Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen

Phase 4: Feinkonzept und Produktauswahl

« zur Übersicht

Nach der Managemententscheidung ist geklärt, ob und in welcher Weise ein IDS-Einsatz erfolgen soll. Jetzt sind weitere Einzelheiten zum IDS-Einsatz festzulegen. Anschließend ist ein geeignetes IDS-Produkt auszuwählen und zu beschaffen. Diese Phase des Leitfadens richtet sich an das IT-Sicherheitsmanagement bzw. an Mitarbeiter (Projektteam), die mit der Feinkonzeption und Produktauswahl beauftragt wurden.

Arbeitsschritte dieser Phase sind:

  1. Feinkonzeption
  2. Produktauswahl
  3. Produktbeschaffung

4.1 Feinkonzeption

In der Phase "Grobkonzept und Anforderungsanalyse" wurden Soll-Anforderungen und Soll-Einsatzweise für ein einzusetzendes IDS beschrieben. Im Rahmen der Entscheidungsvorlage ausgearbeitete Lösungsansätze können hiervon abweichen, falls z. B. marktverfügbare IDS-Produkte nur eine Teilmenge der Anforderungen erfüllen, eine Spezialentwicklung jedoch aus Kostengründen abgelehnt wird. Bei der Feinkonzeption sind daher zunächst Zielsetzungen, Anforderungsanalyse und Grobkonzept dem im Rahmen der Managemententscheidung verabschiedeten Lösungsansatz anzupassen.

Im Rahmen des Feinkonzepts sind die Einzelheiten zum IDS-Einsatz festzulegen, die unabhängig davon sind, welches IDS-Produkt letztlich eingesetzt wird. Hierzu zählen:

  • Ggf. für den Einsatz des IDS erforderliche Änderungen an der bestehenden Netzinfrastruktur.
  • Festlegung der Art des Abgriffs des Netzverkehrs beim Einsatz von Netzsensoren. Unterschiedliche Möglichkeiten (TAP, Hub, Switch) werden in Anhang 4.1 kurz erläutert.
  • Ermittlung der Komponenten, die zusätzlich für die technische Integration des IDS benötigt werden (Hub, TAPs, Switches, ggf. Router, zusätzliche Interfaces für bestehende Rechner).
  • Klärung, ob und welche Konfigurationsänderungen an bestehenden Komponenten erforderlich sind.

Viele Einzelheiten des IDS-Einsatzes sind jedoch produktabhängig und können daher erst nach der Produktauswahl festgelegt werden. Dies betrifft z. B. die Kommunikation zwischen den IDS-Komponenten sowie die Konfiguration des IDS.

Falls Komponenten lastverteilt oder im Standby betrieben werden, sind folgende weitere Punkte im Rahmen des Feinkonzepts zu klären:

  • Lastverteilung:
    Es ist festzulegen, in welcher Weise ein Abgriff des Netzverkehrs und ein Einsatz von Netzsensoren zu erfolgen hat, damit der Netzverkehr vollständig überwacht wird. Unterschiedliche Ansätze hierzu sind in Anhang 4.2 angegeben.
  • Multicast-Betrieb:
    Multicast ist eine häufig genutzte Form der Lastverteilung, bei der mehrere Systeme unter derselben Adresse (z. B. IP- und MAC-Adresse) angesprochen werden und die Verarbeitung eingehender Daten/Verbindungen zwischen den Systemen verteilt wird. Gemeint ist hier nicht ein IP-Multicast, bei dem mehrere Rechner mit unterschiedlichen IP-Adressen Datenpakete mit einer bestimmten IP-Zieladresse (aus dem Multicast-Adressbereich) annehmen und verarbeiten. Dabei entsteht die Problematik, den zu überwachenden Netzverkehr einerseits vollständig und andererseits nur genau einmal abzugreifen. Problematik und Lösungsmöglichkeiten werden in Anhang 4.3 näher erläutert.
  • Standby-Betrieb:
    Es ist zu entscheiden, ob auch im Standby-Fall eine Überwachung erfolgen soll. Falls ja, müssen zusätzliche Netz- und Hostsensoren vorgesehen werden, um die im Standby-Fall genutzten Übertragungswege und IT-Systeme in die Überwachung einzubeziehen. Gegen die Überwachung im Standby-Fall spricht, dass dieser im Allgemeinen selten eintritt und nur von kurzer Dauer sein sollte. Daher steht dem Zusatzaufwand ein eher geringer Zusatznutzen gegenüber.

Da die IDS-Administration für wesentliche Aufgaben der nachfolgenden Phase "Integration" zuständig ist, ist bereits jetzt festzulegen und im Feinkonzept zu dokumentieren, welche Mitarbeiter die Rolle der IDS-Administration übernehmen sollen.

