IT Security – wie geht’s weiter nach den Babyschritten?

(Last Updated On: 14. November 2016)

Sie haben eine „solide“ IT-Security aufgebaut. Ihre externen Services liegen in einer demilitarisierten Zone. Interne Services können nur über ein Frontend-Netz von den Anwenndern erreicht werden – Kommunikationen zu Datenbanken und anderen sensiblen Datenspeichern erhält man nur über ein dediziertes Admin-Netz. die Kommunikationskanäle im Netzwerk sind durch ein Firewall-Netz ganz klar getrennt und Gäste sowie private Geräte befinden sich in einem separierten Netz, von welchem aus keine sensiblen Unternehmensdaten abgerufen werden können.

Ihre User gehen alle über einen Proxy in das Internet und Anfragen ins Web wandern erst durch einen Web-Filter, bevor diese genehmigt werden. Die Notebook-Festplatten Ihrer Außendienstmitarbeiter sind verschlüsselt, genau wie wichtige E-Mails und sensible Daten – auch in den Datenbanken (Transparent Data Encryption). Ihre internen Server gehen nur „auf Zuruf“ über einen Proxy ins Internet und Betriebssystem-Updates planen Sie am besten quartalsweise über ein solides Patch Management ein und beziehen Sie über einen zentralen internen Update-Server (WSUS- bzw. Repository-Server). Die Authentizität von Kommunikationspartnern wird über Zertifikate und eine Public Key Infrastructure sichergestellt. Alte Daten werden entweder an einen sicheren Ort archiviert oder unwiderbringlich zerstört. Alle Arbeitsplätze und Server sind durch Endpoint Protection Systeme und Antivirensoftwarelösungen gesichert. Die Ablage persönlicher Daten Ihrer Mitarbeiter über die Human Resources erfüllen aktuelle Datenschutzrichtlinien. Die Aktivitäten von Administratoren auf Datenbanken, Betriebssystemen und ERP-Systemen werden zuverlässig geloggt, ohne dass diese Ihre Daten verwischen könnten. Sie lassen Ihre Systeme regelmäßig von externen Beratungsfirmen auditieren und über Penetrationstest auf Herz und Nieren prüfen. Wirtschaftsprüfer sind mit der Sicherheit Ihrer ERP-Systeme zufrieden.

Ihre User sind über die üblichen Gefahren von E-Mail Anhängen, Social Engineering und Malware unterrichtet und verhalten sich entsprechend. Alle E-MAils mit unternehmenskritischen DAten werden ausschließlich über ein asymmetrisches Schüsselverfahren wie etwa GnuPG versendet und niemals ausgedruckt. Die E-Mails werden bereits MTA-seitig auf Viren durchsucht (zusätzlich zum Endpoint Virenscanner auf den Mitarbeiter-Arbeitsplätzen). Ihre Mitarbeiter trennen dienstliches von privatem – dafür erlauben Sie Ihnen auch, Ihre privaten Geräte im hauseigenen Bring Your Own Devices Netz anzubinden. Unternehmensdaten wandern nur über gesicherte Kanäle oder Kuriere mit verschlüsselten Datenträgern aus der Firmentür. All Ihre Applikationssysteme, Datenbanken und Betriebssysteme wurden von unnötigen Softwarelasten befreit (Hardening). Alle wichtigen Zugänge sind über Multi Factor Authentication abgesichert. Der Zutritt zu Serverräumen, Aktenschränken und Telefonanlagen ist besonders gut durch eine event-driven Equipment Security abgesichert. Ihre Unternehmensdaten werden zuverlässig gesichert und die wichtigsten Serverdienste können hochverfügbar an die Endanwender ausgeliefert werden. In Ihrem Unternehmen existieren klare Richtlinien für das Testen von Entwicklungen und Softwarelösungen, bevor diese in die Produktivlandschaft eingespielt werden. Externe Berater und Leiharbeiter erhalten von außen nur Zugriff auf die absolut notwendigsten Dienste und Daten und müssen hierbei über abgesicherte VPN-Kanäle gehen und sich in einem Multi-Faktor-Authentifizierungsverfahren kenntlich zeigen.

Herzlichen Glückwunsch – wenn Sie diesen Stand einmal erreicht haben, sind Sie schon einmal deutlich über dem Durchschnitt. Wenn man einmal seine IT-Security auf ein so hohes Level gebracht hat, fragt man immer wieder nach weiteren Lösungen, die dabei helfen können, die Sicherheit im Unternehmen noch weiter zu fördern, ohne dabei die Akzeptanz oder die Wirtschaftlichkeit der angebotenen IT-Services übermäßig zu beeinträchtigen. Man spricht hier von Premium Security Services, die Maßnahmen für Kunden beinhalten, deren IT Security bereits einen sehr hohen Stand hat, jedoch noch weiter wachsen möchte.

