Interne und externe Security-Audits

Ein formales Security-Audit besteht aus vier Phasen:

• Beurteilung: während dieser Phase werden Informationen gesammelt und Probleme identifiziert und analysiert.
• Dringende Maßnahmen: Besonders schwerwiegende oder rasch behebbare Probleme werden während dieser Phase behandelt.
• Weitere Maßnahmen: Während dieser Phase werden Probleme mit geringer bis mittlerer Priorität angegangen.
• Laufende Arbeiten: Diese Phase geht nie zu Ende. Die aus den ersten drei Phasen gewonnenen Informationen werden zur laufenden Wartung und Sicherung der Umgebung verwendet. Selbstverständlich ist dieser Vorgang in regelmäßigen Abständen auszuführen, um die Sicherheit der Systeme zu gewährleisten.

Dieser Artikel konzentriert sich auf die Beurteilungsphase. Die dringenden und weiteren Maßnahmen werden in einem folgenden Artikel behandelt.

Die Beurteilungsphase
Der wohl ernüchterndste Aspekt der Beurteilung Ihrer Systeme dürfte in der Erkenntnis liegen, wie angreifbar Ihre Umgebung ist. Wer konnte schließlich ahnen, dass Ihr Vorgänger Lücken in Ihrer Firewall geschaffen hatte, um so über VNC einen entfernten Zugriff auf die Server ausführen zu können, ohne erst mühsam einen Login in das VPN durchführen zu müssen? Sie werden vermutlich auf eine Reihe von solcherlei Überraschungen stoßen.

Außerdem wachsen mit der Größe eines Unternehmens auch dessen Netzwerke und Dienste an. Häufig ist jedoch nicht ganz klar, in welcher Weise diese untereinander interagieren. Ich denke, dass jeder Leser Verständnis für einen bereits mit Arbeit überhäuften Administrator haben dürfte, der seine Jobs so rasch wie möglich erledigt, in der guten Absicht, mögliche Schwierigkeiten dann bei deren Auftreten zu beheben.

Das Sammeln von Informationen
Wenn Sie die Beurteilung für Ihr Unternehmen vorbereiten und an der Schaffung von dessen Infrastrukturen selbst beteiligt waren, sollten Sie sich nach Möglichkeit aus dieser Phase heraushalten. Es ist nämlich äußerst schwierig, eine Umgebung zu beurteilen, wenn Sie dabei Ihre eigenen, in der Vergangenheit getroffenen Entscheidungen verteidigen müssen. Sollten Sie für die Durchführung einer Beurteilung verantwortlich sein, können Sie ihre Nachforschungen mit einigen grundlegenden Schritten beginnen.

Sprechen Sie mit Ihren Kollegen aus der IT-Abteilung, und erstellen Sie detaillierte, präzise Netzwerk-Diagramme. Diese Art von Informationssammlung dient einem doppelten Zweck: Erstens können Sie rasch feststellen, wo die wichtigsten Schwachpunkte in einem Netzwerk liegen könnten, und zweitens erhalten Sie eine Dokumentation zur Infrastruktur. Durch eine sorgfältige Erfassung des Netzwerks in seinem aktuellen Zustand (und nicht in dem Zustand, den Sie in Erinnerung haben) könnten Sie beispielsweise feststellen, dass eine Netzwerkverbindung zwischen dem Switch vor Ihrer Firewall zu einem Switch hinter der Firewall besteht.

Das Auffinden von Sicherheitlücken
Setzen Sie Software-Tools zur Suche nach Lücken in der Infrastruktur ein. Prüfen Sie z. B. einen Windows-Server mit L0phtCrack, um sicherzustellen, dass die Benutzer sichere Passwörter verwenden. Denken Sie daran: Wenn es Ihnen gelingt, mit einem solchen Tool Passwörter zu knacken, so kann sich auf dieselbe Weise auch ein Hacker Zugriff zu Ihrem Netzwerk verschaffen.

Die Suche nach Schwachpunkten
Während dieser Phase des Audits sollten noch eine Reihe anderer Bereiche berücksichtigt werden. So müssen Sie beispielsweise exakt bestimmen, welche Verbindungen nach draußen bestehen. Verlassen Sie sich nicht einfach auf Ihre Firewall – testen Sie sie!

Einer meiner früheren Arbeitsgeber war grundsätzlich gegen Firewalls eingestellt. Ihm war zwar deren Sinn klar, doch war er sich auch bewusst, dass sie eine Nachlässigkeit der Administratoren im Hinblick auf Sicherheitsfragen verursachen können. Statt einen Rechner wirklich sicher zu machen, könnten diese sich allein auf den Schutz durch eine Firewall verlassen. Tatsächlich sollten beide Ansätze implementiert werden, sowohl eine Firewall als auch eine sorgfältige Server-Sicherung zu deren Unterstützung.