Besuchen Sie jetzt unseren Online Shop www.tos.mynetcologne.de ..::..::..::..::..Schauen Sie mal unsere Service Produkte und unsere Service Angebote an es LOHNT sich.... ..::..::..::..::..

Sicherheitskonzepte

Worauf sollten Sie bei der Wahl von Internet-Sicherheitslösungen für Ihr Unternehmen achten.

Brauchen wir das Internet- ja wir brauchen es sofort

Tausende Unternehmen reißen sich darum, online zu gehen. Wenn Ihr Unternehmen auch dazu gehört, ist dieser Teil der Doku genau richtig für Sie. Es behandelt die folgenden Aspekte:

• Wie Sie Ihre spezielle Situation evaluieren 
• Wie Sie Schulungen finden 
• Wie Sie einen Berater finden

Analysieren Sie ihr/e System/ Situation

Die Situation: Ein LAN-Administrator ist gerade mit irgend etwas beschäftigt, als eine Gruppe von Leuten aus der Verwaltung auftaucht. Sie wollen, dass das Unternehmen ins Internet geht und sie wollen es gestern. In diesem Moment wird das Leben des LAN-Administrators auf den Kopf gestellt.

Tatsache ist, dass manche Netzwerk-Spezialisten nicht viel über Sicherheit im Internet wissen. Das Thema ist komplex und wenn Sie keinen bestimmten Grund haben, sich damit zu beschäftigen, ist es komplette Zeitverschwendung. Wo fangen Sie also an?

Automatische Erkennung von Angriffen mittels Intrusion Detection

Eine Intrusion (Eindringen) wird wie folgt beschrieben: ”Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren””. Allgemeiner gefasst kann man unter einer Intrusion die absichtliche Verletzung der Sicherheitsmaßnahmen eines System verstehen. Das Ziel der Intrusion Detection (ID) ist es, diese Verletzungsversuche zu erkennen, sie für den die Systemsicherheit zuständigen Personen zu melden und geeignete Gegenmaßnahmen zu treffen, bzw. das System für Intrusions- Gegenmassnahmen (Intrusion Response System, IRS) mit geeigneter Information über den Angriff zu versorgen.

Grundlegende Begriffe

Ein Intrusions- Erkennungssystem (IDS) besteht aus den folgenden drei Hauptkomponenten:
 

• Einer Komponente zur Datensammlung, welche Informationen z.B. über den allgemeinen Systemzustand und die Betriebsmittelvergabe sammelt. Diese Information kann quantitativer Art sein, z.B.: der Port 4711 empfing während der letzten Sekunde 20 SYN-Pakete. Es kann sich allerdings auch um qualitative Aussagen handeln, etwa der folgenden Art: Benutzer Felix schickte eine E-Mail ab, kurz nachdem der sich beim System angemeldet hat.
   
• Einer Komponente zur Datenanalyse, welche die gesammelten Daten im Hinblick auf mögliche Angriffe analysiert.
   
• Einer Komponente zur Ergebnisdarstellung, die das Analyseergebnis benutzergerecht aufbereitet und dem Sicherheitsbeauftragten als Entscheidungshilfe für das weitere Vorgehen liefert.

Die oben aufgeführten Komponenten können noch weiter verfeinert werden. Dies führt auf der einen Seite zu einer Menge von Design-Alternativen, auf der anderen Seite zu unterschiedlichen Funktionalitäten eines ID-Systems. Die möglichen Verfeinerungen des ID- Grobentwurfs führen zu einem Klassifikationsschema für ID- Systeme.

Datensammlung

Für den Erfolg eines ID- Systems ist es wichtig, aus welcher Quelle die Daten zur Intrusionerkennung genommen werden. Die beste Analysekomponente ist wirkungslos, wenn ihr nicht in ausreichendem Maße Daten zu Verfügung stehen. Folgende Datenquellen können unterschieden werden:

Auditdaten aus verschiedenen Systemeinheiten. Die Audit- Datensätze enthalten Meldungen und Statusinformation auf hoher Abstraktionsebene (z.B.: ”Wer hat sich angemeldet?” oder ”Wann traten Schutzverletzungen auf?”). Die Audit- Datensätze spiegeln einen chronologischen Ereignisstrom wider. Es ist extrem schwierig, gute Audit- Datensätze zu erzeugen. Sowohl zu große als auch zu kleine Protokolldatenmengen erschweren die Analyse. Im Hinblick auf ein ID-System sind TCSEC C2+ Auditdaten besser geeignet als die Protokolldaten eines IBM Mainframe Überwachungssystems.

Viele Auditsysteme erzeugen große Datenmengen, die nur einen beschränkten Wert für ID-Systeme haben. Ältere Betriebssystemgenerationen beinhalten eine viel zu schwache Sicherheitsarchitektur. Infolgedessen werden auch sicherheitskritische Ereignisse nicht hinreichend detailliert protokolliert. Sinnvolle Quellen für ID-relevante Auditdaten sind:
 

• von Teilen des Betriebssystems überwachte Komponenten wie Dateisysteme (hier sind Zugriffsrechte von besonderem Interesse), Netzdienste (wer hat sich von außen angemeldet) etc.
   
• von Sicherheitsanwendungen wie z.B. Firewalls überwachte Systemkomponenten

Betriebsmittelvergabe durch das Betriebssystem. Hier sind Paramter wie CPU-Auslastung, Ein-/Auslagerungsrate des virtuellen Speichers, Anzahl aktiver Netzverbindungen etc. interessant.

Netzverkehrsdurchsatz. Hier sind Parameter wie Quell- und Zieladresse eines Pakets, sowie der Quell- und Ziel-Port interessant. Auch können die bei den verschiedenen Protokollen zu wählenden Optionen (z.B. Source Routing, SYN-Bit etc.) für das ID-System von Interesse sein.

Werden Auditdaten auf einer höheren Abstraktionsebene gesammelt, z.B. von einem Proxy-Server, so bedingt dies zwangsweise den Verlust der Daten auf niedrigerer Ebene. Als Folge können viele der in 2.3.2 besprochenen Angriffe nicht erkannt werden. Es ist daher notwendig, Daten auch auf niedrigen Ebenen zu sammeln, zumal diese Ebenen nur sehr schwache Sicherheitsmechanismen haben.

Datenanalyse

Der tatsächliche Erkennungsprozess findet in der Analysekomponente des IDS statt. Hier gibt es zwei unterschiedliche Techniken: Missbrauchserkennung (misuse detection, auch als Signaturanalyse bezeichnet) und Anomalieerkennung. Während die Missbrauchserkennung versucht, bekannte Angriffe zu identifizieren, hat Anomalieerkennung das Ziel, die unmittelbaren Folgen eines Angriffs zu erkennen. Damit ist es, zumindest vom Ansatz her, mittels Anomalieerkennung möglich, das System auch vor noch unbekannten Angriffen zu schützen.

Missbrauchserkennung

Dieser Ansatz versucht, in den Auditdaten die für bekannte Angriffe typischen Muster zu erkennen. Hier finden häufig ”String Matching”-Algorithmen Anwendung: Der Datenstrom wird auf ein bestimmtes Muster hin untersucht. Hierbei ist noch nicht spezifiziert, wie mächtig dabei die Sprache zur Beschreibung des zu suchenden Musters sein kann.

Die Missbrauchserkennung stellt gewisse Anforderungen an den zu erkennenden Angriff:
 

• Es muss bekannt sein, worauf dieser Angriff basiert (beispielsweise IP- Paket mit falscher Größenangabe).
   
• Es muss eine Signatur für diesen Angriff vorliegen.
   
• Die Signatur muss für das ID- System zugänglich gespeichert werden.

Die Angriffsmuster werden in einer so genannten Signaturdatenbank gespeichert. Diese Datenbank bildet die zentrale Komponente des Missbrauchserkennungssystems.

Anomalieerkennung

Dieser Ansatz basiert auf der Überlegung, dass ein Angriff ein atypisches Systemverhalten (Anomalie) erzeugt, wodurch er erkannt werden kann. Um solche Abweichungen vom Normalverhalten festzustellen, ist es zunächst notwendig, innerhalb des zu schützenden Systems festzulegen, was ”normales Verhalten” ist. Das Wissen um das normale Verhalten leitet sich aus dem bisherigen Benutzerverhalten ab. Hierzu gibt es unterschiedliche Verfahren:
 

1. Statistische Ansätze

Das System versucht hierbei zu einer vorgegeben Parametermenge (CPU-Auslastung, Seitenwechselrate etc.) zunächst die Normalwerte zu bestimmen. Dies können zustandsunabhängige Mittelwerte sein (die CPU-Auslastung ist immer bei 20 %). Es kann sich aber auch um zustandsabhängige Werte handeln (bedingte Wahrscheinlichkeiten).

Sobald ein Parameter sich außerhalb des für ihn als normal definierten Bereichs bewegt, wird ein Alarm ausgelöst. Optional kann angegeben werden, wie hoch die Abweichung vom Normverhalten ist.
 

2. Logische Ansätze

In den statistischen Ansätzen spiegelt sich die zeitliche Abfolge von Ereignissen nicht in den Parametern wider. Eine vom Normverhalten abweichende Abfolge von Ereignissen kann aber genauso aufschlussreich sein wie Statistiken. Logische Ansätze zur Anomalieerkennung berücksichtigen daher die zeitliche Abfolge von Ereignissen und beschreiben das Normverhalten anhand von Regeln.

Entsprechende Systeme betrachten bestimmte Ereignisfolgen als typisch. Beobachtet das System den Anfang einer gewissen Ereignisfolge, so erwartet es, daß auch der Rest der Ereignisfolge abläuft. Ist dies nicht der Fall, wird das beobachtete Systemverhalten als anomal bewertet.

 

Ergebnisdarstellung

Die Aufgabe der Ergebnisdarstellungskomponente ist es, die Ausgabe der Datenanalyse benutzergerecht zu präsentieren. Dazu gibt es in Abhängigkeit der Datenanalysemethode verschiedene Möglichkeiten.
 

• Missbrauchserkennungssysteme können Ja/ Nein- Ausgaben liefern. Falls der Vergleich einer Signatur mit einem konkreten Angriff positiv ausfällt, so wurde ein Angriff entdeckt; sonst nicht. Damit liefert die Missbrauchserkennung keine kontinuierlichen Werte, anhand derer die Schwere (d.h. der potentiell mögliche Schaden) eines Angriffes abgeschätzt werden kann. Nichtsdestotrotz kann anhand des erkannten Angriffstyps eine Schwere zugeordnet werden.

· Anomalieerkennungssysteme bieten sogenannte Verdachtsbewertungen (suspicion values) an, die angeben, wie stark das aktuelle Verhalten vom Normalwert abweicht. In Abhängigkeit dieses Wertes können unterschiedliche Benachrichtigungs- bzw. Alarmierungswege gewählt werden.

Eine weitere wichtige Komponente ist die lokale Darstellung der Analyseergebnisse. Mittels einer grafischen Benutzeroberfläche können die Ergebnisse anwenderfreundlich dargestellt werden. Neben dieser bildschirmorientierten Präsentation können Ergebnisse wie z.B. ein Alarm auf unterschiedliche Weisen an den Sicherheitsbeauftragten weitergeleitet werden:
 

• Pager- Dienste und mobile Telefone erlauben es, die Sicherheitsbeauftragten auch über größere Entfernungen hinweg zu benachrichtigen. Dies kann insbesondere bei besonders gravierenden Angriffen sinnvoll sein.
   
• Benachrichtigung über das interne Netz. Diese Methode ist sinnvoll, falls der Sicherheitsbeauftragte die Konsole nicht permanent beobachten kann. Wählt man diese Vorgehensweise, so ist darauf zu achten, dass die Verbindung zwischen den beteiligten Stationen kryptographisch gesichert ist, damit die Information nicht durch einen Angreifer verfälscht werden kann. Des weiteren ist darauf zu achten, dass die beteiligten Systeme nicht Opfer von Denial-of-Service- Angriffen werden und die Meldungen folglich nicht dargestellt werden können.
   
• Alarmmeldung an ein entferntes System über ein gesichertes Netzsegment (z.B. einen dedizierten seriellen Anschluss).
   
• Lokaler Alarm. Hierbei muss das Sicherheitspersonal die IDS-Konsole ständig beobachten.

Zusammentragen von Informationen

Der erste Schritt ist wahrscheinlich der schmerzhafteste. Bevor Sie Berater kontaktieren oder Sicherheitslösungen einkaufen, sollten Sie zunächst einmal Informationen über Ihr Netzwerk sammeln:

• Hardware. Notieren Sie Fabrikat, Hersteller, Modell und Serie jeder der folgenden Komponenten: Workstations, Hubs, Router und Netzwerk-Adapter. Stellen Sie sicher, dass Sie auch Angaben über die Systemressourcen machen, wie z.B. Speicher, Festplattenkapazitäten etc. 
• Software. Bestimmen Sie die Netzwerk-Software, die auf Ihrem System laufen soll, und stellen Sie eine Liste ihrer Basis-Applikationen auf. 
• Protokolle. Legen Sie die Protokolle fest, die Sie benutzen (oder deren Benutzung Sie planen). Notieren Sie auch die Art der Konnektivität, die Sie haben oder haben werden. 
• Sonstiges. Beschreiben Sie Ihre Workstations, ihren Standort, wo Netzwerk-Segmente bestehen, wo Sie eine Erweiterung planen und alle Dinge, die irgendwie relevant sein könnten. (Wenn Sie z.B. ältere Novell- Systeme haben, arbeiten diese wahrscheinlich mit unverschlüsselten Passwörtern. Notieren Sie sich Dinge wie diese.)

Danach sollten Sie ein Modell der Vertrauensverhältnisse in Ihrem Unternehmen aufstellen. Stellen Sie in diesem Modell Benutzer- und Rechnerprivilegien und Vertrauensbeziehungen dar. Es lohnt sich, dies in grafischer Form zu tun, falls Sie es anderen präsentieren müssen.

Diese Informationen sollten zusammen mit den folgenden Dingen in einen Ordner gesteckt werden:

• Einer Erklärung des Systemadministrators (auch wenn Sie das selbst sind) über Systemsicherheit. Diese Erklärung sollte beinhalten, ob kundenspezifische Software geschrieben wurde, welche Art von Sicherheits- Utilities eingesetzt werden, welche nicht eingesetzt werden konnten und warum. 
• Einer Erklärung über auferlegte Sicherheitsrichtlinien, einer Aufstellung über Sicherheitsdurchbrüche (wenn es welche gab), usw.

Diese Informationen stellen Ihnen eine wertvolle Wissensbasis zur Verfügung. Von hier ausgehend können Sie bestimmen, welche Produkte und Dienstleistungen Sie brauchen. Außerdem werden Sie in der Lage sein, sämtliche Fragen seitens Beratern oder Anbietern zu beantworten. Der nächste Schritt besteht nun darin, herauszufinden, wo Sie diese finden.

Zertifizierungen

Ein Ansatz ist es, Ihr System von einem anerkannten Team von Experten prüfen und zertifizieren zu lassen. Nachdem Ihr System untersucht wurde, erhält es ein Sicherheitszertifikat. Im nächsten Abschnitt finden Sie einige Unternehmen, die Zertifizierungen durchführen.

Coopers & Lybrand L.L.P., Resource Protection Services (USA)

Coopers & Lybrand L.L.P., Resource Protection Services

Tel.: +1-800-639-7576

E-Mail: Bruce.Murphy@us.coopers.com

Die Coopers & Lybrand's Resource Protection Services Group besteht aus den Information Technology Security Services und den Business Continuity Planning (BCP) Services. Ihre Experten bieten eine ganze Reihe von Sicherheits- und BCP- Leistungen, wie Sicherheitsimplementierung, Electronic Commerce und Kryptographie, technische Sicherheitsanalyse und -design, Testangriffe, Sicherheitsmanagement und Business Continuity Planning mit Hilfe ihrer als Marke angemeldeten CALIBER- Methodik.

Die Abteilung Information Technology Security Services hat sich auf Tests und Zertifizierungen für die folgenden Gebiete spezialisiert:

• Unix-Sicherheitsdienste 
• Sicherer Electronic Commerce 
• Microsoft Windows NT 
• Novell NetWare 
• Testangriffe 
• Risikoabschätzung 
• Sicherheitsstrategien

Coopers & Lybrand bietet Sicherheit sowohl für große als auch für kleine Unternehmen. Zum Beispiel hat C&L die Zertifizierung von Windows NT 4.0 für Microsoft übernommen.

The American Institute of Certified Public Accountants (AICPA)

American Institute of Certified Public Accountants

Tel.: +1-212-596-6200

Fax: +1-212-596-6213

Das American Institute of Certified Public Accountants (AICPA) hat das WebTrust- Zertifizierungssystem entwickelt. Während des WebTrust- Zertifizierungsprozesses evaluieren in Datensicherheit geschulte CPAs (Wirtschaftsprüfer) ihr System anhand folgender Aspekte:

• Transaktionsintegrität 
• Verschlüsselung und sichere Kommunikation 
• Beste Sicherheitspraxis

Bei erfolgreicher Zertifizierung erhalten Sie ein VeriSign- Sicherheitszertifikat und das WebTrust- Zertifizierungssiegel. Das WebTrust- Siegel teilt potentiellen Kunden mit, dass ein CPA die Geschäftspraktiken und -kontrollen des Betreibers einer Website evaluiert hat und bestimmt hat, dass sie konform gehen mit den WebTrust- Prinzipien und -Kriterien für Business- to- Customer Electronic Commerce. Außerdem verweist das Siegel auf einen Bericht mit dem Inhalt, dass die mit den WebTrust- Kriterien konformen Prinzipien befolgt werden. Diese Prinzipien und Kriterien reflektieren grundlegende Standards für Geschäftspraktiken, Transaktionsintegrität und Datenschutz.

Das WebTrust- System ist einer Wirtschaftsprüfer-Zertifizierung Ihrer Unternehmensvermögen, -gewinne und -verluste ganz ähnlich. Die Zertifizierung erfolgt durch die Unterschrift und Versicherung eines ausgebildeten Experten in einem bestimmten Fachgebiet.

