Auf der Suche nach Schwächen

Urs Rufer ist Leiter Consulting & Projects bei terreActive AG

Die BKB ist darauf angewiesen, dass ihre IT-Infrastruktur rund um die Uhr reibungslos funktioniert. Potenzielle Störfaktoren und Schwachstellen im Netzwerk müssen möglichst frühzeitig iden-tifiziert und eliminiert werden. Zu diesem Zweck wird die bestehende Infrastruktur durch externe Experten regelmässig in jährlich wiederkehrenden Untersuchungen auf ihre Funktionstüchtigkeit und Sicherheitstauglichkeit geprüft.

Im Zuge einer durch die BKB-Geschäftsleitung initiierten IT-Revision wurde der Aargauer Sicherheitsspezialist terreActive mit einem umfassenden Security Audit des geschützten Firmennetzes, der sogenannten Demilitarisierten Zone (DMZ), beauftragt. Auslöser dafür war neben der hohe Sensibilisierung für Sicherheitsfragen vor allem die Weiterentwicklung der bestehenden IT-Infrastruktur.

Bei einem Audit wird das Sicherheitsniveau im Detail unter die Lupe genommen, um einerseits die Wirksamkeit vorhandener Sicherheitsfunktionalitäten zu verifizieren und andererseits allfällige Schwachstellen aufzuspüren.

Die Spezialisten von terreActive - bestehend aus einem Auditor, zwei Technikern und einem Controller - verschafften sich zunächst einen Überblick und überprüften anschliessend in rund zehn Arbeitstagen, verteilt über einen Zeitraum von insgesamt zwei Monaten, die DMZ und ihre dazugehörigen Komponenten auf Herz und Nieren. Dabei kamen vor allem Tools und Methoden zum Einsatz, wie sie auch von böswilligen Angreifern aus dem Internet angewendet werden - beispielsweise URL-Manipulationen oder Cross-Site Scripting (XSS). Der Auditor schlüpft dabei in der Rolle des anonymen Angreifers, um eine möglichst reale Attacke zu simulieren. Auf diese Weise lassen sich die eingebauten Schutzmechanismen auf ihre Wirksamkeit testen, und es können potenzielle Sicherheitslücken aufgedeckt werden.

Die im Audit gesammelten Informationen wurden analysiert, bewertet und in einem ausführlichen Abschlussbericht festgehalten. Dieser Bericht diente zur Einschätzung des Sicherheitsniveaus bei der BKB und brachte einige Schwachstellen, insbesondere im Bereich Netzwerktopologie, zu Tage. Auf dieser Grundlage haben die BKB und terreActive einen Massnahmenkatalog zur Behebung der vorgefundenen Schwächen ausgearbeitet und die Topologie so angepasst, dass sie den Bedürfnissen der neuen DMZ-Infrastruktur entspricht.

Zur gleichen Zeit wurde bei der BKB auch das Thema Security Event Management (SEM) diskutiert (siehe Box rechts). SEM-Lösungen helfen den verantwortlichen IT-Mitarbeitern dabei, den Überblick über die - infolge immer neuer Bedrohungen - zunehmend komplexere Sicherheitsinfrastruktur zu behalten. Sie analysieren permanent das Verhalten der IT-Infrastruktur, so zum Beispiel das komplette Logvolumen. Bei zu grossen Abweichungen vom Normalfall wird automatisch ein Alarm ausgelöst.

Bei der Basler Kantonalbank kommt eine Kombination aus passivem Monitoring (tacLOG) und aktivem Monitoring (tacMON) zum Einsatz. Zu den aktiven Aufgaben zählen zum Beispiel das frühzeitige Erkennen von Engpässen bei Systemressourcen, Software- und Hardware-Probleme sowie die rasche Behebung von Ausfällen. Auch die Alarmierung bei kritischen Situationen oder das Prüfen der Integrität wichtiger Systeme zählt dazu. Über die zentralisierte Logfile-Analyse (tacLOG) gewinnen die BKB-Informatiker darüber hinaus wertvolle Informationen zur effektiven Behebung von Störungen. «Die Sammlung und Auszählung der Logdaten durch tacLOG sowie deren grafische Darstellung zeigen Ausnahmesituationen, die direkt anhand der Logfiles überprüft werden können», stellt Gilles Rapp fest, der das Projekt bei der BKB betreute. Für das neue DMZ-Design sowie die Sicherung des gesamten E-Mail-Verkehrs hat die BKB auf die langjährige Partnerschaft mit terreActive gesetzt.

Bei der alten DMZ-Infrastruktur kam für das Reporting eine Eigenentwicklung zum Einsatz. Die BKB hat sich im Zuge des Redesigns aber dazu entschlossen, dieses System abzulösen und eine effizientere Lösung aufzusetzen. Zur Absicherung des E-Mail-Verkehrs wurde eine auf die spezifischen Bedürfnisse der BKB zugeschnittene Lösung entwickelt, die tacLOG mit dem bewährten Open-Source-Produkt Webalizer verbindet.

Zurzeit werden mit der neuen SEM-Lösung die Logfiles des E-Mail-Verkehrs gesammelt und ausgewertet. Dabei laufen die Logfiles permanent auf einem Monitor und werden von den Mitarbeitern der IT-Abteilung überwacht. So sind diese in der Lage, Abweichungen vom Normalbetrieb - zum Beispiel beim Volumen der Logfiles - schon früh zu erkennen, zu analysieren und gegebenenfalls notwendige Massnahmen einzuleiten. Die Logdaten dienen dazu, Statistiken über die Anzahl der E-Mails, den Anteil an Spam, das Aufkommen von Viren sowie den Prozentsatz von blockierten E-Mails zu erstellen. Hierzu erhält die Geschäftsleitung der BKB jeden Monat eine Zusammenfassung mit allen relevanten Informationen. Zusätzlich zum E-Mail-Verkehr sammelt das Monitoring-Tool auch systematisch die Firewall-Logs und wertet diese aus.

Die BKB baut die Lösung weiterhin kontinuierlich aus. Das Ziel ist die Ausdehnung von SEM auf die Überwachung der kompletten DMZ-Infrastruktur, beispielsweise Logfiles der Windows-Server, Netzwerkkomponenten oder auch Internetverkehr.

Security Event Management (SEM)

Eine SEM-Lösung analysiert permanent das Verhalten der IT-Infrastruktur. Man spricht von Security Event Management (SEM) und auch von SIEM, wobei das I für Information steht. Mit Information sind Themen wie Reporting (Compliance) gemeint, wohingegen Event für operative Themen wie das laufende Erkennen von Vorfällen steht.
Die Grundfunktionen:
- Monitoring von allen relevanten Objekten
- Normalisierung und zentralisierte Eventdaten-Speicherung
- Zentrale Archivierung der Daten
- Manuelle Analyse und Berichterstellung
- Datenkorrelation und automatisierte Event-Generierung
- Reports für Compliance, Audits und
- Management
Die wichtigsten Vorteile:
- Die SEM-Lösung reduziert die Komplexität in der DMZ
- Transparenz im gesamten E-Mail-Verkehr
- Spam-Reporting durch passives Monitoring sichergestellt
- Relevante Informationen jederzeit auf Abruf verfügbar
- SEM kann problemlos auf weitere DMZ-Komponenten ausgeweitet werden