IT-Sicherheitsaudit

Als Sicherheitsaudit (englisch Security Audit) werden in der Informationstechnik Maßnahmen zur Schwachstellen- und Risikoanalyse eines IT-Systems oder Computerprogramms bezeichnet. Sicherheitsaudits finden meist im Rahmen eines Qualitätsmanagements statt und dienen der Reduzierung von Sicherheitslücken sowie der Einführung von Best Practices in einer Organisation (öffentliche Verwaltung, Unternehmen).

Sicherheitsaudits zählen zum Bereich der Netzwerk- und Informationssicherheit, wobei die Grenze zur LAN-Analyse in lokalen Netzwerken beziehungsweise zur Netzwerk-Analyse fließend ist. Der Prozess des Audits wird häufig als Auditing bezeichnet, während die durchführende Person Auditor heißt.

Sicherheitsaudits bilden einen unentbehrlichen Teil des deutschen IT-Grundschutzes. International sind sie in der Norm ISO/IEC 27001 der ISO festgelegt. Darüber hinaus gibt es eine Reihe weiterer internationaler Richtlinien, so genannter Security Policys. Diese dienen der Planung, Dokumentierung und ständigen Weiterentwicklung des Informationssicherheitsmanagementsystems eines Unternehmens (ISMS, siehe auch IT-Service-Management). Die Audits werden meist von externen Experten – auch Chief Audit Executives (CAEs) genannt – in Absprache mit der Geschäftsführung durchgeführt. Der dabei erstellte Maßnahmenkatalog bildet die Grundlage für weitere Schritte durch die Administratoren der hausinternen IT-Abteilung. Sie sind für den laufenden Abgleich von Soll und Ist und die Wartung des Systems in Übereinstimmung mit der Security Policy des Unternehmens zuständig. Systeme können dabei Personal Computer, Server, Großrechner (Mainframes), Router oder Switches umfassen. Anwendungen können beispielsweise Webserver wie Apache, Datenbank-Systeme wie Oracle oder MySQL und Mailserver umfassen.

Nach einer Bestandsaufnahme, der so genannten IT-Strukturanalyse, finden die jeweiligen Tests statt. Auf diese folgt in der Regel die Bewertung des Schutzbedarfs sowie eine Auswahl von Maßnahmen, welche in einem Maßnahmenkatalog festgehalten werden. Die Umsetzung der Maßnahmen wird aus Gründen der internen Sicherheit meist nicht vom Auditor selbst durchgeführt, da dieser nach Durchführung eines Audits mit den Sicherheitslücken des Unternehmens zu sehr vertraut ist. Mit der Unterzeichnung eines Non-Disclosure Agreements (NDA) verpflichtet sich der Auditor zur Geheimhaltung. Ein Auditor muss ausreichend Erfahrung im Netzwerkbereich mitbringen und in der Lage sein, sich in einen Angreifer hinein zu versetzen. Gründe und Ziele einer potenziellen Attacke entscheiden über die angewandte Methode.

Manuelle Maßnahmen umfassen dabei: die Befragung der Belegschaft eines Unternehmens (siehe Social Engineering); Security Scans mittels Portscannern wie Nmap, Sniffern wie Wireshark, Vulnerability Scannern wie Nessus und anderer Tools – so genannter Vulnerability Assessment (VA) Produkte; die Überprüfung der Zugangskontrolle bei Anwendungen und Betriebssystemen; die Analyse des physikalischen Zugangs zum System. Eine weitere Methode, Sicherheitsschwachstellen festzustellen, sind so genannte Penetrationstests. Sie bilden einen wesentlichen Bestandteil eines vollen Sicherheitsaudits. Hierbei werden Angriffe von außen (Internet) als auch von innerhalb des Unternehmensnetzwerkes simuliert. Dieser Vorgang wird häufig auch als friendly Hacking bezeichnet.

Als Alternative oder Ergänzung zu den manuellen Auditing-Maßnahmen können computerunterstützte Auditing-Techniken (engl. Computer Assisted Auditing Techniques, CAAT) eingesetzt werden. Solche automatischen Auditing-Maßnahmen sind Teil der Audit-Standards, welche vom American Institute of Certified Public Accountants (AICPA) herausgegeben werden und in den USA für die Verwaltung verpflichtend sind.^[1] Sie umfassen systemgenerierte Audit-Reports sowie die Verwendung von Monitoring-Software, welche Änderungen an Dateien oder Einstellungen auf einem System berichtet. Eine Checklist der AICPA soll Administratoren diese Arbeit erleichtern.^[2] Freie Software-Lösungen in diesem Bereich sind Tiger, Tripwire und Nagios.

