Your SlideShare is downloading. ×
CYBERSECURITYALS STRATEGISCHEHERAUSFORDERUNG:DER CSC SECURITY STACK                 Whitepaper
Dieses Whitepaper basiert auf dem englischen Original „The SecurityStack – A Model for understanding the Cybersecurity we ...
s                                DER CSC SECURITY STACKEINLEITUNGDie Angriffe auf IT-Systeme von Unternehmen, Verwaltungen...
DIE CSC SECURITY STACKDER CSC SECURITY STACKIn diesem Whitepaper stellen wir ein vierschichtiges Modell,den Security Stack...
DER CSC SECURITY STACK                     EINFÜHRUNG – WAS IST EIN SECURITY STACK,                     UND WOFÜR BRAUCHEN...
DER CSC SECURITY STACK                                   des Netzes nicht abdecken. Deshalb musste Microsoft 2003         ...
DER CSC SECURITY STACK                     Maßnahmen ermöglichen den Schutz der nationalen Souve-                     räni...
DER CSC SECURITY STACK                    diesen Informationen zählen Status-Reports (Ebene 1 an 2)                    an ...
DER CSC SECURITY STACKheitssystemen wie Virenscanner, HIDS, Festplattenverschlüs-selung, Endpoint Protection, Data Loss Pr...
DER CSC SECURITY STACK                       tokolle) und unvollständige Filterregeln. Allerdings bemüht die              ...
DER CSC SECURITY STACK„Situationsbewusstsein” auch auf nationaler Ebene erreichtwerden kann.Ebene 4 kommt beispielsweise z...
DER CSC SECURITY STACK                                  DER SECURITY STACK IM VERHÄLTNIS ZU                               ...
DER CSC SECURITY STACK                      DIE VORTEILE DES SECURITY-STACK-MODELLS                      Modellhafte Betra...
DER CSC SECURITY STACKZUSAMMENFASSUNGUnsere IT-Systeme zeichnen sich durch zunehmende Komp-lexität aus. Darüber hinaus sin...
DER CSC SECURITY STACKDIE AUTORENDr. Goswin Eisen ist Leiter des Competence Centers „Cy-bersecurity“ bei CSC in Deutschlan...
DER CSC SECURITY STACK                  12
CSC weltweit                                                      CSC in ZentraleuropaAmerikaCorporate Headquarter USA    ...
Upcoming SlideShare
Loading in...5
×

Cybersecurity als strategische Herausforderung

682

Published on

In diesem Whitepaper stellen wir ein vierschichtiges Modell, den Security Stack, vor. Er soll die Komplexität der Cybersecurity-Problematik verdeutlichen und umfassende, effiziente Lösungen aufzeigen.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
682
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Cybersecurity als strategische Herausforderung"

  1. 1. CYBERSECURITYALS STRATEGISCHEHERAUSFORDERUNG:DER CSC SECURITY STACK Whitepaper
  2. 2. Dieses Whitepaper basiert auf dem englischen Original „The SecurityStack – A Model for understanding the Cybersecurity we need“ undwurde sowohl sprachlich als auch inhaltlich dem deutschsprachigenRaum angepasst.Autoren der Originalfassung sind Carlos Solari, Vice President of Cy-ber Technology and Services bei CSC, Dean Weber, Director und Cy-ber Solutions Architect bei CSC USA, Victor Harrison, Leiter der CSCUS Public Sector Distinguished Engineering Group.Das Original kann unter folgender Adresse bezogen werden:http://www.csc.com/cybersecurity/insights/53094-the_security_stack_a_white_paper
  3. 3. s DER CSC SECURITY STACKEINLEITUNGDie Angriffe auf IT-Systeme von Unternehmen, Verwaltungen undRegierungen haben sich in jüngster Zeit deutlich verändert. Vorallem der Stuxnet-Wurm markierte 2010 den Beginn einer neuenÄra für IT-Bedrohungen. Er wurde von Experten gezielt darauf prog-rammiert, Sicherheitslücken einer ganz speziellen IT-Infrastrukturauszunutzen und ganze Computersysteme zu sabotieren.Seitdem wird fast täglich über Vorfälle von Industriespionage undCyberwar in den Medien berichtet. Galt es früher, lokale Netze undSysteme zu schützen, die allenfalls von einzelnen Hackern bedrohtwurden (Perimeterschutz, der „Burggraben“-Ansatz), so haben sichdie Cybersecurity-Anforderungen heute vor allem in technischer,motivischer und rechtlicher Hinsicht geändert. Wir brauchen dem-nach auch eine neue Art, über diese Bedrohungen nachzudenkenund zu handeln.Technische Innovationen wie quasi allgegenwärtiger (mobiler) Inter-netzugang und Cloud Computing oder auch der „Bring your owndevice“-Ansatz haben zu einer räumlichen Verteilung der zu vertei-digenden Infrastruktur geführt. Gleichzeitig haben sich die Motiveund damit das Angriffspotenzial verändert. Während früher Hobby-Hacker bekannte Schwachstellen über vorgefertigte Tools ausnutz-ten, attackieren heute gut organisierte Banden oder gar staatlichunterstützte Spione gezielt sensible Systeme. Mit dem Schlagwort„Advanced Persistent Threats“ etwa werden Bedrohungen bezeich-net, in denen der Angriff nicht „frontal“ und offensichtlich, sondernsehr geschickt und zurückhaltend, dafür jedoch über einen langenZeitraum und auf strategische Ziele fokussiert erfolgt. Dahinter ste-cken mächtige Organisationen, Firmen im aggressiven Wettbewerboder Geheimdienste, die ein ganz spezielles Ziel mit diesem Angriffverfolgen und unbedingt erreichen wollen. Die Firma RSA ist z. B.überzeugt, dass der gegen sie gerichtete bekannte Angriff 2011 aufeinen staatlichen Geheimdienst zurückzuführen ist. In rechtlicherHinsicht schließlich sind Unternehmen und Organisationen heuteimmer häufiger mit zunehmenden staatlichen Regulierungsaktivitä-ten konfrontiert, etwa beim neuen Energiesicherheitsgesetz.Angesichts der neuen Herausforderungen zeigt sich, dass die Si-cherung unternehmens- und verwaltungsrelevanter Prozesse undDaten heute eine strategische Herausforderung geworden ist, dienicht allein durch Einzelmaßnahmen abgedeckt werden kann.Nur ein umfassender Ansatz, der alle Schutzmaßnahmen integriert,kann das Funktionieren von Geschäfts- und Verwaltungsprozessennachhaltig gewährleisten. Die entscheidende Frage für Politik, Ver-waltung und Wirtschaft lautet somit nicht mehr „Wie schütze ichmeine lokalen IT-Systeme?“, sondern „Wie sichere ich ganzheitlichund möglichst proaktiv meine globalen Geschäftsprozesse und Da-ten?“ I
  4. 4. DIE CSC SECURITY STACKDER CSC SECURITY STACKIn diesem Whitepaper stellen wir ein vierschichtiges Modell,den Security Stack, vor. Er soll die Komplexität der Cyber-security-Problematik verdeutlichen und umfassende, effizienteLösungen aufzeigen. Wir verwenden den Begriff „Stack“ (dt.:Stapel) ausdrücklich in Analogie zu ähnlichen, bereits etablier-ten Schichten-Modellen wie dem Open System Interconnecti-on Model (OSI-Modell). Sie stellen Services auf unterschiedli-chen Ebenen bereit, durch deren Zusammenwirken der erfor-derliche Sicherheitseffekt erreicht wird. Insofern impliziert derTerminus „Service Stack“, dass Sicherheit nur durch ein integ-riertes Paket verschiedener Services zu gewährleisten ist.Dieser Artikel beschreibt die einzelnen Schichten und liefertBeispiele für die erforderlichen Technologien, Standards unddie damit verbundenen Security-Dienstleistungen. Er zeigtaußerdem auf, welche Technologien, Standards und Richtli-nien noch der Entwicklung beziehungsweise Umsetzung be-dürfen, damit der Informationsaustausch zwischen den einzel-nen Schichten so schnell erfolgt, dass mit der Dynamik derBedrohungen Schritt gehalten wird.Das Modell des Security Stack folgt der Maxime, dass Infor-mations- und Kommunikationstechnologie (IT) auf Architektu-ren basiert und dass Sicherheit ein wesentliches Merkmalsolcher IT-Architekturen sein muss. Genau wie bei einem si-cheren Gebäude, dessen Stabilität und Funktion von der In-tegrität der verschiedensten Gewerke – Fundament, Mauer-werk, Elektro-/Wasserinstallation etc. – abhängt, ist integrierteCybersecurity unverzichtbar im Design einer IT-Architektur,soll diese nachhaltig widerstandsfähig sein. Der Artikelschließt mit einer Auflistung der vielfältigen Vorteile des Secu-rity Stack: Er stellt nicht nur Leitlinien für Integrationsaktivitä-ten dar und weist auf die Erfordernis für eine bessere Zusam-menarbeit in der Organisation hin, sondern begründet auch,warum ein Schutz vor heutigen und ausgeklügelten zukünfti-gen Bedrohungen niemals durch eine einzige Security-Ebenegewährleistet werden kann. II
  5. 5. DER CSC SECURITY STACK EINFÜHRUNG – WAS IST EIN SECURITY STACK, UND WOFÜR BRAUCHEN WIR IHN? Bislang beschränkte sich IT-Sicherheit auf Schutzfunktionen einzelner Produkte, deren Nutzung dem Endkunden überlas- sen blieb. Dieser Ansatz funktioniert heute nicht mehr, wenn er es überhaupt jemals getan hat. Die heutige Gesellschaft ist von vernetzten Systemen extrem abhängig geworden – bislang jedoch ohne adäquaten Schutz dieser Systeme. Unsere Wertschöpfungsketten hängen von IT-Systemen ab, deren Sicherheit unzureichend ist. Das Un- gleichgewicht zwischen Nutzen (z. B. schnelle und einfacheBislang beschränk- Bedienung) und Risiken steigt deutlich an.te sich die IT- Es kommt in besonderem Maße darauf an, Nutzen und Risi- ken besser abzuwägen, indem man die möglichen VerlusteSicherheit auf und Konsequenzen berücksichtigt. Cyberrisiken gefährdenSchutzfunktionen unsere kritischen Infrastrukturen wie z. B. Verkehrs-, Energie-, Finanz- und Gesundheitssysteme grundlegend. Wir könneneinzelner Produk- und müssen diese Probleme lösen. Es geht jetzt darum, die Rahmenbedingungen zu schaffen, unter denen wir die He-te, deren Nutzung rausforderungen heute erkennen und für morgen lösen. Wir benötigen einen ganzheitlichen Ansatz, wie den Securitydem Endkunden Stack.überlassen blieb. Der Vergleich mit anderen Schichten-Modellen ist dabei alsDieser Ansatz Analogie zu verstehen. Der Internet Stack oder das OSI- Modell beispielsweise sind ebenfalls in Service-Ebenen ge-funktioniert heute gliedert, die interagieren und Informationen austauschen. In ihrer Gesamtheit bilden diese Ebenen ein funktionales Netz,nicht mehr, wenn das eine Applikation oder einen Service auf übergeordneterer es überhaupt Ebene zur Verfügung stellt. Das Modell an sich ist nichts als eine vereinfachte Darstellung, wie eine Bierdeckel-Skizze. Esjemals getan hat. erleichtert das Verständnis eines großen Problemkomplexes, indem es diesen in überschaubare Komponenten – die einzel- nen Ebenen – gliedert. In mancher Hinsicht bildet der Security Stack einen Rahmen für zukünftige Entwicklungen. Schon heute mangelt es nicht an einem breiten Angebot unterschiedlichster Sicherheits- technologien. Nur werden diese bislang unabhängig vonei- nander eingesetzt. Der Security Stack veranschaulicht, wel- chen Nutzen ihre Integration bringen könnte – in gleicher Wei- se, wie das OSI-Modell der Verdeutlichung zukünftiger Netz- werk-Integration dient. Bislang beschränkte sich Cybersecurity auf mehr oder minder fokussierte Ansätze und Add-on-Technologien, deren Nutzung dem Endkunden überlassen blieb. Trotz jährlicher Investitio- nen in Milliardenhöhe durch Unternehmen und Behörden wachsen die Risiken ständig und die Schadensmeldungen nehmen kontinuierlich zu. Mit einfach aufgesetzten Sicher- heitsinstrumentarien können heutige komplexe Systeme kaum noch geschützt werden, weil sie die Bedrohungen innerhalb 1
  6. 6. DER CSC SECURITY STACK des Netzes nicht abdecken. Deshalb musste Microsoft 2003 eigens den monatlichen „Patch Day“ für Schwachstellen im System einführen; deshalb konnte ein Wurm wie Sasser 2004 Pufferüberläufe ausnutzen, um Root-Privilegien zu erhalten. Aus dem gleichen Grunde konnte Conficker angreifbare Com- puter übernehmen. Und dies waren alles noch relativ unge- zielte und rein technische Angriffe. Die aufkommenden Ad- vanced Persistent Threats (APTs) sind gezielt und nutzen jedwede technische, organisatorische und auch soziale Schwäche aus. Die heute typischen Security Overlays wie Firewalls und IDS-Systeme haben ohne Zwei- fel ihren Wert, aber sie sind unzureichend. Systemische Sicherheit muss bei der Konzep- tion von Beginn an angelegt sein – daher der Begriff „Security by Design“. Nehmen wir die beiden unteren Ebenen des Security Stack: Ebene 1, „Sichere Infrastruktur: Sichere Sys- teme, Anwendungen und Daten gewährleis- ten“, und Ebene 2, „Sicherheitsschicht: Ang- riffe verhindern, erkennen und reagieren“. Beide beinhalten klassische Sicherheitsmaß- nahmen wie Penetrationstests und Firewalls und sind unverzichtbar, aber selbst ihre Kom- bination reicht nicht aus. Um wirklich sicher zu sein, brauchen wir einen umfassenderen, proaktiven Schutz. Wir benötigen dafür ein „Situationsbewuss- tsein: Ganzheitliches Management der integ-Grafik 1: Der CSC Security Stack rierten Verteidigungssysteme“. Dies entsteht durch konsequente Beobachtung des Cy- berspace – sowohl innerhalb als auch außerhalb unseres ei- genen Netzwerks. Dies geschieht auf Ebene 3, der Korrelati-Die heute typi- ons-, Auswertungs- und Berichtsebene. Hier sind Systeme angeordnet, die Sensor-Informationen langfristig aufbewah-schen Security ren, miteinander korrelieren und aggregieren. Über diese lang- fristigen Analysen sind Trendaussagen möglich und es kön-Overlays wie Fire- nen auch global verteilte und zeitlich versetzte Angriffe er-walls und IDS- kannt werden. Vorausschauende Abwehrmaßnahmen sind möglich; es können z. B. Ports geschlossen und angemesse-Systeme haben ne organisatorische Reaktionen eingeleitet werden, bevor ein tatsächlicher Angriff überhaupt beginnt. Darüber ist eine vierteohne Zweifel ihren Ebene wünschenswert: Nationale Sicherheitsstrategie: Integ- ration in nationale Strukturen und internationale Vernetzung.Wert, aber sie sind Auch die Verteidigung von Landesgrenzen erfolgt zumindestunzureichend. teilweise im Cyberspace. Es wirkt paradox: Physische Gren- zen sind zu verteidigen, obwohl der Cyberspace selbst keine geografischen Grenzen kennt. Dennoch ist der Cyberspace vom physischen Raum nicht zu trennen, weil wir physische Wesen sind. Auch wenn die Pioniere des Internets einen von den alten Konventionen befreiten Cyberspace erträumten – die Realität ist eine andere. Auch im Cyberspace müssen wir feindliche Handlungen abwehren können, die reale Interessen auf unserem Territorium bedrohen. Das Instrumentarium dazu liegt in der vierten Ebene. Staatliche Cyber-Response- 2
  7. 7. DER CSC SECURITY STACK Maßnahmen ermöglichen den Schutz der nationalen Souve- ränität und den Schutz von Bürgern und kritischen Infrastruk- turen eines Landes. Zusammen ergeben diese vier Ebenen das Security-Stack- Modell, wie es in Grafik 1 abgebildet ist. Anders als beim OSI- Modell sind seine Ebenen nicht statisch voneinander abzu- grenzen. Das Modell bedeutet aber auch nicht, dass keine dieser Sicherheitsebenen ohne die anderen existieren kann. Bis heute sind viele wichtige Systeme fast ausschließlich durch Ebene 2 und evtl. noch Ebene 1 geschützt. Es wird je- doch zunehmend offensichtlicher, dass das nicht reicht. Der Security Stack hilft zu verdeutlichen, dass der Komplexität der Sicherheitsbedrohungen nur durch eine Kombination aller vier Ebenen beizukommen ist. Nur unter Beachtung aller vier Ebe- nen lassen sich Nutzen und Risiken von Cybersystemen bes- ser abwägen. DER SECURITY STACK IM DETAIL Ebene 1 – Sichere Infrastruktur: Sichere Systeme, An- wendungen und Daten gewährleisten Ebene 1 basiert auf Technologien und Instrumentarien wie Betriebssystemhärtung, Datenverschlüsselung und anderen „internen“ Sicherungsmechanismen auf Applikationsebene. Ein anderes Beispiel ist das sogenannte Whitelisting: Nur be- sonders autorisierte Software darf zum Einsatz kommen. Da- zu gehören Methoden, um die Herkunft einer Software ausNur unter Beach- einer verlässlichen Quelle zurückzuverfolgen. Die Verwen- dung von Trust Anchors wie dem Trusted Platform Moduletung aller vier (TPM) ist ein weiteres Beispiel. Herkunft, Integrität und Ver-Ebenen lassen trauenswürdigkeit der Software sind das A und O auf Ebene 1. Strikte Konfigurationsmanagement-Prozesse sind hier unver-sich Nutzen und zichtbar. Ebene 1 generiert Informationen wie beispielsweise Log-on-Versuche und gibt sie an Ebene 2 weiter.Risiken von Cyber- Zu den Kerninstrumenten auf Ebene 1 zählt weiterhin die strik-systemen besser te Einhaltung von Prozessstandards, die auf dem Erfahrungs-abwägen. schatz und Wissen von Organisationen wie der Trusted Com- puting Group (TCG), IEEE, OASIS und anderen beruhen. ITU/T X.805 ist ein solcher Standard für das Design von Netzwerken; ISO 27000 regelt Policys und Prozesse. Die Common Criteria (ISO 15408) geben Richtlinien für die siche- re Softwareentwicklung an die Hand. Die Gesamtheit dieser Standards liefert die Grundlage für das Design sicherer Kom- ponenten, Software und IT-Dienste. „Intrinsically Secure Sys- tems“ ist dafür eine passende Beschreibung. Der Informationsaustausch zwischen den Ebenen 1 und 2 (wie z. B. die Übergabe von Protokollen der Ebene 1 an Ebe- ne 2) kann erheblichen Umfang annehmen. Die nötige Ge- schwindigkeit für das rechtzeitige Erkennen von Anomalien ist nur durch die direkte Kommunikation auf Maschinenebene, also ohne menschliches Eingreifen, zu erzielen. Dies wiede- rum erfordert einheitliche Datenformate und -strukturen. Zu 3
  8. 8. DER CSC SECURITY STACK diesen Informationen zählen Status-Reports (Ebene 1 an 2) an eine Anwendung, die Entscheidungsregeln zur Verarbei- tung von Sicherheitsinformationen anwendet (Ebene 2 an 1). Dies beinhaltet auch das automatische Auslösen von Ab- wehrmaßnahmen wie das Schließen von Ports, das Verwei- gern unautorisierter Konfigurationsänderungen oder das Alarmieren von Experten in einem Security Operations Center. Für Ebene 1 steht bei CSC eine Reihe professioneller Sicher- heitsdienstleistungen bereit. Ausgehend von Common- Criteria-Beratung und -Evaluationen (sichere Softwareentwick- lung) über statische und dynamische Code Reviews, Penetra- tionstests gegen Netzkomponenten, Betriebssysteme, An-Viele Lösungen wendungsserver oder den Anwendungen und schließlich auch Beratung zum sicheren Netzdesign, Betriebssystemhärtungenund Technologien etc. Managed Services für z. B. regelmäßige Vulnerability As- sessments oder Konformitätsprüfungen der technischen Kon-stehen bereit, um figuration der Systeme zu vorgegebenen Policys runden dasSchwachstellen im Angebot ab.Netz zu beheben. Ebene 2 – Sicherheitsschicht: Angriffe verhindern, erken- nen und reagierenVon entscheiden- Die Ebene 2 umschreibt die klassischen Sicherheitsinstrumen-der Bedeutung te wie Firewalls, Intrusion-Detection-Systeme oder auch Vi- renscanner. Sie umfasst eine Reihe von Kontrollmechanismenbleibt jedoch der auf Netzwerk- und Applikationsebene. Auf dieser Ebene wirdInformations- „defense in depth“ implementiert, wenn der Schutzbedarf es erfordert. Aus verschiedenen Gründen hat die Security-austausch zwi- Branche hier Speziallösungen auf den Markt gebracht, die bestimmte Sicherheitslücken in der Systemarchitektur schlie-schen diesen ßen. So sollen Web-Application-Firewalls die grundlegendenSicherheits- Probleme lösen, die bei der Kommunikation zwischen Web- servern und unbekannten Kunden über ein „anonymes“ Netz-komponenten. werk entstehen. Antiviren-Software und ihre Updates sollen Computer gegen bekannte und noch unbekannte bösartige Software schützen. Weil die Vernetzung unserer Systeme so komplex und unü- bersichtlich ist, stellen die Verbindungen eine ideale Spielwie- se für alle Hacker dar, die sie aus Gewinnsucht ausnutzen oder aus anderen Gründen beschädigen wollen. Viele Lösun- gen und Technologien stehen bereit, um Schwachstellen im Netz zu beheben. Von entscheidender Bedeutung bleibt je- doch der Informationsaustausch zwischen diesen Sicherheits- komponenten. Er wird erschwert durch mangelnde Interope- rabilität, verursacht etwa durch inkompatible Datenformate von verschiedenen Produkten und Sensoren, was den Infor- mationsabgleich und damit die Echtzeit-Erkennung von Angrif- fen verzögert. Standardisierungsgremien wie IEEE und TCG bemühen sich um Abhilfe, aber das braucht Zeit und schafft neue Probleme für die Anbieter derartiger Lösungen. Vielfach sind zunächst neue Schnittstellen-Technologien zu entwi- ckeln. Auch für Ebene 2 bietet CSC diverse Services an: über die Beratung zu Netzwerksicherheitssystemen wie Firewalls, IDS/IPS, NAC/NAP, Proxies etc. oder hostbasierten Sicher- 4
  9. 9. DER CSC SECURITY STACKheitssystemen wie Virenscanner, HIDS, Festplattenverschlüs-selung, Endpoint Protection, Data Loss Prevention etc. oderauch zu Prozessen zum Management der Regeln (Beantra-gung, Genehmigung, Dokumentation, Audit) und Einbindungin das firmenweite Sicherheitsmanagementsystem über be-triebliche Prozesse z. B. nach ITIL. Auch hier wirken ergän-zend unsere Managed Services wie der Betrieb der Firewallsoder der IDS/IPS-Systeme. Bemerkenswert ist hier, dass CSCüber viele Jahre hinweg die Regeln für IDS/IPS-Systeme ver-feinert hat und damit deutlich bessere Erkennungsraten bietenkann, als jeder Eigenbetrieb es ermöglicht. Zudem wirken sicherkannte Angriffe bei einem Kunden und die damit verbunde-nen Regelanpassungen auch automatisch positiv auf alle an-deren Kunden aus – und das global.Ebene 3 – Situationsbewusstsein: Ganzheitliches Mana-gement der integrierten VerteidigungssystemeDer anonyme Charakter des Internets sowie einige Eigen-schaften des TCP/IP-Standards erschweren die Identifikationvon potenziellen Angreifern. Wir brauchen für die Absicherungdaher mehr Informationen bezüglich aller Vorgänge innerhalbund außerhalb der Systemgrenzen. Aus diesen vielen Infor-mationen lässt sich über die Zeit hinweg „Wissen“ erzeugen.Wir wissen dann, was um uns herum vorgeht, können Ten-denzen erkennen und proaktiv reagieren. Das ist es, was wirals Situationsbewusstsein bezeichnen. Situationsbewusstseinentsteht durch lückenlose Wachsamkeit auf Basis der dafürwichtigen Informationen. Im Cyberspace ist dies nur be-schränkt möglich.Wir haben begonnen, diese Grenzen zu überwinden. Dazugehört beispielsweise, die Vertrauenswürdigkeit von IP-Adressen auf der Basis ihrer bisherigen und gegenwärtigenAktivitäten stärker zu werten. Browser-basierte Aktivitätenwerden für sogenannte Reputation-Services und für einheit-liche Filter-Verfahren der Informationsquellen eingesetzt. „Re-putation“ wird zunehmend zum Entscheidungskriterium imSituationsbewusstsein eingesetzt. Noch wird der Herkunfts-nachweis von Software nur selten als Kriterium für ihre Ver-trauenswürdigkeit herangezogen. Das Konzept ist jedoch aufdem Vormarsch.Das Situationsbewusstsein leidet auch unter der babyloni-schen Sprachverwirrung bei der Datenkommunikation. Wirbrauchen Kommunikationsmechanismen, die die Zusammen-führung von Datenquellen erleichtern. Ob es um Reputation,Quelle-Ziel-Abgleiche oder einfach die Bestätigung geht, dassunsere DNS-Anfrage an einen vertrauenswürdigen Anbieterging – was wir brauchen, ist ein einheitliches Vorgehen. Sys-teme, die ein solches Vorgehen unterstützen, nennt man Ent-scheidungshilfe-Systeme. Sie helfen uns bei der Einschät-zung, mit welchen Auswirkungen zu rechnen ist, wenn wirbestimmte Informationen auf bestimmte Art und Weise nutzen.Unser situatives Bewusstsein ist auch deshalb noch unterent-wickelt, weil unsere Entscheidungshilfe-Systeme nicht gutgenug sind. Die Identifikation von Bedrohungen und Abwehr-maßnahmen stützt sich auf unzureichende Datenquellen (Pro- 5
  10. 10. DER CSC SECURITY STACK tokolle) und unvollständige Filterregeln. Allerdings bemüht die Industrie sich um schnelle Abhilfe. Dass wir immer noch keine automatisierten Abwehrmaßnah-Ein heutiges Prob- men haben, liegt nicht zuletzt daran, dass es noch keine Ent- scheidungshilfe-Systeme gibt, die bestimmte Transaktionen,lem liegt darin, Updates oder andere Handlungen effektiv verhindern können. Die Automatisierung zukünftiger Schutzmaßnahmen hängtdass Bedrohungen maßgeblich von der Etablierung von Vertrauensbeziehungen ab. Situationsbewusstsein ist daher ein erster Schritt in Rich-quasi aus dem tung auf ein Schutzsystem, das in „Internet-Zeit“ agiert.Nichts, also in CSC bietet auf der Ebene 3 insbesondere die Korrelation von„Internet-Zeit“ auf- Ereignissen und die langfristige Auswertung dieser Daten in mehreren Service Levels an. Der Bronze-Level enthält nur dastauchen. Der In- reine Sammeln und Aufbewahren der Informationen und ein einfaches, regelmäßiges und standardisiertes Reporting, wäh-formationsaus- rend im Gold-Level umfangreiches, regelmäßiges Reportingtausch zwischen auch mit kundenspezifischen Regeln und Warnungen bei aku- ten Gefährdungen möglich ist.Behörden und Be- Ebene 4 – Nationale Sicherheitsstrategie: Integration intreibern von kriti- nationale Strukturen und internationale Vernetzungschen Infrastruktu- Die vierte Ebene ist eine jüngere Entwicklung, die die Domäneren läuft jedoch der Cybersecurity bedeutend erweitert. Hier überschneiden sich private Interessen mit denen der nationalen Sicherheit.immer noch in bü- Ebene 4 unterscheidet sich von den anderen insofern, als sie den eigenen Bereich verlässt und eine – wenngleich schmalerokratischen Zeit- – Brücke zwischen dem öffentlichen und privaten Sektor zudimensionen ab – schlagen versucht. Dabei nimmt der Staat in Hinblick auf be- stimmte Funktionen die Rolle des Beschützers ein. Wie immerfalls überhaupt. bei staatlichen Eingriffen ist hier die Balance zwischen einem Zuviel und Zuwenig zu finden. Ein heutiges Problem liegt dar- in, dass Bedrohungen quasi aus dem Nichts, also in „Internet- Zeit“ auftauchen. Der Informationsaustausch zwischen Behör- den und Betreibern von kritischen Infrastrukturen läuft jedoch immer noch in bürokratischen Zeitdimensionen ab – falls überhaupt. Kritische Infrastrukturen wie Telekommunikations-, Energie- und Finanznetze sind im Interesse der nationalen Sicherheit zu schützen; das aber erlaubt keine bürokratischen Verzögerungen. Ebene 4 beinhaltet u. U. auch Themen wie offensive Cyber- security-Maßnahmen. Dieses Whitepaper beschränkt sich jedoch auf den defensiven Austausch von Bedrohungsinfor- mationen. Alarmierungen müssen nahezu in Echtzeit erfolgen und von den einschlägigen staatlichen Einrichtungen an andere staat- liche Einrichtungen, an andere Staaten und multinationale Organisationen (z.B. NATO, UNO, EDA, ENISA), aber auch die Privatwirtschaft (z. B. an deren CERT, SIRC, SOC) wei- tergegeben werden, die sicherheits-relevante Infrastrukturen und Dienstleistungen bereitstellen. Natürlich ist auch eine Alarmierung oder zumindest Information in die Gegenrichtung möglich und gewünscht, damit 6
  11. 11. DER CSC SECURITY STACK„Situationsbewusstsein” auch auf nationaler Ebene erreichtwerden kann.Ebene 4 kommt beispielsweise zum Einsatz, wenn ein ande-rer Staat versucht, die Systeme zur nationalen Stromversor-gung (Kraftwerke, Umspannwerke etc.) über das Internet aus-zuspionieren oder zu stören. Hier ist enge Zusammenarbeitzwischen allen Energieversorgern und Behörden gefragt, umdie tatsächliche Bedrohung abzuwehren und nationale Inter-essen durch staatliche Reaktionsmechanismen zu verteidigen.Das Konzept ist nicht neu, es wird nun lediglich auf den Cy-berspace angewendet. Organisationseinheiten wie die Com-puter Emergency Response Teams (CERTs) spielen auf Ebe-ne 4 eine wichtige Rolle, indem sie einen der wenigen existie-renden Prozessstandards für den Informationsaustausch be-reitstellen. So fördern und institutionalisieren sie die Zusam-menarbeit zwischen privatem und öffentlichem Sektor.Der Anfang ist gemacht – die Bestimmung von Ebene 4 ist esjedoch, die Reaktionsfähigkeit auf nahezu Echtzeit zu be-schleunigen. Gleichzeitig muss sie nationale Cyberinteressenim politischen Prozess etablieren helfen. Dies ist teilweiseabsolutes Neuland. Die Auswirkungen auf die nationale undinternationale Politik sind noch nicht vollständig absehbar.Der Informationsaustausch auf Ebene 4 ist verwandt mit demauf Ebene 3: Staatliche Sicherheitseinrichtungen können undmüssen Sicherheitssysteme im privaten Sektor rechtzeitigalarmieren. Bislang erfordert dies in der Regel Kommunikationzwischen Menschen. Für eine automatisierte Kommunikationgibt es jedoch hinreichende Entwicklungsmöglichkeiten; bilate-rales Situationsbewusstsein ist nur ein Stichwort in diesemZusammenhang. Wie auf allen Ebenen ist Schnelligkeit dasmaßgebliche Kriterium. Diese wiederum hängt vom Standar-disierungsgrad ab, der es Maschinen ermöglicht, Informatio-nen zu sammeln, zu filtern und abzugleichen und auf dieserBasis den Analysten perfekt vorbereitete Entscheidungsvorla-gen an die Hand zu geben. 7
  12. 12. DER CSC SECURITY STACK DER SECURITY STACK IM VERHÄLTNIS ZU ANDEREN REFERENZARCHITEKTUREN UND ALS INTEGRALER BESTANDTEIL DER SYSTEM- ARCHITEKTUR Ein fundamentaler Glaubenssatz unter Sicherheitsexperten lautet: „Sicherheit muss eingebaut und nicht aufgesetzt sein.“ Das ist jedoch leichter gesagt als getan. Der Schlüssel zu „in- tegrierter Sicherheit“ liegt in der Erkenntnis, dass der Security Stack nichts anderes als eine besondere Art und Weise ist, ein System, das System der Systeme oder eine umfassende Umgebung zu betrachten. Ein Datenarchitekt zum Beispiel wird ein Sys- tem immer als eine Anordnung von Datensät- zen, -flüssen und -zusammenhängen wahr- nehmen. Der Enterprise-Architekt hingegen sieht eine Anordnung von Komponenten, Schnittstellen, Daten und Speichern. Der technische Architekt wiederum denkt an Ser- ver, Firewalls, Router, Serverfarmen und so weiter. Keine dieser Betrachtungsweisen lie- fert ein korrektes Bild. Jede aber ist unverzich- tbar für eine vollständige Beschreibung der Landschaft. In diesem Sinne ist auch der Se- curity Stack lediglich eine architektonische Darstellungsweise, die der Vollständigkeit hal- ber zu liefern ist. Sie berücksichtigt Nutzungs- absichten und Betriebsumgebungen. Die vier- schichtige Gliederung hilft, die richtigen Si- cherheitsentscheidungen zu treffen und ver- hindert den unkoordinierten Einsatz punktuel-Grafik 2: Architektur Ökosystem ler Lösungen. Grafik 2 verdeutlicht, wie sich der Security Stack zu anderen Architektur-Ansichten verhält. Er ist eine von vielen Bestand- teilen der gesamten System-Architektur, die sich aus einer Ansammlung der verschiedensten Darstellungen zusammen- setzt. Sie alle gemeinsam definieren die Elemente des Sys- tems im Kontext seiner Umgebung. Wie bei einem Biotop oder Ökosystem sind alle Elemente voneinander abhängig. In glei- cher Weise wirkt der Security Stack auf die anderen darges- tellten Sichtweisen der Gesamtarchitektur ein – und umge- kehrt. Nur in einer solchen Wechselwirkung ist Sicherheit ein- gebaut und nicht aufgesetzt. Die gleichen Erwägungen müssen bei der Konzeption des System-Lifecycle angelegt werden: Das Sicherheitssystem in seiner Gesamtheit ist, visualisiert als Security Stack, von der Definition der Funktionsanforderungen über die technische und fachliche Konzeption bis hin zu Programmierung, Validie- rung und Inbetriebnahme des Gesamtsystems einzubeziehen. 8
  13. 13. DER CSC SECURITY STACK DIE VORTEILE DES SECURITY-STACK-MODELLS Modellhafte Betrachtungen haben sich bewährt, und auch bei dem Security Stack sind die Vorteile offenkundig: Er verschafftHier wird deutlich, Übersicht und hilft, ein komplexes Funktionsgefüge zu erklä-dass die IT- ren und zu organisieren. Der größte Gewinn liegt jedoch in der Erkenntnis, dass speziell bei dem Security Stack keine EbeneBranche mögli- an sich ausreichend sein kann. Hier wird deutlich, dass die IT- Branche möglicherweise den Wald vor lauter Bäumen nichtcherweise den sieht. Der Security Stack bietet die Plattform, von der aus man über die Wipfel blicken kann.Wald vor lauterBäumen nicht Software, die gleichzeitig effizient und unempfindlich gegen Angriffe sein soll, kann und muss notwendigerweise Kompro-sieht. Der Security misse eingehen. Um im Kontext des Security Stack voll funkti- onsfähig zu sein, muss Software Teil einer durchdachtenStack bietet die Netzwerkarchitektur sein, die beim Austausch von Daten oder Endnutzer-Informationen ihre Schnittstellen schützt, bei-Plattform, von der spielsweise durch Verschlüsselung der Kommunikationspfadeaus man über die zwischen den einzelnen Netzwerk-Komponenten. Das Securi- ty-Stack-Modell verdeutlicht jedoch auch, dass der Schutz vonWipfel blicken Schnittstellen zwar notwendig, aber keinesfalls hinreichend ist. Ebenfalls unverzichtbar ist ein robustes integriertes Securitykann. Overlay auf Ebene 2 sowie die Ebene 3, auf der SIEM- Software (Security Incident and Event Management) hilft, die Anzeichen eventuell vielschichtiger und komplexer Attacken zu verknüpfen und zu erkennen. Auf Ebene 3 erfolgt auch der Abgleich für eine externe Sicht des Angriffs. Handelt es sich um eine nationale Bedrohung, kommt Ebene 4 mit geeigneten staatlichen Abwehrmaßnahmen zum Einsatz. Der Security Stack kann auch dazu dienen, geeignete Richt- linien von der Netzwerkebene bis hinauf auf die staatliche Ebene zu entwickeln. In seiner Abstraktion verdeutlicht das Modell, dass Integration unverzichtbar ist und dass Regeln und Standards für schnelleren Informationsaustausch erfor- derlich sind. Auf Ebene 3 wird klar, dass ein Situationsbe- wusstsein von höchster Wichtigkeit ist, dass dieses aber ohne gut strukturierte, integrierte Formate für den Datenaustausch kaum schnell genug zu erreichen ist. Auf diese Weise kann der Security Stack auch helfen, den nötigen Druck für über- greifende Zusammenarbeit aufzubauen, und zwar nicht nur auf Ebene der allgemeinen Vorgaben, sondern auch in techni- scher Hinsicht, wo Standards extrem sinnvoll sind. 9
  14. 14. DER CSC SECURITY STACKZUSAMMENFASSUNGUnsere IT-Systeme zeichnen sich durch zunehmende Komp-lexität aus. Darüber hinaus sind sie untrennbar vernetzt mitkritischen nationalen Infrastrukturen (auch solchen physischerNatur). Die IT-Gemeinschaft muss darauf dringend reagieren.Ein angemessener Schutz der IT-Systeme verlangt entspre-chend ausgereifte Schutzsysteme. Die Architektur von IT-Systemen und ihren Daten muss demzufolge inhärente Si-cherheitsmerkmale beinhalten; Systeme und Daten brauchenjeweils eigene Sicherheitsmerkmale. Es muss geeignete Auf-klärung nach innen wie nach außen stattfinden; wir brauchendringend zuverlässige Frühwarnsysteme. Zu guter Letzt müs-sen wir die Wechselwirkung zwischen privatem und öffentli-chem Sektor endlich ernst nehmen.Die Abschnitte II und III dieses Whitepapers liefern Definitio-nen und beschreiben die Rolle von Sicherheitsarchitekturenim Kontext anderer Architekturmodelle. Wir empfehlen einestrukturierte Herangehensweise auf Basis des Modells undder damit verbundenen Standards. Der Security Stack zerlegtdas Problem und visualisiert die notwendige Integration an-hand eines vierschichtigen Modells. Unsere derzeitige Bedro-hungslage ist nicht zuletzt auf das bisherige Fehlen eines ver-gleichbaren Ansatzes zurückzuführen. Wir blicken auf eineHistorie von Sicherheitslücken in Programmen aus der Ver-gangenheit zurück, die sich in der Gegenwart auswirken undnoch immer in der Systementwicklung unberücksichtigt blei-ben. Diese Sicherheitslücken stellen ein ebenso erheblichesRisiko für Staaten wie Wirtschaft dar. 10
  15. 15. DER CSC SECURITY STACKDIE AUTORENDr. Goswin Eisen ist Leiter des Competence Centers „Cy-bersecurity“ bei CSC in Deutschland. Er verfügt über mehr als20 Jahre Beratungserfahrung in Themen der Informations-sicherheit, vertritt das Thema IT-Sicherheit bei CSC seit zwölfJahren und ist verantwortlich für ein Team von 17 Expertenund die Entwicklung, den Vertrieb und die Lieferung derDienstleistungen im Bereich Consulting und System Integra-tion in allen Branchen in Zentraleuropa. Vor seinem Einstiegbei CSC hat er nationale und internationale Grundsteine fürdas Thema IT-Sicherheit durch die Autorenschaft von Stan-dards im Auftrag des Bundesamtes für Sicherheit in der Infor-mationstechnik (BSI) gelegt. Bei der IABG war er als Abtei-lungsleiter für IT-Sicherheit verantwortlich für ein Experten-Team und das Beratungsgeschäft vorwiegend im öffentlichenund Verteidigungsbereich. Zuvor hat er bei Siemens Entwick-lungserfahrungen in Großrechner-Betriebssystemen gemachtund als Projektleiter die Zugriffskontrollmechanismen inBS2000 verantwortet.Dr. Philipp S. Müller ist Business Development Director fürden Öffentlichen Sektor bei CSC in Deutschland und Acade-mic Dean der Business School (SMBS) der Universität Salz-burg. Bis 2007 war er Professor an der Graduate School forPublic Administration and Public Policy of Tecnológico deMonterrey (EGAP – Tec de Monterrey), Mexico, und vor 2003wissenschaftlicher Mitarbeiter an der Stiftung Wissenschaftund Politik in Berlin. Seine Alma Mater ist die Ludwig-Maxi-milians-Universität in München. Er arbeitet an der Schnittstellezwischen Politik, Verwaltung, Wirtschaft und Wissenschaftund interessiert sich dafür, wie die Möglichkeiten der digitalen,vernetzten Welt Organisation, Strategie und Führung verän-dern. Anfang 2012 erscheint sein drittes Buch „Machiavelli.net– Strategie für eine vernetzte Welt“ bei Scoventa.Peter Rehäußer ist Lead Architect für Cybersecurity bei CSCin Deutschland. Seine Kernkompetenzen liegen im IT-Security-Umfeld mit Schwerpunkt auf technologischen Aspek-ten. Dazu gehören neben IT-Sicherheitskonzepten und Auditsfür komplexe Systeme nach IT-Grundschutz/ISO 27001 eben-so die Erstellung von Studien und Standards, sichere Soft-wareentwicklung und Sicherheitsevaluierungen nach CommonCriteria, Betriebssystem- und Netzwerksicherheit, Kryptogra-phie und elektronische Signaturen. Die elektronische Lang-zeitarchivierung ebenso wie Projekte im militärischen undHochsicherheitsbereichen zählen zu seinen Referenzen. HerrRehäußer ist Diplom-Informatiker (FH) mit den Schwerpunk-ten auf Softwareentwicklung und Betriebswirtschaft. 11
  16. 16. DER CSC SECURITY STACK 12
  17. 17. CSC weltweit CSC in ZentraleuropaAmerikaCorporate Headquarter USA Deutschland3170 Fairview Park Drive Abraham-Lincoln-Park 1Falls Church, Virgina 22042 65189 Wiesbaden+1.703.876.1000 +49.611.142.22222www.csc.com www.csc.com/deEuropa, Naher Osten, Afrika ÖsterreichRoyal Pavilion, Wellesley Road BC20Aldershot, Hampshire GU11 1PZ Dresdner Straße 47Großbritannien 1200 Wien+44.1252.534000 +43.1.20.777.0www.csc.com/uk www.csc.com/atAustralien Schweiz26 Talavera Road Grossmattstrasse 9Macquarie Park, NSW 2113 8902 Urdorf+61.29034.3000 +41.58.200.8888www.csc.com/au www.csc.com/chAsien Osteuropa20 Anson Road #11-01 Radlická 751/113eTwenty Anson 158 00 PragSingapur 079912 +420.234.707.211Republik Singapur www.csc.com/cz+65.6221.9095www.csc.com/sgÜber CSCCSC ist ein weltweit führendes Unternehmen für IT-gestützte Businesslösungen undDienstleistungen.Mit großem Know-how und fundierter Branchenkenntnis hilft CSC weltweit Kunden, sich aufihr Kerngeschäft zu konzentrieren, Betriebsabläufe zu optimieren, erfolgreich mit Geschäfts-partnern und Lieferanten zusammenzuarbeiten und komplexe Herausforderungen zu meis-tern.Das präzise Verständnis der Bedürfnisse und Anforderungen unserer Kunden ist die Voraus-setzung für eine erfolgreiche Zusammenarbeit. Als herstellerunabhängiger Dienstleister ent-wickelt CSC individuell maßgeschneiderte Lösungen.Industrieunternehmen und Institutionen der öffentlichen Hand betrauen CSC seit über 50Jahren mit ihren Geschäftsabläufen und Informationssystemen, mit Systemintegration undBeratungsleistungen.Das Unternehmen ist unter der Marke „CSC“ an der New Yorker Börse notiert.Weitere Informationen über CSC finden Sie auf der deutschen Website von CSC unterwww.csc.com/de oder unter www.csc.com. 13

×