Österreich

Web-Systeme gegen Hacking schützen – mit ISO 27001

 

Risiko-Hot-Spots definieren und mit ISO-27001-Prozessen systematisch „abdichten“.
Offener Umgang mit Fehlern notwendig.
(NL - Dez 2011)

 

 

d01_Geyer_webDas Jahr 2011 war geprägt von spektakulären Hacking-Angriffen – laut Experten war dies die größte Serie von Web-Attacken in der Geschichte. Unter den anvisierten Zielen befinden sich große Organisationen wie die Spielkonsolenhersteller Sony oder Nintendo, der CIA oder das Landeskriminalamt in Köln. In Österreich waren die Bereiche Politik und Gesundheit betroffen. Wie Websicherheit mit Hilfe des internationalen Standards für Informationssicherheit ISO/IEC 27001 in den Griff zu bekommen ist, schildert Herfried Geyer, Security-Auditor der Zertifizierungsorganisation CIS, im Interview.

Herr Geyer, warum sind auch große Organisationen, die viel für Sicherheit aufwenden, immer wieder angreifbar?
Die Annahme, dass bei großen Organisationen generell viel für die Web-Sicherheit getan wird, ist so nicht haltbar. Es steht selten die Sicherheit eines Webportals, sondern meist die Funktionalität und Rentabilität im Vordergrund. Dazu kommt, dass es sich oft um gewachsene Strukturen handelt, die vor Jahren nicht primär auf Sicherheit ausgelegt wurden. Security by Design ist nur bei Neuprojekten realisierbar.
 

Und der Faktor Mensch?
Laut Studien werden die meisten Datenpannen möglich durch Systemfehler oder „Schlamperei“ von Mitarbeitern. Man könnte auch sagen: Sparsamkeit an der falschen Stelle. Trägheit und Vergesslichkeit liegen in der Natur des Menschen und sind ohne verbindliche Policies und Prozesse etwa für Updates, Changes, Patches und Tests nicht in den Griff zu bekommen. Hier hilft der Standard für Informationssicherheit ISO 27001 mit seinem Prozessdenken, Wirksamkeitskontrollen und zirkulärer Verbesserung von Sicherheitsmaßnahmen. So dürfen IT-Admins nicht einfach „kurz die Verschlüsselung abdrehen, um schnell was zu testen“.
 

Welche Schwachstellen tun sich durch aktuelle Technologien auf?
Dazu gehören Smartphones, auf denen nicht nur ganze Unternehmensdatenbanken mitgenommen werden, sondern über die auch Angreifer in das Firmennetz einbrechen können. Um einen PDA zu synchronisieren, müssen Domain-Account mit Kennung und Passwort auf dem mobilen Gerät liegen. Über unsichere Mobile-Betriebssysteme können Hacker die Zugangsdaten zum Firmennetz relativ leicht auslesen. Solche Technologien gehören gemäß ISO 27001 klassifiziert und mittels Verschlüsselung gesichert oder für bestimmte Geschäftsfälle gesperrt.
 

Mit welchen Konzepten lassen sich Web-Portale "abdichten"?
Auf einer frequentierten Autobahn kann schneller ein Unfall passieren, als aud01_hacking_webf einer ruhigen Nebenstraße. Gemäß dieser Logik ist Websicherheit eng mit dem heterogenen Risikoansatz aus der Security-Norm ISO 27001 verbunden. Demnach sollten Unternehmen wichtige „Risiko-Hot-Spots“ innerhalb der Organisation definieren, für die dann wirksame Sicherheitsmaßnahmen zu evaluieren sind. Bei kritischen Webplattformen, im Sinne des DSG, muss sich das Thema Sicherheit durch den gesamten Lifecycle ziehen – von der Planung, über die Inbetriebnahme bis zur permanenten Anpassung an neue Bedrohungen. Vergleichbar mit moderner Verkehrstelematik auf hochrangigen Straßen. Aus der Risikoanalyse nach ISO 27001 und der damit verbundenen Datenklassifizierung leitet sich auch ab, mit welcher Authentifizierungsmethode ein Webportal zu sichern ist. Sensible Bereiche auf jeden Fall mit 3-Faktor-Authentifizierung, etwa mittels Smart Card / PKI oder Einmal-Token.
 

Wie ist technische Websicherheit laut ISO 27001 umzusetzen?
Es kommt auf das Web-System an. Ein Partner-Extranet mit begrenzten Zugriffen ist leichter zu sichern als ein öffentliches Portal mit zahlreichen Applikationen und Schnittstellen. Generell gibt ISO 27001 keine Technologien vor, sondern bietet ein Rahmenwerk zum Erreichen notwendiger Sicherheitsziele. Für den pro-ativen Schutz kommen in der Regel Intrusion-Prevention-Lösungen und Penetration Tests zum Einsatz, die zwar gegen Massenangriffe schützen, aber bei gezielten Attacken mit nur wenigen Schadbefehlen häufig zahnlos sind. Um Schwachstellen bei Websystemen punktgenau aufzuzeigen, hilft Intelligentes Log File Management. Diese Lösungen können mittels komplexer Analysen Event-Logs auch bei wenigen Schadzugriffen eruieren. So wird das re-aktive Abdichten von Schwachstellen möglich. Auch Unregelmäßigkeiten oder missglückte Angriffe werden aufgezeigt. Web-Attacken kommen häufiger vor, als man annehmen möchte. Zum Kreis der Angreifer zählen harmlose Spaß-Hacker genauso wie global positionierte Rechner, über die Daten abgesaugt werden sollen, um sie im Internet zu verkaufen.
 

Die Frage ist wohl, wie man im Unternehmen mit solchen Erkenntnissen umgeht…
Genau das ist der Punkt. ISO 27001 fordert zu einem offenen Umgang mit Fehlern auf – ein sensibles Thema, da es der Mensch naturgemäß vorzieht Fehler zu verstecken. Deshalb wendet man im Rahmen eines Security-Systems nach ISO 27001 für kritische Bereiche das Vier- oder Mehr-Augen-Prinzip an, welches hilft, einerseits Fehler oder kriminelle Handlungen zu minimieren und andererseits entstandene Fehler zu melden, um sie adäquat und zeitnah zu bearbeiten. Gleichzeitig schützt die Zertifizierung nach der Norm aber auch die Verantwortlichen, da sie belegt, dass nach bestem Wissen und nach dem Stand der Technik sorgfältig vorgegangen wird.


Dipl.-Ing. Herfried Geyer ist Berater im Bereich Informationssicherheit und fungiert als Auditor und Trainer der Zertifizierungsorganisation CIS, für Security-Systeme nach ISO 27001.

 

 

CIS - Certification & Information
Security Services GmbH
Salztorgasse 2/6/14
A-1010 Wien
Tel: +43 (0)1 532 98 90
Email: office@cis-cert.com
Web: www.cis-cert.com
 

 






 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB