Chaos im Security Management: Ist Outsourcing die Lösung?

ZDNet: In welchem Maße reduzieren Ihre Kunden üblicherweise ihr IT-Sicherheitspersonal? Oder setzen sie diese Mitarbeiter anderweitig ein?

Johnson: Soweit wir dies beurteilen können, werden die Mitarbeiter für andere Aufgaben eingesetzt. Die Unternehmen wollen seit jeher lieber vorbeugen statt reagieren. Häufig hören wir von den Mitarbeitern Aussagen wie: „Ich arbeite nun direkt mit einem Geschäftsbereich zusammen. Der Einsatz einer modernen E-Commerce-Anwendung ist geplant, für die ich die Security-Architektur erstelle und teste, um sicherzustellen, dass die Anwendung bei ihrem Online-Start weder das Netzwerk noch das Unternehmen oder seine Partner gefährdet.“

Oft wird auch unterstrichen, dass endlich mehr Zeit für die Optimierung von Richtlinien vorhanden ist oder dass nun endlich eine Richtlinie für die Client-Server-Umgebung geschrieben werden kann, so dass statt der vor 20 Jahren erstellten Mainframe-Richtlinie nun auf RACF und ACF2 basierende Security-Lösungen eingesetzt werden können.

Außerdem fällt auf, dass die Unternehmen jetzt mehr Zeit zur Problembehebung haben. Früher erfassten sie Unmengen von Bewertungsdaten, ohne die Zeit oder die erforderlichen Mitarbeiter zu haben, um gefundene Probleme auch wirklich zu beseitigen. Nun liefern wir diese Daten an die Kunden und fragen sie bei Problemen: „Hier versucht jemand einen Angriff auf Ihre Umgebung. Wenn der Angreifer diesen Gateway überwindet und eindringt, wie sieht dann Ihr internes Netzwerk aus?“ In manchen Fällen beheben wir das Problem dann gemeinsam mit dem Kunden. Häufig ist dieser Service jedoch einfach noch zu neu, so dass er nicht genutzt wird. Es stellt sich die Frage: Wenn dem Angreifer das Eindringen gelingt, kann er sich dann frei im Netzwerk bewegen, ohne lokalisiert und gestoppt zu werden? Häufig lautet die Antwort hierauf Ja.

Der Schwerpunkt liegt in diesen Fällen also auf der Verstärkung der äußeren Grenzen, während die mittleren Ebenen eher schlecht gesichert sind. Wenn wir die externen Abgrenzungen besser sichern, bleibt mehr Zeit zur Verbesserung des internen Netzwerks. Man optimiert also das Innere der Netzwerke, wobei deren äußere Grenzen immer schwerer fassbar werden.

ZDNet: Wie funktioniert Ihr Service in einem Fall, wie Sie ihn hier schildern? Berät sich das Personal von Symantec mit den IT-Mitarbeitern des Kunden? Wer führt letztendlich die Schritte zur Abwehr eines Eindringlings aus?

Johnson: Zumeist erfolgt die Abwehr von Angriffen gemeinsam. Wir übernehmen häufig die Überwachung und Verwaltung sowohl von den Intrusion Detection-Systemen als auch von den Firewall-Lösungen. Manchmal setzen wir auch Anwendungen ein, die mit den Servern interagieren, sofern wir die Einhaltung der Sicherheits-Richtlinie bis auf Server-Ebene kontrollieren. Teilweise überprüfen wir sogar die Betriebssysteme, ihre Konfiguration und ähnliches.

Nehmen wir also an, es erfolgt ein Angriff, für den eine telefonische Warnung vorgesehen ist. Wir gehen davon aus, dass der Kunde diesen abwehren kann, wenn er umgehend reagiert. Normalerweise wird die Unternehmensleitung informiert, oder man ruft den Sicherheitsbeauftragten oder einen anderen für die Entgegennahme der Warnmeldungen verantwortlichen Mitarbeiter an.

Gut organisierte größere Unternehmen verfügen meist über ein genau definiertes Verfahren zur Handhabung solcher Warnungen. Weniger gut vorbereitete Unternehmen werden dagegen fragen, was sie tun sollen. In diesem Fall beruhigt man den Kunden zunächst telefonisch und erklärt ihm, was er auf Firewall-Level unternehmen muss, welche Maßnahmen auf Server-Level erforderlich sind und welche Mitarbeiter seines Unternehmens dafür benötigt werden. Man geht Schritt für Schritt mit dem Kunden durch, was er zur Abwehr und Behebung von Schäden tun sollte – falls er dies nicht ohnehin weiß. Manchmal fragen die Kunden auch an, ob wir einen Mitarbeiter schicken können, der vor Ort die richtige Ausführung aller Maßnahmen veranlasst. Natürlich bieten wir auch diesen Service an, nicht nur durch unsere Mitarbeiter, sondern auch über unsere Partner wie PricewaterehouseCoopers und andere.