Hilfsmittel für die Integration

« zur Übersicht

Folgende Hilfsmittel werden für die Revision von IDS bereitgestellt:

• 5.1 Verantwortlichkeiten und Zuständigkeiten IDS-spezifischer Rollen
• 5.2 Einzelaktivitäten zur Kalibrierung
• 5.3 Beispielvereinbarungen zur Arbeitnehmer-Mitbestimmung und zum Datenschutz

5.1 Verantwortlichkeiten und Zuständigkeiten IDS-spezifischer Rollen

Am Beispiel der Rollen

• IDS-Manager
• IDS-Administration
• IDS-Monitoring
• IDS-Incident-Response

des generischen Rollenmodells aus Phase 2.6 werden nachstehend Zuständigkeiten und Verantwortlichkeiten benannt, die für einen ordnungsgemäßen Betrieb des IDS notwendig sind.

5.1.1 IDS-Manager

Der IDS-Manager hat folgende Zuständigkeiten und Verantwortlichkeiten.

Vertretung der IDS-Ziele bei der IT-Planung und Entwicklung

Der IDS-Verantwortliche ist in die IT-Planung und -Entwicklung des Unternehmens einzubinden. Bei Änderungen der IT-Infrastruktur, wie z. B.

• Erweiterungen oder Änderungen der Netzinfrastruktur oder
• die Einführung von neuen Applikationen und/oder Systemen

hat er die Auswirkungen auf die Überwachungsfunktionalität des IDS hinsichtlich folgender Punkte zu prüfen.

• Gibt es Änderungen hinsichtlich der Zielsetzungen des IDS-Einsatzes?
• Ist das eingesetzte IDS geeignet, um die Zielsetzungen in der veränderten IT-Infrastruktur zu erreichen?
• Welche Anpassungen des IDS sind ggf. notwendig, um die Zielsetzungen zu erreichen, bzw. welche Einschränkungen ergeben sich hinsichtlich des Erreichens der Überwachungsziele?

Technische Einzelheiten zur Beantwortung der Fragestellungen werden in Abstimmung mit der IDS-Administration geklärt.

Umsetzung organisatorischer Maßnahmen

Der IDS-Manager ist für die Umsetzung sämtlicher organisatorischer Maßnahmen für den Betrieb des IDS verantwortlich.

Festlegung des IDS-Eskalationsplans

In Abstimmung mit den Mitarbeitern des IDS-Incident-Response und der IDS-Administration wird der IDS-Eskalationsplan erstellt.

Aufnahme der IDS-Überwachungsziele in den Sicherheitsstandard

Der IDS-Manager ist für die Aufnahme der Überwachungsziele des IDS in den Sicherheitsstandard (im Sinne einer Policy) des Unternehmens zuständig (vgl. Kapitel 5.4).

Sicherstellung der Berücksichtigung rechtlicher Vorgaben

Es liegt im Verantwortungsbereich des IDS-Managers sicherzustellen, dass die rechtliche Vorgaben – insbesondere zum Datenschutz – beim Betrieb des IDS eingehalten werden. Er sollte hierzu Anforderungen und Maßnahmen mit dem Datenschutzbeauftragten und der Arbeitnehmervertretung abstimmen und die zugehörigen Maßnahmen umsetzen (siehe auch Kapitel 5.8).

5.1.2 IDS-Administration

Der IDS-Administration obliegen sämtliche Aufgaben, die mit der technischen Verwaltung, Aktualisierung und Aufrechterhaltung des Betriebs des IDS verbunden sind. Nachfolgend sind zugehörige Zuständigkeiten und Verantwortlichkeiten angegeben:

Anpassung und Kalibrierung des IDS

Insbesondere nach Änderungen der zu schützenden Infrastruktur sind Anpassungen erforderlich. Anpassungen an der Einsatzweise des IDS ergeben sich, falls neue Teilnetze oder neue IT-Systeme integriert werden, die z. B. durch Einsatz weiterer Sensoren, in die Überwachung einbezogen werden sollen. Änderungen an der Kalibrierung sind erforderlich, wenn sich etwa sicherheitsrelevante Konfigurationseinstellungen bestehender Systeme ändern oder Applikationen auf eine andere Systemplattform migriert werden. Die IDS-Administration sollte daher in ein bestehendes IT-Konfigurationsmanagement eingebunden werden.

