Security Testing
Tomaso Vasella
Vom Nutzen von Sicherheitskonzepten
Lesezeit: 13 Minuten
Innerhalb der Entwicklung von neuen und der Weiterentwicklung von bestehenden Services, Applikationen und IT-Infrastrukturen ist es unablässig, diese in Hinsicht auf vorhandene Schwachstellen und Sicherheitsrisiken zu durchleuchten. Dies ist umso wichtiger, als damit geschäftskritische Informationen und Daten verarbeitet werden.
In dynamischen Umgebungen heutiger Unternehmen gibt es eine Vielzahl wichtiger Applikationen, Services und Infrastrukturen, deren Schwachstellen und Risiken nicht immer systematisch erfasst werden können.
Dies kann dadurch begründet werden, dass eine IT-Umgebung diversen Einflüssen unterliegt:
- Projekte: Durch Projekte werden neue Applikationen und Kundenservices integriert und bereitgestellt, die entweder intern entwickelt, oder auch extern eingekauft werden oder manchmal komplett outsourced sind.
- Eigendynamik: Der IT-Betrieb, Daily Business und Maintenance etc. setzten voraus, mit den erlaubten Release- und Lifecyclephasen von Soft- und Hardware Schritt zu halten und auch Applikationen konsequent zu verbessern inklusive Erweiterung des Funktionsumfangs.
- Markttrend und Standardisierung: Neue Trends, Technologien und Konzepte kommen auf den Markt, die Unternehmen früher oder später adaptiert übernehmen (Virtualiserungen, Cloud Computing etc.) immer mit im Fokus auch der Standardisierungsgedanken, durch den man sich erhofft, die Komplexität in Schranken zu halten.
Diese Treiber wirken sich nun alle gleichzeitig auf die IT-Umgebung aus und zwar mit zunehmendem Kostendruck, zunehmendem Tempo und zunehmenden Anforderungen durch Gesetzgeber, Regulatoren und Kunden.
Dieser Druck führt aber nun gerade dazu, dass die Sicherheit, die wegen der erwähnten Dynamik und Komplexität, besonderer Sorgfalt bedürfte, gern ignoriert wird oder nur ungenügende Beachtung findet.
Man leidet halt akut unter den Missständen, die man im IT-Alltag hat und nicht direkt unter denjenigen, die sich aus latenten Schwachstellen in einer unbekannten Zukunft unter Umständen manifestieren mögen.
Diese Dynamik kann mancherorts zur zeitweisen Überforderung führen und man kann in Unternehmen ein Reparturdienstverhalten beobachten, sowie ein unsystematisches Durchwursteln von Halblösungen, um dem Druck gerecht zu werden, auch wenn dadurch nur Symptome anstatt Ursachen bekämpft werden. Diese Verhaltensweisen öffnen weiteren Schwachstellen und Risiken Tür und Tor. Dazu gesellt sich auch noch ein naives Wishful Thinking, dass es eben schon gut gehen wird, da es bis anhin ja schliesslich auch einigermassen gut gegangen ist etc.
Stattdessen wäre es angebracht, dass die Sicherheit schon bei der Planung und bei Projekten und anderen Vorhaben konsequent und systematisch Anwendung fände. Ein effektives Mittel, um sich in einem Komplexen Umfeld einen Sicherheitsüberblick zu verschaffen, sind Sicherheitskonzepte, worauf in dieser Abhandlung nun übersichtsmässig eingegangen werden soll.
Definition
Ein Sicherheitskonzept ist eine klare und gezielte Sicherheitsanalyse von Informationssystemen oder einer Applikation, eines Business Services oder auch einer IT Infrastruktur. Es dokumentiert die Sicherheitsanforderungen und Ziele, die implementierte Sicherheitsarchitektur und relevante Sicherheitskonfigurationen, sowie Prozesse zum Management und zur Überwachung der Sicherheit der beschriebenen Lösung. Weiterhin enthält es eine systematische Schwachstellen- bzw. Risikoanalyse und dokumentiert verbindliche Massnahmen zur Behandlung der identifizierten Schwachstellen/Risiken mit den zugehörigen Verantwortlichen und Terminen.
Das Sicherheitskonzept sollte als obligatorisches Lieferobjekt innerhalb von Projekten und Vorhaben angesehen werden, bei denen die IT-Umgebung auf irgend eine Weise tangiert wird: Einführung und Umstrukturierung neuer Applikationen, Technologien, Services etc. wie bei Veränderungen der gegebenen IT-Architektur, Netzwerktechnologien, Schnittstellen und auch immer dann, wenn der Fluss Informationen und Daten eine Änderung erfahren soll (wie z.B. auch bei Outsourcing vorhaben, wo Dritte ins Spiel kommen) etc. Das heisst, dass vor Inbetriebnahme eines Systems ein bewilligtes Sicherheitskonzept vorliegen müsste.
Ziele
Damit zielt das Sicherheitskonzept auf einen fachlich, konzeptionellen Überblick einer Lösung in punkto Sicherheit ab.
Es soll ein stringentes in sich abgeschlossenes Dokument sein, das jederzeit konsultiert werden kann, um die Sicherheitsgedanken und Massnahmen nachzuvollziehen, die für eine bestimmte Lösung nötig sind. Es zeigt in übersichtlicher Form die Risiken und Restrisiken der Implementation der Lösung. Daher ist es darüber hinaus auch bestens dazu geeignet, um Auditoren und internen Revisoren die Arbeit zu erleichtern, denn es erläutert und begründet auf nachvollziehbare Weise die vorgefundene zu analysierende Situation mit den entsprechenden Argumenten für und wider allfälliger Massnahmen, Schwachstellen und Risiken.
Die Sicherheitsvorkehrungen und -massnahmen in der IT-Umgebung werden dadurch anforderungsgerecht definiert, realisiert und eingehalten. Unnötige Aufwände und Sicherheitslücken werden durch ein methodisches Vorgehen verhindert.
Das Sicherheitskonzept sollte dennoch so flexibel wie möglich bleiben, quasi aus Modulen, die je nach Einsatzgebiet entsprechend gewählt werden können, je nach dem, ob es sich mehr um eine einzelne technische Sicherheitsanalyse einer einzelnen Applikation handelt, bzw. um eine eher abstrakte, konzeptionelle, strategische Analyse eines komplexen Services.
Elemente des Sicherheitskonzepts
Grundsätzlich sollte ein Grundgerüst für den Aufbau von Sicherheitskonzepten vorgegeben werden, von dem aber fallweise Kapitel ausgelassen werden können, je nach entsprechenden Analysezwecks des Sicherheitskonzepts.
Eine einfache und sinnvolle Grundstruktur könnte folgendermassen aussehen:
| Kapitel | Inhalt |
|---|---|
| Beschreibung der Ausgangslage/Scope | Schon der Titel des Sicherheitskonzepts gibt in aussagekräftiger Form den Gegenstand des Sicherheitskonzepts wieder (Vermeidung fachspezifischen Abkürzungen und von Akronymen). Allgemeines, Absichten, Zweck, Zielsetzungen, Bezeichnung der Owner und sonstige Verantwortlichkeiten |
| Abgrenzung | Abgrenzungen, Restriktionen, Randbedingungen, Abhängigkeiten |
| Angestrebte Sicherheitsziele | Was will man konkret in Bezug auf was Schützen, unter Berücksichtigung welcher Dimensionen: Vertraulichkeit, Integrität, Verfügbarkeit, Non-repudiation, Verbindlichkeit, Authentizität, Betriebssicherheit etc. |
| Technisch- Konzeptionelle Systembeschreibung der Lösung mit klaren Illustrationen | Systemübersicht, verwendete Infrastruktur, Grobe Systemanordnung (auch Standorte / Lokationen), Systembeschreibung, Systemanforderungen, Systemfunktionen, Abläufe, Komponenten, Teilsysteme, Konfigurationen, Kommunikationsmatrix, Schnittstellen (technisch, organisatorisch, extern, intern, etc.), grafische Darstellungen. |
| Definition der Assets und Schutzobjekte | Informations- oder Daten-Objekte (z.B. Personal-, Finanzdaten des Unternehmens, Kundendaten, Mandanten, HR, etc.), Endbenützer-Services (Anwendungsfunktionen/-prozesse), Software Objekte (Applikationssoftware), System- und Physische Objekte (Hardware, infrastrukturnahe Software und OS ) |
| Analyse (Risiken bzw. Schwachstellen: informell, detailliert, kombiniert) | Die Risikoanalyse oder Schwachstellenanalyse als Zentralelement, Schadens- und Risikobestimmung (resp. Schwachstellenbestimmung) sowie Zuordnung adäquater Sicherheitsmassnahmen. Für die Definition der Anforderungen an die Massnahmen in einem Sicherheitskonzept sollen folgende Informationen beigezogen werden: Risiken und generische Sicherheitsmassnahmen (Sicherheitsstandards, Grundschutz,ISO, Cobit und andere Frameworks), Datenklassierungen, Gesetze, Policies, Richtlinien und Standards, Technische und organisatorische Anforderungen |
| Umzusentzende Sicherheitsmassnahmen inkl. Beschreibung | Technische Massnahmenbeschreibung, Organisatorische Massnahmen, Aufbauorganisatorische Massnahmen, Ablauforganisatorische Massnahmen, Zugriffskonzept |
| Restrisiken | Auflistung der nach Umsetzung der Massnahmen verbleibenden Restrisiken/Schwachstellen |
| Verbindliche Umsetzungsplanung der Massnahmen | Verantwortlichkeiten und Termine für die Realisierung der Massnahmen, Verantwortlichkeiten für den Betrieb der Massnahmen, Überwachung Nutzen/Kosten der Massnahmen |
| Kontrollen | Reviews, Auditing etc. |
Wichtige Sicherheitsprinzipien müssen mitberücksichtigt werden, immer mit dem Gedanken, ob deren Anwendbarkeit auf das aktuelle Motiv wirkt:
- Prinzip der Angemessenheit
- Nutzung bewährter Praktiken wie: Good Practices, Standardisierte Sicherheit, ISO 27000 Standardfamilie, Einheitliche etablierte Prozesse und Methoden
- Standard für Applikationssicherheit, Sicherheitsarchitektur, Grundschutz
- Standard für Physische Sicherheit, Informationsschutz, Defense-in-Depth, Least Privilege, Need to Know, Zugriffskontrolle, Audit, Compliance und Nachvollziehbarkeit
- Schwachstellen- und Ereignismanagement, Business Continuity Management etc.
Ansätze für die Durchführung der Analyse:
| Ansatz | Beschreibung |
|---|---|
| Informeller Ansatz | Beim informellen Ansatz wird von der Annahme ausgegangen, dass Sicherheitslücken offensichtlich und ohne eine genauere Betrachtung identifiziert werden können. Für die Erstellung der Risiken werden keine Richtlinien vorgegeben. Sowohl die Vorgehensweise als auch die Erstellung der Dokumente geschieht nach individuellen, situativen Entscheidungen. Der Vorteil dieses Ansatzes liegt in der Einfachheit. (Dem gegenüber stehen jedoch Nachteile bezüglich dem Nichterkennen von versteckten Risiken und fehlender Struktur, man unterliegt einem Intuitionsaktionismus: Auch wenn sich Menschen häufig auf ihr Gefühl verlassen können (meist ist es ja weniger Intuition als handfeste Erfahrung), so kann doch im komplexen IT-Kontext diese unreflektierte Reaktion, wenn man sich also zu sicher fühlt, eher als Kapitulation vor der Aufgabe aufgefasst werden. Eine angemessene Bewältigung der anstehenden Analyse ist mit dieser leichtfertigen Attitüde dann nicht sichergestellt). |
| Baselineansatz | Dem Grundschutzansatz liegt die Annahme zugrunde, dass Risiken gleichmässig über den fokussierten Analysebereich verteilt sind. Diese Strategie beruht auf der Einsicht, dass bekannte, etablierte Standardprodukte zum Einsatz kommen, bei denen ein einheitlicher Satz an Massnahmen genügt. Die Vorteile dieses Ansatzes liegen in der schnellen Umsetzbarkeit, Einheitlichkeit und Einfachheit. (Jedoch werden dabei die zugrunde liegenden Annahmen als Realität angesehen. Das heisst, man muss sich hier vor einer ungeprüfte Übernahme von Vorwissen hüten. Das Wissen ist immer auf die Angemessenheit für eine konkrete Situation erneut zu verifizieren.) |
| Detaillierte Analyse | Im Gegensatz zum informellen Ansatz werden nebst offensichtlich erkennbaren Schwachstellen/Risiken auch diejenigen Betrachtet, die im Detail untersucht werden müssen. Strukturiertes Vorgehen hilft bei der Erkennung und Behandlung dieser. Dieser Ansatz zeichnet sich durch die Gründlichkeit und den Detailliertheitsgrad aus. (Die Schwäche liegt in dem hohen zu erbringendem Aufwand und der Langwierigkeit des Analyseprozesses.) |
| Kombinierter Ansatz | Der kombinierte Ansatz unterscheidet zwischen grösseren und kleineren Risiken, wobei beide Arten adäquat behandelt werden müssen. Für die Behandlung der kleineren Risiken genügt evtl. der Baselineansatz, die grösseren Risken müssen mit Hilfe einer detaillierten Risikoanalyse betrachtet werden. |
Voraussetzungen
Natürlich muss das Unternehmen auch gewillt sein, die nötigen Ressourcen für das Management im Zusammenhang mit Sicherheitskonzepten entsprechend zu allokieren: Die Erstellung, Realisierung, Befolgung und Wirksamkeit der Sicherheitskonzepte sollte durch den CSO bzw. sein Team überprüft werden.
Der CSO prüft die vorgelegten Sicherheitskonzepte auf formale Mängel und Schwachstellen. Den allfälligen Beanstandungen des CSO und der ihm dabei zur Seite stehenden Teams sind dann Rechnung zu tragen.
Um dem Thema des Sicherheitskonzepts gerecht zu werden, kann der CSO beispielsweise interne Experten zu Rate ziehen und die eingereichten Sicherheitskonzepte in einer Diskussionsrunde kritisch prüfen. Es könnten in Form von regelmässigen Meetings gezielte Review-Sessions mit den unterschiedlichen Interessensgruppen für ein Konzept geplant werden. Das heisst, es werden nebst den Sicherheitsverantwortlichen, alle wichtigen Stakeholders bei der Diskussion und Bewilligung involviert. Zum Beispiel können je nach Ausrichtung des Konzepts, Audit, Legal & Compliance, HR, Business-Owner etc. zum Review eingeladen werden.
Worin liegt nun der Nutzen?
- Sicherheitskonzepte bilden eine einheitliche Methode und ein einheitliches Vorgehen zur Erkennung und Behandlung von Informationssicherheitsrisiken im Sinne der Risikotransparenz.
- Die systematische Dokumentation von Schwachstellen, Assets, Risiken, Massnahmen und Restrisiken pro Lösung ermöglicht eine rasche Einschätzung der Sicherheitssituation, Exposition mit einem Blick.
- Es ergibt sich eine vergleichende Einschätzung von Risiken unterschiedlicher Informationssysteme, Applikationen bzw. Services.
- Betrachtet man Sicherheitskonzepte nicht als isolierte Analysen, kann durch den Vergleich und die Kombination von Sicherheitskonzepten, erkannt werden, ob sich in gewissen Bereichen Schwachstellen bzw. Risiken akkumulieren, oder ob bestehende Massnahmen durch neu eingesetzte Technologien plötzlich untergraben werden.
