22 April 2015

Kurzvortrag IT-Sicherheit: CIS Security Benchmarks

Bei credativ gibt es jeden Freitag einen Kurzvortrag, bei dem Kollegen die Gelegenheit haben interessante Themen oder spannende Neuigkeiten aus der IT-Welt vorzutragen. Bei einem dieser Vorträge habe ich die CIS Security Benchmarks vorgestellt.

Das Thema Sicherheit muss nahezu in jedem IT-Projekt, bei jeder Komponente betrachtet werden – nicht erst seit den Veröffentlichungen von Edward Snowden. So muss jeder Server, jeder Dienst, aber auch jede Übertragung und alle erlaubten und möglichen Zugriffe umfangreich geprüft werden, um überhaupt eine Aussage über die Sicherheit eines Systems treffen zu können.

Dabei ist der Begriff der Sicherheit in der IT-Branche klar definiert: ISO 27001 beschreibt die notwendigen Schritte, um zu einem umfassenden IT-Sicherheitsmanagement zu gelangen. Dazu gehören neben der Definition von Schutzzielen, der Betrachtung der Gefährdungen und der daraus resultierenden Risiken auch die Vorgaben zu einem kontrollierten Management der relevanten Dokumente, Vorgaben, Anweisungen und so weiter. Im deutschsprachigen Raum ist die Norm ISO 27001 insbesondere bekannt durch die Interpretation des Standards durch das BSI, bekannt als IT-Grundschutz.

So klar der Begriff der IT-Sicherheit in der Theorie skizziert ist, so schwierig ist die Umsetzung davon in der Praxis. Viele Kunden wissen im Alltag zwar um die Notwendigkeit von Sicherheits-Maßnahmen, dies ist aber meist nur einer von vielen Punkten auf der Liste – und nur selten einer der Wichtigeren. Daher ist die Hoffnung der Kunden oft, IT-Sicherheit durch einen Art Check-Liste schnell umsetzen zu können, um dann zum nächsten Punkt weiter zu gehen. Gerade aber IT-Sicherheit nach ISO 27001 schiebt dieser Hoffnung leider einer deutlichen Riegel vor: das Verfahren setzt eine umfassende Analyse der Businessprozesse, der verwendeten Systeme, des Personals, der Räumlichkeiten, der möglichen Gefährdungen und so weiter voraus, und ermittelt in einem mehrstufigen Verfahren indidviduell angepasste Maßnahmen für die Dienste und Systeme. Das ist allumfassend, macht die Sicherheitsmaßnahmen nachvollziehbar und überprüfbar – aber kann unter Umständen einen sehr großen Aufwand verursachen.

Um unseren Kunden aber dennoch einen Einstieg in die IT-Sicherheit zu ermöglichen, weisen wir bei Bedarf gerne auf die CIS Security Benchmarks hin. Das Center for Internet Security ist ein Zusammenschluss mehrerer Organisationen und Einzelpersonen mit dem Ziel, die Sicherheit von IT-Systemen im Internet zu verbessern. Dazu werden verschiedene Ressourcen bereit gestellt – unter anderem Checklisten für das Absichern von Systemen, die sogenannten Security Benchmarks. Die Security Benchmarks gehören dabei zu den Ressourcen, welche der Öffentlichkeit zur Verfügung gestellt werden. Weitere Werkzeuge gerade zur automatisierten Verarbeitung der Benchmarks stehen nur CIS Mitgliedern zur Verfügung.

Die Security Benchmarks bieten zu verschiedenen Themen (Debian, Red Hat, Windows, Apache, Tomcat, etc.) jeweils umfangreiche Checklisten, mit deren Hilfe entsprechende Systeme schrittweise auf klassische Konfigurationen hin überprüft werden. Jede Checkliste befasst sich mit einem Thema, und umfasst eine Vielzahl von Einträgen. Jeder Eintrag besteht wiederum aus einer Beschreibung der Maßnahme, einer Begrüdung, warum diese umgesetzt werden soll, einem Kriterium wie die erfolgreiche Umsetzung der Maßnahme geprüft werden kann, sowie eine detaillierte Anleitung für die technische Umsetzung der Maßnahme. Referenzen runden den Eintrag ab. Damit bieten die oft dutzende Seiten umfassenden Checklisten eine sehr umfassende, tiefgreifende Quelle von Informationen für die Absicherung von Systemen.

Vor dem Einsatz von CIS Security Benchmarks müssen die Vor- und Nachteile betrachtet werden: so ist für mit den Themen vertraute Experten nicht jede Empfehlung einwandfrei nachvollziehbar. Auch sind individuelle Anpassungen oder Herausforderungen mit dem generalistischen Ansatz nicht erfassbar, und nicht für jedes Thema steht eine Liste bereit – so fehlt z.B. leider noch PostgreSQL®.

Für viele Kunden überwiegen aber die Vorteile: die Checklisten sind leicht umsetzbar, sichern die Systeme gegen Standardfehler ab und bieten einen guten und tiefgreifenden Einsteig in die IT-Sicherheit des jeweiligen Themas. Auch Unternehmen die zukünftig ISO 27001 umsetzen möchten können die CIS Security Benchmarks sehr gut verwenden.

Die Folien meines CIS-Vortrags können natürlich gerne eingesehen werden, auch wenn berücksichtigt werden muss, dass diese nur als Ergänzung zum eigentlichen Vortrag zu sehen sind und daher nur grobe Informationen liefern. Falls Sie Fragen rund um die Absicherung von Linux-Systemen, Grundschutz nach ISO 27001 im Open-Source-Umfeld oder allgemein zur IT-Sicherheit rund um Linux und Open Source Software haben, können Sie sich gerne an uns wenden.

 

Dieser Artikel wurde ursprünglich geschrieben von Roland Wolters.

Kategorien: credativ® Inside
Tags: Sicherheit

SH

über den Autor

Sascha Heuer


Beitrag teilen: