Wie reagiert man auf sicherheitsrelevante Ereignisse? Unterstützende Software am Beispiel von STORM

In diesem Blogbeitrag gehe ich auf STORM ein, eine Security Threat Operational Response Management Software von der OTRS GmbH, die ich mir auf der it-sa 2019 genauer angesehen habe.

Die OTRS Software ist primär ein Ticketsystem. STORM wird seit 2017 vertrieben. Es setzt auf OTRS auf. Daher kann man sagen, STORM ist Incidenthandling auf Basis eines Ticketsystems.

Incidenthandling liest sich wie Aktivität zur Schadensbegrenzung. Am OTRS-Stand auf der it-sa wurde ich wieder daran erinnert, dass der Begriff ‚sicherheitsrelevant‘ nicht nur Situationen beschreibt, wenn man sich doch mal einen Virus eingefangen hat, oder wenn vertrauliche Unternehmensdaten in falsche Hände geraten, sondern auch Vorgänge, bei denen präventiv agiert werden kann. Bei dem mir vorgeführten Beispiel war es eine Auslandsreise, bei der im Vorfeld geklärt wird, welche vertraulichen Informationen in welcher Form das Unternehmen verlassen dürfen.

Was ist ein sicherheitsrelevantes Ereignis?

Um sinnvoll (re-)agieren zu können, sollte ein Unternehmen für sich selbst definieren, was ein sicherheitsrelevantes Ereignis überhaupt ist. Nicht von ungefähr stellte Jens Bothe von OTRS in seinem Vortrag auf der it-sa 2019 über STORM am Anfang ein paar Fragen, die den Zuhörer zur Selbsteinschätzung aufrief, z.B.:

  • Wie viele False Positives gab es bei Ihnen letzte Woche?
  • Und was war die Ursache dafür?
  • Sofern Sie Statistiken haben, können Sie Ihre Zahlen mit anderen Firmen vergleichen?

Grundlage ist also eine Art Business Impact Analyse (BIA), bei der u.a. geklärt wird, ab wann ein Vorgang sicherheitsrelevant ist, ab wann sich um eine Störung handelt, oder welche Störung sich wie auf die Geschäftsprozesse auswirkt. Eine Software ist eben nur so gut wie die Vollständigkeit und Aktualität der Daten, mit denen sie arbeitet. Weitere Daten, die dokumentiert und vorgehalten werden müssen, sind z.B.

  • Arten und Kritikalität der möglichen Ausfälle
  • Rechtliche Auflagen bei Vorfällen wie Datenverlust
  • Verantwortliches Personal festlegen für die notwendigen Schritte
    (wer ist im Notfallteam? Wer ist für eine Wiederherstellung zuständig etc.)
  • Notwendige Dokumente erfassen (Handbücher & Lizenzurkunden)

Erst wer so weit ist, kann sinnvoll Prozesse definieren, die bei sicherheitsrelevanten Ereignissen oder bei Angriffen ablaufen sollen, entweder zur Prävention, zur Schadensbegrenzung und/oder zur Wiederherstellung des ursprünglichen Zustandes.

Welche Funktionen bietet STORM?

OTRS bietet dazu mit STORM ein komplettes Paket an. STORM setzt auf OTRS auf, d.h., der für die Prozesskonfiguration und den Prozessablauf benötigte Code ist bereits im OTRS vorhanden. Die Prozesse werden als sogenannte Prozesstickets behandelt. Die Prozessabläufe werden vom Administrator in der Webgui definiert. Die folgende Skizze zeigt einen Ausschnitt aus einem Prozessablauf. Prozesse bestehen hier aus den Bausteinen Aktivität, Dialog, Übergang und Übergangsaktion. Eine Aktivität kann das Starten eines Skripts sein oder die Eingabe von Daten in einem Freitextfeld oder über eine Dropdownliste. Anschließend erfolgt der Übergang, der die Daten auswertet und den weiteren Verlauf bestimmt. Beim Übergang kann das Prozessticket z.B. auch in eine andere Queue verschoben werden und verantwortliche Personen benachrichtigt werden.

