bring your own device“ ohne Reue

7/12 Networking 802.11n-Access-Points mit Power over Ethernet 28.ˇ06.ˇ12

Passwörter sind tot.Jedes Ende hat einen neuen Anfang.

Die aktuellen Sicherheitsstrategien wurden gehackt, die Verfahren sind nicht mehr sicher.

Zeit sich der Zukunft zuzuwenden:Biometrie als zusätzlicher Authentifi zierungsfaktor.

QTrust 2go

Hochsicherer Applikationszugriff für

Citrix, MS Terminal Server u.v.m.

www.passwörter-sind-tot.de


Security extra Mit Controls gegen Risiken - heise online · SAP GRC. Solche Produkte inte-grieren...

Documents

Transcript of Security extra Mit Controls gegen Risiken - heise online · SAP GRC. Solche Produkte inte-grieren...