- Da Sicherheitskonzepte schon früh in einer Projektphase erstellt werden: Nach der Erstellung von funktionalen Spezifikationen und vor dem Realisierungsentscheid für das System, hat man genug Zeit die sicherheitsrelevanten Aspekte angemessen zu planen und umzusetzen.
- Durch die Mitarbeit des CSO und seines Teams an den Sicherheitskonzepten und deren Überprüfung, bleiben die Mitarbeitenden und die im Review involvierten Parteien bzgl. der eingesetzten IT Mittel im Unternehmen immer à jour.
- Da die Konzepte eine Lösung bezüglich Sicherheit konsequent beschreiben und in sich abgeschlossen sind, können die Dokumente auch für Auditzwecke verwendet werden.
- Verbindliches Instrument zur Vereinbarung von Verantwortlichkeiten und Terminen für die Umsetzung von Sicherheitsmassnahmen.
- Systematisches Ablage/Archiv über alle Konzepte ergibt eine Umfangreiche Dokumentation / Bibliothek mit allen wichtigen Sicherheitsvorkehrungen pro Lösung.
Wo sind die mögliche Schwierigkeiten anzutreffen?
- Mangelndes Zusammenspiel zwischen beteiligten Team/Gruppen etc.
- Ungenügende Security Awareness der Beteiligten und Verantwortlichen Owner und Projektleiter, schlimmstenfalls des Managements.
- Risiken müssen auch zentral geführt werden vgl. Risk-Register. Die Sicherheitskonzepte alleine genügen nicht im Sinne eines Kompletten ISMS und Risk Managements.
- Lange Wartezeiten zwischen einzelnen Prozessschritten (Erstellung, Vorlage, Bewilligung etc.).
- Unklare Abgrenzung, Handhabung zwischen verschieden ausgeprägten Konzepten: Detailsicherheitskonzepten, Schwachstellenanalyse bzw. Risikoanalysen.
- Die Notwendigkeit einer regelmässigen Überprüfung kann mit der Anzahl der Sicherheitskonzepte aufwändig werden.
- Qualitätsprüfung vor Review: Welche Kriterien muss ein Sicherheitskonzept erfüllen, damit es zur Bewilligung eingereicht werden kann. (Je nach Bedeutung und Exposition der beschriebenen Lösung kann es frappante Unterschiede bzgl. der Anforderungen geben.)
Fazit
Sicherheitskonzepte sind als eine Art Vergrösserungsglas anzusehen. Sie erlauben uns Dinge deutlich zu sehen, von denen wir ohne Konzepte unter Umständen gar nicht wüssten, dass Sie existieren. Diese Erkenntnis setzt dann aber auch die Bereitschaft voraus, sich mit den erkannten Themen auseinanderzusetzen. Man sollte sich davor hüten, Energie in Sicherheitskonzepte zu investieren, die nur wegen eines formalen Zwangs, quasi weil es eine Policy oder ein CSO so vorsieht, oder weil es schon immer so gemacht wurde zu erstellen. Dies käme einer Alibiübung gleich, die kaum Nutzen erzeugen würde. Eine systematische Herangehensweise mit einheitlichem Prozess für Erstellung, Beurteilung und Management der Sicherheitskonzepte stellt hingegen ein hervorragendes Instrument dar, um auch im dynamischen Kontext einen adäquaten Sicherheitsüberblick zu gewähren.
Über den Autor
Werden auch Ihre Daten im Darknet gehandelt?
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!
×
Active Directory-Zertifikatsdienste
Eric Maurer
Fremde Workloadidentitäten
Marius Elmiger
Active Directory-Zertifikatsdienste
Eric Maurer
Sie brauchen Unterstützung bei einem solchen Projekt?
Unsere Spezialisten kontaktieren Sie gern!