Die Zuständigkeit für die Administration von Hostsensoren ist dabei zwischen IDS-Administration und dem Verantwortlichen, der für das vom Hostsensor überwachte System bzw. die überwachte Anwendung zuständig ist, abzustimmen. Folgende Aufgabenteilung wird dabei vorgeschlagen:

  • Der System- bzw. Anwendungsverantwortliche legt die Kalibrierung des Hostsensors fest, d. h. er gibt vor, was der Hostsensor erkennen soll und wie das IDS hierauf reagieren soll. Diese Aufgabe sollte der System- bzw. Anwendungsverantwortliche deshalb übernehmen, da er sich mit Details des zu überwachenden Systems bzw. der zu überwachenden Anwendung auskennt und er den Nutzen aus dem Einsatz des Hostsensors zieht.
  • Die IDS-Administration setzt die Vorgaben des System- bzw. Anwendungsverantwortlichen um. Diese Aufgabe sollte die IDS-Administration deshalb übernehmen, da sie sich mit der Konfiguration und Bedienung des IDS auskennt und die IDS-Konfiguration auf wenige Mitarbeiter konzentriert bleibt.

4.2 Produktauswahl

Auf Basis der Anforderungen ist ein geeignetes IDS-Produkt auszuwählen.

Im öffentlichen Bereich erfolgt hierzu typischerweise eine Ausschreibung auf Grundlage der Anforderungen und der im Feinkonzept dokumentierten Einsatzweise für ein IDS. Falls der Kreis der möglichen Produkte im Rahmen der Marktsichtung und Machbarkeitsermittlung bereits sinnvoll eingegrenzt werden konnte, ist dabei eine entsprechende Beschränkung der Ausschreibung sinnvoll.

Bei der Ausschreibung sind neben dem eigentlichen IDS-Produkt folgende Punkte zu berücksichtigen:

  • Einführungsunterstützung durch den Auftragnehmer/Lieferanten.
  • Produktwartung inklusive regelmäßiger Signatur-Updates.
  • Erforderliche HW/SW-Plattformen.
  • Ggf. erforderliche Zusatzsoftware. Manche IDS erfordern den Einsatz von Zusatzsoftware (wie etwa Webserver oder Datenbanken), die zusätzliche Kosten verursachen.
  • Mitarbeiterschulung bzw. -einweisung.

Die Ausschreibung kann dabei einen unterschiedlichen Umfang aufweisen:

  • In jedem Fall sollten IDS-Produkte, Einführungsunterstützung (inklusive Mitarbeitereinweisung) und Wartung für das IDS ausgeschrieben werden. Für Produkte, die zum Einsatz des IDS erforderlich sind (z. B. TAPs, Webserver, HW/SW-Plattformen) ist zu prüfen, ob sie sinnvoller und kostengünstiger direkt beschafft werden können (z. B. aufgrund bestehender Rahmenverträge) oder ob sie mit ausgeschrieben werden, um eine Komplettlösung aus einer Hand zu erhalten.
  • Darüber hinaus kann die Ausschreibung die vollständige Integration des IDS in die Einsatzumgebung inklusive Erstkalibrierung des IDS umfassen. Voraussetzung hierfür ist jedoch, dass die Einsatzziele des IDS so konkret beschrieben sind, dass sie als Abnahmekriterien für eine erfolgreiche IDS-Integration dienen können.
  • Alternativ kann neben der Integration auch der IDS-Betrieb mit ausgeschrieben werden. Neben den zuvor genannten Punkten sind dabei zusätzlich die Argumente pro und contra eines IDS-Outsourcing zu beachten (s. Kapitel "Outsourcing" im IDS-Grundlagendokument). Sicherheitsrelevante Bedingungen für ein Outsourcing sind in die Ausschreibung aufzunehmen.

Im privatwirtschaftlichen Bereich ist häufig bereits mit der Entscheidung für einen Lösungsansatz im Rahmen der Entscheidungsvorlage auch eine Produktentscheidung gefallen. In diesem Fall werden der Hersteller oder Lieferanten direkt angesprochen und um ein Angebot gebeten. Falls sich mehrere Produkte im Rahmen der Marktsichtung für den ausgewählten Lösungsansatz als gleichwertig herausgestellt haben, werden typischerweise auf Basis der Anforderungen und des Feinkonzepts Angebote von mehreren Herstellern bzw. Lieferanten eingeholt.

Falls bei der Produktauswahl festgestellt wird, dass entweder keine Produkte am Markt verfügbar sind, welche die Anforderungen hinreichend abdecken, oder die anzusetzenden Kosten deutlich von den in der Entscheidungsvorlage abgeschätzten Kosten abweichen, ist eine Überarbeitung der Entscheidungsvorlage erforderlich.

Die Zustimmung des Betriebs- bzw. Personalrats und des Datenschutzbeauftragten zum Einsatz des ausgewählten IDS-Produkts in der im Feinkonzept spezifizierten Weise ist einzuholen.

4.3 Produktbeschaffung

Die Produktbeschaffung umfasst insbesondere die Beschaffung der gesamten für den Einsatz des IDS erforderlichen Technik inklusive Wartung. Zusätzlich wird ggf. personelle Unterstützung für die Integration des IDS eingekauft.

Es wird empfohlen, vor dem Einkauf eines IDS-Produkts dessen technische Integrierbarkeit und Funktionalität hinsichtlich der Zielsetzungen im Rahmen eines Testbetriebs zu verifizieren. Am aussagekräftigsten ist hierzu ein Test des IDS in einer eigenen Testumgebung, die technisch weitgehend mit der Produktionsumgebung übereinstimmt.

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik

Kurz-URL:
https://www.bsi.bund.de/dok/6624152