Verfahren zum Betreiben eines Netzwerks und Computerprogrammprodukt

Die Erfindung betri f ft ein Verfahren zum Betreiben eines Netzwerks mit mindestens einem mindestens eine Netzwerkressource administrierenden Endpunkt sowie ein Computerprogrammprodukt .

Netzwerke in Unternehmen und Fertigungsstätten sind regelmäßig zahlreichen Angri f fen von Dritten ausgesetzt . Somit kommt der Gewährleistung der IT-Sicherheit eine hohe Bedeutung zu .

Unter IT-Sicherheit im Rahmen der vorliegenden Erfindung wird vorteilhaft eine Informationssicherheit verstanden . Alternativ oder zusätzlich und ebenfalls vorteilhaft wird unter IT- Sicherheit eine Funktionssicherheit verstanden .

Es ist daher Aufgabe der Erfindung, ein Verfahren zum Betreiben eines Netzwerks zu schaf fen, welches sicher ausgeführt werden kann und welches eine Option zur Automatisierung aufweist . Ferner ist es Aufgabe der Erfindung, ein Computerprogrammprodukt anzugeben, welches die Aus führung eines solchen Verfahrens unterstützt .

Diese Aufgabe wird mit einem Verfahren mit den in Anspruch 1 angegebenen Merkmalen sowie mit einem Computerprogrammprodukt mit den in Anspruch 14 angegebenen Merkmalen gelöst . Bevorzugte Weiterbildungen der Erfindung sind in den zugehörigen Unteransprüchen, der nachfolgenden Beschreibung und der Zeichnung angegeben .

Das erfindungsgemäße Verfahren ist ein Verfahren zum Betreiben eines Netzwerks mit mindestens einem Endpunkt administrierend mindestens eine Netzwerkressource . Mit anderen Worten, das Verfahren ist ein Verfahren zum Betrieben eines Netzwerks mit mindestens einem mindestens eine Netzwerkres- source administrierenden Endpunkt . Das heißt , der mindestens eine Endpunkt administriert die mindestens eine Netzwerkressource . Vorzugsweise administriert der mindestens eine Endpunkt die mindestens eine Netzwerkressource , indem der Endpunkt mindestens einen für die IT-Sicherheit relevanten Parameter der mindestens einen Netzwerkressource konfiguriert , vorzugsweise eine Software des Endpunkts , insbesondere ein Betriebssystem . Bei dem erfindungsgemäßen Verfahren ist die mindestens eine Netzwerkressource eine solche Netzwerkressource , auf welche nicht allein der mindestens eine diese Netzwerkressource administrierende Endpunkt zugrei fen kann, sondern auf welche ein oder mehrere weitere Endpunkte des Netzwerks zugrei fen können . Das erfindungsgemäße Verfahren weist die folgenden Schritte auf :

Festlegen eines Regelsatzes mit mindestens einer Regel für den zumindest einen Endpunkt , vorzugsweise für ein Administrieren der mindestens einen Netzwerkressource durch den mindestens einen Endpunkt , Beobachten einer Compliance des zumindest einen Endpunkts mit dem Regelsatz , Zuweisen eines Scores abhängig von der Compliance und Bestimmung mindestens einer Maßnahme abhängig von dem Score .

Idealerweise ist das Verfahren gemäß der Erfindung ein compu- ter-implementiertes Verfahren .

Bei dem Verfahren gemäß der Erfindung kann die mindestens eine Netzwerkressource vorteilhaft j eweils ein Teil des mindestens einen diese Netzwerkressource administrierenden Endpunkts sein . Alternativ und ebenfalls bevorzugt liegt die mindestens eine Netzwerkressource j eweils physisch getrennt von dem mindestens einen diese Netzwerkressource administrierenden Endpunkt vor .

In einer besonders bevorzugten Weiterbildung der Erfindung wird, nachdem die Bestimmung der mindestens einen Maßnahme abhängig von dem Score erfolgt ist , die mindestens eine Maß- nähme ausgeführt . Vorzugsweise ist die Maßnahme eine Maßnahme zur Erhöhung der Compliance des mindestens einen Endpunkts mit dem Regelsatz und/oder eine Maßnahme zur Erhöhung der IT- Sicherheit beim Zugri f f von weiteren Endpunkten des Netzwerks auf die Netzwerkressource .

