Erfolgsmessung bei IT-Sicherheit: Netzwerke schützen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.02.2011 Peter Graf*

Erfolgsmessung bei IT-Sicherheit: Netzwerke schützen

Ein Security Officer muss den Sicherheitsstatus seines gesamten Netzwerkes kennen. Es stellt sich die Frage, welche Kriterien man zu dessen Messung heranziehen kann. Wir haben uns auf die Suche gemacht.

Wie ist es möglich, Aussagen zum eigenen Security Level, also zum Status der eigenen IT-Sicherheit, zu treffen? Die Maßnahmen, die ein Unternehmen zum Schutz der eigenen Daten treffen kann, sind vielfältig. Dieser Beitrag soll vor allem einen Aspekt der IT-Sicherheit und die damit verbundene Erfolgsmessung betrachten: Die technische Absicherung von Netzwerken gegen Schadprogramme.

MESSEN IST WICHTIG Viren, Würmer und Trojaner sind noch immer die breitenwirksamsten Waffen der Malware-Industrie. Um sich gegen eine Infektion zu schützen, installieren Sicherheitsverantwortliche Virenschutz- und Patch-Systeme. Updates mit Virenpattern und Patches sind die letzte und gleichzeitig eine der wirksamsten Hürden im Abwehrwall. Ist jedes System im gesamten Netzwerk mit aktuellen Virenpattern und den neuesten Patches versorgt, haben bekannte Schadprogramme wenig Chancen. Neue Schadprogramme werden heute relativ schnell entdeckt und entsprechende Updates werden zeitnah bereitgestellt. Allerdings führen Rollouts nicht immer dazu, dass alle Rechner in einem Unternehmensnetz alle Updates erhalten. Verzögerungen und Fehler im Rollout-Prozess aber Gang und Gäbe. Deshalb ist es nötig, den Sicherheitsstatus zu messen.

Je komplexer ein Netzwerk ist, desto höher die Wahrscheinlichkeit, dass Updates im Verteilprozess manche Systeme nicht oder viel zu spät erreichen. Dies mag an der Performance des Netzwerks liegen, an Rechnern oder Laptops, die zum Zeitpunkt des Rollouts nicht online sind, an technischen Störungen oder anderen Fehlern. Update-Störungen sind ein bekanntes Problem. Die Ergebnisse einer Umfrage, die der Sicherheitsanbieter Ampeg 2008 in Großunternehmen durchführen ließ, bestätigen das: Von den befragten Sicherheitsverantwortlichen wüßten über die Hälfte, dass es in ihrem Unternehmen vorkomme, dass manche Rechner gar nicht mit Pattern oder Patches versorgt würden. Im Falle von Fehlern, komme es zudem vor, dass die Rollout-Systeme dies nicht zurückmelden würden. Das bedeutet, Sicherheitsverantwortlichen können nicht sagen, ob und wo in ihrem Netzwerk Schwachpunkte entstehen.

Diese Lücken können die Ursache für konkrete Malware-Infektionen sein, wie das Schadprogramm "Conficker" zeigt. Es sorgt seit Ende 2008 für Unruhe in den Sicherheitsabteilungen. Schon kurz nach dem Auftauchen des Programms im Oktober 2008, veröffentlichte Microsoft das sicherheitskritische Update "MS08-067", mit dem Unternehmen die betreffende Lücke schließen konnten. Ein viertel Jahr später konnte sich der Wurm trotzdem auf den Rechnern der Bundeswehr einnisten. Nach Angaben der Conficker Working Group waren bis zum Dezember 2010 immer noch mehr als 5.000.000 Rechner mit einer der diversen Conficker-Varianten infiziert. Es scheint unwahrscheinlich, dass große Unternehmen und Organisationen den Microsoft-Patch nicht ausgerollt haben. Sollten sie ihn dennoch ausgerollt haben, bleibt nur die Schlussfolgerung, dass durch Rollout-Fehler Lücken im Netzwerk geblieben waren.

Unternehmen, die in der Lage sind, den Sicherheitsstatus jedes einzelnen Rechners im Netzwerk zu erfassen, sehen wo Lücken sind und können diese sofort schließen. Alle anderen können nur reagieren, wenn die Schwachstellen durch eine Infektion evident geworden sind. Messbarkeit bedeutet Transparenz und Transparenz ist die Grundlage dafür, dass ein Unternehmen seinen Sicherheitsbetrieb verbessern kann. Deshalb ist die permanente und kontinuierliche Messung des eigenen Sicherheitsstatus so wichtig. Was aber definiert nun diesen "Sicherheitsstatus" eines Rechners? Welche konkreten Messgrößen beziehungsweise Key Performance Indikatoren (KPIs) können dazu herangezogen werden?

