Fortlaufende Veränderung benötigt regelmäßige Überprüfung
Für Unternehmen sind regelmäßige IT-Sicherheitsaudits unabdingbar, wenn sie im Umgang mit Kunden oder Lieferanten die Ziele der Informationssicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) gewährleisten wollen. Die Veränderung in der IT-Infrastruktur ist allgegenwärtig. Regelmäßig sind Softwareupdates notwendig, Konfigurationen werden angepasst, das Netzwerk wächst und verändert sich durch neue IT-Komponenten.
Durch Unachtsamkeit oder Unwissenheit können Fehlkonfigurationen entstehen, die massive Auswirkungen auf die Sicherheit der IT-Infrastruktur haben. Für Cyberkriminelle stellen gerade kleine und mittlere Unternehmen ein lohnendes Ziel dar. Diese befinden sich häufig im Spannungsfeld zwischen erforderlicher Sicherheit und notwendiger Investition. Häufig erhält man – meist ungewollt – mediale Aufmerksamkeit und schädigt damit die eigene Reputation.
Viele Geschäftsführer fragen sich: „Wie sicher ist denn überhaupt mein Unternehmen? Wie sicher ist mein Netzwerk? Wo gibt es in meinem Unternehmen Schwachstellen?“ Diese Fragen können Spezialisten für Netzwerk- und Sicherheitstechnik mittels IT-Sicherheitsaudits beantworten.
Der IT-Grundschutz-Kompendium des BSI gibt grundsätzlich eine Netztrennung in mindestens drei Sicherheitszonen vor: internes Netz, demilitarisierte Zone (DMZ) und Außenanbindungen. Nähere Infos dazu im BSI-Grundschutz Kaptitel NET.1.1.A4 Netztrennung in Sicherheitszonen. Die Übergänge zwischen den Zonen müssen durch eine Firewall kontrolliert werden und nur die erlaubte Kommunikation weiterleiten (Whitelisting).
Verschiedene Module – verschiedene Möglichkeiten
Aus dieser Grundvorgabe lassen sich auch die zu überpüfenden Sicherheitszonen eines IT-Sicherheitsaudits ableiten.
Im DMZ-Scan werden aus dem Internet erreichbare Systeme und Dienste in der demilitarisierten Sicherheitszone (DMZ) mittels Portscan auf Erreichbarkeit geprüft. Im zweiten Schritt prüft der DMZ-Scan die Kommunikation in interne und externe Netze. Die identifizierten Kommunikationswege sollten auf Notwendigkeit und maximale Einschränkung geprüft werden.
Das Firewall-Audit prüft gezielt alle Kommunikationswege, die über die Firewall geregelt werden. Korrekte Filterregeln und übliche Blockaden werden überprüft, z.B. DNS- oder UDP-Tunnel sowie Blockade des TOR-Netzwerkes. Zudem werden alle relevanten Zonen LAN->WAN, LAN<->DMZ, DMZ<->WAN überprüft, z.B. Zugriff der Mitarbeiter auf das Internet oder Zugriff auf extern erreichbare Dienste mittels Reverse-Proxy.
Der Vulnerability-Scan ist der Klassiker unter den IT-Sicherheitsaudits. Mit Hilfe einer Vulnerability-Database werden automatisiert IP-basiert gezielt Schwachstellen in Betriebssystem- und Anwendungssoftware gesucht. Die Ergebnisse des Scans bilden die Basis für den Penetrationstest. Die gefundenen Schwachstellen werden aufgelistet und können gezielt durch Konfigurationsanpassungen oder Software-Updates eliminiert werden. Können Schwachstellen nicht geschlossen werden, muss das daraus entstehende Risiko akzeptiert werden. Eine Risikoanalyse kann ggf. bei der Ermittlung der Schadenspotenziale helfen.
Basierend auf dem Vulnerability-Scan wird bei einem Penetrationstest manuell versucht, identifizierte Schwachstellen gezielt nach ausführlicher Informationssammlung auszunutzen, um die Kontrolle über ein IT-System zu erlangen. Mit hoher Fachkenntis werden Tools, Methoden und Techniken der Hacker kombiniert eingesetzt. Das macht den Unterschied zum Vulnerability-Scan.
Das ideale Früherkennungssystem für Hackerangriffe, Malware, Exploits oder sonstige unerwünschte Netzwerkaktivitäten bietet das Network-Security-Monitoring (NSM). Hierbei wird der komplette Netzwerkverkehr mittels zentraler Netzwerksensoren vollautomatisiert überwacht. Wird ein sicherheitskritisches Ereignis erkannt, erfolgt eine Information an das zentrale Monitoringsystem und zeitnahe Reaktion kann erfolgen. Eine automatisierte Reaktion auf einen Alarm, z.B. Isolation eines infizierten Systems, ist ebenfalls möglich.
Rechtliche Aspekte
Bevor der automatisierte oder manuelle Zugriff auf ein Netzwerk im Rahmen eines IT-Sicherheitsaudits erfolgen darf, ist eine schriftliche Einverständniserklärung (Permission to attack) notwendig. Ohne entsprechende Freigabe wäre ein IT-Sicherheitsaudit unter Umständen illegal und es drohen juristische Konsequenzen. Innerhalb der Vereinbarung werden Zeitraum, Umfang und die zu prüfenden Systeme genau definiert.
Immer daran denken: 100%ige Sicherheit gibt es nicht. Bedrohungslagen ändern sich fortlaufend. Netzwerkstrukturen und -konfigurationen ändern sich fortlaufend. Ihr Unternehmen braucht Schutz. SAR schützt Ihre Werte.
