Compliance-Risiken identifizieren und beseitigen

Sie sind hier: Das Magazin für alle IT-Security-Themen » Fachbeiträge » Lösungen & Services

IT-Fachleute mit Administratorrechten und Nutzer mit privilegierten Rechten sind zudem häufig in der Lage, Datenbestände zu manipulieren und die Spuren solcher Aktionen zu vertuschen
Regelwerke vor allem die Vorgaben in den Bereichen IT-Sicherheit und IT-Compliance wurden verschärft

Autor Martin Grauel

Requirement 10.2.5 von PCI-DSS 3.0 verlangt, dass ein Log-Management-System Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentiert, Bild: BalaBit

Von Martin Grauel, Wirtschaftsinformatiker (BA) und Netzwerk-/IT-Security-Spezialist bei BalaBit

(03.07.15) - Compliance-Vorgaben für Unternehmen betreffen zunehmend die IT-Sicherheit. So wurde auch die internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (ISO 27001) schärfer gefasst. Betroffen davon sind der Umgang und das Erfassen von Logging-Informationen insbesondere das Monitoring der Aktivitäten von privilegierten Usern.

Ein zentrales Ziel von Compliance-Vorschriften wie PCI-DSS, ISO 27001, Sarbanes-Oxley Act (SOX) und EuroSOX besteht darin, Unternehmen und deren Kunden vor wirtschaftlichen Schäden durch den Missbrauch oder Diebstahl unternehmensinterner Informationen zu bewahren. Aus diesem Grund wurden in den aktuellen Versionen dieser Regelwerke vor allem die Vorgaben in den Bereichen IT-Sicherheit und IT-Compliance verschärft.

Ein Beispiel dafür ist die Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard), die seit 2014 in Kraft ist. Sie sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Dazu zählen Handelshäuser, Abrechnungsfirmen, Banken und Service-Provider. PCI-DSS 3.0 enthält unter anderem striktere Vorgaben für das Erfassen, Auswerten und Speichern von Log-Daten von IT-Systemen.

So müssen Unternehmen jetzt nicht nur den Start, sondern auch das Stoppen und Pausieren von Logging-Vorgängen dokumentieren. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren. Außerdem legt die Vorschrift explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in längeren, regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen zudem Sonderfälle und Anomalien.

Schäden in Milliardenhöhe
Requirement 10.2.5 von PCI-DSS 3.0 verlangt zudem, dass ein Log-Management-System Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentiert. Festzuhalten ist beispielsweise, ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.

Verschärfung von Compliance-Vorgaben

Angriffe auf IT-Systeme

IT-Fachleute mit Administratorrechten und Nutzer mit privilegierten Rechten sind häufig in der Lage, Datenbestände zu manipulieren und die Spuren solcher Aktionen zu vertuschen, Bild: BalaBit

Doch PCI-DSS ist nur ein Beispiel. Auch andere IT-Security- und -Compliance-Vorschriften wurden überarbeitet und schärfer gefasst. Dazu zählt die ISO 27001. In der aktuellen Version 27001:2013 sind beispielsweise 14 Sicherheitsbereiche aufgeführt, die IT-Security-Experten berücksichtigen müssen gegenüber nur elf "Security Areas" in der Ausgabe der Norm von 2005. Außerdem müssen nun sicherheitsrelevante Vorfälle im Allgemeinen durch ein "Event-Logging" erfasst und dokumentiert werden. Explizit vorgegeben ist zudem, dass auch die Aktivitäten der Mitarbeiter von Service-Providern überwacht und regelmäßig auditiert werden müssen.

Die Verschärfung von Compliance-Vorgaben hat einen guten Grund. So wurden nach Angaben der amerikanischen Beratungsfirma Javelin Strategy & Research alleine in den USA 12,7 Millionen Bürger Opfer von Online-Betrügereien. Der Schaden belief sich auf rund 16 Milliarden Dollar. In zwei Drittel der Fälle, so Javelin, legte der Verlust von vertraulichen Daten die Grundlage für die Betrügereien, etwa der Diebstahl von Zugangsinformationen und Kundendaten.

In vielen Fällen gehen solche Aktivitäten auf das Konto von aktuellen oder ehemaligen Mitarbeitern von Unternehmen. Laut einer Untersuchung des deutschen Digitalverbandes Bitkom sind 52 Prozent solche "Insider" wie IT-Systemverwalter oder User mit privilegierten Zugriffsrechten Initiatoren von Angriffen auf IT-Systeme. Die zweite große Tätergruppe (39 Prozent) kommt aus dem Umfeld von Unternehmen. Es handelt sich um Wettbewerber, Lieferanten, Dienstleister und Kunden, also Akteure, die über spezielle Kenntnisse des Kunden oder Partnerunternehmens verfügen.

