Einleitung und Zusammenfassung

« zur Übersicht

Die Internet-Interaktion mit internen Systemen (z. B. im Rahmen von eCommerce- und eBusiness-Anwendungen) führt zu einer Zunahme von Risiken und Missbrauchsmöglichkeiten.

Bei der Kopplung interner Netze an das Internet oder an andere Fremdnetze hat sich die Absicherung des Netzübergangs durch Firewall-Systeme etabliert. Anforderungen, resultierend aus dem steigenden Kommunikationsbedarf neuer Anwendungen sowie interaktiver Internet-Anwendungen in den Bereichen eCommerce und eBusiness, führen dazu, dass interne Serversysteme und Datenbanken immer mehr in die Interaktion mit einbezogen werden. Diese Systeme stellen häufig einen hohen Wert für das Unternehmen dar und weisen einen entsprechend hohen Schutzbedarf auf. Die Internet-Interaktion mit diesen Systemen bedingt dabei eine Erhöhung der Risiken und Missbrauchsmöglichkeiten insbesondere gegenüber Angriffen, die aus dem Internet initiiert werden. Zudem wird durch die erhöhte Funktionalität von Internet-Angeboten und deren Kopplung mit internen Systemen auch deren Attraktivität als Angriffsziel erhöht. Dies ist unter anderem daran erkennbar, dass täglich neue Angriffe bekannt werden, die Sicherheitslücken in Systemen und Anwendungen ausnutzen.

Der Schutz durch Firewall-Systeme ist als alleinige Maßnahme in vielen Fällen nicht mehr ausreichend.

Technisch erfordert die Interaktion mit internen Systemen eine erweiterte Öffnung bestehender Firewall-Systeme nach innen. Daneben kann auch die Dienstkonformität des Datenflusses durch Firewall-Systeme aufgrund verschlüsselter oder getunnelter Kommunikation häufig nicht hinreichend sichergestellt werden. Ihre Schutzwirkung wird dadurch verringert und ist in vielen Fällen als alleinige Maßnahme nicht mehr ausreichend.

Intrustion-Detection-Systeme können Angriffe und Sicherheitsverletzungen zeitnah erkennen.
Auf dieser Basis können Verfügbarkeit und Integrität von Systemen und Diensten erhöht werden.

Intrusion-Detection-Systeme (kurz IDS) können dazu dienen, die aus den erhöhten Kommunikationsanforderungen und der verringerten Schutzwirkung der Firewall-Systeme resultierenden, zusätzlichen Risiken wieder zu vermindern. IDS erlauben die Überwachung des Netzverkehrs, der Systeme und Anwendungen auf Angriffe und Sicherheitsverletzungen. Die zeitnahe Erkennung von Angriffen, angriffsvorbereitenden Aktivitäten und Sicherheitsverletzungen bildet dabei die Voraussetzung dafür, Schäden zu verhindern, zu begrenzen oder zumindest zeitnah zu beheben. Hierdurch lassen sich die Verfügbarkeit und Integrität von Systemen, Anwendungen und auf diesen basierender Dienste erhöhen. Dies setzt jedoch voraus, dass die Auswirkungen erkannter Angriffe zeitnah untersucht werden und auf diese angemessen reagiert wird. IDS können zwar grundsätzlich auch automatisch Gegenmaßnahmen einleiten, in den meisten Fällen kann auf eine manuelle Prüfung der Auswirkungen des Angriffs aber nicht verzichtet werden. Dies liegt darin begründet, dass IDS einerseits nicht frei von Fehlalarmen sindund andererseits die Auswirkungen des Angriffs nur begrenzt durch das IDS erfasst werden können. Über die eigentliche Erkennung und Meldung von Angriffen hinaus bieten IDS Funktionen zur Auswertung aufgezeichneter Ereignisse. Diese können zur Visualisierung der Angriffslast, zur Ermittlung von Angriffskontexten und ggf. zur Rückverfolgung von Angreifern dienen. In vielen Fällen ermöglicht das Erkennen von Verhaltensweisen, die erst durch den IDS-Einsatzes sichtbar werden, auch die Verbesserung von Systemkonfigurationen.

