Phase 1: Bedarfsfeststellung

« zur Übersicht

Im Rahmen der Bedarfsfeststellung wird geklärt, in wie weit der Einsatz eines Intrusion-Detection-Systems zur ergänzenden Absicherung des Netzübergangs zum Internet in einer Organisation bzw. einem Unternehmen sinnvoll ist. Adressaten dieser Phase sind das IT-Sicherheitsmanagement bzw. der Verantwortliche für den Netzübergang zum Internet. Zur Bedarfsfeststellung wird folgendes Vorgehen empfohlen:

• Ist-Aufnahme der Einflussfaktoren für den Einsatz von IDS, insbesondere der sicherheitsrelevanten Aspekte am Netzübergang zum Internet
• Ermittlung, ob der Einsatz eines IDS in der Organisation sinnvoll ist, und Festlegung der Ziele, die mit dem Einsatz eines IDS erreicht werden sollen

Falls der Einsatz eines IDS als grundsätzlich sinnvoll erachtet wird, ergeben sich folgende weitere Aktivitäten:

• Sensibilisierung der Entscheider für das Thema Intrusion-Detection
• Bereitstellung von Ressourcen zur Erstellung einer Entscheidungsvorlage

1.1 Ist-Aufnahme für Einsatz und Einführung von IDS-relevanten Faktoren

Einflussfaktoren für Intrusion-Detection und die Auswahl technischer Hilfsmittel leiten sich aus der umgebenden Organisation sowie der zugrundeliegenden Infrastruktur inklusive bereits verwendeter Schutzmaßnahmen ab. Als typische Einflussfaktoren sind zu berücksichtigen:

• Risikobereitschaft und Risk-Management der Organisation,
• Infrastruktur und Schutzmaßnahmen der Organisation (Gebäudemanagement, Verteilung, Objektschutz),
• Organisation und Infrastruktur am Netzübergang zum Internet (Policy, Aufbau, Dienste, Auswertung),
• Art und Verwendung der angebotenen Kommunikationsdienste am Internetübergang.

1.1.1 Risikobereitschaft der Organisation

Die individuelle Risikobereitschaft einer Organisation spielt eine entscheidende Rolle bei der Gestaltung des IT-Sicherheitsmanagements. Hierin äußert sich die Abwägung, ob und in welcher Stärke auf protektive Maßnahmen gesetzt werden soll und in welcher Intensität Risiken getragen bzw. durch reaktive Maßnahmen abgefedert werden.

Protektive und reaktive Maßnahmen

Es wird unterschieden zwischen "protektiven" Maßnahmen, die Gefährdungen abwehren und vor deren Eintreten schützen und "reaktiven" Maßnahmen, mit deren Hilfe das Eintreten von Schadensereignissen erkannt, gemeldet und darauf reagiert werden soll, bis hin zur Schadensbehebung.

Protektive und reaktive Maßnahmen ergänzen sich. Es ist nicht möglich durch Konzentration auf Maßnahmen der einen, Art Maßnahmen der jeweils anderen Art völlig vernachlässigbar zu machen. Zum Beispiel beinhaltet die Aussage: "Es gibt keinen 100%-igen Schutz.", dass es immer zu Schadensfällen kommen kann, auf die zu reagieren ist.

Intrusion-Detection ist eine reaktive Maßnahme und dient zur Erkennung von eintretenden Schadensfällen oder erster Anzeichen dafür. Es dient explizit nicht zur Abwehr oder Verhinderung des Eintretens von Schadensereignissen. Dennoch ist Intrusion-Detection eine wichtige Voraussetzung für die Alarmierung (Eskalation) und Reaktion (Schadensbegrenzung) auf eintretende Ereignisse.

Beispiele unterschiedlicher Risikobereitschaft

Der Bereich Datenschutz ist ein Beispiel für geringe Risikobereitschaft. Zum Schutz personenbezogene Daten sind protektive Maßnahmen das geeignete Mittel. Reaktive Maßnahme können dabei lediglich ergänzend dienen. Dies liegt insbesondere darin begründet, dass erfolgte Vertraulichkeitsverletzungen grundsätzlich nicht wieder rückgängig gemacht werden können.

In eCommerce- und eBusiness-Applikationen erfolgt bewusst eine Öffnung interner Datenbanken und Geschäftsprozesse zum Internet. Aufgrund des hierdurch erhöhten Risikos, spiegelt das Anbieten entsprechender Dienste eine höhere Risikobereitschaft wieder. Erfolgte Verletzungen der Verfügbarkeit oder Integrität können dabei durch reaktive Maßnahmen zeitnah erkannt werden. Derartige Maßnahmen bilden die Voraussetzung für eine zeitnahe Wiederherstellung der Verfügbarkeit bzw. Integrität.

