Autor: Jürgen Esser

Veröffentlicht am

Database Hardening als Basis für sichere Datenhaltung

Grundsätzlich müssen alle Komponenten einer IT-Infrastruktur optimal gegen Missbrauch gesichert werden, damit ein akzeptabler Sicherheitsgrad des Gesamtsystems erreicht werden kann. Hierbei kommt den Datenbanken eine zentrale Bedeutung zu, da dort i.d.R. alle Unternehmensdaten gespeichert werden.

Es gibt viele Angriffsszenarien auf Datenbanken und zahlreiche, häufig recht teure Tools, mit denen Datenbankadministratoren die ihnen anvertrauten Datenbanken schützen können. Aber ohne einen gewissen Basisschutz, den man mit dem Begriff Datenbank-Härtung (engl. Hardening) beschreiben kann, nützen solche Tools relativ wenig. Dieser Basisschutz sollte für jede Datenbank selbstverständlich sein und kostet zudem nur die notwendige Arbeitszeit.

Die Härtung von Datenbanken lässt sich grundsätzlich in nachfolgende drei Bereiche gliedern, welche zudem verschiedene Benutzergruppen addressieren:

1. Sichere Installation

Dieser Bereich ist relevant für Administratoren, die das DBMS und die Datenbank installieren und umfaßt alle Anforderungen, die während des Installationsprozesses des DBMS einschließlich sämtlicher Konfigurationen auf Betriebssystemebene zu erfüllen sind, wie:

    • Betriebssystemanforderungen
    • Anforderungen an die DBMS Version
    • Minimale Installation
    • Security Patches
    • System Accounts und Access Rights

2. Sichere Konfiguration

Dieser Bereich ist relevant für Administratoren, die das DBMS und die Datenbank vor und während des Systembetriebs konfigurieren und umfaßt jene Konfigurationen, die für einen sicheren Betrieb des DBMS sowie jeder einzelnen Datenbank notwendig sind, wie:

    • Minimale Funktionalität
    • Accounts und Passwords
    • Authentication Methoden
    • Listener und Network Connections
    • Bekannte Vulnerabilities

3. Sicheres Design von Applikationen

Dieser Bereich ist relevant für Designer und Entwickler von Datenbankapplikationen, die diese Anforderungen sowie mögliche Abhängigkeiten zu den Anforderungen der vorangegangenen Bereiche während der Design-Phase der Datenbank berücksichtigen müssen. Hierzu gehören:

    • Datenbank und Netzwerk Architektur
    • Accounts
    • Passwords
    • Account- und Rollenprivilegien
    • Schutz gegen SQL-Injection Angriffen und Privilegien Eskalation
    • Datenbank Links
    • Data Confidentiality

Weitere Detail-Informationen zum Thema Datenbank Härtung speziell für Oracle Datenbanken finden sich im Bericht von Heinz-Wilhelm Fabry, ORACLE Deutschland GmbH.

Veröffentlicht am

Sarbanes-Oxley Act (S-OX)

Der “’Sarbanes-Oxley Act of 2002“‘ (“SOX“, “SarbOx“) ist ein US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung infolge der Bilanzskandale von Unternehmen wie Enron oder Worldcom. Benannt wurde es nach seinen Verfassern, dem Vorsitzenden des Senat der Vereinigten Staaten|Senatsausschusses für Bankwesen, Wohnungs- und Städtebau Paul S. Sarbanes (Demokratische Partei (USA)|Demokrat) und dem Vorsitzenden des Ausschusses des Repräsentantenhaus der Vereinigten Staaten|Repräsentantenhauses für Finanzdienstleistungen Michael Oxley (Republikanische Partei (USA)|Republikaner).

Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Das Gesetz gilt für inländische und ausländische Unternehmen, deren Wertpapiere an US-Börsen (national securities exchanges) gehandelt werden, deren Wertpapiere mit Eigenkapitalcharakter (equity securities) in den USA außerbörslich gehandelt werden, oder deren Wertpapiere in den USA öffentlich angeboten werden (public offering) sowie für deren Tochterunternehmen.

Das Gesetz gliedert sich in Sections, wobei für den Bereich Data Security primär die nachfolgenden Sections relevant sind:

    • 301 Einführung eines Verfahrens für die Entgegennahme von Beschwerden und Hinweisen zur Rechnungslegung und Abschlussprüfung
    • 302 Einrichtung eines Fraud Reporting
    • 406 Verpflichtung der Senior Financial Officers zu ehrlichem Verhalten, zur Einhaltung gesetzlicher Vorschriften und einer korrekten Berichterstattung – insbesondere an die SEC
    • 806 Schutz des Hinweisgebers

Weitere Informationen zum Sarbanes-Oxley Act finden Sie hier.