Die von Sicherheitsexperten vorgeschlagenen Richtlinien und Maßnahmenkataloge im Bereich der IT-Sicherheit sind sehr umfangreich. So gibt es neben der ISO/IEC 27001 auch noch die ISO/IEC 17799 sowie die diesen zu Grunde liegende britische BS 7799. Ferner existieren die Sicherheitsarchitektur X.800, die IT-Grundschutz-Kataloge (früher IT-Grundschutzhandbuch) des BSI, die Verfahrensbibliothek ITIL sowie die ITSEC-Kriterien.

Die Bandbreite der vorgeschlagenen Maßnahmen reicht von der Einrichtung einer DMZ für externe Dienste und der Trennung des Netzwerks in unterschiedliche Segmente durch VLANs (beispielsweise ein separates VLAN für Netzwerkdrucker, ein weiteres für WLAN, Abteilung A, Abteilung B, Geschäftsführung und so fort), Autorisierung des Zugriffs von außen auf das Netzwerk lediglich über VPN gestatten^[3], über den Einsatz von Verschlüsselungsmechanismen, Einrichtung und Wartung von Firewalls, IDS/IPS, Virenschutz, Geräte- oder Endpunktkontrolle, Identitätsmanagement sowie Evaluierung der vorhandenen Benutzerprofile und Zugriffskontrolllisten (ACLs) sowohl auf den Arbeitsplatzrechnern als auch im Netzwerk bis hin zur Einrichtung eines zentralen Update-Servers für alle Betriebssysteme (siehe Windows Update Server).^[4]

Sicherheitsexperten haben die Möglichkeit, ihr Wissen potenziellen Kunden gegenüber durch anerkannte Zertifizierungen nachzuweisen. Darunter fallen unter anderem der CISSP, der CISA, eine der zahlreichen ITIL- oder LPI-Zertifizierungen, sowie solche der APO-IT oder von im IT-Sicherheitssektor angesehener Firmen wie Cisco. In Österreich existiert für IT-Berater ferner die Auszeichnung des IT-Ziviltechnikers. Diese und weitere Zertifikate können in speziellen Lehrgängen erworben werden.

Hacker-Attacken können nach Methode und Zielsetzung grob in drei unterschiedliche Typen unterteilt werden: passiv, aktiv, aggressiv. Ziel eines passiven, automatisierten Angriffs durch Skripte und Bots kann beispielsweise die Ausweitung eines Botnets sein. Insbesondere Würmer werden zur automatisierten Ausnutzung von Schwachstellen eingesetzt. Andere bösartige Computerprogramme zur Verbreitung derartiger Bots sind Viren und Trojaner. Bei erfolgter Kompromittierung eines (als Zombie bezeichneten) Computers kann dieser zum Versenden von Spam, als Storage für Raubkopien, zum Ausführen von DDoS-Attacken und dergleichen genutzt werden. Durch einen aktiven, manuellen Angriff können sensible Daten ausgelesen oder bei Installation eines Backdoors Benutzer ausspioniert und Anwendungen durch den Angreifer kontrolliert werden. Aggressive Angriffe sind meist politisch motiviert und sollen in der Regel einen Systemausfall bewirken. Die Grenzen der Angriffsarten sind fließend. Audits verlaufen im wesentlichen nach demselben Muster.

Ein Audit besteht somit aus mehreren Phasen. Sollten Daten wie der zu scannende IP-Adressbereich (IP-Range) vom Kunden nicht bekannt gegeben werden (Black-Box), kann im ersten Schritt ein Footprinting für den Auditor von Nutzen sein, wodurch eine ungefähre Netzwerktopologie entworfen werden kann. Dieser Schritt entfällt bei einem White-Box-Test. Im nächsten Schritt wird das Computernetz mit einem automatischen Vulnerability Scanner auf potenzielle Schwachstellen hin überprüft. Um so genannte False Positives auszuschließen, ist eine genaue Auswertung der Resultate nötig. Eine weitere Phase eines Audits kann ein Penetrationstest (PenTest) auf Grundlage der in der Schwachstellenanalyse gewonnenen Erkenntnisse sein. Die Ergebnisse werden schließlich in einem ausführlichen Bericht zusammen gefasst, welcher durch einen Maßnahmenkatalog zur Risikominimierung beziehungsweise -dezimierung zu ergänzen ist.