1.1.2 Ist-Aufnahme der Infrastruktur und Schutzmaßnahmen der Organisation

Die Aufnahme – auch der physischen – Infrastruktur und bestehender Schutzmaßnahmen einer Organisation hat Relevanz für die Einschätzung,

• ob Externe die Firewall-Infrastruktur auf physikalischem Wege überbrücken können (etwa durch Einbruch, Ankoppeln an Netzverteiler oder Nutzung von WLANs),
• ob Interne unberechtigt weitere Netzübergänge schaffen und die Firewall überbrücken können (etwa durch Installation von Modems, WLANs, etc.),
• ob IT-Systeme, Server und Firewall-Komponenten zugangsgeschützt aufgestellt sind,
• ob weitere Netzübergänge ins Internet, etwa von externen Liegenschaften aus, existieren, durch deren Nutzung der betrachtete Internet-Übergang umgangen werden kann. Dies betrifft auch VPN-Verbindungen oder "Standleitungen".

1.1.3 Ist-Aufnahme der Organisation und Infrastruktur des Internet-Übergangs

Durch die Ist-Aufnahme der Infrastruktur des Internet-Übergangs soll ermittelt werden, ob und in welcher Stärke bereits Schutzmaßnahmen realisiert sind. Hierzu sind sicherheitsrelevante technische und organisatorische Aspekte des Internet-Übergangs zu erheben.

Für die Bedarfsfeststellung relevante und zu beantwortende Fragestellungen in diesem Zusammenhang sind:

• Welche Komponenten werden eingesetzt? (Router, Switches, Firewall, Server in der DMZ, zugrundeliegende Plattformen, etc.)
• Durch welche Prozesse werden Konfigurationsänderungen am Schutzkomponenten (Router, Switches, Firewall) flankiert?
• Welche der Komponenten sind – trotz bestehender Schutzmaßnahmen – Gefährdungen aus dem Internet in besonderer Weise ausgesetzt?

Insbesondere fallen hierunter Serverkomponenten, bei denen entweder keine angemessene Datenflusskontrolle durch bestehende Schutzkomponenten gegeben ist oder bei denen aufgrund der Funktionalität des Dienstes erhöhte Restrisiken bestehen, wie z. B. bei der Nutzung eines Webservers.

Um einen Überblick über die technische Infrastruktur zu erhalten, ist die Darstellung der Komponenten und ihrer Kommunikationsverbindungen in einem Architekturdiagramm hilfreich und sinnvoll.

1.1.4 Ist-Aufnahme des Zwecks und der Art von Kommunikationsdiensten am Internet-Übergang

Für die Bedarfsfeststellung relevante und zu beantwortende Fragestellungen in diesem Zusammenhang sind:

• Welche physischen und logischen Kommunikationsverbindungen bestehen zwischen den Komponenten?
• Welchem Zweck dienen die am Internet-Übergang angebotenen Kommunikationsdienste (E-Mail, Webzugriff, Webserverangebot, E-Business-Angebot, etc.)?
• Welche Anforderungen an Verfügbarkeit und Integrität bestehen für die Dienste?

1.2 Ist der Einsatz eines IDS grundsätzlich sinnvoll?

Grundsätzlich ist der Einsatz von IDS nur dann sinnvoll , wenn

1. sich aus dem Einsatz des IDS ein sicherheitstechnischer Zusatznutzen ergibt und
2. ein höherer sicherheitstechnischer Zusatznutzen nicht mit vergleichbarem (oder geringerem) Aufwand durch andere Maßnahmen erzielbar ist.

An dieser Stelle wird von "grundsätzlich sinnvoll" gesprochen, da erst an späterer Stelle beantwortet wird, ob der Einsatz von IDS auch unter Kosten-Nutzen-Aspekten sinnvoll ist.

Ein sicherheitstechnischer Zusatznutzen ist dann gegeben, wenn der Schutz am Netzübergang verbessert wird bzw. bestehende Restrisiken vermindert werden. Im Vordergrund steht dabei der Schutz eigener IT-Systeme vor unberechtigtem Zugang aus dem Internet.

Bei der Absicherung eines Internet-Übergangs sollte grundsätzlich darauf geachtet werden, zunächst die Einsatzmöglichkeiten "protektiver" Maßnahmen (Firewall-Systeme, Authentisierungsverfahren, etc.) auszuschöpfen, da "reaktive" Maßnahmen erst in Verbindung damit ihre volle Wirkung entfalten können.

Der Einsatz eines Firewall-Systems an einem Netzübergang zum Internet ist daher eine grundlegende Voraussetzung dafür, den Einsatz eines IDS in Erwägung zu ziehen. Aus diesem Grund wird im Folgenden davon ausgegangen, dass der Netzübergang zum Internet bereits durch ein Firewall-System geschützt ist.

