Phase 3: Entscheidungsvorlage

« zur Übersicht

Im Rahmen der Erstellung der Entscheidungsvorlage wird die Machbarkeit des IDS-Einsatzes verifiziert. Die erforderlichen finanziellen und personellen Aufwände für Einführung und Betrieb eines IDS werden abgeschätzt. Adressaten dieser Phase sind das IT-Sicherheitsmanagement bzw. das mit der Ausarbeitung der Entscheidungsvorlage beauftragte Projektteam.

Arbeitsschritte zur Erstellung der Entscheidungsvorlage sind:

1. Marktsichtung
2. Darstellung von Lösungsalternativen (inklusive Kostenabschätzung)
3. Erstellung der Entscheidungsvorlage
4. Managemententscheidung

3.1 Marktsichtung

Im Rahmen der Marktsichtung wird ermittelt, ob und in wie weit die zuvor festgelegten Anforderungen durch marktverfügbare IDS-Produkte erfüllt werden können.

Um einen Überblick über IDS-Produkte, deren Funktionalitäten und zugehörigen Hersteller zu erhalten, empfiehlt es sich, zunächst Testberichte von IDS-Produkten zu studieren. Produkttests von IDS-Produkten sind im Internet von zahlreichen Magazinen und Analysten veröffentlicht. Im Anhang 3.1 ist eine Auswahl von Links angegeben.

Um zu eruieren, ob und in wie weit die zuvor ermittelten spezifischen Anforderungen von marktverfügbaren Produkten abgedeckt werden, empfiehlt es sich, einen Fragebogen zusammenzustellen, in dem die Anforderungen in Form von Fragen formuliert sind, und auf dessen Basis Informationen von Herstellern über deren IDS-Produkte einzuholen.

Neben der Erfüllung der Anforderungen sollten im Fragebogen auch Preise und Aufwandsabschätzungen abgefragt werden:

• Preise der IDS-Komponenten: Netz-/Hostsensoren, Management- und Auswertungskomponenten sowie ggf. erforderliche Zusatzsoftware
• Wartungskosten: Kosten für Signatur- und Softwareaktualisierungen
• Kosten der Herstellerunterstützung (z. B. für Installation und Erstkalibrierung)
• Erfahrungswerte für den Aufwand bei Installation, Inbetriebnahme und Kalibrierung

Auf Basis der erhaltenen Informationen wird ersichtlich, ob es geeignete Produkte am Markt gibt und welche Teilmengen der Anforderungen praktisch abgedeckt werden können.

3.2 Darstellung von Lösungsansätzen

Auf Grundlage der vorliegenden Informationen sind realisierbare und sinnvolle Lösungsansätze darzustellen. Dabei sollten vorliegende Randbedingungen, wie Budgetobergrenzen oder verfügbare personelle Kapazitäten für Einführung und Betrieb des IDS, bereits berücksichtigt werden.

Unterschiedliche Lösungsansätze können sich unter anderem aus folgenden Gründen ergeben:

• Die Anforderungen werden von IDS-Produkten oder Produktgruppen nur teilweise und in unterschiedlichem Maße erfüllt.
• IDS-Produkte ähnlicher Funktionalität werden in unterschiedlicher Weise eingesetzt.
• Es werden unterschiedlich viele Sensoren vorgesehen. Für die Sensorplatzierung ist dabei die im Grobkonzept erfolgte Priorisierung zu berücksichtigen.

Des Weiteren ist zu berücksichtigen, dass der Integrationsaufwand von Hostsensoren deutlich höher ist als der Integrationsaufwand von Netzsensoren, da Netzsensoren im Gegensatz zu Hostsensoren im Wesentlichen unabhängig von der bestehenden IT-Infrastruktur integriert und betrieben werden können.

Falls es am Markt keine geeigneten Produkte gibt, ist zu prüfen, ob Basisanforderungen durch Entwicklung geeigneter Software oder durch "manuelle Ereigniserkennung" sinnvoll erfüllt werden können.

Für die unterschiedlichen Lösungsansätze sind die zu erwartenden Kosten und Aufwände abzuschätzen. Beim Einsatz eines marktverfügbaren IDS fallen typischerweise folgende Arten von Aufwänden und Kosten an:

• Kosten für IDS-Produkte, Einführungsunterstützung, Wartung, ggf. HW/SW-Plattformen und ggf. erforderliche Zusatzsoftware,
• Personelle Aufwände für die IDS-Beschaffung und IDS-Einführung (Installation, Integration, Inbetriebnahme, Konfiguration und Kalibrierung),
• Personelle Aufwände für den IDS-Betrieb (IDS-Administration, IDS-Monitoring ). Die Aufwände für die Reaktion auf IDS-Meldungen lassen sich nur schlecht abschätzen, da sie vom jeweiligen Vorfall abhängen. Sie werden daher an dieser Stelle nicht berücksichtigt.

Eine grobe Abschätzung typischer Kosten und Aufwände ist in Anhang 3.2 gegeben.

Das Verhältnis zwischen verfügbarem Budget und verfügbaren personellen Ressourcen kann dabei die Entscheidung zwischen dem Kauf eines IDS oder dem Einsatz von Open Source Software (z. B. Snort) beeinflussen: Falls interne personelle Ressourcen eng begrenzt sind, jedoch finanzielle Mittel zu Verfügung stehen, empfiehlt sich der Kauf eines IDS-Produkts inklusive Herstellerunterstützung. Falls umgekehrt finanzielle Mittel sehr begrenzt sind, jedoch IT-Personal verfügbar ist, kann der Einsatz von Open Source Software eine sinnvolle Alternative darstellen. Im Vergleich zur Einführung kommerzieller IDS-Produkte ist beim Einsatz von Open Source Software von zusätzlichen Aufwänden für die Anpassung und Erweiterung der Software auszugehen, um ein in der jeweiligen Einsatzumgebung sinnvoll einsetzbares IDS zu erhalten.

3.3 Erstellung der Entscheidungsvorlage

Die Entscheidungsvorlage dient dem Management (Entscheidungsebene) als Basis zur Entscheidung über Einführung und Betrieb eines IDS.

Mit der Entscheidungsvorlage sind dem Management alle notwendigen Informationen bereitzustellen, um über das weitere Vorgehen hinsichtlich Einführung und Betrieb von IDS entscheiden zu können. Die Darstellung hat prägnant und auf die wesentlichen Informationen reduziert zu erfolgen.

Wesentliche Inhalte sind

• die Beschreibung der mit dem Einsatz eines IDS verbundenen Zielsetzungen,
• die Skizzierung und Diskussion von Lösungsalternativen inklusive Kosten-Nutzen-Analysen sowie
• die abschließende Empfehlung einer der dargestellten Lösungsalternativen inklusive der zu erwartenden Aufwände.

Ein Dokumentenrahmen für eine Entscheidungsvorlage ist in Anhang 3.3 angegeben.

3.4 Managemententscheidung

Auf Basis der Entscheidungsvorlage entscheidet das Management, ob und welcher der beschriebenen Lösungsansätze weiterverfolgt werden soll. Hiermit ist im Allgemeinen die Freigabe der abgeschätzten finanziellen Mittel sowie der personellen Ressourcen verbunden. Zusätzlich zur Entscheidung des Managements ist die Zustimmung des Betriebs- bzw. Personalrats und des Datenschutzbeauftragten zu dem ausgewählten Lösungsansatz und den damit verbundenen Zielsetzungen einzuholen.