Starke Lösung gegen schwache Stellen
Im Rechenzentrum der Bedag Informatik lagern 250 Terabyte besonders schützenswerter Kundendaten. Mit einem neuen Vulnerability Management können eventuelle Schwachstellen noch schneller und effizienter erkannt und beseitigt werden.
Dario Verrengia, IT-Security-Auditor bei Bedag.» Von , 10.05.2007 09:12.
Der Umgang mit schützenswerten Daten gehört zum täglichen Geschäft nahezu aller Organisationen. Für die Berner IT-Dienstleisterin Bedag sind hoch sensible Informationsbestände sogar ein Kerngeschäft. In ihrem Rechenzentrum hütet sie 250 Terabyte vitaler Kundendaten. Entsprechend gut abgeriegelt präsentiert sich ihr Rechenzentrum: Es gehört zu den sichersten in Europa.
Doch die akribische Überwachung und der Schutz sensitiver Informationsbestände gegen Missbrauch ist für die Bedag nicht nur oberstes Gebot. Sie stellte die Firma auch vor wachsende Probleme. Denn mit -zunehmendem Einsatz unterschiedlichster Security-Vorrichtungen und einem immer komplexer werdenden Netzwerk kletterten Zeit- und Kostenaufwand für Beobachtung und Analyse von Sicherheitsvorfällen in nicht mehr tolerierbare Höhen.
Lange Tage und Fehlalarme
Dario Verrengia, IT-Security-Auditor bei der Bedag, erinnert sich mit Schaudern: «Wir verwendeten für unsere Security-Scans verschiedene kleine Tools, zum Teil auch Gratisprodukte wie Nmap und Nessus», erklärt er. «Diese Insellösungen erforderten stundenlanges, manuelles Durchforsten von Sicherheitsmeldungen - von denen sich sehr viele als Fehlalarme erwiesen.»
Doch nicht nur die Häufung der «False-Positive-Alerts» bereitete dem Wirtschaftsinformatiker Probleme. Die alte Lösung erforderte auch eine ständige, manuelle Aktualisierung der Softwarestände, bot keine Automatisierungsfunktionen, konnte die gemeldeten Daten nicht grafisch aufbereiten, nahm keine Risikoeinstufung vor, erfasste die Veränderungen im Netz nicht immer und spiegelte keine Langzeithistorie, sondern nur Momentaufnahmen wider. «Und sie war ausschliesslich auf technischer Ebene nutzbar, bot keinerlei verständliche Informationen für das Management», komplettiert er die Liste der Unzulänglichkeiten.
Umfassende Wunschliste
Gründe genug für die Einführung eines modernen, effizienten Schwachstellenmanagements respektive Vulnerability Managements (VM). Dazu definierte die Bedag im Vorfeld einen umfangreichen Anforderungskatalog. Dies nicht zuletzt, weil die neue Umgebung Bestandteil der inzwischen erfolgten British-Standard-Zertifizierung nach BS7799-2:2002 war.
So wollte die Bedag alle Security-Daten zu den Informationsbeständen ihrer Kunden selbst bearbeiten können. Im Hinblick auf die British-Standard-Zertifizierung sollte überdies das Prinzip der Gewaltentrennung gelten: Der Systembetreiber darf die Systeme nicht auch gleichzeitig kontrollieren. Weitere -Anforderungen waren einfache, Browser-gestützte Bedienbarkeit, zeitunabhängige Automatisierungsfunktionen, grafisches Reporting und die Reduktion der Fehlalarme. Hohe Skalierbarkeit, stufengerechte Top-Down-Aufbereitung der Security-Daten, ein Ticketing-System und ein gutes OS-Fingerprinting zur Überwachung der Betriebssystemstände rundeten die lange Wunsch-liste ab. «Überdies war uns die Einbindung der Systemverantwortlichen wichtig», ergänzt Verrengia. «Das Tool sollte nicht nur für Revisoren oder technische Spezialisten taugen, sondern alle mit ins Boot nehmen. Das Management, das die eigentliche Verantwortung trägt, ebenso wie die Systemspezialisten.»
KOMMENTARE
KOMMENTAR SCHREIBEN