Regelmäßige Aktualisierung der IDS-Signaturen

Nach der Bereitstellung neuer Signaturen durch den IDS-Hersteller sind diese in das IDS zu importieren. Hinzugekommene Signaturen sind zu kalibrieren.

Regelmäßige Aktualisierung der IDS-Software

Es ist regelmäßig zu prüfen, ob für das IDS Patches oder neue Produktversionen vorliegen. Das IDS ist auf Basis dieser Informationen zu aktualisieren.

Regelmäßige Auswertung von IDS-Meldungen und Kalibrierung

Im Rahmen der Erstkalibrierung als "zur Nachverfolgung" gekennzeichnete Ereignisse und Ereignisse, für die die zugehörigen Signaturen bislang nicht konfiguriert wurden, sind hinsichtlich ihrer Auswirkungen auf die zu schützende IT-Infrastruktur zu bewerten. Die Kalibrierung des IDS ist auf Basis der Bewertung anzupassen. Bei der Definition von IDS-Alarmen für neue Ereignisse ist ein Alarmlevel festzulegen.

Dokumentation und Datensicherung des aktuellen Stands des IDS

Nach jeder Aktualisierung des IDS ist der aktuelle Stand des IDS zu sichern. Der aktuelle Stand der Softwarekomponenten (Patchlevel, Version) und die letzte Aktualisierung der IDS-Signaturen sind zusammen mit ihren Zeitpunkten zu dokumentieren. Falls das IDS diese Daten nicht selbst protokolliert, ist ein schriftliches Protokoll vorzuhalten. Die Kalibrierung des IDS ist implizit durch den aktuellen Stand des IDS dokumentiert. Eine explizite Dokumentation der Kalibrierung ist aufgrund ihres Umfangs nicht sinnvoll. Auch bieten marktverfügbare IDS hierzu typischerweise keine Funktionen an.

Regelmäßiges Reporting an den IDS-Manager

Es ist festzulegen, wie oft und in welcher Form der IDS-Manager regelmäßig von der IDS-Administration über vom IDS erkannte Ereignisse informiert wird. Einzelheiten zur Benachrichtigung des IDS-Managers bei sicherheitskritischen Ereignissen sind im Rahmen des IDS-Eskalationsplans festzulegen.

Unterstützung bei der Klärung von Angriffen

Im Bedarfsfall unterstützt die IDS-Administration Mitarbeiter des IDS-Incident-Response bei der Klärung von Angriffen.

Regelmäßige Aktualisierung der Kenntnisse über neue Angriffe und Sicherheitslücken

Die IDS-Administration hat hinsichtlich der Kenntnisse über Angriffe und Sicherheitslücken ständig auf einem aktuellen Stand zu sein, um die Bedrohungslage und die Aktualität der Angriffserkennung durch das IDS beurteilen zu können.

Schulung und Einweisung der Mitarbeiter des IDS-Incident-Response und des IDS-Monitoring

Die IDS-Administration schult Mitarbeiter des IDS-Monitoring in der Anwendung der IDS-Eskalationsplans und weist Mitarbeiter des IDS-Incident-Response in die erforderlichen IDS-Kenntnisse ein.

Nachbearbeitung aufgetretener IDS-Alarme

Die IDS-Administration trägt die Verantwortung für die Nachbereitung aufgetretener IDS-Alarme. Eine Nachbearbeitung erfolgt, nachdem das IDS-Incident-Response auf den IDS-Alarm reagiert hat und die IDS-Administration über den Alarm informiert wurde. Die Nachbearbeitung umfasst die Klärung folgender Fragestellungen und/oder die Durchführung bzw. Veranlassung der zugehörigen Aktivitäten:

