Grundlagen: 5. Organisatorische Einbettung von IDS

« zur Übersicht

In diesem Kapitel werden die organisatorische Aspekte beschrieben, die beim Einsatz eines IDS relevant sind.

Für den Betrieb eines IDS ist Personal erforderlich, das gute Kenntnisse sowohl über Angriffe und Systemschwächen als auch über da eingesetzte IDS selbst aufweist. Relevante Aufgaben im Betrieb eines IDS sind

• die Kalibrierung des IDS,
• die Auswertung und Verfolgung vom IDS gemeldeter Ereignisse und Alarme,
• die Anpassung des IDS bei Veränderung des Einsatzumfeldes,
• die regelmäßige Aktualisierung der Signaturdatenbank des IDS und der IDS-Software selbst.

Darüber hinaus sollte die Funktionsfähigkeit der Komponenten des IDS regelmäßig durch geeignete Tests überprüft werden.

Des Weiteren sind beim Betrieb von IDS rechtliche Anforderungen des Datenschutzes und der Arbeitnehmermitbestimmung zu berücksichtigen.

Abschließend werden kurz Möglichkeiten zum Outsourcing von IDS dargestellt und diskutiert.

5.1 Administration und Kalibrierung

Im Rahmen der Kalibrierung erfolgt die Anpassung des IDS an die aktuelle Einsatzumgebung. Es wird eingestellt, welche Ereignisse die einzelnen Sensoren erkennen sollen und wie das IDS beim Erkennen von Ereignissen reagieren soll. Die Kalibrierung umfasst daher sowohl sog. "Sensor-Policies" als auch die Intrusion-Response-Einstellungen des IDS. Ziel ist dabei, dass die Sensoren genau das erkennen, was sie erkennen sollen.

Um möglichst wenig Fehlalarme auszulösen, ist bei der Kalibrierung insbesondere darauf zu achten, dass "zulässiges Verhalten" vom IDS als solches erkannt wird. Voraussetzung hierfür ist, dass das zulässige Verhalten der zu überwachenden Netze und Systeme dokumentiert vorliegt.

Der Kalibrierungsprozess der Sensoren besteht im Wesentlichen in der Festlegung, welche Ereignisse vom Sensor unterdrückt werden sollen, welche Ereignisse protokolliert werden sollen und bei welchen Ereignissen alarmiert werden soll. In der Kalibrierungsphase hat die IDS-Administration die Reaktion des IDS auf erkannte Ereignisse festzulegen.

• Alarmierung:
  Wenn das Ereignis einen schwerwiegenden Angriff darstellt, der zu einem Schaden führen könnte, ist eine Alarmierung durch das IDS auszulösen. Eine angemessene Konfiguration der Alarmierung ist wichtig, da zu häufige Alarmierungen zum Verlust der Sensibilität des Sicherheitspersonals führen, bei zu oberflächlicher Alarmierung dagegen relevante Angriffe übersehen werden.
• Unterdrückung:
  Es ist zu ermitteln, welche Ereignisse vom IDS bei normaler Netzlast gemeldet werden. Unter diesen sind die Ereignisse zu identifizieren, die nachweislich unschädlich und nicht auf Angriffsversuche zurückzuführen sind. Nach Möglichkeit ist das IDS so zu konfigurieren, dass derartige Ereignisse nicht protokolliert werden.
• Protokollierung:
  Sämtliche Ereignisse, die weder nachweislich als unschädlich identifiziert wurden noch schwerwiegende Alarme darstellen, sind zu protokollieren.

Bei der Einführung des IDS ist im Allgemeinen nicht für sämtliche IDS-Meldungen direkt entscheidbar, ob die korrespondierenden Ereignisse Schäden hervorrufen könnten oder ob sie tatsächlich völlig unschädlich sind. Die Menge der zu protokollierenden IDS-Meldungen fällt demnach eher groß aus.

Im Verlauf des IDS-Betriebs klärt sich nach und nach, welche konkreten Auswirkungen einzelne Ereignisse auf die zu schützende Infrastruktur haben. Auf dieser Basis kann die Kalibrierung verbessert werden. Ereignisse, die bislang protokolliert wurden, da ihre konkreten Auswirkungen unklar waren, können jetzt

• unterdrückt werden, falls sie sich als unschädlich herausgestellt haben und nicht auf relevante Angriffsversuche zurückzuführen sind,
• eine Alarmierung auslösen, falls infolge des Ereignisses Schäden aufgetreten sind, oder

• weiterhin protokolliert werden, weil kein Anlass zur Alarmierung vorliegt und

  1. das Ereignis sowohl im normalen Netzverkehr vorkommen kann als auch durch Angriffsversuche hervorgerufen werden kann und daher eine Einzelfallbetrachtung erfordert,
  2. die IDS-Meldung zu unscharf ist (d. h. auch bei anderen Ereignissen triggert) und daher eine Einzelfallbetrachtung erfordert,
  3. das Ereignis zwar unschädlich ist, jedoch ergänzende Information beinhaltet (z. B Kontextinformationen zu Angriffen) und daher nicht unterdrückt werden soll.

Im 2. Fall ist ggf. eine Verbesserung der Kalibrierung durch die Verfeinerung bzw. Konkretisierung der entsprechenden Signaturen möglich.

Neben der laufenden Anpassung der Kalibrierung im IDS-Betrieb, ist eine Kalibrierung insbesondere in folgenden Fällen erforderlich:

1. Nach jeder Aktualisierung des IDS. z. B. bei Einbringen neuer Signaturen in das IDS ist für diese der Intrusion-Response festzulegen bzw. die Default-Einstellung zu prüfen.
2. Änderungen in der zu schützenden Infrastruktur können dazu führen, dass bislang unschädliche Ereignisse jetzt als schadensverursachend eingestuft werden müssen oder auch umgekehrt. Eine Prüfung und Anpassung der Kalibrierung des IDS an die veränderte Einsatzumgebung ist erforderlich.

Eine vollständige Dokumentation der Kalibrierung ist aufgrund der Vielzahl von möglichen Ereignissen nur schwer zu realisieren und praktisch nicht sinnvoll möglich. Dokumentiert werden sollte, wann und weshalb Änderungen an der Kalibrierung durchgeführt wurden (Änderungshistorie). Die Inhalte der entsprechenden Änderungen sind im Rahmen von Datensicherungen festzuhalten.

5.2 Incident-Handling

IDS können sicherheitsrelevante Ereignisse erkennen und protokollieren, sowie bei deren Eintreten eine Alarmierung auslösen.

Ein sicherheitstechnischer Nutzen beim Einsatz eines IDS entsteht jedoch erst, wenn auf vom IDS gemeldete Ereignisse zeitnah und angemessen reagiert wird. Diese zeitnahe und angemessene Reaktion kann das IDS nur in Ausnahmefällen selbst leisten. (vgl. Kapitel 1.4) Es ist daher erforderlich, sowohl vom IDS protokollierte Ereignisse regelmäßig auszuwerten als auch auf IDS-Alarme zeitnah und angemessen zu reagieren.

Bei der Auswertung von IDS-Ereignissen ist insbesondere zu prüfen, welche Auswirkungen das Ereignis auf die zu schützende Infrastruktur hat.

Um eine zeitnahe und angemessene Reaktion auf die IDS-Alarme sicherzustellen sind folgende Punkte festzulegen:

• Es ist ein Verfahren festzulegen, dass sicherstellt, dass IDS-Alarme angenommen und an die für die Reaktion verantwortlichen Stellen weitergeleitet werden. Hierzu sind Verantwortlichkeiten und Zuständigkeiten für die Annahme und Reaktion auf IDS-Alarme festzulegen. Des Weiteren sind Meldewege und ggf. Formvorgaben für Meldungen zu definieren.
• Es ist zu klären, ob Alarme auch außerhalb der gewöhnlichen Arbeitszeiten angenommen werden sollen. Hierfür empfiehlt es sich, eine zentrale Annahmestelle für IDS-Alarme vorzusehen.
• IDS-Alarme sind hinsichtlich der zu erwartenden Schadenswirkung zu priorisieren. Dies erfolgt typischerweise durch Definition unterschiedlicher Alarmlevel, denen die IDS-Alarme zugeordnet werden. Für die unterschiedlichen Prioritäten ist festzulegen, wie dringlich die Reaktion auf die Alarme ist und welche Stellen zu benachrichtigen sind.

Bestehende Prozesse und Vorgaben zur Problembehandlung und zum Notfall-/Krisenmanagement sollten dabei berücksichtigt werden. Ggf. können die IDS-Alarmierungen in diese Prozesse und Pläne in sinnvoller Weise integriert werden.

Das typische Vorgehen bei der Reaktion auf vom IDS gemeldete Ereignisse oder Alarme besteht darin,

• zunächst die genauen Randbedingungen des Angriffs zu klären,
• die Auswirkungen des Angriffs auf die zu schützende Infrastruktur zu ermitteln,
• bei Bedarf Maßnahmen zur Schadensbehebung oder -begrenzung zu ergreifen und
• die Kalibrierung des IDS auf Basis der neuen Erfahrungen ggf. anzupassen.

5.3 Berücksichtigung von Veränderungen der Einsatzumgebung

Die Überwachungsfunktion eines IDS steht in direktem Zusammenhang zum überwachten Einsatzumfeld. Daher ist bei Änderungen des Einsatzumfeldes zu prüfen, welche Auswirkungen sich auf die Überwachungsfunktionen des IDS ergeben.

Relevante Änderungen der Einsatzumgebung sind z. B.

• Änderungen an der Netzinfrastruktur,
• die Einführung neuer Serversysteme oder Applikationen
• die Migration von Applikationen auf andere Plattformen

In solchen Fällen ist zu prüfen,

• ob die Einsatzziele des IDS unter den veränderten Randbedingungen weiterhin erreicht werden können,
• ob sich ggf. Änderungen an der Zielsetzung des IDS ergeben und
• ob zum Erreichen der Ziele ein Einsatz des IDS in veränderter Form erforderlich ist (wie etwa die Anpassung der Kalibrierung oder die Erweiterung des IDS um zusätzliche Sensoren).

5.4 Berücksichtigung rechtlicher Anforderungen

IDS sind ein Instrument, mit dem eine weitgehende Überwachung von Netzen und Systemen möglich ist. Abhängig von der Einsatzweise des IDS können dabei

• Verhaltensmuster von Mitarbeitern bei der Nutzung von Systemen und Applikationen und/oder
• Kommunikationsdaten bei der Erkennung netzbasierter Angriffe

aufgezeichnet werden.

Beim Umgang mit solchen Daten sind die Anforderungen des Datenschutzes und der Arbeitnehmermitbestimmung zu berücksichtigen. Die spezifischen Anforderungen sind im Dokument "Einführung von Intrusion-Detection-Systemen – Rechtliche Aspekte" beschrieben.

5.5 Outsourcing

In der Regel sind die Konfiguration eines IDS und die Auswertung der IDS-Meldungen sehr zeit- und personalaufwändig. Diese Funktionen werden daher zunehmend an spezialisierte Dienstleister ausgelagert. Gerade für kleinere Unternehmen kann ein Outsourcing kostensparend sein, wenn kein für den Betrieb spezialisiertes Personal verfügbar ist oder wenn IDS-Alarme rund um die Uhr angenommen werden sollen, im Unternehmen jedoch keine permanent besetzte Annahmestelle vorhanden ist.

Ob ein Outsourcing sinnvoll ist und welche Randbedingungen dabei zu beachten sind, hängt davon ab, welche Funktionen ausgelagert werden sollen und ob bereits andere IT-spezifische Funktionen an Dienstleister ausgelagert wurden. Dabei ist zu beachten, dass der Einsatz eines IDS als reaktive Maßnahme zur Verbesserung des Schutzes der IT-Ressourcen in erster Linie der Unterstützung des IT-Betriebs dient. Falls der IT-Betrieb an einen Dienstleister ausgelagert wurde, ist es deshalb grundsätzlich sinnvoll, dass dieser Dienstleister auch das IDS betreibt.

Nachstehend werden Aspekte zum Outsourcing für verschiedene Phasen der IDS-Einführung diskutiert:

Bedarfsfeststellung

Im Rahmen der Bedarfsfeststellung ist es wichtig, objektiv zu beurteilen, ob der Einsatz eines IDS sinnvoll ist oder nicht. Die erforderliche Neutralität ist dabei typischerweise nicht gegeben, wenn die Bedarfsfeststellung von einem Dienstleister durchgeführt wird, für den sich wirtschaftliche Vorteile (z. B. durch Verkauf oder Betrieb eines IDS) ergeben, wenn der Auftraggeber sich für den Einsatz eines IDS entscheidet. Falls die Bedarfsfeststellung an einen Dienstleister ausgelagert wird oder in Zusammenarbeit mit einem Dienstleister erfolgt, ist daher darauf zu achten, dass der Dienstleister die erforderliche Neutralität besitzt.