In diesem Beitrag möchte ich aufzeigen, dass nach dem Erreichen eines derartig hohen Security Grades noch lange nicht Schluss ist – und was es noch so gibt, was man für die IT-Sicherheit in seinem Unternehmen tun kann.

Absicherung Ihrer XaaS-Services

Meistens begrenzen sich die internen IT-Sicherheitsprojekte auf die Absicherung der internen IT-Service Landschaft. Dass dies im heutigen Zeitalter von Anything as a Service (XaaS) nicht mehr haltbar ist, zeigt die zunehmender Auslagerung (Outsourcing) von Infrastrukturen, (IaaS), IT-Plattformen (PaaS) und IT-Software-Services (SaaS) in die Cloud.

In diesen Szenarien haben Sie häufig die Herausforderung, dass die Services sehr häufig grundsätzlich von außen zugänglich für potentielle Angreifer sind. Daher ist es wichtig, dass Sie bereits bei der Evaluation der Services abwägen, welcher Service hier risikoadäquate Absicherungsmethoden bereitstellt und wie Sie als Nutzer dieser Serviceplattform durch beispielsweise Firewallregeln, gut geschriebenen Programmcode und einem soliden Berechtigungskonzept eingreifen können.

Absicherung Ihrer Point of Sale (POS) Devices

Und wenn Sie nur Ihren Kunden die Möglichkeit bieten wollen, mit EC- oder Kreditkarte zu zahlen: Point of Sales Devices finden sich heute in so ziemlich jedem Business runter bis zum kleinsten Kiosk.

Viele Unternehmen stecken viel Zeit und Budget ihrer IT-Services, vernachlässigen dafür aber dann die Absicherung des Zahlungsprozesses über diese Endgeräte.

Softwarelösungen in diesem Bereich kommen beispielsweise von Lumension. Eine implementierung dieser Lösungen ist auch im europäischen Raum möglich und benötigt häufig die Unterstützung durch einen Security-Partner.

Implementierung eines Security Token Standards

Security Token stellen sicher, dass die Integrität und Vertraulichkeit von Daten sichergestellt wird. Das bedeutet sowohl die Herkunft der Daten, als auch der Empfänger der Daten muss eindeutig und zweifelsfrei feststehen. Aufgrund ihrer Eigenschaft eignen sich diese Security Token Format daher auch wunderbar zur Authentifizierung an Verzeichnisdiensten wie dem Active Directory, Serveranlagen und Datenbanken. So sollten Sie auf Dauer verhindern, dass sich Ihre DBAs beispielsweise per Benutzer und Passwort an einer Datenbank anmelden, sondern nur noch über ein solches Security Token Verfahren. Die meisten Enterprise Datenbanken unterstützen schon heute zahlreiche Technologien wie Kerberos, X.509-Zertifikate, OAuth, OATH, 802.1x, XACML oder SAML. Besonders in Windows-dominierten Serverumgebungen, in denen das Active Directory bereits einen starken Einfluss hat, ist hier die Integration von Kerberos in diesem Zusammenhang sehr interessant.

Auch in Ihren Web-Services, wie beispielsweise SharePoint, Atlassian Confluence oder anderen Webanwendungen sollten sich Benutzer nicht mehr per Benutzer/Passwort, sondern über eine der oben genannten Technologien authentifzieren.

Zusätzliche Absicherung des Netzwerkes über NGIDS, NGIPS und HIDS

Nachdem Sie ihr Netzwerk bereits grundlegend abgesichert haben, indem Sie Ihre nach außen erreichbaren Services in eine DMZ geschalten und die einzelnen Kommunikationskanäle und Subnetze durch intelligente Firewall-Reglen und VLANs voneiannder abgeschottet haben, sollten Sie sich darüber Gedanken haben, Ihre Netze durch intelligente IDS- und IPS-Appliances gegen fortgeschrittene Netzwerk-Angriffsszenarien zu schützen.