AICPA ist auch der führende Anbieter von Schulungen für CPA-Unternehmen im Bereich der IT- Sicherheit und -integrität. AICPA hat den Bedarf für Zertifizierungsdienste im Bereich Electronic Commerce früh erkannt und erreicht mit seinen Schulungen allein in den USA etwa 300.000 IT- Sicherheits- und Finanzexperten.

International Computer Security Association (früher NCSA)

International Computer Security Association

Tel.: +1-717-258-1816

E-Mail: info@icsa.net

Die International Computer Security Association (früher bekannt als National Computer Security Association) ist der größte Anbieter für Computersicherheit- Zertifizierungsverfahren. Ihre Mission ist eine Erhöhung des öffentlichen Vertrauens in Computersicherheit durch ein Programm zur Zertifizierung von Produkten und Dienstleistungen.

Neben der Zertifizierung für Produkte bietet die ICSA auch Zertifizierungsverfahren für Netzwerke. Dies geschieht mit Hilfe ihres TruSecure- Programms, ein Service, der das Testen und Zertifizieren Ihrer Web-Server und Firewalls sowie der Arbeitsabläufe Ihres Netzwerks beinhaltet.

Nach Abschluss des Zertifizierungsverfahrens erhält Ihr Unternehmen ein Sicherheitssiegel von ICSA.COM, der Ihr Netzwerk zertifiziert.

Außerdem ist ICSA die Nummer eins unter den Zertifizierungsunternehmen im öffentlichen Bereich. ICSA prüft und bescheinigt alle der folgenden Produkte:

• Anti-Virus-Software 
• Netzwerk- Firewalls 
• Internet-Filter-Software 
• Kryptographieprodukte 
• Biometric- Produkte 
• IPSec- zertifizierte Produkte

Zertifizierung als eine Garantie bei Haftungsfragen

Das Problem in Hinsicht Zertifizierung ist die Höhe der Kosten. Eine Zertifizierung ist nicht unbedingt eine Garantie für Sicherheit. Sie zeigt vor allem, dass Ihr Unternehmen sich in punkto Sicherheit Gedanken macht. Dies kann ein kritischer Punkt sein, wenn Sie nicht nur für den Schutz Ihrer eigenen Daten, sondern auch der Daten anderer verantwortlich sind.

Wenn es bei Ihnen zu einem Sicherheitsloch kommt und vertrauliche Daten von Ihrem Server entweichen, werden Sie wahrscheinlich einem Prozess entgegensehen. Denken Sie an das AOL-Debakel vor einiger Zeit. Ein Marine-Offizier mit 17 Jahren Erfahrung hatte einen Account bei America Online. In seiner persönlichen Darstellung (unter seinem Decknamen) gab er als Familienstand »Homosexuell« an. Ein Marine-Untersucher kontaktierte zu einem späteren Zeitpunkt AOL und verlangte die Herausgabe der wahren Identität, die hinter diesem AOL-Profil steckte. Beschäftigte von AOL gaben daraufhin den richtigen Namen des Offiziers heraus. Die Marine entließ in der Folge den Offizier mit der Begründung, dass er die »Nichts fragen, nichts sagen «- Richtlinie des Militärs verletzt habe. Es scheint, dass AOL seine eigenen Richtlinien in punkto Privatsphäre verletzt hat. Es wird sicherlich zu einem Gerichtsverfahren kommen.

Zwar betrifft der AOL-Fall nicht das eigentliche Eindringen in ein Netzwerk, aber er dient doch als Warnung. Wenn Sie es versehentlich zulassen, dass vertrauliche Daten herauskommen, können Sie sich sehr schnell vor Gericht wieder finden. Zertifizierung kann Ihrer Verteidigung nützlich sein, da sie Ihre Sorgfalt in punkto Sicherheit beweist.

Abgesehen von theoretischen und moralischen Aspekten der ganzen Angelegenheit wird die Anklage im realen Leben Schwierigkeiten haben, einen Fall von Fahrlässigkeit zu beweisen, wenn Sie vorweisen können, dass Ihr Unternehmen die besten erhältlichen Standards einsetzte, als (und unmittelbar bevor) das Sicherheitsloch entstand.

Wo gibt es Schulungen?

Ein anderer Weg zur Sicherung Ihres Systems ist es, Ihr eigenen Mitarbeiter zu schulen. Ich favorisiere diese Lösung, weil sie eine kluge Investition darstellt. Außerdem sind unternehmensinterne Sicherheitslösungen fast immer eine bessere Idee.

Generelle Schulungen

Dieser Abschnitt listet einige Anbieter für generelle Schulungen zum Thema IT- Sicherheit auf:

Lucent Technologies, Inc.

Lucent Technologies, Inc.

Tel.: +1-800-288-9785

Lucent Technologies bietet Schulungen zu den Themen Netzwerk-Sicherheit, Firewalls (vor allem die Lucent Managed Firewall) und Netzwerk-Management. Teilnehmer, die eine Lucent- Schulung abschließen, erhalten ein Lucent Technology Security Administration-Zertifikat.

Great Circle Associates, Inc.

Great Circle Associates, Inc.

Tel.: +1-800270-2562

Fax: +1-650-962-0842

Great Circle Associates bietet technische Vor-Ort-Schulungen in den folgenden Bereichen:

• Einrichtung einer sicheren Website 
• Grundlagen der Internet-Technologie 
• Internet-Firewalls 
• Unix-Systemadministration

Great Circle Associates ist eine wichtige Quelle für Schulungen und Beratungen auf dem Gebiet sichere Netzwerkarchitektur und -design. Brent Chapman, der Präsident des Unternehmens, ist der Autor von Building Internet Firewalls, einem Industrie-Standardwerk für Netzwerk-Administratoren.

Learning Tree International

Learning Tree International

Kontakt: Linda Trude

Tel..: +1-800-843-8733

Fax: +1-800-709-6405

E-Mail: uscourses@learningtree.com

Learning Tree bietet viertägige praxisnahe Intensivkurse über Unix-Sicherheit, Windows- NT-Sicherheit, Internet/Intranet-Sicherheit und Firewalls sowie mehr als 130 weitere IT- Themen. Der wichtigste Firewall-Kurs ist »Deploying Internet and Intranet Firewalls: Hands-On«, der die folgenden Aspekte umfaßt:

• Verstärken von NT und Unix 
• Auditing 
• Praktisches Konfigurieren und Testen von Firewalls
•  

NSC Systems Group, Inc.

NSC Systems Group, Inc.

Tel.: +1-800-414-8649

Fax: +1-770-396-1164

E-Mail: kellim@nscedu.com

NSC System Group bietet einige sehr attraktive Schulungen in den folgenden Bereichen an:

• Konfiguration und Wartung von Firewalls 
• Aufdecken unbefugten Eindringens in ein Netzwerk 
• Kerberos 
• SATAN 
• Diffie- Hellman- Kryptographie 
• Digitale Unterschriften 
• S/KEY 
• PGP (Pretty Good Privacy)
•  

Training On Video

Training On Video

Tel.: +1-800-408-8649

E-Mail: web@trainonvideo.com

Training On Video bietet ein interessantes Produkt namens Internet Security Solutions Video. Diese Videopräsentation von 4½ Stunden Dauer wird von dem bekannten Sicherheitsspezialisten H. Morrow Long geleitet (Long ist für die Sicherheit der Yale University verantwortlich). Hier sind einige der Themen, die in der Videopräsentation behandelt werden:

• Entwickeln und Realisieren eines Sicherheitsplans 
• Firewalls verstehen 
• TCP/IP- Netzwerk-Sicherheit 
• Authentifizierung, Datenintegrität und Privatsphäre 
• Einrichten sicherer Domain-Name-Systeme 
• Sicherung von Web-Clients und -Servern 
• Entscheidung über die Art der eingesetzten Filterprogramme 
• Electronic Commerce

Fortgeschrittenere Schulungen

Wenn Sie sehr sensible Daten schützen müssen, brauchen Sie Industrie- intensive Schulungen . Hierfür empfehle ich Ihnen die Sytex, Inc. oder die Syracuse Research Corporation.

Sytex, Inc.

Sytex, Inc.

Tel.: +1-410-312-9114

Fax: +1-410-312-9118

E-Mail: lmasser@sso.sytexinc.com

Sytex, Inc. ist ein Internet- Sicherheits-/Informationskriegs-Unternehmen, das (neben anderen Dingen) fortgeschrittene IT-Sicherheitsschulungen bietet. Zu den erwähnenswerten Sytex- Kunden gehören:

• Federal Bureau of Investigation (FBI) 
• Joint Logistics Systems Center 
• National Security Agency 
• U.S. Army Special Operations Command 
• U.S. Army's Communications and Electronics Command 
• U.S. Army's Land Information Warfare Activity 
• U.S. Army's Project Manager for Information Warfare

Sytexs Angebot beinhaltet die vielleicht umfassendsten Schulungen im Bereich IT- Sicherheit in ganz Amerika, darunter zwei Kurse, die eingerichtet wurden, um den speziellen Bedarf für Gesetzeshüter, Geheimdienstoffiziere und Systemadministratoren zu decken. Die Kursteilnehmer lernen Details darüber, wie Netzwerke arbeiten und wie Eindringlinge diese Netzwerke ausbeuten. (Die Kurse wurden auf Anfrage einer wichtigen amerikanischen Untersuchungsbehörde eingerichtet. Derzeit werden über 200 Spezialagenten im Rahmen dieser Kurse geschult).

