M 6.67 Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Neben der Prävention kommt auch der Detektion von Sicherheitsvorfällen große Bedeutung zu. Es gibt eine Reihe von sicherheitsrelevanten Unregelmäßigkeiten, die mit entsprechender technischer Unterstützung automatisiert und daher frühzeitig erkannt werden können. Diese Detektionsmaßnahmen erhöhen meist die Zuverlässigkeit der Feststellung und verkürzen die Zeit zwischen Auftreten und Erkennen einer Unregelmäßigkeit drastisch. Dem Gewinn an Reaktionsfähigkeit und -zeit steht jedoch der Aufwand zur Implementation und Kontrolle gegenüber, der vorher abgeschätzt werden sollte. Praktisch unverzichtbar sind solche Detektionsmaßnahmen, wenn im Schadensfall sehr große Schäden bis hin zum Personenschaden zu erwarten sind.
Beispiele für solche technischen Detektionsmaßnahmen sind:
- Gefahrenmeldeanlage (siehe M 1.18 Gefahrenmeldeanlage),
- Fernanzeige von Störungen (siehe M 1.31 Fernanzeige von Störungen),
- Computer-Viren-Suchprogramme (siehe M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms),
- Intrusion Detection und Intrusion Response Systeme (siehe M 5.71 Intrusion Detection und Intrusion Response Systeme),
- Kryptographische Checksummen (siehe M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen) oder
- Einsatz eines Security-Realtime-Monitors für z/OS-Systeme, um Sicherheitsverletzungen schneller feststellen zu können.
Nicht alle Sicherheitsvorfälle lassen sich durch rein technische Maßnahmen rechtzeitig feststellen. Häufig müssen zusätzlich organisatorische Maßnahmen hinzukommen. Die Zuverlässigkeit von technischen Detektionsmaßnahmen ist im Allgemeinen davon abhängig, wie aktuell diese sind und wie gut diese auf die tatsächlichen Gegebenheiten angepasst sind. Die Zuverlässigkeit von organisatorischen Detektionsmaßnahmen hängt stark davon ab, wie zuverlässig die mit deren Umsetzung beauftragten Personen sind, aber auch, in wie weit die Maßnahmen sich im laufenden Betrieb tatsächlich umsetzen lassen.
Typische Beispiele von Detektionsmaßnahmen, die ganz oder teilweise organisatorischer Natur sind, sind:
- Informationsbeschaffung über Sicherheitslücken (siehe M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems)
- Regelmäßiger Sicherheitscheck ausgewählter IT-Systeme (siehe z. B. M 2.92 Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz, M 4.93 Regelmäßige Integritätsprüfung, M 5.8 Regelmäßiger Sicherheitscheck des Netzes)
- Regelmäßige Auswertung von Protokoll-Dateien (siehe z. B. M 2.64 Kontrolle der Protokolldateien, M 4.5 Protokollierung der TK-Administrationsarbeiten, M 4.25 Einsatz der Protokollierung im Unix-System, M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten, M 4.54 Protokollierung unter Windows NT, M 5.9 Protokollierung am Server)
- Auswertung von SMF-Datensätzen unter z/OS (siehe M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS). Informationen aus diesen SMF-Datensätzen können entweder für Batch-Reports oder als Quelle für Security-Realtime-Monitore benutzt werden, die ihrerseits eine zentrale Kontroll-Konsole ansteuern können. Solche zentralen Konsolen werden von verschiedenen Herstellern im Rahmen von Automationsprodukten angeboten.
Ergänzende Kontrollfragen:
- Welche Detektionsmaßnahmen kommen zum Einsatz?
- Ist sichergestellt, dass Auffälligkeiten in Protokoll-Dateien gemeldet werden?