3.3.4. Unterstützung durch technische Lösungen – “Lines of Defences”

Die Bereitstellung, Standardisierung und Überwachung von technischen Lösungen ist Teil der Implementierungsdomäne „Solutions and Support“ des Frameworks zum Risiko-basierten Management von Informationsrisiken (siehe Abbildung 5). Inhaltlich stützen die technischen Lösungen die in Tabelle 6 dargestellten Aufgaben und Prozesse der ISO-Community. Die Bereitstellung der geforderten Lösung obliegt dem Security-Team, das diese Aufgabe als Linienfunktion durchführt.

Die technisch getriebene Lösung basiert auf dem Security-Prozess, der die Rahmenbedingungen, den Ablauf und auch die korrekte organisatorische Einbettung definiert. Für den in dieser Arbeit definierten Implementierungsansatz werden fünf verschiedene Maßnahmenbündel unterschieden, die als „Lines of Defences“ bezeichnet werden (siehe Tabelle 2) und die durch die „Security-Toolbox“ (siehe Kapitel 3.2.2) unterstützt werden.

1. Intrusion Prevention: Intrusion Prevention Systems (IPS) sind technische Überwachungslösungen, die das Eindringen Dritter in bestimmte Bereiche verhindern oder zumindest entdecken, um Gegenmaßnahmen zu ergreifen. Neben der Überwachung der Datenflüsse auf Netzwerk-Paketebene, arbeiten moderne Systeme auf Ebene der logischen Überwachung des Datenstromes auf Protokoll- und Applikationsebene und identifizieren entlang eines hinterlegten Regelwerkes Auffälligkeiten im Datenstrom. Muster dieser Überwachung können sowohl bekannte Angriffsmuster des klassischen Hackings, wie „Ping of Death¹¹“, aber auch Art und Aufkommen des Datenflusses auf Anwendungs- und Anwenderebene sein. Eine Überwachung dieser Art ist nur sinnvoll, wenn mit den aufgezeichneten Daten sinnvoll gearbeitet wird. Ferner sind spezifische Gesetze des Datenschutzes und Arbeitnehmerrechte zu beachten.
2. Extrusion Prevention: Der reine unberechtigte Zugriff auf Daten mit interner oder geheimer Klassifikation führt noch nicht automatisch zu einem Schaden. Erst wenn die Information das Unternehmen verlassen und einen Konkurrenten oder eine staatliche Stelle erreichen, können diese genutzt und möglicherweise missbraucht werden. Hier setzte das Thema Extrusion-Prevention an. Eine vollkommene Extrusion-Prevention existiert nicht, aber es können Hürden aufgebaut werden, die größeren Schaden verhindern. Die Maßnahmen in diesem Bereich beschränken sich meist auf die Abschottung von „Schnittstellen“ nach außen, wie physische Zugangskontrollen, bei denen z.B. auf die Mitführung von Datenträgern, Fotoapparaten und Akten geprüft wird und auf technische Maßnahmen. Durch technische Maßnahmen wird z.B. der Datentransfer für eMails nach extern protokolliert oder beschränkt (Blacklisting 12 ). Bei der Deaktivierung von Druckern, USB-Ports, externen Laufwerken, CD-Laufwerken wird ebenso von Usage-Prevention gesprochen.
3. Zugriffskontrolle (Access Control): Eine sinnvolle Zugriffskontrolle führt zur Umsetzung des Minimalitätsprinzips (need-to-know-Prinzip) und erlaubt Mitarbeitern ausschließlich den Zugriff auf Daten, Transaktionen und Anwendungen, die sie zur Erledigung ihrer Aufgaben benötigen. In der Regel werden hier rollen-basierte Ansätze verwendet um die Vergabe von Rechten auf Mitarbeiterebene zu vermeiden. Technische Lösungen können hier die Verwaltung der Rollen und Rechte auf Systeme und Daten vereinfachen und den Überblick herstellen.
4. Usage Prevention: Sollten Daten das Unternehmen verlassen haben, so ist nicht automatisch ein Schaden eingetreten. Wenn der Verlust bemerkt worden ist, kann über bilaterale Gespräche oder rechtliche Schritte eine Nutzung möglicherweise noch verhindert werden. Der Zeitraum hierfür ist jedoch meist eher gering und eine ausreichende Beweislage ist meist nur schwer herzustellen. Usage Prevention ist daher kein technisch geprägter Prozess, das Thema Forensik wird jedoch durch Technologie unterstützt.
5. Restoration: Ist bereits ein Schaden eingetreten, muss der Schaden kleingehalten bzw. Missbrauch unterbunden werden. In der Regel geschieht dies durch rechtliche Schritte. Die VR China hat hier durch Anerkennung internationaler Standards zum Schutz von Betriebs- und Geschäftsgeheimnisse grundsätzlich große Fortschritte gemacht. Allerdings ist die Durchsetzbarkeit der Ansprüche auf Grund von komplexen Regeln nach wie vor schwierig (Müller & Sprick, 2011). Die Aspekte der Restoration sind fast ausschließlich juristischer Natur. Wie schon bei beim Thema Usage-Prevention kommt der Information-Security eine unterstützende Aufgabe, für den Nachweis oder der Nachverfolgung des Informationsverlustes und des Missbrauches zu.

Bei der Entwicklung der Maßnahmen in diesem Programm beschränken sich die Vorschläge für technische Lösungen auf die ersten drei Maßnahmenbündel zur Intrusion und Extrusion Prevention sowie zur Access Control. Bei den Punkten Usage Prevention und Restoration wirken technische Lösungen lediglich unterstützend.

¹¹ Ping of Death = Spezielle Denial-of-Service-Attacke (DoS-Attacke), mit dem Ziel, das angegriffene System zum Absturz zu bringen.
¹² Für eine Gruppe (Liste) von Anwendern steht ein Dienst wie Mail eingeschränkt oder nicht zur Verfügung.