Auch Systemverwalter sind für Datenverluste verantwortlich
Der amerikanische Service-Provider Verizon führt in ihrem Data Breach Investigations Report 2015 an, dass 55 Prozent der missbräuchlichen Nutzung geschäftsinterner Daten auf das Konto von Nutzern mit privilegierten Rechten gehen. Sie nutzen ihre Position und Zugangsmöglichkeiten beispielsweise dazu aus, um Kundendaten, Vertriebsinformationen und Finanzdaten zu entwenden und zu Geld zu machen.

Hinzu kommen Verizon zufolge Fehler von Mitarbeitern und Dienstleistern: E-Mails mit vertraulichen Daten landen beim falschen Adressaten (30 Prozent der Fälle) oder interne Informationen werden auf öffentlich zugänglichen Web-Servern gespeichert (17 Prozent). Zu denken gibt, dass für 60 Prozent dieser Fehler Systemverwalter verantwortlich sind. Verschärft wird die Situation durch die Nutzung von Cloud-Computing-Diensten. In diesem Fall ist nicht nur die hauseigene IT-Abteilung involviert. Hinzu kommen die Administratoren des Cloud-Service-Providers (CSP). Auch diese haben Zugang zu Kundendaten und Log-in-Informationen. Zudem haben die Mitarbeiter eines CSPs Zugriff auf die Konfigurationseinstellungen der IT-Systeme, über welche die entsprechenden Cloud-Services bereitgestellt werden.

Compliance heißt: Transparenz schaffen
Die Aktivitäten von IT-Administratoren, externen Dienstleistern und Power-Usern werden jedoch nur selten erfasst. Wenn doch, erfolgt das häufig in einer Form, die nicht den Anforderungen eines standardisierten und umfassenden Risikoberichtswesens entspricht. Dabei verfügen gerade die Verwalter von Netzwerkkomponenten, Server-Systemen und Datenbanken über eine gewaltige Machtfülle. Sie verwalten alle Passwörter und haben Zugang zu allen IT-Systemen wie E-Mail-Postfächern und Kundendaten.

IT-Fachleute mit Administratorrechten und Nutzer mit privilegierten Rechten sind zudem häufig in der Lage, Datenbestände zu manipulieren und die Spuren solcher Aktionen zu vertuschen. Daher müssen die Aktivitäten von IT-Fachleuten im Unternehmensnetz dokumentiert werden und zwar in einer Weise, die jeder Revision standhält. Das gilt für jedes Unternehmen, nicht nur für solche in besonders sensiblen Branchen wie dem Finanz- und Versicherungswesen oder dem Gesundheitssektor.

Eine Option besteht darin, ein System zu implementieren, das alle Aktivitäten beim Zugriff auf IT-Systeme aufzeichnet. Diese Aufzeichnungen (Audit Trails) sollten verschlüsselt und signiert abgelegt und mit einem Zeitstempel versehen werden. Nur dann stehen sie nötigenfalls auch als Grundlage für forensische Analysen zur Verfügung und können für Audits herangezogen werden Eine solche Lösung hat BalaBit mit der Shell Control Box (SCB) entwickelt. Sie erfüllt die Anforderungen von Unternehmen und Auditoren in Bezug auf die Nachvollziehbarkeit und Transparenz der Aktionen von IT-Administratoren.

Zudem empfiehlt es sich, eine Lösung für das Erfassen und Auswerten von Log-Managementdaten zu implementieren. Der Grund ist, dass das Volumen der Log-Daten zunimmt. So greifen beispielsweise immer mehr Administratoren und User von Mobilsystemen wie Tablets und Notebooks aus auf IT-Systeme zu, und das von unterschiedlichen Standorten aus: im Büro, während einer Dienstreise oder vom Rechner im Homeoffice aus. Eine Log-Management-Appliance wie etwa die "syslog-ng Store Box" erfasst und konsolidiert diese Datenbestände in einem zentralen System.

Auch Dienstleister unter die Lupe nehmen
Systeme wie die Shell Control Box sind auch aus einem anderen Grund wichtig. Viele Unternehmen lagern IT-Prozesse an externe Dienstleister aus oder greifen auf Cloud-Ressourcen zurück. Dieses Outsourcing birgt Risiken. So verlangt beispielsweise die MaRisk (VA), dass alle ausgelagerten Prozesse lückenlos identifiziert, evaluiert und überwacht werden müssen. Mit Hilfe eines Systems wie der Shell Control Box lässt sich eindeutig belegen, wer, wann und durch welche Aktion Probleme verursacht hat. Es kann der beweiskräftige Nachweis geführt werden, welcher der Vertragspartner seine Sorgfaltspflicht verletzt hat.

