WENDIA ITSM

EXPERT TALK

ITSM STRATEGIETIPP: Informationssicherheitsvorfälle und die IT Service-Organisation

GÖTZ WEINMANN

Security ist ein zentrales Thema der CIO Agenda – und das nicht erst seit Vorfälle wie die NSA-Spionage oder der Hackerangriff auf das Netzwerk des Bundestages bekannt geworden sind. Deshalb sind IT Service Organisationen gut beraten, sich mit dem Thema Security zu beschäftigen und sich auf den Ernstfall im Unternehmen vorzubereiten. IT Security Experte Götz Weinmann betrachtet im kos-tenlosen Whitepaper Herausforderungen und Handlungs-empfehlungen zum Umgang mit Informationssicherheits-vorfällen in der IT Service Organisation.

ITSM Strategietipp: Informationssicherheits-vorfälle und die IT Service-Organisation

In der Behandlung von Sicherheitsvorfällen durch die IT Service Organisation gilt es grundsätzlich zwei wesentliche Herausforderungen zu meistern: Die Einschätzung von Gefährdung und Risiken, sowie das Ergreifen passender und schnell greifender Maßnahmen.

Damit beide Herausforderungen erfolgreich bewältigt werden können, ist es unerlässlich Mitarbeiter, Prozes-se und Systeme auf solche Vorfälle vorzubereiten und den Ernstfall regelmässig zu üben.3) Im Folgenden sol-len die einzelnen Handlungsfelder wie Risikobewer-tung, mögliche Gegenmaßnahmen, Personen, Prozes-se und Produkte ein wenig näher betrachtet werden.

Informationssicherheitsvorfälle und die IT Service-Organisation

Gefährdung

Einschätzung

Kontext für die Organisation

Maßnahmen

Schnell

gesteuert

Sicherheitsvorfall

Personen

Produkte(Systeme) Prozesse

mit Todesfolge. Allerdings gibt es auch jährlich 150 Todesfälle durch herabfallende Kokosnüsse. Die Wahrscheinlichkeit am Strand tödlich verletzt zu wer-den ist also ca. 20 mal höher. 4)

Damit also bei sensiblen Vorfällen die richtige Ent-scheidung getroffen werden kann, müssen alle Mitar-beiter geschult sein und der Prozess zur Behandlung von Sicherheitsvorfällen muss eindeutig nachvollzieh-bar abgebildet werden. 1)

Hilfreich ist eine Bewertungsmatrix:• Kann die Schadenshöhe abgeschätzt werden?• Sind Folgeschäden zu erwarten?• Wie hoch ist die Zahl der betroffenen Personen (intern und extern)?• Sind Konsequenzen abzusehen (bspw. Reputation)?

Ein Beispiel für eine solche Bewertungsmatrix finden Sie im Folgenden. Sie muss natürlich an die Gegeben-heiten des betroffenen Unternehmens angepasst und im Rahmen des kontinuierlichen Verbesserungspro-zesses immer weiterentwickelt werden.

Damit die Informationssicherheit in Unternehmen gewährleistet ist, müssen die Gefährdungen und Vor-fälle hinsichtlich ihrer Auswirkung bewertet werden. Die IT Service Organisation steht hier insbesondere im Service Desk vor der besonderen Herausforderung, dass eine Bewertung ad hoc erfolgen muss. Denn ab-hängig von der ersten Einschätzung sind unterschied-liche Maßnahmen notwendig.Leider ist die Bewertung von Risiken im Hinblick auf Eintrittswahrscheinlichkeit und Schadensausmaß komplex und oft subjektiv. Das soll an folgendem Bei-spiel erläutert werden:Beim Badeurlaub im Karibischen Meer schwimmt die Angst mit, von einem Hai gebissen zu werden. Dieses Risiko kennen die Schwimmer und haben es innerlich bewertet. Manche haben sogar bereits Maßnahmen zur Minimierung ergriffen, indem Sie beispielsweise nah am Ufer bleiben oder gar nicht erst schwimmen gehen. Was die Badenden jedoch nicht getan haben: Alle Risiken ermitteln und deren Eintrittswahrschein-lichkeit und Auswirkung bestimmen. Im karibischen Meer gibt es jährlich etwa 80 Haiangriffe – 7 davon

