Einführung von Intrusion Detection-Systemen: Organisatorische und rechtliche Maßnahmen

IDS-Systeme unterscheiden sich erheblich in Umfang und Komplexität

(14.05.09) - Sicherheit lässt sich nicht am Stück erwerben, sondern ist ein lebendiger Prozess, der fortwährend an die Gegebenheiten angepasst werden muss und zwar mit einer mindestens ebenso hohen Frequenz wie die sich verändernde Bedrohungslage. Die Einführung von Intrusion Detection Systemen (IDS) ergänzt bestehende Sicherheitskonzepte und kann deshalb nur im Kontext betrachtet werden. Ohne die Anpassung der eingesetzten Technik auf organisatorische und rechtliche Belange wird das IDS zur stumpfen Waffe ohne nutzbringende Wirkung. Die meisten Projekte scheitern daran, dass die Komplexität unterschätzt wird und das IDS nach kurzer Zeit "stummgeschaltet" wird, weil die Flut an generierten Meldungen durch ein unkonfiguriertes IDS sehr schnell zum Verdruss führt und durch eine unvorbereitete Organisation nicht zielgerichtet aufgefangen und umgesetzt werden kann.

Schon bei der Bedarfsfeststellung wird laut der Certix IT-Security GmbH, einem Dienstleistungs- und Beratungsunternehmen im Bereich der IT-Sicherheit, häufig der Fehler gemacht, diese ganz zu unterlassen, indem ohne hinreichende Prüfung ein Produkt "ausgewählt" wird. Dabei unterscheiden sich IDS-Systeme erheblich in Umfang und Komplexität. Werden keine Ziele festgelegt, die mit dem Einsatz eines IDS erreicht werden sollen, so ist die Gefahr hier schon gegeben, bereits zu Beginn auf das falsche Pferd zu setzen.

Certix rät, den Schutzbedarf soweit zu konkretisierten, dass zweifelsfrei ersichtlich wird, warum eine bestimmte Lösung angeschafft werden sollte. Dazu wird man nicht umhin kommen, die eigene Systemlandschaft in ihren Eigenheiten zu dokumentieren - es lohnt sich, diese Aufgabe so genau wie möglich vorzunehmen, da viele Angaben später für die Kalibrierung des IDS verwendet werden können.

In jedem Fall sollte neben dem eigentlichen Produkt die Einführungsunterstützung und Wartung für das IDS Bestandteil der Anschaffung sein. Eine vollständige Integration des IDS in die Einsatzumgebung inklusive Erstkalibrierung durch den Auftragsnehmer ist anzuraten, wenn noch keine eigenen Erfahrungen auf dem Gebiet gesammelt werden konnten. In der Regel sind die Konfiguration eines IDS und die Auswertung der Meldungen sehr zeit- und personalaufwändig, so dass ein Outsourcing sinnvollerweise in Betracht gezogen werden sollte. Um die Risiken dabei zu minimieren, sollte der Dienstleister sorgfältig ausgewählt werden. Einzuhaltende Sicherheitsmaßnahmen sind abzustimmen und vertraglich zu vereinbaren (Security Service Level Agreements).

Lesen Sie zum Thema "Outsourcing" auch: SaaS-Magazin.de (www.saasmagazin.de)

http://www.saasmagazin.de/sonstigeservicesarchitekturen/outsourcing/index.html

Mit der angemessenen Reaktion auf IDS-Alarme steht und fällt die ganze Konzeption. Sinnvollerweise wird sie durch Stellen erfolgen, die auch für den Betrieb der überwachten Systeme, Applikationen und Netze zuständig zeichnen. Ein sicherheitstechnischer Nutzen beim Einsatz eines IDS entsteht erst, wenn auf gemeldete Ereignisse zeitnah und angemessen reagiert werden kann. Das IDS selbst kann nur in Ausnahmefällen adäquat auf Bedrohungen reagieren und gerade hier sollte man nicht all zu viel auf die vollmundigen Werbeversprechungen der Hersteller geben, die meist einen automatischen Betrieb versprechen.

Certix weist darauf hin, dass es umso wichtiger ist, im Alarmfall über menschliche Ressourcen zu verfügen, die einen Vorfall in seiner Bedeutung möglichst schnell und sicher einschätzen können. So banal es klingt: Wenn Alarme von niemanden beachtet und angenommen werden, scheitert das Vorhaben schon im Ansatz. Auch außerhalb der gewöhnlichen Arbeitszeiten sollte sichergestellt sein, dass Meldungen vom IDS nicht unbeachtet auflaufen, sondern ebenfalls umgehend an die für die Reaktion verantwortlichen Stellen weitergeleitet werden. Folgende Festlegungen sind dafür zu treffen:

· Verantwortlichkeiten und Zuständigkeiten für die Annahme und Reaktion auf IDS-Alarme

· Meldewege und ggf. Formvorgaben für Meldungen

· Alarm-Level (inklusive Zuordnung zu den entsprechenden IDS-Alarmen) hinsichtlich

· der zu erwartenden Schadenswirkung

· der Dringlichkeit der Reaktion

· zu benachrichtigende Stellen (Eskalation)

Sofern schon Maßnahmen zum Notfall-/Krisenmanagement bestehen, sind die Alarme in sinnvoller Weise zu integrieren.

Die Vorfälle in letzter Zeit bei Bundesbahn und Telekom im Bereich Missbrauch von Mitarbeiter-daten haben die Bedeutung von ordnungsgemäßem Umgang mit sensiblen Informationen vielen ins Bewusstsein gerufen. Trotzdem setzen sich immer noch einige Firmen bei der Einführung von Überwachungstechnik über die bestehende (zugegeben unklare) Gesetzeslage hinweg. Ohne Absprache mit Betriebsräten oder Transparenz für die Belegschaft werden sensible Eingriffe in den Datenschutz vorgenommen und das Missbrauchspotential gar nicht erst thematisiert.

Ein IDS dient einzig der Erhöhung der IT-Sicherheit und darf nicht als Vollüberwachung von Mitarbeitern bei der Nutzung von Systemen und Applikationen missbraucht werden. Die Anforderungen des Datenschutzes und der Arbeitnehmermitbestimmung sind bei der Einführung neuer Techniken grundsätzlich zu beachten (BSI-Leitfaden zur Einführung von Intrusion Detection-Systemen). Grundsätzlich ist davon auszugehen, dass personenbezogene Daten nur zum ordnungsgemäßen Betrieb von Datenverarbeitungsanlagen gespeichert werden dürfen und deren Auswertung auch nur diesem Zweck dienen darf. (Certix: ma)