Anleitung zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98

Kapitel 2: Anwenden von SRMD Security Risk Management Discipline auf das Beispiel von Trey Research

Veröffentlicht: 13. Sep 2004

In diesem Kapitel wird erläutert, wie eine strukturierte und nachvollziehbare Risikoanalyse für Informationssysteme grundlegend angewendet wird. Jedes Unternehmen sollte über ein detailliertes Risikomanagementverfahren verfügen, um feststellen zu können, in welchen Bereichen der zum Absichern von Systemen erforderliche Zeit- und Arbeitsaufwand die höchste Investitionsrendite (ROI) bietet.

Um die Sicherheit älterer Anwendungen und Clients in Unternehmensnetzwerken zu verbessern, muss zunächst eine gründliche Analyse der Bedrohungen und Risiken in Bezug auf Umgebung, Anwendungen, Benutzer und Netzwerk durchgeführt werden. Microsoft empfiehlt, dass jedes Netzwerk unter Einsatz eines gut definierten Verfahrens, z. B. SRMD (Security Risk Management Discipline) von Microsoft, analysiert wird. SRMD ist ein strukturiertes, nachvollziehbares (und damit wiederholbares) Verfahren zum Bewerten der Ressourcen eines Unternehmens, der möglichen Risiken und der Sicherheitslücken, über die ein Angreifer die Ressourcen stehlen oder beschädigen kann. SRMD hilft auch bei der Ermittlung von Gegenmaßnahmen, die zur Verringerung oder Übertragung der Risiken eingesetzt werden können.

SRMD kann im Rahmen dieses Leitfadens nicht ausführlich erläutert werden. Es ist jedoch ausreichend zu wissen, dass SRMD ein Gerüst für das Identifizieren und Bewerten von Ressourcen sowie für das Identifizieren und Einschätzen der Bedrohungen für diese Ressourcen darstellt. Diese Faktoren unterstützen ein Unternehmen dabei, fundierte Entscheidungen im Hinblick auf angemessene und kostenwirksame Sicherheitsmaßnahmen zu treffen.

Hinweis: Ausführlichere Erläuterungen zu SRMD finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Auf dieser Seite

	Beschreibung des Beispiels
	Anwenden der Sicherheitsrisikenverwaltung
	Bewerten von Risiken
	Entscheidungsfindung in Bezug auf Risiken
	Zusammenfassung

Beschreibung des Beispiels

Trey Research ist auf die Analyse, Überwachung und Sanierung von Abwasser spezialisiert. Trey hat seinen Hauptsitz in Seattle und Niederlassungen in den US-Bundesstaaten Georgia, Florida, Arizona und Pennsylvania. Trey ist ein Unternehmen mit knapp 500 Mitarbeitern, die sich aus Außendienstmitarbeitern, Labortechnikern, Wissenschaftlern und einigen Verwaltungsmitarbeitern zusammensetzen.

Zu den Kunden von Trey Research gehören Regierungsbehörden auf bundesstaatlicher und staatlicher Ebene, die spezielle Beurteilungsdienste benötigen (z. B. das Messen von Quecksilberwerten im Grundwasser), Bauunternehmen, die vor, während und im Anschluss an Bauphasen vor Ort entsprechende Tests durchführen müssen, Unternehmen aus den Bereichen Industrie und Herstellung, die ihre Anlagen regelmäßig überwachen müssen, und andere Organisationen, die die Überwachungs- und Sanierungskapazitäten von Trey in Notfallsituationen einsetzen. Die von Trey gesammelten Daten und die sich daraus ergebenden Analysen sind oftmals in finanzieller oder rechtlicher Hinsicht vertraulich. Wenn technische Mitarbeiter von Trey Sachverständigengutachten verfassen, müssen bestimmte Beweissicherungsanforderungen in Bezug auf die Lebensdauer der gesammelten Daten erfüllt werden.

Außendienstmitarbeiter dokumentieren Daten zunächst auf Papier und geben sie dann manuell im Büro ein. Einige der Techniker verwenden tragbare Computer mit Microsoft® Windows® 98, um Daten direkt vor Ort einzugeben. Allerdings wird dieses Analysesystem nur für einige der größten Kunden von Trey angewendet.

