Henrik Dolle - Fotolia
Fünf-Punkte-Checkliste für den Netzwerk-Security-Audit
Anhand unserer Checkliste für ein Netzwerksicherheits-Audit lassen sich Schwachstellen in Ihrem Firmennetz proaktiv aufspüren. Besser Sie finden die Lücken als Kriminelle.
Haben Sie vor Kurzem darüber nachgedacht, wie es um die Netzwerksicherheit bei Ihnen bestellt ist? Viele Menschen machen sich in diesen Tagen Sorgen – und das zu Recht. Was unternehmen Sie diesbezüglich?
Etliche Unternehmen überprüfen mindestens System-Logs und überwachen vereinzelt auch den Netzwerk-Traffic. Diese Informationen sind nützlich, zeigen aber nicht das ganze Bild. Wenn Sie den aktuellen Zustand Ihrer Netzwerksicherheit einschätzen wollen, müssen Sie ein gründliches Netzwerk-Security-Audit durchführen – auch als Schwachstellen- und Penetrationstest oder Sicherheitsbewertung bezeichnet.
In diesem Zusammenhang handelt es sich bei Netzwerk-Security-Audits nicht um Überprüfungen der formellen IT-Kontrollen auf OS-, Anwendungs- und Datenbankebene. Stattdessen geht es darum, die Sicherheitsschwachstellen in Ihrem Netzwerk aufzudecken, in der Hoffnung, sie zu beheben, bevor Kriminelle sie für ihre Zwecke ausnutzen. Es ist wichtig, die verschiedenen Begriffe im Bereich der Sicherheitsprüfungen nicht zu verwechseln.
Wie gestalten Sie also eine Checkliste für ein Netzwerksicherheits-Audit? Welche Systeme testen Sie? Welche Tools setzen Sie ein, und wer ist involviert?
Die Fünf-Punkte-Checkliste für ein Netzwerk-Security-Audit
Ein ordnungsgemäßes Netzwerksicherheits-Audit ist ziemlich einfach, zugleich aber auch komplex. Eine Checkliste für ein Netzwerk-Security-Audit kann alles Mögliche enthalten – von der Festlegung des initialen Umfangs über die Durchführung der Tests bis hin zum Reporting und zur Nachbereitung. Es ist von entscheidender Bedeutung, einer bewährten Methodologie zu folgen, um Sicherheitslücken aufzuspüren, die relevant sind.
Die folgende Checkliste für ein Netzwerk-Security-Audit wird Sie in fünf Schritten dabei unterstützen, die Schwachstellen und Risiken in Ihrem Netzwerk zu evaluieren.
1. Festlegen eines Plans. In dieser Phase Ihres Netzwerk-Security-Audits definieren Sie den Umfang und die Tools, die genutzt werden könnten. Außerdem legen Sie fest, wer die Tests durchführt und wann. Alle müssen sich über bestimmte Dinge einig sein, zum Beispiel:
o Werden Sie alles testen, nur externe oder nur interne Systeme?
o Welche Tools kommen zum Einsatz? Zu den infrage kommenden Werkzeugen gehören etwa Nessus, NetScanTools Pro, Netsparker und Acunetix Vulnerability Scanner.
o Zu welcher Zeit können Schwachstellen-Scans durchgeführt werden?
o Kommen die Testrechner auf eine Whitelist, damit Firewall und Intrusion Prevention System sie nicht blockieren? Dieser Schritt empfiehlt sich in den meisten Situationen.
2. Durchführen Ihrer Tests. Dies ist die heiße Phase, in der Sie Ihre Schwachstellen-Scanner auf das Netzwerk loslassen. Sie werden außerdem die Scanner-Ergebnisse manuell analysieren und validieren. Sie können mit einem Tool wie Lucy auch einige Phishing-Tests durchführen und mit einem Tool wie CommView for Wi-Fi sogar eine Netzwerkanalyse vornehmen. Einige Tests müssen manuell erfolgen. Dazu eignet sich ein HTTP-Proxy, etwa die Burp Suite, ein Exploit Tool, zum Beispiel Metasploit, oder ein Tool zum Knacken von Passwörtern, wie Proactive Password Auditor von Elcomsoft. Wenn Sie Ihre Ergebnisse nicht validieren oder keine zusätzlichen Tests durchführen, die die Tools nicht von sich aus erledigen können, haben Sie nicht genug getan.
