Firewall-Management: Re-Zertifizierung mit Open‑Source-Lösungen

Die BaFin-Vor­ga­ben für IT-Si­cher­heits­maß­nah­men werden stetig stren­ger. Nicht um­sonst steht die ak­tu­el­le Aus­ga­be der „Ba­Fin Per­spek­ti­ven“ un­ter dem Ti­tel „Cy­ber­si­cher­heit – ei­ne Her­aus­for­de­rung für Staat und Fi­nanz­wirt­schaf­t“. Zer­ti­fi­zier­te Firewalls und ei­ne gan­ze Rei­he von Vi­ren­ab­wehr­me­cha­nis­men sind für die Or­ga­ni­sa­ti­on selbst­ver­ständ­lich und wer­den auch bei Fi­nanz­dienst­leis­tern re­gel­mä­ßig ge­prüft. Die BaFin sieht das nur als Ba­sis. Zu ei­ner si­che­ren Um­ge­bung ge­hört au­ßer­dem die re­gel­mä­ßi­ge Re-Zer­ti­fi­zie­rung von Fire­wall-Re­geln. Tim Pursch­ke, Be­ra­ter Netz­werk­si­cher­heit bei der Cac­tus eSe­cu­ri­ty, macht auf die Fall­stri­cke rund um die­ses The­ma auf­merk­sam und de­mons­triert, wie ei­ne Open-Sour­ce-Lö­sung Ab­hil­fe schaf­fen kann.

von Tim Pursch­ke, Cac­tus eSe­cu­ri­ty

Ein professionelles Firewall-Management ist inzwischen eine der Standardanforderungen der Aufsichtsbehörden an Finanzdienstleister. Doch genau das fällt vielen Institutionen extrem schwer. Die Gründe: komplexe Firewall-Konstrukte, mangelnde Transparenz und fehlende Übersicht. Kein Wunder, wenn man bedenkt, wie viele einzelne Regeln in einer Organisation zusammenkommen können – mehrere Hunderttausend sind in der Praxis keine Seltenheit, teilweise geht die Anzahl sogar in die Millionen. Aber auch überschaubare Strukturen mit einigen hundert Regeln lassen sich ohne die richtigen Hilfsmittel kaum dauerhaft aktuell halten. Das Housekeeping ist aufwändig und wird in vielen Teams sträflich vernachlässigt. Das Aufräumen von alten Regeln steht in den meisten Umgebungen hinter der Erstellung neuer Zugriffsregeln zurück, was auch daran liegt, dass ständig Ansprechpartner aus den Fachabteilungen mit ihren Bedarfen auf die Verantwortlichen zukommen. Dort fragen sie aktiv die Einrichtung neuer Regeln an und lösen damit direkt einen Prozess aus, dem die IT-Teams folgen.

Die Überprüfung und ggf. Löschung alter Bedingungen geschieht meist – wenn überhaupt – nur nebenbei und wenn es die Zeit eben erlaubt. Doch das ist fatal, denn so sammeln sich zahlreiche Regeln an, die teilweise gar nicht oder nur für einen gewissen Zeitraum benötigt werden.”

Das erhöht die Komplexität innerhalb der Firewall-Strukturen und sorgt für ein kaum zu überblickendes Durcheinander. Hinzu kommt der Anspruch, das eigene Rechenzentrum in Sicherheitszonen zu unterteilen, um es Eindringlingen so schwer wie möglich zu machen, sich nach einem erfolgreichen Angriff weiter im Netz zu bewegen. Mit einer solchen Zonierung geht häufig auch die Konzeption einer Kommunikationsmatrix einher, um sichere Verbindungen zwischen einzelnen Knotenpunkten zu gewährleisten, ohne ein unnötiges Risiko einzugehen. All diese Einzelkomponenten gilt es im täglichen Geschehen zu berücksichtigen und dauerhaft zu warten, um Sicherheitslücken zu vermeiden.