Mittels des erfindungsgemäßen Verfahrens lässt sich das Netzwerk vorteilhaft gemäß IT-Sicherheitsanforderungen betreiben .

Zweckmäßig umfasst der Regelsatz Regeln zur IT-Sicherheit , sodass mittels des erfindungsgemäßen Verfahrens eine Sicherung von Netzwerken, etwa in Unternehmen oder Fertigungsstätten, leicht erfolgen kann .

Vorzugsweise umfasst der Regelsatz mindestens eine Regel zum Administrieren der Berechtigung eines hinsichtlich der IT- Sicherheit sicheren Zugri f fs von weiteren, d . h . die Netzwerkressource nicht administrierenden, Endpunkten des Netzwerks auf die Netzwerkressource .

Vorzugsweise umfasst bei dem erfindungsgemäßen Verfahren die mindestens eine Maßnahme ein Begrenzen von Privilegien des Endpunkts im Netzwerk abhängig von dem Score . Insbesondere ist das Begrenzen der Privilegien ein Begrenzen der Privilegien für das Administrieren der Netzwerkressource . So kann etwa das Administrieren der Netzwerkressource auf eine weniger sicherheitskritische Untermenge von Privilegien beschränkt werden .

Bevorzugt umfasst bei einer Weiterbildung des Verfahrens gemäß der Erfindung die mindestens eine Maßnahme einen Abbruch des Betreibens des Netzwerks . Im extremen Fall , dass ein weiterer Betrieb des Netzwerks nicht verantwortbar wäre , kann ein Abbruch des Betreibens des Netzwerks in Erwägung gezogen werden . Alternativ oder zusätzlich und ebenfalls bevorzugt umfasst in einer Weiterbildung der Erfindung die mindestens eine Maßnahme einen Abbruch des Betreibens der Netzwerkressource oder eine Einschränkung eines Zugri f fs von weiteren, die Netzwerkressource nicht administrierenden, Endpunkten des Netzwerks auf die Netzwerkressource .

Bei dem Verfahren gemäß der Erfindung wird der mindestens eine Endpunkt vorzugsweise mit j e mindestens einer Netzwerkressource und/oder mindestens einer Administrator-Hardware , vorzugsweise ein Client-Rechner und/oder eine Authenti fi zierungs-Hardware , und/oder mindestens einer Hardware- Schnittstelle , vorzugsweise einem User-Account , gebildet . Vorteilhaft kann der Client-Rechner oder die Authenti fi zierungshardware , etwa eine elektronisch lesbare Firmenausweiskarte , an einen Administrator-Konto gekoppelt sein, sodass sich lediglich ein einziger Administrator mit dem Endpunkt verbinden kann .

In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens wird die mindestens eine Netzwerkressource mit einer Hardware , insbesondere einem Server, und/oder mit einer Software , insbesondere einem Betriebssystem und/oder einem Anwendungsprogramm zur Anwendung mittels des Netzwerks , gebildet .

In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens bildet der Endpunkt eine Administratorschnittstelle .

Bevorzugt legt bei dem Verfahren gemäß der Erfindung der Regelsatz die Regelmäßigkeit eines Updates der Software und/oder einer Software auf der Hardware fest .

In einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist oder wird der Score abhängig von einem Zeitraum, über welchen mindestens ein Update versäumt wird, und/oder abhängig von einer Anzahl und/oder einer Sicherheitskritika- lität versäumter Updates gebildet .

In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens umfasst die Maßnahme eine Änderung oder Begrenzung von administrativen Privilegien und/oder eine Änderung der Anbindung des Endpunkts an das Netzwerk, etwa eine Trennung des Endpunkts vom Netzwerk oder eine Änderung von Berechtigungen bei der Anbindung an das Netzwerk, und/oder eine Schulung für einen sich mit dem Endpunkt verbindenden Administrator . Alternativ oder zusätzlich umfasst die Maßnahme eine Änderung oder Erweiterung von administrativen Privilegien .

