No translation available. 

Use Cases

Häufig erkennen Unternehmen zwar die Chancen und Möglichkeiten von IT Security Management, wissen jedoch nicht, über welche konkreten Anwendungsfälle sie die bestmöglichen Potenziale ausschöpfen können.

Wir zeigen Ihnen kurze Einblicke aus unseren Beratungsprojekten, die wir erfolgreich zum Abschluss gebracht haben. In unseren Use Cases finden Sie eine Auswahl für die Bereiche Überwachung und Verwaltung im IT Security Management. Somit erhalten Sie auch mögliche Ansätze für die Nutzung in Ihrem Unternehmen.

Überwachung des IT Security Management

Überwachung des IT Security Management

  • Jede Verbindung welche ein Anmeldungsfehler hat, könnte ein potentieller Angriff sein.
  • Ein Login welcher von einem User kommt, der kein Zugriff mehr haben sollte.
  • Zugriff von einer anderen Applikation/Datenbank, welches in keinerlei Verbindung zum Geschäftsprozess steht.
  • Vermittelter Zugang – Alle Zugriffe, welche zum Geschäftsprozess gehören müssen direkt erfolgen.

Bei den Use Cases die wir beschreiben, sind immer folgenden Rollen und Systemabhängigkeiten involviert:

Die Rollen:   Die Abhängigkeiten:
  • Fachbereich
  • IT
  • Datenschutzbeauftragte(r)
  • IT Security Support
  • Alle IT Systeme die produktiv-relevante Daten haben, sind in einer CMDB (Configuration Management Database) hinterlegt.
  • Geschäfts- und Zugriffsregeln sind erhoben und im Repository hinterlegt.

Use Case I : Alle Zugriffe von einem anderem Produktionssystem

Das Ziel: 

  • Alle produktiven Geschäftsvorfälle, Applikationen und/oder Datenbanken, welche im Zusammenhang mit der IT stehen, sollen dauerhaft auf Zugriffe und Geschäftsregeln überwacht werden.
  • Dazu müssen alle Geschäftsvorfälle, Applikationen und/oder Datenbanken mit produktiv-relevanten Daten an das Überwachungssystem registriert werden.
  • Darüber hinaus muss während der Anmeldung die Beziehung mit den IT Systemen und den Geschäftsregeln erhoben und sichergestellt werden.

Die Erfolgsfaktoren:

  • Alle Systemzugriffe werden kontinuierlich auf Rollen- und Berechtigungen geprüft.
  • Alle Zugriffe von anderen Produktionssystemen werden auf Anfrage zu einem Geschäftsvorfall während der Laufzeit überwacht, aufgenommen und auf Compliance (Regeln – Policies) geprüft.
  • Beim Auftreten eines Störfalls (Regeln – Policies wurden verletzt), wird eine Benachrichtigung mit hoher Priorität an eine und/oder mehrere Personen versendet. Das Ereignis wird protokolliert und zum Assessment den Verantwortlichen zur Verfügung gestellt.

Use Case II : Zugriff von einem nicht identifizierbarem Benutzer/System 

Das Ziel:

  • Alle produktiven Geschäftsvorfälle, Applikationen und/oder Datenbanken, welche im Zusammenhang mit der IT stehen, werden dauerhaft auf Zugriffe und Geschäftsregeln überwacht.
  • Während der Überwachung können Ereignisse anfallen, welche an die Verantwortlichen gemeldet und untersucht werden müssen.
  • Ein zeitlich wiederkehrender Bericht aus dem Überwachungssystem an die Verantwortlichen und das Management ist für eine interne Übersicht und Kontrolle unabdingbar.

Die Erfolgsfaktoren:

  • Ein Systemzugriff auf eine Applikation und/oder Datenbank erfolgt.
  • Alle Applikations- und Datenbankzugriffe befinden sich in ständiger Überwachung im Zusammenspiel mit dem Rollen- und Berechtigungskonzept.
  • Beim Auftreten eines Störfalls (Regeln – Policies wurden verletzt), wird eine Benachrichtigung mit hoher Priorität an eine und/oder mehrere Personen versendet.
  • Das Ereignis wird protokolliert und zum Assessment den Verantwortlichen zur Verfügung gestellt.

Verwaltung des IT Security Management

Verwaltung des IT Security Management

  • Verwaltung und Konfiguration der zu überwachenden Systeme.
  • Verwaltung und Konfiguration des Prüf-Repository und die Monitoring-Daten selbst.
  • Alarmierung bei einer Verletzung der Regeln und/oder im Konfigurationsmanagement.
  • Unterstützung des IT-Admin bei der Qualifizierung bei anfallenden Monitoring-Ereignissen.
  • Bereitstellung und Versendung von Reports.

Bei den Use Cases die wir beschreiben sind immer folgende Rollen und Systemabhängigkeiten involviert:

Die Rollen:   Die Abhängigkeiten:
  • Fachbereich
  • IT
  • Datenschutzbeauftragte(r)
  • IT Security Support
  • Alle IT Systeme die produktiv-relevante Daten haben, sind in einer CMDB (Configuration Management Database) hinterlegt.
  • Geschäfts- und Zugriffsregeln sind erhoben und im Repository hinterlegt.
Verwaltung Workflow Beispiel

Use Case III : Onboarding von Applikationen, Datenbanken und/oder Geschäftsvorfällen

  • Alle produktiven Geschäftsvorfälle, Applikationen und/oder Datenbanken, welche im Zusammenhang mit der IT stehen, sollen dauerhaft auf Zugriffe und Geschäftsregeln überwacht werden.
  • Dazu müssen alle Geschäftsvorfälle, Applikationen und/oder Datenbanken mit produktiv-relevanten Daten an das Überwachungssystem registriert werden.
  • Darüber hinaus muss während der Anmeldung die Beziehung mit den IT Systemen und den Geschäftsregeln erhoben und sichergestellt werden.

Die Erfolgsfaktoren:

Onboarding Baseline

  • Der Workflow zum Onboarding einer Applikation, Datenbank und/oder Geschäftsvorfall wird von einer Person vom Fachbereich im IT Security Management gestartet.
  • Dazu wählt die Person die ihm/ihr bereitgestellte und zugeordnete Applikation, Datenbank und/oder Geschäftsvorfall über die CMDB (Configuration Management Database) aus, welche an die Überwachung angemeldet werden soll.
  • Die Person übermittelt die Anfrage (Submit Request).
  • Anschließend wird geprüft auf welchem System der Softwareagent installiert und eingerichtet wird.
  • Nach einem mit dem Fachbereich und der IT abgestimmten Fragebogen zur Konfiguration und Regeln zur Überwachung, kommt es zur Registrierung und Aktivierung.
  • Alle Beteiligten werden vom erfolgreichen anmelden der Applikation, Datenbank und/oder Geschäftsvorfall vom System automatisch per E-Mail informiert.
  • Während der gesamten Laufzeit eines jeden Workflow läuft eine Audit Trail mit, welcher die gesamten Aktivitäten und/oder Änderungen aufzeichnet.
  • Der Audit Trail kann in den Reports abgerufen werden und wird auch für eine zu bestimmende Zeit archiviert.

Use Case IV : Zusammenführung von bestehenden Ereignissen gleicher Konfiguration/Eigenschaften 

Das Ziel:

  • Im Wesentlichen kann jede Benutzeraktivität in einer Applikation, Datenbank oder Geschäftsvorfall, die von der aktiven Überwachung erkannt wird, als Sicherheitsereignis betrachtet werden.
  • Ein solches Ereignis kann ein Benutzer sein, der im Rahmen eines Geschäftsvorfall arbeitet, oder ein Administrator, der Wartungsarbeiten durchführt.
  • Hierbei ist zu beachten, dass ein Sicherheitsereignis daher nicht mit einer Sicherheitswarnung identisch ist.
  • Sicherheitsereignisse können alles sein, von normalen Benutzeraktivitäten bis hin zu böswilligen Versuchen, auf vertrauliche Daten zuzugreifen oder diese zu manipulieren.
  • Im ersten Fall können die Ereignisse ignoriert werden oder es müssen zumindest keine Maßnahmen ergriffen werden.
  • Im zweiten Fall sollte die Verantwortlichen zumindest auf potenziell böswillige Aktivitäten aufmerksam gemacht werden. Bei Bedarf kann ein Sicherheitsalarm ausgelöst werden.

Die Erfolgsfaktoren:

  • Das Zusammenführen von Ereignissen bedeutet, harmlose Aktivitäten von potenziell gefährlichen Aktivitäten zu trennen und das Risiko dieser Aktivitäten zu bewerten.
  • Dazu werden ein oder mehrere Ereignispakete erstellt und ein Bewertungsprozess für jedes der Pakete abgeschlossen.
  • Sobald ein Ereignispaket bewertet wurde, ist es aktiv und kann nicht mehr geändert werden.
  • Änderungen an einem aktiven Paket, die im Laufe der Zeit erforderlich werden, sind möglich, indem mit der Neubewertung oder dem Antrag auf Stilllegung eines Pakets begonnen wird.
  • Da einige Systeme von mehreren Anwendungen gemeinsam genutzt werden, werden einige Ereignisse möglicherweise nicht korrekt der richtigen Anwendung zugewiesen.
  • In diesem Fall können diese Ereignisse neu zugewiesen werden, indem ein Bundle erstellt und ein Neuzuweisungsprozess abgeschlossen wird.
  • Auf diese Weise können Ereignisse, die nicht zur Anwendung gehören, dem richtigen Geschäftsvorfall zugewiesen werden.

Die Ereignisverwaltung umfasst daher die folgenden Aufgaben:

  • Überprüfen der Sicherheitsereignisse in einer integrierten Datenbank. Die Ereignisdetails sind im Überwachungssystem verfügbar.
  • Trennen der verschiedenen Arten von Ereignissen. Dies erfolgt durch Erstellen von Ereignispaketen.
  • Bewertung des Risikos dieser Sicherheitsereignisse. Dies erfolgt durch Abschluss eines Bewertungsgeschäftsprozesses, der auch als Bewertungsanforderung bezeichnet wird.