Systemsicherheit

Schwachstellen in der Sicherheit von IT-Systemen können ggf. die Datensicherheit gefährden und stellen damit auch ein geschäftskritisches Risiko für Unternehmen dar.

Hierzu gehören u.a.:

    • Unsichere Grundkonfiguration der Server sowie unnötige Dienste und Protokolle
    • unzureichende Netztrennung z.B. Applikationen inkl. Datenbanken mit schützenswerten Daten sind von jedem Rechner aus dem Intranet aus erreichbar
    • unzureichende Prozesse und fehlendes Reporting z.B. Software auf Servern wird nicht regelmäßig mit Security Patches versorgt
    • Mangelnde Pflege des Sicherheitsstatus im Sinne von aktuellen sogenannten Patches / Bugfixes etc. und Softwareversionen
    • unzureichende Prozesse um Firewall Regeln im Sinne eines Lifecycle-Managements zu beantragen, frei zu schalten und implementieren zu lassen

Hinzu kommen häufig noch Compliance-Verstöße und Missachtung von gesetzlichen Auflagen wie dem Datenschutz.

Zur Herstellung und Aufrechterhaltung der Sicherheit von IT-Systemen kommen zahlreiche Maßnahmen in Betracht, die nachfolgend erläutert werden sollen.

Systemhärtung

Die Grundlage für alle Maßnahmen zur Verbesserung der Systemsicherheit bildet die Systemhärtung (OS-, DB-Systeme, WebServer etc.) zur Herstellung eines Mindeststandards bei der Konfiguration und dem Betrieb von Systemen, Datenbanken und Anwendungen. Die Systeme müssen technisch immer auf dem aktuellen Stand gehalten werden, wobei der Status kontinuierlich überwacht und kontrolliert werden muß.

Systemhärtung bedeutet unabhängig von der Art der Software die Konfiguration eines Systems, welche nach dem aktuellen Stand der Technik einen angemessen Schutz vor Angriffen bietet.

Durch die Umsetzung von konkreten Sicherheitsanforderungen an die Konfiguration von Betriebssystemen, Middleware und Datenbanken wird ein kurzfristiger Sicherheitsgewinn mit wenig Ressourcenaufwand sichergestellt.

Zu den Härtungsmaßnahmen gehören u.a.:

    • Abschalten von nicht benötigten Diensten/ Softwarepaketen
    • Sichere Dateisysteme und Dateiberechtigungen
    • Einrichtung von Zugriffsbeschränkungen
    • Vermeidung unsicherer Dienste und Kommunikationsprotokolle
    • Aktualisierung der Software- und Versionsstände

Sämtliche Serversysteme wie Betriebs-, Middleware-, Webserver- und Datenbanksysteme sollten gemäß einer Security Baseline „gehärtet“ sein, was bedeutet, dass nur ein minimales Set an Diensten und Softwaremodulen bereitgestellt werden soll. Informationen zur Härtung z.B. von Datenbanksystemen finden Sie hier.

Notwendige Ausnahmen von der Konfigurations-Baseline müssen grundsätzlich dokumentiert und genehmigt werden und ermöglichen somit einen „Compliance-Green“ Status trotz Abweichung.

Weitere Maßnahmen

Neben der Systemhärtung sollten auch die nachfolgenden Maßnahmen im Rahmen der Systemsicherheit berücksichtigt werden:

    • Integration von Security-Richtlinien in den Entwicklungsprozess
    • Überprüfung der Umsetzung / Compliance-Statements
    • Automatisierte Code-Inspektion
    • Patch-Management auf Servern
    • Vulnerability-Monitoring
    • Applikations-Sicherheitstests
    • Firewall- und Anti-Virus-Software Integration
    • Audits

Neben der Beseitigung von IT-Sicherheitslücken sollte auch ein kontinuierliches Reporting und Schwachstellenmanagement zur Vermeidung solcher Lücken in Zukunft mit den nachfolgenden Zielen etabliert werden:

    • Umsetzung von technischen und organisatorischen Maßnahmen zur Behebung der Sicherheitsschwachstellen
    • das Bedrohungspotentials durch Umsetzung von Best Practice Maßnahmen zu minimieren
    • Sicherheitsanforderungen (Security Requirements) umzusetzen und Security Compliance sicherzustellen
    • Vereinfachung der Security Compliance und der Kontrollnachweise z.B. für Sicherheitsaspekte im Rahmen von Sarbanes-Oxley Act (SOX), Prozessen und Produktzertifizierungen
    • Security-Informationen der Applikationen werden systematisch erhoben und notwendige Nachweise für Security-Audits und Zertifizierungen sind leichter und schneller verfügbar

Security Reporting

Das Security Reporting stellt technische Informationen über den Sicherheits- und Compliance-Status von Projekten, Applikation und Systemen zur Verfügung.

Hierzu gehören:

    • Systemhärtungs-Reports der Betriebs-, Middleware-, Webserver- und Datenbanksysteme in denen ein Abgleich der sicherheitsrelevanten Konfiguration der Server mit den Security Anforderungen durchgeführt wird
    • Basis-System Security Scans (von innen und außen), um bekannte Schwachstellen der eingesetzten Systeme aufzudecken. Hiermit werden tatsächlich vorhandene Schwachstellen identifiziert, die ein Angreifer ausnutzen könnte. Als Ergebnis werden sowohl fehlende Security-Patche der Server als auch extern wirksame Schwachstellen der Serverkonfiguration aufgedeckt.

Schwachstellen Management

Hierzu zählt insbesondere das Patch-Management auf Servern, das eine entscheidene Rolle zur Aufrechterhaltung der Systemsicherheit spielt und nachfolgend detaillierter dargestellt werden soll.

Das Patch-Management umfasst im Wesentlichen:

    • Aktualisierung der eingesetzten Software
    • adhhoc/ Emergency Schwachstellenbehebung
    • regelmäßige Einspielung von Sicherheitspatches

Zur Realisierung des Patch-Managements hat sich nachfolgender Ablauf bewährt:

    • Prüfung eingehende Patchinformationen der Systemhersteller und anderer Quellen auf Relevanz und Dringlichkeit
    • Information an System Manager der Anwendungen, die von einem Patch betroffene Komponenten (Betriebssystem, Middelware oder Datenbank) nutzen
    • Bewertung der Patchinformationen und Testnotwendigkeiten durch die System Manager
    • System Manager veranlassen die Einspielung der Patche in eine Testumgebung und testen die Auswirkungen des Patches oder erwirken die empfohlene Umkonfigurationen des Servers