docals PDF
download 
Report Transcription
als PDF
ix.0707.x.01-16.neu1 08.06.2007 10:07 Uhr Seite I sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG IT-Security extra IT-Security Rootkits – eine aktuelle Bestandsaufnahme Schwerpunkte: ● Rootkits ● Risikomanagement Rootkits – eine aktuelle Bestandsaufnahme Auf Dauer eingenistet Seite I Risikomanagement: Methodik, Einführungsprozesse und unterstützende Anwendungen No Risk – more Fun Seite X Vorschau Storage Schwerpunkt: Archivierungshardware Seite XVI Veranstaltungen 26. – 29. Juni, Dresden 22nd International Supercomputing Conference www.supercomp.de/isc2007 2. – 3. Juli, Berlin 3. Mailserver-Konferenz www.heinlein-support.de/web/akademie/mailserverkonferenz-2007/mk07-details/ 5. Juli, Stuttgart 10. Java Forum Stuttgart www.java-forum-stuttgart.de 24. – 28. Juli, Portland, OR 8th Open Source Convention (OSCON) conferences.oreillynet.com/os2006/ 11. – 12. September, Stuttgart 3rd International Conference on IT-Incident Management & IT-Forensics (IFM) www.imf-conference.org Auf Dauer eingenistet er größte Teil der in Umlauf gebrachten Schadsoftware lässt sich heutzutage problemlos mit gängigen Antiviren-Scannern erkennen und entfernen. Alles andere als trivial ist dagegen das Aufspüren moderner Varianten sogenannter Rootkits, die sich maskieren und Dateien sowie Prozesse verstecken, um möglichst lange auf dem kompromittierten System zu bleiben. In den letzten Jahren hat allmählich die Schadsoftware zugenommen, die Rootkit-Technik nutzt. Insbesondere Viren, Würmer und trojanische Pferde entziehen sich so immer mehr der Entdeckung und Entfernung durch gängige Antivirenprogramme. Bereits 1989 waren Methoden und Werkzeuge bekannt und im Umlauf, deren Ziel es war, die Überwachung von Unix-Systemen zu umgehen. So wurden damals sogenannte „Logfile Cleaner“ in einem gehackten System entdeckt. Aus diesen und weiteren Werkzeugen entwickelten sich bis Mitte der 90er-Jahre nach und nach Rootkits. Zwei CERT-Advisories beschrieben damals das erste Rootkit bei Einbrüchen in SunOS-4.x-Systeme. Der Begriff Rootkit steht für eine Sammlung von kleinen, nützlichen Programmen, die es einem Einbrecher erlauben, heimlich und dauerhaft privilegierten Zugriff auf einen Compu- D ter zu erlangen. Zum Funktionsumfang dieser Sammlungen gehören typischerweise das Verstecken von Prozessen, Netzwerkverbindungen, Dateien und Verzeichnissen, die Fernsteuerung des Computers, das Installieren von Hintertüren und das Mitschneiden von Netzwerkpaketen und Tastaturanschlägen. Rootkits sind keine Angriffswerkzeuge für Systemeinbrüche. Da sie häufig im Zusammenhang mit erfolgreichen Einbrüchen erwähnt werden und Angreifer ihre Technik in andere Schadsoftware wie Viren, Würmer und trojanische Pferde integrieren, bezeichnen viele sie häufig fälschlicherweise als Angriffs-Tool. Rootkits nutzen auch gelegentlich Exploits, doch im Unterschied zu Angriffswerkzeugen eben nicht, um in ein System einzudringen, sondern um nach einem Einbruch etwa Speicherstrukturen zu verändern oder eigenen Code in den Kernel einzuschleusen. Die Bedrohung, die von Rootkits ausgeht, liegt in ihrer versteckten Arbeitsweise: Beispielsweise können mithilfe von Rootkits versteckte Hintertüren in Systemen oder SpamMail-Relays für einen längeren Zeitraum unentdeckt bleiben und somit für beliebige Zwecke genutzt werden. Obwohl bereits 1999 Greg Hoglund mit dem NT-Rootkit eine Konzeptstudie zu Windows-Rootkits veröffentlichte, galten sie auch noch lange Zeit I ix.0707.x.01-16.neu2 12.06.2007 10:10 Uhr Seite II IT-Security danach eher als typische Bedrohung von Unix-Systemen. Spätestens seit Ende des Jahres 2005 allerdings hat sich diese Meinung geändert. Einen maßgeblichen Beitrag dazu leistete das Platten-Label Sony BMG, das einige Musik-CDs mit dem XCP-Kopierschutz (Extended Copy Protection) auslieferte, um per Digital Rights Management (DRM) das Kopieren zu verhindern. Um sich auf dem Computer des Anwenders zu verstecken, nutzte dieser Kopierschutz Methoden, die bisher nur von Rootkits bekannt waren. Mehr als 500ˇ000 Systeme in 135 Ländern versah man so, in den allermeisten Fällen ohne Wissen der Benutzer, mit einer Kontrollsoftware, die sich vor Entdeckung verbirgt und ihr Entfernen verhindert. Als wäre das nicht schlimm genug, entdeckten Experten relativ schnell, dass es zudem leicht möglich war, andere (ebenfalls bösartige) Software mithilfe des XCP-Kopierschutzes vor Entdeckung zu schützen. Für das Verständnis von Rootkits ist es wichtig zu wissen, dass die meisten Betriebssysteme lediglich zwei Modi kennen, in denen Code ausgeführt wird: User-Mode und Ker- nel-Mode. Die Trennung von User- und Kernel-Mode setzt letzten Endes der Prozessor durch. Eine der bekanntesten Arten der Speicher- und Prozesstrennung ist das Prinzip der Ringe, das auch den Intelund AMD-CPUs zugrunde liegt: Dabei gibt es vier Ringe, wobei Ring 0 die höchsten und Ring 3 die geringsten Privilegien beim Zugriff auf die Hardware hat. Die CPU weist gewöhnlich jedem Prozess einen Ring zu und verhindert direkte Zugriffe auf einen Ring mit niedrigerer Nummer. Versteckspiele im Ausführmodus Wie die meisten Betriebssysteme nutzen Windows und Linux nur Ring 0 (also den Kernel-Mode) und Ring 3 (den User-Mode) einer CPU. Anwendungen, etwa eine Textverarbeitung, laufen im User-Mode und sind unprivilegierte Prozesse. Der Kernel-Mode bezeichnet einen Ausführungsmodus, in dem der Prozessor Zugriff auf den gesamten Systemspeicher und alle Prozessorbefehle gewährt. Alle Systemdienste und auch Gerätetreiber von Drittherstellern laufen im Kernel-Mode, weil sie auf Low-Level-Kernel- Der Blacklight-Scanner von F-Secure, eines der ersten RootkitScanwerkzeuge, sucht nach versteckten Dateien, Ordnern und Prozessen (Abb. 1). II Unterschiede zwischen den durch Schnittstellenabfrage gelieferten und den sogenannten Rohdaten bringen den RootkitRevealer von Sysinternals auf die Spur des AFX-Rootkit (Abb. 2). Funktionen und -Strukturen zugreifen und in vielen Fällen direkt mit der Hardware kommunizieren müssen. Wichtig ist vor allem, dass auch Programme, die mit den Privilegien des Systemadministrators ausgeführt werden, innerhalb von Ring 3 (also im User-Mode) laufen. Das betrifft die meisten Werkzeuge, die Rootkits und andere Schadsoftware entdecken können. Fatale Privilegienverteilung Rootkits lassen sich entsprechend ihren Zugriffsrechten auf das Computersystem in zwei Kategorien einteilen: UserMode- und Kernel-Mode-Rootkits. Erstere laufen als separate Anwendungen oder innerhalb von existierenden Anwendungen. Ein Kernel-Mode-Rootkit hingegen hat alle Zugriffsrechte des Betriebssystems und unterwandert damit das gesamte System. Entwickler von Antivirensoftware müssen sich darüber im Klaren sein, dass ein Kernel-Mode-Rootkit höhere Privilegien hat als ihr Scan-Programm. Das Rootkit kann sich daher vor dem Aufspürprogramm verstecken oder es gleich ganz deaktivieren. Diese Situation führt zu einem nie endenden Wettrennen zwischen Antivirensoftware- und Malware-Entwicklern. Um seine beiden Aufgaben zu erfüllen, einen fortwährenden Zugriff auf das System zu erlauben und den Einbrecher zu verstecken, muss ein Rootkit Techniken verwenden, mit denen es die Informationen über Prozesse, Dateien, Verzeichnisse, Treiber und Netzwerkverbindungen filtern oder manipulieren kann. Die etwas älteren Techniken funktionieren bereits im UserMode und benötigen keinen direkten Zugriff auf den Kernel des Betriebssystems: Dazu gehören im Wesentlichen Dateiund DLL-Manipulation, IAT-Hooking, Inline Function Hooking sowie Thread Injection. Die erste Generation von Rootkits tauschte einfach die den Überwachungsbefehlen des Administrators oder Systemfunktionen zugehörigen Binärdateien auf der Festplatte gegen modifizierte Versionen aus. Ein manipulierter SSH-Server beispielsweise könnte dann einem Angreifer mit einem bestimmten Benutzernamen Zugang mit Administratorrechten erlauben, ein manipulierter netstat-Befehl würde die Netzwerkverbindungen des Angreifers nicht mehr anzeigen. Verfälscht man Funktionen direkt in einer Bibliothek, bei iX extra 7/2007 ix0707_x_000_ESET.indd 1 08.06.2007 11:59:45 Uhr ix.0707.x.01-16.neu2 12.06.2007 10:10 Uhr Seite IV IT-Security Windows in den sogenannten Dynamic Link Librarys (DLLs), so sind davon nicht mehr nur Einzelprogramme betroffen, sondern alle Anwendungen, die diese Funktion nutzen. Die Methode der direkten Datei- oder DLL-Manipulation spielt heute nur noch eine untergeordnete Rolle, da sie leicht durch sogenannte File System Integrity Checker, beispielsweise Tripwire, und gängige Antivirensoftware aufgespürt werden kann. Moderne Betriebssysteme sind so ausgelegt, dass man sich an vielen Stellen in den Aufruf von Betriebssystemfunktionen einhängen kann (hooking). Das nutzen Hersteller, um das Betriebssystem flexibel, erweiterbar und abwärtskompatibel zu gestalten. Die Technik des Hooking funktioniert im User- sowie im Kernel-Modus. Indem ein Rootkit seinen Code in einen solchen Aufruf einfügt, kann es sowohl den Aufruf selbst als auch das Ergebnis des Aufrufs beliebig manipulieren. Ändert ein Rootkit den Zeiger auf eine Funktion in der sogenannten Import Address Table (IAT), kann es in den Aus- FREIE ANTIROOTKIT-SOFTWARE Die Übersicht erhebt keinen Anspruch auf Vollständigkeit Software AntiRootkit Anti-Rootkit Arman Nayyeri AVG Anti-Rootkit chkrootkit Clamwin Darkspy 10.5 DiamondCS Dynamic Security Agent Exe LockDown Exploit Prevention Labs Gentle Security GMER Greatis Unhackme Helios IceSword InfoProcess Antihook OS X Rootkit Hunter Rootkit Buster Rootkit Hunter Rootkit Profiler LX RootkitShark Rootkit Uncover Rootkit Unhooker Scanner Security Task Manager SEEM System Virginity Verifier Swatkat SysProt Antirootkit Win Patrol Zeppoo IV Webadresse www.sophos.com www.panda-software.de www.antirootkit.com/software/ NeoavaGuard.htm www.zdnet.de www.chkrootkit.org/ www.clamwin.com www.fyyre.net/~cardmagic www.antirootkit.com/software/ ProcessGuard.htm www.privacyware.com www.horizondatasys.com www.antirootkit.com/software/ SocketShield.htm www.antirootkit.com/software/ GeSWall-Personal-Edition.htm www.gmer.net www.greatis.com/unhackme helios.miel-labs.com www.antirootkit.com www.infoprocess.com.au/ AntiHook.php www.antirootkit.com/software/ OS-X-Rootkit-hunter.htm www.trendmicro.com www.antirootkit.com www.trapkit.de www.antirootkit.com www.antirootkit.com www.antirootkit.com www.antirootkit.com www.download.com www.antirootkit.com www.invisiblethings.org swatrant.blogspot.com/ www.zdnet.de www.zeppoo.net Der Filtertreiber des HackerDefender-Rootkit, hier entdeckt durch das Werkzeug DeviceTree, lässt auf das Vorhandensein dieser Malware schließen (Abb. 3). führungsablauf eigenen Code einfügen und damit das Ergebnis der Funktion verändern. Die zweite Möglichkeit im UserMode Hooks einzusetzen, ist das Inline Function Hooking. Im Unterschied zu IAT Hooking manipuliert das Rootkit hier keine Zeiger in Tabellen, sondern überschreibt direkt Codebytes in der Zielfunktion. Im Fall der Thread Injection erzeugt es keinen neuen Prozess, den es wieder verstecken müsste, sondern fügt einen Thread in einen passenden legalen Prozess ein. Dieser wird dann im Kontext des „Mutter“-Prozesses ausgeführt. Da diese Methode nicht sehr flexibel ist und nur für winzige Programme funktioniert, hat sie in der Praxis kaum Bedeutung. Variantenreiche Manipulationen Modernere Methoden setzen direkt im Kernel an und verwenden Technologien wie SSDT Hooking, IDT Hooking, Filtertreiber, direkte Manipulation von Kernel-Objekten (DKOM) oder Kontrolle des virtuellen Speichers. Ein Programm im UserMode ruft über eine API eine Funktion innerhalb einer DLL auf. Sofern diese Funktion bei ihrer Arbeit die Unterstützung des Betriebssystems benötigt, ruft sie ihrerseits eine sogenannte Betriebssystemfunktion auf. Die Adressen dieser Betriebssystemsfunktion verwaltet der Kernel in der System Service Description Table (SSDT), auch als System Call Table bezeichnet. Läuft ein Rootkit im KernelMode, beispielsweise weil es als Gerätetreiber geladen wurde, kann es analog zum IAT-Hooking die Adresseinträge in der SSDT auf eigenen Code zeigen lassen. Im Unterschied zum IAT Hooking betrifft diese sehr umfangreiche Manipulation allerdings nicht nur einen Prozess, sondern alle Prozesse, die im System den entsprechenden System Call nutzen möchten. Die Interrupt Description Table (IDT) gibt an, wo bei auftretenden Interrupts die Codeausführung fortzusetzen ist. Solche Interrupts kann beispielsweise das Drücken einer Taste, das Eintreffen eines Netzwerkpaketes an der Netzwerkkarte oder eine Anwendung auslösen. Beim IDT Hooking verändert das Schadprogramm den Eintrag in dieser Tabelle so, dass nach einem Interrupt eine manipulierte Routine abgearbeitet wird. Betriebssysteme erlauben es üblicherweise, Gerätetreiber übereinanderzuschichten und zu einer Kette zu verbinden. Dies ermöglicht es Entwicklern, das Verhalten eines bestehenden Treibers zu verändern, ohne einen komplett neuen Treiber schreiben und dabei wieder von iX extra 7/2007 Mr.Black AN EINEM MONTAGMORGEN IN ZWEI FIRMENNETZWERKEN ... & Mr.White Programmstart Programmstart WER HIER REIN MÖCHTE, WIRD ZUERST VON MIR ÜBERPRÜFT! HALT! ICH BIN HIER DER VIRENSCANNER! IN MEINER „BLACKLIST“ SIND ALLE GEFÄHRLICHEN PROGRAMME VERZEICHNET. IN MEINER „WHITELIST“ SIND ALLE PROGRAMME AUFGELISTET DENEN UNSER ADMIN VERTRAUT. DA GEHEN WIR AUF NUMMER SICHER ! TUT MIR LEID. SIE SIND LEIDER NICHT ALS VERTRAUENSWÜRDIG EINGESTUFT WORDEN! SIE HABEN GLÜCK. TYPEN MIT SONNENBRILLEN SIND UNS DERZEIT NICHT BEKANNT. DER NÄCHSTE ... AUGENBLICK! DIE FALLTÜRE SCHLIESST SOFORT WIEDER. ALSO DIESE NEUE SICHERHEITSLÖSUNG „SECUSURF“ VON WWW.4SS.DE MACHT SICH JA WIRKLICH UNHEIMLICH SCHNELL BEZAHLT! "Secusurf stellt technisch sicher, dass ausschließlich nur noch Programme ausgeführt werden können, die von der Administration als vertrauenswürdig eingestuft wurden. Jegliche andere Software und dazu zählen Viren, die erst nächste Woche erfunden werden genauso, wie ein Spiel, das ein Mitarbeiter von zuhause mitbringt - ist in der großen Gruppe der unbekannten Programme und kann daher nicht ausgeführt werden." Infos unter: www.4ss.de ix0707_x_00_SecuSurf.indd 1 16.05.2007 17:58:29 Uhr ix.0707.x.01-16.neu2 12.06.2007 10:10 Uhr Seite VI IT-Security vorne anfangen zu müssen. Der mit dem alten Treiber verkettete neue Treiber übernimmt in vielen Fällen die Funktion eines Filters. Rootkits können dieses Feature des Betriebssystems natürlich ebenso nutzen, indem sie Rootkit-Treiber ins System einbringen, die beispielsweise die Datei- und Verzeichnisanzeige oder die Netzwerkkommunikation manipulieren. Für seine Verwaltungs- und Kontrollaufgaben benötigt das Betriebssystem spezielle Kernel-Strukturen, die man unter Windows als Objekte bezeichnet. Kernel-Mode-Rootkits können an dieser Stelle angreifen und auch durch direktes Mani- pulieren dieser Kernel-Objekte ihr Ziel erreichen. So sind beispielsweise alle Prozesse in einem Windows-Betriebssystem innerhalb eines Kernel-Objekts in einer Liste registriert. Wird ein Prozess aus dieser Liste entfernt, ist es für Anwendungen, etwa den Task Manager, nicht mehr möglich, auf diesen Prozess zuzugreifen und ihn anzuzeigen. Bei der Kontrolle des virtuellen Speichers versucht das Rootkit anhand der Art des Speicherzugriffs eines Programms zu erkennen, ob es sinnvoll ist, dem Programm manipulierte oder ursprüngliche Speicherinhalte zurückzugeben. Erkennt das Root- kit beispielsweise einen lediglich lesenden Zugriff auf seinen eigenen ausführbaren Code, so könnte das ein Hinweis auf einen Anti-Rootkit-Scanner sein. Herkömmliche Rootkits nisten sich in einem bestehenden System ein und verbergen ihre Spuren vor dem Anwender über Manipulationen auf User- oder Kernel-Ebene. Programme, die Schadsoftware entdecken können, agieren mit ihren Routinen somit auf der gleichen Ebene. Es ist daher leicht nachvollziehbar, dass sich ein Rootkit sehr viel erfolgreicher verstecken lässt, wenn man es schafft, es komplett außerhalb des Betriebssystems eines befallenen ANBIETER VON ANTIROOTKIT-SOFTWARE Die Übersicht erhebt keinen Anspruch auf Vollständigkeit Anbieter Aon Ashampoo Avira Backfaces Bitdefender Clearswift Computer Associates F-Secure Gdata Ghost Security Gmer Grisoft IDefense Ikarus Kaspersky Lavasoft McAfee Avert Labs Microsoft Microsoft Novatix Panda Software PC Tools Resplendence Seculution SoftSphere Technologies Sophos Symantec Trend Micro Webroot Websense Wenpoint VI Software Ikarus aon Virenchecker Antispyware 1.6 Antivir Process Master Rootkit Uncover MIMEsweeper Internet Security Suite Internet Security 2007, Client Security 7 Internet Security 2007 AppDefend Gmer AVG AntiRootkit HookExplorer Virus Utilities Antivirus 6 Aries Rootkit Remover RootKit Detective Forefront Client Security, Sysinternals Sysinternals Rootkit Revealer Cyberhawk ActiveScan Spyware Doctor 5 RootKit Hook Analyzer SecuSurf DefenseWall HIPS Anti-Virus Norton Internet Security 2006, AntiVirus 2006, SystemWorks 2006 OfficeScan 8.0 (in Kürze) Spy Sweeper Security Suite 6.3 HiddenFinder Webadresse www.aon.at www.ashampoo.com www.avira.de www.backfaces.com www.bitdefender.de www.clearswift.de www.ca.com/de www.f-secure.de www.gdata.de www.ghostsecurity.com www.gmer.net www.grisoft.de labs.idefense.com/ www.ikarus-software.at www.kaspersky.de www.lavasoft.de www.mcafee.com www.microsoft.de www.microsoft.de www.novatix.com www.panda-software.de www.pctools.de www.resplendence.com www.seculution.de www.softwphere.com www.sophos.de www.symantec.de www.trendmicro.com www.webroot.de www.websense.de www.wenpoint.com Systems zu installieren und ablaufen zu lassen. Rootkits auf der Basis virtueller Maschinen Seit einiger Zeit wird experimentell an einer neuen Art von Rootkits gearbeitet: Forscher der Uni Michigan und Microsoft zeigten mit dem Proof-of-Concept-Rootkit SubVirt, was die nächste Generation von Rootkits ausmachen könnte. Während sich aktuelle Rootkits in einem bestehenden System einnisten und die Spuren ihres Vorhandenseins vor dem Anwender verbergen, geht SubVirt deutlich weiter. Das Rootkit installiert sich gewissermaßen unter das vorgefundene System und führt dieses nach einem Neustart in einer virtuellen Maschine aus. Während der Anwender an seinem Gastbetriebssystem normal weiterarbeiten kann, führt SubVirt von ihm unbemerkt in einer zweiten Instanz der virtuellen Maschine seine Schadfunktionen aus. Das Rootkit lässt sich vom Gastbetriebssystem aus weder beenden noch deinstallieren, da es selbst die virtuelle Maschine kontrolliert, in der sich das Betriebssystem des Opfers befindet. Die Forscher bezeichnen ihre Technik als Virtual-Machinebased Rootkit (VMBR). Sie konnten sowohl Windows-XPals auch Linux-Maschinen kompromittieren und insgesamt für vier Angriffsmethoden Proof of Concepts realisieren: einen Phishing-Webserver, einen Keylogger, eine Spyware, die das infizierte System nach sensiblen Informationen scannt sowie ein Abwehr-Tool für gängige Systeme, die virtuelle Maschinen erkennen. Die Windows-Version von SubVirt basiert auf der Software Virtual PC von Microsoft, die der Linux-Version auf VMware. Eine ähnliche Technik benutzt das Rootkit Blue Pill von Joanna Rutkowska. Es wurde bisher nur unter Windows Vista iX extra 7/2007 E- MAIL & WEB SECURITY APPLIANCES VIREN VORHERSAGEN? JA, DAS GEHT! Neue Computerviren verbreiten sich heute innerhalb weniger Stunden, manchmal sogar in Minuten. Für Unternehmen entsteht dadurch eine gefährliche Sicherheitslücke: die Reaktionszeit der Antiviren-Hersteller! Unser Virus Outbreak Filter stoppt die Gefahr bereits in der Entstehung. Mit SenderBase, der weltweit größten Datenbank zur Analyse des globalen E-Mail- und Web-Traffics, werden Anomalien in Echtzeit erkannt. So sind Sie umgehend vor neuen Viren geschützt. tz Virenschu it in Echtze Aktuelle Bedrohungen auf: www.senderbase.org RZ_AZ_IP_200x280_060607.indd 1 06.06.2007 16:50:19 Uhr IT-Security Kraft. Können. Ausdauer. Ihre 19“ IT hat hohe Ansprüche. Die Powerware 9140 USV erfüllt sie. Beta x64 realisiert, das Konzept sollte prinzipiell aber auch für Betriebssysteme wie Linux und BSD funktionieren. Blue Pill infiltriert das System ohne Neustart und kontrolliert es über einen minimalen Hypervisor; dazu nutzt es die Virtualisierungstechnik SVM/Pacifica von AMD. Ein weiteres Virtual-Machine-based Rootkit, das in der Lage ist, Windows zur Laufzeit in eine virtuelle Maschine (VM) zu verschieben, ist Vitriol. Es nutzt dazu Intels Virtualization Technology (VT-x, ehemals Vanderpool). Vitriol wurde von Dino Dai Zovi entwickelt und bereits 2006 vorgestellt – damals allerdings nicht demonstriert. Rootkits aufspüren Kraft 7,5 – 10 kVA saubere, kontinuierliche Leistung in nur 6 HE Können Einfachste Installation, Wartung und Management Ausdauer Sicherer Betrieb schützt Ihre wertvollen IT-Investitionen über viele Jahre hinweg In Racks mit mittlerer bis hoher Leistungsdichte liefert die Doppelwandler-USV Powerware 9140 höchste Sicherheit – keinen Stress. Mehr unter: www.powerware.de Tel. +49 (0) 7841 604-0 …mit Sicherheit U S V- U N D D C - S Y S T E M E ix0707_x_01_16_neu1.indd 8 Es ist extrem schwer, Rootkits aufzuspüren oder zu entfernen, wenn sie das System erst einmal kompromittiert haben – zumal wenn sie die beschriebenen Techniken oder gar Kombinationen aus ihnen verwenden. Herkömmliche Antiviren- oder Anti-RootkitScanner versagen hier häufig. Es gibt aber jenseits der Standardverfahren einige Methoden und Werkzeuge, die Rootkits dennoch enttarnen. Dazu gehören signaturbasierte Erkennung, heuristische Erkennung und cross-view-based Rootkit-Detection. Signaturbasierte Erkennung, wie sie Antiviren-Software seit Jahren einsetzt, um aus einer Art digitalem Fingerabdruck der Schadsoftware im Dateisystem auf eine mögliche Infektion zu schließen, wirkt nicht, wenn das Rootkit fortgeschrittenere Techniken wie Hooking einsetzt. Häufig lassen sich allerdings Spuren von bekannten Rootkits aufspüren, wenn man diese Methode auf den Kernel-Speicher des Systems anwendet. Das liegt daran, dass die wenigsten Rootkits sich die Mühe machen, ihren Code zu maskieren, und sie als Kernel-Treiber typischerweise im Non-Paged-Speicherbereich liegen. Unabhängig davon, ob sie beispielsweise IAT-, InlineFunction-, SSDT- oder IDT-Hooking verwenden, lassen sich Rootkits, von denen Signaturen bekannt sind, auf diese Art aufspüren. Machtlos sind die Scanner natürlich, wenn entweder keine Signatur bekannt ist oder das Rootkit den Zugriff auf den Speicher kontrollieren kann. Was ist schon normal Der Vorteil von heuristischer gegenüber signaturbasierter Erkennung liegt darin, dass sie theoretisch auch neue, bislang unbekannte Rootkits entdecken kann. Dabei suchen die entsprechenden Werkzeuge nach allen Abweichungen im Verhalten des Systems, die nicht dem „normalen“ Verhalten entsprechen. Die Schwierigkeit bei dieser Methode besteht aber häufig darin, dass es nicht immer ganz einfach ist, das „normale“ Verhalten überhaupt zu definieren. Ein weiterer interessanter Ansatz ist die sogenannte Cross-View-based Rootkit-Detection (CVBRD). Sie macht sich die Tatsache zunutze, dass ein versteckt agierendes Rootkit den Anwendungen bei Gebrauch der typischen Schnittstellen (APIs) zum Kernel modifizierte Daten übergibt, die nicht den wahren Inhalten von Speicher, Dateisystem oder Registry entsprechen. Könnte man diese Daten als falsch erkennen, so wäre das ein Hinweis auf das Vorhandensein eines Rootkit. Daher versucht man nun, versteckte Dateien, Ordner und Registry-Einträge dadurch zu finden, dass man den Inhalt eines Dateisystems beziehungsweise der Registry einmal über die normalen Betriebssystem-APIs abfragt (high level scan) und ein weiteres Mal an diesen APIs vorbei über tiefer im System iX extra 7/2007 12.06.2007 10:28:30 Uhr IT-Security liegende Funktionen (low level scan). Ein Bespiel für einen solchen Low-Level-Zugriff wäre das Einlesen von rohen Festplattensektoren über die Funktion ReadFile(). Die eingelesenen Sektoren müssen allerdings gemäß dem Layout des Dateisystems selbst geparst, interpretiert und wieder in Dateien und Verzeichnisse umgewandelt werden. Erst dann ist ein Vergleich mit den vom Betriebssystem gelieferten Dateien und Verzeichnissen möglich. Analog dazu kann man den RegistryHive (das Format, in dem Registry-Werte auf der Festplatte gespeichert sind) aus rohen Festplattensektoren extrahieren und vergleichen. Auf ähnliche Art und Weise lassen sich auch die Datenstrukturen, in denen Prozesse verwaltet werden, in ihrer Rohform im Kernel suchen und mit den Rückgabewerten einer Anfrage über die typische BetriebssystemAPI vergleichen. Eine Einschränkung des Cross-View-basierten RootkitDetection-Ansatzes ist, dass er keine