Hilfsmittel für die Bedarfsfeststellung

« zur Übersicht

Folgende Hilfsmittel werden für die Grobkonzeption und Anforderungsanalyse bereitgestellt:

• 1.1 Vorlage für Management-Einführung in das Thema IDS
• 1.2 Bewertete Einflussfaktoren
• 1.3 Beispielszenarien

1.1 Vorlage für Management-Einführung in das Thema IDS

Im Bereich infrastruktureller Maßnahmen ist der Einsatz von Alarmanlagen gängige Praxis. Auch wenn Sicherheitsbereiche bereits durch Wände, einbruchshemmende Türen und Fenster gut geschützt sind, wird auf den zusätzlichen Einsatz von Alarmanlagen im Allgemeinen nicht verzichtet.

Abgebildet auf die Ebene der IT-Kommunikation übernehmen IDS in vielerlei Hinsicht die Funktion von Alarmanlagen. Sie können Angriffe und Angriffsversuche im Netzverkehr aufspüren und Sicherheitsverletzungen in Systemen und Anwendungen feststellen.

Ihr Internet-Übergang ist sicherlich durch ein Firewall-System geschützt. Aber haben Sie auch schon eine Alarmanlage, die Ihnen mitteilt, wenn trotz Firewall Angriffe nach innen durchdringen oder Einbrüche in kritische Serversysteme erfolgen? Die Überwachung erfolgt dabei durch Sensoren, die entweder als eigenständige Systeme den Netzverkehr überwachen (Netzsensoren) oder als Agenten auf den zu überwachenden Systemen betrieben werden (Hostsensoren). Die Auswertung der gemeldeten Ereignisse und das Management der Sensoren erfolgen typischerweise über zentralisierte Konsolen.

Ein Firewall-System filtert den Datenfluss gemäß vorgegebener Regeln. Es lässt nur den zulässigen Verkehr passieren und bietet somit eine aktive Sicherheit. Die nachfolgenden Beispiele demonstrieren Grenzen von Firewall-Systemen, bei denen IDS nutzbringend eingesetzt werden können.

• Überwachung der Funktion und Konfiguration der Firewall
  Die IT-Komponenten des Firewall-Systems sind selbst Angriffen ausgesetzt. Des Weiteren sind gerade bei komplexen Kommunikationsanforderungen Fehlkonfigurationen der Firewall nicht auszuschließen. Mit einem IDS kann kontrolliert werden, ob die Firewall gemäß ihrer Policy arbeitet oder sicherheitskritischer Verkehr ins interne Netz gelangt.
• Überwachung nicht ausreichend kontrollierter Dienste
  Im allgemeinen prüft die Firewall zwar, wer mit wem über welche Ports kommuniziert, sie kann jedoch häufig nicht den Netzverkehr auf Ebene der Anwendung kontrollieren (da entsprechende Applikations-Gateways im Allgemeinen nicht für sämtliche Dienste verfügbar sind). Gerade auf dieser Ebene finden jedoch viele Angriffe statt, die durch ein IDS erkannt werden können. Des Weiteren kann die Firewall getunnelte oder verschlüsselte Kommunikation nicht analysieren. Auch hier bieten IDS verbesserte Möglichkeiten zur Überwachung.
• Erkennung von Angriffen über sonstige Zugänge
  Firewall-Komponenten kontrollieren den Verkehr nur an einem bestimmten Punkt. Sie können nur Angriffe abwehren, die über sie laufen. Mit einem IDS können hingegen Angriffe unabhängig davon erkannt werden, über welchen Zugang sie erfolgen (z. B. auch Angriffe aus dem internem Netz).

Unabhängig von den Grenzen von Firewall-Systemen können IDS praktisch zu folgenden Zwecken genutzt werden:

• Frühwarnfunktion bei der Erkennung von Angriffen
  IDS können dazu eingesetzt werden, angriffsvorbereitende Aktivitäten zu erkennen. Dies bildet die Voraussetzung dafür, rechtzeitig Maßnahmen zur Angriffsabwehr einzuleiten.
• Erkennung allgemeiner Systemstörungen
  IDS können dazu dienen, allgemeine Systemstörungen zeitnah zu erkennen.
• Erhöhung der Verfügbarkeit kritischer Systeme
  Auf Basis der zeitnahen Erkennung von Angriffen, Sicherheitsverletzungen und Systemstörungen durch ein IDS können Ausfallzeiten verkürzt und resultierende Schäden verringert werden.
• Rückverfolgung und Identifizierung von Angreifern
  Mit einem IDS können detaillierte Kontextinformationen zu Angriffen aufgezeichnet werden, die eine Rückverfolgung von Angreifern erleichtern.
• Automatische Reaktion bei erkannten Angriffen
  IDS bieten zum Teil die Möglichkeit, bei erkannten Angriffen automatisch Gegenmaßnahmen einzuleiten.
• Darstellung der Gefährdungssituation
  Durch die Aufzeichnung von Angriffen und Angriffsversuchen kann die Gefährdungssituation des Internet-Übergangs dargestellt werden.