Darf der Betrieb in einem Unternehmen durch das Auditing nicht gestört werden, muss auf das Ausnutzen von etwaigen Programmfehlern (Bugs) beziehungsweise Sicherheitslöchern wie Buffer Overflows in Software – Exploit genannt – verzichtet werden. Stark verbreitet sind hier so genannte DoS-Attacken.^[5] Das Herausfiltern von potenziellen Sicherheitslücken in einem System wird als Vulnerability Mapping bezeichnet. Hierbei erstellt der Auditor eine Liste aller laufenden Dienste samt bekannter Bugs. Diese können beispielsweise auf Bugtraq, der CVE-Liste oder beim US-CERT abgefragt werden.^[6]

Zu den häufigsten Sicherheitslücken zählen laut McAfee^[7]: Vorgabeeinstellungen (default settings) bei kaum konfigurierten Routern, Firewalls, Webservern; einfache, unverschlüsselte und/oder voreingestellte Passwörter (Fabrikseinstellung); mangelnde Sicherheits-, Wartungs- und Programmierkompetenzen beim Personal; mangelnde Sicherheitskonzepte wie Security through obscurity, fahrlässiger Umgang mit vertraulichen Daten, Anfälligkeit für soziale Manipulation; mangelnde Wartungskonzepte, beispielsweise seltene Updates und Passwortänderungen, oder mangelndes Monitoring; schlechte Programmierkonzepte wie fehlende QA und Code Reviews sowie Vernachlässigung des Sicherheitsaspekts^[8]; Verwendung unsicherer Dienste wie telnet, SNMP, RDP, X, SMB, MSRPC, Web-Guis wie OWA; schlecht (meist in Eile) entwickelte Anwendungen mit Buffer Overflows, Format string vulnerabilities, integer overflows, fehlender Eingabeprüfung.

Zum Ausführen von Exploits dienen meist fertige Skripte wie sie beispielsweise auch von Skriptkiddies bei ihren Angriffen verwendet werden. Eine Sammlung von Exploits für viele gängigen Betriebssysteme bietet Metasploit, ein Framework zum Erstellen und Testen von Exploits für Sicherheitslücken. Es ist eines der verbreitetsten Tools für PenTests.^[9]

Der Portscanner Nmap^[10] kann dabei verwendet werden, um Informationen über die Aktualität der am Zielsystem laufenden Anwendungen (Version und Patchlevel) sowie zur Erkennung des Betriebssystems durch OS-Fingerprinting.^[11] Das grafische Network Mapper Frontend nmapfe wurde mittlerweile durch zenmap ersetzt, welches seinerseits aus Umit^[12] hervorgegangen ist. Banner Grabbing und Port Scanning können alternativ auch mit Netcat durchgeführt werden.^[13] Eine effiziente und schnelle Alternative zum verbreiteten Nmap bietet unter Umständen PortBunny.^[14] Nmap ist jedoch eines der mächtigsten und verbreitetsten Tools auf dem Gebiet.^[15]

Bekannte Sicherheitslücken können mit dem Vulerabilty Scanner Nessus ausfindig gemacht werden. Auch eine manuelle Prüfung von Exploits in Web-Applikationen wie SQL-Injection oder Cross-Site Scripting ist mit Nessus möglich. Verwandte Angriffe in diesem Bereich sind: Session Fixation, Cross-Site Cooking, Cross-Site Request Forgery (XSRF), URL-Spoofing, Phishing, Mail-Spoofing, Session Poisoning, Cross-Site Tracing (XST).

Nachdem Nessus ein sehr „lautes“ Tool ist, sein Gebrauch in einem Netzwerk also leicht festzustellen ist, werden oftmals „leise“ (meist passive) Tools wie firewalk (Paketfiltering Enumerator), hping3 (TCP/IP-Paketanalyse mit Traceroute-Modus) oder nmap bevorzugt. Zum Testen von Web-Applikationen existiert ferner der Nikto Web Scanner, der alleine betrieben oder in Nessus eingebunden werden kann.^[16]

Häufig wird bei Sicherheitsaudits (in Absprache mit der IT-Abteilung) versucht, Viren, Würmer und Trojaner und sonstige Malware in ein System einzuschleusen. Dies geschieht meist durch Social Engineering, indem der Auditor beispielsweise an alle User ein „wichtiges Sicherheitsupdate“ per Mail sendet oder persönlich überreicht. Auf diese Weise kann vorhandene Antivirensoftware, Personal Firewall, Paketfilter, Intrusion Prevention System und dergleichen auf Aktualität und Wirksamkeit hin überprüft werden. Wichtiger jedoch ist die Frage, wie die User reagieren und ob sie der Security Policy des Unternehmens folgen.