3. Analysieren der Ergebnisse. An dieser Stelle nehmen Sie eine Sichtung vor, korrelieren Schwachstellen und geben Aufschluss über etwaige Auswirkungen. Ihre Ergebnisse können nicht einfach als Vaporware in der Schublade verstauben. Sie müssen in Hinblick auf das Unternehmen und dessen Geschäftstätigkeit kommuniziert werden. Wenn Sie diesen Schritt überspringen, und annehmen, alles sei ein großes Problem – oder genauso schlecht, alles sei unbedeutend –, werden Sie keine langfristige Sicherheitsunterstützung erhalten. Das ist der Schritt, bei dem Erfahrung eine maßgebliche Rolle spielt – zu wissen, was im Kontext Ihres Unternehmens und der Risikotoleranz relevant ist und was nicht.
4. Reporting der Ergebnisse. Hierzu gehört, dass Sie Ihre Befunde dokumentieren und sie gegenüber den maßgeblichen Personen kommunizieren. Sie können nicht einfach die HTML- oder PDF-Berichte Ihrer Sicherheits-Tools speichern und sie dann kommentarlos an Entwickler, DevOps oder das Management weiterreichen. Sie müssen das, was Sie entdeckt und analysiert haben, in konkrete Geschäftsrisiken übersetzen und dies an die Beteiligten mit den richtigen Worten kommunizieren. Tipp: Verzichten Sie auf die technischen Details, es sei denn, es passt zur Zielgruppe und verspricht einen Mehrwert.
5. Nachbereitung der Ergebnisse. Mit anderen Worten: Kümmern Sie sich um die Sicherheitsrisiken, indem Sie die erkannten Schwachstellen beheben. Nehmen Sie das nicht auf die leichte Schulter. Es passiert mir häufig, dass ich eine Bewertung der Netzwerksicherheit vornehme, meinen Bericht abliefere und ein Jahr später zurückkehre, nur um zu sehen, dass die meisten Schwachstellen noch existieren. Es gibt eine Sache, die noch schlimmer ist, als kein Sicherheits-Audit durchzuführen: ein Audit durchzuführen und nichts gegen die Schwachstellen zu unternehmen, die aufgedeckt wurden. Präsentieren sie einen Plan, und verfolgen Sie ihn bis zum Ende, als ob es Ihre wichtigste Aufgabe ist.
Netzwerk-Security-Audit: Herausforderungen
Oft fragt man mich, was bei der Durchführung eines Netzwerksicherheits-Audits das Schwierigste ist. Viele Menschen sagen, es seien Geldfragen, andere meinen, es sei die Unterstützung durch das Management. Einige sagen sogar, dass fehlendes Know-how sie daran hindere, eine ordnungsgemäße Sicherheitsbewertung vorzunehmen. Aber das nach wie vor größte Hindernis für ein Netzwerk-Security-Audit sind zwei einfache Dinge: Bereitschaft und Disziplin. Sie brauchen die Bereitschaft, das zu machen, was für Ihr Unternehmen, Ihre Kunden und Geschäftspartner richtig ist, und die Disziplin, dies zu realisieren.
Selbst wenn die Ressourcen begrenzt sind, können Sie immer noch Ihre eigenen Sicherheitsevaluierungen durchführen oder jemanden von außen dazu holen. Sogar wenn Ihr Spielraum anfangs eingeschränkt ist und Sie gezwungen sind, auf freie Tools zurückzugreifen, lässt sich immer etwas unternehmen, und es ist wahrscheinlich gar nicht so kostspielig, wie Sie vielleicht annehmen. Stellen Sie lediglich sicher, dass Ihr langfristiges Ziel darin besteht, das Ganze auf hochprofessionelle Weise mit den besten Tools für die Aufgabe zu erledigen. Das kann jedes Jahr beträchtliche Investitionen nach sich ziehen, ist aber immer noch günstiger als die Alternative.
Wenn die Dinge tatsächlich schiefgehen und es zu einem Vorfall oder bestätigten Sicherheitsverletzungen kommt, sind Sie so in der Lage, nachzuweisen, dass Sie gute Fortschritte beim Aufspüren und Beheben der Sicherheitslücken im Netzwerk erzielt haben.