Eine umfassende und effiziente Log-Analyse ist ein zentraler Baustein, um Compliance sicherzustellen. Doch um potenziell schädliche Aktivitäten zu identifizieren und zu unterbinden, ist ein ganzheitlicher IT-Sicherheitsansatz auf Basis kontextbezogener Informationen erforderlich.

Nächster Schritt: Kontextbezogene Sicherheitslösungen
Ein solches Contextual-Security-Intelligence-Konzept (eCSI) besteht aus mehreren Komponenten. Dazu zählen Lösungen für die Überwachung privilegierte Zugriffe auf IT-Systeme und das Auswerten von Log-Daten. Hinzu kommen Systeme zur User Behavior Analytics, also der Analyse des Nutzerverhaltens. Sie erkennen Anomalien beim Zugriff auf IT-Systeme und unterbinden automatisch schädliche Aktivitäten. Eine solche Lösung, beispielsweise "Blindspotter" von BalaBit, nutzt spezielle Algorithmen zur Datenanalyse, um sicherheitsrelevante Vorfälle zu identifizieren und diesen Prioritätsstufen zuzuweisen.

Zudem bieten solche Tools dem Nutzer eine breite Palette von Ergebnissen und Handlungsoptionen, von Warnmeldungen bis hin zu automatischen Reaktionen auf bestimmte Vorkommnisse. Durch die Integration mit vorhandenen IT-Sicherheitssystemen lassen sich Zugriffe blockieren und potenzielle Risiken für die IT-Sicherheit und Compliance im Vorfeld ausschließen.

Compliance auch für Industrie 4.0
Mit kontextbezogenen Sicherheitslösungen lassen sich im Übrigen nicht nur klassische IT-Umgebungen absichern. Gleiches gilt für alle Komponenten einer Industrie-4.0-Umgebung, die einen starken Bezug zur Informationstechnik haben. Dazu zählen Anwendungen aus den Bereichen Enterprise Resource Planning (ERP) und Supply Chain Management (SCM), zudem Storage- und Netzwerk-Systeme, Datenbanken und Server.

Der Einsatz solcher Sicherheitslösungen wird daher künftig auch für jedes Industrieunternehmen unverzichtbar sein, das seine Produktionsumgebung im Zuge von Industrie 4.0 vernetzt und an seine eigene IT-Infrastruktur sowie die von Lieferanten und Kunden anbindet.

Der Autor:
Martin Grauel ist Wirtschaftsinformatiker (BA) und Netzwerk-/IT-Security-Spezialist. Bei BalaBit ist er als Presales Engineer für die Implementierung der Systeme bei Kunden verantwortlich. Das Unternehmen BalaBit ist ein IT-Sicherheitsspezialist für Log-Management und fortschrittliche Monitoring-Technologien.
(BalaBit: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

BalaBit IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Lösungen & Services

Rettung aus der Cloud

Früher gab es sie noch: die physische Akte. In ihr lagen alle wichtigen Dokumente zu Vorgängen, Projekten oder Personal. Der Einsatz von Computern, digitalen Archiven und elektronischen Akten macht nun Aktenschränke zunehmend überflüssig. Gut einerseits, andererseits hat die wachsende Digitalisierung auch ihre Tücken: Im schlimmsten Fall können die Ergebnisse von Jahren harter Arbeit in Sekunden verloren gehen - etwa im Fall von Bränden, Hochwasser oder anderen Katastrophen, die das physische IT-Equipment unwiderruflich zerstören. Disaster Recovery lautet das Rezept gegen derartige Verluste - es lässt sich heute aus der Cloud heraus hervorragend bewerkstelligen.

Sicherheitsaudits in der Automobilbranche

Sicherheitsaudits sind bei Unternehmen nicht unbedingt beliebt, denn in aller Regel sind sie für das betroffene Unternehmen zeit- und kostenaufwendig. Aber bestimmte Branchen wie beispielsweise der Finanzsektor und in diesem Fall die Automobilbranche setzen sie für Partner zwingend voraus. Bevor die Auditoren ihre Tätigkeit aufnehmen, gilt es schon vorab umfangreiche Fragebögen auszufüllen, die helfen den Sicherheitslevel des Unternehmens zu bewerten. Nicht selten schätzen Unternehmen diesen übrigens deutlich besser ein als er tatsächlich ist. Vor einigen Jahren wechselte der IT-Leiter eines unserer Kunden von einem Maschinenbauer mit Einzelteilfertigung zu einem Serienteilfertiger. Was ihm besonders positiv auffiel war der hohe Grad an Prozessorientierung. Unumgänglich für einen Serienteilfertiger. Produziert dieser aber auch Teile für den Automobilsektor sind damit bei praktisch allen Konzernen bestimmte Sicherheitsauflagen für die zuliefernden Partner zwingend vorgeschrieben.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.