Funktionen

Print[PRINT]
.  Home  .  Publikationen  .  Diplom/Master  .  stei15

Steinke, M. (2015):

Schwachstellenmanagement in Hochschulnetzen am Beispiel des Münchner Wissenschaftsnetzes


Der beispiellose Umfang an in Hochschulnetzen gehaltenen und kommunizierten Daten macht eine gleichartig erschöpfende Ergreifung von Maßnahmen zum Erhalt der Informationssicherheit unbedingt notwendig. Hochschulrechenzentren als Betreiber von Hochschulnetzen setzen dabei üblicherweise auf eine Vielzahl technischer Lösungen wie Intrusion Detection Systeme, Intrusion Prevention Systeme oder Firewalls und übersehen den eigentlichen Aspekt von Angriffen, der diese erst möglich macht - nämlich Schwachstellen in Software und deren Konfiguration.

Mit potenziell mehreren zehntausend aktiven Nutzern und einer von zentraler Stelle aus unüberblickbaren Anzahl an im Netz angebotenen Diensten und betriebenen Geräten, steht die Planung und Realisierung eines geregelten Umgangs mit Schwachstellen vor enormen Herausforderungen, die weit über den Einsatz von auf dem Markt erhältlichen Schwachstellen-Scannern hinausgehen. Insbesondere in der Umgebung eines Hochschulnetzes gibt es keine konkreten Anforderungen und Überlegungen bezüglich des Inhalts eines Schwachstellenmanagements - Beschreibungen aus vorhandenen, einsehbaren Konzepten vermitteln diesbezüglich nur einen stark abstrahierten Eindruck.

Der Hauptteil der Arbeit beschreibt eine konkrete Ausarbeitung eines Konzepts eines Schwachstellenmanagements in Hochschulnetzen, das gleichzeitig ausreichend allgemein beschrieben ist, um in einer beliebigen Hochschulumgebung anwendbar zu sein. Die Grundlage des Konzeptinhalts bilden Charakteristika und Herausforderungen in der Hochschulumgebung, deren Zusammenstellung ebenso Teil dieser Arbeit ist. Dabei werden durchgehend die Aktivitäten der Identifikation, Klassifikation, Beseitigung und Abschwächung sowie der Prävention von Schwachstellen betrachtet. Das Konzept wird zudem mit Anforderungen abgeglichen, die auf Basis eines auf dem Münchner Wissenschaftsnetz basierenden Szenarios sowie den diesbezüglichen Erfahrungen am Leibniz-Rechenzentrum an ein Schwachstellenmanagement festgelegt werden. Auch werden bereits bestehende Konzepte und Lösungen zum Schwachstellenmanagement berücksichtigt, welche ebenfalls durch Abgleich der Erfüllung der Anforderungen auf ihre Eignung zur Umsetzung in Hochschulnetzen hin überprüft werden.

Die Arbeit umfasst außerdem die Beschreibung einer Implementierung der im Konzept beschriebenen technischen Komponenten des Schwachstellenmanagements sowie veranschaulichend, verschiedene Fallbeispiele im Rahmen eines exemplarischen Durchlaufs durch das Konzept.