Elektronische Einbruchserkennung - Ein missverstandenes Werkzeug Marc Ruef | 22.02.2010 Der erste in erster Linie kommerziell ausgeschlachtete Trend der noch jungen IT Security Branche war das Firewalling. Im Corporate-Bereich wurden Firewall-Systeme gekauft und installiert, wie wenn es kein Morgen gäbe. Jede Firma, die etwas auf sich hielt, musste seinen Internet-Zugang mit einem Paketfilter schützen. Die Industrie hatte Blut geleckt und versuchte unmittelbar nach dem Erreichen des umsatzstarken Zenits einen neuen Trend zu etablieren. Einen Schritt weiter als die damals als passiv verstandenen Firewalls sollten die Intrusion Detection-Systeme (IDS) gehen. Neben Antivirus und Kryptografie hat sich damit ein weiteres Missverständnis im Bereich der "alltäglichen" Computersicherheit etabliert. Dies beginnt damit, was ein IDS überhaupt macht. Grundsätzlich kann zwischen Angriffserkennung und Einbruchserkennung unterschieden werden. Zwei strategisch gänzlich unterschiedliche Prozesse, die ebenso unterschiedlich konzeptioniert werden müssen. Je nachdem wird ein IDS nämlich an exponierter Stelle positioniert, eventuell gar als Teil eines Honeypots/Honeynets betrieben. Oder es wird an zentrale und umfassend geschützte Objekte, wie zum Beispiel eine interne Kundendatenbank, gebunden. Neben der netzwerktechnischen Positionierung sind ebenfalls die Konfiguration und der Betrieb von diesen Überlegungen abhängig. Doch was den Untergang der IDS-Lösungen herbeigeführt hat, bevor diese überhaupt das Erbe der Firewall-Kultur antreten konnten, waren die weiterführenden Überlegungen abseits des Produkts ansich. In fast keinem Bereich sollte der Ausspruch "Sicherheit ist kein Produkt, sondern eine Lösung" seine volle Tragweite entfalten. Zur Evaluation, dem Kauf, der Konzeption, Installation und Konfiguration kommen weitere Aspekte, die ein IDS überhaupt nützlich werden lassen. Intrusion Detection-Systeme sind schlussendlich Software-Lösungen, die durch mehr oder weniger komplexe Verfahren verdächtige/unerwünschte Aktivitäten erkennen und melden sollen. Doch wo werden diese Alerts gemeldet und wer nimmt sich diesen an? Wie im Bereich des Vulnerability Scannings trumpfen die jeweiligen Lösungen nicht gerade mit einer perfekten Zuverlässigkeit auf. False-Positives und False-Negatives sind an der Tagesordnung und so muss ein Spezialist die jeweiligen Resultate analysieren, prüfen und gegebenenfalls erweitern (http://www.scip.ch/?dienstleistungen.intrusiondetection). In Bezug auf eine IDS-Lösung bedeutet dies, dass mindestens ein Spezialist als Teil des Monitoring-Teams die jeweiligen Alerts sichten muss. Doch damit nicht genug. Denn was passiert, wenn ein effektiver Alert ausgelöst wurde? Zum Beispiel ein erfolgreicher Einbruch auf einem betriebskritischen Server? Die Incident Response (IR) regelt als Prozess, wie in einem solchen Fall verfahren werden soll. Die Definition dieser Abläufe ist nicht einfach, sollen sie denn nicht willkürlich oder fahrlässig die Produktivität eines Unternehmens untergraben. Massnahmen müssen klug gewählt und noch kluger angewendet werden. Da viele Kunden das grundlegende Prinzip von Produkten wie Intrusion Detection-Systemen nicht verstanden haben oder die damit eingeführten Mechanismen mittragen wollten, war das Konzept in einem breitflächig kommerziellen Sinn zum Scheitern verurteilt. Die meisten Käufer haben ihre teuren Installationen nach nur wenigen Monaten wieder abgebaut. Und auch heute noch finden sich in den wenigsten Unternehmen IDS-Lösungen, die umfassend und flächendeckend eingesetzt und betrieben werden. Der Aufwand und die Kosten sind einfach zu hoch, wodurch das Risiko eines Blindflugs bei einem drohenden Incident wohl oder übel in Kauf genommen wird.