NSPM-Lösungen halten zumeist nicht, was sie versprechen

Zwar gibt es sogenannte NSPM-Lösungen (Network Security Policy Management), die die meisten der oben genannten Herausforderungen adressieren. Allerdings sind diese Systeme in ihrer Standardausführung häufig kostspielig und unflexibel, sodass sie sich nur schwer an die individuellen Gegebenheiten anpassen lassen. Kleinere Anpassungen oder gar weitreichendere Customizing-Anliegen fordern zusätzliches Budget und garantieren dabei noch lange nicht, dass die Lösung am Ende genau das tut, was die jeweilige Organisation braucht. Hinzu kommt, dass die Betreuung durch einen Service in deutscher Sprache leider bei den meisten kommerziellen Anbietern Mangelware ist. Aus diesem Grund finden Banken und Versicherungen in NSPM-Lösungen leider kein Allheilmittel für ihr Firewall-Management und greifen daher in der Praxis immer noch auf manuelle Hilfsmittel zurück.

Spätestens wenn das nächste Audit ansteht und die Regulatoren sich die Regelstrukturen genauer ansehen, kommen viele Teams allerdings ins Schwitzen, weil die selbstgebauten Hilfsmittel schnell an ihre Grenzen stoßen.”

Das ist im Rahmen der Re-Zertifizierung vor allem dann ein Problem, wenn einige Altregeln übersehen werden, die gelöscht werden könnten oder gar im Eifer des Gefechts versehentlich solche gelöscht werden, die im täglichen Business noch benötigt werden. Im schlimmsten Fall führt das dazu, dass ein Kernsystem nicht mehr arbeiten kann und wichtige Geschäftsprozesse ins Stocken geraten. Daher lohnt es sich in jedem Fall, eine praktikable Lösung zu implementieren, die einerseits den Arbeitsalltag des IT-Teams erleichtert und die Organisation andererseits für alle kommenden Prüfungen solide aufstellt.

Die Lösung: Open Source für mehr Sicherheit

Quelloffene Programme sind bereits in vielen größeren Unternehmen etabliert – von Elastic Search über Red Hat Enterprise Linux bis hin zum Apache Webserver haben solche Tools inzwischen einen festen Platz in zahlreichen Organisationen gefunden. Und auch für die Misere rund um das Firewall-Management gibt es eine Open-Source-Lösung: einen Firewall Orchestrator für die plattformübergreifende Verwaltung sämtlicher Firewalls. Ein solches System bietet idealerweise eine transparente Übersicht über alle Firewall-Regeln aus jedweden Anwendungen und dokumentiert Änderungen lückenlos und zuverlässig. So gelingt es Banken, Versicherungen und Finanzdienstleistern, eine zentrale Sicht auf ihre dezentrale Infrastruktur herzustellen und jederzeit Reports über aktuelle und historische Regelwerke erstellen zu können. Das vermeidet unnötige Regeln, erleichtert die Re-Zertifizierung und bietet mittels API-Schnittstellen zahlreiche Automatisierungsmöglichkeiten. Vorhandene Workflow-Systeme wie ARS oder ServiceNow können beispielsweise in eine solche Open-Source-Lösung integriert werden, sodass der manuelle Aufwand in den IT-Teams stark reduziert wird.

Ein quelloffenes System hat außerdem den Charme, dass ständig neue Funktionalitäten hinzukommen, die die gesamte Community nutzen kann. So entwickelt sich ein solcher Firewall Orchestrator mit den veränderlichen Anforderungen der Regulatoren stetig weiter und bleibt auch über die Zeitverlauf ein verlässlicher Partner für Audits.”

Jeder Anwender kann individuell für sich nützliche Features implementieren und diese wahlweise lokal speichern. Alternativ lassen sich solche Erweiterungen mit den anderen Nutzern teilen, sodass in der übergreifenden Zusammenarbeit ein umfassendes Tool entsteht, mit dem jede Organisation optimal arbeiten kann – und das ohne Lizenzkosten oder sonstige Investitionen.Tim Purschke, Cactus eSecurity