Zweckmäßig wird im letztgenannten Fall der vorgenannten Weiterbildung der Score in mindestens zwei Kategorien zugewiesen und die Schulung, vorzugsweise mittels Modulen, abhängig von dem Score in den Kategorien, angepasst , vorzugsweise abhängig von der Besetzung der Kategorien und/oder dem absoluten und/oder relativen Gewicht der Kategorien .

Geeigneterweise wird in einer Weiterbildung der Erfindung ein Administrator zum Netzwerk erst nach einer Schulung zugelassen .

Vorzugsweise wird bei dem erfindungsgemäßen Verfahren der Score abhängig von einer, vorzugsweise wiederholten, Schulung und/oder einer, vorzugsweise wiederholten, Überprüfung vergeben oder aufrechterhalten .

Das erfindungsgemäße Computerprogrammprodukt ist zur Anwendung in dem erfindungsgemäßen Verfahren wie zuvor beschrieben ausgebildet . Das Computerprogrammprodukt gemäß der Erfindung ist ausgebildet zur Speicherung eines Regelsatzes mit mindestens einer Regel für den zumindest einen Endpunkt , zur Entgegennahme von Beobachtungsdaten zur Compliance des zumindest einen Endpunkts mit dem Regelsatz sowie zur Zuweisung eines Scores abhängig von der Compliance .

Nachfolgend wird die Erfindung anhand eines in der Zeichnung dargestellten Aus führungsbeispiels näher erläutert . Die einzige Zeichnungs figur 1 zeigt ein Unternehmens-Netzwerk mit Netzwerk-Ressourcen, welche mittels des Unternehmens- Netzwerks administriert werden, schematisch im Querschnitt . Das in Fig . 1 gezeigte Netzwerk 10 ist ein Unternehmens- Netzwerk und weist miteinander verbundene Computer auf . Einige der Computer des Netzwerks 10 bilden verteilte Server 30 für Netzwerk-Ressourcen . Weitere der Computer des Netzwerks 10 sind als Client-Rechner 50 zur Administration der Server 30 realisiert . Sowohl die Server 30 als auch die Client- Rechner 50 bilden Endpunkte des Netzwerks 10 , welche entweder als Server 30 Inhalte oder Dienstleistungen ins Netzwerk 10 einspeisen oder als Client-Rechner 50 für administrative Aufgaben eine Schnittstelle zu einem Administrator bereitstellen . Im dargestellten Aus führungsbeispiel ist das Netzwerk 10 als Cloud-Net zwerk ausgebildet . In diesem Cloud-Net zwerk liegen die Server 30 nicht als separate , voneinander hinsichtlich ihrer j eweiligen Hardware isolierte , Rechner vor, sondern die Server 30 liegen j eweils als logische Server 30 im Sinne einer auf einer Viel zahl von Rechnern des Netzwerks 10 gespeicherten verteilten Datenbank vor . In weiteren, nicht eigens dargestellten Aus führungsbeispielen kann das Netzwerk 10 auch als sonstiges , konventionelles , etwa hierarchisches Netzwerk 10 ausgebildet sein, in welchem die Server 30 als separate , physisch getrennte Hardware-Server vorliegen .

Die Server 30 sind konfiguriert , um eine Proj ekt- Koordinations-Software mittels des Netzwerks 10 zu betreiben . Mittels der Proj ekt-Koordinations-Software können Nutzer Proj ekt-Meilensteine ins System einspeisen und miteinander hinsichtlich ihrer Erreichung abstimmen, sodass ein Nutzer einen raschen Überblick über einen Pro j ektstatus sowie über die Erfüllung seiner Verbindlichkeiten hinsichtlich der Proj ekt- Meilensteine erhält .

Das Netzwerk enthält zusätzlich einen zentralen Rechte- Management-Server 60 , welcher Zugangsrechte zu den Netzwerkressourcen gewährt oder verweigert .

Das Netzwerk 10 weist zudem eine Beobachtungseinheit 70 auf , welche den Sicherheits zustand des Netzwerks 10 beobachtet .