Werden in der Matrix mindestens 2 Auswirkungen

mit Mittel oder eine mit Hoch bewertet, so ist der

Vorfall als kritisch einzustufen. Damit muss im

nachstehend beschriebenen Prozess die Variante

Eskalation gewählt werden.

Niedrig Mittel Hoch

mögliche Schadenshöhe < 1.000 € 1.000 – 5.000 € > 5.000 €

eventuelle Folgeschäden Nein Evtl. Ja

intern und extern Betroffene < 2 Personen 2-5 Personen > 5 Personen

mögliche Konsequenzen (Image, etc.) Nein Evtl. Ja

2 x Ja = kritisch 1 x Ja =kritisch

Einschätzung der Gefährdung für die Organisation

nen Zugriff zum Unternehmensnetzwerk. Der lokal installierte Virenscanner hat die Infektion erkannt und bereinigt. In diesem Fall ist die Deaktivierung des User-Accounts und eine Überprüfung des betroffenen Endgeräts durch die IT angemessen.

2. Das SIEM (Security Information and Event Ma-nagement) löst einen Alarm aufgrund verdächtigen Verhaltens durch einen privilegierten Benutzer aus. Hier muss schnell und diskret reagiert werden. Eine solche Meldung kann bedeuten, dass ein Mitarbeiter der IT versucht Daten zu kompromittieren (Innentä-ter), oder dass ein Angreifer unbefugten Zugang zum System erhalten hat. Durch offene Kommunikation oder vorschnelle Handlungen können dabei unter Umständen wertvolle Beweise vernichtet werden.

Gerade im Falle von Sicherheitsvorfällen muss die Verfügbarkeit eines Systems oder eines Services unter Umständen hintanstehen. Wenn beispielsweise Daten verloren oder kompromittiert wurden, kann eine fo-rensische Untersuchung notwendig sein. Diese kann jedoch nur dann stattfinden, wenn die betroffenen Systeme nicht abgeschaltet oder gar neu installiert wurden.

Daher ist es wichtig, dass eine solche Entscheidung nicht spontan, sondern gesteuert und kontrolliert er-folgt.

Betrachten wir ein paar Beispiele:

1. Ein mobiler Anwender infiziert sein Notebook bei der Internetnutzung in einem Café und hat dabei kei-

Schnelle, gesteuerte Gegenmaßnahmen

4. Mitarbeiter schrecken davor zurück, Vorfälle zu melden, insbesondere wenn sie ein eigenes Verschul-den nicht ausschließen können. Daher müssen klar definierte Regeln zum Umgang mit Sicherheitsvor-fällen im Unternehmen und insbesondere im Service Desk bekannt gemacht werden.

Einige dieser Regeln können wie folgtformuliert werden:

• Unregelmäßigkeiten sollen unverzüglich den zuständigen Stellen gemeldet werden.• Gegenmaßnahmen dürfen erst nach Aufforderung durch Berechtigte ergriffen werden.• Alle Begleitumstände sind durch die Betroffenen ungeschönt, offen und transparent zu erläutern, um damit zur Schadensminderung beizutragen.• Es soll eine erste, auf den persönlichen Erfahrungen beruhende Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgegeben werden.• Informationen über den Sicherheitsvorfall dürfen nicht unauthorisiert an Dritte weitergegeben werden.

Kommunikation und Schulungen zum Thema Infor-mationssicherheit sind unerlässlich. Neben der Sen-sibilisierung aller Anwender und einer offenen Kom-munikation zum Umgang mit Sicherheitsvorfällen ist insbesondere auch die Schulung der Service Desk Mit-arbeiter wichtig. 1) 2)

Eine besondere Herausforderung im Hinblick auf Informationssicherheit in der IT Service Organi-sation stellt das Thema Awareness dar. Hier gilt es gleich mehrere Hürden zu nehmen:

1. Wie so oft ist das Know-how zum Thema Infor-mationssicherheit innerhalb der IT Organisation min-destens genauso vielfältig und bunt gemischt wie auf Anwenderseite.

2. Hunderte Fachbegriffe und Akronyme werden ver-wendet, obwohl sie häufig nicht einmal klar definiert sind. Dadurch entstehen unnötige und womöglich fa-tale Missverständnisse.

3. Das Erkennen von gezielten Angriffen ist häufig komplex und nur durch aufwendige Analysen zu er-mitteln.

Personen

bindungen) findet die Analyse des Vorfalls statt. Im Anschluss folgt die Beweissicherung. Sind personen-bezogene Daten im Spiel, muss der Datenschutzbeauf-tragte informiert werden. Anschließend kann der Lösungsweg durch das SIRT festgelegt werden. Die Geschäftsführung oder der verantwortliche Manager müssen nun entscheiden, ob die Strafverfolgungsbehörden und Forensiker ein-geschaltet werden müssen1). Nach Freigabe durch die zuständigen Behörden kann der Betriebszustand wie-derhergestellt werden. Natürlich muss anschließend auch die Dokumentation im Sinne einer lückenlosen Historie entsprechend ergänzt werden.

Im Folgenden soll ein Prozess skizziert werden, der die Reaktion auf einen Sicherheitsvorfall beschreibt. Da-bei ist zu beachten, dass ein Sicherheitsvorfall immer der Klassifizierung Geheim entspricht. Er muss also immer vertraulich behandelt werden.5) Im Prozessbeispiel wird nach Eröffnung des Tickets durch ein System oder eine Person die Bewertung des Vorfalles mit Hilfe der bereits beschriebenen Matrix vorgenommen. Anschließend wird das Ticket ggf. direkt an ein definiertes Security Incident Response Team (SIRT) eskaliert. Nach festgelegten Sofortmaß-nahmen (wie bspw. der Trennung von Netzwerkver-

Prozesse

2. Korrelations-Systeme a. Log-Management Systeme b. Security Information und Event Management System (SIEM)

Wenn Lösungen beider Kategorien verfügbar sind, kann im Falle eines Security Incident eine schnelle und zügige Analyse erfolgen. Viele gängige Tools kön-nen an die jeweils im Einsatz befindliche IT Service Management Plattform angebunden werden. So lässt sich wertvolle Zeit gewinnen, wenn bspw. die Anti-virenlösung automatisiert Tickets eröffnet und die IT Service Management Plattform mittels Eskalation die erforderlichen Stellen informiert.

Sicherheitsvorfälle können durch den Service Desk wesentlich besser beurteilt und eindeutiger zugeordnet werden, wenn Kontextinformationen vorliegen.Es gibt eine Vielzahl hilfreicher Tools, die den Mitar-beiter im Service Desk dabei unterstützen. Grob las-sen sich entsprechende Lösungen in zwei Kategorien unterteilen:1. Informationssammler: a. Applikations- und Betriebssystem Protokolle b. Zugriffsprotokolle (Firewalls, Webfilter, Betriebssysteme, etc.) c. Schwachstellenscanner (Bspw. Nessus, Greenbone, etc.) d. Managementkonsolen (Virenscanlösung, etc.)

Produkte (Systeme)

alle Beteiligten wissen, was zu tun ist. Systeme die zur Alarmierung eingesetzt werden, müssen regelmäßig geprüft und gewartet werden (Testalarme).Wer sich an diese Maßnahmen und Regeln hält und sie umsetzt, schafft so gute Voraussetzungen für eine effektive Reaktion auf Sicherheitsvorfälle. Um dabei immer besser zu werden, sollten die Erfahrungen aus Übungen und echten Vorfällen im Rahmen eines kon-tinuierlichen Verbesserungsprozesses berücksichtigt werden.

Um festzustellen, ob Prozesse, Personen und Produkte reibungslos und wie geplant funktionieren, muss eine regelmäßige Überprüfung aller Komponenten statt-finden. Diese Übungen sollten dabei in verschiedenen Ausprägungen umgesetzt werden.2), 3), 5)

Im Rahmen von Wartungsfenstern sollten beispiels-weise Malwareinfektionen simuliert und entspre-chende Prozesse durchlaufen werden. Auch die re-gelmäßige Schulung von Anwendern zum Zweck der Sensibilisierung stellt sicher, dass im Falle eines Falles

Üben!

Entwickeln Sie einen Prozess zur Behandlung von Sicherheitsvorfällen und beachten Sie dabei folgende Punkte:

• Stellen Sie Regeln zur Einschätzung der Gefährdung bzw. des Gefahrenpotentials auf• Stellen Sie Regeln zum Umgang mit Sicherheitsvorfällen auf• Definieren Sie Verantwortlichkeiten

Unterstützen Sie alle beteiligten Personen in erforderlichem Maße

• Service Desk Mitarbeiter müssen den Prozess und die Verantwortlichkeiten kennen• Alle Anwender müssen wissen, wie Sie bei einem Sicherheitsvorfall Meldung erstatten.

Nutzen Sie ihre Systeme

• Konfigurieren Sie die Systeme zur automatischen Alarmierung• Nutzen Sie intelligente Systeme zur Korrelation von Informationen aus verschiedenen Quellen. So können Sie sicherstellen, dass Sie für einen evtl. bevorstehenden Sicherheitsvorfall gewappnet sind!

Quellen1) Handlungsempfehlungen Cybercrime des BKA https://www.bka.de/nn_196810/sid_A9C28097F906C5D3E002F0E2463348C3/SharedDocs/ Downloads/DE/ThemenABisZ/InternetKriminalitaet/handlungsempfehlungenWirtschaft.html?__nnn=true2) ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems – Requirements http://www. iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=545343) ITIL Security Management Process https://en.wikipedia.org/wiki/ITIL_security_management4) Vom Umgang mit Risiken http://www.finanzen.net/nachricht/private-finanzen/Vom-Umgang-mit-Risiken-Der-Mensch-in-der- Risikofalle-35040105) IT Grundschutz Standards https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html

Fazit

ÜBERDEN AUTOR

Götz Weinmann

ist seit 1997 in der IT Branche tätig und beschäftigt sich seit 2002

mit den Bereichen der Informationssicherheit.

Derzeit berät er als IT Security Consultant und zertifizierter ISO

27001 Auditor Unternehmen zur Informationssicherheit.

Das beinhaltet die Einführung von Informationssicherheitsma-

nagementsystemen nach ISO 270001, Planung und Durchführung

von Security Awareness Maßnahmen, Durchführung und Beglei-

tung von Penetrationstest und die Einführung von Sicherheitsmaß-

nahmen und Lösungen.

Kontakt:

Götz Weinmann

Tel.: +49 711 88770-123

E-Mail: goetz.weinmann@to.com

Thinking Objects GmbH

Lilienthalstraße 2/1

70825 Korntal-Münchingen

http://www.to.com

MAKING SERVICE MANAGEMENT HAPPEN

Garmischerstraße 1080339 München

Königstraße 2670173 Stuttgart

Baarerstraße 946300 Zug

Phone +49 89 18 93 655 30

Phone +49 711 18567 412

Phone +41 41 560 77 04

Email: wendia@wendia.deWeb: www.wendia.de

Email: wendia@wendia.deWeb: www.wendia.de

Email: info@wendia.chWeb: www.wendia.ch

WENDIA GMBH DEUTSCHLAND

WENDIA GMBH DEUTSCHLAND

WENDIA AG SCHWEIZ