Zentrales IT-Management birgt Risiken

Outsourcing – Wie Dienstleister ihre Netze sichern sollten

Seite: 3/3

Firma zum Thema

Wie Dienstleister ihre Kunden schützen können

Es ist empfehlenswert, dem Verkehr zwischen den Sicherheitszonen (Managementzone und Kundennetze) eine Security Policy aufzuzwingen, die Firewalls berücksichtigt. Der Netzwerkverkehr für das IT-Management mit all den teilweise kritischen Netzwerkports darf aber nicht darunter leiden.

Zusätzlich sollten Managementdienste nur verschlüsselt kommunizieren dürfen und sich mit ihren Zertifikaten authentisieren müssen. Allerdings können die eingesetzten Firewalls infolgedessen nicht mehr feststellen, ob der Dateninhalt gefährlich ist oder nicht. Aus diesem Grund sollten in vielen Sicherheitszonen Intrusion Detection Systeme (IDS) eingesetzt werden, die die Kommunikation entschlüsseln können.

Die Firewall-Regeln werden in solchen Fällen sehr schnell komplex. Denn Kunden wollen uneingeschränkte Zugriffe auf Firewalls zu ihrem Intranet, während das IT-Management einen Einfluss auf das Regelwerk dieser Firewalls nehmen muss. Hierfür fehlt allerdings häufig das notwendige umfassende Know-how.

Um Risiken durch gefährliche Regelwerke zu vermeiden, sollten im jeweiligen Sicherheitskonzept Risikoprofile für Firewalls definiert werden. Analyse-Tools die helfen, riskante Regeln zu erkennen, erweisen sich dabei als sehr hilfreich.

Alternativ können Fehlkonfigurationen auch durch Firewalltracking-Systeme verhindert werden. Firewallregeln müssen so durch das „Vier-Augen-Prinzip“ eingerichtet werden, während das Firewalltracking-System zusätzlich auf riskante Regeln hinweist.

Aufgrund der durch die Firewalls verursachten Event-Flut auf den Logservern kommt man nicht um ein automatisiertes Security-Information- und Event-Management herum, das in der Lage ist, aus der Masse von Logdaten Alarme in Echtzeit zu korrelieren. Im Sicherheitskonzept sollten darüber hinaus genau definierte Gegenmaßnahmen im Falle eines Alarms zu finden sein.

Doch auch das beste Sicherheitskonzept bringt nur dann etwas, wenn es kontinuierlich überprüft und angepasst wird, denn es beruhigt mich keinesfalls zu wissen, dass ich die Bedrohungen von gestern bändigen kann, wenn ich auf die von morgen nicht vorbereitet bin.

Udo Sprotte

Udo Sprotte ist (ISC)²-zertifizierter CISSP und als Senior Security Consultant bei T-Systems Enterprise Services tätig.

(ID:2043754)