Diverse IT Sicherheitsvorfälle haben gezeigt, dass es nicht genügt, sich auf die traditionellen IT-Sicherheitskomponentnen (IDM, WAF, Firewalls, SIEM, Anti-Malware etc.) und Serviceprozesse (z.B. Incident Management etc.) zu verlassen, vielmehr benötigt man ein Radar, einen Seismographen für potentielle Sicherheitsvorfälle, bestehend aus einem Netzwerk interessierter, sicherheitsaffiner Mitarbeitenden, die für Ihren Verantwortungsbereich sicherheitsrelevante Ereignissen identifizieren, bewerten, eskalieren und angemessen weiterkommunzieren können: Damit entstehende Vorfälle im Keim erstickt werden können, bevor sie sich zu einem vitalen Problem für das Unternehmen entwickeln.

Idee

Die rasante technologische Entwicklung, die auch die Durchdringung sämtlicher Lebensbereiche mit Informationstechnologie sukzessive zunehmen lässt, sorgt für eine vielseitige Veränderung der Bedrohungslage. Unaufhörlich folgen Meldungen über neu entdeckte Schwachstellen in verschiedensten Produkten, welche ein Eindringen in noch so gut gesicherte Infrastrukturen ermöglichen. Eine Welle von Cyber-Attacken auf attraktive Ziele sorgt fortgesetzt für Aufsehen erregende Schlagzeilen. Der kriminellen Energie sind genauso wenig Grenzen gesetzt wie der exponentiell ansteigenden Komplexität technischer Systeme, welche nicht zu erahnende Kollateraleffekte nach sich zieht und ungewollt ständig ein neues Feld ungeahnter, illegitimer Möglichkeiten bereitet.

Banken und andere Dienstleister sehen sich als Verarbeiter schützenswerter und somit für potentielle Angreifer äusserst attraktiver Information wie als Betreiber anspruchsvoller Businss-Infrastruktur vermehrt mit plötzlich auftretenden Gefahren konfrontiert, welche kurzfristig erkannt werden müssen und auf die mit angemessenen Massnahmen reagiert werden muss.

Immer wieder werden Schwachstellen von häufig verwendeten, populären Produkten, wie Browser, Firewalls oder Betriebssystemen aufgedeckt und mittels diverser Internetkanäle einer immensen Anzahl potentieller Angreifer offen gelegt. Auch kryptographische Komponenten, welche integrale Bestandteile wichtiger Dienstleistungen darstellen, sind keineswegs vor Schwächen gefeit.

In solchen Situationen wird die angemessene Reaktion zum Wettlauf mit der Zeit: Es gilt, diese Schwächen in ihrer Tragweite zu erkennen und ihnen mit geeigneten Massnahmen innerhalb eines Unternehmens zu begegnen, bevor Auswirkungen auf die Qualität der Dienstleistungen entstehen können.

Für die Sicherheit eines Unternehmens und deren unmittelbare Auswirkung auf die Qualität und Reputation des Listungsportfolios ist es unabdingbar, die relevanten Bedrohungen und/oder Schwachstellen so früh wie möglich zu erkennen und kontrollieren zu können. Es drängt sich deshalb ein Sicherheitsdispositiv zur Risiko-Früherkennung, raschen Entschlussfassung und Massnahmenumsetzung auf: Nennen wir es Risikoseismograph.

Dieses organisatorische Instrument zur Risikofrüherkennung, ist interdisziplinär und Unternehmensweit über alle Geschäftsfelder aufgestellt. Unter dem Radar der Verantwortlichen stehen sämtliche Technologien, die zur Erbringung des Dienstleistungsspektrums wesentlich sind. Sicherheitsvorfälle werden proaktiv erkannt oder umgehend reaktiv identifiziert, um angemessen und kompetent Massnahmen zu ergreifen. Der weitestgehende Ausschluss von Beeinträchtigung von Dienstleistungen ist das oberste Ziel, zur langfristigen Absicherung des hohen Qualitätsanspruches des erbrachten Leistungsportfolios und Wahrung der ausserordentlichen Reputation des Geschäftsumfeldes.

Hintergrund

Die Identifikation von sicherheitsrelevanten Ereignissen baut auf der Überwachung von Informationsquellen auf. Aktuelle Bedrohungen und Schwachstellen von Systemkomponenten werden in Foren, Newsgroups oder Herstellernachrichten kommuniziert. Eigene interne Alarmeinrichtungen – wie Systemkonsolen oder Intrusion Detection Systeme (SIEM, Anti Maleware, etc.) – überwachen das Verhalten der Infrastruktur auf Unregelmässigkeiten. Die verantwortlichen Fachspezialisten überwachen diese Informationsquellen und führen die auf verschiedenen Wegen gewonnenen Erkenntnisse in einer Vorbewertung zusammen.

Doch mangelt es in Unternehmen noch oft an der Rahmen-Organisation für die frühzeitige Weiterleitung der Informationen und deren Behandlung durch die zuständigen Stellen. Die meisten dieser Bedrohungen oder Schwachstellen haben einen interdisziplinären Kommunikations- und Handlungsbedarf und verlangen nach einer entsprechenden Institutionalisierung im Unternehmen, um wirksam behandlet werden zu können.