Diesen Einsatzzwecken stehen folgende Grenzen von IDS gegenüber:

• IDS reagieren erst nach dem Angriff
  IDS schützen nicht vor dem Eintreten von Angriffen. Sie können Angriffe und Sicherheitsverletzungen nicht aktiv abwehren, sondern sie lediglich erkennen und melden.
• IDS erkennen nur Angriffe, auf die sie programmiert wurden
  Wie auch Virenscanner müssen IDS daher regelmäßig aktualisiert werden. Des Weiteren müssen IDS so konfiguriert werden, dass sie genau die Angriffe erkennen, die für den jeweiligen Einsatzzweck relevant sind.
• IDS erlauben keine exakte Angriffserkennung
  IDS sind niemals frei von Fehlalarmen. Eine manuelle Untersuchung und Interpretation gemeldeter Ereignisse ist im Allgemeinen erforderlich. Daher ist die Einleitung automatischer Gegenmaßnahmen durch das IDS häufig nicht sinnvoll.
• IDS erfordern ein Incident-Handling IDS sind nur dann nutzbringend, wenn auf die gemeldeten Ereignisse auch angemessen und zeitnah reagiert wird. Hierzu ist eine geeignete Organisation vorzuhalten.

Der Aufwand zum Aufbau und Betrieb eines IDS hängt stark von Art und Anzahl der eingesetzten Sensoren sowie der zu überwachenden IT-Infrastruktur ab.

Eine grobe Abschätzung der Kosten und Aufwände ist in Anhang 3.2 angegeben.

1.2 Bewertete Einflussfaktoren

Nachstehend sind Faktoren aufgeführt, von denen es abhängt, ob der Einsatz eines IDS sinnvoll ist oder nicht.

1. Architektur und Anzahl der Stufen des Netzübergangs
2. Betriebsumgebung des Firewall-Systems
3. Sonstige Übergänge zum Internet
4. Anzahl und Kontrolle eingehend freigeschalteter Dienste
5. Konfiguration des Firewall-Systems und flankierender Prozesse
6. Regelmäßige Aktualisierung gefährdeter Komponenten
7. Interaktion mit internen Systemen (betrifft insbesondere WWW-Applikationen)
8. Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten
9. Relevante Nutzenaspekte von IDS

Zu den Einflussfaktoren ist das Nutzenpotenzial von IDS hinsichtlich des jeweiligen Faktors unter Berücksichtigung alternativer Maßnahmen beschrieben und bewertet (von gering

bis hoch

).

E1. Architektur und Anzahl der Stufen des Netzübergangs

Wie viele Stufen hat der Netzübergang zum Internet?

1-stufig
2-stufig
3-stufig
mehr als 3 Stufen

Bevor die Entscheidung für den Einsatz eines IDS gefällt wird, ist abzuwägen, ob nicht durch

• ein Änderung der Architektur des Netzübergangs,
• dem Einsatz weiterer aktiver Kontrollkomponenten und/oder
• der Einrichtung zusätzlicher Stufen im Netzübergang

die Sicherheit sinnvoller verbessert werden kann als durch Einführung eines IDS. Insbesondere betrifft dies Internet-Übergänge mit weniger als drei Stufen. Dabei ist zu beachten, dass IDS lediglich Angriffe und Sicherheitsverletzungen erkennen, ihre Möglichkeiten zur aktiven Abwehr von Angriffen jedoch äußerst begrenzt sind.

Die Funktionalität von Schutzkomponenten (Paketfilter, Applikations-Gateway) am Netzübergang kann z. B. durch

• unbeabsichtigte und unbemerkte Fehlkonfiguration von Komponenten,
• den Ausfall von Komponenten oder
• deren Beeinflussung durch Angreifer (etwa Ausnutzen von Implementierungsfehlern)

beeinträchtigt werden. Daher ist es für die Sicherheit eines Netzübergangs bedeutend, dass auch bei Fehlfunktion einer Komponente kein freier Internet-Zugriff auf interne Ressourcen gegeben ist (Fail-Safe). Durch eine Reihenschaltung mehrerer Komponenten lässt sich die Widerstandsfähigkeit des Internet-Übergangs erhöhen. Für den Übergang zum Internet wird ein dreistufiger Netzübergang empfohlen (siehe BSI-Empfehlung [BSI 1-02]). Falls es einem Angreifer gelingt, eine der Komponenten zu überwinden, ist so durch die verbleibenden Komponenten immer noch zumindest ein gewisser Schutz gegeben. Um dem gezielten Ausnutzen von Fehlern in Komponenten einzelner Hersteller vorzubeugen ist darüber hinaus zu empfehlen, Komponenten unterschiedlicher Hersteller zu verwenden.

Zurück zur Übersicht über die Einflussfaktoren

E2. Betriebsumgebung des Firewall-Systems

Werden die Komponenten des Firewall-Systems in einer gesicherten Umgebung betrieben?

Ja	Der Betrieb der Firewall-Komponenten in einer gesicherten Umgebung ist grundlegend für die Sicherheit des Netzübergangs. z. B. ist sicherzustellen, dass Unberechtigte nicht in einfacher Weise Firewall-Komponenten physikalisch überbrücken können. Gleiches gilt auch für den Betrieb eines IDS.
Nein	Bei Einsatz eines IDS sollten auch die IDS-Komponenten in einer gesicherten Umgebung betrieben werden, so dass Manipulationen durch Unberechtigte weitgehend ausgeschlossen sind.

Zurück zur Übersicht über die Einflussfaktoren

E3. Sonstige Übergänge zum Internet

Besteht die Möglichkeit, dass es sonstige Netzübergänge ins Internet gibt?

Sonstige Übergänge könnten z. B. verursacht werden, durch

• den Einsatz von Modems,
• die Verwendung von WLANs,
• weitere Internet-Übergänge z. B. an externen Liegenschaften.

Ja	Andere Übergänge sind möglich. In diesem Fall ist die zusätzliche Überwachung nur des betrachteten Internet-Übergangs durch ein IDS lediglich begrenzt sinnvoll. Ein IDS-Einsatz sollte im erweiterten Rahmen erfolgen und sämtliche Übergangsmöglichkeiten zum Internet berücksichtigen.
Nein	Es gibt keine sonstigen Übergänge in das Internet.

Falls die Erkennung von Angriffen aus dem Internet eine wesentliche Zielsetzung darstellt, ist zu beachten, dass hierzu sämtliche möglichen Internet-Übergänge zu berücksichtigen sind. Falls neben dem betrachteten Internet-Übergang andere Übergänge möglich oder gegeben sind, hat dies in jedem Fall Auswirkungen auf die Einsatzweise des IDS (Platzierung von Sensoren, etc.). Ggf. ist das Ziel einer vollständigen Überwachung nicht erreichbar und ein IDS-Einsatz damit nur bedingt sinnvoll.

Zurück zur Übersicht über die Einflussfaktoren

E4. Anzahl und Kontrolle eingehend freigeschalteter Dienste

Wie viele Dienste sind zwischen internem Netz und Internet freigeschaltet?

Keine	Es kann überwacht werden, dass keine eingehenden Internet-Verbindungen über den Netzübergang oder auf anderen Wegen aufgebaut werden.
Wenige	Es sind lediglich die für Bürokommunikation üblicherweise genutzten Dienste freigeschaltet (eingehend: E-Mail, ausgehend: E-Mail, DNS, HTTP/HTTPS). Es kann überwacht werden, dass die freigeschalteten Dienste nicht missbräuchlich eingesetzt werden und dass keine spezifischen anderen Dienste genutzt werden.
Viele	Weitreichende Kommunikationsanforderungen erfordern die Freischaltung einer Vielzahl von Diensten. Es kann überwacht werden, dass die freigeschalteten Dienste nicht missbräuchlich eingesetzt werden und dass keine spezifischen anderen Dienste genutzt werden.

Wie werden die Dienste durch das Firewall-System kontrolliert?

Die meisten Dienste werden lediglich durch Paketfilter kontrolliert.	Falls es für eingehende Dienste praktische Möglichkeiten zur Verbesserung der Datenflusskontrolle gibt (z. B. durch ein Applikations-Gateway) sollten diese ausgeschöpft werden.
	Falls Komponenten zur Verbesserung der Datenflusskontrolle für eingehende Dienste nicht marktverfügbar oder aus anderen Gründen nicht sinnvoll einsetzbar sind, kann die begrenzte Datenflusskontrolle durch Einsatz von IDS reaktiv verbessert werden.
Eingehende Internet-Dienste werden über Applikations-Gateways kontrolliert.	Durch den Einsatz von Applikations-Gateways ist bereits ein hoher Schutz gegeben. Verbleibende Restrisiken können durch den zusätzlichen Einsatz eines IDS verringert werden. Der Bedarf hängt vom konkreten Schutzbedarf ab.
Die Dienstnutzung erfolgt anonym	Falls die Einführung eines Authentisierungsverfahrens praktisch sinnvoll möglich ist, sollte dies Vorrang gegenüber der Einführung eines IDS haben.
	Falls ein Einsatz von Authentisierungsverfahren praktisch nicht sinnvoll möglich ist, können die anonym aufgebauten Verbindungen durch das IDS überwacht werden.
Die Dienstnutzung erfordert eine Authentisierung.	Eine sichere Authentisierung bietet bereits hohen Schutz gegen Angreifer ohne Zugangsrechte. Verbleibende Restrisiken können durch den zusätzlichen Einsatz eines IDS verringert werden. Der Bedarf hängt vom konkreten Schutzbedarf ab.

Grundsätzlich gilt: Je höher die Anzahl eingehend freigeschalteter Dienste und je schlechter deren Kontrolle, desto höher ist die Wahrscheinlichkeit, dass über einen der Dienste ein Einbruch erfolgt (z. B. durch Ausnutzen ggf. vorhandener Designfehler in einem der Protokolle oder von Implementierungsfehlern in betroffenen Komponenten). Auch wächst mit der Anzahl konfigurierter Kommunikationsbeziehungen (Firewall-Regeln) die Wahrscheinlichkeit von Fehlkonfigurationen des Firewall-Systems.

Vor dem Einsatz eines IDS sollten zur Verfügung stehende Möglichkeiten zur Verbesserung der Datenflusskontrolle eingehender Dienste und zur Authentisierung der Dienstnutzer ausgeschöpft werden, um den aktiven Schutz zu optimieren. Danach verbleibende Restrisiken können durch die zusätzliche Kontrolle des Verkehrs durch ein IDS weiter reduziert werden.

Das IDS kann dabei zu unterschiedlichen Zwecken eingesetzt werden:

• Policy-Kontrolle:
  Gerade bei komplexen Kommunikationsanforderungen kann das IDS sinnvoll dazu eingesetzt werden, sicherheitsgefährdende Kommunikationsverbindungen, die eigentlich durch die Firewall unterdrückt werden sollten, zu erkennen, bei ihrem Auftreten zu alarmieren oder sie ggf. direkt zu unterbrechen.
• Erkennung von Angriffen im Netzverkehr:
  Die Erkennung von Angriffen im Netzverkehr ist insbesondere für die Verbindungen relevant, bei denen der Verkehr nicht durch ein Applikations-Gateway kontrolliert wird. Die verminderte "aktive" Datenflusskontrolle in Diensten, für die kein Applikations-Gateway verfügbar ist, kann dabei teilweise durch die "reaktive" Erkennung von Angriffen und Sicherheitsverletzungen ausgeglichen werden.

Zurück zur Übersicht über die Einflussfaktoren

E5. Konfiguration des Firewall-Systems und flankierende Prozesse

Wie oft ändert sich die Konfiguration des Firewall-Systems?

Eher selten	Die Konfiguration ändert sich eher selten.
Oft (wöchentlich)	Die Konfiguration ändert sich oft (wöchentlich).

Erfolgt vor Konfigurationsänderungen eine Analyse des damit verbundenen Risikos?

Ja	Konfigurationsänderungen erfordern eine interne Freigabe auf Basis einer vorhergehenden Abschätzung des mit der Konfigurationsänderung verbundenen Risikos.
Nein	Wichtige Kommunikationsanforderungen sind häufig ad-hoc einzurichten. Eine Risikoanalyse findet nicht statt.

Werden nicht mehr benötigte Dienste erkannt und gesperrt?

Ja	Es wird regelmäßig geprüft, welche Dienste genutzt werden.
Nein	Prozesse zur Erkennung nicht mehr benötigter Dienste sind nicht explizit definiert.

Wird die Wirksamkeit des Firewall-Systems regelmäßig geprüft?

Ja	Es erfolgen z. B. regelmäßig Penetrationstests.
Nein	Es wird davon ausgegangen, dass das Firewall-System korrekt konfiguriert ist und entsprechend funktioniert.

Sämtliche negativen Faktoren erhöhen die Wahrscheinlichkeit dafür, dass das Firewall-System offener konfiguriert ist als erforderlich. In dieser Situation kann durch die Verbesserung der organisatorischen Rahmenbedingungen des Firewall-Einsatzes mit deutlich weniger Aufwand eine Verbesserung der Sicherheit des Internet-Übergangs erreicht werden, als durch zusätzlichen Einsatz eines IDS. Es ist zu beachten, dass der Betrieb eines IDS typischerweise deutlich mehr organisatorischen Aufwand erfordert, als der Betrieb einer Firewall.

Falls die beschriebenen Möglichkeiten zur Reduzierung der Wahrscheinlichkeit von Fehlkonfigurationen des Firewall-Sysems bereits weitgehend umgesetzt sind, kann durch den Einsatz von IDS zusätzlich verifiziert werden, dass keine sicherheitskritischen Dienste genutzt werden.

Zurück zur Übersicht über die Einflussfaktoren

E6. Regelmäßige Aktualisierung gefährdeter Komponenten

Wird für Komponenten, die einer starken Gefährdung gegenüber Angriffen aus dem Internet unterliegen (insbesondere Firewall, Webserver), regelmäßig geprüft, ob neue, sicherheitsrelevante Software-Patches vorliegen?

Ja	Typischerweise sind Signaturen zur Erkennung von Angriffen verfügbar, bevor Software-Patches zu deren Abwehr entwickelt worden sind. Ein geringer Zusatznutzen durch den Betrieb eines IDS ergibt sich für den entsprechenden Übergangszeitraum dadurch, dass mit dem IDS bereits die jeweiligen Angriffe erkannt werden können, bevor entsprechende Patches verfügbar sind. Dies setzt jedoch eine regelmäßige Aktualisierung des IDS voraus.
Nein	IDS können relevante Angriffe lediglich erkennen, während durch geeignete Software-Patches eine Resistenz der Komponenten gegen die Angriffe erreicht werden kann. Durch eine regelmäßige Aktualisierung kann daher mit weniger Aufwand eine qualitativ deutlich besserer Schutz erreicht werden, als durch den Betrieb eines IDS.

Zurück zur Übersicht über die Einflussfaktoren

E7. Interaktion mit internen Systemen (betrifft insbesondere WWW-Applikationen)

In wie weit erfolgt bei Zugriffen aus dem Internet eine Interaktion mit internen Systemen?

StatischeBereitstellung	Auf Web- oder FTP-Servern werden Daten bereitgestellt. Die Bereitstellung erfolgt manuell und damit kontrolliert.
Asynchroner Datenaustausch	Es erfolgt ein automatischer Datenaustausch zwischen internen Systemen und Systemen in der DMZ. Es erfolgt jedoch kein Aufbau von Verbindungen aus der DMZ zu internen Systemen (z. B. Edifact, Batchverarbeitung)
Synchroner Datenaustausch	Aus der DMZ heraus werden automatisch Verbindungen zu internen Systemen aufgebaut und in diesen Transaktionen ausgeführt (z. B. Online-Banking). Die automatische Interaktion mit internen Systemen verlangt einerseits die Öffnung der Firewall von außen nach innen. Andererseits steigt gerade hierdurch die Gefährdung interner Systeme gegenüber Angriffen aus dem Internet. In dieser Situation können IDS sinnvoll ergänzend eingesetzt werden, wenn Maßnahmen zur aktiven Sicherheit bereits angemessen umgesetzt sind (siehe Einflussfaktoren E1 - E6). Der Einsatz von IDS kann dazu dienen, durch die frühzeitige Erkennung von Angriffen und Sicherheitsverletzungen und durch eine zeitnahe Reaktion, ggf. die Schadensausbreitung zu stoppen, bevor interne Systeme betroffen sind, oder zumindest das Schadensmaß gering zu halten.

Je höher und automatisierter der Grad an Interaktion von außen nach innen ist, desto gefährdeter sind grundsätzlich interne Systeme.

Zurück zur Übersicht über die Einflussfaktoren

E8. Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten

Gibt es Komponenten, die trotz des Schutzes durch das Firewall-System gegenüber Angriffen aus dem Internet gefährdet sind? Welche Anforderungen an Verfügbarkeit und Integrität bestehen für diese Komponenten?

Nein	EDie IT-Infrastruktur ist gegenüber Angriffen aus dem Internet durch das Firewall-System angemessen geschützt. Bestehende Restrisiken sind bekannt und werden akzeptiert.
Ja, geringe Anforderungen	Es gibt zwar Komponenten, die trotz Firewall gefährdet sind. Verfügbarkeits- und/oder Integritätsverletzungen dieser Komponenten beeinträchtigen die Aufgabenerbringung jedoch nur in geringem Maße und führen höchstens zu geringfügigen finanziellen Schäden.
Ja, hohe Anforderungen	Es gibt Komponenten, die trotz Firewall gefährdet sind. Eine Beeinträchtigung der Verfügbarkeit oder eine Manipulation dieser Komponenten kann zu einem Imageverlust des Unternehmens und zu gravierenden finanziellen Auswirkungen führen.

Der Einsatz eines IDS kann dazu dienen, sowohl Angriffe auf gefährdete Komponenten als auch Sicherheitsverletzungen und Systemstörungen der Komponenten zeitnah zu erkennen. Hierdurch kann frühzeitig auf entsprechende Ereignisse reagiert werden. Ausfallzeiten können so reduziert und das Schadensmaß kann gering gehalten werden. Insbesondere können mit IDS auch Denial-of-Service Angriffe erkannt werden. IDS sind daher eine Maßnahme, auf deren Basis die Verfügbarkeit von Internet-Angeboten erhöht werden kann.

Ob die Überwachung durch ein IDS sinnvoll ist hängt davon ab, welche Restrisiken hinsichtlich relevanter Gefährdungen für die zu schützende Komponente bestehen. Dies hängt konkret von weiteren Faktoren ab, wie etwa

1. die Funktionalität der Komponente (z. B. sind Mailserver typischerweise weniger gefährdet als Webserver),
2. dem eingesetzten Produkt (der Microsoft Internet Information Server ist z. B. häufiger Ziel von Angriffen als der iPlanet Webserver),
3. die Konfiguration der Komponenten und Betriebssysteme (z. B. kann durch das IDS der Zeitraum überbrückt werden, in dem ein neuer Angriff bereits bekannt ist, jedoch noch keine zugehörigen Software-Patches verfügbar sind, um die betreffende Komponente gegen den Angriff resistent zu machen. Durch den Einsatz des IDS kann der Angriff in diesem Zeitraum zumindest erkannt werden)

Zurück zur Übersicht über die Einflussfaktoren

E9. Relevante Nutzenaspekte von IDS

Wie relevant sind die in der nachstehenden Tabelle angegebenen Nutzenaspekte für ihre konkreten Zielsetzungen?

Relevanz			Nutzenaspekte
hoch	mittel	gering
			Kontrolle der Netznutzung
			Erkennung von Angriffen im NetzverkehrRelevant ist die Erkennung von Angriffen im Netzverkehr insbesondere für Systeme in einer DMZ, deren Schutzbedarf hinsichtlich Integrität und Verfügbarkeit hoch ist und für die keine angemessene Datenflusskontrolle durch bestehende Schutzkomponenten gegeben ist oder aufgrund der Funktionalität des Dienstes erhöhte Restrisiken bestehen (z. B. HTTP)
			Erkennung der unberechtigten Nutzung spezieller Kommunikationsdienste für bestimmte Systeme
			Erkennung der Umgehung von Verschlüsslung (z. B. in VPNs) Die Relevanz der Erkennung dieser Ereignisse hängt davon ab, welches Gefährdungspotenzial bei unverschlüsselter Kommunikation gegeben ist und wie wahrscheinlich es unter den gegebenen technischen und organisatorischen Randbedingungen ist, dass eine unverschlüsselte Kommunikation erfolgt.
			Kontrolle der Systemnutzung (Verstoß gegen Nutzungsregelungen)
			Erkennung möglicher Sicherheitsverletzungen Beispiele für Sicherheitsverletzungen sind unberechtigte Zugangsversuche zu Systemen oder Anwendungen (z. B. mehrfach fehlgeschlagene Login-Versuche) oder unberechtigte Zugriffsversuche auf Daten (z. B. Passwortdateien). Zu beachten ist, dass die Erkennung auf der Auswertung von Logdateien des Systems bzw. der Anwendungen beruht. Die Erkennungsfunktionalität ist damit prinzipiell auf die Ereignisse begrenzt, die vom System bzw. der Anwendung protokolliert werden können.
			Erkennung von Systemstörungen (hohe CPU-Auslastung, geringer verbleibender Festplattenspeicher, etc.) In gleicher Weise wie Sicherheitsverletzungen können durch Hostsensoren auf Basis von Logdaten des Systems oder von Anwendungen auch Störungen dieser erkannt werden. Beispiele hierfür ist die zentrale Warnung bei zu hoher CPU-Auslastung oder zu geringem verbleibenden Plattenspeicher.
			Erkennung von Integritätsverletzungen spezifischer Dateien
			Erweiterte Informationserhebung
			Erkennung von Ereigniskontexten IDS können dazu eingesetzt werden, Kontextinformationen zu Angriffen, bis hin zum gesamten angriffsspezifischen Netzverkehr aufzuzeichnen. Die Kontextinformationen können zur vertieften Analyse von Angriffen dienen, zur Rückverfolgung und Identifizierung der Angreifer dienen und/oder – bei geeigneten flankierenden organisatorischen Maßnahmen – zu Beweiszwecken eingesetzt werden.
			Darstellung der Angriffslast IDS können dazu eingesetzt werden, Anzahl und Art aus dem Internet eingehender Angriffe und Angriffsversuche aufzuzeichnen. Diese Informationen können gegenüber der Entscheiderebene genutzt werden, um die Gefährdungssituation des Internet-Übergangs darzustellen. Daneben kann durch Aufzeichnung und Vergleich der Angriffslast vor und hinter Schutzkomponenten (Paketfilter, Applikations-Gateway) die Funktion der jeweiligen Komponente verifiziert und deren Nutzen dargestellt werden.
			Erhöhung der Transparenz Ohne den Einsatz von Überwachungswerkzeugen ist im Allgemeinen unklar, wie Netzverbindungen genutzt werden und wie sich Systeme im einzelnen verhalten. Unabhängig von konkreten Angriffen bieten IDS die Möglichkeit einer umfangreichen und gesteuerten Beobachtung des Verhaltens von Netzen und Systemen sowie aufgezeichnete Daten zu filtern und auszuwerten. Durch Einsatz eines IDS kann die Transparenz der Netznutzung und des Verhaltens von Systemen insgesamt erhöht werden. Dieses Wissen bildet die Grundlage zur Verbesserung und Optimierung des Einsatzes von Systemen, Anwendungen und Netzen.

In der oben angegebenen Tabelle sind die wesentlichen Nutzenaspekte eines Einsatzes von IDS dargestellt. Falls diese Nutzenaspekte nur in einem sehr geringem Maß den Zielsetzungen entsprechen bzw. diesen dienen, ist zu prüfen, ob ein IDS das geeignete Instrument zum Erreichen der Zielsetzungen ist.

Aus den Nutzenaspekten "Darstellung der Angriffslast" und "Erhöhung der Transparenz" ergibt sich kein direkter sicherheitstechnischer Zusatznutzen. Sie sollten daher bei der Entscheidung für oder gegen den Einsatz eines IDS im Hintergrund stehen.

Zurück zur Übersicht über die Einflussfaktoren

1.3 Beispielszenarien

Die Bewertung der Einflussfaktoren wird in den nächsten Abschnitten anhand folgender Beispielszenarien für Internet-Übergänge verdeutlicht:

• Allgemeine Informationsbereitstellung über statische Webseiten
• Bürokommunikation mit Internetnutzung
• VPN-Anbindung externer Liegenschaften
• E-Business-Angebot mit individualisierten Transaktionen

Bei den Szenarien wird davon ausgegangen, dass ein IDS-Einsatz nicht deshalb abgelehnt wird, weil zunächst Nachbesserungen an anderen Stellen sinnvoller sind. Konkret wird davon ausgegangen, dass

• ein dreistufiges Firewall-System gemäß BSI Empfehlung [BSI 1-02] eingesetzt wird (vgl. E1),
• das Firewall-System in einer gesicherten Umgebung betrieben wird (vgl. E2),
• es keine sonstigen Übergänge zum Internet gibt (vgl. E3),
• die Komponenten am Internet-Übergang organisatorisch sicher betrieben werden (vgl. E5 und E6).

Die zugehörigen Einflussfaktoren E1, E2, E3, E5 und E6 werden in den Szenarien nicht wiederholt beurteilt.

1.3.1 Allgemeine Informationsbereitstellung über statische Webseiten

In diesem Szenario werden auf einem Webserver Informationen zum Abruf über das Internet bereitgestellt. Die Bereitstellung erfolgt über Webseiten, die statisch vorliegen oder durch den Webserver auf Basis minimaler Interaktion mit dem Client zusammengestellt werden. Der Webserver wird dabei typischerweise in einer DMZ betrieben, wobei eine Kommunikation zur Versorgung des Webservers mit Daten nur von Systemen im internen Netz erfolgt. Insbesondere erfolgt kein Aufbau von Kommunikationsbeziehungen aus der DMZ in das interne Netz.

Abbildung: Internet-Übergang mit Webserver (Beispiel)

Die Betrachtung der Einflussgrößen zeigt, dass in diesem Szenario der sicherheitstechnische Zusatznutzen bei Einsatz eines IDS eher gering ist.

E4	Freigeschaltete Dienste und Dienstkontrolle	Internet-Dienste werden durch einen HTTP-Proxy auf Anwendungsebene kontrolliert. Die Dienstnutzung erfolgt anonym.Bei korrekter Konfiguration der Komponenten ist sichergestellt, dass keine von außen oder aus der DMZ initiierten Verbindungen ins interne Netz möglich sind.
E7	Interaktion mit internen Systemen	Die Daten werden statisch bereitgestellt. Es erfolgt keine automatische Interaktion mit internen Systemen.
E8	Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten	Typische Angriffe auf Webserver nutzen entweder Schwächen der Serverprogramme oder Schwachstellen bei der Realisierung dynamischer Inhalte aus. Bei einer rein statischen Bereitstellung von Daten kann ein angemessener Schutz des Webangebots in der Regel mit bestehenden Mitteln realisiert werden. Bestehende Restrisiken sind auch ohne Einsatz eines IDS tolerierbar.

Der wesentliche Einsatzzweck eines IDS in diesem Szenario würde sich darauf beschränken, die korrekte Konfiguration der Firewall-Komponenten zu kontrollieren. Dies kann jedoch auch durch eine regelmäßige Kontrolle der Firewall-Logs erreicht werden.

Bei der Integration eines IDS wäre außerdem darauf zu achten, dass durch die erforderliche IDS-Kommunikation zwischen Sensoren und Managementstation keine Verbindungen aus der DMZ ins interne Netz aufgebaut würden, denn die Freischaltung von Diensten in das interne Netz hinein würde den durch das Firewall-System gebotenen Schutz reduzieren.

Zusammenfassend ist aufgrund der begrenzten Nutzenaspekte und weiterer erforderlicher Kommunikationsbeziehungen für die IDS-Kommunikation, der Einsatz eines IDS für dieses Szenario nicht oder nur bedingt empfehlenswert.

Zurück zur Übersicht über die Beispielszenarien

1.3.2 Bürokommunikation mit Internetnutzung

Dieses Szenario betrifft die Kommunikation über E-Mail sowie die Nutzung des WWW von Clientsystemen im internen Netz. Typischerweise erfolgt hierzu eine Kommunikation über einen HTTP-Proxy und smtp-Proxy in der Firewall (siehe Abbildung) bzw. dedizierte Proxy-Server in der DMZ (in der Abbildung nicht dargestellt).

Abbildung: Internet-Übergang für E-Mail und WWW-Zugriff (Beispiel)

E4	Freigeschaltete Dienste und Dienstkontrolle	Es sind nur wenige Dienste ins interne Netz eingehend freigeschaltet: E-Mails erreichen den Mailserver im internen Netz über das Protokoll SMTP und werden über den Applikations-Proxy an der Firewall kontrolliert. Ausgehend sind ebenfalls nur wenige Dienste freigeschaltet: Ausgehende E-Mail vom Mailserver ins Internet über SMTP. WWW-Verbindungen ins Internet werden über einen HTTP-Proxy an der Firewall kontrolliert. DNS-Anfragen werden über einen DNS-Proxy auf der Firewall, der typischerweise selbst dem internen Netz gegenüber als DNS-Server auftritt, kontrolliert.
E7	Interaktion mit internen Systemen	Es erfolgt keine automatische Interaktion mit internen Systemen. Stattdessen werden alle von außen nach innen gesendeten Nachrichten am Client manuell weiterverarbeitet.
E8	Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten	Es bestehen mittlere Anforderungen an Verfügbarkeit und Integrität der bereitgestellten Kommunikationsdienste. Eine zeitweise Verzögerung von E-Mail oder WWW-Zugriff kann typischerweise toleriert oder anderweitig überbrückt werden.

Bei korrekter Konfiguration der Komponenten werden die meisten extern initiierten Angriffe ausgeschlossen. Es verbleiben jedoch Risiken dahingehend, dass über die freigeschalteten Dienste versteckte Kommunikationskanäle (bis hin zum Shellzugriff) erfolgen können, z. B. durch Tunneln der Dienste über SMTP, HTTP und DNS. Es sind ebenso Angriffe möglich, bei denen eine Kommunikation von internen Systemen initiiert wird. Dies betrifft z. B. Trojaner, die sich regelmäßig über das HTTP-Protokoll bei einem vom Angreifer kontrollierten Webserver melden.

Ein zusätzlich installiertes IDS kann einen Teil der versteckten Kanäle ausfindig machen und eine Reaktion ermöglichen. Für eine vollständige Abdeckung der genannten Risiken wäre jedoch eine Einbeziehung der Clientsysteme notwendig. Wenn das IDS ausschließlich am Netzübergang installiert werden soll, ist der sicherheitstechnische Zusatznutzen also beschränkt auf die Erkennung offensichtlicher, nicht verschlüsselter Angriffe sowie intern initiierter Angriffe nach außen. Zusätzlich kann das IDS die Konfiguration der Firewall-Komponenten überwachen.

