Ausgeklügelt: Security Engineering bei der West LB

Die Westdeutsche Landesbank besitzt, wonach sich viele IT-Verantwortliche die Finger lecken dürften: ein Security-Backbone

Die Westdeutsche Landesbank (West LB) besitzt, wonach sich viele IT-Verantwortliche die Finger lecken dürften: ein Security-Backbone. Implementiert ist die Infrastruktur der West LB mit einem für diesen Zweck recht ungewöhnlichen Tool: ‘Master Cell’, einem Zukauf von BMC Software. Das Werkzeug ermöglicht etwa die Analyse von Logfiles, um sicherheitsrelevante Vorfälle zu erkennen. Die Ergebnisse helfen, Regeln zur Prävention und Reaktion abzuleiten. Zum Beispiel lässt sich die Zahl teurer Fehlalarme senken.
Verantwortlich für die Tool-Entscheidung waren Mitarbeiter der West LB Systems GmbH, Düsseldorf. Die IT-Tochter der Landesbank, die Niederlassungen in Tokio, New York und London unterhält, zählt rund 500 Mitarbeiter und betreut die mehr als 10.000 Mitarbeiter der Bank. Als Systemhaus übernimmt das Haus IT-Projekte der NRW.BANK, der West LB AG und ihrer Töchter, sowie der DWP Bank AG und der LBS West.

Der Betrieb des Rechenzentrums aber liegt seit Beginn dieses Jahres in den Händen von T-Systems-Mitarbeitern. Außerdem sorgt West LB Systems für einen zweistufigen Support, hauptsächlich im Umfeld von Microsoft-Produkten und Plattformen. Dirk Hartl und Helmut Hartl aus dem Bereich Internet- und Security-Engineering gehören zu dem Team, das die Security-Lösung gefunden, eingeführt und ausgebaut hat. Die Namensgleichheit beruht übrigens nicht auf verwandtschaftlichen Banden.

Die Administratoren entdecken neue Möglichkeiten

Wie viele gute Ideen, entstand das Security-Backbone beinahe zufällig. Denn es begann mit der Suche nach einem neuen Tool, mit dem sich die Event-Logs, die Protokolldateien von Windows XP, auswerten ließen. Ende 2002 begann die Bank rund 6000 PC-Arbeitsplätze von Windows NT auf das Betriebssystem Windows XP umzurüsten. Das bisherige Tool, “so wie wir es im Einsatz hatten, stellte sich als veraltet und ungeeignet heraus”, erläutert Dirk Hartl.

In Logs werden alle Aktionen der Anwender protokolliert: Anmelden, Dateiaufrufe, Datenbankabfragen, Drücken einer Return-Taste, Drucken, etc. Das bislang eingesetzte Werkzeug hätte zwar die Betriebssystemeinträge von XP lesen können, aber nicht die Informationen aus anderen Dateien. Zum Beispiel wäre es unmöglich gewesen, die Meldungen einiger Client-Virenscanner zu interpretieren.

Im März 2003 entschieden sich die Verantwortlichen für Master Cell, das zu dem damaligen Zeitpunkt noch von der selbständigen Softwareschmiede IT Masters vermarktet wurde. Generell kombiniert die Master-Cell-Technik Event-Automation mit der Möglichkeit, Services zu modellieren. Die Daten zur Verfügbarkeit und Leistung von IT-Systemen werden zumeist dazu genutzt, detailliert Aufschluss über den Status von Business Services und Service Level Agreements (SLAs) zu erlangen.

Helmut Hartl beschreibt die Software als “frei konfigurierbaren Werkzeugkasten”. Zum Beispiel sei ein Parser integriert, mit dem sich Log-Zeilen in seine Bestandteile zerlegen und diese mit definierten Aktionen verknüpfen lasse. Zudem seien Inhalte etwa nach Schlüsselbegriffen selektierbar. Zum Funktionsumfang gehört zudem die eigene Programmiersprache ‘Regular Expression’, eine Metasprache für Zeichenketten, mit der sich Korrelationen in den Log-Daten finden und definieren lassen.

Ein Netz aus Zellen und Adaptern

Das Tool eignet sich für den Einsatz unter Windows XP, aber beispielsweise auch unter Unix. “Ich kann jedes System anbinden, das in eine Datei schreibt”, erläutert Dirk Hartl, “notfalls mit Hilfe eines selbst geschriebenen Skripts.” In der Regel jedoch sorgten Adapter für die richtige Anpassung an das jeweilige Client-System. West LB Systems hat etwa Adapter für Unix-Systeme installiert, die jedoch nicht einzeln lizenziert werden müssten.

Die Adapter sorgen dafür, dass die relevanten Client-Informationen erfasst und gefiltert werden. Diese Filter beschreiben, welche Informationen überhaupt bedeutsam sind. Die aufbereiteten Informationen gehen sodann an eine zentrale Zelle, einen Event-Collector. Diese zentralen Sammelstellen befinden sich global verteilt auf den Servern der jeweiligen Niederlassung. In Düsseldorf ist das ein Windows-2000-Server. Letztlich werden Reports generiert, die auf einem SQL-Server von Microsoft abgelegt werden.

Dafür verdichten die Zellen mit Hilfe von frei definierbaren Regeln die Client-Informationen zu Events. Ein Regel-Standardbeispiel ist das Bestimmen eines Schwellenwerts für kurz aufeinander folgende erfolglose Einwahlversuche. Diese lassen auf Systemeindringlinge schließen, die mögliche Passwort-Variationen durchprobieren.

Wie setzt man den Baukasten ein?

