M 6.67 Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Neben der Prävention kommt auch der Detektion von Sicherheitsvorfällen große Bedeutung zu. Es gibt eine Reihe von sicherheitsrelevanten Unregelmäßigkeiten, die mit entsprechender technischer Unterstützung automatisiert und daher frühzeitig erkannt werden können. Diese Detektionsmaßnahmen erhöhen meist die Zuverlässigkeit der Feststellung und verkürzen die Zeit zwischen Auftreten und Erkennen einer Unregelmäßigkeit drastisch. Dem Gewinn an Reaktionsfähigkeit und -zeit steht jedoch der Aufwand zur Implementation und Kontrolle gegenüber, der vorher abgeschätzt werden sollte. Praktisch unverzichtbar sind solche Detektionsmaßnahmen, wenn im Schadensfall sehr große Schäden bis hin zu Personenschäden zu erwarten sind.
Beispiele für solche technischen Detektionsmaßnahmen sind:
- Gefahrenmeldeanlage (siehe M 1.18 Gefahrenmeldeanlage),
- Fernanzeige von Störungen (siehe M 1.31 Fernanzeige von Störungen),
- Computer-Viren-Suchprogramme (siehe M 2.157 Auswahl eines geeigneten Viren-Schutzprogramms),
- Intrusion Detection und Intrusion Response Systeme (siehe M 5.71 Intrusion Detection und Intrusion Response Systeme),
- Kryptographische Checksummen (siehe M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen) oder
- Einsatz eines Security-Realtime-Monitors für z/OS-Systeme, um Sicherheitsverletzungen schneller feststellen zu können.
- Einsatz einer zentralen Protokollanalyse, um eventuelle Angriffe auf IT-Systeme aufzudecken.
Nicht alle Sicherheitsvorfälle lassen sich durch rein technische Maßnahmen rechtzeitig feststellen. Häufig müssen zusätzlich organisatorische Maßnahmen hinzukommen. Die Zuverlässigkeit von technischen Detektionsmaßnahmen ist im Allgemeinen davon abhängig, wie aktuell diese sind und wie gut diese auf die tatsächlichen Gegebenheiten angepasst sind. Die Zuverlässigkeit von organisatorischen Detektionsmaßnahmen hängt stark davon ab, wie zuverlässig die mit deren Umsetzung beauftragten Personen sind, aber auch, in wie weit die Maßnahmen sich im laufenden Betrieb tatsächlich umsetzen lassen. Alle Detektionsmaßnahmen müssen regelmäßig auf ihre Eignung geprüft werden.
Typische Beispiele von Detektionsmaßnahmen, die ganz oder teilweise organisatorischer Natur sind, sind:
- Informationsbeschaffung über Sicherheitslücken (siehe M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems)
- Regelmäßiger Sicherheitscheck ausgewählter IT-Systeme (siehe z. B. M 4.93 Regelmäßige Integritätsprüfung, M 5.8 Regelmäßiger Sicherheitscheck des Netzes, M 5.141 Regelmäßige Sicherheitschecks in WLANs)
- Regelmäßige Auswertung von Protokoll-Dateien (siehe z. B. M 2.64 Kontrolle der Protokolldateien, M 4.5 Protokollierung bei TK-Anlagen, M 4.25 Einsatz der Protokollierung im Unix-System, M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten, M 5.9 Protokollierung am Server)
- Auswertung von SMF-Datensätzen unter z/OS (siehe M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS). Informationen aus diesen SMF-Datensätzen können entweder für Batch-Reports oder als Quelle für Security-Realtime-Monitore benutzt werden, die ihrerseits eine zentrale Kontroll-Konsole ansteuern können. Solche zentralen Konsolen werden von verschiedenen Herstellern im Rahmen von Automationsprodukten angeboten.
Es sollte eine Übersicht über die eingesetzten Detektionsmaßnahmen geben.
Die erkannten Sicherheitsvorfälle sollten direkt als Störung registriert werden, damit sie vom ersten Auftreten bis zur Lösung nachvollziehbar dokumentiert werden können. Daher ist zu regeln, in welchen Systemen diese erfasst werden. Außerdem muss dem Service Desk bekannt sein, welche Informationen bei der Erstmeldung eines Sicherheitsvorfalls zu registrieren sind (sofern bereits bei der Meldung erkennbar ist, dass es sich um einen Sicherheitsvorfall handelt).
Prüffragen:
- Gibt es eine Übersicht über die eingesetzten Detektionsmaßnahmen?
- Werden die eingesetzten Detektionsmaßnahmen regelmäßig auf Eignung geprüft?
- Ist sichergestellt, dass Auffälligkeiten in Protokoll-Dateien erkannt und gemeldet werden?
- Ist im Incident Management (Störungs- und Fehlerbehebung) bekannt, welche Informationen bei der Erstmeldung eines Sicherheitsvorfalls zu registrieren sind?
- Ist sichergestellt, dass die erkannten Sicherheitsvorfälle als Störung registriert werden und ist geregelt, in welchen Systemen diese erfasst werden?