Die Beobachtungseinheit 70 prüft in regelmäßigen Abständen oder kontinuierlich einen Update-Zustand der Betriebssysteme der Server 30 , beispielsweise den Update-Zustand von Linux- Systemen der Server 30 . Dabei vergleicht die Beobachtungseinheit 70 die Aktualität des j eweiligen Betriebssystems mit einer Soll-Aktualität des Betriebssystems , welche etwa einer Empfehlung eines Repository-Maintainers einer Distribution des Linux-Systems entspricht . Wurden beispielsweise aktuelle Patches des Linux-Systems nicht eingespielt , so wird abhängig von dem Zeitraum, über welchen trotz einer möglichen Aktualisierung keine Aktualisierung des Linux-Systems erfolgte , sowie abhängig von der Anzahl und der Sicherheitskritikalität der Patches , welche etwa aus einer Einstufung seitens der Entwickler oder von Repository-Maintainern abgeleitet wird, ein Score berechnet , welcher dem j eweiligen Server 30 zugeordnet wird . Beispielsweise enthält der Score eine Summe aus einer zum oben genannten Zeitraum proportionalen Größe (beispielsweise eine Angabe des Zeitraums in Stunden mit einem Proportionalitäts faktor ) sowie einer Größe , welche ein Maß ( z . B . eine Wertzahl von „5" für „hochkritisch" , eine Wertzahl von „3" für „kritisch" und eine Wertzahl von „1" für „empfohlen" ) für die Sicherheitskritikalität j edes trotz Verfügbarkeit versäumten Patches aufsummiert . Auf diese Weise ist j edem Server 30 ein Score für die Sicherheit des Betriebssystems zugeordnet , welcher umso höher aus fällt , umso mehr oder schwerwiegendere Sicherheitslücken der j eweilige Server 30 aufweist .

Eine gleichartiger Score wird auch der Proj ekt-Koordinations- Software abhängig von für diese verfügbaren Patches oder Updates zugeordnet .

Die Summe des Scores für die Proj ekt-Koordinations-Software sowie des Scores für das Betriebssystem bildet einen Gesamtscore für den Server 30 , welcher dem Server 30 als Zerti fikat zugeordnet wird . Überschreitet der Gesamtscore einen ersten kritischen Schwellwert , so wird dieser Gesamtscore oder eine Information über das Überschreitens dieses ersten Schwellwerts dem Rechte-Management-Server 60 übermittelt , welcher aufgrund des Überschreitens des ersten Schwellwerts eine Maßnahme zur Erhöhung der Sicherheit des Netzwerks 10 einleitet . Die Maßnahme kann etwa einen eingeschränkten Betrieb des Servers 30 in einem Notfallmodus oder - bei einem signi fikanten Überschreiten des Schwellwerts , etwa um einen Faktor von 50 Prozent - ein Abschalten des Servers 30 oder des Netzwerks 10 bedeuten .

Zusätzlich wird ein solcher Gesamtscore nicht allein dem Server 30 zugeordnet . Vielmehr wird ein Gesamtscore auch dem j eweiligen Administrator ( in der Zeichnung nicht expli zit dargestellt ) zugeordnet , welcher für die Aktualisierung des Servers 30 und der Pro ekt-Koordinations-Software verantwortlich ist . Diese Zuordnung erfolgt dabei entweder zu einem Client- Rechner 50 des j eweiligen Administrators oder im Falle eines möglichen Wechsels von Client-Rechnern 50 des j eweiligen Administrators zu einem Administrator-Konto zum privilegierten Zugang des Administrators zum Netzwerk 10 .

Die Zuordnung eines Gesamtscores zum Server 30 sowie die Zurechnung eines Score-Wertes zu dem Administrator-Konto erfolgt im gezeigten Aus führungsbeispiel mittels j eweils eines Score-Kontos , welches dem Server 30 und dem Administrator- Konto eindeutig zugeordnet ist . Die Score-Konten der Server 30 und der Administratoren werden auf dem Rechte-Management- Server 60 bereitgehalten .