Sehr viele meiner Kunden verwenden Cisco-Netzwerkgeräte in Ihrer Infrastruktur. Daher komme ich hier sehr oft in den Genuss, Sourcefire/FirePOWER zu implementieren. Aktueller Marketing-Treiber in diesem Bereich ist der Begriff Next Generation Instrusion Detection System (NGIDS). Hierbei verbirgt sich größtenteils die Aussage, dass die Geräte intelligent sind, also über alle im Netzwerk beteiligten Endknoten bescheid wissen. Ungereimtheiten werden so schneller erkannt und können mit intelligenten Regeln unterbunden werden. Die wichtigsten Produktschienen im Bereich der NGIDS  und NGIPS sind Cisco FirePOWER, IBM Network Protection, Intel NSP, HP TrippingPoint, Check Point Next Generation Firewall (NGFW) und Radware DefensePro.

die netzwerkseitige Intrusion Detection / Protection kann zusätzlich ergänzt werden durch eine erkennung auf Hostseite (HIDS). Diese Maßnahme umfasst die Installation eines Agents, der mitunter dazu in der Lage ist, mit den NGIDS/NGIPS-Appliances zusammenzuarbeiten und Auffälligkeiten an diese weiterzuleiten. Bekanne Lösungen in diesem Bereich sind beispeilsweise Cisco CSA, Checkpoint integrity und IBM Proventia Desktop.

Implementierung eines Digital Rights Managements (DRM/IRM) bzw. einer Data Loss Protection Lösung

Besonders im Industriebereich ist es für Sie als Unternehmer wichtig, die kontrolle darüber zu behalten, welche ihrer DAten und Informationen von wem gesehen, geöffnet, verändert, verbreitet und veröffentlicht werden. Diese Kontrolle erhalten Sie über ein Digital Rights Management (DRM) bzw. Information Rights Management (IRM) zurück. Gerade wenn Sie in China Geschäfte machen wollen und daher immer berechtigte Sorgen um die Verbreitung Ihrer Daten haben, ist es wichtige, dass die Verwendung Ihrer Daten durch aufwändige Berechtigungs- und Authentifzierungsverfahren geschützt und auch historisch geloggt wird, um möglicherweise eine rechtliche Handhabe gegen Verletzungen der Richtlinien vorweisen zu können.

Je nachdem, ob Sie Ihre Daten wirklich plain auf Dateisysteme oder innerhalb eines ERP-Systems schützen wollen, gibt es verschiedene Lösungsansätze. DRM-Systeme, die Daten auf DAteisystemebene schützen sollen, werden häufig als Agent in den Kernel des Betriebssystems auf den Mitarbeiter-Arbeitsplätzen integriert. Diese Softwarelösungen werden häufig auch Data Loss Prevention Solution genannt. Der Vorteil der Integration in den Betriebssystemkernel bedeutet, dass hier automatisch sämtliche Daten geschützt werden – egal ob in Form von Download, gespeicherte Dokumente, Netzwerkfreigabe, E-Mail-Anhang – sogar die Zwischenablage. Und auch die Betriebssystemfunktionen wie beispielsweise Datei senden als… werden dadurch geschützt. Die Lösungen erlauben die Festlegung von KAtegorien für Daten. Somit wäre es einem mitarbetier beispielsweise möglich, unkritische Daten unverschlüsselt auf einen USB-STick zu kopieren, während als kritisch markierte Daten automatisch beim kopieren verschlüsselt werden. Bekannte lösungen in diesem Bereich sind beispielsweise Digital Guardian, Vaultize, Fidelis Cybersecurity, intel Secuirty, TerndMicro integrated Data Loss Prevention, ClearSwift Adaptive Data Loss Prevention und IBM Verdasys Endpoint Data Loss Protection.Wenn Sie hingegen die Daten ihres ERP-Systems gegen unberechtigtes Kopieren, Screenshoten oder Exportieren schützen wollen, ist eine Lösung wie SECUDE Halocore das Richtige für Sie.

Implementierung eines Security Information and Event Managements

SIEM lösungen analysieren automatisch die Alerts und Events von verschiedenen Auditing-Appliances. Darunter können beispielsweise Netzwerk- und Security-Appliances sein (etwa NIDS/NIPS), aber auch die Log-DAteien von Betriebssystemen, Datenbank-Management-Systemen und Applikationsservern.  SIEM werden sowohl als Softwarelösung als auch als Hardware-Appliance verkauft.

Ein SIEM sammelt also Informationen von unterschiedlichen Quellen auf verschiedenen Ebenen (Netzwerk, Betriebssystem, Datenbank und Applikation) und erkennt auf Basis dieser Daten Bedrohungen und Unregelmäßigkeiten viel schneller als der menschliche Geist es je könnte. Damit ist es möglich, schnelle Gegenmaßnahmen einzuleiten.

Gängige Lösungen in diesem Bereich sind beispielsweise Tripwire Log Center, HP ArcSight, Logrhythm All in-One, SolarWind Log & Event Manager und Splunk. Auf SAP-Ebene begegnet Ihnen hier die SAP enterprise Thread Detection. Dazu gibt es auch noch eine SAP-bezogene Drittanbieteralternative in Form von Onapsis Security Platform.

