Dies ist einer der Artikel aus einer Serie von Sicherheitstipps. Hier die Links zu den Themen:

Datensicherung – Notwendig? Übel? Unentbehrlich!

Sicherheit in Anwendungssystemen – Nützlich oder lästig?

Sicherheit im Internet, E-Mail und E-Commerce

Physikalische Sicherheit und Gebäudesicherheit als Vorstufe zur Informationssicherheit

Maßnahmen in der Netzwerkarchitektur zur Hebung der Informationssicherheit

Der sichere Betrieb von Notebooks und mobilen Systemen

Sicherheit in Anwendungssystemen – Nützlich oder lästig?

Die Einbettung der Sicherheit von Anwendungssystemen in das betriebliche Gesamtkonzept

Autor: Michael Krausz, C.I.S.-Auditor, Wien

Version 2003

Betriebliche Informationssicherheit muss auf vier Ebenen implementiert werden:

• Da wäre zunächst die physikalische Ebene, die die Verkabelung und die aktiven Netzwerkkomponenten wie Switches und Hubs umfasst. Wer auf dieser Ebene ein Maximum an Sicherheit implementieren möchte, würde Glasfaserkabel verwenden und peinlichst darauf achten, dass all jene Passwörter, die man in Switches und Hubs setzen kann auch gesetzt sind und regelmäßige Kontrollen der internen Logsdateien durchgeführt werden.

• Die nächste Ebene ist diejnige des Netzwerkbetriebssystems, das die Grundlage für das Arbeiten im Netzwerk bildet. Dazu zählt hier auch der Perimeter-Schutz, das sind Firewalls, Intrusion Detection Systeme und Router sowie Einwahlverbindungen wie Modems. Auf dieser Ebene sind beispielsweise die Passwörter der Benutzer angesiedelt, die Firewall- und die Proxypolicy, etc. Natürlich auch die Vergabe der Zugriffsrechte auf Ordner, die im Netzwerk freigegeben wurden.

• Die dritte Ebene ist nun diejenige, mit der sich dieser Artikel im folgenden intensiv auseinandersetzt, es ist diejenige der unternehmensweiten Anwendungssysteme, zu denen beispielsweise Datenbankapplikationen wie Buchhaltungssoftware, ERP-Systeme, Produktionssteuersysteme, aber auch lokal (auf einem PC) installierte Software zählt, sofern gesamtbetriebliche Aspekte zum Tragen kommen. Beispielsweise ist die Frage, wo die Vorlagen von MS Word gespeichert werden durchaus wichtig, da ja verhindert werden soll, dass Außenstehende Unfug mit Lieferscheinen, Rechnungen, oder ähnlichem treiben (und sei es nur ein gefälschtes internes Memo).

• Die vierte und letzte Ebene ist organisatorische, die vor allem innerbetriebliche Vorschriften und Prozeduren (beispielsweise abgeleitet aus ISO 9000 oder ISO 17799) enthält und sich damit vor allem mit Verfahrens- und Verhaltensaspekten befasst. Diese lassen sei hier nur kursorisch behandelt, auffällig ist jedoch, dass die Regelungsebene doch gewissermaßen die organisatorischen Grundlagen schafft, um die Handlungen und Investitionen der technischen Ebenen darunter zu rechtfertigen und zu veranlassen.

Grundsätzlich sei noch festgehalten, dass ein Sicherheitsproblem stets einer dieser Ebenen zugeordnet werden kann und dass ein Problem auf einer Ebene am besten mit Maßnahmen, die dieser Ebene zugeordnet sind, behoben werden kann. Es ist möglich ein Problem einer höheren Ebene durch Maßnahmen einer tieferen zu lösen oder zu verhindern, umgekehrt jedoch nicht. Ein kurzes Beispiel: Die Tatsache, dass beispielsweise die interne Richtlinie zur Passwortänderung nicht eingehalten wird, sollte eigentlich durch Schulung (und Motivation) behoben werden. Man kann die Benutzer durch die Mittel des Betriebssystems aber auch zwingen, ihre Passwörter regelmäßig zu ändern, die Existenz der Regel allein reicht jedoch nicht aus.

Ungewollter Datenverkehr von außen, als einfaches Beispiel, kann von einer entsprechenden Firewall-Regel verhindert werden (Problem und Lösung auf derselben Ebene).

Zu Ebene - die Anwendungssysteme

Doch zurück zu Ebene 3, derjenigen der Anwendungssysteme. Zwei Dinge müssen zunächst ins Bewusstsein zurückgerufen werden:

(1) Betriebliche Anwendungssysteme enthalten praktisch immer kritische Daten. Werden diese Daten beschädigt, zerstört oder verfälscht (2) Es sollten möglichst technische Lösungen zur Hebung der Sicherheit verwendet werden, keine organisatorischen. Diese Anforderung stammt daher, dass meist verschiedene Systeme eingesetzt werden, die alle eigene Sicherheitsmechanismen verwenden und daher den End-Anwender auch überfordern können. So ist bekannt, dass in Großbetrieben bis zu 15 verschiedene Systeme von einem Anwender bedient werden müssen, um der täglichen Arbeit nachkommen zu können. Es grenzt schon sehr an Folter, von den Anwendern zu verlangen, diese 15 Passwörter regelmäßig zu ändern und auch noch die Kriterien eines starken Passworts anzulegen. – Eine technische Lösung, die beispielsweise Single-Sign-On (das heisst die Anmeldung an allen Systemen mit nur einem Passwort) ermöglicht, stellt die bestgeeignete dar, unter Verwendung des Prinzips „Passwort“ den Zugang zu diesen Systemen abzusichern. Die Lösung ist also im Grunde eine rein technische.

Was tun?

Welche Leitlinien existieren, um einerseits die Sicherheit von Anwendungssystemen zu erhöhen und gleichzeitig die Benutzer nicht über Gebühr zu belästigen?

(1) Need-to-Know Prinzip

Grundsätzlich sollten Rechte in einem Anwendungssystem immer so vergeben werden, dass sie der Rolle bzw. Funktion des Benutzers entsprechen. Kein User sollte mehr Rechte haben, als zur Erfüllung seiner Aufgabe unbedingt notwendig. Da Anwendungssysteme eher selten anfällig sind für sogenannte Vulnerabilities, die unberechtigten Zugriff ermöglichen, wird durch die Beschränkung der Rechte auf das Notwendige Minimum vor allem eine sehr gute Unterscheidungsmöglichkeit zwischen Irrtümern und absichtlichen Fehleingaben bzw. Missbrauch geschaffen. In der Praxis muss man dann auch die Flexibilität aufbringen, auf geänderte Anforderungen (beispielsweise durch Arbeitsplatzwechsel, hinzukommende Verantwortung, geänderte Verantwortungsbereiche) rasch und flexibel zu reagieren. Dabei ist jedoch einer vorhergehende sorgfältige Analyse notwendig, da nicht alle Anwendungssysteme flexibel genug sind, um rasche und leichte Wechsel in der Berechtigungsstruktur zu erlauben, in den meisten und weit verbreiteten ist es jedoch kaum ein Problem.

(2) Schnittstellen nach außen

Manche Systeme bieten Schnittstellen nach außen an, beispielsweise über eine Modem-Verbindung zum Hersteller. Meist werden damit Wartungszugänge realisiert, womit aber grundsätzliche zwei besondere Gefährdungsszenarien geschaffen werden:

• ein Mitarbeiter des wartenden Unternehmens beschädigt Daten oder liest unberechtigt Daten aus.
• Das wartende Unternehmen wird von einem Hacker durchdrungen und dieser kann nun den Wartungszugang in Ihr Unternehmen nutzen.

Um diese Bedrohungen und deren Folgen zu vermeiden sollten die folgenden Regeln eingehalten werden:

• keine Wartung ohne vorherige Ankündigung. Die Benutzer-Accounts des Wartungsunternehmens bleiben grundsätzlich gesperrt und werden zum Zwecke der Wartung wieder aktiviert, nach Abschluss wieder deaktiviert.
• Auf Modems verzichten, statt dessen VPN Verbindungen verwenden. Durch die Verwendung von Virtuellen Privaten Netzen (VPN), wird die Verbindung zum wartenden Unternehmen durch Verschlüsselung gesichert und ist gleichzeitig nur mehr von bestimmten IP-Netzen aus möglich. Ein Modem kann prinzipiell von jedem angerufen werden. Moderne Firewalls sind typischerweise auch VPN-fähig, sodass die Errichtung kaum mit technischem Aufwand verbunden ist. Warnenderweise sei gesagt, dass jedoch oft Kompatibilitätsprobleme zwischen Geräten verschiedener Hersteller auftreten, sodass man unter Umständen vom Anbieter des Anwendungssystems verlangen muss, die VPN Endgeräte selbst zur Verfügung zu stellen. Es gibt kein vernünftiges Argument für einen Anbieter, dies zu verweigern, da entsprechende Geräte bereits sehr günstig beschafft werden können (ab ca. 400 Euro) und diese Kosten im Verhältnis zu den Implementierungskosten der meisten Anwendungssysteme nicht wirklich ins Gewicht fallen.

(3) Vorhandene Mechanismen nutzen

Viele Anwendungssysteme, wie beispielsweise SAP, aber auch andere ERP-Systeme, haben eingebaute Mechanismen, um Benutzerrollen und –rechte effizient vergeben zu können.Oft bleiben diese aber ungenutzt, meist um die Benutzer nicht zu sehr mit Passwörtern und Berechtigungen zu belästigen, was aber leider ein gefährlicher Weg ist. Wie schon oben erwähnt, wird durch schleissige Rechtvergabe vor allem dem Datendiebstahl Vorschub geleistet, so könnten beispielsweise Anbote für wichtige Ausschreibungen zur Konkurrenz gelangen, etc.

Grundsätzlich ist zu empfehlen, sich noch in der Implementierungsphase mit den Möglichkeiten, Rechte zu vergeben und das Need-to-Know Prinzip [siehe oben Pkt(1)] zu implementieren intensiv auseinanderzusetzen und nach einer gründlichen Analyse die vom System zur Verfügung gestellten Mechanismen bestmöglich auszuschöpfen.

Eventuelle Kompromisse sind ja durchaus möglich, man sollte aber die Konsequenzen dann genau kennen und wissen, ob und welche Gefährdungen man zugunsten von mehr Bequemlichkeit in Kauf genommen hat. In der Praxis hat sich jedoch bewahrheitet, dass eine gründliche Analyse zumeist zu sehr effizienten und für alle akzeptablen Lösungen führt.

(4) 4-Augen Prinzip und externe Audits

Hat man nun die Möglichkeiten des Anwendungssystems bestmöglich ausgeschöpft, so sollte man nicht vergessen, die implementierten Maßnahmen regelmäßig zu überprüfen, indem ein andere Mitarbeiter beispielsweise Log-Dateien kontrolliert, Abläufe versucht nachzuvollziehen, etc. Das 4-Augen-Prinzip, d.h. die Aufteilung der Verantwortung oder die begleitende Kontrolle, bietet hervorragenden praktischen Schutz gegen menschliche Fehlhandlungen und erleichtert deren Erkennung und Aufklärung. Zumeist wird der Einsatz des 4-Augen-Prinzips auch von den Mitarbeitern selbst begrüßt, da dadurch auch ein sehr wirksamer Schutz gegen falsche Anschuldigungen verwirklicht wird.

Ergänzend kann man noch externe Experten beispielsweise einmal pro halbem Jahr heranziehen, um die Ergebnisse der internen Kontrollverfahren zu verifizieren. Die Häufigkeit sollte sich hierbei ganz nach den betrieblichen Erfordernissen richten, manchmal kann ein Besuch im Monat zielführender sein, oft genügt aber auch ein jährlicher Besuch des externen Auditors.

(5) Behalten Sie die Kontrolle

Mit der Implementierung eines Anwendungssystems wird auch eine Abhängigkeit vom Hersteller und dessen Implementierungspartnern geschaffen. Lassen Sie es nicht so weit kommen, dass jede Änderung am System nur von einem Wartungspartner durchgeführt werden kann und Sie selbst nur mehr wenig Überblick darüber haben, was das System tut oder nicht tut. Bauen Sie im Betrieb Know-How auf und haben Sie stets einen (besser: zwei) Mitarbeiter zur Verfügung, die zum Systemverhalten Rede und Antwort stehen können. Sie sichern sich damit alle Vorteile, falls es zu Störungen kommt oder auch zu Diskussionen um vertragliche Aspekte mit dem Hersteller oder Wartungsunternehmen. Im besten Fall wurde die Implementierung bereits in enger Kooperation mit den zuständigen und betroffenen Mitarbeitern durchgeführt, sodass alle einen groben Überblick über das System haben sowie jenes Detailwissen, dass für die jeweilige Funktion notwendig ist. Damit halten Sie dann die Trümpfe in der Hand.

Anwendungssysteme sind heute zentrale Bestandteile der betrieblichen Infrastruktur und bieten, da sie selbst oft ungeschützt sind, hervorragende Angriffspunkte für Malversationen aller Art mit Ihren Daten. Denn zu leicht gibt man der Versuchung nach, sich auf die Sicherheitsmaßnahmen der anderen Ebenen zu verlassen. Wenn Sie die obigen Punkte umsetzen, werden Sie jedoch rasch merken, dass erhöhte Sicherheit sich eigentlich leicht und strukturiert umsetzen lässt, sodass Eindringlinge vor einer zusätzlichen Schutzmauer stehen, die sich als undurchdringlich erweisen kann.

Mehr zu diesem Thema auf dieser Website:

• mehrere Artikel zum Thema "Lausige Software"
• eine umfassende Auflistung von sehr empfohlenen Sicherheitsmaßnahmen.

http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf dieser Seite liegt bei Michael Krausz.