Was die Sytex- Kurse wirklich von anderen abhebt, ist die Tatsache, dass die Teilnehmer mit realen Vorfällen, Protokollen und Crackern umgehen müssen. In dieser praxisnahen Umgebung lernen die Teilnehmer, ihr Wissen in einer praktischen und effektiven Art und Weise anzuwenden. (Es geht doch nichts über reale Lebenserfahrungen.)

Sytex bietet Schulungen auf den folgenden Gebieten an:

• Netzwerk-Protokolle 
• Netzwerk-Hardware und -Architekturen 
• Auditing 
• Attacke, Eindringen und Analyse 
• Digital Tradecraft

Web- Hosting als Lösung?

Eine andere Möglichkeit besteht darin, es ganz und gar zu vermeiden, eigene Server zu betreiben. Vielleicht brauchen Sie ja nur zwei oder drei Domains und ein Extranet für Ihre Kunden. Wenn das so ist, sollten Sie Web- Hosting in Betracht ziehen.

Web- Hosting heißt, dass Ihre Server in den Büros eines Internet Service Providers stehen. In diesem Fall zahlen Sie eine monatliche Gebühr und der Provider ist für die Sicherheit der Site verantwortlich.

Es gibt erhebliche Unterschiede in der Höhe der Gebühren für Web- Hosting, abhängig von den Services, die Sie brauchen. Zusätzliche Gebühren können entstehen, wenn Sie die maximale Bandbreite überschreiten oder spezielle Services benötigen.

Wenn Ihr Unternehmen nicht mehr will, als Informationen für die Öffentlichkeit zur Verfügung zu stellen, ist dies der Weg, den Sie gehen sollten. Sie vermeiden dadurch viele Kosten, die durch die Wartung Ihrer eigenen Server entstehen würden, darunter:

• Monatliche Telefongebühren für digitale Business-Leitungen 
• Gebühren für Schulungen im Bereich Sicherheit 
• Kosten für Firewalls, Bridges, Router usw. 
• Zertifizierungskosten

Außerdem haben die meisten Internet Service Provider die nötigen Mittel für sichere Kreditkarten-Transaktionen, Kreditkartenabrechnung, VPNs, Extranets, EDI und andere Schlüsselkomponenten in Bezug auf Electronic Commerce zur Hand. Sie können eine Menge Geld sparen, wenn Sie ihr Wissen und ihre Erfahrung nutzen.

Externe Sicherheitsberater in Anspruch nehmen!!!

Wenn Ihr Unternehmen dagegen eigene Server haben muss, können Sie trotzdem viele sicherheitsrelevante Aufgaben auslagern. Bevor Sie jedoch einen beträchtlichen Betrag in einen Sicherheitsberater investieren, sollten Sie ein paar Dinge wissen.

Der Sicherheitssektor ist in der letzten Zeit explodiert. Einige Schätzungen gehen von einer Steigerungsrate von 500 % für den Sicherheitsmarkt innerhalb der nächsten drei Jahre aus. Der Sicherheitsbereich unterscheidet sich jedoch von anderen Bereichen, z.B. Medizin oder Jura. Es gibt in diesem Bereich keinerlei Dokumente, die einen Sicherheitsexperten auch als solchen ausweisen. Natürlich gibt es Zertifizierungsprogramme und Sie werden vielleicht hören, dass dieser Berater ein zertifizierter Microsoft-Ingenieur ist oder ein anderer CNE. Das ist toll, aber es gibt Ihnen keinerlei Garantie, dass diese Leute Ihre Site tatsächlich schützen können.

Direkt gesagt geben sich viele Unternehmen jeder Art und Größe als Sicherheitsexperten aus, eben weil der Markt so lukrativ ist. Leider sind viele der so genannten Sicherheitsspezialisten gar keine, sondern haben lediglich große Erfahrung im Netzwerkbereich.

Wenn Sie uneingeschränkte Mittel zur Verfügung haben, können Sie eine der großen, anerkannten Sicherheitsunternehmen als Berater verpflichten. Ist Ihr Unternehmen jedoch eher klein, werden Sie ein kleineres, weniger bekanntes Unternehmen zur Beratung heranziehen müssen. Das bringt uns zu einem anderen Punkt: den Kosten.

Was sollte das kosten?

Wie viel sollte Sicherheit kosten? Das hängt von Ihren speziellen Bedürfnissen ab. Hier sind Faktoren, die die Höhe der Kosten beeinflussen:

• Ihre Netzwerk-Architektur 
• Ihr Vertrauen in proprietäre Lösungen 
• Wie gut Sie Ihre bestehenden Sicherheitsinformationen organisiert haben 
• Die Art der Daten, die Sie schützen wollen

Lassen Sie uns jeden Faktor kurz anschauen.

