Ohne IT-Monitoring von "Super-Usern" bleibt Compliance Stückwerk

    BalaBit Shell Control Box N1000 - offenBesonders Finanzdienstleister, Banken und Kreditkartenfirmen müssen strenge Compliance-Vorgaben erfüllen. Doch die besten Regelwerke helfen wenig, wenn Unternehmen die Aktivitäten von IT-Nutzern nur unzulänglich protokollieren, speziell von solchen mit privilegierten User-Rechten. Das Beratungshaus IDC kommt in einem aktuellen Whitepaper zu dem Schluss: Für Unternehmen, die mit sensiblen Daten umgehen, ist der Einsatz von speziellen Monitoring-Lösungen empfehlenswert. Sie tragen maßgeblich dazu bei, eine Vertrauensbasis für die Zusammenarbeit mit Geschäftspartnern und Kunden zu schaffen.

    Nach Angaben des Marktforschungs- und Beratungshauses IDC gaben europäische Banken im Jahr 2010 rund zehn Prozent des gesamten IT-Budgets für Compliance-Maßnahmen aus. IDC erwartet, dass dieser Prozentsatz 2011 auf 15 bis zu 20 Prozent steigt, jeweils abhängig von der Größe des Unternehmens. Für andere Branchen, die mit sensiblen Daten umgehen, ist die Situation ähnlich.

    Immer strengere Vorschriften

    Diese Entwicklung ist auf zwei Faktoren zurückzuführen, so IDC. Zum einen bewegen sich Unternehmen in einem immer komplexeren Umfeld, in dem Vertrauen und Transparenz eine zentrale Rolle spielen. Zum anderen gelten für Unternehmen aus der Finanzbranche besonders strenge Vorgaben, wie sie speziell im Payment Card Industry Data Security Standard (PCI-DSS) festgelegt sind. PCI-DSS verlangt unter anderem, dass alle Aktivitäten im Bereich IT revisionssicher protokolliert werden. In der Praxis bedeutet dies, dass ein Finanzdienstleister Tools implementieren muss, die

    • detailliert alle Aktivitäten von Mitarbeitern erfassen, die über privilegierte IT-Zugriffsrechte oder Administratorrechte verfügen,
    • eine Analyse dieser Aktivitäten erlauben,
    • die erfassten Daten revisionssicher ablegen und
    • forensische Untersuchungen ermöglichen, sollte es zu einem Vorfall gekommen sein.

    Logging allein reicht nicht aus

    Klassische Log-Management-Lösungen können dies nicht leisten. Sie sammeln zwar Unmengen von Daten, ermöglichen es jedoch nicht, die Aktivitäten privilegierter IT-Nutzer zu erfassen und transparent zu machen. Es gibt allerdings Lösungen von spezialisierten Anbietern, die hier ansetzen.

    Zwei der Betriebsarten der Shell Control Box von BalabitDas IDC-White Paper kommt zu dem Schluss, dass Monitoring-Systeme maßgeblich dazu beitragen, Vertrauen aufzubauen: zwischen den einzelnen Abteilungen des Unternehmens selbst sowie zwischen dem Finanzdienstleister und seinen Kunden und Partnern. Dieses Vertrauen ist ein Mehrwert, der weit über die bloße Erfüllung gesetzlicher Auflagen hinausgeht: Ein Unternehmen demonstriert damit, dass es den Schutz interner Informationen ernst nimmt. In Verbindung mit Audits wird ein Finanzdienstleister somit für seine Kunden und Partner transparent und vertrauenswürdig.

    Ein weiterer zentraler Punkt, den IDC anspricht: Unternehmen, die Compliance, IT-Sicherheit und das Monitoring der Aktivitäten von Nutzern ernst nehmen, profitieren davon auch auf anderen Ebenen. So führen entsprechende Maßnahmen dazu, dass Abläufe und Verantwortlichkeiten innerhalb eines Unternehmens klar werden und sich daher IT-Prozesse besser auf das Geschäftsmodell einer Firma abstimmen lassen.

    Denn durch den Einsatz von solchenSystemen wird nachvollziehbar, wer für welche Aktivitäten die Verantwortung trägt und wo im einen oder anderen Fall noch Potenzial für Verbesserungen vorhanden ist. Somit sind Compliance-Maßnahmen laut IDC weit mehr als nur ein Mittel, um die Einhaltung gesetzlicher Vorgaben sicherzustellen. Sie sind, im Verbund mit den "richtigen" Tools ein Mittel, um die Wettbewerbsfähigkeit von Unternehmen sicherzustellen und neue Geschäftsfelder zu erschließen.

    Beispiel: Shell Control Box von BalaBit

    Risikofaktoren und ihre möglichen Auswirkungen auf die IT (Quelle: ISCJ, IDC)Ein Anbieter in diesem Segment ist die ungarische Balabit IT Security mit dem Hardware-Appliance Shell Control Box. Ihre wesentlichen Funktionen sind:

    • Aufzeichnung der Zugriffe privilegierter Benutzer auf Server, Desktopsysteme und Netzwerkkomponenten. Diese Informationen werden in Echtzeit erfasst, verschlüsselt und revisionssicher für spätere Audits abgelegt.
    • Kontrolle und Sicherstellen der Nachvollziehbarkeit der Aktivitäten von internen und externen Systemverwaltern sowie von privilegierten IT-Nutzern, die Zugang zu sensiblen Informationen wie Kundendaten haben.
    • Monitoring von Thin-Client-Systemen, die Citrix ICA oder Windows Terminal Server nutzen.
    • Vier-Augen-Prinzip, wenn Arbeiten an wichtigen Systemen vorgenommen werden, etwa dem Zentralserver einer Bank. Die SCB stellt sicher, dass kein Administrator alleine solche Tätigkeiten vornehmen kann.
    • Zentrales User-Management: Die Shell Control Box unterstützt Authentifizierungssysteme auf Basis von LDAP oder Microsoft Active Directory, mit denen sich Benutzerrechte zentral verwalten lassen.
    • Anbindung an Intrusion-Detection- und Intrusion-Prevention-Systeme, die Angriffsversuche erkennen und unterbinden.

    Technische Details der SCB

    Die SCB ist eine Appliance mit einem Linux-Betriebssystem (64 Bit). Sie wird in das Netzwerk eingeklinkt – im Bridge- und Router-Modus, außerdem im Bastion-Mode (Administratoren haben Zugriff auf die Appliance, nicht die Server) sowie in einen nichttransparenten Betriebsmodus (Details siehe diese Web-Seite von BalaBit:). Da die SCB als Proxy agiert, analysiert sie den Datenverkehr auf ISO/OSI-Ebene 7 (Anwendungsebene).

    Das System unterstützt die Protokolle SSH, Telnet, RDP, VMware View (PCoIP), VNC, Citrix ICA und das Terminal Services Gateway Protocol. Seit Version 3.0 ist die SCB in der Lage, auch Datenverkehr über SCP- und SFTP-Verbindungen zu überwachen. Die Files, die über solche Verbindungen transportiert werden, lassen sich extrahieren für spätere Audits speichern.

    Keine Kommentare