Innerhalb eines Notfallplans ist definiert, was nach der Entdeckung eines Angriffs zu tun ist. Wichtig ist vorallem ein besonnes Handeln. Es geht schließlich darum:

• schnell, aber richtig zu handeln, wenn der Angriff akut gestoppt werden muss – Unsicherheit und unklare Kompetenzen hätten fatale Folgen.
• den Schaden möglichst zu minimieren, statt ihn durch eigenes Handeln zu vergrößern.
• einen genauen Überblick über den Schaden und das Ausmaß der notwendigen Reperaturen zu bekommen: man sollte allerdings darauf achten, die Spuren des Angriffs nicht durch sein Handeln zu verwischen. Eine Spurensicherung ist deshalb sinnvoll, da dadurch zum einen der Angriff rekonstruiert werden kann und so vorhandene Schwachstellen geschlossen werden können, und zum anderen ist nur so eine gute Beweissicherung („digitale Forensik“) durchführbar.
• sich selbst im betrieblichen Einsatz arbeitsrechtlich zu schützen.
  

Ein Notfallplan besteht idealerweise aus zwei Teilen:

• Der organisatorische Teil behandelt vorwiegend die Fragen: -wer macht was? -wer darf was? -wer koordiniert und trägt die Verantwortung? -wer ist zu informieren?
• Der technisch-beschreibende Teil geht spezifisch auf die vor Ort vorhandene Installation ein und legt fest, wie zu reparieren und vorzugehen ist, falls es Besonderheiten gibt.
  

Auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind Vorlagen für die Unterschiedlichen IT-Systeme zu finden (VPN, Windows-Server, Webserver, DNS-Server usw.). Diese Vorlagen können u.a. dazu verwendet werden, diese als Leitfaden zu benutzen, damit nichts Grundsätzliches vergessen wird. Die Erstellung eines IT-Notfallplanes sollte ernst genommen werden. Es ist zwar lästig Arbeit in Dinge zu investieren, die im Idealfall nie gebraucht werden, aber so ist man für den Fall der Fälle vorbereitet. Weiterhin sollte jeder Mitarbeiter der IT Kenntnis über den Inhalt und Aufbewahrungsort des Dokumentes haben.

Sofern es notwendig ist, sollte auch nicht vergessen werden den IT-Notfallplan vom Vorgesetzten (per Unterschrift) absegnen zu lassen. So wird zusätzlich dokumentiert wer welche Kompetenzen erhält. Dies kann vorallem arbeitsrechtlich wichtig sein falls schwerwiegende Entscheidungen getroffen werden müssen. Schnell kann einem hier ein Strick gedreht werden, wenn das Betriebsklima ohnehin angespannt ist und ein Bauernopfer gesucht wird.

Der IT-Sicherheitsplan ist die praktisch-planerische Umsetzung der Security Policy. Er sollte alle von der Security Policy offen gelassenen Risikien erkennen und eventuelle Lücken schließen.

Wie aus obiger Abbildung ersichtlich, umfasst die Erstellung eines Sicherheitsplanes vier Stufen:

1. Ermittlung der Schutzbedürftigkeit

Es wird festgestellt, welche Werte in einem Netzwerk schutzbedürftig sind.

2. Analyse der Bedrohung

Hier sollten alle möglichen Bedrohungen für die im ersten Schritt festgestellten Schutzziele ermittelt werden.

3. Risikoanalyse

Bei dieser Bewertung soll festgestellt werden, wie stark sich Bedrohungen auf das Netzwerk oder einzelne Dienste auswirken und welche Risiken damit verbunden sind. Wichtig dabei sind zwei Faktoren:

• Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass sich eine festgestellte Bedrohung in einem bestimmten Zeitraum einstellt?
• Schadenshöhe: Unabhängig von Wahrscheinlichkeit und Ursache können Schäden sehr unterschiedliche Ausmaße (zwischen Bagatellschaden und Katastrophe) annehmen.

Um ein Risiko zu quantifizieren, sollte man die Eintrittswahrscheinlichkeit und die mögliche Schadenshöhe in Relation setzen. Dies kann mit Hilfe folgender Formel geschehen:

Risiko = Eintrittswahrscheinlichkeit  x  Schaden

Manche Risiken lassen sich jedoch entweder gar nicht oder nur mit einem unverhälnismäßig hohen Aufwand ausschließen. Es ist also notwendig ein „gesundes Maß“ zu finden, das sogenannte Schutzziel. Damit wird eine kalkulierte Grenze gesetzt, die Risiko und Aufwand betrachtet und markiert, welches Risiko noch in Kauf zu nehmen ist.

4. Sicherheitskonzept

Das Kernstück aller Sicherheitsbemühungen: Nachdem die Analyse abgeschlossen ist, sollte ein Sicherheitskonzept erstellt werden, das die zu ergreifenden Maßnahmen festlegt.
Es verfolgt – anders als die Security Policy – einen ganz konkreten Ansatz:
Hier wird die zu realisierende Lösung definiert. Das Sicherheitskonzept darf keine Risiken
erlauben, die über dem definierten Schutzziel liegen.

Dazu gehört zum Beispiel:

• die exakte restriktive Konzeption der Firewall(s)
• die Konzeption eines IDS, das die erkannten Schutzziele überwacht und die festgestellten Bedrohungen erkennt
• die Konfiguration der Desktop-PCs
• die Definition einer Backup Policy
• die Definition von Zugangsberechtigungen, Passwortvergaberichtlinien und Kompetenzen
  

Das Sicherheitskonzept ist keine Privatsache des Administrators, sondern sollte von der Hausspitze abgesegnet und mitgetragen werden. Es sollte von Anfang an daran gedacht werden alle zuständigen Kollegen ggf. in die Konzeption mit einzubeziehen, andernfalls riskiert man, das irgendwann von höherer Stelle Ausnahmen gefordert werden, die eigentlich laut Policy nicht zugelassen sind. Ebensowenig nützt eine Sicherheitskonzept, das von den Angestellten nicht mitgetragen und darum schlichtweg ignoriert oder gar voarsätzlich verletzt wird.

Die Bedeutung der Netzwerksicherheit wird meist auf jeder Hierarchiestufe massiv unterschätzt. Es sollte nie vergessen werden, welche materiellen und immateriellen Schäden (Finanzen und Image) einem Unternehmen entstehen können, wenn es zu einem schweren Sicherheitsvorfall kommt.

---

obige Ausführungen stammen größtenteils aus dem Buch: Snort, Acid & Co. – Einbruchserkennung mit Linux, Autoren: Thomas Bechtold u. Peer Heinlein, Verlag: 2004 Open Source Press GmbH.

Die Security Policy (Sicherheitspolitik) eines Unternehmens soll definieren, wie ein Computernetzwerk zu benutzen ist. Sie sollte festgelegt werden, bevor es an die Erstellung und Umsetzung eines Sicherheitskonzepts geht, das wiederum festlegt wie das Netzwerk zu schützen ist.

Die Sicherheitspolitik richtet sich an alle Benutzer eines Netzwerks und sollte daher für jedermann leicht verständlich und möglichst allgemein gehalten sein. Jedoch sollte darauf geachtet werden, dass eine zu allgemein gehaltene Fassung der Security Policy zu Missverständnissen führen kann. Es sollte im betrieblichen Umfeld also ein Weg gefunden werden, die Sicherheitspolitik zwar allgemein zu gestalten, dabei aber so wenig Interpretationsspielraum wie möglich zu lassen.

Zuerst sollte ein entsprechender Soll-Zustand festgelegt werden. In wie weit dieser realsierbar ist, sollte zunächst nicht im Vordergrund stehen. Später kann die Sicherheitspolitik, falls notwendig, immer noch angepasst und unter Umständen restriktiver gefasst werden, wenn es sich abzeichnet, dass sie zu großzügig ist und durch das Sicherheitskonzept nicht abgesichert werden kann.

Grundsätzlich gibt es zwei unterschiedliche Betrachtungsweisen bei der Formulierung einer Security Policy:

• restriktiv: Alles, was nicht ausdrücklich erlaubt wurde, ist verboten.
• permissiv: Alles, was nicht ausdrücklich verboten wurde, ist erlaubt.
  