Hinweise auf Rootkits findet, die ihre Existenz nicht grundsätzlich verbergen oder den Scan-Vorgang erkennen und sich temporär deaktivieren. Diese Einschränkung stellt allerdings keine große Herausforderung dar, wenn man den Scan mit herkömmlichen Antiviren- oder Anti-Rootkit-Programmen kombiniert. Sie spüren das Schadprogramm recht zuverlässig auf, sofern es sich um ein persistentes Rootkit handelt, das sich nach einem Systemneustart von der Festplatte erneut in den Kernel einbringt. Einige Hersteller haben den Ansatz der Cross-View-basierten Rootkit-Entdeckung bereits in dedizierte Rootkit-DetectionWerkzeuge für Windows-PCs umgesetzt, dazu gehört beispielsweise Sysinternals RootkitRevealer. Fazit Der beste Schutz gegen Rootkits ist nach wie vor, sie erst gar nicht auf das System zu lassen. Entsprechende Vorkehrungen im Bereich der Netzwerk-, Betriebssystem- und Applikationssicherheit sollten zum Basisumfang jedweden Sicherheitsmanagements gehören. Haben Rootkits erst einmal das System kompromittiert, können sie sich nicht nur über die beschriebenen Methoden verstecken, sondern auch neueren Erkennungsfunktionen wie CVBRD entgehen, indem sie ebenfalls die bei den Low-Level-Zugriffen benutzten Systemfunktionen manipulieren. Ein Scanner wäre dann gezwungen, eine Funktion zu benutzen, die noch tiefer im System, sprich näher an der Hardware, agiert. Zwischen Angreifer und Verteidiger wird derjenige das Wettrennen gewinnen, der die tiefste Schicht im Computersystem kontrolliert. Je näher man allerdings der Hardware kommt, desto mehr Spezifika sind zu berücksichtigen – was für beide Seiten den Aufwand beträchtlich erhöht. Durch die generelle Etablierung von Virtualisierungstechniken könnten schon bald virtual-machine-based Rootkits zu einer realen Bedrohung außerhalb des Labors werden. Dann müsste ein adäquater Schutz noch weiter unten ansetzen – also beispielsweise auf BIOS- oder Hardware-Ebene. Trotz der bestehenden Hürden bei der Entdeckung erhöhen die diversen Anti-RootkitProgramme den Aufwand für Cyberkriminelle oder AuftragsMalwareschreiber beträchtlich, ein brauchbares Rootkit zu entwickeln. Die allerdings wirksamste Waffe gegen die Verbreitung von Schadsoftware mit Rootkit-Technologie ist nach wie vor das Wissen um ihre Existenz und Arbeitsweise. (sf/ur) Wilhelm Dolle ist Senior Security Consultant bei der Berliner HiSolutions AG. Wer verteidigt IHR Netzwerk? Ausgezeichnete Virenengine Proaktiver Schutz gegen unbekannte Gefahren Zentral administrierbar Geringe Systembelastung BitDefender wurde von führenden AntiViren-Labors zertifiziert: Weitere Informationen finden Sie unter: www.bitdefender.de/smb ® © 300112 iX extra 7/2007 ix0707_x_01_16_neu1.indd 9 12.06.2007 15:11:59 Uhr ix0707_x_00_bitdefender.indd 1 05.06.2007 11:42:14 Uhr IT-Security No Risk – more fun Risikomanagement: Methodik, Einführungsprozesse und unterstützende Anwendungen Ein erfolgreiches Risikomanagement erfordert ein systematisches Identifizieren, eine Analyse und Priorisierung der Risiken sowie die Umsetzung und Kontrolle von Gegenmaßnahmen. ls Risiko wird allgemein die Wahrscheinlichkeit des Eintretens eines schädlichen Ereignisses bezeichnet. Was im Einzelfall als Risiko gilt, hängt vom jeweiligen Umfeld ab. Aufgabe des Risikomanagements (RM) ist es, Risiken und Chancen systematisch zu identifizieren und sie hinsichtlich ihres Gefährdungspotenzials für den Geschäftserfolg zu bewerten. Ferner sind Planung, Durchführung und Bewertung von risikominimierenden Maßnah- A men Bestandteil des RMs. Prinzipiell lassen sich Risiken durch Notfallkonzepte für mögliche Störfälle, Vermeidung riskanter Projekte, Versicherung der Risiken oder besonderes Controlling risikobehafteter Prozesse managen. Viele Unternehmen erkennen inzwischen jedoch auch den ökonomischen Mehrwert eines konsequenten Risikomanagements. Als Ergebnis der wachsenden Zahl von Unternehmenskrisen wurde im Mai 1998 ein Ge- Risikoidentifizierung 1 Risikobewertung 2 akzeptabel? setz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingeführt, das die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfer in Unternehmen erweitert. Es verlangt von der Unternehmensleitung, ein Risikomanagement einzuführen und Risiken im Jahresabschluss zu veröffentlichen. Als Folge müssen die Unternehmen ein Risikomanagement aufbauen, das sich mit der Identifizierung, Bewertung, Bewältigung und der Früherkennung von Risiken befasst. Das Management muss über eine RMStrategie entscheiden. Risikomanagement gibt es jedoch nicht erst seit Einführung dieses Gesetzes. Im operativen Management, beispielsweise bei Investitionsentscheidungen, ist es häufig längst Standard. Risikomanagement bezieht sich vor allem auf geschäftskritische Prozesse. Die Aufgabe der IT dabei ist es, sowohl die Fachabteilungen beim Risikomanagement zu unterstützen als auch die eigenen IT-Prozesse einem Risikomanagement zu unterstellen. Beispiele für fachliches Risikomanagement sind das Management von Aktien- Nach Absolvieren dieser fünf Schritte sollte ein Unternehmen seine potenziellen Risiken identifiziert und im Griff, das heißt ein Risikomanagement etabliert haben (Abb. 1). 3 ja nein Alternativen erforderlich? nein ja Risiko vermindern Risiko vermeiden 4 4 Eintrittswahrscheinlichkeit/ Tragweite Risiko transferieren Recovery Plan Restrisiko betrachten nein akzeptabel? ja und 5 Überwachung Steuerung iX extra 7/2007 ix0707_x_01_16_neu1.indd 10 12.06.2007 10:28:33 Uhr -ANZEIGE- Security-Risikomanagement Unternehmensnetzwerke werden immer komplexer, IT-Bedrohungen dagegen immer vielfältiger. Häufig geht deshalb die Transparenz verloren, der Betrieb der Systeme wird zu einem Risiko selbst. Gleichzeitig wachsen die Anforderungen von Gesetzgebern und Kunden an die IT-Sicherheit. Folgerichtig fordern immer mehr Experten die Einführung eines Risikomanagements, um die Kontrolle zu behalten. RIO 3 P E RA B IL ITIE Vi e S TS 5 w po t T 2 RE ECT Bl oc e nc M EA SU RE M ME ea NT s de ure cis imp ion ac t sa o nd f secur ity acti ons 8 R ENFO CEM EN T s nd s a sure a icie pol erme e c r t o n Enf cou ent implem Für den dritten Kernbereich, den Schutz der Systeme, legt das RisikomanagementSystem eine klare