Rollen

Die Treffsicherheit der Erkennung stellt die kritische Komponente des Risikoseismogrpahen dar: Während in einer oberflächlichen Betrachtung wesentliche Fälle unerkannt bleiben, führt eine überhöhte Sensibilität zu einer extensiven Anzahl von False Positives Ereignisse, welche fälschlicherweise als zutreffend bewertet werden) und einer Reduktion der Aufmerksamkeit.

Um die Treffsicherheit der Ereknnung relevanter Events sicher zu stellen, bedarf es spezieller Rollen im Dispositiv des Risikoseismographen:

• Taskforce (TF): Die interne Taskforce ist eine interdisziplinär zusammengestellte kleine Gruppe aus qualifizierten Fachleuten im betreffenden Fachgebiet, welche bei Auftreten eines Ereignisses zur forcierten Behandlung einberufen wird. Die Taskforce untersucht, beurteilt das Ereignis und entscheidet über die umzusetzenden Massnahmen. Getroffene Entscheide und festgelegte Massnahmen werden dokumentiert und an den Betrieb zur Umsetzung weitergeleitet.

• Prozesseigner (PE): Die Ownerschaft über die Prozesse des Risikoseismogrpahen, die zugehörigen Konzepte und Vorgaben liegen beim Chief Security Officer (CSO). Innerhalb der CSO-Organisation gibt es einen definierten Ansprechpartner für den Risikoseismographen, welcher als zentrale Anlaufstelle für sämtliche Themen in diesem Kontext agiert.

• Risikokundschafter (RK): Ihre zentral Aufgabe im Rahmen der proaktiven Tätigkeit besteht darin, potentielle Gefahren und Schwachstellen so früh wie möglich zu identifizieren. Im reaktiven Fall sind Risikokundschafter ob ihrer Position und Fachkompetenz die Schlüsselstelle der Umsetzung kompensierender Massnahmen und definitiver Lösungen. In beiden Szenarien kommt Ihnen bei Erkennung und Analyse eine entscheidende Bedeutung zu: Als die Mitarbeiter mit der engsten fachlichen Affinität obliegt Ihnen primär die erste Beurteilung. Zu den Aufgaben gehören mitunter: Regelmässiges Sichten von entsprechenden Informationsquellen (ggf. jeden Arbeitstag), Erfassen der relevanten Informationen in den dazu bestimmten Boards zum Risikoseismographen entsprechend, Benachrichtigung des Leiters der für das Ereignis zuständigen Taskforce.

• Taskforce Leiter (TL): Diese stellen die rasche und interdisziplinäre Ausarbeitung der fachlich richtigen Entscheidungsgrundlagen für die angemessene Reaktion auf Ereignisse sicher. Ihre Hauptaufgabe liegt in der Koordination sämtlicher Aktivitäten im Rahmen des Risikoseismographen. Im proaktiven Modus stehen diese als Ansprechpartner den Risikokundschaftern aus Ihrem Fachbereich zur Verfügung, verfolgen die offenen Fälle aktiv und stellen eine angemessene Bearbeitung sicher

• Board (BD): Tools zur Kommunikation, Log, Reporting etc. Zur Dokumentation der Vorfälle aus dem Risikoseismographen kann ein einfaches Boardähnliches Intranet Tool implementiert werden. Pro Event wird systematisch ein eindeutiger Datenabnk Eintrag generiert, Es werden durch die Abfrage diverser Eigenschaften des Events die Charaktersitik abgefragt: Titel, Fachbereich, Priortät. Kritikalität, Relevanz, Gefahrenkatergorie, Quellen, Problemzusammenfassung, Status, Attachments (z.B. Screenshots), Lösungsablauf, Involvierte Stellen (Eskalation), Abschlussbericht etc.

Prozessübersicht

Als Sicherheitsvorfälle werden Ereignisse bezeichnet, welche eine Wirkung auf folgende Eigenschaften von Informationen oder Verarbeitungssystemen aller Art haben:

• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Zuverlässigkeit
• Wirksamkeit
• Wirtschaftlichkeit
• Einhaltung rechtlicher Erfordernisse

Ein solcher Sicherheitsvorfall wird dann zu einem Vorfall des Risikoseismographen, sobald von dem Ereignis eine Auswirkung auf die Sicherheit der Dienstleistungen, Informationen oder Infrastruktur des Unternehmens zu erwarten ist. Dabei kann der Effekt sowohl potentiell in der Zukunft eintreten (proaktive Betrachtung) als auch bereits tatsächlich gegeben sein (reaktive Betrachtung).

Unabhängig von der später folgenden Einschätzung der Relevanz ist jeder Sicherheitsvorfall, sobald dieser als Risikoseismograph Vorfall betrachtet wird, als solcher im Board zu erfassen. Dies stellt die Evidenz sicher, dass die Überwachung und Behandlung auch tatsächlich erfolgt ist.

Der Eventerkennung und -analyseprozess besteht im wesentlichen aus sechs Schritten in 2 Phasen:

Ablauf

Wie läuft nun der Prozess konkret ab:

1. Die Risikokundschafter innerhalb eines Fachbereichs sind für die regelmässige Überwachung der Informationsquellen verantwortlich.
2. Die Risikokundschafter übernehmen eine erste Filterung der vorgefundenen Informationen. Zu diesem Zweck nehmen sie eine Vorbewertung vor. Das bedingt das Abschätzen der Relevanz sowie der Dringlichkeit eines Ereignisses. Unter Umständen muss der betreffende Risikokundschafter zusätzliche Nachforschungen anstellen, um alle benötigten Informationen in Erfahrung zu bringen. Falls das untersuchte und vorbewertete Ereignis auf das Unternehmen Auswirkung hat (der Hersteller, der die Information veröffentlicht hat oder das Produkt, welches die Information betrifft ist im Unternehmen in Verwendung), so eröffnet der Risikokundschafter einen Eintrag im Board für den Risikoseismographen: Die Eröffnung des Eintrages erfolgt unabhängig von der Relevanz der konkreten Information. Diese Beurteilung erfolgt als Teil des nächsten Schrittes 3.
3. In diesem Teilschritt wird das aktuelle Ereignis innerhalb des jeweiligen Fachbereichs analysiert und diskutiert. Relevante Fälle werden weiter verfolgt, nicht relevante zum Zwecke der Nachvollziehbarkeit als solche gekennzeichnet und abgeschlossen. Nach Abschluss von Schritt3 resultiert eine bereinigte Beschreibung, die den Ausgangspunkt für die nachfolgenden Schritte bildet. Sämtliche Funktionsträger besuchen das Board arbeitstäglich und begutachten die nicht abgeschlossenen Einträge aus dem jeweiligen Fachbereich. Sie beteiligen sich an der Diskussion der Ereignisse und tragen mit ihren Fachkenntnissen zur Analyse bei.
4. In Abhängigkeit der Resultate aus 3 werden Massnahmenvorschläge zur Behebung eines Ereignisses ausgearbeitet. Zu diesem Zweck kann der Taskforce Leiter eine Taskforce mit geeigneter Zusammensetzung einberufen. Als Resultat steht eine Sammlung von möglichen Massnahmen zur Verfügung.
5. Die Massnahmenvorschläge aus 4 werden mit dem Betrieb (diese mit den betroffenen Ownern) und ggf. weiteren betroffenen Personen diskutiert. Als Resultat gibt es u.U. einen Entscheid zur Umsetzung der vorgeschlagenen Massnahmen. Die Umsetzung erfolgt im Rahmen der betrieblichen Prozesse via Change Management. Falls dies nicht möglich ist werden eventuell bereits vorhandenen Change-Prozesse verwendet oder die Aufträge direkt via E-Mail an die Verantwortlichen übergeben.
6. Nach erfolgter Umsetzung der gewählten Massnahme liefert der Betrieb eine Rückmeldung an den Taskforce Leiter. Dieser dokumentiert die Rückmeldungen im Board und schliesst nach der Umsetzung den Eintrag ab.

Abdeckung

Es stehen sämtliche Technologien, welche zur Erbringung des Dienstleistungsspektrum des Unternehmens wesentlich sind, unter der Überwachung mittels des Risikoseismogrpahen subsumiert.

Schnittstellen

Durch die Organisation des Risikoseismographen entstehen diverse Schnittstellen zu bereits etablierten Stellen und Funktionen eines Unternehmen: Fachabteilungen, Incident- Problem- Patch- und Change-Mgmt, Engineering, Development, Applikations- & Businssowners, Risk Mgmt. Damit wird generell die Zusammenarbeit bei Vorfällen erfahrungsgemäss massiv gestärkt und dadruh auch das gegenseitige Verständnis für Anliegen der Sicherheit.

Fazit

Durch das erschaffen der besprochenen Rollen innerhalb der Organisation des Risikoseismogrpahen, erwachsen aus Sicherheitssicht diverse vorteile:

• Potentielle Risiken werden früh erkannt und diskutiert.
• Mitarbeitende mit Interesse und Affinität für Sicherheit, erhalten die Möglichkeit einen verstärkten Beitrag zur Sicherheit zu leisten und können dadurch ihre Fachfunktion bereichern.
• Der Risikoseismograph bietet auch Raum, um Probleme zu adressieren, die sonst ev. nicht angemessen platziert und adressiert werden könnten.
• Durch die vielseitigen Schnittstellen und das zentrale Board, sind alle relavante Steakholder stets in der Lage sich aktiv zu informeiren und an entscheidungen zu partizipieren.
• Durch die systematische Dokumentation, ergeben sich diverse Reporting möglichkeiten, die es z.B. auch ermöglichen Kosten und Aufwände im Sicherheitsbereich transparent aufzuzeigen (die sonst kaum wahrgenommen würden). Ausserdem sind alle relvanten Events und entscheide Dokumentiert.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• https://www.mandiant.com/blog/mandiant-exposes-apt1-chinas-cyber-espionage-units-releases-3000-indicators/