• Soll eine Rückverfolgung des Angriffs bzw. Angreifers oder eine gezielte Überwachung der IP-Adresse erfolgen, von der aus der Angriff initiiert wurde?
• Gibt es sinnvolle Gegenmaßnahmen, um zukünftige Angriffsversuche gleicher Art begegnen oder vermeiden zu können? Es ist zu prüfen, ob ein automatisches Auslösen von Gegenmaßnahmen durch das IDS (wie z. B. die Unterbrechung der Kommunikationsbeziehung) sinnvoll ist oder der Angriff durch eine Konfigurationsänderung des Firewall-Systems abgewehrt werden kann.
• Ist das Einschalten oder Verständigen weiterer, bislang nicht im IDS-Eskalationsplan festgelegter Stellen (z. B. Revision) erforderlich?
• Ist der Alarm einem anderen Alarmlevel zuzuweisen? (Änderung des IDS-Eskalationsplans)
• Ist auf Basis der vorliegenden Erfahrungen eine Anpassung der Kalibrierung erforderlich? Falls der Alarm sich bereits mehrfach als Fehlalarm erwiesen hat, sollte die Kalibrierung ggf. dahingehend verändert werden, dass bei Erkennung des Ereignisses keine Alarmierung erfolgt.

5.1.3 IDS-Monitoring

Die Zuständigkeiten des IDS-Monitoring umfassen die folgenden zwei Aktivitäten:

• Annahme von Alarmen des IDS
• Anstoßen der definierten Eskalation

5.1.4 IDS-Incident-Response

Das IDS-Incident-Response ist im Wesentlichen für eine zeitgerechte und angemessene Reaktion auf IDS-Alarme zuständig. "Zeitgerecht" bedeutet dabei die Einhaltung der ggf. im IDS-Eskalationsplan angegebenen Fristen für die Problembehebung und die ggf. weitere Eskalation. Eine angemessene Reaktion umfasst folgende Aktivitäten:

Identifizierung des Angriffs und seiner Randbedingungen

• Um welche Art Angriff handelt es sich genau (Angriffsart, Parameter)?
• Gegen welche Systeme richtete sich der Angriff?
• Welche möglichen Auswirkungen hat der Angriff auf die betroffenen Systeme?
• Von wo aus wurde der Angriff initiiert? (Internet, internes Netz, ggf. System)

Klärung der Auswirkungen des Angriffs

• Welche Auswirkungen hat bzw. hatte der Angriff?
• Benachrichtigung zuständiger Stellen über eventuelle Schäden.

Ggf. Einleitung von Maßnahmen zur Schadensbehebung bzw. -begrenzung.

Zur Schadensbehebung oder -begrenzung bedarf es ggf. der Mitarbeit weiterer Stellen (wie z. B. der Firewall-Administration, falls eine Konfigurationsänderung an der Firewall erforderlich ist). Es ist abzustimmen, ob dem IDS-Incident-Response gegenüber den erforderlichen Stellen für diese Fälle ein direktes Weisungsrecht eingeräumt wird. Alternativ hierzu kann die Weisung durch übergeordnete Stellen (z. B. Abteilungsleiter) erfolgen, der im Rahmen der Eskalation verständigt wird.

Informieren der IDS-Administration

Die IDS-Administration ist über den Alarm, dessen Auswirkungen und eingeleitete Maßnahmen zu informieren. Auf dieser Basis erfolgt die Nachbearbeitung des IDS-Alarms (siehe Abschnitt 5.1.2).

5.2 Einzelaktivitäten zur Kalibrierung

Im Rahmen der Kalibrierung sind grundsätzlich für jede Signatur folgende Aktivitäten durchzuführen:

(Unter Signatur wird hier allgemein – unabhängig von der Verfahrensweise – ein Mechanismus zur Erkennung eines bestimmten Ereignisses verstanden.)

• Klärung der Funktionsweise und des Zwecks der Signatur:
• Welcher Angriff, welche Sicherheitsverletzung wird durch die Signatur erkannt?
• Gegen welche Art von Zielsystem richtet er sich?
• Welche Auswirkungen hat ein erfolgreicher Angriff auf das Zielsystem?
• Wie groß ist die Wahrscheinlichkeit von Fehlalarmen, d. h. wie wahrscheinlich ist es, dass die Signatur triggert, obwohl kein Angriff vorliegt oder der Angriff keine Auswirkungen hat? (Diese Fragestellung kann typischerweise nicht ohne Erfahrungen im IDS-Einsatz beantwortet werden. Eine geringe Wahrscheinlichkeit von Fehlalarmen ist jedoch eine grundlegende Voraussetzung dafür, dass eine Alarmierung als Reaktion des IDS auf das Triggern der Signatur vorgesehen werden kann.)