Mit Tools wie John the Ripper kann versucht werden, Passwörter im System zu knacken.^[17] Diese können beispielsweise aus einem mittels Sniffern wie Wireshark oder tcpdump gewonnenen Hash ausgelesen werden. Hierzu sind auch Plug-ins für Nessus erhältlich. Verborgene Rootkits können mit Chkrootkit entdeckt werden. Auch gewöhnliche Unix-Boardmittel wie lsof (list open files) oder top zur Prozessverwaltung können hier helfen. Unter Microsoft Windows empfiehlt sich die Verwendung der Sysinternals Suite von Mark Russinovich.^[18]

Die meisten der beschriebenen Tools finden sich unter anderem in den folgenden auf GNU/Linux basierenden Live-Systemen^[19]: BSI OSS Security Suite (BOSS), BackTrack^[20] (früher: Auditor Security Collection), Knoppix STD (Security Tools Distribution)^[21], Network Security Toolkit (NST)^[22], nUbuntu^[23] (oder Network Ubuntu), PHLAK^[24], Helix^[25]. BackTrack wurde im März 2006 von Darknet zur besten Security Live-CD gekürt.^[26]

Neben den zahlreichen freien FOSS-Tools^[27] existiert eine Reihe von weit verbreiteten Closed Source-Produkten wie der Paketanalyseplattform OmniPeek von WildPackets, dem Web Application Security Scanner N-Stalker^[28], den automatischen Vulnerability Scannern Qualys^[29], Retina von eEye Digital Security^[30], IBM Internet Scanner (vormals: Internet Security Scanner)^[31], Shadow Security Scanner^[32] und GFI LANguard Network Security Scanner^[33], sowie dem Paketsniffer Cain & Abel und anderen. Kostenpflichtige Tools zur Erstellung von Sicherheitskonzepten auf Basis des IT-Grundschutzes sind das GSTOOL des BSI sowie SecuMax. Im Unterschied zu den meisten freien Tools funktionieren die meisten dieser Produkte jedoch nur unter Windows. Eine freie und betriebssystemübergreifende Alternative zum GSTOOL bietet das auf Java basierende ISMS-Tool Verinice.^[34]

• Brian Hatch, James Lee, George Kurtz: Hacking Linux Exposed: Linux Security Secrets and Solutions. Hrsg.: McAfee, ISECOM. McGraw-Hill / Osborne, Emeryville, California 2003, ISBN 0-07-222564-5 (Voransicht bei Google; Website zum Buch – 712 Seiten). 

• Stefan Ernst: Strafbarkeit von Hacking und Computerviren. In: Regionales Rechenzentrum für Niedersachsen [RRZN] (Hrsg.): Benutzerinformation. Nr. 374. Universität Hannover, Hannover 24. Februar 2004, S. 9 ff. (Online-Version; PDF). Fehler in Vorlage:Literatur – *** Ungültig: Herausgeber mit problematischem Zusatz

• Stuart McClure, Joel Scambray, George Kurtz: Hacking Exposed: Network Security Secrets & Solutions. Hrsg.: McAfee. McGraw-Hill / Osborne, Emeryville, California 2005, ISBN 0-07-226081-5 (Voransicht bei Google – 692 Seiten). 

• Johnny Long, Ed Skoudis: Google Hacking for Penetration Testers. Syngress, 2005, ISBN 1-931836-36-1 (Voransicht bei Google – 448 Seiten). 

• Sasha Romanosky, Gene Kim, Bridget Kravchenko,: Managing and Auditing IT Vulnerabilities. In: Institute of Internal Auditors (Hrsg.): Global Technology Audit Guide. Band 6. Altamonte Springs, FL 2006, ISBN 0-89413-597-X (Online-Version der gesamten Serie). 

• Joel Scambray, Stuart McClure: Hacking Exposed Windows: Windows Security Secrets and Solutions. 2007, ISBN 0-07-149426-X (Voransicht bei Google; Website zum Buch – 451 Seiten). 

• Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits. Hrsg.: EICAR. Grin Verlag, 2007 (Online-Version; PDF – 15 Seiten). 

• Dennis Jlussi: Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminaltität. Hrsg.: EICAR. Grin Verlag, 2007 (Online-Version; PDF – 13 Seiten). 

• BSI: Durchführungskonzept für Penetrationstests, November 2003
• Managing and Auditing IT Vulnerabilities (aus: Global Technology Audit Guide) mit Zusammenfassung durch die AICPA
• Open Vulnerability Assessment Language (OVAL): Mitre-Standard für Sicherheitslücken
• SecurityFocus: größte Community von IT-Sicherheitsexperten

• Informationssicherheit
• ISO/IEC 17799
• OpenBSD-Sicherheitsmerkmale
• Penetrationstest