Der vorliegende Leitfaden dient als Hilfsmittel bei der Einführung von Intrusion-Detection-Systemen.

Aufgrund der zunehmenden Integration des Internets in Geschäftsprozesse und den damit gestiegenen Kommunikationsanforderungen hat sich der Einsatz von IDS in den letzten Jahren verbreitet und mit ihm das Angebot an marktverfügbaren IDS. Inzwischen gibt es eine Vielzahl entsprechender Produkte, die – wenn auch in unterschiedlichem Maße – Marktreife erlangt haben. Es besteht nunmehr konkreter Unterstützungsbedarf bei der Einführung von IDS. Diesem wird durch den vorliegenden Leitfaden Rechnung getragen, der speziell die Einführung von IDS zur ergänzenden Absicherung von Netzübergängen zum Internet unterstützt. Ein Großteil der bereitgestellten Hilfsmittel und Vorgehensweisen ist jedoch direkt auf andere Einsatzweisen von IDS übertragbar.

Der Leitfaden unterstützt sowohl die Klärung, ob ein IDS-Einsatz in der vorliegenden Situation sinnvoll ist,
als auch den Prozess der IDS-Einführung.

Der Leitfaden richtet sich an Mitarbeiter im Unternehmen bzw. der Organisation, die für die IT-Sicherheit des Netzübergangs zum Internet verantwortlich sind. Er unterstützt zunächst bei der Klärung, ob ein IDS-Einsatz unter den gegebenen Randbedingungen sinnvoll ist oder nicht. Bei der Entscheidung für einen IDS-Einsatz wird der Anwender zu den einzelnen Einführungsschritten angeleitet. Grundlagenkenntnisse zu IDS und zu berücksichtigende rechtliche Aspekte beim Einsatz von IDS werden in separaten, zum Leitfaden gehörigen Dokumenten bereitgestellt.

Der Leitfaden berücksichtigt sämtliche Phasen der IDS-Einführung und des IDS-Einsatzes,
von der Konzeption über die Integration bis zum Betrieb und der Revision von IDS.

Diese Phasen werden im Phasenplan im Überblick erläutert und sind nachfolgend im Zusammenhang aufgezählt.

In der Phase Bedarfsfeststellung wird zunächst ermittelt, ob der Einsatz eines IDS unter den gegebenen Randbedingungen sinnvoll ist und welchen Zielsetzungen er dienen soll. Falls der Einsatz eines IDS als sinnvoll erachtet wird, wird in der Phase Grobkonzept und Anforderungsanalyse untersucht, in welcher Weise ein IDS in die bestehende IT-Infrastruktur zu integrieren ist und welche Anforderungen es erfüllen muss, um die Zielsetzungen zu erreichen. Anschließend wird im Rahmen der Erstellung einer Entscheidungsvorlage die Machbarkeit des Ansatzes geprüft und es erfolgt eine Abschätzung entstehender Kosten und Aufwände. Falls auf dieser Basis die grundsätzliche Entscheidung für einen IDS Einsatz getroffen wird, schließen sich die Feinkonzeption des IDS-Einsatzes und die Produktauswahl an. Aufbauend darauf erfolgt die Integration des IDS. Diese umfasst sowohl technische Aspekte, wie die Inbetriebnahme des IDS und dessen Kalibrierung, als auch organisatorische Aspekte, wie insbesondere die Integration des IDS in das Incident-Handling. Auch sind im Rahmen der Integration bereits sämtliche Aspekte des nachfolgenden Betriebs des IDS zu klären. Der Leitfaden schließt mit der Phase Revision ab, in der Vorgehensweisen für die Revision von IDS erläutert werden.

Vorgehensweisen für die einzelnen Phasen werden erläutert und es werden unterstützende Hilfsmittel bereitgestellt.

Jeder der Phasen ist ein dedizierter Abschnitt zugeordnet, in dem Arbeitsschritte und Inhalte der Phase detailliert beschrieben werden. Die Phasen werden durch Hilfsmittel (wie etwa Kriterienlisten oder Anwendungsbeispiele) ergänzt, welche die Durchführung der Arbeitsschritte unterstützen.