Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen

Phase 7: Revision

« zur Übersicht

In diesem Kapitel werden Vorgehensweisen für die Revision des IDS-Einsatzes beschrieben. Es wendet sich an das IT-Sicherheitsmanagement bzw. das IDS-Projektteam und an für die Revision zuständige Mitarbeiter. Für den Einsatz des IDS als ergänzende Schutzmaßnahme am Netzübergang zum Internet wird empfohlen, die Revision des IDS und der Firewall-Systeme am Netzübergang gemeinsam durchzuführen.

Die Häufigkeit und Tiefe der Prüfungen richtet sich nach dem zu erreichenden Sicherheitsniveau. Auch für diese Parameter wird empfohlen, sie an die Revision des Firewall-Systems anzulehnen.

Den Ausgangspunkt und die Grundlage für die Revision des IDS bilden die Dokumente, in denen die Einsatzweise und der aktuelle Stand des IDS beschrieben sind. Diese sind

  • der IDS-Eskalationsplan,
  • das Betriebshandbuch des IDS und
  • die Dokumentation der Softwareversionen und Aktualisierungen.

Grundlegende Revisionsschritte

Bei der Revision des IDS können grundsätzlich drei aufeinander aufbauende Schritte unterschieden werden:

  1. Prüfung der Dokumentation
    Bei der Prüfung der Dokumentation wird geprüft, ob die zuvor aufgeführten Dokumente vorliegen und inhaltlich vollständig sind. Eine Basis zur Kontrolle der Vollständigkeit können die im vorliegenden Leitfaden enthaltenen Beschreibungen bilden. Konkrete Fragestellungen und Prüfmethoden sind in Anhang 7.1 angegeben.
  2. Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs
    Bei ordentlicher Dokumentation ist zu prüfen, ob der IDS-Einsatz und Betrieb gemäß dieser Dokumentation erfolgt. Hierzu ist die technische Einsatzweise des IDS zu verifizieren und die Umsetzung organisatorischer Maßnahmen im Umfeld des IDS zu prüfen. Konkrete Fragestellungen und Prüfmethoden sind in Anhang 7.2 angegeben.
  3. Prüfung der Wirksamkeit des IDS und des Incident-Handling
    Die Prüfung der Wirksamkeit des IDS beinhaltet sowohl eine Kontrolle der Konfiguration und Kalibrierung des IDS als auch eine praktische Kontrolle der Wirksamkeit des IDS durch geeignete Penetrationstests. Es wird untersucht, ob die IDS-Sensoren Angriffe und Sicherheitsverletzungen erkennen und ob in der festgelegten Weise technisch und organisatorisch reagiert wird. Konkrete Fragestellungen und Prüfmethoden sind in Anhang 7.3 angegeben.

Unterschiedliche Vorgehensweisen für die Revision

Im Rahmen einer Revision lediglich die Dokumentation zu prüfen, ist nicht sinnvoll. Hierbei würde beispielsweise nicht geprüft, ob überhaupt ein IDS eingesetzt wird. Aus diesem Grund wird zwischen zwei Vorgehensweisen mit verschiedenen Revisionstiefen unterschieden, die sich deutlich im Aufwand und in den notwendigen Kenntnissen des Revisors unterscheiden. In beiden Vorgehensweisen erfolgt keine vollständige Kontrolle sämtlicher zu prüfender Punkte. Vielmehr wird stichprobenhaft ermittelt, ob der Einsatz des IDS und die flankierende Organisation den vorgegebenen, dokumentierten Anforderungen genügt.

  • Vorgehen 1: Prüfung der Rahmenbedingungen
    Bei der Prüfung der Rahmenbedingungen werden alle Voraussetzungen für einen wirksamen IDS-Einsatz verifiziert, ohne die Wirksamkeit des IDS direkt zu prüfen. Die Prüfung der Rahmenbedingungen umfasst die o. g. Schritte der Prüfung der Dokumentation und der Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs.
    Die Prüfung erfordert vom Revisor lediglich grundlegende Kenntnisse über die eingesetzten Systeme und Netze. Sie wird mit Unterstützung der IDS-Administration durchgeführt.

  • Vorgehen 2: Vollständige Prüfung
    Bei der vollständigen Prüfung wird über die Rahmenbedingungen hinaus auch die Wirksamkeit des IDS und Incident-Handlings geprüft. Sie umfasst die drei o. g. Revisionsschritte.
    Die Wirksamkeit des IDS wird dabei durch einen Penetrationstest verifiziert. Im Rahmen der vollständigen Prüfung ist es vorteilhaft, diesen Penetrationstest vor der Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs durchzuführen. Bei der Prüfung des ordnungsgemäßen IDS-Einsatzes und Betriebs kann dann direkt geprüft werden, ob die im Rahmen der Penetration versuchten Angriffe und Sicherheitsverletzungen vom IDS gemeldet wurden.
    Die vollständige Prüfung des IDS erfordert vom Revisor ähnlich tiefgehende Kenntnisse wie die der IDS-Administration. Die Prüfung setzt Kenntnisse in folgenden Gebieten voraus:

    • Kenntnisse über die überwachten Netze, Systeme und Anwendungen
    • Kenntnisse über Techniken (Firewall, Router) zur Netzabsicherung
    • Aktuelle Kenntnisse über mögliche Angriffe auf Netze und Systeme
    • Kenntnisse über das eingesetzte IDS

    Sofern Mitarbeiter der Revision auf diesen Gebieten nicht über die entsprechenden Detailkenntnisse und Erfahrungen verfügen, wird empfohlen, die Revision durch einen Sicherheitsexperten begleiten zu lassen, der über die notwendigen Kenntnisse und Erfahrungen verfügt.

Revisionsrichtlinie

Richtlinien für die Revision des IDS sollten in einer Revisionsrichtlinie dokumentiert werden. Ein Dokumentenrahmen für eine Revisionsrichtlinie ist in Anhang 7.4 angegeben.

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik

Kurz-URL:
https://www.bsi.bund.de/dok/6624188