Reihenfolge fest, um welche Schwachstellen auf welchen Systemen sich die Administratoren vordringlich kümmern müssen. Auf diese Weise lassen sich vorhandene Ressourcen zielgerichtet einsetzen und zuerst die für das Unternehmen wirklich relevanten Schwachstellen beheben. Ein integriertes System ermöglicht die automatische Generierung von Helpdesk-Tickets, mit denen der Verantwortliche direkt informiert wird und die Aufgabe zugeteilt bekommt, sich des identifizierten Problems anzunehmen. time sio OT PR 7 E a pli om ki nt ru 1 PO L NC yc Der zweite Kernbereich des IT-Risikomanagements ist die Erfassung der Schwachstellen auf den jeweiligen Systemen. Dies passiert mit einem sogenannten Vulnerability-Scan, bei dem jedes einzelne System auf Schwachstellen geprüft wird. Aus den Ergebnissen wird dann unter Berücksichtigung der Bedeutung des Assets und der tatsächlich für jede einzelne identifizierte Schwachstelle existierenden Bedrohung(en) das jeweilige Risiko ermittelt. 9 real PROTECTION ION COMPLIANCE ns in Implement appropriate Der vierte Kernbereich umfasst die Dokumentation und Auswertung der Prüfergebnisse. So lässt sich zum Beispiel die Effektivität getroffener Maßnahmen sichtbar machen, indem deren Resultate über einen gewissen Zeitraum mit den vereinbarten Zielen verglichen werden. So können Unternehmen genau dokumentieren, wie wirksam die getroffenen Maßnahmen sind und welches Restrisiko bleibt. Wurden Templates verwendet, die die Übereinstimmung mit bestimmten Regularien überprüfen, kann man zusätzlich deren Einhaltung dokumentieren. level Measure e risk RISK SK 6 RI Determine acceptable ASSETS rmin I CY te De Establis h standards, process and e guid s, elin es S AT Identify and prioritize PLIA olic for p M 10 CO Review McAfee® teilt Risikomanagement in vier Kernbereiche ein. Den ersten Kernbereich bildet das Identifizieren und Priorisieren der Assets im Unternehmen. Dazu identifiziert ein sogenannter Discovery-Scan im Netzwerk die verschiedenen Systeme und katalogisiert diese nach IP-Adressen sowie Betriebssystemen. Das Ergebnis dieses Scans bildet die Grundlage für die Definition der so genannten Assets, also für die Zuordnung der Systeme zu organisatorischen Gruppen, denen sich wiederum Werte zuweisen lassen, welche die Bedeutung dieser Systeme für den Geschäftsablauf ausdrücken. ix0707_x_000_mcafee.indd 1 e ts ea hr A 4 V UL N lt S SE RITIES De vulnerab termine ilitie s on ass ets ia nt ts k s e or as tw er ne e Hat er es behoben (zum Beispiel durch Einspielen eines Patches oder Anpassung der Konfiguration eines Intrusion PreventionSystems) und möchte das Ticket schließen, prüft eine übergeordnete Instanz automatisch, ob die getroffene Maßnahme effektiv war. Die Tickets lassen sich auch in bereits vorhandene HelpdeskLösungen exportieren, so dass die bestehende Infrastruktur genutzt werden kann. H Um Risiken priorisieren zu können, sind drei Faktoren maßgeblich. An erster Stelle steht die Bedeutung eines Systems für den Geschäftsablauf. Der zweite Faktor sind die Sicherheitslücken, die auf einem System vorhanden sind. Drittens ist zu berücksichtigen, wie groß die Bedrohung durch die Ausnutzung der identifizierten Sicherheitslücken wirklich ist. Erst aus der Kombination dieser drei Faktoren ergibt sich das tatsächliche Ausmaß des Risikos. ess busin ign ts Ass e to asse u l a v ac Dis ro co ss v th Ziel eines Management-Systems ist es, die vielfältigen Risiken für ein Unternehmen transparent zu machen und ihrer Bedeutung nach zu priorisieren. Es soll aufzeigen, welche Gefahren drohen und welche Bedeutung sie für ein Unternehmen haben, so dass am Ende ein konkreter Leitfaden entsteht, wo gehandelt werden muss. IT-Risikomanagement Systeme lösen die Probleme vieler IT-Manager und Unternehmen, die ihre Geschäftsprozesse schützen wollen: Sie verschaffen ihnen den oft lange vermissten Überblick über den aktuellen Stand der Sicherheit im Firmennetz. Sie liefern konkrete Hinweise auf Risiken, die den Arbeitsablauf besonders bedrohen und große finanzielle Verluste verursachen können und bieten damit die Möglichkeit, diese Risiken zielgerichtet zu beseitigen. Das Management bekommt eine umfassende Gesamtübersicht, die Administratoren dagegen detaillierte Problembeschreibungen und Lösungshinweise. Für weitere Informationen kontaktieren Sie uns telefonisch unter 089/3707-0 oder besuchen Sie uns im Internet unter www.mcafee.de. 04.06.2007 16:38:25 Uhr IT-Security fonds oder die Umsetzung der Anforderungen der unternehmensweiten Governance im Rahmen von Basel II oder KonTraG. Das strategische Risikomanagement bildet die Grundlage und die integrative Klammer des gesamten RM-Prozesses und beruht auf der Risikopolitik des Unternehmens. Das operative RM umfasst den Prozess der systematischen und laufen- den Risikoanalyse des Unternehmens und der Geschäftsabläufe. Aktives Risikomanagement spielt als Ergänzung des Projektmanagements eine zunehmend bedeutende Rolle. Zu dem klassischen reaktiven ITRM wiederum gehören die Sicherheits-Audits. Risikomanagement sollte auch organisatorisch verankert sein. Dafür ist es sinnvoll, die erforderlichen Risikofunktionen beziehungsweise -funktionsträger festzulegen – also eine Mitarbeiterrolle, die Risiken feststellt, analysiert, bewertet, entscheidet und steuert. Prozess in fünf Schritten Das Risikomanagement, ob es nun um eine Methodik oder einen Prozess geht, lässt sich grob in fünf Schritte gliedern SOFTWARE ZUR EINFÜHRUNG EINES RISIKOMANAGEMENTS Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. Anbieter Aon Avedos Decisioneering IRIS Mega Methodware Palisade RMCE Rmrisk SAP SAS Schleupen Strategic Thought Synergi Software Aon RiskConsole risk2value Chrystal Ball RiskPro GRC Plattform Enterprise Risk Assessor @Risk MIS Risk Management OptiRisk ERM Risk Management R2C Active Risk Manager Synergi Webadresse www.aon.com www.avedos.com www.decisioneering.com www.iris.ch www.mega.com www.methodware.com www.palisade-europe.com www.rmce.de www.rmrisk.ch www.sap-si.com/de www.sas.com www.schleupen.de www.strategicthought.com www.synergi.com (Abb. 1): Der erste besteht in der (iterativen) Risikoidentifizierung. Dafür bedarf es der Analyse von Risikofeldern im