Application Level Gateways

In den Anfangsstunden eines IT-Security-Konzeptes wird der Datenverkehr häufig nur durch Netzwerk-Firewalls abgesichert. Das Problem hierbei: damit bestimmte Services erreichbar sind, müssen die Ports, auf denen diese Services lauschen, nach außen hin zugänglich gemacht werden. Dadurch entstehen Löcher in der Firewall, die geschlossen werden müssen. Die meisten dieser entstehenden Löcher versuchen Systemadministratoren einzig und allein durch eine Authentifizierung zu schließen. Das heißt beispielsweise wenn sich Ihre Mitarbeiter und Kunden vom Home Office aus oder von einem öffentlichen WLAN an einem Web-Service anmelden können sollen, dann sichern viele Kunden den Zugang zu diesem intranet/Extranet lediglich durch eine Benutzername- und Passwort-Abfrage. Am besten ist dieser Schutz also noch nicht mal eine Multi-Faktor-Authentifzierung, wo der Kunde also beispielsweise noch einen SMS-Code von seinem Smartphone eingeben muss, sondern besteht einfach nur aus Benutzername und Passwort. Bestenfalls verwendet der Kunde dann noch das selbe Passwort auch für andere Dienste, die wesentlich einfacher zu knacken sind als Ihr Extranet.

Und noch ein Problem entsteht: Durch Techniken wie beispielsweise SSH-Tunneling kann ein Administrator sich beispielsweise einen Tunnel bauen, um nach der Arbeit im Home Office auf einen internen Applikationsserver zugreifen zu können, obwohl der Port zu diesem Applikationsserver nach außen hin eigentlich in der Firewall geschlossen ist. Dass dies dann wiederum ein potentielles Einfallstor für Angreifer ist, ist klar.

Eine Methodik, die hier nicht im Kernfokus steht, dieser Problematik entgegenzutreten, ist Ihren Mitarbeitern und auch Kunden sowie externen Beratern eine wesentlich sicherere Einwahlmöglichkeit für interne Services zu bieten, beispielsweise also entweder über einen VPN-Zugang oder über Citrix bzw. Juniper.

Worauf ich an dieser Stelle allerdings hinaus möchte ist die Schließung von Löchern in Ihrer Netzwerkfirewall über Application Level Gateways. Diese verhindern, dass selbst beim Ausnutzen der Löcher auf Netzwerkebene (durch beispielsweise Tunneling oder Umschwenken des Ports, auf dem ein Service horcht, durch einen unzufriedenen Administrator) immer noch ein Schutz auf Anwendungsebene greift.

Ein Application Level Gateway ermöglicht die Filterung von Zugängen nach applikationsspezifischen Merkmalen. Das heißt selbst wenn ein unzufriedener Mitarbeiter den Service-Port einer Datenbank auf den Port 80 ändert, weil der Port 80 nach außen hin offen ist, haben Sie mit einer davor geschalteten Application Level Firewall immer noch die Möglichkeit, unberechtigte Angriffe abzufedern. Mit einer Application LEvel Firewall können Sie beispielsweise Anfragen nach

  • Art und Umfang der Anfrage filtern. Application Level Firewalls auf Datenbankebene, wie beispielsweise die Oracle Database Firewall, ermöglichen beispielsweise die Filterung nach SQL-Statements. So kann beispielsweise festgelegt werden, dass aus bestimmten Quell-IP-Adressen grundsätzlich keine SELECT- oder UPDATE-Statements auf die Datenbank möglich sind, auch wenn der Benutzer, der sich an der Datenbank anmeldet, eigentlich die Berechtigungen dazu hätte.
  • nach Uhrzeit. So kann man beispielsweise verhindern, dass sich mögliche Angreifer außerhalb der fest definierten Arbeitszeiten, beispielsweise als nachts, überhaupt am Service bedienen können. Zugegebenermaßen können Sie eine solche Filterung jedoch auch häufig bei Netzwerkfirewalls einrichten.
  • nach Häufigkeit und Muster der Anfrage. Damit können Sie beispielsweise DDoS-Angriffe abfedern, die eine Netzwerkfirewall häufig nur in Zusammenarbeit mit einem NIDS/NIPS-System erkennen würde.
  • nach Art der Anfrage. So können beispielsweise nur bestimmte Nachrichten oder Pakete über die Firewall gesendet werden. Die Application Level Firewall unterscheidet die Anfragen hierbei auf Applikationsebene. Eine Netzwerk-Firewall könnte nur Pakete verschiedener Netzwerkprotokolle auseinander halten.
  • nach Client-Programm und Client-Zertifikat. Im SAP-Umfeld können Sie beispielsweise über das SAP NetWeaver Gateway definieren, welches Programm sich am Gateway anmelden darf, um mit dem Zielsystem zu kommunizieren. Im SAPRouter können Sie festlegen, dass der SAPRouter aus dem Anfragenetz ein bestimmtes Zertifikat von Ihnen in den Händen halten muss, bevor er bei Ihnen reingelassen wird.

Im besten Fall kombinieren Sie Application Level Gateways mit Ihren Netzwerk-Firewalls. Ein guter Startansatz ist eine mehrstufige DMZ, wie hier in einer Grafik der SAP gezeigt.

2016-07-11_15h11_20

Das gleiche Konzept können Sie jedoch auch intern anwenden. So können Sie beispielsweise statt dem Internet das Frontend-Netz Ihrer User setzen. Dazwischen hängt eine Database Application Firewall, die genau bestimmt, welche SQL-Statements aus diesem Client-Netz zu welcher Uhrzeit in welcher Frequenz kommen dürfen, und welche nicht. Wenn Sie mehrere Kunden haben, die von außen auf Ihre Dienste zugreifen, können Sie mit einer solchen Firewall Ressourcen-Limits festlegen, die verhindern, dass ein Kunde die Ressourcen aller anderen Kunden wegschnappt, indem er dauerhaft teure Abfragen auf den Service ausführt.

Verschiedene Services bieten unterschiedliche Formen von Application Level Gateways. Egal ob es sich um Web-Services handelt (Reverse Proxy), SAP-Systeme (SAP NetWeaver Gateway, SAPRouter), Datenbanken (z. B. Oracle Database Firewall) – jeder Service hat seine eigene Möglichkeit, den Verkehr auf Anwendungsebene zu regeln.

Datenanonymisierung

Wenn Sie ein ERP-System in einer dreistufigen Systemlandschaft, bestehend aus Entwicklungs-, Qualitätssicherungs-und Produktivsystem einsetzen, kommen Sie oft in das Problem, dass Sie auf dem QA-System für aussagekräftige Tests die Daten des Produktivsystems laden müssen. Hierbei haben Sie grundsätzlich das Problems, dass auf diesem Q-System den Testern eventuell kurzfristig mehr Berechtigungen zugeteilt werden, als Ihnen in Ihrer derzeitigen Position zusteht. Das heißt Sie sind in der Verantwortung zu verhindern, dass diese Tester trotz ihrer umfangreichen Testberechtigungen keine sensiblen Daten einsehen können. Deswegen fährt man hier das Konzept der sogenannten Datenaonymisierung, das heißt die Produktivdaten werden vollauomatisch durch „Dummy-Daten“ ersetzt. Adressen, GEburtsdaten und Namen von Mitarbeitern beispielsweise werden gegen fiktive ausgetauscht.

Tools im SAP-Umfeld, die diesen Prozess unterstützen, sind beispielsweise SAP’s Test Data migration Server (TDMS), Accenture Clone and Test HCM (accenture Software for SAP HCM), GASPARIN Software Solutions hr.dat.copy, BCV5, Data EPI-USE Sync Manager for HCM. Aber auch auf DAtenbankebene kann man diese Prozesse unabhängig vom verwendeten Applikationssystem nutzen. Oracle liefert hierfür beispielsweise das ORacle Enterprise Manager Data Masking Pack aus, für Oracle, MSS SQL und DB2 gibt es den dataguise Inc. dgmasker sowie IBM Optim.

Source Code Analyse

Besonders in ERP-Projekten werden häufig sehr unternehmenskritische Daten hinterlegt. Nun haben diese Systeme die Eigenheit, dass diese durch kundeneigene Fremdentwicklungen, die von der Herstellerempfehlung abweichen, erweitert werden. Die Sicherheit dieses vom Kunden oder seinen externen Beratern erstellten Source Codes beeinflussen im Wesentlichen die Sicherheit des gesamten Applikationssystems. Daher gibt es hierfür spezielle Tools, die den Customer Namespace auf Schlupflöcher untersuchen. im SAP-Umfeld sind dies beispielsweise der VF Code Analyzer oder der Werth Auditor.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren...

1 Antwort

  1. 6. Juli 2017

    […] IT Security – wie geht’s weiter nach den Babyschritten? […]

Kommentar verfassen

This site uses Akismet to reduce spam. Learn how your comment data is processed.