Zurück zur Übersicht über die Beispielszenarien

1.3.3 VPN-Anbindung externer Liegenschaften

In diesem Szenario wird von einem Internet-Übergang ausgegangen, bei dem ein VPN-Gateway in einer DMZ betrieben wird. Der Netzübergang wird ausschließlich für VPN genutzt. Sämtliche anderen Verbindungen mit dem Internet sind blockiert. Über das VPN-Gateway erfolgt eine verschlüsselte und authentisierte Kommunikation mit externen Liegenschaften, Mitarbeitern in Home-Offices. Daneben wird der VPN-Kanal für Fernwartungszugänge genutzt.

Die Betrachtung der Einflussgrößen zeigt, dass mit dem Firewall-System zwar der Verkehr auf zulässige VPN-Verbindungen beschränkt werden kann, der Datenfluss dieser Verbindungen mit Hilfe der Firewall jedoch nur unzureichend kontrollierbar ist.

E4	Freigeschaltete Dienste und Dienstkontrolle	Über VPN zugreifende Kommunikationspartner werden vom VPN-Gateway authentisiert. Aus dem Internet in die DMZ werden ausschließlich VPN-Verbindungen zugelassen. Aus der DMZ ins interne Netz werden vielfältige Kommunikationsdienste genutzt. Eine Datenflusskontrolle erfolgt im Wesentlichen durch Paketfilter. Applikations-Proxy sind nicht verfügbar bzw. werden nicht eingesetzt.
E7	Interaktion mit internen Systemen	Es erfolgt eine Interaktion zwischen Kommunikationspartnern, die über das Internet angebunden sind, und Systemen im internen Netz. Zulässige VPN-Verbindungen können dabei mißbräuchlich genutzt werden.
E8	Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten	Es bestehen hohe Anforderungen an Verfügbarkeit und Integrität der internen Systeme. Verfügbarkeit und Integrität interner Systeme könnten durch VPN-getunnelte Angriffe oder Sicherheitsverletzungen gefährdet werden.

Zurück zur Übersicht über die Beispielszenarien

1.3.4 E-Business-Angebot mit individualisierten Transaktionen

In diesem Szenario wird der typische Aufbau einer E-Business Architektur betrachtet. Aus dem Internet erfolgt ein Zugriff auf einen Webserver als Frontend-System, auf dem Transaktionen ausgelöst werden können. Über Gateway-Komponenten, die auch in der DMZ oder auf dem Webserver realisiert sind, erfolgt die Umsetzung auf anwendungsspezifische Protokolle und die Kommunikation mit Applikationsservern im internen Netz. Die Applikationsserver führen Transaktionen in den internen Systemen (Hosts, Datenbanken) aus.

Die Betrachtung der Einflussgrößen zeigt, dass der durch das Firewall-System in diesem Szenario gebotene Schutz begrenzt ist und ein deutlicher sicherheitstechnischer Zusatznutzen durch Einsatz eines IDS erreicht werden kann.

E4	Freigeschaltete Dienste und Dienstkontrolle	Der SSL-Zugriff auf den Webserver erfolgt anonym. Aufgrund der Nutzung von SSL ist keine Datenflusskontrolle des eingehenden Verkehrs auf Anwendungsebene möglich. Nutzer werden beim Zugang zu Transaktionen authentisiert. Die komplexen Technologien (Sun iPlanet, IBM WebSphere, etc), mit denen E-Business Applikationen realisiert werden, nutzen typischerweise eine Vielzahl von Prozessen, die über proprietäre Protokolle miteinander kommunizieren. Eine angemessene Datenflusskontrolle ist für diese Dienste häufig nicht realisierbar.
E7	Interaktion mit internen Systemen	Es erfolgt eine Interaktion zwischen Kommunikationspartnern, die über das Internet angebunden sind, und Systemen im internen Netz. Falls der Webserver durch einen Angreifer übernommen wird, kann dieser möglicherweise über Gateway-Komponenten Zugang zu internen Systemen erhalten.
E8	Verfügbarkeits- und Integritätsanforderungen gefährdeter Komponenten	Webserver verfügen – insbesondere bei der Bereitstellung dynamischer Seiten – über eine Reihe von Sicherheitslücken, die von Angreifern aus dem Internet ausgenutzt werden können. Andererseits bestehen hohe Anforderungen an Verfügbarkeit und Integrität der internen Systeme sowie mittlere Anforderungen an die Verfügbarkeit des Internet-Angebots.

Durch den Einsatz von IDS kann ein verbesserter Schutz gegen die identifizierten Schwachstellen und Angriffspunkte erreicht werden. Mögliche Angriffe können dadurch schnell erkannt und geeignete Gegenmaßnahmen ausgelöst werden.

In diesem Szenario empfiehlt sich daher der Einsatz eines IDS zu folgenden Zwecken:

• Erkennung von Angriffen auf den Webserver, wie z. B. auch Denial-of-Service Angriffen,
• Erkennung von Angriffen und der unberechtigten Nutzung von Kommunikationsdiensten im Verkehr zwischen dem Webserver und Applikationsservern,
• Überwachung der Integrität und Funktion kritischer Daten und Prozesse auf dem Webserver.

Zurück zur Übersicht über die Beispielszenarien