Worum geht es?
Wenn Systeme, Netzwerke oder Anwendungen ausfallen oder Störungen verursachen, sollten Verantwortliche dies zeitnah bemerken, um so schnell wie nötig reagieren zu können. So besteht gegebenenfalls wenigstens noch die Möglichkeit, größere Störungen und Ausfälle zu vermeiden, bevor die gesamte Belegschaft beim Support anruft, dass dies oder jenes nicht mehr funktioniert.
Zumindest rückblickend ließen sich viele IT-Sicherheitsvorfälle auch vermeiden, wenn nur die Organisation eine ungünstige Entwicklung rechtzeitig mitbekommen hätte. Das häufig in der Praxis zu hörende Argument, dass ja immer schnell und professionell auf jegliche Störung reagiert würde, greift nicht wirklich. Ist ein System erst einmal ausgefallen, ist das meist deutlich unangenehmer als wenn der Ausfall nicht eingetreten wäre. Bei einem noch laufenden Server mit nur fast voller Festplatte lässt sich im Zweifel noch deutlich einfacher etwas unternehmen als bei einem abgestürzten, eingefrorenen System, auf dem kein Byte Speicherplatz mehr übrig ist.
Es geht also nicht nur darum, festzustellen, dass ein kritischer Wert überschritten wurde oder ein Sicherheitsereignis eingetreten ist, sondern auch bereits die Anzeichen zu erkennen, dass dies möglicherweise bevorsteht.
Was empfiehlt die ISO 27002?
Die Norm gibt in Kapitel 8.15 Vorschläge dahingehend, an welchen Stellen und was überwacht werden soll.
Danach ist es sinnvoll, an folgenden Punkten mit der Überwachung einzusetzen:
- Ein- und ausgehender Netzwerkverkehr
- Zugang zu den zentralen bzw. kritischen Teilen der IT-Infrastruktur
- Inhalte der Protokolle der eingesetzten Sicherheitslösungen (insbesondere Firewall, Antimalware, IDS/IPS)
- Ereignisprotokolle
- Ausführung von zugelassenem (signiertem) Code
- Ressourcennutzung (insbesondere Auslastung von Prozessoren, Speicher und Netzwerk)
Nicht explizit genannt, aber sinnvoll wäre es beispielsweise auch, den Zustand einer Alarmanlage, die Raum- oder Gerätetemperatur, die Luftfeuchtigkeit, die Öffnung oder den Verschluss von Geräten oder Türen und auch Fenstern zu überwachen. Eine gründliche Auseinandersetzung mit den Empfehlungen, was überwacht werden soll, kann hier zusätzliche Ansatzpunkte bieten.
Die eigentlich zentralen Überlegungen sind nämlich: Was ist im Rahmen einer typischen Benutzung mit den möglicherweise noch üblichen Schwankungen zu erwarten? Und wann sind die entsprechenden Werte zu erwarten?
Um ein greifbares Beispiel zu bilden: Welche Prozessorlast oder welche übertragenen Datenvolumen sind noch normal und welche nicht – und gilt dies auch außerhalb der Geschäftszeiten? Werden IT-Komponenten erneuert oder aber neue Anwendungen eingesetzt, müssen die Normalwerte überdacht werden und Anpassungen erfolgt.
Die Herausforderung besteht damit primär in der Bestimmung, welche Zustände überhaupt überwacht werden sollen und von welchen Abweichungen man – gegebenenfalls auch mit Priorität – erfahren will. Von der ISO 27002 vorgeschlagen sind unter anderem folgende:
- ungeplante Beendigung von Prozessen oder Anwendungen
- typischerweise von Schadsoftware verursachte Effekte. So kann ungewöhnlicher Datenverkehr Hinweise liefern, erst recht, wenn eine Verbindung zu bekannten Botnetzen oder Kontrollservern aufgebaut wird.
- Ungewöhnliche und insbesondere unbefugte Zugriffe auf Systeme oder Daten
- Unbefugte Scans von Netzwerken oder Anwendungen und Systemen
- Ungewöhnliches Verhalten von Benutzern oder Systemen. So kann beispielsweise allein schon die Zeit und der Ausgangsort eines Anmeldeversuchs einen deutlichen Hinweis auf Missbrauch geben. Aber auch untypische Latenzen im Netzwerk haben möglicherweise Ursache, der nachgegangen werden sollte.
Für ein wirksames Monitoring entscheidend ist auch, dass keine relevanten Ereignisse übersehen werden. In aller Regel wird eine laufende Überwachung notwendig sein und es ist nicht ausreichend, lediglich ab und zu Stichprobenkontrollen zu machen. Die eingesetzten Lösungen müssen also in der Lage sein, in Echtzeit aus einer gegebenenfalls sehr großen Zahl auftretender Ereignisse die relevanten herauszufinden und dann nach vorbestimmten Regeln darauf zu reagieren.
Je nach Kritikalität eines Ereignisses muss auch dafür Sorge getragen werden, dass die verantwortlichen Personen unverzüglich und zuverlässig informiert werden. Die automatisiert verschickte E-Mail, die erst am nächsten Werktag gelesen wird, kann zu spät sein. In kritischen Fällen sollte etwa an eine Benachrichtigung mehrere Personen per SMS gedacht werden. Möglicherweise muss auch die dauernde Erreichbarkeit von Ansprechpartnern sichergestellt sein. Teilweise bieten etwa auch Wachdienste an, entsprechende Meldungen entgegenzunehmen und dann an Ansprechpartner telefonisch weiterzuleiten.
Die aufzubauenden Prozesse können durch ergänzende Maßnahmen noch verbessert werden, teilweise sogar recht einfach. Eine gepflegte Black- oder Whitelist, mit der die Möglichkeit kontrolliert wird, überhaupt eine Netzwerkverbindung aufzubauen, erledigt gegebenenfalls bereits einen nicht unerheblichen Anteil dessen, was ansonsten überwacht werden müsste. Auch die Durchführung von Schwachstellentests und anderen Sicherheitsbeurteilungen hilft dabei, dass Monitoring zu entschlacken. Wenn die Ursache für bestimmte unerwünschte Ereignisse beseitigt wurde, belasten diese auch nicht mehr die Überwachung.
Fazit
Vorsorge ist besser als Nachsorge gilt auch in Bezug auf die Informationssicherheit. Organisationen tun sich jedoch erfahrungsgemäß schwer damit, einen den eigenen Anforderungen entsprechenden Monitoringprozess zu etablieren.
Verantwortliche können hier zwar meist noch in etwa sagen, welche Ausfälle bzw. Störungen für sie kritisch sind. Dann aber festzulegen, auf welche Indizien automatisiert geachtet werden muss und auch dafür zu sorgen, dass die zuständigen Personen tatsächlich zeitnah handeln können, überfordert die Beteiligten doch oft. Nicht selten fehlt bereits eine genauere Vorstellung davon, was man überhaupt messen und überwachen könnte.