Auf der Suche nach Schwächen

Die IT-Infrastruktur der Basler Kantonalbank muss höchsten Anforderungen und strengen Richtlinien gerecht werden. Mit Security Audits werden Schwachstellen ermittelt, ein Security Event Management sorgt für die permanente Überwachung.

» Von Urs Rufer, 09.07.2009 06:00.

Urs Rufer ist Leiter Consulting & Projects bei terreActive AG

Die BKB ist darauf angewiesen, dass ihre IT-Infrastruktur rund um die Uhr reibungslos funktioniert. Potenzielle Störfaktoren und Schwachstellen im Netzwerk müssen möglichst frühzeitig iden-tifiziert und eliminiert werden. Zu diesem Zweck wird die bestehende Infrastruktur durch externe Experten regelmässig in jährlich wiederkehrenden Untersuchungen auf ihre Funktionstüchtigkeit und Sicherheitstauglichkeit geprüft.

Audits decken Schwachstellen auf

Im Zuge einer durch die BKB-Geschäftsleitung initiierten IT-Revision wurde der Aargauer Sicherheitsspezialist terreActive mit einem umfassenden Security Audit des geschützten Firmennetzes, der sogenannten Demilitarisierten Zone (DMZ), beauftragt. Auslöser dafür war neben der hohe Sensibilisierung für Sicherheitsfragen vor allem die Weiterentwicklung der bestehenden IT-Infrastruktur.

Bei einem Audit wird das Sicherheitsniveau im Detail unter die Lupe genommen, um einerseits die Wirksamkeit vorhandener Sicherheitsfunktionalitäten zu verifizieren und andererseits allfällige Schwachstellen aufzuspüren.

Die Spezialisten von terreActive - bestehend aus einem Auditor, zwei Technikern und einem Controller - verschafften sich zunächst einen Überblick und überprüften anschliessend in rund zehn Arbeitstagen, verteilt über einen Zeitraum von insgesamt zwei Monaten, die DMZ und ihre dazugehörigen Komponenten auf Herz und Nieren. Dabei kamen vor allem Tools und Methoden zum Einsatz, wie sie auch von böswilligen Angreifern aus dem Internet angewendet werden - beispielsweise URL-Manipulationen oder Cross-Site Scripting (XSS). Der Auditor schlüpft dabei in der Rolle des anonymen Angreifers, um eine möglichst reale Attacke zu simulieren. Auf diese Weise lassen sich die eingebauten Schutzmechanismen auf ihre Wirksamkeit testen, und es können potenzielle Sicherheitslücken aufgedeckt werden.

Die im Audit gesammelten Informationen wurden analysiert, bewertet und in einem ausführlichen Abschlussbericht festgehalten. Dieser Bericht diente zur Einschätzung des Sicherheitsniveaus bei der BKB und brachte einige Schwachstellen, insbesondere im Bereich Netzwerktopologie, zu Tage. Auf dieser Grundlage haben die BKB und terreActive einen Massnahmenkatalog zur Behebung der vorgefundenen Schwächen ausgearbeitet und die Topologie so angepasst, dass sie den Bedürfnissen der neuen DMZ-Infrastruktur entspricht.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.