Phase 2: Grobkonzept und Anforderungsanalyse

« zur Übersicht

Im Rahmen des Grobkonzepts und der Anforderungsanalyse wird beantwortet, in welcher Weise ein IDS in die bestehende technisch-organisatorische Infrastruktur zu integrieren ist und welche Anforderungen das einzusetzende IDS erfüllen muss, um die Zielsetzungen zu erreichen. Der Leitfaden richtet sich in dieser Phase an das IT-Sicherheitsmanagement bzw. das zur Ausarbeitung von Grobkonzept, Anforderungsanalyse und Entscheidungsvorlage gebildete Projektteam.

Arbeitsschritte zur Grobkonzeption und Analyse der Anforderungen sind:

1. Ist-Aufnahme der technischen Infrastruktur am Netzübergang zum Internet
2. Ist-Aufnahme bestehender Prozesse für die Verfolgung von Sicherheitsvorfällen
3. Festlegung der mit dem Einsatz des IDS verbundenen Zielsetzungen
4. Ableitung von Anforderungen an ein einzusetzendes IDS
5. Festlegung der Platzierung von Sensoren
6. Interne Abstimmung der Zuständigkeiten für die Administration des IDS sowie der Zuständigkeiten für Annahme und Eskalation von Alarmen des IDS
7. Festlegung der Platzierung von Management- und Auswertungsstation
8. Dokumentation der Ergebnisse im Dokument "Grobkonzept und Anforderungsanalyse"

2.1 Ist-Aufnahme der technischen Infrastruktur

Um festzulegen, an welchen Stellen Sensoren mit welcher Funktion zum Einsatz kommen sollen, muss zunächst die technische Infrastruktur am Internet-Übergang detailliert erhoben werden. Hierzu ist die Ist-Aufnahme aus Abschnitt 1.1 zu verfeinern. Zu beantwortende Fragestellungen in diesem Zusammenhang sind unter anderem:

• Welche Funktionen haben die einzelnen Komponenten und wie sind sie aufgebaut?

  • Betriebssystem,
  • Konfiguration,
  • Anwendungssoftware,
  • Versionen der Softwareprodukte.

• Gibt es spezifische Management-Systeme für die Komponenten (z. B. Firewall-Management, System-Management)? Falls ja:

  • Wo sind diese Management-Systeme platziert?
  • Wie erfolgt der Zugriff auf die Management-Systeme?

• Wie ist der Verkehrsfluss zwischen den Komponenten?

  • Welche Protokolle/Dienste werden genutzt?
  • In welcher Richtung erfolgt der Verbindungsaufbau?

Für die anschließende Diskussion unterschiedlicher Sensorplatzierungen ist es sehr hilfreich und empfehlenswert, die Komponenten und ihre Kommunikationsverbindungen in einem Netzwerkdiagramm darzustellen!

2.2 Ist-Aufnahme der bestehenden Incident-Response-Organisation

Wenn Schadensereignisse erkannt werden, sollte darauf angemessen reagiert werden. Hierfür definierte Vorgehensweisen werden als Incident-Response bezeichnet und umfassen neben der Schadenserkennung auch die Schadensbegrenzung und -behebung. Zur Reaktion auf IT-spezifische Sicherheitsvorfälle unterhalten einige Behörden und Unternehmen eigene Abteilungen oder Teams, wie z. B. CSIRTs (Computer Security Incident Response Teams), Katastrophenvorsorge-Teams und/oder IT-Krisenstäbe.

Sofern es bereits eine Organisation für das Incident-Response im Unternehmen gibt, sollte der Einsatz des Intrusion-Detection hiermit koordiniert werden. Falls in einigen Bereichen Eskalationsverfahren etabliert sind, sollte untersucht werden, ob und wie die Eskalation bei IDS-Alarmen hiermit verknüpft werden kann. Vorliegende Erfahrungen können zu Synergieeffekten führen. Wenn bislang noch keine Incident-Response-Organisation definiert und etabliert ist, so ist diese im Rahmen der IDS-Einführung festzulegen, um geeignet auf durch das IDS erkannte Sicherheitsvorfälle zu reagieren.

Für die Festlegung einer Incident-Reponse-Organisation für den Betrieb des IDS ist zunächst zu erheben, welche Prozesse es im Hause bereits für die Meldung und Verfolgung von Sicherheitsvorfällen gibt. Zu beantwortende Fragestellungen in diesem Zusammenhang sind beispielsweise:

• Gibt es bereits Vorgehensweisen zur Verfolgung von Problemen und Sicherheitsvorfällen im Unternehmen?

  • Welche Vorgehensweisen sind definiert?
  • An welcher Stelle laufen Problemmeldungen auf?

• Gibt es ein System-Management, auf dessen Basis z. B. der Ausfall von Servern erkannt wird?

  • An welcher Stelle laufen die entsprechenden Alarme auf?

• Gibt es eine zentrale Stelle, bei der Problemmeldungen und Alarme gebündelt auflaufen?

  • Zu welchen Zeiten ist diese Stelle besetzt?
  • Über welche technischen Medien (Ticketing-System, E-Mail) erfolgen Alarmierungen und Problemmeldungen bislang?

2.3 Konkretisierung der Ziele des IDS-Einsatzesn

Im Rahmen der Bedarfsfeststellung wurde bereits die Relevanz der Nutzenaspekte eines IDS-Einsatzes ermittelt. An dieser Stelle werden die mit dem Einsatz eines IDS verbundenen Zielsetzungen konkretisiert. Hierzu sind im Anhang 2.1 Fragestellungen zu den einzelnen Zielsetzungen angegeben, die möglichst detailliert beantwortet werden sollten.

2.4 Anforderungsanalyse

Auf Basis der Zielsetzungen und der Ist-Situation sind Anforderungen an das IDS abzuleiten und zu dokumentieren. Das Vorgehen umfasst

• die Festlegung einer Gewichtung,
• die Ableitung von Anforderungen aus der Ist-Situation und den Zielsetzungen sowie
• die Dokumentation der Anforderungen.

Festlegung einer Gewichtung

Zunächst sind mögliche Gewichte für die Anforderungen festzulegen. Dabei sollten mindestens die vier nachstehend angegebenen Gewichtungen unterschieden werden. Bei Bedarf können weitere Gewichtungen vorgesehen werden.

Ausschluss- / k.o.-Kriterium:	Das einzusetzende IDS muss die Anforderung erfüllen.
Soll-Kriterium:	Das IDS soll die Anforderung erfüllen.
Wunsch-Kriterum:	Die Anforderung wird als "nice-to-have" eingestuft.
Irrelevantes Kriterium:	Die Erfüllung der Anforderung ist für die Ziele und Ist-Situation nicht relevant.

Ableitung und Dokumentation von Anforderungen

Die Abhängigkeiten zwischen Ist-Situation und Zielsetzungen sowie die an das IDS zu stellenden Anforderungen sind in Anhang 2.4 beschrieben. Die Beschreibung orientiert sich an Fragestellungen zur Ist-Situation und den Zielsetzungen. Zur Ableitung der Anforderungen sind die Fragen durchzugehen.

Zur Dokumentation der Anforderungen und ihrer Gewichtung ist in Anhang 2.5 eine Vorlage angegeben. Diese enthält nicht nur Anforderungen, die von Ist-Situation und Zielsetzungen abhängen, sondern auch Basisanforderungen, die von IDS allgemein erfüllt werden sollten. Vor jeder Anforderung ist dabei ein Feld zur Angabe des Gewichts der Anforderung vorgesehen.

2.5 Sensortypen und Sensorplatzierung

Basis für die Diskussion möglicher Sensorplatzierungen bildet das Netzwerkdiagramm des Internet-Übergangs. Die Vorgehensweise zur Ermittlung sinnvoller Platzierungen ist in der nachstehenden Abbildung dargestellt.

Für sämtliche möglichen Sensorpositionen ist zu diskutieren, ob eine Platzierung an der jeweiligen Position sinnvoll ist.

Platzierung von Netzsensoren

Mögliche Platzierungen von Netzsensoren werden in Anhang 2.2 beispielhaft für den vom BSI empfohlenen 3-stufigen Internet-Übergang [BSI 1-02] diskutiert.

