Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.11.1999 - 

Auditing: Wie sicher ist Ihr Netz?

Sicherheitschecks müssen häufig wiederholt werden

MÜNCHEN - Die größte Gefahr droht Unternehmensnetzen nicht von außen. Unachtsamkeiten oder frustrierte Mitarbeiter richten oft mehr Schaden an als Hacker. Wer regelmäßige Sicherheitsprüfungen (Audits) vornimmt, kann Löcher rechtzeitig stopfen oder Übeltäter aufspüren. Als Maßnahmen eignen sich interne Penetrationstests oder die Auswertung der Log-Dateien.

Viel Staub aufgewirbelt haben sogenannte Tiger-Teams, die wie Hacker versuchen, von außen ins Firmennetz einzudringen. Doch wer wissen will, wie sicher sein Netz ist, kann sich einen Penetrationstest von außerhalb des Unternehmens sparen. Diese Meinung vertritt zumindest Magnus Harlander, Geschäftsführer bei der Genua GmbH, einem Firewall-Anbieter aus Kirchheim bei München. Bei Penetrationstests handelt es sich um Sicherheitschecks, bei denen Spezialisten in die Rolle von Hackern schlüpfen. Technisch geht das von innerhalb oder außerhalb des Unternehmens. "Eindringversuche von außen kosten zwar viel Geld, sind aber völlig witzlos", wertet Harlander. Die dafür eingesetzten automatischen Security Scanner würden nämlich nur die bekannten Sicherheitslücken bemerken, gegen die die Firewalls in der Regel gewappnet sind, glaubt er. "Auf diese Weise lassen sich höchstens eklatante Konfigurationsfehler erkennen", erläutert Harlander, und dafür gebe es einfachere und billigere Möglichkeiten wie Port-Scanner. Generell zieht er ein ausführliches Gespräch mit dem Sicherheitsbeauftragten einer Firma dem öffentlichkeitswirksamen Einbruchversuch vor.

Eine interne Untersuchung ist dagegen laut Harlander im Gegensatz zu einem Penetrationstest, der über die Firewall ausgeführt wird, durchaus in der Lage, Schwachstellen aufzudecken. Schließlich geschehen schätzungsweise 80 Prozent aller Sicherheitsverletzungen durch eigene Mitarbeiter - teils absichtlich, etwa aus Rache für eine gerade ausgesprochene Kündigung, teils aus Versehen beziehungsweise Unkenntnis. Der Test sollte jedoch unbedingt unter realistischen Bedingungen stattfinden, also unter Voraussetzungen, wie sie ein frustrierter Kollege auch vorfinden könnte. Das kann ein angeschalteter PC im Sekretariat sein oder daß jemand die ID eines anderen kennt, aber nicht sein Paßwort.

Consul Risk Management aus Unterhaching hat nach Angaben von Johannes Kunz, European Marketing Director des Unternehmens, in insgesamt 15 Jahren 350 Großrechnersysteme unter die Lupe genommen. Das Ergebnis der Penetrationstests unter den oben genannten Bedingungen war niederschmetternd. "Wir konnten in alle Systeme eindringen, lediglich der Zeitbedarf war unterschiedlich", behauptet Kunz. Nach seinen Angaben benötigten die Tester zwischen zehn Minuten und zwei Tagen, um das Netz zu knacken.

Die Ursachen für das Desaster lagen laut einer Studie von Consul zu 20 Prozent bei administrativer Nachlässigkeit, zu je 40 Prozent in Designmängeln der Software oder Programmierfehlern. Als Nachlässigkeit des Administrators gilt etwa, wenn die Accounts von Mitarbeitern, die längst das Unternehmen verlassen haben, immer noch existieren.

Neben den internen Penetrationstests gibt es noch einen weiteren Ansatz für Auditing. Falls ein Unternehmen bereits Regeln für die eigene Sicherheit (Sicherheits-Policies, siehe Folgebeitrag in der nächsten Ausgabe) definiert hat, lassen sich die aus dem realen System gewonnenen Daten mit diesen Regeln vergleichen. Diese Methode eignet sich vor allem für wiederholte Kontrollen. Schließlich genügt eine einmalige Sicherheitsprüfung nicht, um die Sicherheit eines Netzes zu gewährleisten. Ständige Veränderungen führen auch wieder zu neuen Gefährdungen. Nach Ansicht von John Pescatore, Research Director for Network Security bei der Gartner Group, müssen Audits daher alle ein bis zwei Jahre wiederholt werden - je nachdem, wie stabil das Netz ist. Vor allem Firmen, die gerade einschneidende Veränderungen in ihrer DV-Landschaft vorgenommen haben, seien es größere Migrationen, Fusionen oder auch nur die Anbindung ans Internet, legt er eine erneute Überprüfung ihrer Sicherheit ans Herz.

Doch nach Erfahrung verschiedener Berater warten viele Unternehmen offenbar lieber, bis etwas passiert. "Höchstens 30 Prozent aller Firmen veranstalten mindestens einmal in zwei Jahren einen Sicherheits-Audit", schildert der Marktforscher der Gartner Group. Daran könnte sich immerhin in Zukunft etwas ändern, weil immer mehr Unternehmen eine Verbindung zum Internet oder ein Extranet aufbauen. Und dann wollen sie plötzlich eine Garantie dafür, daß die Verbindungen sicher sind. Pescatore schätzt daher, daß bis Ende nächsten Jahres die Hälfte aller Firmen einmal im Jahr Audits vornehmen werden.

Als Indiz für diese Entwicklung wertet der Analyst das Portfolio von Sicherheitsberatern, in dem immer häufiger Audits vorkommen. Heute stellen seiner Meinung nach KPMG, Debis und Schumann aus Deutschland, Logica aus Großbritannien sowie die amerikanische Firma Telcordia, die mit einigen Mitarbeitern in Europa vertreten ist, die wichtigsten europäischen Auditing-Anbieter dar. Doch auch die bekanntesten Unternehmensberater wie Ernst & Young, Andersen Consulting, Deloitte & Touche sowie Pricewaterhouse-Coopers werden zunehmend mit der Nachfrage nach Penetrationstests konfrontiert. Wer einen Anbieter sucht, ist gut beraten, sich Referenzkunden nennen zu lassen, da die Verfahren auf dem Papier schlecht zu bewerten sind.

Eine Ursache für die Zurückhaltung der Anwender bei Investitionen in Audits liegt darin, daß das Sicherheitsbudget in den vergangenen Jahren nicht im erforderlichen Maß gewachsen ist. "Im Mainframe-Zeitalter waren ein bis vier Prozent des IT-Budgets für Sicherheit vorgesehen", erklärt Pescatore. In der Client-Server- und Internet-Ära müßten jedoch zwischen fünf und acht Prozent dafür ausgegeben werden. Schließlich gestaltet sich die Überwachung der Sicherheit in offenen Systemen komplizierter als in großrechnerbasierten Systemen. Als Hauptschwierigkeit gilt die Heterogenität der DV-Landschaft, die sich zum Beispiel in verschiedenen Betriebssystemen mit unterschiedlichen Sicherheitsmechanismen niederschlägt. Trotzdem wurde bisher meist das alte Niveau des Budgets beibehalten. Pescatore erwartet allerdings, daß in Zukunft steigende Mittel für Sicherheit zur Verfügung stehen.

Auch Tools können dabei helfen, mit der wachsenden Komplexität der Systeme fertigzuwerden. Auditing-Werkzeuge sammeln und archivieren die Security-Logs von allen Geräten, die eine IP-Adresse haben. Die Log-Dateien erfassen sämtliche Aktionen, die über ein bestimmtes Gerät laufen. Aus dem so gewonnenen Datenberg filtern die Werkzeuge relevante Ereignisse aus und vergleichen sie mit den definierten Sicherheitsregeln. Wichtige Policy-Verletzungen werden in einem Report zusammengestellt und dem Sicherheitsbeauftragten präsentiert. Entscheidend ist dabei, nicht nur das Betriebssystem zu überwachen. Auch Datenbanken, Web-Server, Firewalls und Router liefern Informationen über mögliche Schlupflöcher. Das Ergebnis der Überwachung hängt wesentlich von der Qualität der Security-Logs ab, warnen die Anbieter. Wenn nur Müll in ein Auditing-Tool eingespeist wird, kann es auch nur Müll ausspucken.

Pescatore von der Gartner Group empfiehlt den "Kane Security Analyst" von ODS, "Webtrend Audit Track" von Webtrends und die Scanner der Firma Internet Security Systems (ISS), die am weitesten verbreitet sind. Weitere bekannte Tools sind "Netrecon" von Axent, "Netsonar" von Cisco und "Cybercop" aus dem Hause Network Associates. Obwohl jedes Produkt gewisse Vorteile hat (zum Beispiel zeichnet sich ISS durch Schnelligkeit und individuelle Anfertigung der Reports aus. Cybercop erkennt eine größere Vielfalt an Schwachstellen und beinhaltet automatische Updates), gelten sie im großen und ganzen als gleichwertig. "In der Praxis fällt die Entscheidung für ein bestimmtes Werkzeug oft danach, ob die Sicht auf die Daten und das Benutzer-Interface so sind wie gewohnt", faßt Pescatore zusammen. "Beispielsweise mögen Netware-Anwender meist den Kane Security Analyst, während Anhänger von Unix in der Regel Webtrends bevorzugen."

Völlig verschiedene Klassen von Werkzeugen gibt es nach Ansicht des Marktforschers nicht. Eine ähnliche Funktion wie Auditing-Tools üben Intrusion-Detection-Produkte aus. Die Abgrenzung zwischen beiden Gattungen fällt allerdings leicht: Reine Auditing-Tools untersuchen die Log-Files und generieren einen Report. Intrusion-Detection-Werkzeuge überwachen das Netz in Echtzeit. Sie erzeugen keine Reports, sondern Alarme. Für die Auswertung von Ausnahmeereignissen gibt es bisher noch keine Tools. Weitere Beschränkungen betreffen die unterstützten Protokolle (meist nur IP) und die OSI-Schichten, auf denen ein Tool arbeitet. Die erzeugten Reports sind häufig komplex.

"Den Scan kann man selbst machen, bei der Auswertung braucht man Hilfe", rät daher Rainer Monschein, zuständig für Marketing bei Axent. Auch die anderen Hersteller plädieren dafür, einen Externen zu Rate zu ziehen. "Leuten, die von außen geholt werden, glaubt man eher", empfiehlt zum Beispiel Johannes Kunz. Einen anderen Rat gibt Andreas Käser, Leiter Information Security bei der Schumann Unternehmensberatung aus Köln-Marsdorf, den Anwendern. Er weist darauf hin, daß Logs unbedingt an einem sicheren Ort gespeichert werden sollten. Ansonsten besteht die Gefahr, daß Einbrecher ihre Spuren verwischen.

Was ist Auditing?

Auditing ist ein schillernder Begriff. Im engeren Sinne versteht man darunter den Vergleich des Soll- mit dem Ist-Zustands eines Netzes. Die Regeln, die den Soll-Zustand definieren, heißen Sicherheits-Policies. Davon zu unterscheiden ist eine Schwachstellen- und Risikoanalyse. Bei einer Risikoanalyse geht es darum, potentielle Schwachpunkte aufzudecken und das zugehörige Gefährdungspotential zu bestimmen. Ein Beispiel: Ist in einem Unternehmen alles erlaubt, so ergibt ein Audit ein positives Ergebnis - die Regeln sind ja eingehalten. Eine Risikoanalyse käme wahrscheinlich zu einem anderen Resultat. In der Praxis findet sich daher meist eine Mischung aus Auditing und Bewertung der Risiken. Viele Berater und Hersteller fassen den Begriff Auditing aus diesem Grund so weit, daß auch Penetrationstests dazu gehören.

Auswahlkriterien für Netzwerkscanner

- Genauigkeit und Umfang: Interessenten sollten Genauigkeit und Umfang der Schwachstellen-Datenbank unter die Lupe nehmen. Gleiches gilt für Datenbank und Dokumentation der zugehörigen Korrekturen. Außerdem wäre es sinnvoll, daß der Benutzer die Datenbank seinen Bedürfnissen anpassen und erweitern kann.

- Geschwindigkeit und Skalierbarkeit: Die Möglichkeit, parallel mehrere Checks vorzunehmen, gilt als guter Indikator für die Leistungsfähigkeit des Systems. Das sollte aber nicht auf Kosten der Gründlichkeit gehen. Diese läßt sich steigern, indem die bei einem Scan gewonnenen Informationen benutzt werden, um noch tieferliegende Schwachstellen aufzudecken.

- Reporting: Ausführliche automatische Reports sowie die Möglichkeit, auf Wunsch Berichte zu generieren, sind ein Muß. Die Reports sollten abhängig vom Wert der gefährdeten Ressourcen eine Priorisierung vornehmen. Sinnvoll erscheint daneben eine Trendanalyse, das heißt der Vergleich mit früheren Ergebnissen.

- Management: Zum Management gehören regelmäßige Updates der Schwachstellen-Datenbank. Fixes für Sicherheitslücken sollten automatisch ausgeführt werden können.

- Kosten: Idealerweise hängen die Ausgaben für Netzwerkscanner nicht von der Endbenutzerzahl, sondern von den geschützten Ressourcen ab.

Wie geht Auditing vor sich?

Um in ein Unternehmen einzudringen, bringt das Ausnutzen menschlicher Schwächen meistens mehr als der Einsatz ausgeklügelter Technik. Zum Beispiel könnte sich jemand einen Blaumann anziehen, ein Paket unter den Arm klemmen, und behaupten, er müsse in die und die Abteilung, um etwas abzugeben. Dort setzt er sich an einen unbenutzten Rechner und probiert, ins Netz zugelangen. Oft stellen Unternehmen Sicherheitsexperten mehr oder weniger umfangreiche Informationen zur Verfügung, zum Beispiel eine Benutzer-ID, wie sie jeder interne Mitarbeiter besitzt. Paßworte lassen sich teilweise erraten - schätzungsweise ein Prozent aller Mitarbeiter benutzen ihren Vornamen als Paßwort -, oder mit Hilfe eines kleinen Programms knacken. Ist der Sicherheitsexperte im Netz, setzt er ein Auditing-Tool ein. Es gibt Produkte wie Netrecon von Axent, die Hacker simulieren. Dieses Werkzeug scannt nicht nur Computer, sondern alle Geräte, die eine IP-Adresse haben, also auch Router und Firewalls. Der Hersteller empfiehlt, es zweimal laufen zu lassen - einmal von außen und einmal von innen. Der "Enterprise Security Manager" desselben Anbieters vergleicht dagegen den Ist-Zustand des Netzes mit der Security Policy. Es handelt sich um eine Manager-Agenten-Architektur, die eine zusätzliche Netzlast von rund 20 KB erzeugt. Der Sicherheitszustand des Netzes wird schließlich in Form eines Kuchendiagramms angezeigt.