Konzeption und Integration des IDS

Für die Konzeption und Integration des IDS sind detaillierte Kenntnisse über die zu überwachende IT-Infrastruktur notwendig. Sie erfordern daher in jedem Fall eine enge Zusammenarbeit mit dem Betreiber der IT. Eine Zusammenarbeit mit Dienstleistern erscheint unkritisch, falls beteiligte Dienstleister zur Wahrung der Vertraulichkeit interner Informationen verpflichtet werden, die ihnen im Rahmen der Zusammenarbeit bekannt werden.

Betrieb des IDS

Bei der Auslagerung des IDS-Betriebs ist zwischen den unterschiedlichen Funktionen zu unterscheiden, die ausgelagert werden können. Hierzu werden im Folgenden Funktionen zur Annahme von Alarmen, zur IDS-Administration und zur Reaktion auf IDS-Meldungen getrennt betrachtet.

• Annahme von IDS-Alarmen (IDS-Monitoring)
  Ein Outsourcing der Annahme von Alarmen ist insbesondere dann vorteilhaft, falls IDS-Alarme rund um die Uhr angenommen werden sollen, im Unternehmen jedoch keine permanent besetzte Annahmestelle vorhanden ist. Im Vergleich zur Auslagerung von Funktionen zur IDS-Administration oder zur Reaktion auf IDS-Alarme ist die Auslagerung der Annahme von IDS-Alarmen weniger sicherheitskritisch. Jedoch sollte mindestens sichergestellt werden, dass der Dienstleister keinen administrativen Zugang zum IDS und zur überwachten IT-Infrastruktur erhält, Leserechte nur für die zur Beurteilung der IDS-Alarme notwendigen Daten vergeben werden und er zur Wahrung der Vertraulichkeit der Daten verpflichtet wird, die ihm im Rahmen seiner Tätigkeit bekannt werden.

• IDS-Administration
  Mit dem Outsourcing der IDS-Administration erhält der Dienstleister weitgehenden Einblick in Systeme und Daten des Auftraggebers. Über Netzsensoren hat der Dienstleister grundsätzlich Zugriff auf den gesamten Netzverkehr an der überwachten Position. Zumindest bei Netzsensoren kann jedoch ein aktiver Eingriff des Dienstleisters in das Netz verhindert werden, indem der Netzverkehr über TAPs abgegriffen wird. Über Hostsensoren erhält der Dienstleister nicht nur Einblick in Systeme und Applikationen des Auftraggebers, er kann in diese auch administrativ eingreifen, da die Administration von Hostsensoren typischerweise administrative Rechte auf dem überwachten System erfordert. Aus den aufgeführten Gründen ist ein Outsourcing der IDS-Administration mit zahlreichen Risiken verbunden. Falls ein Outsourcing angestrebt wird, wird daher dringend empfohlen,

  • einen geeigneten Dienstleister sorgfältig auszuwählen,
  • vom Dienstleister einzuhaltende Sicherheitsmaßnahmen abzustimmen und vertraglich zu vereinbaren (Security Service Level Agreements) sowie
  • die Einhaltung der Sicherheitsmaßnahmen durch den Dienstleister regelmäßig zu kontrollieren.

• Reaktion auf IDS-Meldungen (IDS-Incident-Response)
  Die angemessene Reaktion auf IDS-Alarme umfasst die Prüfung der Auswirkungen des Angriffs sowie ggf. die Durchführung bzw. Einleitung von Sofortmaßnahmen zur Schadensbegrenzung oder -behebung. Bereits die Prüfung der Auswirkungen erfordert im Allgemeinen einen über den IDS-Einsatz hinausgehenden Eingriff in die zu schützende IT-Infrastruktur, z. B. um zu ermitteln, welche spezifischen Auswirkungen der Angriff auf kritische Serversysteme hatte. Aus diesem Grund kann eine angemessene Reaktion auf IDS-Alarme in sinnvoller Weise nur durch Stellen erfolgen, die auch für den Betrieb der überwachten Systeme, Applikationen und Netze zuständig sind.