Nach Möglichkeit ist die restriktivere Methode der permissiveren vorzuziehen, denn ein Fehler führt bei ihr eher dazu, dass zu viel verboten ist. Die permissivere Methode scheint zwar leichter umsetzbar, besitzt allerdings wesentlich mehr Gefahrenpotential. Bequemlichkeit und Sicherheit sind leider zwei gegenläufige Interessen.

Die Sicherheitspolitik legt fest was erlaubt ist. Es wird im Rahmen eines IT-Sicherheitsplans überlegt, welcher Schutz notwendig ist und wie er durch ein entsprechendes Sicherheitskonzept zu realsieren ist. Wird die Security Policy übergangen, kann dadurch (im schlimmsten Fall) der komplette Schutz ausgehebelt werden. Sie ist demnach mehr als nur eine Richtlinie, sondern vielmehr eine verbindliche Norm.

Innerhalb der Security Policy können z.B. folgende Regelungen festgehalten werden:

• Welche Rechte haben die Benutzer auf ihren Clients? Dürfen sie z.B. selbst Programme installieren?
• Wann und wie werden Backups angelegt? Welcher Datenverlust ist noch tolerierbar?
• Welche Internetdienste dürfen von den Mitarbeitern genutzt werden?
• Welche Software ist Standardmäßig auf den Clients installiert?
• Wo müssen Dateien gespeichert werden? Lokal auf den einzelnen Clients oder auf einem Server im entsprechenden Home-Verzeichnis?
• usw. …

Einen Großteil der Regelungen die in der Security Policy festgehalten sind betreffen selbstverständlich auch das Verhalten der Mitarbeiter. Daher sollte die Sicherheitspolitik auch innerhalb des Unternehmens bekannt gemacht werden. Ebenfalls wichtig ist es, um die Akzeptanz der hauseigenen Sicherheitspolitik zu stärken, zu erklären warum gewisse Dinge erlaubt sind und welche nicht. Geschieht dies nicht besteht die Möglichkeit, dass der Laie dies zu schnell als reine Gängelung und Willkür des Administrators auffassen könnte.

Nähere Informationen über Security Policys können auch auf der Seite des BSI (Bundesamt für Sicherheit in der Informationstechnik) nachgelesen werden.

Um geeignete Sicherheitsmethoden zum Schutz von Computernetzwerken und über versandte Nachrichten zu definieren, sollten zunächst die verschiedenen Sicherheitsziele identifiziert werden, die es zu gewährleisten gilt.

Dann ist es möglich, die potentiellen Bedrohungen und Angriffe zu analysieren und festzustellen, gegen welche Sicherheitsziele sie gerichtet sein können.

Demzufolge sollte eine genaue Bestandsaufnahme der vorhandenen IT-Infrastruktur erstellt werden (z.B. Netzwerkplan, vorhandene Betriebssysteme, Storage-NAS usw.).

Diese Inventarisierung sollte fortlaufend auf einem aktuellen Stand gehalten werden.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden bei der Beurteilung der Sicherheit von Informationssystemen drei sogenannte „common criteria“ unterschieden: Verfügbarkeit, Integrität und Vertraulichkeit.

• Verfügbarkeit:
  Die notwendige Verfügbarkeit unterscheidet sich von Dienst zu Dienst. Es sollte allerdings klar geregelt sein, welcher Dienst, welches Netzwerk oder welches System wann verfügbar sein muss.
  
  
• Integrität:
  Unter der Integrität von Dateien, Daten oder Programmen versteht man die Eigenschaft, dass diese nur von befugten Personen in zulässiger Weise verändert werden können. Eine unzulässige Modifikation hebt die Integrität auf. Es muss also sichergestellt werden, dass Daten und Dateien unverfälscht und vollständig sind.
  
  
• Vertraulichkeit:
  Unter Vertraulichkeit versteht man, dass der Zugriff auf Informationen nur von befugten Personen erfolgt und kein unbefugter Informationsgewinn für Dritte möglich ist.