Ihre Netzwerk-Architektur

Ein homogenes Netzwerk mit einheitlichen Applikationen wird Ihre Kosten senken.

Tipp:

Der Grund dafür besteht darin, dass Sicherheitsrichtlinien und -maßnahmen einfach auf das gesamte System dupliziert werden können. Sogar bestimmte Betriebssystem-Kombinationen können mit einem Pauschalangebot abgedeckt werden. Es existieren beispielsweise Tools, die Management und Sicherheit von NT und Netware gleichzeitig zentralisieren können.

Umgekehrt werden sich Ihre Kosten für Sicherheit natürlich erhöhen, wenn in Ihrem Netzwerk viele verschiedene Betriebssysteme laufen, da dann ein Sichern viel komplexer wird.

Ihr Sicherheitsteam muss dann vielleicht Hilfe von außen in Anspruch nehmen. Unix-Spezialisten beispielsweise wissen möglicherweise so gut wie nichts über MacOS. Wenn sie auf ein ganzes Netzwerk-Segment treffen, das aus Macintosh-Rechnern besteht, müssen sie möglicherweise einen weiteren Spezialisten hinzuziehen. Oder es kann sein, dass Ihre Berater sich dazu gezwungen sehen, zumindest einige Proprietäre Codes einzusetzen: ihre eigenen. Das bringt uns zu einem anderen Faktor, der die Höhe der Kosten beeinflusst: Ihr Vertrauen in Proprietäre Lösungen.

Ihr Vertrauen in proprietäre Lösungen

Ich kann Ihnen genau sagen, was ein Sicherheitsteam nicht hören will:

» Der Programmierer, der das System ursprünglich für uns entwickelt hat, ist untergetaucht oder nicht mehr für uns tätig. Und weil er es aus dem Nichts geschrieben hat, konnten wir es nicht einfach in eine Microsoft-Umgebung importieren. Natürlich wissen wir, dass es alt ist, aber das sind die Fakten.«

Es gibt viele Unternehmen, die in so einer Lage stecken. Wenn Ihr Unternehmen dazugehört, wird es teuer..... Wenn Sie eine proprietäre Datenbank haben und Sie einen Zugang zu dieser über das Web einrichten wollen, wird das ein Vermögen kosten 

Wie gut Sie Ihre bestehenden Sicherheitsinformationen organisiert haben

Am Anfang gab ich Ihnen den Tipp, eine Menge Informationen über Ihr Netzwerk zu sammeln. Das erscheint vielleicht etwas komisch, aber es wird Ihnen Geld sparen.

Wenn ein Sicherheitsberater zum ersten Mal in Ihr Unternehmen kommt, weiß es so gut wie nichts über Ihr Netzwerk. Wenn Sie die relevanten Informationen nicht zur Verfügung stellen können, werden die Kosten erheblich in die Höhe gehen.

Ich habe im letzten Jahr einige Unternehmen besucht, und nur eins hatte im Vorfeld Informationen gesammelt, die ich Ihnen vorher beschrieben habe.  Ich weiß sofort, dass ich einige Zeit brauchen werde, um die Informationen zu sammeln, die ich eigentlich sofort haben sollte.

Wenn ein Sicherheitsberater bei Ihnen eintrifft, sollten Sie jede erdenkliche Information zur Hand haben. (Halten Sie vielleicht sogar einige Informationen zurück, um die Sachkenntnis des Beraters zu testen, die Informationen sollten Sie aber schon beisammen haben.)

Schließlich gibt es noch einen letzten Faktor, der erheblich Einfluss auf die Kosten ausübt: die Art der Daten, die Sie schützen wollen.

Fazit

All diese Faktoren werden Ihre Kosten beeinflussen - und es gibt keine Industrie-Standards darüber, was diese oder jene Aufgabe kosten wird. Sie können jedoch einiges unternehmen, um riesige Kosten zu vermeiden.

Wichtigste Kundenvorteile

• Vorteil 1:    Wir würden für Sie ein Sicherheitskonzept KOSTENLOS darstellen.
• Vorteil 2:    Sie würden Fachmännisch und Professionell beraten.
• Vorteil 3:    Wir versuchen die meisten Produkte auf Opensource Basis zu realisieren,
•                   hierbei fallen nur Kosten für den technischen Unterstützung.

Preisliste

[ Home ] [ Nach oben ]

Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an: tos.computer@gmx.de 
Copyright © 2003 TOS Computer Systeme
Stand: 14. November 2004