In den letzten drei Jahren konnte Trey Zuwachsraten von etwa 20 Prozent pro Jahr verzeichnen. Aufgrund dieser Wachstumsrate hat die Unternehmensführung schließlich einen Leiter der IT-Abteilung eingestellt und damit beauftragt, einen Plan zur Modernisierung der Informationssysteme des Unternehmens zu erstellen und dessen Durchführung zu überwachen. Der Leiter der IT-Abteilung hat seine Stelle Ende 2003 angetreten. Seine erste Aufgabe bestand in der Durchführung einer Risikoanalyse, um den Wert der Computerressourcen des Unternehmens und die Sicherheitslücken besser zu verstehen. Als Ergebnis dieser Analyse nahm Trey sehr schnell eine Reihe von Änderungen an der IT-Umgebung vor. Zunächst wurde die Domänenstruktur auf den Microsoft Active Directory®-Verzeichnisdienst bzw. auf Microsoft Windows Server™ 2003 aktualisiert. Diese Aktualisierung hatte unmittelbar eine Erhöhung der Sicherheit für Domänenkonten zur Folge und ermöglichte es, zusätzliche Gruppenrichtlinien-Steuerungen auf kritische Computer, wie die von leitenden Angestellten verwendeten Computer, anzuwenden. Darüber hinaus beschleunigte das Unternehmen seinen Modernisierungsplan für den Bereich Technologie, damit eine erstmalige Bereitstellung der neuen Analyse- und Erfassungssysteme (basierend auf Windows XP und Windows XP Tablet PC Edition) früher als ursprünglich geplant beginnt.

Allerdings hat sich Trey auch dafür entschieden, die vorhandenen Systeme weiter abzusichern, um für die Phase bis zu dem Zeitpunkt, zu dem das neue System vollständig implementiert ist, das Risiko von Datenverlusten oder Gefährdungen zu verringern. Der Leiter der IT-Abteilung hat einen Monat Zeit, die wichtigsten Bedrohungen zu identifizieren, nach Priorität einzustufen und zu verringern und weitere Informationen in Bezug auf das Aktualisieren der Systeme unter Microsoft Windows NT® 4.0 zu sammeln. Dies ist zwar kein sehr langer Zeitraum, aber Trey nimmt die Sicherheitsrisiken sehr ernst und geht offensiv vor, um das Unternehmen so gut wie möglich zu schützen.

Netzwerk

Die in diesem Dokument beschriebenen Empfehlungen und Einstellungen wurden bei einer Simulation des Trey-Netzwerks getestet, das die in der folgenden Abbildung gezeigte Konfiguration aufwies:

Abbildung 2.1 Netzwerktestbereich des Netzwerks von Trey Research
Großes Bild anzeigen

Active Directory-Entwurf

Trey Research behält eine einzige Active Directory-Domäne für das Unternehmen bei. Diese Struktur wurde gewählt, da sie einfache Verwaltungs- und gute Steuerungsmöglichkeiten bietet. Alle Niederlassungen sind mit der Hauptgeschäftsstelle von Trey über private Standleitungen verbunden. Auf diese Weise müssen für die einzelnen Zweigstellen keine Unterdomänen erstellt werden.

Geschäftliche Anforderungen

Für Trey gelten fünf wichtige Geschäftsanforderungen in Bezug auf die Sicherheit der Unternehmenssysteme und -netzwerke:

•	Aufrechterhalten der Systemintegrität gegen Gefährdungen durch externe Angreifer. Diese Anforderung setzt voraus, dass das Netzwerk gegen ein Eindringen abgesichert wird, dass Überwachungs- und Protokollierungsvorgänge optimiert und die Sicherheitslücken im System in Bezug auf allgemein bekannte Gefährdungen reduziert werden.
•	Aufrechterhalten der normalen Geschäftsabläufe, nachdem alle Sicherheitsmaßnahmen implementiert wurden. Ein Großteil der Analysevorgänge ist zeitkritisch, daher dürfen weder häufige noch lang anhaltende Unterbrechungen auftreten.
•	Wahren der Vertraulichkeit entsprechender Daten. Ein Teil der von Trey verwalteten Daten ist äußerst vertraulich, und das Unternehmen möchte eventuelle Haftungsprobleme aufgrund offengelegter Informationen vermeiden.
•	Optimierter Schutz gegen bösartigen Code im Netzwerk. Die Verwendungsrichtlinien von Trey sind verhältnismäßig liberal, daher sind viele Benutzer daran gewöhnt, Software selbst herunterladen und installieren zu können. In der Vergangenheit hat diese Situation zu Sicherheitsproblemen und Leistungseinbußen geführt. Eines der Absicherungsziele besteht darin, die Unternehmenssysteme weniger anfällig für heruntergeladene Malware (bösartige Software) zu machen.
•	Automatisieren der Überwachung und Verteilung von Sicherheitspatches.

Zum Seitenanfang

Anwenden der Sicherheitsrisikenverwaltung

Das Ziel des Sicherheitsrisikomanagements (SRMD) besteht im Ermitteln einer Methode, mit der Risiken gemessen werden können, um letztendlich diejenigen Risiken zu reduzieren, auf die das Unternehmen Einfluss hat. Dazu wird im Rahmen von SRMD das Risikomanagement als kontinuierlicher Prozess in vier Hauptstadien definiert (siehe folgende Abbildung):

1.	Bewerten von Risiken. Identifizieren und Einstufen der Risiken, denen das Unternehmen ausgesetzt ist. Diese Risiken müssen nicht unbedingt mit bestimmten IT-Systemen oder -Ressourcen in Verbindung stehen.
2.	Entscheidungshilfe. Identifizieren und Auswählen von Kontrollmechanismen auf der Basis einer definierten Kosten-Nutzen-Analyse.
3.	Implementieren von Kontrollmechanismen. Bereitstellen und Ausführen umfassender Kontrollmechanismen, um Risiken für das Unternehmen zu reduzieren.
4.	Messen von Risiken. Ermitteln und Dokumentieren, inwiefern Risiken durch die angewendeten Kontrollmechanismen auf ein akzeptables Maß reduziert worden sind. Abbildung 2.2 Der SRMD-Zyklus

Im SRMD-Handbuch von Microsoft, das später in diesem Jahr veröffentlicht werden soll, wird SRMD ausführlich beschrieben. Die IT-Mitarbeiter von Trey entwickelten nach eingehender Prüfung der SRMD-Materialien folgenden Plan:

1.	Bewerten der Risiken. Dieser Vorgang besteht aus drei Schritten, bei dem Trey einen Plan zur Bewertung von Risiken erstellt, Daten in Bezug auf das tatsächliche Risiko und entsprechende Sicherheitslücken im Unternehmen erfasst und diese Risiken nach Priorität und Kosten einteilt.
2.	Verwenden der Risikobewertung, um zu entscheiden, ob bestimmte Kontrollmechanismen angewendet werden sollten. Diese Entscheidung basiert jeweils darauf, wie hoch das vorhandene Risiko ist.
3.	Implementieren der ausgewählten Kontrollmechanismen. Die übrigen Kapitel dieser Anleitung befassen sich mit den Kontrollmechanismen, die zur Reduzierung bestimmter Arten von Risiken eingesetzt werden können.
4.	Bewerten der Auswirkungen der angewendeten Kontrollmechanismen auf das jeweilige Risiko und auf die Unternehmensumgebung.

In diesem Kapitel werden die ersten beiden Schritte erläutert. Außerdem wird beschrieben, wie die IT-Mitarbeiter von Trey SRMD für die Unternehmensumgebung angepasst haben, um das SRMD-basierte Risikomanagement einzuleiten. Die übrigen Kapitel befassen sich mit dem dritten Schritt, dem Anwenden der eigentlichen Kontrollmechanismen.

Zum Seitenanfang

Bewerten von Risiken

Zunächst muss Trey im Zuge der Absicherungsmaßnahmen die tatsächlichen Risiken und Bedrohungen messen, denen das Unternehmen ausgesetzt ist. Dazu musste Trey mehrere Schritte miteinander verbinden:

1.	Identifizieren der Rollen und Funktionen der einzelnen Computerklassen im Netzwerk.
2.	Zuordnen der Kommunikationswege zwischen den verschiedenen Rollen. Anwendungsserver müssen zum Beispiel mit Domänencontrollern und mit Benutzerarbeitsstationen kommunizieren. Bei dieser Zuordnung müssen die zur Kommunikation verwendeten Protokolle, Anschlüsse und Datenverkehrsmuster festgestellt werden.
3.	Identifizieren möglicher Bedrohungen, die die Computer in ihren unterschiedlichen Rollen angreifen können.
4.	Ermitteln, mit welcher Wahrscheinlichkeit bestimmte Bedrohungen für eine Rolle gelten.

Identifizieren von Rollen

Bei den meisten Netzwerken können die Rollen, die Computer im Netzwerk übernehmen, relativ einfach identifiziert werden. Die IT-Abteilung von Trey konnte durch Nachschlagen im Inventarverzeichnis der unternehmenseigenen Systeme die Daten in der folgenden Liste zusammenstellen. In dieser Liste sind die Schlüsselrollen im Netzwerk, die für die Rollen verwendeten Betriebssysteme, die Standorte und die für diese Rollen üblichen Hardwaretypen aufgeführt. Alle diese Informationen sind für die Bedrohungsanalyse relevant.

Tabelle 2.1: Computerrollen bei Trey

Rolle	Für die Rolle verwendete Betriebssysteme	Standort	Hardwaretyp
Anwendung / Webserver	Windows NT 4.0	Hauptgeschäftsstelle	Herkömmlicher Server
DHCP-Server (Dynamic Host Configuration-Protokoll)	Windows Server 2003	Hauptgeschäftsstelle, Niederlassungen	Herkömmliche Server
DNS-Server (Domain Name System)	Windows Server 2003	Hauptgeschäftsstelle	Herkömmliche Server
Domänencontroller	Windows Server 2003	Hauptgeschäftsstelle, Niederlassungen	Herkömmlicher Server
Tragbare Computer für leitende Angestellte	Windows 2000, Windows XP	Mobil	Tragbare Computer
Arbeitsstationen für leitende Angestellte bzw. Sonderzwecke	Windows XP	Hauptgeschäftsstelle	Herkömmliche Desktops
Systeme für Techniker im Außendienst	Windows 98	Mobil	Tragbare Computer
Datei-/Druckserver	Windows NT 4.0	Hauptgeschäftsstelle, Niederlassungen	Herkömmlicher Server
Nachrichtenserver	Windows NT 4.0	Hauptgeschäftsstelle	Herkömmlicher Server
Steuerungssysteme für Sonderzwecke	Windows NT 4.0, teilweise Windows 98	Niederlassungen	Kombination aus herkömmlichen Servern und Desktops
Arbeitsstationen für Benutzer	Windows 98, teilweise	Hauptgeschäftsstelle, Niederlassungen	Herkömmlicher Desktop
WINS-Server (Windows Internet Name Service)	Windows Server 2003	Hauptgeschäftsstelle, Niederlassungen	Herkömmliche Server

Zuordnen der Kommunikationswege

Wenn die Rollen der Computer identifiziert wurden, kann ermittelt werden, welche Art von Netzwerkkommunikation zwischen den verschiedenen Rollen stattfindet. Aufgrund dieser Daten können Sie festlegen, welche Arten von Datenverkehr zwischen dem Netzwerk als Gesamteinheit und den Segmenten mit Computern, auf denen ältere Versionen des Windows-Betriebssystems ausgeführt werden, zugelassen bzw. unterbunden werden sollen.

Entwerfen eines Prototyps für das Netzwerk

Die schematische Netzwerkdarstellung ist ganz einfach. Die Techniker von Trey haben einfach ein Diagramm des vorhandenen Netzwerks als Vorlage für das neue Netzwerkmodell verwendet. In einem solchen Modell müssen der physische Standort, die Netzwerkadresse und das Betriebssystem der einzelnen Computer im Netzwerk angegeben sein. Idealerweise werden auch die Standorte von Routern und Firewalls angegeben, und es sollte aufgezeigt werden, wie das Netzwerk segmentiert ist.

Hinzufügen von Datenflussinformationen

Wenn ein Netzwerkmodell angefertigt wurde, müssen Informationen zum Datenfluss darauf übertragen werden. Dies geschieht in der Regel unter Verwendung des Datenflussdiagramms nach Yourdon-DeMarco, bei dem der Datenfluss zwischen Systemen bzw. Objekten durch Linien mit Pfeilen dargestellt wird. Die einzelnen Linien können mit der Nummer des verwendeten Anschlusses bzw. Protokolls gekennzeichnet werden. Dies ergibt ein Diagramm, das den Kommunikationsfluss zwischen den einzelnen Rollengruppen darstellt. Mithilfe dieses Diagramms können Firewalls und Anschluss- bzw. Paketfilter ganz leicht so konfiguriert werden, dass sie nur Datenverkehr des angegebenen Typs durchlassen. Mit diesen Datenflussinformationen können auch später problemlos Regeln für IPsec-Filter (Internet Protocol Security) für Unternehmen aufgestellt werden, die Windows 2000, Windows XP und Windows Server 2003 einsetzen.