• Klärung potenzieller Auswirkungen auf die zu schützende Infrastruktur:
• Welche Relevanz hat der Angriff bzw. die Sicherheitsverletzung für die zu schützende Infrastruktur? Gibt es in der Infrastruktur Komponenten, gegen die sich der Angriff richtet?
• Sind die Komponenten, gegen die sich der Angriff richtet, gegen die Sicherheitsverletzung bzw. den Angriff anfällig oder sind sie bereits resistent (etwa durch eine geeignete Konfiguration oder dem Einspielen aktueller Security-Patches)?

• Festlegung einer sinnvollen technischen und organisatorischen Reaktion auf das Ereignis, in Abhängigkeit der potenziellen Auswirkungen des Ereignisses:
• Wie soll das IDS auf die Erkennung des Ereignisses reagieren? (Deaktivierung der Signatur, Protokollierung zu Auswertungszwecken oder zur Nachverfolgung, Alarmierung)

• Für Ereignisse, bei denen alarmiert wird, sind des Weiteren folgende Aktivitäten durchzuführen:

  • Im Rahmen der Kalibrierung ist dem Alarm ein IDS-Alarmlevel zuzuordnen.
  • Die im IDS-Eskalationsplan für den Alarmlevel vorgesehene Eskalation ist auf Eignung zu prüfen. Ggf. ist eine ereignisspezifische Eskalation festzulegen und der IDS-Eskalationsplan zu aktualisieren.

5.3 Beispielvereinbarungen zur Arbeitnehmer-Mitbestimmung und zum Datenschutz

Nachstehend werden beispielhaft Maßnahmen aufgeführt, die umzusetzen sind, um gesetzliche Anforderungen zu erfüllen. Unternehmensspezifisch festzulegende Parameter sind dabei als "Parameter" gekennzeichnet. Die Maßnahmen haben Beispielcharakter und sind für einen konkreten Einsatz von IDS mit Rechtsexperten (Juristen, Rechtsabteilung) abzustimmen.

1. Alle Mitarbeiter werden über den Einsatz des IDS und die Einsatzzwecke informiert. (Abhängig von der Einsatzweise des IDS bleibt zu prüfen, ob es erforderlich ist, dass jeder Mitarbeiter sein Einverständnis zum IDS-Einsatz erklärt.)
2. Sämtliche Mitarbeiter, die das IDS administrieren oder Zugriff auf Daten des IDS-Ereignisprotokolls haben, sind auf das Datenschutzgesetz zu verpflichten.
3. Im Rahmen des IDS-Einsatzes erfolgt die Aufzeichnung personenbezogener Daten ausschließlich, um den ordnungsgemäßen Betrieb von Datenverarbeitungsanlagen sicherzustellen. Eine Aufzeichnung von Daten erfolgt in dem Umfang, wie es für die Erkennung von Angriffen, Angriffsversuchen und Sicherheitsverletzungen und ggf. deren Rückverfolgung erforderlich ist. Personenbezogene Daten werden zu keinem anderen Zweck aufgezeichnet.
4. Vom IDS aufgezeichnete Daten, die zur Zuordnung erkannter Ereignisse (etwa Angriffe oder Sicherheitsverletzungen) zu deren Verursachern dienen, dürfen von IDS-Mitarbeitern nur dann an "befugte Dritte"<> weitergegeben werden, wenn aufgrund des Ereignisses, dessen Auswirkungen oder sich ergebenden Gefährdungen vom "Vorgesetzten" entschieden wurde, den Verursacher des Ereignisses zu ermitteln, oder die Weitergabe der Daten gemäß "Richtlinie" vorgesehen ist. (Im Rahmen einer Richtlinie kann festgelegt werden, ab welchem Gefährdungs- bzw. Schadensausmaß in jedem Fall versucht werden soll, den Verursacher zu ermitteln.)
5. Die aufgezeichneten Daten werden spätestens nach einem Zeitraum von "zwei Monaten" gelöscht. Ausgenommen hiervon sind Daten, deren weitere Speicherung aufgrund von Beweis- oder Nachweiszwecken erforderlich ist.

6. Änderungen der Einsatzweise des IDS oder der IDS-Einsatzzwecke erfordern die Zustimmung des Betriebsrats bzw. Personalrats.