OTRS Prozess

Mit der Prozesskonfiguration können betriebliche Abläufe abgebildet werden.
STORM liefert dazu Schnittstellen zu externen Webservices, wenn zusätzliche Daten benötigt werden, die nicht im OTRS vorgehalten werden können. Das können sich schnell ändernde Informationen sein wie die Reputation einer Email-Domain oder auch Reisewarnungen für bestimmte Staaten, wenn z.B. Vorkehrungen für eine Auslandsreise getroffen werden.

Der Import von Daten aus einem SIEM oder aus einem Monitoring in das STORM ist auch möglich. So können Reaktionen auf einen Event automatisch in Gang gesetzt werden, z.B. das Senden einer E-Mail an einen Verantwortlichen, oder Eskalation eines Tickets. Die Schnittstelle funktioniert in beiden Richtungen: STORM kann auch Daten an externe Webservices senden.

Welche Services beinhaltet STORM?

OTRS und STORM sind getrennte Systeme. Man kann es auch so ausdrücken: OTRS funktioniert auch ohne STORM, aber STORM funktioniert und ist nützlich nur in Verbindung mit OTRS. STORM ist ein hochkonfigurierbares Tool, und es bietet die Möglichkeit, selbst geschriebene Skripte in das Prozessmanagement zu integrieren. So ist auch bei Sonderwünschen der Kunden kaum noch Entwicklungsarbeit notwendig. Der Preis dafür ist ein komplexes System mit extrem vielen Stellschrauben.

Inzwischen gibt es zahlreiche Softwarelösungen auf dem Markt, die zur Präventions- und Notfallplanung und zur Implementierung effektiver Gegenmaßnahmen genutzt werden, können. INDART von Contechnet z.B. zum Aufbau und zur Pflege einer „prozessorientierten IT-Notfallplanung“. Die Produkte sind meist zugeschnitten auf bestimmte Kundenmerkmale wie Branche oder Betriebsgröße. Aber auch die nicht-technischen Merkmale sind ausschlaggebend, wenn es darum geht, für welches Produkt man sich entscheidet. Wer STORM kauft, bekommt auch einen Service. Es wird in zwei Vertragslevel angeboten, die sich in Erreichbarkeit und Reaktionszeit des Supportpersonals unterscheiden. Pro Vertragslevel hängt der Preis von der Zahl der Agenten ab, die sich am System anmelden können.

So beschreibt der Hersteller STORM:

STORM powered by OTRS unterstützt die Arbeit von CERTs, SOCs, Cyber Defense Centern und unternehmensinternen IT Security Teams unter Nutzung von Datenbanken und Funktionen für Austausch, Analyse, Bewertung und Speicherung strukturierter Informationen.

Neben ausgefeilten Vorlagen für Security-Prozesse bietet STORM eine hochfrequentierte Plattform zum Erfahrungsaustausch mit der OTRS Cyber Security Community und ein sorgfältig zusammengestelltes Bundle an Funktionen für sicherheitskritische Workflows.

Mehr Informationen finden Sie unter www.otrs.com/de/storm/

OTRS und Thinking Objects

Interessanter für mich war allerdings eine gewisse Parallele zwischen dem Hersteller
OTRS und der Thinking Objects GmbH. Zum einen ist OTRS mit ca. 100 Mitarbeitern ähnlich groß wie die TO. Die Herkunft der Mitarbeiter ist in beiden Firmen sehr divers. So steht im Webauftritt von OTRS: „Mit unseren unterschiedlichen Nationalitäten ist es Zeit, sich intensiv mit dem Thema interkulturelle Kommunikation zu beschäftigen“

Auch die TO ist sehr international besetzt (Mehr als 10 Nationen sind vertreten) und unterzeichnete 2018 die Charta der Vielfalt. Wer diese unterschreibt, implementiert und pflegt eine Organisationskultur, die von gegenseitigem Respekt und Anerkennung jeder und jedes Einzelnen geprägt ist.

Fazit: Die TO nutzt OTRS seit etwa 10 Jahren. STORM nutzen wir aktuell nicht. Wir haben ein Information Security Management System (ISMS) eingeführt, das inzwischen nach ISO 27001 zertifiziert ist. Organisatorischen Maßnahmen und Prozesse, die damit verbunden sind, werden auch in unserem OTRS abgebildet, mit entsprechenden Queues, Zugriffsrechten, Notifizierungen und Statistikreports. Daher würden wir aus einem STORM kaum zusätzlichen Nutzen ziehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *