Schwachstellenanalyse als Risikomanagement
Schwachstellenanalyse als Risikomanagement Für Geldinstitute bedeutet Schwachstellenanalyse mehr als nur das Auffinden von Sicherheitslücken auf technischer Ebene. Sie ist Teil eines ganzheitlichen Infrastruktur-Risikomanagements.
Gesetzliche Auflagen wie die EU-Richtlinie zum Datenschutz, die Eigenkapital-Richtline Basel II oder das amerikanische Sarbanes-Oxley-Gesetz (SOX) bringen Führungskräfte aus Technik und Wirtschaft in Zugzwang. Besonders stark betroffen sind die Banken. Basel II ist für alle bindend, während sich Versicherungsunternehmen voraussichtlich ab 2008 den EU-Vorgaben Solvency II stellen müssen. Noch haben nicht alle Unternehmen erkannt, dass ihnen eine übergreifende IT-Strategie, die eine strategische Planung sowohl auf technischer als auch auf prozessualer Ebene für die kommenden fünf bis zehn Jahre vorgibt, die Erfüllung der verschiedensten Anforderungen erleichtert. Denn das Gros der komplexen Bestimmungen weist durchaus Gemeinsamkeiten auf, die sich nutzen lassen, um den Aufwand für die Erfüllung der verschiedenen Vorgaben zu verringern. Lassen sich doch die einzelnen Vorschriften auf bestimmte Basisanforderungen reduzieren. Vier IT-Bereiche sind laut John Hagerty, Vice President bei AMR Research, Bestandteil aller IT-relevanten Gesetze. Sie stellen also sozusagen den größten gemeinsamen Nenner dar:
• Sicherheit,
• Prozess-Management, sprich: Reglementierung des Informationsflusses,
• Berichtswesen (Reporting) beziehungsweise Risiko-Management,
• Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten (siehe Grafik auf S. 29).
»Wer seine Denkweise bereits dahingehend ausgerichtet hat, tut sich mit der Erfüllung der Vorschriften weitaus leichter«, resümiert Hagerty. Einer, der es aus der Praxis wissen muss, ist Lutz Bleyer, Leiter der zentralen Sicherheit bei Fiducia IT: »Risikomanagement ist die Voraussetzung, um Problempunkte zu erkennen und den Ist-Zustand mit den Zielvorgaben abgleichen zu können.« Schwachstellenerkennung trägt laut Bleyer dazu bei, einen Teil der Risikomanagement-Gleichung zu definieren. »So kann man sein aktuelles Risikoniveau präziser bestimmen und dann auf das Niveau hinarbeiten, das man erreichen möchte.«
Basel II zwingt Banken zum Handeln
Die Fiducia IT hat ein ganzheitliches Risikomanagementsystem implementiert. »Für uns bedeuten Basel II und das von der deutschen Bankenaufsicht BaFin vorgegebene Risikomanagement-Raster MaRisk vor allem, dass wir quantitative Risikomessungen durchführen müssen, auch und gerade im Bereich Informationssicherheit, erklärt IT-Manager Lutz Bleyer. »Dies muss laufend geschehen. Die gemessenen Veränderungen dienen uns als Grundlage für Anpassungen unserer Risikopolitik und unserer betrieblichen Sicherheitsmechanismen.« Solche Messungen gelingen heutzutage mit Hilfe von Tools, die Schwachstellen erkennen können. Einbruchssensoren sowie Systeme für Einbruchsprävention etwa haben sich einen festen Platz in der IT-Sicherheits-Infrastruktur zumindest großer Unternehmen erobert. Manche Organisationen holen sich auch Penetrationstester ins Haus, die aus dem Blickwinkel eines Eindringlings echte Angriffe auf das Unternehmen starten und somit auf Verwundbarkeiten aufmerksam machen. Der Sicherheitsdienstleister Qualys macht es seinen Anwendern noch einfacher: Mit dem Programmpaket QualysGuard lässt sich über einen gängigen Webbrowser regelmäßig alles abprüfen, was eine IP-Adresse besitzt. Und das sind mehr Geräte, als so mancher Anwender annimmt. Es gibt im Netzwerk oft eine »Schatten-IT«, also viele Komponenten, wie Drucker, Scanner, Router oder Switches, die nie oder selten in eine Sicherheitsanalyse einbezogen werden, meint man bei Qualys. Viele Anwender konzentrierten sich auf die Clients oder Server, vernachlässigten aber die übrigen Komponenten. QualysGuard gewichtet vorhandene Schwachstellen nach dem Risiko für das Geschäft. Dazu können Vorgaben von Initiativen wie dem »Common Vulnerability Scoring System« (CVSS) genutzt werden, die globale Standards für die Bewertung der Risiken von Schwachstellen festlegen. »Diese Standards stellen einen Meilenstein dar«, urteilt Sicherheitsexperte Olaf Lindner von Symantec, haben sich doch hierbei erstmals alle namhaften Sicherheitsanbieter zu einer einheitlichen Risiko-Bewertung von Verwundbarkeiten durchringen können.
Schwachstellen-Scanner ergänzt hauseigene Mechanismen
Das von AMR entwickelte »Active Compliance Framework« beschreibt die wichtigsten funktionalen Anforderungen zur Erfüllung der gesetzlichen und innerbetrieblichen Vorgaben.
Eine Bank, die Schwachstellen mit Hilfe der Scanning-Services von Qualys aufspürt, ist die Londoner Standard Chartered Bank (SCB). »2004 haben wir mit der Erprobung von QualysGuard begonnen«, sagt John Meakin, Group Head of Information Security bei der SCB. Zunächst habe man die Lösung als Schwachstellen-Scanner für die hauseigene Software eingesetzt, um die Patching-Prozesse gezielter gestalten zu können. 2004 und 2005 sei das System in diesem Teilmodus genutzt worden. Mittlerweile hat die SCB laut Meakin aber den Anwendungsbereich vergrößert: »Wir setzen es jetzt auch zur Ergänzung unseres Risikomanagementsystems ein, um die Risiken präziser messen zu können, die sich im Zusammenhang mit dem Betrieb der Systeme ergeben«, sagt Meakin. Man verwende darüber hinaus auch die neue Management-Funktion zur Überprüfung, ob interne und externe Vorgaben erfüllt sind. Man löse damit das bisherige Werkzeug ab, meint der Londoner Banker und verspricht sich dadurch erhebliche Einsparungen bei den Betriebskosten im Bereich IT-Sicherheit.
Konformitätsprüfung für PCI-Standard Den für Kreditkarten-Abrechnungs-Dienstleister sehr wichtigen Payment Card Industry (PCI-)-Standard, der den geschützten Umgang mit Zahlungsdaten sicherstellt, überprüft die in Grasbrunn bei München ansässige Wirecard Bank mit Hilfe des Qualys-Werkzeugs. Die sogenannte PCI On-Demand-Plattform basiert auf der Scanning-Technik von Qualys und soll es Unternehmen erleichtern, die Anforderungen des PCI-Standards zu erfüllen. Eine speziell dafür entwickelte Applikation führt die Firmen durch alle wesentlichen Schritte des Prüfprozesses. Zudem können die Banken mit Hilfe dieses Prozesses jederzeit ermitteln, ob Händler und andere Partner die Vorgaben erfüllen. Zusätzlich hilft ein vPCI-Partnerprogramm Beratern und Anbietern von Managed Security-Leistungen dabei, eigene PCI-bezogene Anwendungen und Dienste zu entwickeln, die auf der Plattform QualysGuard aufsetzen.
Ursula Kafka ist freie Journalistin in Seefeld bei München
- 1. Seite: Schwachstellenanalyse als Risikomanagement
- 2. Seite: Basel II zwingt Banken zum Handeln
- 3. Seite: Schwachstellen-Scanner ergänzt hauseigene Mechanismen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
