Jens Libmann - INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle

Die Revision führt die rückwirkende Betrachtung vergangener Geschäftsfälle durch. Mögliche Fehler werden untersucht und die Klärung des Sachverhaltes angestrebt. Die Ergebnisse der Prüftätigkeit erfolgen direkt an die Geschäftsführung. Da die Revision per Definition aufgrund der Erhebungsresultate nur Empfehlungen aussprechen kann, aber grundsätzlich nicht operativ tätig wird, ist eine enge Zusammenarbeit mit dem zentralen Sicherheitsmanagement notwendig. Aus diesem Grund ist diese Abteilung auf jeden Fall im InfSecC vertreten.

Als Hauptaufgaben sind hier stichwortartig angeführt:

1 Prüfung der Ordnungsmäßigkeit nach den gesetzlichen Bestimmungen.

1 Aufbau, Kontrolle und Verbesserung des internen Kontrollsystems (IKS).

1 Vorschläge zur Verbesserung des Berichtswesens, der Informationsqualität und -sicherheit.

1 Check der Rationalisierung und Wirtschaftlichkeit der Ablauforganisation.

Der Umfang der Prüfungen erstreckt sich über Finanz- und Rechnungswesen, und führt über die Prozessabläufe bis zur inhaltlichen und formellen Kontrolle unternehmerischer Entscheidungen. Im Speziellen finden folgende Vorgehensweisen Verwendung:

1 Eingaben werden mit den Ergebnissen verglichen. Dabei bleibt das verarbeitende System mehr oder weniger unberücksichtigt.

1 Die Funktionsweise des Werkzeuges wird nachvollzogen, indem Verarbeitungsvorgänge genau betrachtet werden. Dies erfolgt mittels Überprüfung einzelner Fälle oder des gesamten Systems.

Zur Erlangung aller notwendigen Informationen verfügt die Revision über ein geregeltes Informationsrecht, das üblicherweise - ähnlich der InfSec-Policy - schriftlich festgehalten wird. Aufgrund dessen sind alle Stellen innerhalb der Firma verpflichtet, Auskunft zu erteilen.

Das InfSecC setzt sich in unserem Beispiel hauptsächlich aus erforderlichen Experten zusammen. Zusätzlich bildet es weitere Matrixorganisationen. Als Bezeichnung für jede dieser Gruppierungen wurde „Emergency Response Team“ gewählt.

Diese Vereinigung ist in Form einer Ablauforganisation organisiert. Sie umfasst alle Personen, zu deren Aufgaben zählt, rund um die Uhr die Sicherheitssysteme zu beobachten. Im Anlassfall wird auf sicherheitsrelevante Vorfälle sofort reagiert.

Die Etablierung und Handhabung von ERTs sind - wie alle anderen beschriebenen personellen Ressourcen - natürlich von der Größe des Unternehmens und dessen Sicherheitspolitik abhängig. In großen Konzernen wird dafür eigens eine Abteilung ins Leben gerufen. In kleineren Betrieben ist eine derartige Gruppe eher virtuell organisiert und enthält Mitarbeiter verschiedener Abteilungen. Sinnvollerweise schließen sich dabei Teilnehmer aus sich ergänzenden Funktionsgebieten zusammen. Meistens sind die originären Hauptaufgaben der in Frage kommenden Teammitglieder ohnedies bereits Betreuung, Service und Monitoring von Hard- und Softwareeinrichtungen. Die explizite Zusammenlegung dieser einzelnen Positionen zu einem ERT dient der besseren Koordination und effektivem Notfallhandling.

Zur Erläuterung sollen zwei signifikante Veranschaulichungen dienen:

1 Eine Einheit beinhaltet je einen Spezialisten für Netzwerk, Firewall, Virenschutz, Operating, Mail- und Betriebssysteme. Technische Hilfsmittel überwachen permanent die Funktionen der betreuten Anlagen. Angenommen, ein Monitoring-Tool signalisiert Alarm, weil etwa durch einen Virus eine Überlastung des Firmennetzes oder der Computeranlage droht, dann treten die erforderlichen Mitarbeiter des ERTs unverzüglich in Aktion.

2 Ein anderes Einsatzteam wird durch Spezialisten der Hausverwaltung, des Werkschutzes, der Haustechnik und des Arbeitsschutzes gebildet. Schlägt beispielsweise eine Alarmanlage an, dann wird zuerst der Ursache nachgegangen. Zur Behebung des Vorfalls mitsamt seinen Folgen bildet sich anschließend die dafür notwendige Crew.

Wie aus den Erklärungen ersichtlich, treten ERT-Gruppen hauptsächlich im Anlassfall zusammen. Alle Mitglieder gehen grundsätzlich ihrer eigentlichen Tätigkeit nach. Wenn ein Notfall eintritt, alarmiert derjenige, in dessen Bereich die Schwierigkeiten aufgetreten sind, direkt die anderen Kollegen. Bewährt hat sich hierbei die Verwendung einer zentralen Leitstelle. Zu deren Aufgabe zählt, das erforderliche Personal zusammenzurufen. Vorteilhaft ist eine derartige Einrichtung vor allem an arbeitsfreien Zeiten. In diesem Fall ist es üblicherweise so, dass alle Alarmsysteme zentral an eine Sicherheitszentrale melden, die rund um die Uhr besetzt ist. Von dort aus werden die benötigten Experten verständigt. Voraussetzung ist natürlich eine geregelte Rufbereitschaft.

Sinn eines ERT ist in erster Linie, im Notfall geordnet und schnell zu reagieren. Die Gruppe reagiert autonom und koordiniert sich eigenständig. Dazu bedarf es verschiedener regulativer Rahmenbedingungen. Zu nennen sind hier etwa Katastrophenplan, Notfall-Handbuch, oder Eskalationsprozeduren, die später noch genauer beschrieben werden. Erst mit Hilfe solider Arbeitsgrundlagen kann ein Notfallteam seine Aufgaben wirksam bewältigen.

Der Berichtsweg innerhalb eines Response Teams verläuft zuerst in der Linie. Das heißt, der direkte Vorgesetzte ist primär für seine Mitarbeiter verantwortlich. Im Rahmen des InfSecCs, in das ein ERT ja eingebettet ist, erfolgt die Berichtserstattung an den InfSec-Beauftragten.

Zusammenfassend sind die wichtigsten Aufgaben eines ERTs aufgezählt:

1 Permanente Prüfung der realisierten Maßnahmen auf Übereinstimmung mit der gültigen Sicherheitspolitik.

1 Monitoring, Wartung, Administration und Betreuung der Sicherheitseinrichtungen (Zutrittsanlage, Video, Netzwerk, Firewall, Virenwächter und Sonstiges).

1 Reaktion auf Gefahrensituationen.

1 Aufzeichnen und Auswerten von in der InfSec-Policy definierten Ereignissen.

1 Erstuntersuchung der Ursachen und Auswirkungen von Vorfällen.

1 Erkennen neuer Sicherheitsanforderungen.

1 Durchführen sicherheitsrelevanter Hardware- oder Softwareinstallationen sowie deren Update.

1 Test, Prüfung, Evaluierung und Zertifizierung neuer Systeme.

1 Markt- und Szenebeobachtung (etwa via Sicherheitsbulletins, Newsgroups und dergleichen).

1 Austausch von Informationen mit anderen Interessensgruppen.

1 Dokumentation, Berichterstattung.

Nicht direkt dem Betrieb zugehöriges Personal wird im Sicherheitsbereich meistens für kurz- und mittelfristige Tätigkeiten eingesetzt. Klassisches Beispiel hierfür ist die Durchführung einzelner Sicherheitsprojekte durch spezielle Anbieter. Zunehmend werden zumindest für Teilbereiche Sicherheitsleistungen auch längerfristig zugekauft. In diesem Fall lässt sich bereits von Outsourcing sprechen.

Ein Zeitraum von wenigen Tagen bis zu einem Jahr wird hier als kurz- bis mittelfristig bezeichnet. Konkret betrifft ein derartiger Einsatz in den meisten Fällen Überprüfungen durch unternehmensfremde Stellen. Externes Auditing etwa erfolgt nicht permanent, sondern nur im Anlassfall. Ein Beispiel wäre, wenn die Geschäftsleitung den Auftrag erteilt, die Sicherheit der Computersysteme zu überprüfen. Hierzu wird ein geeigneter Anbieter engagiert, einen sogenannten „Penetration-Test“ durchzuführen. Dabei wird ein Computernetzwerk auf Herz und Nieren getestet. Spezielle Programme durchleuchten das System auf Sicherheitsschwachstellen. Meistens benutzt der Auftragnehmer die gleichen Werkzeuge und Tricks, die ein echter Hacker anwenden würde 53. Mittlerweile offeriert eine Reihe von Unternehmen Sicherheitsüberprüfungen aller Art.

Manche Anbieter prüfen nicht nur die Technik, sondern auch physische Mängel oder die Schwachstelle Mensch. Dabei bemühen sie sich, unversperrte Türen zu entdecken oder Mitarbeiter ausfindig zu machen, die fremden Anrufern ohne weiteres ihr Kennwort mitteilen. Durch aufgespürte Schwächen wäre es im Ernstfall auch einem Angreifer möglich, in das Unternehmen einzudringen.