Unternehmen, etwa Markt-, Leistungs-, Kosten- oder Finanzstrukturen. Außerdem müssen signifikante Objekte in den Risikofeldern (Checklisten für Branchen und Unternehmensfunktionen) identifiziert werden, gefolgt von einer Überprüfung relevanter Dokumente und Berichte zu den Risikoobjekten. Im zweiten Schritt geht es um die Risikoanalyse und -bewertung, und zwar in Bezug auf Ursachen, Eintrittswahrscheinlichkeit, Auswirkungen, Schäden sowie die Risikoaggregation, das heißt Vermeidung von Überlappungen und Doppelnennungen. Danach folgt das Priorisieren, also die Risikoeinstufung gemäß der festgelegten Risikopolitik und -leitlinien des Unternehmens. Nach Abschluss dieser Schritte können die Verantwortlichen Maßnahmen für die Risikovermeidung und die Schadensreduzierung entwickeln. Wichtig ist vor allem ihre Umsetzung und die Kontrolle der Durchführung. Diese fünf Schritte erinnern nicht zufällig an den klassischen Home Edition 7.5 Unsere Sommeraktion zum Sommerpreis: ` ` ` Alles über AVG: www.jakobsoftware.de XII ix0707_000_AVG.indd 1 ix0707_x_01_16_neu1.indd 12 ` inkl. allen Support-, Lizenz- und Programmvorteilen! AVG ist besonders anwenderfreundlich: kinderleicht zu installieren und zu bedienen. AVG reagiert ständig auf neueste Virenbedrohungen. Automatisch, zuverlässig, schnell. Und stets topaktuell. AVG bietet den kompletten Rund-um-Schutz vor allen folgenschweren Internetbedrohungen wie Viren, Würmern, Trojanern, Spyware, Adware, Hackern und Spam. Und schont dabei noch die Prozessorleistung des PCs - damit Sie immer schnell und effizient Ihre Arbeit „vom Schirm haben“. Deutsche Vertretung und deutschsprachiger Support für AVG: Jürgen Jakob Software-Entwicklung · www.jakobsoftware.de AVG75 ISHE01 ive: inklus er Support Alles h fonisc ` Tele efinitionen rung d n sie ` Vire mmaktuali ra g ro P ` 1 AVG Lizenz für bis zu 3 PCs! 1- oder 2-Jahre Lizenzdauer! MS Vista® kompatibel! 06.06.2007 8:36:03 Uhr iX extra 7/2007 12.06.2007 13:38:59 Uhr IT-Security Controlling-Regelkreis aus Zielvereinbarung, Planung, Ergebnismessung, Abweichungsanalyse, Prognose und Maßnahmenentwicklung. Das Identifizieren, Analysieren und Priorisieren der Risiken ist im übertragenen Sinne vergleichbar mit der Zielfindung und der anschließenden Zielvereinbarung zur Umsetzung einer Risikopolitik, die letztendlich zur Maßnahmenplanung und -durchführung dient. Die Verantwortlichen müssen die Wirkung der Maßnahmen auf Risikoobjekte in den Risikofeldern prüfen und Abweichungen zur ursprünglichen Planung analysieren. Dies kann wiederum zu neuen Maßnahmen führen. Geschäftsführung oder Vorstand sollten an der Einführung des Risikomanagements beteiligt sein, denn schließlich ist die oberste Führungsebene für das unternehmerische Risiko verantwortlich. Bei der Einführung empfiehlt sich ein dreigliedriges Vorgehensmodell: Der erste Teil umfasst eine Vorstudie, die signifikante Unternehmensrisiken identifiziert, Ansätze für ein Risikomanagementsystem entwickelt, Risikofunktionsträger festlegt, organisatorische Maßnahmen zur Einführung des Risikomanagements aufzeigt sowie den Einsatz eines IT-Systems prüft. Es empfiehlt sich, diese Vorstudie an den fünf Schritten des RM auszurichten. Nach der Entscheidung für ein System und der Vorstudie besteht schließlich der dritte Teil aus der eigentlichen Umsetzung. Nach dem Aufstellen eines Projektteams mit wichtigen Risikofunktionsträgern folgt die Aufbereitung und fachlich detaillierte Ausarbeitung der Vorstudie (unter Einbindung der Risikofunktionsträger) sowie die konkrete Einbindung des Risikomanagements in bestehende Ablauf- und Aufbauorganisationen sowie in Berichtswege. Risikofunktionsträger und Prozessverantwortliche werden festgelegt und iX extra 7/2007 ix0707_x_01_16_neu1.indd 13 ein Pilotprojekt in einem ausgewählten Unternehmensbereich gestartet. Ist es erfolgreich, kann das Rollout beginnen. Unternehmen sollten angesichts der komplexen Vorgänge ihre IT dafür einsetzen. Ein Werkzeug kann die entsprechenden Prozesse aber nur dann sinnvoll unterstützen, wenn es den Prozesszyklus mit allen beschriebenen Schritten – vom Identifizieren und Analysieren bis zum Erarbeiten der Maßnahmen und deren Umsetzung sowie Überwachung – abbildet. Je nach Größe des Unternehmens und den Anfor- derungen an das IT-Risikomanagement kann aber schon eine gut durchdachte Exceloder vergleichbare Tabelle für eine einfache Risikoanalyse vollkommen ausreichend sein. In großen Unternehmen mit einem eigenen Risikomanagement-Team ist es wichtig, ein- security & control Network Access Control Web Security E-Mail Security Endpoint Security Mobile Security Security Tools Small Business Solutions Hackern das Handwerk legen Sophos Security-Tool zum s Schutz vor Rootkits Jaeutzf tdekroHsteeftn-CloD Rootkits dienen nicht nur der Tarnung von Hackern, ihre Entfernung kann auch die System-Stabilität beeinträchtigen. Es sei denn, Sie haben dafür das richtige Werkzeug zur Hand. Mit Sophos Anti-Rootkit bieten wir Ihnen jetzt ein effizientes SecurityTool, mit dem Sie Hackern schnell und einfach das Handwerk legen. Hier die Fakten: » Kostenloses Sophos Security-Tool für die zuverlässige Erkennung von Rootkits. » Sicherung der System-Stabilität dank innovativer Desinfektions-Methoden. » Einfache Anwendung mittels Befehlszeile oder grafischer Benutzer-Oberfläche. Weitere Infos und Test-Software XIII www.sophos.de/info-center 12.06.2007 13:39:01 Uhr ix.0707.x.01-16.neu2 12.06.2007 10:10 Uhr Seite XIV IT-Security fach zu bedienende Tools einzuführen, die sich von diesen Mitarbeitern gemeinschaftlich nutzen lassen. Auch beim Einsatz von Excel müssen sich zunächst alle Beteiligten auf ein gemeinsames Schadensverständnis einigen und die Auswirkungen kategorisieren. Dabei hat sich die Einteilung in „unbedeutend“, „gering“, „signifikant“, „beträchtlich“ und „katastrophal“ bewährt. Für jede mögliche Schadenskategorie definieren die Projektbeteiligten die Auswirkungen eines eingetretenen Schadens. Gängige Schadenskategorien sind: Personenschäden, finanzielle Schäden, Störung der Arbeitsabläufe, Verletzung von Gesetzen, Reputationsverlust und Verletzung des Datenschutzes. Danach ist die Eintrittswahrscheinlichkeit messbar zu