Im dargestellten Aus führungsbeispiel erfolgt die Zuordnung zu einem Administrator-Konto , welches im gezeigten Aus führungsbeispiel eindeutig einem konkreten Administrator zugeordnet ist . Dabei werden dem Administrator-Konto lediglich diej enigen Score-Werte zugerechnet , welche auf Software entfallen, die in der Verantwortung des Administrators des Administrator-Kontos steht , d . h . zu welchen der Administrator des Administrator-Kontos tatsächlich Aktualisierungsaufgaben übernimmt .

Die Rechteverwaltung ist in Fig . 2 ski z ziert : Um überhaupt für eine Administrator-Rolle für einen Server 30 des Netzwerks 10 zugelassen zu werden, muss ein Administrator ein Cybersecurity-Training CYTR absolvieren, welches über einen für das Netzwerk 10 verbindlichen Administratorregelsatz von sicherheitsrelevanten Regeln informiert . Die sicherheitsrelevanten Regeln umfassen unter anderem die Erfordernisse einer zeitnahen und möglichst vollständigen Einspielung von Patches . Absolviert der Administrator das Cybersecurity- Training CYTR, so wird dem Administrator ein Administratorzerti fikat ISDL verliehen . Aufgrund des Administratorzer- ti fikats ISDL wird dem Administrator-Konto eine kryptographische Signatur als Administratorsignatur hinzufügt , die ihn als Administrator des Servers 30 berechtigt .

Gleichzeitig muss auch der Server 30 selbst Sicherheitsanforderungen genügen, welche zusammengefasst sind in einer System-Sollkonfiguration SYSOPC, welche eine Aktualität sämtlicher auf dem Server 30 installierter Software bedeutet , hier des Betriebssystems sowie der Proj ekt-Koordinations-Software . Nach einer Prüfung auf eine der System-Sollkonfiguration SYSOPC genügende Konfiguration des Servers 30 wird dem Server 30 eine Serverzulassung ISLP zum Netzwerk 10 zuerkannt . Aufgrund der Serverzulassung ISLP zum Netzwerk 10 wird dem Server 30 eine weitere kryptographische Signatur in Gestalt einer Serversignatur verliehen, welche den Server 30 als zumindest anfänglich der System-Sollkonfiguration SYSOPC genügend ausweist . Mittels der Serversignatur wird der Server 30 zur Einbindung in das Netzwerk 10 zugelassen .

Eine Anmeldung eines Administrators zum Netzwerk 10 zur Administration eines Servers 30 erfolgt im dargestellten Aus führungsbeispiel wie folgt :

Zunächst authenti fi ziert UACREQ sich ein Administrator in an sich bekannter Weise gegenüber dem Netzwerk 10 . Dazu übermittelt er mittels seines Administrator-Kontos eine eindeutige Kennung an das Netzwerk 10 . Der Rechte-Management-Server 60 prüft anhand der der Kennung zugeordneten Administratorsignatur, ob der Administrator über ein Administratorzerti fikat verfügt . I st dies der Fall , so wird anhand der Administratorsignatur ein Administrator-Konto ermittelt und das diesem Administrator-Konto zugeordnete Score-Konto identi fi ziert . Der im Score-Konto buchgehaltene Score-Wert wird auf ein Überschreiten des ersten Schwellwerts geprüft . Liegt der Score- Wert unterhalb des ersten Schwellwerts , so wird die Anmeldung des Administrators zum Netzwerk 10 fortgesetzt . Liegt der Score-Wert oberhalb des ersten Schwellwerts , so wird der Administrator vom Netzwerk 10 abgewiesen .

Im weiteren Verlauf wählt der Administrator einen Server 30 , auf welchem die Proj ekt-Koordinations-Software abläuft und welchen er administriert . Der Server 30 prüft , ob der Administrator zur Administration des Servers 30 zuvor registriert UREGSYS worden ist . Wenn dies nicht der Fall ist , wird der Administrator von dem Server 30 abgelehnt . I st der Adminstra- tor zur Administration des Servers 30 registriert , so wird die Anmeldung des Administrators fortgesetzt .