Veröffentlicht am

Intrusion Detection Service als Frühwarnsystem

Misuse-Detection kann u.a. als Intrusion Detection Service (IDS) mit spezifizierten Events und Alarming umgesetzt werden, um frühzeitig Angriffe auf ein System und Missbrauch zu erkennen.

Hierzu erfolgt die Aufzeichnung relevanter Ereignisse und Benutzeraktionen während des laufenden Systembetriebs mit anschließender zeitnaher Auswertung zur Identifizierung ungewöhnlicher Eingaben, Abläufe oder Muster, die auf Angriffe oder Missbrauchsversuche hinweisen können wobei mögliche Verdachtsfälle im Detail zu untersuchen sind.

Grundsätzlich sind jedoch bei allen Misuse-Detection Maßnahmen die Anforderungen der Arbeitnehmervertretungen zur Verhinderung der Überwachung von Mitarbeitern zu beachten indem der Protokollierungsumfang auf ein absolut notwendiges Maß eingeschränkt wird.

Ein Intrusion Detection (IDS) umfasst im Wesentlichen die Überwachung einer Applikation mittels Sensoren, die die erzeugten Log-Daten auswerten und bei Erkennung von Angriffs- und Missbrauchsversuchen im Rahmen definierter Szenarien entsprechende Reaktionen (Alarme) auslösen.

Konzeptionell sollte sich ein IDS am „Leitfaden für die Einführung von Intrusion Detection Systemen“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren.

Nachfolgend finden Sie die Informationen des BSI auch im PDF-Format:

Intrusion-Detection Grundlagen
Leitfaden für die Einführung
Rechtliche Aspekte beim Einsatz von IDS

Veröffentlicht am

Basics zu Security Information und Event Management

Security Information & Event Management (S.I.E.M.) ermöglicht die Herstellung eines zentralen Überblicks über die Informationssicherheit, die Kennzahlen mit Bezug auf die Geschäftsprozesse zu ermitteln und als Report für den Compliance Nachweis zur Verfügung zu stellen.

Das Security Information und Event Management umfasst eine zentrale Qualitätssicherung der Geschäftsprozesse und Sicherheitsmaßnahmen auf IT-Ebene. Durch eine systemübergreifende Auswertung von Logfiles aus den IT-Systemen, werden die Einhaltung der Security Policies und Compliance Anforderungen überwacht und dokumentiert.

SIEM-Überblick

Dank der Implementierung eines S.I.E.M. können Risiken für Geschäftsprozesse in Echtzeit erkannt werden und ermöglichen eine angemessene Reaktion. Bekannte und unbekannte Gefahren durch Angriffe von Viren, Würmer und Trojaner werden durch Mustererkennung identifiziert und eskaliert. Unbekannter Datenverkehr, z. B. von Hackern verursacht, wird durch modernste Data Mining Verfahren zentral protokolliert, ausgewertet und in die Service Prozesse kommuniziert.

Interssante derzeit auf dem Markt verfügbare Lösungen sind z.B. ArcSight ESM Solution, HP Compliance Log Warehouse (HP CLW), LogLogic, SenSage (Softwarekomponente von HP CLW), NetIQ.

SIEM am Beispiel von ArcSight ESM Solution

Siehe hierzu auch nachfolgende Gartner Marktstudie SIEM Lösungen aus 2008  und Gartner Magic Quadrant for SIEM

Gartner SIEM Lösungen

Veröffentlicht am

IT Governance, Risk & Compliance (IT GRC)

IT GRC umfaßt sich mit den eng verzahnten Bereichen IT-Governance, IT-Risk-Management und IT-Compliance.

Die IT-Governance bezieht sich auf die Ausrichtung der IT zur Gesamt-Organisation und die Führung der IT durch diese Gesamt-Organisation. Dagegen beschäftigt sich das IT-Risk-Management mit der Erfassung, Bewertung und Behandlung von Risiken der IT. Im Bereich IT-Compliance geht es um die Steuerung der Einhaltung von Regelungen, insbesondere von Gesetzen, aber auch von Regeln mit Kunden und Lieferanten.