definieren – einmal pro Tag/ Woche/Monat oder Jahr. Weitere Tabellen können die zu betrachtenden Prozesse, die zu sichernden Informationen und die vorhandenen Assets auflisten. In einem Maßnahmenkatalog werden mögliche Gefahren für Informationen, Assets und Prozesse aufgenommen. Für jedes identifizierte Risiko bestimmten die Projektverantwortlichen den maximalen Schaden und die Eintrittswahrscheinlichkeit. Jeder Gefahr ist zwingend eine oder auch mehrere Gegenmaßnahmen zuzuordnen. In der sich ergebenden Excel-Tabelle werden nun für alle Gefahren sowohl die notwendigen Investitionen als auch die Risikoklasse nach der Umsetzung der Maßnahme ermittelt. In einer nächsten Ergebnistabelle kann man für jede Maßnahme den Sicherheitsgewinn, die Risikoklasse vor der Umsetzung verglichen mit jener nach der Umsetzung ablesen. Ferner ist jeder Maßnahme direkt die notwendige Investitionssumme zugeordnet. Damit ist es möglich, mit einem vorgegebenen Bud- XIV get den maximalen Sicherheitsgewinn zu erzielen. Jenseits von Exel & Co Kommerzielle Risikomanagement-Informationssysteme (RMIS) versprechen eine nahtlose Integration in die bestehende IT-Landschaft sowie Schnittstellen zu bereits vorhandenen Datenquellen. Besonders in größeren Teams, die auf dieselben Daten zurückgreifen müssen, lohnt sich der Einsatz einer gemeinsam nutzbaren Software mit einer Client/Server-Architektur. Damit lassen sich beispielsweise die zu schützenden Informationen und Assets gemeinsam verwalten. Solche Software enthält vordefinierte Regeln und Informationen über potenzielle Gefahren, die der Anwender je nach Auditierungsgrundlage (BS-7799, ISO27001 etc.) laden und als Basis verwenden kann. Diese Funktion ist natürlich mit einer Excel-Tabelle nicht zu erzielen. Die Funktionen der RMIS sind vielfältig. Zum einen gibt es Werkzeuge, die speziell auf die IT-Risikoanalyse und Auditierung ausgerichtet sind. Sie enthalten zumeist einen Gefahrenkatalog, aus dem der Anwender wählen kann, und die Schnittstelle zu einem externen Asset-Managementsystem. Risikomanagement-Software für den betriebswirtschaftlichen Einsatz benötigt Schnittstellen zu den finanzrelevanten Systemen. Es sollte die Möglichkeit vorhanden sein, unterschiedliche Simulationsmethoden für „Was-wäre-wenn“-Szenarien zu hinterlegen. Außerdem sind eine einfache, intuitive Handhabung und gute Report- sowie Präsentationsfunktionen von entscheidender Bedeutung. Grundsätzlich gilt, dass möglichst viele im Unternehmen vorhandene Daten miteinander in Beziehung gesetzt werden sollten, um eine bessere Grundlage für Management-Entscheidungen zu schaffen. Für die Optimierung des Risikomanagements ist es sicherlich auch förderlich, wenn ein Werkzeug in den Desktop der Mitarbeiter und gegebenenfalls in deren Groupware-Lösung integriert ist. Der Vorteil: Es lassen sich einzelne wiederkehrende Prozesse leicht in den Arbeitsablauf einbinden und dadurch viele andernfalls durch Aufschieben bedrohte Aufgaben vom System nachverfolgen und so mit höherer Wahrscheinlichkeit erledigen. Neue Funktionen in den Tools erlauben auch weitergehende Analysen. So können mit Hilfe neuronaler Netze, genetischer Algorithmen und stochastischer Verfahren (zum Beispiel Monte-Carlo-Simulationen) Daten analysiert und nach bestimmten Mustern durchsucht werden. Das Einsatzgebiet der Werkzeuge erweitert sich von der reinen Risikoaufnahme zur intelligenten Simulation. Dabei ist zu beachten, dass alle IT-gestützten Systeme zwar hervorragend zur Aufbereitung der Daten geeignet sind, eine Interpretation der Simulationsergebnisse bedarf aber immer noch eines Experten mit Fachwissen. Eine Zertifizierung als Ergebnis einer Auditierung ist nur dann sinnvoll, wenn die entsprechenden Maßnahmen umgesetzt sind und die Erkenntnisse aus dem Audit in die Geschäftsprozesse einfließen. (sf/ur) Dr. Klaus-Georg Wenke ist Management Consultant bei LogicaCMG. Dr. Lars Freund ist Senior Consultant bei LogicaCMG. In iX extra 8/2007: Storage – Archivierungshardware Debatten um Archivierung gehen in der letzten Zeit von Themen wie Compliance oder Information Lifecycle Management (ILM) aus. Dabei sind die Hardwarelösungen für die Aufbewahrung wichtiger Daten über lange Zeiträu- me hinweg in den Hintergrund der Aufmerksamkeit getreten. iX extra berichtet, welche neuen Angebote es am Markt gibt und auf was Anwender achten sollten. Weitere Themen im iX extra: Können Disk und Virtual Tape die klassischen Tape Libraries ablösen? Sind die DVDNachfolger Blu-Ray und HDDVD archivierungstauglich? Erscheinungstermin: 19. Juli 2007 DIE WEITEREN IX EXTRAS: Ausgabe Thema Erscheinungstermin 09/07 Netzwerke Providerangebote – von Managed Software bis Virtual Server 16. 08. 07 10/07 Mobility Notebook-Sicherheit 13. 09. 07 11/07 IT-Security Tools zur Website-Absicherung 11. 10. 07 iX extra 7/2007 SUPERBLADETM GET THE EDGE ■ Performance mit bis zu 160 Cores in 7 HE ■ Einsatz von Intel® Xeon® oder AMD Opteron® Der SuperBlade™ sind optimiert für folgende Anwendungen: Enterprise, Finanzdienste, Dual- oder QuadCore Prozessoren ■ Netzteile mit 90%+ Wirkungsgrad Datenbanken, Datenbank Center, wissenschaftliche Anwendungen, HPC, Personal Super Computer. Weniger Verkabelung ■ Ethernet- und Infiniband-Switches ■ © www.artraction.de, 06/07 ■ Sehr gutes Preis-/Leistungsverhältnis ServerBlade mit 3.5" oder 2.5" Festplatten Infiniband Switch mit 10 externen Anschlüssen Weitere Informationen über unsere Produkte unter: www.cpigmbh.de und Hotline 0800-100 82 69 Alle Marken- und Produktbezeichnungen sind Warenzeichen oder eingetragene Warenzeichen des entsprechenden Unternehmens. Druckfehler, Irrtümer und Änderungen vorbehalten. ix0707_x_000_CPI.indd 1 Gigabit Ethernet Switch mit 10 externen Anschlüssen Management Modul zur Überwachung CPI Computer Partner Handels GmbH Kapellenstr. 11 D-85622 Feldkirchen Telefon: (+49)-0 89/96 24 41- 0 Telefax: (+49)-0 89/96 24 41- 33 08.06.2007 12:24:25 Uhr 1I1_ctIXEXTRA 12.06.2007 10:17 Uhr Seite 1 Alle 14 Tage eine neue Version! Denn mit dem c’t Schnupperabo sparen Sie nicht nur 33%. Sie bekommen auch noch ein Geschenk gratis dazu! Mehr Infos zum Schnupper-Abo unter: www.ctmagazin.de/abo oder per Telefon – 0 51 37 - 88 20 03
