Praxisbuch Netzwerk-Sicherheit - VPN, WLAN, Intrusion Detection, Disaster Recovery, Kryptologie, für UNIX/Linux und Windows

19 Security Policys (S. 417-418)

Menschen mit einer neuen Idee gelten so lange als Spinner, bis sich die Sache durchgesetzt hat. – Marc Twain Security Policys legen Richtlinien, die in Bezug auf die Sicherheit der IT-Umgebung von Bedeutung sind, fest. Daher werden Security Policys oftmals auch als »Sicherheitsrichtlinien« bezeichnet. Dieses kleine Kapitel soll einen Überblick darüber geben, welche Richtlinien in eine Security Policy aufgenommen werden sollten. Da wir uns mit den einzelnen Themen, die in solch eine Security Policy gehören, bereits genauer auseinander gesetzt haben, werden wir uns eine erneutere Erläuterung dieser Themen sparen und dieses Kapitel nach dem bekannten Grundsatz »In der Kürze liegt die Würze« auslegen.

19.1 Gute Vorsätze für das neue Jahr!

Die Security Policy sollte möglichst detailliert ausgearbeitet werden. Das diese Liebe zum Detail nur dann sinnvoll ist, wenn man sich auch strikt an die in der Security Policy definierten Inhalte hält, erklärt sich dabei von selbst. Dies gilt sowohl für die Chef-Etage, für jeden einzelnen Endbenutzer als auch für die Administration der IT-Umgebung selbst. Daher gilt: Schaffen Sie in Ihrem Umfeld ein entsprechendes Bewusstsein dafür, wie wichtig es ist, die in der Security Policy definierten Regeln einzuhalten. Jeder Benutzer ist mit einer gewissen Faulheit versehen, egal ob er der Chef ist, oder die Putzfrau. Jeder schreibt sich mal’ ein Passwort auf und lässt es liegen. Sind die Benutzer sich nicht im Klaren, wie wichtig es ist, sich an die Regeln der Security Policy zu halten, werden Sie diese früher oder später aus Bequemlichkeit brechen.

19.2 Der Inhalt

Doch was gehört nun im Einzelnen in solch eine Security Policy? Im Grunde genommen, bestimmen Sie den Inhalt der Security Policy vollständig selbst. Sie können grobe Rahmenbedingungen schaffen, können aber auch explizit und superstrikt an die Erstellung der Richtlinien herangehen. Definieren Sie zunächst, wie wichtig Ihnen die IT-Sicherheit ist und welche Opfer Sie für diese bereit sind zu bringen. Was gehört nun im Einzelnen in eine Security Policy hinein? Zunächst sollten einige Ziele definiert werden. Was wollen Sie mit der Policy erreichen? Virenfreie Arbeitsplätze? Vermeidung von SPAM? Des Weiteren sollten die folgenden Punkte generell Bestandteil einer Security Policy sein.

19.2.1 Festlegung der Dokumentationsstruktur

Alle Veränderungen die an wichtigen Systemen, etwa einer Firewall, einem Coregateway oder einem Produktionsserver getätigt werden und wurden sollten festgehalten werden. Dies ermöglicht bei einer Kompromittierung die Rekonstruktion des Systems und die Fehlersuche. Verwenden Sie für die Dokumentation beispielsweise ein Webinterface – etwa ein Wiki.

19.2.2 Überwachungssystem und -intervalle

Hier sollte definiert werden, wie das Logging erfolgen soll – gibt es beispielsweise einen zentralen syslog-Server? Welche Monitoringsoftware wird zur Überwachung eingesetzt? Wann und in welchen Zeitabständen müssen die Monitoring- und Logdaten von wem ausgewertet werden? In welche Prioritäten sind diese einzuteilen und was ist im Falle eines Angriffs zu unternehmen?

19.2.3 Autorisierungs- und Authentifizierungsmaßnahmen

In welchem Netzwerksegment wird welche Autorisierung und Authentifi- zierung vorgenommen?Wie wird die Benutzerverwaltung und die Verwaltung der Zugriffsrechte realisiert? Welche physikalischen Zugangsschutzsysteme werden eingesetzt und mit welcher Software realisiert man die Authentifizierung im Netzwerk? Zudem sollte hier geklärt werden, wer wann und wo Zugriff auf ein System bekommt. Hans Maier aus der Buchhaltung benötigt um 3 Uhr nachts sicherlich keine Login-Berechtigung.

19.2.4 Weitere Möglichkeiten

Schulungen des Personals in der Verwendung der IT-Sicherheit sollten bei Bedarf in die Security Policy aufgenommen werden. Zudem kann festgelegt werden wie, mit welchen Lösungen und ob man überhaupt in die Standardkonformität diverse Komponenten implementieren oder etwa eigene Netzwerkprotokolle oder Ähnliches einsetzen will.