Im Detail gehört zum Bereich IT GRC:

    • Bedrohungsanalysen und Risk Assessment sowie Ableitung von geeigneten Massnahmen zur Erreichung/Aufrechterhaltung der Compliance
    • Performance measurement
      Grad der Unterstützung des Business durch die IT? Definition von Key Performance Indikatoren (KPIs)
    • IT control profiling
      Identifikation der maßgeblichen Prozesse und der kritischen Erfolgsfaktoren für effektive Kontrollmechanismen
    • Business Awareness
      Definition der Risiken für die Geschäftstätigkeit bei Nichterreichung der Zielsetzungen
    • Security Awareness
      Information zu entwickelten und umgesetzten Maßnahmen zur Verbesserung des Sicherheitsbewußtseins im Unternehmen
    • Benchmarking
      Messung und Vergleich der eigene Performance
    • Sicherheitsrichtlinien und Prozesse
      Evaluierung und Erstellung von Sicherheitsrichtlien nach BSI Grundschutz sowie BS7799 bzw. ITGI best practices
Veröffentlicht am

Informationssicherheits Management (ISMS) nach ISO 27001 und IT-Grundschutz

Heutezutage werden Daten in fast jedem Unternehmen auf elektronischem Wege verarbeitet. Dabei bedürfen jedoch insbesondere sensible Daten eines besonderen Schutzes. Zudem sind häufig auch gesetzliche Vorgaben wie z.B. im Umgang mit Personaldaten oder Compliance-Vorgaben besonderer Beachtung zu schenken.

Aus diesem Grunde wird ein verlässliches und dauerhaft funktionsfähiges Informationssicherheitsmanagement (ISMS) zu einem immer wichtigeren Erfolgsfaktor für Unternehmen. Kunden, Partner und Lieferanten sowie staatliche Organe erwarten, dass die Daten optimal geschützt und Risiken frühzeitig erkannt werden.

ISO 27001

Den nötigen Schutz für sensible Unternehmensdaten bietet ein nach der Norm ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). Zu den Phasen des Aufbaus solch eines Systems gehören:

    • Auswahl und Abgrenzung des IT-Verbundes
    • Feststellung des Schutzbedarfes
    • Risikoanalyse
    • Maßnahmendefinition
    • Umsetzung

Um eine optimale und kosteneffiziente Lösung für ein Unternehmen zu erreichen, ist hierbei unbedingt darauf zu achten, dass der Bedarf ganz spezifisch auf die jeweilige Unternehmenssituation festgelegt wird.

Zertifizierung nach ISO 27001

Nach dem Aufbau eines ISMS besteht die Möglichkeit, eine Zertifizierung nach der Norm ISO 27001 zu beantragen. Mit solch einem international anerkannten Zertifikat kann ein funktionsfähiges ISMS nachgewiesen und eines der wertvollsten Sicherheitssiegel im internationalen Umfeld erlangt werden. Damit kann Kunden und Geschäftspartnern gezeigt werden, dass dem Thema IT-Sicherheit im Unternehmen ein sehr hoher Stellenwert beigemessen wird. Ganz nebenbei profitiert ein Unternehmen von einem nachhaltigen und hohen Sicherheitsniveau, das aktuelle Bedrohungen und die daraus resultierenden Risiken erheblich minimiert.

ISO 27001-Auditoren leisten hierbei wertvolle Unterstützung während des Prüfungsprozesses. Es besteht auch die Möglichkeit ein Vor-Audit durchzuführen, wenn ein Unternehmen nicht sicher ist, ob alle Voraussetzungen für eine Zertifizierung erfüllt sind. Hierbei wird überprüft, ob das ISMS allen Anforderungen der offiziellen Zertifizierungsstelle entspricht, so dass Sie die tatsächliche Zertifizierung erfolgreich durchgeführt werden kann.

Sicherheitskonzepte nach IT-Grundschutz

Eine wesentliche Grundlage für Definition, Priorisierung und Umsetzung von Sicherheitsanforderungen an Systeme oder Prozesse stellen Sicherheitskonzepte dar. Im Rahmen eines Sicherheitskonzeptes werden jedoch nicht nur IT-basierte Werte betrachtet: In einem Sicherheitskonzept, das auch nur Teilbereiche der IT-Infrastruktur umfassenden kann, werden für eine Systemumgebung Sicherheitsziele festgesetzt, welche sich aus den Risiken und dem Schutzbedarf der Informationen ableiten. Im Anschluß daran werden entsprechende Maßnahmen entwickelt, die zur Zielerreichung führen.

Bei der Erstellung von generalisierten Sicherheitskonzepten für eine gesamte IT-Landschaft als auch bei der Erarbeitung von system- oder applikationsspezifischen Detailkonzepten liefert i.d.R. die IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit folgender Vorgehensweise die notwendige Basis:

1. Strukturanalyse: Analyse des Ist-Zustandes
2. Ermittlung des Schutzbedarfs der Informationen
3. Modellierung des IT-Verbundes: Auswahl der relevanten Maßnahmen
4. Soll-Ist-Vergleich

In den Fällen von hohem oder sehr hohem Schutzbedarf müssen gegebenenfalls ergänzende Analysen durchgeführt werden, um weitere Maßnahmenempfehlungen abzuleiten.

Veröffentlicht am

IT-Sicherheitsanalysen & Penetrationstests

Ein Audit der IT-Sicherheit auf der Grundlage von anerkannten Standards wie dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder den ISO-Standards 17799 bzw. 27001 im Unternehmen ist äußerst hilfreich, um die richtigen Schwerpunkte zu setzen.
Eine IT-Sicherheitsanalyse dokumentiert das derzeitige IT-Sicherheitsniveau (Ist-Zustand), gibt Handlungsempfehlungen zur Verbesserung der IT-Sicherheit sowie eine unabhängige und verständliche Entscheidungsgrundlage dafür wie die Prioritäten richtig gesetzt werden können.
Die Dokumentation des bereits erreichten Sicherheitsniveaus dient als Nachweis dafür, dass die Geschäftsführung ihren persönlichen Verpflichtungen zur IT-Sicherheit nachgekommen ist, da diese primär die alleinige Verantwortung für die Umsetzung eines adäquaten Risikomanagements im Unternehmen und damit auch für die IT-Sicherheit trägt.

Grundsätzlich zählt jedoch nicht nur die Sicherheit von einzelnen Komponenten zu den Voraussetzungen für den Schutz von Daten, sondern auch die umfassende Kenntnis der vorhandenen IT-Infrastruktur. Eine detaillierte Schwachstellenanalyse aller Komponenten, welche am Geschäftsprozess beteiligt sind, ist daher eine unabdingbare Voraussetzung, um sinnvolle Maßnahmen gegen interne und externe Angriffe zu ergreifen.

Zu den Zielen von IT-Sicherheitsanalysen gehören:

    • Identifikation der Schwachstellen eines IT-Verbundes
    • Bewertung des Risikopotenzials
    • Maßnahmenempfehlung zur Behebung der identifizierten Schwachstellen bzw. Reduzierung des Risikopotenzials

Zum Umfang von IT-Sicherheitsanalysen zählen:

    • IT-Struktur- und Systemanalysen
    • IT-Schutzbedarfsanalysen
    • Gefahrenanalysen und Risikobewertungen
    • Erstellen von IT-Security-Konzepten und Betriebsmodellen
    • Penetrationstests, um eventuelle Sicherheitslücken aufzudecken

Primär werden dabei nachfolgende Bereiche untersucht und dokumentiert:

    • Organisatorische Maßnahmen, Richtlinien und Verantwortlichkeiten
    • Berechtigungsvergabe
    • Datenschutz
    • Datensicherung
    • Virenschutz
    • eMail und Internetnutzung
    • Einrichtung und Betrieb der Firewallsysteme
    • Anbindung von Außenstellen, Heimarbeitsplätzen und mobilen Mitarbeitern
    • Sichere Konfiguration von Servern und PCs
    • Notfallvorsorge

Zur Erhebung der notwendigen Informationen werden Gespräche mit den Verantwortlichen durchgeführt sowie vorhandene Dokumente und Richtlinien ausgewertet und überprüft.

Die Informationen werden bewertet und mit einem definierten Soll-Zustand abgeglichen. Im Ergebnis werden Empfehlungen und Anregungen ausgesprochen, wo zusätzliche Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus erforderlich sind. Hierbei sollte jedoch grundsätzlich die Umsetzung eines wirtschaftlichen und der individuellen Risikosituation angemessenen Schutzes im Vordergrund stehen.

Es folgt die Planung und Umsetzung von geeigneten Sicherheitsmaßnahmen, wobei jedoch nicht vergessen werden darf auch die Anwender für IT-Sicherheitsthemen ausreichend zu sensibilisieren, um Gefahren zu erkennen und diesen richtig zu begegnen, da nur das Zusammenspiel aller Maßnahmen einen ausreichenden Schutz auch gegen neuartige Angriffe gewährleistet.

Solche IT-Sicherheits-Checks erlauben es, kurzfristig ein gutes Gesamtbild des Ist-Zustands zu ermitteln. Bei einer mittleren Unternehmensgröße reichen i.d.R. ca. 12 Personentage für eine umfassende Analyse und Bewertung der Ergebnisse aus. Kleine und einfache IT-Umgebungen lassen sich sogar in wesentlich kürzerer Zeit analysieren und bewerten.

Veröffentlicht am

Social Engineering & Security Awareness

Im Rahmen des sogenannten Social Engineering werden explizit nicht-technische Methoden eingesetzt, um an vertrauliche Informationen zu gelangen.

Dies geschieht i.d.R. über nachfolgende Wege:

    • Installation von Hardware-Keyloggern
    • Verteilen von präparierten Medien z.B. USB-Sticks, Werbe-CDs
    • Analyse entsorgter Materialen z.B. Datenträger, Hardware, Papiere
    • Vor-Ort-Termine mit frei erfundenen Einladungspapieren

Besonderheit von Social Engineering-Maßnahmen ist, dass zahlreiche Mitarbeiter häufig anfällig gegenüber gut vorbereiteten Angriffen sind. Wobei rein technische Sicherheitsanalysen von den Mitarbeitern eines Unternehmens meist nicht bemerkt werden, sind Social Engineering-Maßnahmen neben dem Aufdecken von Schwachstellen insbesondere auch sehr gut als Awareness-Maßnahmen einsetzbar.

Grundsätzlich ist jedoch immer zu beachten, dass solche Analysen eine hohe soziale Komponente aufweisen. Daher müssen die Identitäten der Mitarbeiter, bei denen Angriffe erfolgreich durchgeführt werden konnten, unbedingt geschützt werden.

Veröffentlicht am

Technische Sicherheitsanalysen

Im Rahmen von technischen Sicherheitsanalysen stehen schnelle und belastbare Ergebnisse im Vordergrund. Sie ermöglichen kritische Schwachstellen in einem IT-Verbund effizient aufzudecken und zu bewerten.

Schwerpunkte der Analyse können sein:

    • Betriebssysteme
    • Anwendungsprogramme
    • Proprietäre Software / Individualentwicklungen
    • Patch-Stände von Hardware und Software)
    • Netzwerkstrukturen, Segmentierung und Anbindung an andere Netze
    • Aktive Netzwerkkomponenten z.B. Firewalls, Switches, Router
Veröffentlicht am

Datenschutz-, Berechtigungs- und Sicherheitskonzepte

Mit der Verbreitung von neuen Technologien bei der Informationsgewinnung und -weitergabe ergeben sich zunehmend Gefahren des Datenmissbrauchs, welche häufig in der Verletzung von Persönlichkeitsrechten der betroffenen Personen enden.

Zur Unterstreichung der Bedeutung der Informationstechnologie und gleichzeitigen Gewährleistung der Sicherheit von beteiligten Personen, ist die Einhaltung der Gesetze und Vorschriften des Bundesdatenschutzgesetzes (BDSG) zwingend erforderlich.

Wesentliche Maßnahmen in diesem Zusammenhang sind:

    • Nutzung von externer Beratung in Datenschutzfragen und zur Bedarfsanalyse
    • Bestellung eines internen oder externen Datenschutzbeauftragten
    • Durchführung von Datenschutz-Audits
    • Unterstützung von Fachseiten bei der Erstellung von Datenschutz-, Berechtigungs– und Sicherheitskonzepten
    • Unterstützung von Fachseiten durch Datenschutz-Vorbewertungen von Aktivitäten
    • Unterstützung von IT-Einheiten bei der Ausgestaltung von Datenschutzkonzepten sowie bei der Umsetzung
    • Unterstützung in IT-Projekten zu Datenschutz- und Security-Compliance
    • Abstimmungen mit dem zentralen Datenschutzbereich und zur internen Priorisierung / Risikobetrachtung
    • Überprüfung der Organisation von Datenschutzstrukturen
    • Schulungen von Mitarbeitern und Datenschutzbeauftragten
Stolz präsentiert von WordPress