Zwar sei konkret für eine solche Regel kein neues Skript notwendig gewesen, doch Dirk Hartl nutzt das Beispiel, um zu erläutern, dass sich mit Hilfe der Regeln jederzeit neue Events erstellen lassen, zum Beispiel: “versuchter Angriff”. Diese können wiederum in Meldungen an den Systemadministrator integriert werden. Dazu lassen sich neben den Betriebssysteminformationen auch SNMP-Traps (Simple Network Management Protocol) von Routern verwenden, Informationen aus Intrusion-Detection-Systemen (IDS) oder Syslog-Meldungen einer Firewall.

Das Anforderungsprofil haben die Hartls gemeinsam mit dem Kunden West LB erstellt. Zum Beispiel sollte es ab sofort Audit-Reports geben: Diese sollten über Fragen Auskunft geben wie: Wie oft ist es in einem festgelegten Zeitraum zum Virenbefall gekommen? Wie oft hat sich ein Nutzer unerlaubt als lokaler Administrator eingerichtet? Verantwortlich für solche internen Kontrollen ist die Abteilung ‘Revision’. Sie veranstaltet auch Audits zur Netzbelastung und zu weiteren Sicherheitsrichtlinien.

So habe sich schon bei der Tool-Auswahl gezeigt, dass es sich bei dem IT-Masters-Produkt um einen “sehr mächtigen” Baukasten handelte. Dennoch hat es gedauert bis entschieden war, wie es am besten einzusetzen ist. Dirk Hartl erinnert sich: “Die Liste der Möglichkeiten war lang.” Jedenfalls wurde in der Diskussion die Idee geboren das Tool für ein Security-Engineering einzusetzen. Ohne ein solches, sagt Dirk Hartl, blieben Virenscanner, Firewalls immer nur Insellösungen. “Ein Security-Backbone wie unseres bietet neue Möglichkeiten der Verknüpfung und einen strategischen Ansatz, es erleichtert aber auch unsere Arbeit.”

Neue Skripte erweitern des Standard

Zuerst haben die Hartls die Firewalls eingebunden. “Da haben wir gesehen, wie es geht. Die rein technische Anbindung ohne das Konfigurieren der Regelverarbeitung hat nur wenige Stunden in Anspruch genommen.” Dann entsprach das Administrationsteam dem Wunsch, die Unix-Systeme anzugliedern. Zugleich stieß die Revision die Entwicklung und Implementierung neuer Security-Standards an.

Ein solch umfassender Einsatz erfordert die Zustimmung des Betriebsrats, bei der West LB des Personalrats. Immerhin benötigen die Forensik-Analysen, die Auswertung der Protokolldateien für die Suche nach Schwachstellen, Informationen wie: Wann war welcher Benutzer angemeldet und was hat dieser gearbeitet? Aber das Monitoring ist zum einen aus Kostengründen sehr stark auf sicherheitsrelevante Vorfälle eingeschränkt, zum anderen hat der Personalrat dem Einsatz von Tools schon vor der Entscheidung für Master Cell zugestimmt gehabt.

Sicherheitsrelevant aber ist das Registrieren fehlgeschlagener Anmeldungen. Dazu kommen Meldungen über Konfigurationsänderungen für Firewalls und Router einschließlich der Angaben, wer wann die Einstellungen geändert hat. Außerdem nutzen die Systemadministratoren das Backbone für die Überwachung der Zugriffsrechte und des Patch-Levels. Sie kontrollieren den regelmäßigen Wechsel der Passwörter und implementieren derzeit eine regelbasierte Schnittstelle zum User-Helpdesk. Es soll für einen Benutzer zum Beispiel möglich sein, per E-Mail ein neues Passwort anzufordern, weil es sein aktuelles vergessen hat. Außerdem soll es bei Viren-Alarm ebenfalls ein so genanntes Ticket, eine Problemmeldung, an den User Support geben. Die technische Grundlage bildet bei der West LB hierfür die BMC-Software ‘Remedy’.

Bittere Wehmutstropfen in der Lösung

Obwohl Dirk Hartl und Helmut Hartl mit ihrer Produktwahl zufrieden sind, empfehlen sie Master Cell nur eingeschränkt weiter. “Die Lösung ist für Unternehmen, in denen programmiert wird.” Das aber wollen viele Firmen vermeiden. Stolz sind die beiden Hartls darauf, dass ihr System mittlerweile mandantenfähig ist. Jeder Mandant kann sich eigene, separate Reports definieren. “Das heißt, wir könnten unsere Lösung verkaufen”, schmunzeln sie. Ob es soweit kommt, ist jedoch eine Entscheidung der Manager.

Doch auch bei West LB Systems gibt es keine Lösung ohne Wehmutstropfen. Dazu gehört, dass sich die BMC-Support-Mitarbeiter nach der Übernahme von IT Masters noch nicht mit dem Produkt auskannten. Selbst auf der höchsten Eskalationsstufe habe es bis zu drei Tage gedauert, bis sich der Support rührte. Zudem hatten die Administratoren “eine jämmerliche Performance” zu beklagen.  Der in Perl geschriebene Adapter für die Microsoft-Welt fraß rund 40 Prozent der CPU-Leistung. Dieses Problem haben die Administratoren von der West LB Systems nun im Griff. Offen dagegen bleibt der Wunsch nach einer Verbesserung des Wiederanlaufverhaltens. Fällt die Master-Cell-Komponente aus dem einen oder anderen Grund aus und muss neu gestartet werden, nimmt dieser Vorgang bis zu zwei Tage in Anspruch.