IT-Sicherheit für „Das Beste am Norden“

NDR und AMPEG waren bereits langjährig in Kontakt, wie Agnes Graf, Mitgründerin und Geschäftsführerin des Unternehmens erzählt: „Der Wille, mit uns zusammenzuarbeiten, war von Anfang an da. Anforderungen und Produkt passten im Laufe der Zeit immer besser zusammen, sodass im Jahr 2020 dann die endgültige Entscheidung für die Implementierung des Security Lighthouse getroffen wurde.“

Aufschlussreich ist ein Blick auf die Ausgangsposition: Der NDR betreibt sehr viele Systeme, die man sich datenmäßig als Inseln vorstellen kann. Das beginnt beim Domain-Server, der die Authentifizierungsinformationen annimmt und beantwortet. Die Antiviruslösung ist ganz woanders verortet, ebenso die Systeme zum Patchen. Um den Stand eines Patches zu erfahren, mussten immer unterschiedliche Personen kontaktiert werden, wie der NDR sagt. Man bekam dadurch eine Sicht, die aber auch wieder interpretiert werden musste. Sind innerhalb einer solchen Insel beispielsweise hundert Rechner angeschlossen, brauchte es vormals Wochen, um ihren Sicherheitsstand exakt zu benennen. Für den NDR lag die Lösung auch nicht darin, einem Verantwortlichen den Durchgriff auf den Verwaltungsserver zu gestatten, da mit dieser Erlaubnis etwas zu tun ein neues Sicherheitsrisiko verbunden ist. Hinzu kommt, dass die Anforderungen an die IT-Sicherheit kontinuierlich steigen. Und je mehr Systeme im Spiel sind, desto höher ist das Informationsbedürfnis. Vor diesem Hintergrund hat sich der NDR auf die Suche nach einem zentralen System gemacht, das lediglich Daten abgreift und korreliert. Mit dem AMPEG Security Lighthouse wurde diese Lösung gefunden.

Rund 9000 Systeme angebunden

Das Projekt startete 2020 mit der Einführung der Basics des Security Lighthouse. „Zu diesem Grundpaket gehören das Active Directory, der Virenschutz und das Patch-Management“, erklärt Michael Hänsel, Projektleiter bei AMPEG. „Das sind beim NDR aktuell die drei Hauptquellen, aus denen wir unser Security Lighthouse mit Daten befüllen. Ziel ist es, die Installation weiter auszubauen, mit weiteren Anbindungen z.B. für die Netzwerkgeräte und das Software Inventory.“ Das Proof of Concept (PoC) fand von April bis Juni 2020 statt und bestätigte die Funktionalität des Systems. Über das Security Lighthouse kann der NDR heute für mehr als 9000 Systeme - Server, Rechner und andere Sondergeräte, die dem Personal in den in- und ausländischen Büros zugeordnet sind, den aktuellen Sicherheitsstatus kontinuierlich beobachten.

Auch Nichtereignisse werden angezeigt

Dabei schälen sich drei Kernvorteile heraus. Da ist erstens das Korrelieren der Daten aus verschiedenen Quellen. Man kann alles filtern und die sicherheitsrelevanten Informationen in der übersichtlichen und einfach zu bedienenden Oberfläche zusammentragen. Zweitens kann man in dieser Oberfläche und mit diesem Zugriff nichts „kaputt“ machen. Man kann das Security Lighthouse den Mitarbeitenden überlassen, ohne erhöhte Rechte vergeben zu müssen. Jeder kann in der Oberfläche sehen, was auf seinen Rechnern passiert und was er tun muss, z.B. patchen oder rebooten. Drittens unterstützt Security Lighthouse das Anzeigen von Nichtereignissen. Es werden auch Systeme gefunden, die sich aus bestimmten Gründen nicht mehr melden, z.B. ein defekter Rechner, der sich keine Pattern mehr zieht oder bei Updates Probleme hat. Da der Sender insgesamt rund 9000 Systeme betreut, würde man singuläre Ausfälle und Sicherheitslücken dieser Art nicht bemerken, wie der NDR sagt. Das Produkt hingegen ist dafür ausgelegt und bietet komplette Transparenz. Ein Beispiel: Ein Rechner meldet sich zwar an der Domain an, zieht sich aber weder Pattern noch Updates. Der gilt dann im AMPEG System als not covered und erscheint auf dem Dashboard rot. Das fällt jetzt sofort auf, während es vorher für den NDR ein erhebliches Problem darstellte, solche Lücken in den Listen zu finden.

Problemlose Implementierung

Die Einführung von Security Lighthouse gestaltete sich auch mit Blick auf den Aufwand problemlos. Security Lighthouse ist ein unkompliziertes System, das nicht viel Ressourcen und Aufwand kostet und sich beim NDR leicht bereitstellen ließ. Der Wartungsaufwand ist gering. Für das Personal des NDR ist es außerdem von Vorteil, dass innerhalb von Security Lighthouse keine eigene Benutzerverwaltung notwendig ist. Man berechtigt einfach User oder Gruppen aus der Domäne. Ein Kennwort muss dafür auch nicht vergeben werden. Als zentraler Verwalter dieser Systeme kann man sehr freigiebig mit diesem Lese-Recht sein, weil die Mitarbeitenden eben keine Macht auf die Systeme ausüben. Nicht mehr Zugriffsrechte als unbedingt nötig. Security Lighthouse entspricht diesem Grundsatz.

Der Projektstart fiel mit dem Beginn der Corona-Pandemie zusammen. Persönliche Begegnungen zwischen den IT-Spezialisten des NDR und von AMPEG konnten aufgrund der Auflagen zum Infektionsschutz nicht stattfinden. Trotz anfänglicher Skepsis entschied man sich deshalb, das Projekt im Remote-Modus aufzusetzen. Dass dieses ungewohnte Vorgehen von Anfang an gut funktioniert hat, unterstreicht für Michael Hänsel die Unkompliziertheit des Produkts.

Was ist für die Zukunft geplant? „Aktuell arbeitet der NDR mit den drei Basis Kollektoren des Security Lighthouse, wie schon erwähnt. Um die Auswertungsmöglichkeiten im Lighthouse bedarfsgerecht zu erhöhen, stehen sogenannte Company Categories zur Verfügung. Eine davon haben wir inzwischen aufgelegt. Hierdurch wurde für senderelevante Systeme eine eigene 'Sicht' geschaffen.“ Unter senderelevanten Systemen versteht man beim NDR Systeme, die bestimmte Elemente zu einer Sendung beitragen, z.B. das Einblenden von Spruchbändern unter den Moderatoren oder von Grafiken. Damit diese senderelevanten Systeme reibungslos funktionieren, darf es keine Reboots während der Sendungen geben. Durch die flexible Einrichtung eines zusätzlichen Dashboards nur für eine dedizierte Nutzergruppe konnte eine „Spezialsicht“ realisiert werden, die den individuellen Anforderungen dieser Systeme gerecht wird.

Neben zusätzlichen Company Categories und einem Software Inventory sind für den NDR auch weitere Anbindungen aus dem Security Lighthouse „Werkzeugkasten“ denkbar, z.B. Network Devices oder das Mobile-Device-Management. Damit ließen sich weitere Bereiche zentral im Security Lighthouse darstellen. Darüber hinaus würden mehr Personenkreise einbezogen werden, und das Security Lighthouse würde eine noch größere Verbreitung beim NDR bekommen.