Abschließend prüft der Rechte-Management-Server 60 anhand der Serversignatur des Servers 30 , ob er aktuell der System- Sollkonfiguration SYSOPC genügt . I st das der Fall , so erhält der Administrator die Erlaubnis OPALL, den Server 30 zu administrieren . Genügt der Server 30 hingegen aktuell nicht der System-Sollkonfiguration SYSOPC, so wird die Serverzulassung ISLP widerrufen .

Im dargestellten Aus führungsbeispiel werden die Serverzulassung ISLP des Servers 30 sowie das Administratorzerti fikat ISDL zur Administrierung des Servers 30 nicht lediglich zur erstmaligen Zulassung der Administratoren und Server 30 zum Netzwerk 10 validiert . Vielmehr wird die Aufrechterhaltung des Administratorzerti fikats ISDL vom Score-Wert des Score- Konto des zum Administrator gehörigen Administrator-Kontos abhängig gemacht und die Serverzulassung ISLP wird vom Score- Wert des Score-Kontos des Servers 30 abhängig gemacht . So prüft die Beobachtungseinheit 70 in regelmäßigen Abständen oder kontinuierlich den Update-Zustand der Betriebssysteme der Server 30 weiter . Überschreitet der Score-Wert des Score- Kontos des zum Administrator gehörigen Administrator-Kontos den ersten Schwellwert , so wird der Administrator durch den Rechte-Management-Server 60 von der weiteren Administrierung des Servers 30 ausgeschlossen . Ferner wird auch der Server 30 von dem Netzwerk 10 getrennt . In weiteren, nicht eigens dargestellten Aus führungsbeispielen wird der Administrator nicht von der weiteren Administrierung des Servers 30 ausgeschlossen, sondern es wird eine entsprechende Nachricht an einen Sicherheitsbeauftragten des Netzwerks 10 übersandt , die auf die entsprechende Überschreitung des ersten Schwellwertes hinweist . Ferner wird der Server 30 nicht vom Netzwerk 10 getrennt , sondern es wird eine Nachricht an den Sicherheitsbeauftragten des Netzwerks 10 übersandt , sodass dieser den Umstand näher prüfen kann .

Überschreitet ein Administrator eines Servers 30 des Netzwerks 10 das ihm zugeordnete Score-Konto , so kann ihm durch den Rechte-Management-Server 60 ein Training auferlegt werden, nach dessen Durchführung ihm das Administratorzerti fikat ISDL wieder zuerkannt wird . Insbesondere kann der Score-Wert in mehreren Dimensionen, etwa j eweils bezogen auf die von ihm konfigurierte Software des Servers 30 , hier etwa zum einen der Pro ekt-Koordinations-Software und eines Betriebssystems des Servers 30 , ermittelt werden . Wird beim Überschreiten des ersten Schwellwertes des Score-Wertes des dem Administrator mittels des Administrator-Kontos zugeordneten Score-Kontos festgestellt , dass die Überschreitung zum größten Teil auf eine mangelhafte Aktualisierung des Betriebssystems des Servers 30 zurückzuführen ist , so kann das Training automatisiert eine höhere Gewichtung von auf das Betriebssystem des Servers 30 bezogenen Inhalten vorsehen . Dazu werden die Score-Werte zweckmäßig in denj enigen Dimensionen, d . h . Kategorien, erfasst , zu welchen modularisiert Trainingsinhalte zur Verfügung stehen . Im dargestellten Aus führungsbeispiel liegen die Trainingsinhalte modularisiert in 5 bis 10 Katego- rien vor, welche etwa dann in ein Training für die Administratoren aufgenommen werden, wenn die Kategorien bei Überschreiten des Score-Wertes mit Einträgen belegt sind . Diej enigen Kategorien, denen kein von Null verschiedener Score- Wert zugeordnet ist , bleiben bei einer Gewichtung des Trainings entweder gänzlich unberücksichtigt oder werden mit einem Standard- Inhalt berücksichtigt , welcher sich von einem Nachschulungsinhalt unterscheidet , welches dann in das Training für den Administrator aufgenommen wird, wenn die Katego- rie mit einem von Null verschiedenen Score-Wert belegt ist .

Im dargestellten Aus führungsbeispiel werden die Module des Trainings automatisiert mittels einer Software des Rechte- Management-Servers 60 zusammengestellt .