docIT-Sicherheit in der Praxis
download 
Denúncia Transcrição
IT-Sicherheit in der Praxis
IT-Sicherheit für die Praxis secunet Security Networks AG Peter Kraaibeek www.secunet.com 3. Februar 2005 6. Oldenburger Forum zum Elektronischen Geschäftsverkehr >> Agenda secunet Bedrohungslage und Schwachstellen Vorgehensweise für angemessene Sicherheit Sicherheitsanforderungen Sicherheitsmaßnahmen >> 2 >> secunet Security Networks AG Gründung: 1996 als Tochter des RWTÜV Hauptsitz: Essen Standorte: 7 Niederlassungen in Deutschland sowie Gesellschaften in Schweiz und Tschechien International: Projekte durch Partner und Großaktionäre Umsatz: 25 - 30 Mio. Euro (erwartet in 2004) Börsennotierung: im Prime Standard der deutschen Börse Großaktionäre: Giesecke & Devrient (>50%), RWTÜV (ca. 30%) >> 3 >> Umfassende Kompetenz Der führende Spezialist für IT-Sicherheit Beratung, Konzeption, Entwicklung, Integration und Service aus einer Hand Über 500 internationale Referenzen: Öffentlicher Sektor >> Großkonzerne >> Mittelstand Umfassende Branchenerfahrung: Banken / Versicherung >> Telekommunikation >> Automotive >> Gesundheitswesen >> Versorger >> Handel >> Öffentliche Verwaltung 220 hoch qualifizierte Mitarbeiter mit umfassender Projekterfahrung Sicherheitspartnerschaft mit der deutschen Bundesregierung >> 4 >> Chancen und Trends der Nutzung neuer Informationstechnologien Business-Enabling Steigerung der Effizienz von Geschäftsprozessen Erschließung neuer Kundengruppen Realisierung von Kostensenkungspotenzialen zu berücksichtigen Abhängigkeit von der Informationstechnik nimmt rapide zu Erwartungen der Anwender an IT-Sicherheit steigen Vertrauen der Kunden ist Voraussetzung für eCommerce Gesetzliche Anforderungen und Regulierungen nehmen zu >> 5 >> Bedrohungslage geringe Angriffskosten bei starken Auswirkungen Angreifer können leicht ihre Spuren verwischen und anonym bleiben Angriffe sind ortsunabhängig Angreifer können unter Pseudonymen auftreten minimale Anforderungen an technisches Know-how durch Werkzeuge Angriffstools sind im Internet allgemein verfügbar >> 6 >> Angriffsmethoden und Werkzeuge Computerviren Würmer Trojanische Pferde Hintertüren Logische Bomben Phishing Social Engineering ..... >> 7 >> >> IT-relevante Firmenstruktur (Beispiel) Vorstand Revision Kunden Datenschutz Filialen InfoSicherheit Zulieferer Entwicklung CAE / CAD AnwendungsEntwicklung Produktion AnwendungsÜbernahme IT Finanzen Personal Betrieb •Server •Mainframe •Netze •Messaging Beratung >> 9 >> IT-relevante Firmenstruktur (Beispiel) Revision Vorstand Kunden Datenschutz Filialen InfoSicherheit Zulieferer Entwicklung Produktion IT Finanzen 1. Sicherheit der firmeneigenen CAE / CAD lokalen, entfernten und mobilen Systeme AnwendungsAnwendungsBetrieb Entwicklung Übernahme •Server •Mainframe •Netze •Messaging Personal Beratung >> 10 >> IT-relevante Firmenstruktur (Beispiel) Vorstand Revision Kunden Datenschutz Filialen InfoSicherheit Zulieferer Entwicklung CAE / CAD Produktion IT Finanzen Personal 2. Sicherheit der Schnittstellen AnwendungsEntwicklung AnwendungsÜbernahme Betrieb •Server •Mainframe •Netze •Messaging Beratung >> 11 >> IT-relevante Firmenstruktur (Beispiel) Vorstand Revision Kunden Datenschutz Filialen InfoSicherheit Zulieferer Entwicklung CAE / CAD AnwendungsEntwicklung Produktion IT Finanzen Personal AnwendungsBetrieb Beratung Übernahme 3. Sicherheit •Server der Applikationen •Mainframe •Netze •Messaging >> 12 >> Prozessorientiertes IT-Sicherheitsmanagement Technisch organisatorischer Prozeß Analyse Konzeption Implementierung Betrieb Vorgaben Personelle Aspekte Motivation Schulung >> 13 >> Prozessorientiertes IT-Sicherheitsmanagement Analyse Konzeption Implementierung Betrieb Vorgaben Vorgaben: • Strategiepapier • Richtlinien • Policies >> 14 >> Security Policies Sicherheitsrichtlinien Ziel: Steuerung der Informationssicherheit im Unternehmen aus Managementsicht Herausgabe durch Top-Level-Management veröffentlichen, flächendeckend kommunizieren Inhalte Begriffsdefinitionen Ziele Sicherheit als „Enabler“ Verantwortlichkeiten Referenzen Fortschreibung >> 15 >> Prozessorientiertes IT-Sicherheitsmanagement Analyse Konzeption Implementierung Betrieb Werte des Unternehmens relevante Geschäftsprozesse Bedrohungsanalyse Schwachstellenanalyse Risikobetrachtung (Angriffshäufigkeit, Schäden) >> 16 >> Mögliche Schwachstellen Anbindung lokaler an öffentliche Netze Entfernte und mobile Systeme Administrationsfehler Anwenderfehler Schwachstellen im Netzkonzept Systeminhärente Schwachstellen Spezifikation Implementierungsfehler Backdoors Konfigurationsfehler Schwachstellen im Organisationskonzept >> Informationen über Schwachstellen News-Groups, Mailing-Listen, Underground-Sites comp.security.announce bugtraq www.securitysearch.net www.rootshell.com us.astalavista.box.sk www.hacktown.de www.gulli.com >> 18 >> Komplexität von IT-Systemen Verwaltung von lokalen, mobilen und globalen Ressourcen Logische Integration bei physischer Verteilung Zuviel Transparenz macht undurchsichtig Synchronisation, Sicherstellung von Konsistenz Sich selbst entwickelnde Systeme, Eigendynamik Herausforderung: Beherrschbarkeit komplexer Systeme >> 19 >> Prozessorientiertes IT-Sicherheitsmanagement Analyse Konzeption Implementierung Betrieb Sicherheitsanforderungen definieren Sicherheitsmaßnahmen festlegen technisch organisatorisch personell >> 20 >> Sicherheitsanforderungen im Elektronischen Geschäftsverkehr Rechtsverbindlichkeit von Geschäftsbeziehungen Unverfälschtheit zahlungswirksamer Transaktionen Vertraulichkeit von personenbezogenen Kundendaten (etwa Passwörter, Kreditkartennummern) Authentizität von Geschäftspartnern Anonymität der beteiligten Personen im Hinblick auf ihr Kaufverhalten etc. >> 21 >> Sicherheitsanforderungen I A B Verfügbarkeit Verläßliches Equipment Erfüllung der Gesetze und Vorschriften BDSG, . . . Vertraulichkeit C A B Integrität von Daten C A Geheimhaltung von Informationen B Nachweis der Unversehrtheit >> Sicherheitsanforderungen II A B Authentizität von Daten/Kommunikation Nachweis der Echtheit/Identität X Y X=Y Pseudonymisierung Originalität Unikatsnachweis Nichtabstreitbarkeit Nachweis von Ereignissen >> Sicherheitsmaßnahmen nach dem PDR-Prinzip Protect Protect Detect Detect React React ALARM >> Präventive Schutzmaßnahmen Rollendefinitionen Zuordnung von Verantwortung Motivation / Schulung der Nutzer Rechtevergabe und Verwaltung sowie Zugriffsschutz Identifikation und Authentisierung (Wissen, Besitz, Eigenschaft) Verschlüsselung, Elektronische Signatur Virtual Private Networks Firewallsysteme Redundante Systeme (HA) Virenschutz Notfallpläne / Krisenmanagement Beweissicherung .... >> 25 >> Detektive Schutzmaßnahmen Systemüberwachung