Das nachstehend beschriebene Vorgehen zur Ermittlung, ob der Einsatz eines IDS sinnvoll ist, orientiert sich an der Darstellung von Faktoren, von denen der sicherheitstechnische Zusatznutzen eines IDS abhängt. Dabei wird der Zusatznutzen durch das IDS im Vergleich zum Zusatznutzen alternativer Maßnahmen betrachtet. Solche Faktoren sind unter anderem

• die Architektur und Einsatzweise des bestehenden Firewall-Systems,
• die Verfügbarkeits- und Integritätsanforderungen an gefährdete Komponenten,
• der Grad der Interaktion mit internen Systemen bei Zugriffen aus dem Internet.

Relevante Einflussfaktoren sind in Anhang 1.2 dokumentiert. Zu jedem Einflussfaktor ist dabei angegeben, wie sich der jeweilige Ist-Zustand auf den IDS-Bedarf auswirkt.

Zur Ermittlung, ob der Einsatz eines IDS grundsätzlich sinnvoll ist, sind die beschriebenen Einflussfaktoren durchzugehen. Für jeden Einflussfaktor ist die Frage zum Ist-Zustand zu beantworten. Aus der zugehörigen Bewertung und Stellungnahme ergibt sich,

• ob ein IDS-Einsatz hinsichtlich des betreffenden Einflussfaktors und dessen konkreter Ausprägung in der Ist-Situation sinnvoll ist und
• welchen Zwecken ein IDS-Einsatz dabei dienen kann.

Im Einflussfaktor E9 wird zudem die Relevanz der Nutzenaspekte von IDS abgefragt.

Auf eine Gewichtung der einzelnen Einflussfaktoren wurde verzichtet, da ihre Ausprägung im konkreten Einzelfall sehr unterschiedlich sein kann. Die beschriebenen Einflussfaktoren dienen insofern als Hilfestellung zur Ermittlung, ob und zu welchem Zweck ein IDS-Einsatz sinnvoll ist. Die Einflussfaktoren stellen jedoch keinen "Algorithmus" zur Berechnung des Nutzens dar.

Aus der Ist-Situation und den zugehörigen Stellungnahmen zu den Einflussfaktoren ist abzuleiten, ob der Einsatz eines IDS grundsätzlich sinnvoll ist oder ob durch andere Maßnahmen mit vergleichbarem Aufwand ein höherer Zusatznutzen erreicht werden kann.

Eine Begründung dafür, weshalb der Einsatz eines IDS grundsätzlich sinnvoll ist, kann erstellt werden, indem die angegebenen Stellungnahmen unter Berücksichtigung der Ist-Situation entsprechend umformuliert werden.

Die Anwendung des beschriebenen Verfahrens ist in Anhang 1.3 für unterschiedliche Szenarien der Nutzung von Internet-Übergängen beschrieben.

1.3 Sensibilisierung der Entscheider für das Thema Intrusion-Detection

Die Entscheiderebene sollte darüber informiert werden, dass sich das IT-Sicherheitsmanagement bzw. die für den Internet-Übergang verantwortliche Stelle mit dem Thema IDS beschäftigt. Das Interesse der Entscheider für IDS sollte durch eine motivierende Heranführung an das Thema geweckt werden.

Anhang 1.1 kann als Vorlage für eine Management-Einführung in IDS dienen. Die Vorlage sollte unter Berücksichtigung der zuvor erhobenen Einsatzziele konkretisiert und ggf. um die Begründung erweitert werden, weshalb ein IDS-Einsatz sinnvoll ist.

1.4 Bereitstellung von Ressourcen zur Erstellung einer Entscheidungsvorlage

Falls der Einsatz eines IDS als grundsätzlich sinnvoll erkannt wurde, sind die nächsten Schritte die

• Grobkonzeption eines möglichen IDS-Einsatzes,
• die Klärung der Anforderungen an ein einzusetzendes IDS und die
• Erstellung einer Entscheidungsvorlage unter Berücksichtigung von Kosten-Nutzen-Aspekten.

Die hierzu erforderlichen Ressourcen sind bereitzustellen.

Abhängig vom jeweiligen organisatorischen Umfeld, ist hierzu ggf. die Beantragung eines internen Projekts und dessen Beauftragung erforderlich.

Es wird empfohlen Grobkonzept, Anforderungen und Entscheidungsvorlage mit verantwortlichen Vertretern folgender Bereiche abzustimmen:

• Systemadministration und Systembetrieb,
• IT-Strategie und IT-Planung,
• Revision,
• Datenschutzbeauftragter und
• Personalvertretung (Betriebsrat, Personalrat).

Der Datenschutzbeauftragte und die Personalvertretung sind zu berücksichtigen, da ein IDS im Rahmen der Netz- und Systembeobachtung ggf. auch Daten aufzeichnet, die personenbezogenen Charakter aufweisen oder zur Arbeitsüberwachung genutzt werden könnten.

Ein geeignetes Vorgehen ist z. B. die Ausarbeitung des Grobkonzepts, der Anforderungen und der Entscheidungsvorlage unter Leitung des IT-Sicherheitsmanagements im Rahmen eines Projekts, das von einem Kernteam mit Vertretern der aufgeführten Bereiche gesteuert und begleitet wird.