Identifizieren und Analysieren von Bedrohungen

Bei einer Bedrohungsanalyse wird versucht, die Sicherheit eines dezentralen Systems zu erhöhen, indem ein Inventar aller Bedrohungen für dieses System (unabhängig von ihrem Ursprung) aufgestellt wird. Das Grundkonzept besteht darin, dass Sie möglichst viele Bedrohungen identifizieren. Das Wissen, welche Bedrohungen vorhanden sind, macht es einfacher, diese Bedrohungen zu verringern oder zu beseitigen. Als Grundlage entsprechender Entscheidungen kann die Überlegung dienen, dass eine Verringerung nicht möglich, zu schwierig oder zu kostspielig ist bzw. dass die Bedrohung nicht gravierend oder nicht sehr wahrscheinlich ist. Ein Grundkonzept beim Erstellen der Bedrohungsanalyse ist das Auflisten aller realistischen Bedrohungen, einschließlich Bedrohungen, gegen die bereits Schutzmaßnahmen vorhanden sind. In manchen Fällen führt die Betrachtung von Bedrohungen, für die es bereits Schutzmechanismen gibt, zur Aufdeckung ähnlicher oder entfernt verwandter Angriffe.

Identifizieren von Bedrohungen

Nachdem die IT-Mitarbeiter von Trey ein Netzwerkmodell angefertigt hatten, das die aktuellen Rollen im Netzwerk und die zwischen den Computerrollen verwendeten Kommunikationsmethoden aufzeigt, konnten sie mit der Identifikation und Einstufung der einzelnen Bedrohungen beginnen. Diese Bedrohungen können in verschiedene Kategorien unterteilt werden:

•	Bedrohungen der physischen Sicherheit oder Integrität von Computern. Dazu gehören Brand, Überschwemmungen, Elektrizitätsausfall, versehentliche oder absichtliche physische Beschädigung sowie Gefährdungen durch nicht autorisierten räumlichen Zugang.
•	DoS-Angriffe (Denial-of-Service, Dienstverweigerung) in Bezug auf einzelne Computer, Infrastrukturdienste oder das gesamte Netzwerk.
•	Ausführen von bösartigem Code, z. B. von Viren, Würmern und Trojanischen Pferden.
•	Nicht autorisiertes Offenlegen vertraulicher Informationen durch Netzwerküberwachung, Kontenkompromittierung oder andere Methoden.
•	Gefährdungen oder Beschädigungen aufgrund verlorener Kontrolle über Benutzerkonten oder andere bevorzugte Konten (z. B. durch nicht sichere Kennwörter, nicht angemessene Kontrolle für bevorzugte Konten, Nichtbeachtung von Sicherheitsverfahren oder unzureichende Überwachung).

Jede Bedrohungskategorie enthält eine Vielzahl einzelner Bedrohungsarten, von denen einige u. U. bereits verringert wurden, während andere in der Umgebung von Trey nur sehr schwer zu reduzieren sind. Jeder der folgenden Abschnitte beschreibt jeweils eine Klasse von Bedrohungen und Treys Möglichkeiten, diese Bedrohungen zu verringern. In vielen Fällen sind die aufgeführten Verringerungsmaßnahmen nur bedingt wirksam. Es werden nur Maßnahmen angegeben, die unter Windows NT 4.0 oder Windows 98 verfügbar sind. Neuere Versionen von Windows verfügen über wirksamere Maßnahmen.

Physische Sicherheitsbedrohungen

In der folgenden Tabelle sind die wichtigsten physischen Sicherheitsbedrohungen angegeben, die Trey für seine Netzwerke identifizieren konnte. Die meisten dieser Bedrohungen haben ihren Ursprung in Faktoren, auf die das Unternehmen keinen Einfluss hat. Sie können nur wirksam verringert werden, indem Richtlinien für Notfallwiederherstellungs- und Geschäftskontinuitätsverfahren eingerichtet werden, auf die in diesem Leitfaden nicht weiter eingegangen werden kann.

Hinweis: Die Spalten "Auswirkung und Umfang" und "Wahrscheinlichkeit" in den folgenden Tabellen enthalten geschätzte Angaben der IT-Mitarbeiter von Trey in Bezug auf Wesen, Umfang und Wahrscheinlichkeit der jeweils angegebenen Bedrohungen. Die genauen Werte in diesen Spalten können je nach Unternehmen deutlich von den Angaben abweichen.

Tabelle 2.2: Bedrohungen der physischen Sicherheit und Vorbeugungsmaßnahmen

Bedrohung	Details / Art des Angriffs	Auswirkung und Umfang	Wahrscheinlichkeit	Vorbeugungsmaßnahmen
Beschädigung durch Umwelteinflüsse	Brand, Überschwemmung, Wetterbedingungen oder andere äußere Umweltfaktoren.	Hoch / gesamtes Netzwerk	Gering	Versicherung, Pläne zur Notfallwiederherstellung und Geschäftskontinuität.
Vorübergehender Verlust von Infrastrukturdiensten	Ausfall von WAN (Wide Area Network) / Internetkonnektivität, Strom, Kühlsystemen oder anderen wichtigen Diensten der Infrastruktur, die nicht durch Trey bereitgestellt werden.	Mittel / gesamtes Netzwerk	Mittel	Diese Art von Ausfällen sind in der Regel nur kurzfristig.
Physische Beschädigung wichtiger Computer	Versehentliche oder absichtliche Beschädigung.	Mittel / einzelnes Gerät	Gering	Sicherungen, Kontrollmechanismen für den räumlichen Zugang zu wichtigen Computern.
Beschädigung/Gefährdung eines einzelnen Computers	Physischer Zugang und Beschädigung eines Computers durch einen Angreifer.	Hoch / einzelnes Gerät	Gering	Zugangskontrollmechanismen, Absichern des Startvorgangs, sichere bzw. komplexe Kennwörter für lokale Administratorkonten, Verwendung von Syskey zum Schutz lokaler SAM-Datenbankdaten (Security Account Manager).

DoS-Bedrohungen

Bei DoS-Bedrohungen (Denial-of-Service, Dienstverweigerung) kann nicht mehr auf Netzwerkdienste oder Computer zugegriffen werden, da Netzwerkausrüstung oder Computer durch vorgetäuschten Datenverkehr absichtlich blockiert oder außergewöhnlich hoch ausgelastet werden. Bedrohungen dieser Art werden in der Regel innerhalb des Netzwerks verringert. In der folgenden Tabelle sind die wichtigsten DoS-Bedrohungen angegeben, die Trey für seine Netzwerke identifizieren konnte.

Tabelle 2.3: DoS-Bedrohungen und Vorbeugungsmaßnahmen

Bedrohung	Details / Art des Angriffs	Auswirkung und Umfang	Wahrscheinlichkeit	Vorbeugungsmaßnahmen
Manipulation oder Spoofing des Netzwerkverkehrs	Angreifer sendet unerwünschte / fehlerhafte Nachrichten an Hosts.	Hoch / gesamtes Netzwerk	Gering	Eingangsfilterung für das Netzwerk.
Manipulieren von DNS-Diensten	DNS-Verkehr wird durch den Angreifer per Spoofing (Täuschung), Auffüllen mit fehlerhaften Daten oder Blockieren beeinträchtigt.	Hoch / gesamtes Netzwerk	Gering	Überwachen der DNS-Dienstqualität, um Dienstprobleme schnell zu erkennen.
Gezielte Manipulation oder gezieltes Spoofing des Datenverkehrs	Angreifer geht gezielt gegen einzelne Computer oder Ressourcen vor.	Hoch / einzelner Computer	Gering	Anschluss- und Paketfilterung, Netzwerksegmentierung, persönliche Firewalls.
Sperrung eines Benutzerkontos	Angreifer überschreitet die maximal zulässige Anzahl an Eingabeversuchen für das Kennwort und aktiviert so die Kontosperrungsrichtlinie.	Mittel / gesamtes Netzwerk	Gering	Bereitstellung einer Kontosperrungsrichtlinie ohne Sperrungszähler.
Sperrung eines Dienstkontos	Angreifer verweigert den Zugriff auf ein Dienstkonto, indem die zulässige Anzahl an Eingabeversuchen für das Kennwort überschritten wird.	Mittel / gesamtes Netzwerk	Gering	Bereitstellung einer Kontosperrungsrichtlinie ohne Sperrungszähler.
Angriff auf die Bandbreitenauslastung	Angreifer beansprucht absichtlich die Bandbreite eines Netzwerks oder Geräts.	Mittel / gesamtes Netzwerk	Gering	Bei Perimeternetzwerken: Eingangsfilterung und ISP-Überwachung. Bei internen Hosts: Absicherung des TCP/IP-Stacks (Transmission Control Protocol/Internet Protocol) und Eingangsfilterung.
Manipulation der Dienste DHCP / WINS	DHCP- bzw. WINS-Verkehr zwischen Clients und Infrastrukturservern wird durch den Angreifer per Spoofing (Täuschung), Auffüllen mit fehlerhaften Daten oder Blockieren beeinträchtigt.	Gering / einzelner Computer	Gering	Mehrere DHCP- und WINS-Server, um Spielraum für eine Überlappung zu gewährleisten.