KPIS FÜR IT-SICHERHEIT Es muss ein vordringliches Ziel eines jeden jedes Sicherheitsverantwortlichen sein, alle Systeme in seinem Netzwerk möglichst aktuell zu halten. Zu welchem Grad dieses Ziels erreicht wird, kann gemessen werden. Es ist möglich, nach jedem Rollout zu prüfen, ob alle beziehungsweise wie viele Rechner ein Virenpattern oder einen Patch auch tatsächlich erhalten haben. Ein gültiger Key Performance Indikator für die Update-Systeme wäre dementsprechend der "Erfüllungsgrad pro Rollout", der für jedes System im Netzwerk erfasst werden muss.

Ein weiterer wichtiger Indikator für den Sicherheitsstatus eines Netzwerks ist die Dauer von Rollouts. Vor dem Hintergrund einer permanent steigenden Anzahl von "Zero Day Exploits" ist es nicht nur wichtig, dass die Updates ihr Ziel erreichen, sondern auch, wie schnell sie das tun. Diese Einschätzung bestätigt auch die bereits zitierte Umfrage: Fast 70 Prozent der befragten Security Officer sind darin der Meinung, dass schon Verzögerungen der Pattern- oder Patch-Roll-Outs um wenige Stunden zu "einer relevanten zusätzlichen Bedrohung" führen würden. Virenpattern können sofort nach ihrer Veröffentlichung verteilt werden, was meist auch völlig automatisiert passiert. Patches werden von internen oder externen Computer Emergency Response Teams (CERT) auf ihre Systemverträglichkeit geprüft. Dieser Schritt kostet Zeit, so dass der Rollout danach umso schneller gehen muss.

Kein Messwert - aber für das Funktionieren des Sicherheitsbetriebs genauso wichtig - ist die Aktualität der Antiviren-Software und der dazugehörigen Scan-Engine. Deren Aktualität sollten Sicherheitsverantwortliche immer im Auge behalten. Vielfach wird die "End of Life-Meldung" des Herstellers der Schutzsoftware vom Security Management missachtet. Teilweise auch, weil veraltete Rechner-Hardware das Update auf die neue Software nicht erlaubt. Sind Software und Scan-Engine aber nicht aktuell, macht die Messung der restlichen KPIs nicht viel Sinn.

MESSGRÖSSEN IN DER PRAXIS Welche Indikatoren nutzen Security Officer zur Messung von IT-Sicherheit in der Praxis? Im Folgenden betrachten wir zwei gängige Methoden der Erfolgsprüfung in der IT-Sicherheit.

Aus Gesprächen, die AMPEG mit Kunden und Interessenten geführt hat, ging hervor, dass es in vielen Unternehmen üblich ist, die Anzahl der "gefangenen" Schadprogramme zu erfassen, um den Nutzen der Investition zu belegen. Dieser Wert und seine Entwicklung lassen aber keine Aussagen über den Sicherheitsstatus zu. Er eignet sich vielmehr zur Schwachstellensuche, wenn er für unterschiedliche Netzwerksegmente oder auch einzelne Rechner eingesehen werden kann. Weißt ein Standort, Netzwerksegment oder Rechner signifikant mehr Schadprogramme auf als der Durchschnitt, so ist das ein Hinweis darauf, dass sich dort vielleicht ein Trojaner verbirgt, der andere Malware nachlädt. Diese Art der Suche nach "Schwarzen Schafen" macht allerdings nur Sinn, wenn die Überwachung permanent durchgeführt wird. Doch der Aufwand dafür ist ohne spezielle Tools hoch und so analysieren Unternehmen die Unterschiede im Virenaufkommen in den seltensten Fällen differenziert. Laut den Aussagen von Marktteilnehmern gilt die Gesamtentwicklung an gefangenen Viren oft als Indikator für die Güte des Sicherheitsnetzes. Hier muss klar gesagt werden: Die Anzahl der erkannten Malware oder eine Untersuchung der "Cost per caught Virus" sind keine validen Messwerte für IT-Sicherheit.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • mic customs solutions (Gruppe)

    mic customs solutions (Gruppe) Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: