Security

PROFI Security Checks

Wissen, wo man steht

An Aufmerksamkeit mangelt es der IT-Sicherheit in den letzten Monaten nicht mehr, sei es in der Öffentlichkeit oder in Unternehmen. Diese Aufmerksamkeit führt dazu, dass auf allen Ebenen der Unternehmenshierarchie die Frage aufkommt: „Wo stehen wir denn bei diesem Thema?“ Und schon an dieser Stelle wird es knifflig: Wie lässt sich die IT-Sicherheit messen? Wo fängt man an? Bin ich nur dann sicher, wenn ich eine Zertifizierung nach ISO 27001 oder BSI Grundschutz nachweisen kann? Soll ich einen Penetrationstest machen lassen, der einmal versucht, in unser Unternehmen einzudringen? Und wo ist aktuell der größte Handlungsbedarf?

All das sind berechtigte und weit verbreitete Fragen ohne pauschale Antworten. Man kann sich dem Thema auf zwei Arten nähern: Bottom-Up oder Top-Down. Bottom-Up bedeutet, man fängt auf technischer bzw. spezifischer Ebene an und erhält mit verschiedenen dieser Überprüfungen ein Gesamtbild. Im Top-Down-Ansatz betrachtet man zunächst die organisatorische Ebene und erhöht an nötigen Stellen den Detailgrad, indem man die technischen Maßnahmen betrachtet. Die PROFI AG berät und unterstützt ihre Kunden mit verschiedensten Security Checks beider Ansätze. Im Folgenden werden einige davon vorgestellt:

Bottom-Up

Bei den klassischen Netzwerk-Schwachstellen-Scans (Vulnerability Scans) werden Scanner, die auf Basis einer Datenbank nach Schwachstellen suchen, auf die eigenen IP-Adressbereiche angesetzt. Die Scans finden meist zunächst auf aus dem Internet erreichbaren Systemen statt, können später auch auf interne Systeme ausgeweitet werden. Die Experten der PROFI AG bereiten diese Ergebnisse auf und geben priorisierte Handlungsempfehlungen ab.

Inhaltliche Fehler in den bereitgestellten Anwendungen lassen sich aber nur finden, wenn man die Anwendung selbst prüft. Dies ist mit der Web Application Security Scan Suite möglich: Hier werden Schwachstellen in Anwendungen wie zum Beispiel SQL Injections oder Cross Site Scriptings (XSS) analysiert. Dies kann auf der fertigen Anwendung oder bereits während der Entwicklung stattfinden; auch die Überprüfung von durch Agenturen erstellten Webseiten ist ein häufiges Szenario, da die Codequalität hier stark schwanken kann.

Ein Spezialfall in der Anwendungsanalyse sind SAP-Landschaften: In allen SAP-Installationen kommt Custom Code zum Einsatz, eine Überprüfung des Codes auf Programmierfehler fehlt aber häufig. Auch die oft komplexe Konfiguration der SAP-Systeme birgt viele Fehlerquellen, die in der Praxis meist unentdeckt bleiben. In beiden Situationen hilft die SAP-Security-Prüfung, die Sicherheitslücken in Custom Code findet und auf Fehler in der Systemkonfiguration hinweist.

Während die genannten Checks bestehende Systeme auf Schwachstellen untersuchen, geht der Network Security Checkup einen anderen Weg: Hierbei wird die reale Kommunikation des Unternehmensnetzes mit dem Internet mitgeschnitten und mit verschiedensten Sensoren auf Vorkommnisse geprüft. Dazu zählen unter anderem die Untersuchung auf Bot-Netze, Malware und Exploit-Versuche. Das Ergebnis liefert Aufschluss darüber, wie gut der bestehende Perimeterschutz des Unternehmens funktioniert und ob bereits infizierte Systeme mit dem Internet kommunizieren.

„Die große Bandbreite an Security Checks gibt Unternehmen die Möglichkeit, gemäß ihrem aktuellen Bedarf zu agieren.“

Marcus Hock, Senior Consultant, CISSP der PROFI AG

Top-Down

Alles oben Beschriebene stellt natürlich punktuelle technische Checks dar, die Aufschluss über das Sicherheitsniveau an verschiedenen Stellen der Unternehmens-IT geben. Demgegenüber verfolgt der IT Risk Compact Check einen Top-Down-Ansatz: Hier wird die IT-Organisation im Unternehmen in ihrer ganzen Breite, also organisatorisch wie technisch, mittels Interviews und Stichproben auf ihren Reifegrad geprüft. Das Ergebnis ist eine Übersicht über die Organisationselemente mit den größten Defiziten und Risiken bezüglich der IT-Sicherheit, die auch als Ausgangsbasis für spätere ISMS-Zertifizierungen auf Basis von ISO/IEC 27001, BSI Grundschutz oder VdS 3473 dienen kann. In jedem Fall erhält das Unternehmen eine Auskunft darüber, an welchen Stellen sich Investitionen lohnen und an welchen bereits ein hoher Reifegrad erreicht ist.

Wer sich konkret auf eine offizielle Zertifizierung vorbereiten möchte, kann die Möglichkeiten des VdS 3473 Quick-Checks nutzen. Dabei werden verschiedenste Aspekte der IT-Sicherheitsorganisation zunächst in einem Fragebogen aufgenommen. Darauf basierend können in Vor-Ort-Terminen die Angaben überprüft werden und so in ein offizielles Testat münden. Das VdS-3473-Testat dient auch als Grundlage für den Abschluss einer Versicherung der Restrisiken in der IT.

Die große Bandbreite an möglichen Checks gibt Unternehmen die Möglichkeit, gemäß ihrem aktuellen Bedarf zu agieren: Mit Schwachstellen-Scans kann beispielsweise ein einfacher und kostengünstiger Einstieg erfolgen, um die „Low Hanging Fruits“ einzufangen – also mit sehr geringem Aufwand möglicherweise große Lücken aufzudecken und zu beheben. Die PROFI AG unterstützt ihre Kunden dabei, die richtigen Fragestellungen zu identifizieren und so die für den jeweiligen Bedarf zielführenden Sicherheits-Checks nicht nur durchzuführen, sondern die Ergebnisse in unmittelbaren Mehrwert für ihre IT-Sicherheit zu verwandeln.

Allen Checks ist indes gemein, dass eine zyklische Wiederholung Sinn macht, um die resultierenden Verbesserungen auf Wirksamkeit zu prüfen und den sich ständig verändernden äußeren Bedingungen Rechnung zu tragen. Denn unabhängig davon, ob nun einzelne Systeme oder die IT-Organisation geprüft werden, ist eines klar: Permanente Veränderung bedarf auch permanenter Überprüfung.

Marcus Hock,
Senior Consultant, CISSP der PROFI AG