Integritätschecks (etwa Prüfsummen von Systemdateien) Intrusion Detection Systeme Misuse Detection Systeme >> 26 >> ID-Systeme Sicherheitsadministrator Wissensbasis mit Modellen bekannter IT-Sicherheitsverletzungen Überprüfung der AuditDaten auf Übereinstimmung mit Angriffsmodellen Referenzprofile des "normalen", typischen Benutzerverhaltens ID S Überprüfung der AuditDaten auf anomales Benutzerverhalten BDSG Anomalieerkennung Signaturanalyse Auditdaten >> 27 >> Reaktive Maßnahmen Alarmierung Ablauf definierter Prozesse Security Incident Handling Notfallpläne IT-Krisenmanagement / Eskalation Fehlerbehebung Abschalten von Diensten Umschalten auf redundante Systeme Einspielen von Backups Strafrechtliche Verfolgung >> 28 >> Prozessorientiertes IT-Sicherheitsmanagement Analyse Konzeption Implementierung Betrieb Umsetzung und Betrieb gemäß Policies personelle Aspekte berücksichtigen Üben der Prozesse Ständige Kontrolle auf Veränderungen / Iteration (Bedrohungslage, Schwachstellen, Maßnahmen, Überprüfung) >> 29 >> Wichtige organisatorische und personelle Regeln IT-Sicherheit ist Chefsache Formulieren Sie eine Sicherheitsrichtlinie Benennen Sie Verantwortlichkeiten und Personen (inkl. Vertreterregelungen) Formulieren Sie die Sicherheitsanforderungen Stellen Sie den status quo der IT-Sicherheit in Ihrem Unternehmen fest und erkennen Sie daraus den Handlungsbedarf Erstellen Sie relevante IT-Sicherheitskonzepte und Notfallpläne Schulen Sie Ihre Mitarbeiter und ermutigen Sie sie, die Regeln einzuhalten und die getroffenen Sicherheitsmaßnahmen auch bestimmungsgemäß zu nutzen Nutzen Sie verfügbare Informationen über Schwachstellen Sorgen Sie für bedarfsgerechte Systemkonfigurationen Kontrollieren Sie die IT-Systeme und die getroffenen Maßnahmen >> 30 >> Einige Schutzmaßnahmen Speichern Sie sensible Daten nur verschlüsselt etwa Passwörter, Kreditkartennummern Übermitteln Sie sensible Daten nur verschlüsselt Prüfen Sie, mit wem Sie kommunizieren - gefälschte E-Mails - Social Engineering Misstrauen Sie E-Mails und Attachments sowie Programmen unbekannter Herkunft - Viren - Trojaner - Dialer Geben Sie nur wirklich benötigte Dienste frei - Deaktivieren unnötiger Protokolle - Deinstallieren überflüssiger Server-Software >> 31 >> Einige Schutzmaßnahmen Setzen Sie Sicherheitssoftware / Hardware ein - Virenscanner - Regelmäßiges „Updaten“ der Virenscanner - Router, (Personal) Firewall Erstellen Sie regelmäßig Sicherheitskopien - DVD/CD-Brenner - Professioneller Einsatz: Streamer-Laufwerk Verwenden Sie neueste Softwareversionen Updates schließen oft bekannte Sicherheitslücken Aktivieren Sie die Sicherheitsoptionen Ihres Browsers Deaktivieren Sie die automatische Ausführung von Programmen >> 32 >> Fazit Vorgaben sind erforderlich Nur strukturiertes Vorgehen ermöglicht Wirtschaftlichkeit der Maßnahmen Technische, organisatorische und personelle Maßnahmen sind zu treffen Sicherheitsmechanismen existieren Angemessene Sicherheit von lokalen und entfernten Systemen ist umsetzbar Angemessene Sicherung von Schnittstellen ist erreichbar Angemessene Sicherheit der Anwendungen ist realisierbar Berücksichtigung aller Randbedingungen IT-Sicherheit ist eine ständige Baustelle IT-Sicherheit für die Praxis secunet Security Networks AG Peter Kraaibeek www.secunet.com 3. Februar 2005 6. Oldenburger Forum zum Elektronischen Geschäftsverkehr
