Nachvollziehbarkeit und Transparenz versus Urvertrauen

Unternehmen investieren recht eifrig in ihre IT Security: Allerdings verwenden sie in der Regel nahezu 100 Prozent des Budgets dafür, um sich vor unberechtigten Zugriffen und den damit verbundenen Folgen von aussen zu schützen. Eine einseitige Sichtweise: Denn Angriffe und Manipulationen erfolgen zu 70 Prozent nicht von aussen, sondern aus den eigenen Unternehmen heraus, also von innen. Und fast zwei Drittel dieser Aktivitäten unternehmen Personen, die über hoch privilegierte Rechte verfügen. Fast 100 Prozent des Security-Budgets werden zur Bekämpfung von nur 30 Prozent Gefährdungspotenzial  eingesetzt. Eine schiefe Rechnung.

Der Mensch ist der Architekt der IT-Landschaften. Er baut diese Landschaften, hält sie am Leben, programmiert und verändert sie für bestehende Anforderungen in den Unternehmen. Er definiert die Regelwerke und legt fest, wie mit den Daten umgegangen wird.

Diese Architekten, die Entwickler und IT-Administratoren, haben damit die Oberhoheit über diese Systeme und verfügen damit über ein gehöriges Machtpotenzial. Neben dem reibungslosen Betrieb einer Unternehmens-IT ist es ein ebenso wichtiger Faktor, dass sicher gestellt ist, dass das Tun und Lassen der IT-Verantwortlichen transparent und nachvollziehbar bleibt, dass Firmenchefs rekonstruieren und erfassen können, welche für ihr Unternehmen wichtige Prozesse stattfinden. An Stelle des Urvertrauens, das gut bekannten Kollegen und Mitmenschen verständlicherweise entgegengebracht wird, sollte besser eine neutrale und nachvollziehbare Transparenz von Abläufen treten.

Risiko gesetzliche regulative Forderungen

Allein schon das Gesetz fordert eindeutig die Einhaltung und Durchsetzung bestimmter Vorschriften und Regularien.

·         Schutz der Vertraulichkeit

·         Schutz der Integrität

·         Schutz der Verfügbarkeit

·         Schutz der Nachvollziehbarkeit

Überall sind diese Themen gegenwärtig, in öffentlichen Einrichtungen, der Finanzbranche, dem Gesundheitswesen und in der Industrie. Regularien definieren den Umgang mit Daten um eventuellen Missbrauch vorzubeugen, sei es Diebstahl oder Manipulation zum Schaden Dritter. Stellvertretend seien hier das BDSG, SOX, Euro SOX Basel II, HIPAA, PCI-DSS genannt.

Gleichgültig, ob wir beim Arztbesuch unsere Daten zur Verfügung stellen, ein Auto anmelden oder am elektronischen Zahlungsverkehr teilnehmen, überall hinterlassen wir ein Stück unserer Persönlichkeit. Unternehmen, die mit diesen Daten umgehen, müssen sich deshalb an die Regularien halten bzw. zur Einhaltung verpflichtet und kontrolliert werden. Ein Verlust der Daten kann auch strafrechtliche Konsequenzen nach sich ziehen, wenn dem Unternehmen nachgewiesen werden kann, dass es nachlässig gearbeitet hat, dass seine Schutzmechanismen lückenhaft sind oder regulative Forderungen verletzt wurden.

Es ist also wichtig und unumgänglich Instrumentarien und Methoden einzusetzen, um sich vor ungerechtfertigten Vorwürfen und Forderungen nachweislich schützen zu können.

Risiko Outsourcing

Die Mehrheit der Unternehmen betreiben heute ihre Anwendungen nicht mehr selbst. Portale, Online-Shops, Unternehmenssoftware – der Betrieb vieler geschäftskritischer Applikationen wird an spezialisierte Partner übergeben, die über das notwendige Wissen und die Erfahrungen verfügen. Outsourcing verspricht Effizienzsteigerung, birgt aber auch auf der anderen Seite auch Gefahren: Der Zugriff auf Unternehmensdaten und Applikationen bedarf Transparenz und Nachvollziehbarkeit, um die Integrität und Authentizität der Daten sicherzustellen. Service Level Agreements (SLA) bilden hierfür die Basis der Zusammenarbeit. Dort werden die zu erbringenden Leistungen beschrieben und die rechtlichen Rahmenbedingungen definiert.

Ein häufig vertretener Standpunkt ist, dass zwischen den Vertragspartnern sämtliche Risiken in den SLAs abgedeckt sind. Im Schadensfall besteht dann die Herausforderung nachzuweisen, welcher der Vertragspartner seine Pflicht verletzt hat. Oftmals arbeiten Kunde und Outsourcer  an den gleichen Systemen, Applikationen und Daten. Folglich kann es passieren, dass nicht mehr eindeutig zu belegen ist, welcher Zugriff von wem ein fehlerhaftes Verhalten ausgelöst hat. Wo ist die Abgrenzung?

Um diese Nachweise zu führen, sind spezielle und geeignete Automatismen nötig. Ein visuelles 1:1 Monitoring ist dabei nicht  praktikabel.

Risiko Online Shop

Vertreibt ein Unternehmen vertreibt seine Produkte ausschliesslich über das Internet, ist der Web-Shop also eindeutig eine geschäftskritische Applikation. Oft wird der Betrieb des Shops aus Kostengründen auch an einen externen Dienstleister outgesourct. Wartungsarbeiten oder auch die Integration neuer Systeme werden in festen Zeitfenstern vollzogen, in denen externe oder interne Mitarbeiter auf die Systeme zugreifen. Dabei kann es aus vielerlei Gründen vorkommen, dass Services am nächsten Tag nicht mehr verfügbar sind. Dann drohen Umsatzeinbussen, Reputationsverlust und  unzufrieden Kunden. Eine Situation mit gefährlichen und teuren Folgen.

Wer aber ist der Verursacher des Fehlers? Die IT des Unternehmens steht Kopf, um herauszufinden. Doch welche Methoden stehen zur Verfügung? Wie lassen sich der Vorfall und die Ursache lokalisieren? Gibt es nachvollziehbare Aufzeichnungen?

Denn das reine Login/Logout eines Admins auf ein System lässt keinerlei Schlüsse zu, was hier passiert ist. Genau die Aktionen, die zwischen Login und Logout liegen, nämlich die Adminzugriffe, werden nicht protokolliert. Aber sie sind nötig, damit das System kurzfristig wieder lauffähig gemacht werden kann.

Ein weiterer Punkt ist die Identifizierung des Vorfalls, der zu dem Ausfall führte. Wer ist dafür verantwortlich? Wer kommt für den entstandenen Schaden auf? Nicht selten kommt es vor, dass beide Seiten die Ursachenforschung einstellen, da diese zu kostenintensiv sind oder einfach zu keinem Ergebnis führen können. Der Vorfall kann sich also wiederholen!

Um Ansprüche geltend machen zu können, bedarf es revisionssicherer Aufzeichnungen, die belastbar sind um Regressansprüche durchzusetzen. Auf der Gegenseite ist der Outsourcer gut beraten, wenn er Nachweise seiner Zugriffe auf die Kundensysteme offenlegen kann, um sich selbst zu schützen.

Die Lösung heisst Shell Control Box

Alle oben erwähnten Forderungen nach Transparenz, Nachvollziehbarkeit und revisionssicherer Belegbarkeit von Aktivitäten im Unternehmensnetzwerk sind erfüllbar. Die IT-Systeme selbst liefern dafür die Voraussetzungen: Nahezu jedes Element im Firmennetzwerk verfügt über die Fähigkeit, sogenannte "Logdaten" bereitzustellen: Diese protokollieren Aktivitäten im Netzwerk mit und machen damit Zustände und Ereignisse nachvollziehbar und transparent. Doch um diese Ergebnisse auch sinnvoll auswerten, nutzen und damit arbeiten zu können, sind spezielle Lösungen notwendig: BalaBit IT Security, Pionier und Marktführer in diesem Segment, stellt mit der Shell Control Box ein System zur Verfügung, dass den Unternehmen hilft, die Anforderungen an Nachvollziehbarkeit und Transparenz umzusetzen.

" Die Shell Control Box ermöglichte es uns erstmals, volle Transparenz bei der Administration unserer Kundensysteme anzubieten. Damit laufen wir bei unseren Kunden offene Türen ein", berichtet Christian Schreiner von des international tätigen Carriers und IT-Hosting-Anbieters Interoute GmbH. "Weder bei unseren Administratoren noch bei denen des Kunden gab es bei der Einführung der BalaBit Shell Control Box Vorbehalte. Im Gegenteil waren unsere Admins sogar froh, denn jetzt können sie dem Kunden gegenüber jederzeit lückenlos nachweisen, dass sie sauber gearbeitet haben".

Die Shell Control Box kontrolliert und protokolliert die Zugriffe transparent auf Protokollebene. Die dabei entstehenden Logdaten (Audit Trails) werden verschlüsselt und signiert abgelegt. Sie dienen der visuellen Darstellung des kompletten Administrationsvorgangs und bilden die Basis für forensische Analysen. Die SCB fungiert als Multiprotokoll Plattform und zentrales System für das Management von administrativen Zugriffen. Die Integration der Lösung in bestehende Umgebungen erfolgt transparent ohne Änderungen an Client- und Zielsystemen und gewährleistet einen effizienten Betrieb.

Einige wesentliche Vorteile der Shell Control Box zusammengefasst:

·         Transparente Kontrolle und Protokollierung remoteadministrativer Zugriffe.

·         Revisionssicherheit durch Verschlüsselung, Signatur und Zeitstempel.

·         Führt den Nachweis, dass regulative Forderungen und Standards erfüllt und eingehalten werden.

·         Schutz der Administratoren durch unverfälschte Aufzeichnung der Daten

·         Verschlüsselte Archivierung bietet Schutz vor Missbrauch (4-Augen-Prinzip).

·         Revisionssichere Logdaten liefern die Basis für Analysen, Troubleshooting, Kontrolle und Überwachung.

·         Forensische Werkzeuge gewährleisten hohes Zeiteinsparungspotential bei der Fehlersuche und Analyse.

·         Integrierte Reporting-Tools und visuelle Darstellung zur Aufbereitung, Präsentation und  Schulung.

Klicken Sie hier für weitere Informationen...