Bedrohungen durch bösartigen Code

In der folgenden Tabelle sind die wichtigsten physischen Sicherheitsbedrohungen angegeben, die Trey für seine Netzwerke identifizieren konnte. Ähnlich wie physische Bedrohungen haben die meisten dieser Bedrohungen ihren Ursprung in Faktoren, auf die das Unternehmen keinen Einfluss hat. Sie können nur wirksam verringert werden, indem Richtlinien für Notfallwiederherstellungs- und Geschäftskontinuitätsverfahren eingerichtet werden, auf die in diesem Leitfaden nicht weiter eingegangen werden kann.

Tabelle 2.4: Bedrohungen durch bösartigen Code und Vorbeugungsmaßnahmen

Bedrohung	Details / Art des Angriffs	Auswirkung und Umfang	Wahrscheinlichkeit	Vorbeugungsmaßnahmen
Virusangriff	Virus wird durch einen internen Benutzer auf das Netzwerk von Trey übertragen und breitet sich aus.	Hoch / gesamtes Netzwerk	Mittel	Bereitstellung von Antivirussoftware für Clients und Server, Schulung der Benutzer, Trennung älterer Computer.
Ausführen von bösartigem Code durch Benutzer	Benutzer lädt bösartigen Code, der als harmloses Ereignis getarnt ist, herunter und führt ihn aus.	Hoch / einzelner Computer	Mittel	Absichern von Microsoft Internet Explorer, Schulung der Benutzer.
Wurmangriff	Wurm wird über das Internet oder durch einen infizierten Computer eingeführt und breitet sich aus.	Hoch / gesamtes Netzwerk	Gering	Patchverwaltung zum Verringern ausnutzbarer Sicherheitslücken, Trennung älterer Computer.

Bedrohungen durch Informationsenthüllung

Zu Bedrohungen durch Informationsenthüllung gehören das versehentliche Enthüllen vertraulicher Daten, die absichtliche Offenlegung durch autorisierte Benutzer gegenüber nicht autorisierten Dritten sowie gezielte Angriffe zur Informationsenthüllung.

Tabelle 2.5: Bedrohungen durch Informationsenthüllung und Vorbeugungsmaßnahmen

Bedrohung	Details / Art des Angriffs	Auswirkung und Umfang	Wahrscheinlichkeit	Vorbeugungsmaßnahmen
Netzwerksniffing	Heimliche Überwachung des Netzwerkverkehrs durch den Angreifer, um Kennwörter oder andere vertrauliche Daten zu ermitteln.	Hoch / gesamtes Netzwerk	Mittel	Kontrollmechanismen für den räumlichen Zugang zum Netzwerk, SMB-Signierung (Server Message Block), Verwendung von Windows NT LAN Manager, Version 2 (NTLMv2), anstelle der NTLM- oder LM-Authentifizierung.
Datendiebstahl von tragbaren Computern/Laptops	Angreifer stiehlt Computer und stellt Daten vom Computer wieder her.	Hoch / gesamtes Netzwerk	Mittel	Keine
Offenlegung von Kennwortdaten	Angreifer stiehlt Kennwort-Hashwerte von einem nicht sicheren Computer oder Netzwerk.	Hoch / gesamtes Netzwerk	Gering	Kontrollmechanismen für den räumlichen Zugang zu Domänencontrollern, Verwendung von Syskey, NTLMv2.
Absichtliche Informationsenthüllung	Autorisierter Benutzer enthüllt Informationen gegenüber einem nicht autorisierten Dritten.	Hoch / einzelner Computer	Gering	Keine

Bedrohungen durch Kontenkompromittierung

Bedrohungen durch Kontenkompromittierung können grob in zwei Kategorien unterteilt werden: 1) Ein Angreifer erlangt räumlichen Zugang zu einem Computer (und kann daher das lokale Administratorkennwort entfernen, ein Tool zur Kennworterkennung über Tastenanschläge installieren oder den Computer auf andere Weise manipulieren). 2) Angriffe über das Netzwerk. In der folgenden Tabelle sind die wichtigsten Bedrohungen durch Kontenkompromittierung angegeben, die Trey identifizieren konnte.

Tabelle 2.6: Bedrohungen durch Kontenkompromittierung und Vorbeugungsmaßnahmen

Bedrohung	Details / Art des Angriffs	Auswirkung und Umfang	Wahrscheinlichkeit	Vorbeugungsmaßnahmen
Kompromittierung des Domänenadministratorkontos	Angreifer ermittelt das Kennwort für ein Domänenadministratorkonto.	Hoch / gesamtes Netzwerk	Gering	Kontrollmechanismen für den räumlichen Zugang.
Kompromittierung des lokalen Administratorkontos auf einem einzelnen Computer	Angreifer erfährt das Kennwort für ein lokales Administratorkonto, z. B. durch unbefugtes Ermitteln des Kennworts.	Hoch / einzelner Computer	Gering	Mechanismen für die räumliche Zugangssteuerung, NTLMv2-Authentifizierung.
Zurücksetzen des Kennworts eines lokalen Administratorkontos auf einem einzelnen Computer	Angreifer erhält räumlichen Zugang zu einem Computer und setzt das lokale Administratorkennwort zurück.	Hoch / einzelner Computer	Gering	Mechanismen für die räumliche Zugangskontrolle.
Kompromittierung von Benutzerkonten	Angreifer erhält Zugang zu einem allgemeinen Benutzerkonto.	Mittel / einzelner Computer	Gering	Kontrollmechanismen für den räumlichen Zugang, SMB-Signierung, NTLMv2-Authentifizierung.

Zum Seitenanfang

Entscheidungsfindung in Bezug auf Risiken

Nachdem die IT-Mitarbeiter von Trey die wichtigsten Risiken für das Unternehmen ermittelt hatten (wie in den vorstehenden Tabellen aufgeführt), entschieden sie anhand der potenziellen Auswirkungen und der Wahrscheinlichkeit der einzelnen Bedrohungen, welche Vorbeugungsmaßnahmen ergriffen werden sollen. Einigen der größten Bedrohungen kann auf Computern unter Windows 98 und Windows NT 4.0 überhaupt nicht vorgebeugt werden, daher hat sich Trey dazu entschlossen, seine Infrastruktursysteme auf Windows Server 2003 zu übertragen. Andere Risiken können durch eine Kombination von betriebssystemspezifischen Schritten, Netzwerkkonfigurationen und geänderten Richtlinien verringert werden. Indem die potenziellen Bedrohungen analysiert und die Kosten für entsprechende Schutzmechanismen berechnet wurden, konnte Trey einen Vorbeugungsplan gegen eine möglichst große Anzahl an ernsthaften Risiken entwickeln. In den verbleibenden Kapiteln dieses Leitfadens werden die konkreten Maßnahmen beschrieben, für die sich Trey entschieden hat.

Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurden einige der Überlegungen erläutert, die bei der Anwendung von SRMD auf ein allgemeines Kundenbeispiel eine Rolle spielten. Alle für dieses Beispiel angegebenen Informationen basieren auf echten Daten. Dennoch wurde nur ein Bruchteil der für eine ausführliche Sicherheitsrisikoanalyse benötigten Informationen berücksichtigt. Eine vollständige Auflistung sämtlicher Risikoanalyse-Tabellen und aller Risikoberichte wäre für dieses Kapitel viel zu umfangreich und nicht benutzerfreundlich. Es wurden stattdessen relevante Beispiele ausgewählt, um ein besseres Verständnis für die involvierten Prozesse zu schaffen.

Mithilfe der Richtlinien in diesem Kapitel wurde eine Liste von Risiken zusammengestellt, die mit bestimmten Maßnahmen bekämpft werden können. Wenn die Mitarbeiter von Trey die Liste erfolgreich erstellt haben, können sie damit beginnen, die Schritte zum Verringern der Risiken zu identifizieren. Gegen die Risiken kann vorgebeugt werden, indem die Systeme gegen die aufgeführten Sicherheitslücken geschützt werden. Die entsprechenden Schritte werden in den übrigen Kapiteln dieser Anleitung ausführlich erläutert.

Weitere Informationen

Weitere Informationen zum Anwenden von SRMD auf eine Unternehmensumgebung finden Sie in den folgenden Quellen:

•	"Einführung in das Sicherheitsrisikomanagement" in Microsoft TechNet unter http://www.microsoft.com/germany/technet/datenbank/articles/900134.mspx.
•	"Sicherheitsrisiken Analysieren und Identifizieren" in TechNet unter http://www.microsoft.com/germany/technet/datenbank/articles/900135.mspx.

Zum Seitenanfang

3 von 10

In diesem Beitrag

•	Leitfaden zur Verringerung von Sicherheitsbedrohungen unter Windows NT 4.0 und Windows 98
•	Kapitel 1: Einführung
•	Kapitel 2: Anwenden von SRMD Security Risk Management Discipline auf das Beispiel von Trey Research
•	Kapitel 3: Netzwerksicherheit und -absicherung
•	Kapitel 4: Absichern von Microsoft Windows NT 4.0
•	Kapitel 5: Absichern von Microsoft Windows 98
•	Kapitel 6: Patchverwaltung
•	Kapitel 7: Antivirusschutz
•	Kapitel 8: Schlussfolgerung
•	Danksagungen