Bei der Priorisierung der sinnvollen Sensorpositionen ist zu überlegen und zu dokumentieren, an welchen Punkten eine Sensorplatzierung besonders wichtig ist und an welchen sie weniger wichtig ist. Zu berücksichtigen ist bei der Priorisierung

• wie weit die jeweilige Platzierung zum Erreichen der IDS-Einsatzziele beiträgt,
• durch welche Platzierungen sich Synergieeffekte ergeben (z. B. kann derselbe Verkehrsfluss ggf. an unterschiedlichen Positionen durch Netzsensoren abgegriffen werden) und
• ob eine Überwachung des Netzverkehrs an der jeweiligen Position effizient möglich ist. Dabei sind die in Anhang 2.2 aufgeführten Grundsätze zu beachten.

Platzierung von Hostsensoren

Mögliche Platzierungen für Hostsensoren sind die verschiedenen Serversysteme der IT-Infrastruktur am Netzübergang. Im Rahmen der Konkretisierung der Ziele des IDS-Einsatzes wurde bereits geklärt, für welche Systeme und Applikationen eine Überwachung besonders wichtig ist.

Hostsensoren werden immer auf dem zu überwachenden System installiert und betrieben. Bei der Diskussion, ob ein Hostsensor auf einem bestimmten System platziert werden soll, sind zuständige System- bzw. Applikationsverantwortliche mit einzubinden. Diese können konkret darüber Auskunft geben, welche Logdaten das System bzw. die Applikation liefert und ob deren Überwachung sinnvoll ist. Eine weitere Voraussetzung für die Platzierung eines Hostsensors ist, dass Kapazitäten (CPU, Speicher) zum Betrieb des Sensors auf dem zu überwachenden Host vorhanden sind. Dabei sollte von einer Systembelastung von bis zu 5% der CPU-Last durch den Sensor ausgegangen werden.

Für die Platzierung von Hostsensoren ist des Weiteren zu prüfen, ob bestehende Wartungsverträge die Installation eines Sensors auf dem System zulassen. Falls eine Platzierung des Sensors auf dem System nicht zulässig ist, kann eine eingeschränkte Überwachung der Logdaten ggf. über einen zusätzlich zu betreibenden Logserver erfolgen.

Priorisierung der Platzierungen

Die Priorisierung vereinfacht die Spezifikation von Lösungsansätzen mit einer geringeren Anzahl von Sensoren, die z. B. im Rahmen der Entscheidungsvorlage Alternativlösungen darstellen können. Des Weiteren dient die Priorisierung bei der späteren Inbetriebnahme der Sensoren als Richtschnur für die Reihenfolge der Inbetriebnahme.

2.6 Festlegung einer geeigneten Organisation

Für die Festlegung einer geeigneten Organisation wird zunächst eine generisches Rollenmodell beschrieben, dass dann auf die konkrete Organisation abzubilden ist.

Es ist zu entscheiden, welchen internen Stellen (Mitarbeitern, Abteilungen, Bereichen) die Rollen bzw. Zuständigkeiten und Verantwortlichkeiten zugewiesen werden.

Generisches Rollenmodell

Für den Betrieb des IDS wird zwischen folgenden Rollen unterschieden:

• ManagerIDS
  Der IDS-Manager vertritt die Belange des IDS gegenüber der Entscheidungsebene.
• IDS-Administration
  Die IDS-Administration kümmert sich um sämtliche Aufgaben im Zusammenhang mit der Verwaltung, Wartung und Konfiguration des IDS. Sie kalibriert das IDS und wertet regelmäßig die Meldungen des IDS aus. Im Fall des Betriebs hostbasierter Sensoren sind die Zuständigkeiten für deren Betrieb und Kalibrierung zwischen IDS-Administration und den jeweiligen System- bzw. Anwendungsverantwortlichen abzustimmen.
• IDS-Monitoring
  Die Alarme des IDS laufen beim IDS-Monitoring auf. Das IDS-Monitoring initiiert die entsprechende Eskalation an das IDS-Incident-Response.
• IDS-Incident-Response
  Das IDS-Incident-Response ist zuständig für eine zeitnahe und angemessene Reaktion auf Alarme sowie eine ggf. erforderliche, weitere Eskalation. Es ermittelt Ursachen und Auswirkungen des gemeldeten Ereignisses und leitet ggf. schadensreduzierende oder -behebende Maßnahmen ein.

Das Zusammenspiel der Rollen ist in der nachstehenden Abbildung skizziert.

Eine personelle Trennung der Rollen ist nicht erforderlich. Es ist vielmehr sinnvoll, dass die Rollen des IDS-Monitoring und IDS-Incident-Response – soweit möglich – während der üblichen Arbeitszeit von der IDS-Administration wahrgenommen werden.

Es ist festzulegen, wer die oben angesprochenen Rollen wahrnehmen soll.

IDS-Manager

Als IDS-Manager eignet sich z. B. ein Mitarbeiter des IT-Sicherheitsmanagements. Prädestiniert für dieses Aufgabe ist der Leiter des aktuellen Projekts zur IDS-Einführung.

Zur Wahrnehmung seiner Aufgaben benötigt der IDS-Verantwortliche Kenntnisse über die Funktionalität und Grenzen des eingesetzten IDS. Er sollte sämtliche bereichsübergreifenden und technisch nicht detaillierten Fragestellungen zum IDS und dessen Einsatzweise beantworten können. Die Kenntnisse sollten folgende Punkte beinhalten:

• Einsatzzweck, Nutzen und Grenzen des IDS,
• Sensorarten des IDS sowie kontrollierbare Netze und Systeme,
• Einsatzweise des IDS (insbesondere Sensorplatzierungen),
• Organisation des Incident-Handling/Notfallbearbeitung sowie
• Datenschutz und rechtliche Aspekte des IDS-Einsatzes.

IDS-Administration

Ein IDS ist ein komplexes, technisches Werkzeug, dessen Administration tiefgehende Kenntnisse sowohl über die zu schützende IT-Infrastruktur als auch über Angriffe und Sicherheitsverletzungen erfordert. Als IDS-Administratoren eignen sich grundsätzlich sowohl Administratoren bestehender Schutzkomponenten am Internet-Übergang mit Hintergrundwissen im Bereich IT-Sicherheit als auch technisch versierte Mitarbeiter des IT-Sicherheitsmanagements.

Die IDS-Administration sollte grundlegende Kenntnisse aufweisen, über

• die überwachten Netze, Betriebssysteme, Anwendungen und
• Techniken (Firewall, Router) zur Netzabsicherung.

Bei der Einführung, der Kalibrierung und dem Betrieb des IDS benötigt die IDS-Administration darüber hinaus detaillierte Kenntnisse über

• den Ist-Zustand der Infrastruktur (vgl. Phase 2.1), insbesondere

  • zulässige und nicht zulässige Kommunikationsbeziehungen sowie
  • aktuelle Informationen zur Konfiguration geschützter Systeme (Versionen, Patchlevel, etc.), sowie über
• Angriffe, Sicherheitsverletzungen und Maßnahmen, die im Fall erkannter Angriffe oder Sicherheitsverletzungen zu ergreifen sind.

Aus Gründen des Datenschutzes ist der IDS-Administrator darauf zu verpflichten, die Protokolldaten des IDS nur für die mit den Einsatzzielen des IDS verbundenen Zwecke zu nutzen.

IDS-Monitoring

Es ist festzulegen, welche Stelle bzw. welche Stellen wann (während welcher Zeiten) für die Annahme von IDS-Alarmen zuständig sind.

Hierzu ist zunächst auf Grundlage der mit dem IDS-Einsatz verbundenen Zielsetzungen zu überlegen, zu welchen Zeiten die Annahme und Weiterverfolgung von IDS-Alarmen erforderlich ist:

• Annahme und Weiterverfolgung der IDS-Alarme während der Kernarbeitszeit sind ausreichend.
• IDS-Alarme sollen in erweiterten Arbeitszeiten (z. B. Mo-Fr 7:00 - 19:00 Uhr, Sa 8:00-14:00 Uhr) entgegengenommen werden.
• IDS-Alarme müssen rund um die Uhr entgegengenommen werden.

Abhängig von den Anforderungen an die Annahme von Alarmen kann es sinnvoll sein, die Zuständigkeit für die Annahme auf unterschiedliche Stellen zu verteilen (z. B. User-Help-Desk von 8:00-18:00 Uhr, Wachdienst/Gebäudeschutz außerhalb dieser Zeiten).

Das IDS-Monitoring muss über keine IDS-spezifischen Kenntnisse verfügen. Durch geeignete Hilfsmittel (IDS-Eskalationsplan, siehe Phase 5) muss es in die Lage versetzt werden, abhängig vom Alarm die festgelegte Eskalation auszulösen.

Aus Gründen des Datenschutzes ist das IDS-Monitoring darauf zu verpflichten, die Protokolldaten des IDS nur für die mit den Einsatzzielen des IDS verbundenen Zwecke zu nutzen.

IDS-Incident-Response

Wer für die Reaktion auf Alarme des IDS zuständig ist, kann im Einzelfall vom spezifischen Alarm abhängen. Die Verantwortung für unterschiedliche Systeme und Anwendungen kann bei unterschiedlichen Personen bzw. Rollen liegen, die abhängig vom konkreten Alarm zu benachrichtigen sind.

Die Festlegung der Zuständigkeiten im Alarmfall erfolgt daher später im Rahmen der Integration des IDS.

Die angemessene Reaktion auf IDS-Alarmierungen verlangt

• technische Kenntnisse über das eingesetzte IDS und die überwachten Systeme bzw. Netze zur detaillierten Beurteilung von IDS-Meldungen,
• Kenntnisse über mögliche Angriffe auf Netze und Systeme,
• das Vermögen zur realistischen Einschätzung gemeldeter, sicherheitsrelevanter Ereignisse sowie
• Kenntnis der rechtlichen Rahmenbedingungen des Incident-Response.

Aus Gründen des Datenschutzes sind die Mitarbeiter des IDS-Incident-Response darauf zu verpflichten, die Protokolldaten des IDS nur für die mit den Einsatzzielen des IDS verbundenen Zwecke zu nutzen.

2.7 Platzierung der Management- und Auswertungsstation

In diesem Abschnitt wird vereinfachend von einer Management- und Auswertungsstation ausgegangen. Kommen mehrere Stationen zum Einsatz oder erfolgen Management und Auswertung separiert, sind die beschriebenen Überlegungen für jede der zum Einsatz kommenden Stationen unter Berücksichtigung ihrer jeweiligen Kommunikationsanforderungen durchzuführen.

Bei der Platzierung der Management- und Auswertungsstation ist zu beachten, dass die folgenden Anforderungen an die Kommunikation bestehen:

• Kommunikation mit den Netz- und Hostsensoren insbesondere zur Konfiguration der Sensoren und Meldung von Ereignissen.
• Kommunikation mit IT-Systemen für das Intrusion-Response (z. B. Mailserver für das Versenden von E-Mail oder Systemmanagementsysteme als Empfänger von SNMP-Traps).
• Kommunikation mit Clients im internen Netz, die remote auf die Management- und Auswertungsstation zugreifen.

Für die Platzierung der Management- und Auswertungsstation gibt es verschiedene Möglichkeiten:

1. Die Management- und Auswertungsstation wird in einer bestehenden DMZ oder im internen Netz platziert. Für die Kommunikation werden bestehende Übertragungsstrecken genutzt.
2. Für die IDS-Kommunikation wird ein physikalisch separates IDS-Netz eingerichtet, in dem die Management- und Auswertungsstation betrieben wird. Alle Übergänge ins IDS-Netz werden dabei geeignet geschützt.
3. Die Management- und Auswertungsstation wird in einem zusätzlichen Teilnetz betrieben, das am bestehenden Firewall-System eingerichtet wird (separate DMZ, Management-Teilnetz).

Die unterschiedlichen Platzierungen werden im Anhang 2.3 diskutiert. Welche Platzierung gewählt wird, hängt letztlich vom zu erreichenden Sicherheitsniveau und vom zur Verfügung stehenden Budget ab.

2.8 Dokumentation der Ergebnisse

Der Aufbau eines Dokuments "Grobkonzept und Anforderungsanalyse" lehnt sich eng an die vorangegangenen Arbeitsschritte an. Ein Dokumentenrahmen ist in Anhang 2.6 angegeben.