IT-Sicherheit im Datenschutz

Transkript

1 IT-Sicherheit im Datenschutz Systematischer Schutz von Unternehmenswerten und Sicherstellung der Wirksamkeit technischer Datenschutzmaßnahmen Hamburg, 11. September 2012 Dr. Ralf Kollmann

2 Agenda Begriffliche Abgrenzung von Datenschutz und IT-Sicherheit Schutzmaßnahmen gemäß 9 BDSG im Überblick Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests 2

3 Begriffliche Abgrenzung von Datenschutz und IT-Sicherheit (1) Was ist Datenschutz? Datenschutz dient dazu, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Datenschutz dient dem Schutz persönlicher Daten vor Missbrauch und Verlust und der Gewährleistung der informationellen Selbstbestimmung. Was ist IT-Sicherheit? IT-Sicherheit ist die Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu gewährleisten. Was ist Informationssicherheit? Als Informationssicherheit bezeichnet man Maßnahmen und Eigenschaften von informationsverarbeitenden und -lagernden Systemen, die die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz der Informationen vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. 3

4 Begriffliche Abgrenzung von Datenschutz und IT-Sicherheit (2) Wie hängt alles zusammen? Um die Schutzziele der Informationssicherheit zu erreichen, werden geeignete Maßnahmen der IT-Sicherheit eingerichtet. Schutzziele der Informationssicherheit sind bspw. Einhaltung des Datenschutzes Schutz von Geschäftsgeheimnissen 4

5 Schutzmaßnahmen gemäß 9 BDSG im Überblick (1) Im Bundesdatenschutzgesetz werden die sog. technischen und organisatorischen Schutzmaßnahmen in 9 und der Anlage zu 9 Satz 1 BDSG beschrieben. Die demnach zu veranlassenden Maßnahmen müssen geeignet sein, "um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten." Maßstab für die Erforderlichkeit ist die Angemessenheit des Verhältnisses von Aufwand und Schutzzweck. 5

6 Schutzmaßnahmen gemäß 9 BDSG im Überblick (2) 1. Zutrittskontrolle Ziele: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren Beispiele: Abgeschlossene Serverräume, wirksame Schlüsselregelungen 2. Zugangskontrolle Ziele: Unbefugten die Nutzung der Datenverarbeitungssysteme verwehren Beispiele: Wirksame Passwortregelungen 3. Zugriffskontrolle Ziele: Befugten nur die Nutzung der für sie freigegebenen pb. Daten gewähren Unbefugtes Lesen, Kopieren, Ändern und Löschen von Daten verhindern Beispiele: Berechtigungseinstellungen 4. Weitergabekontrolle Ziele: Unbefugtes Lesen, Kopieren, Ändern und Löschen von personenbezogenen Daten während elektronischer Übertragung, Transport oder Speicherung verhindern Beispiele: Verwendung von Verschlüsselungsverfahren 6

7 Schutzmaßnahmen gemäß 9 BDSG im Überblick (3) 5. Eingabekontrolle Ziele: Die Erfassung, Änderung und Löschung von personenbezogenen Daten sowie deren Urheber nachvollziehbar machen Beispiele: Systemseitige Protokollierung der Datenverarbeitung 6. Auftragskontrolle Ziele: Bei Datenverarbeitung im Auftrag die Weisungsbindung des Auftragnehmers sicherstellen Beispiele: Vertragliche Regelung, Prüfung durch den Auftraggeber 7. Verfügbarkeitskontrolle Ziele: Personenbezogene Daten vor Zerstörung oder Verlust schützen Beispiele: Datensicherungsverfahren einrichten, Wiedereinspielungstests durchführen 8. Trennungskontrolle Ziele: Die getrennte Verarbeitung zu unterschiedlichen Zwecken erhobener Daten sicherstellen Beispiele: Mandantentrennung, System-Customizing 7

8 Schutzmaßnahmen gemäß 9 BDSG im Überblick (4) Sind die Maßnahmen nach 9 BDSG zeitgemäß? Kritische Stimmen zum 9 BDSG Grundsätzlich hinreichend abstrakt formuliert Fehlende Anpassung an technischen Wandel Umstellung weg von Maßnahmen, hin zu operationellen Schutzzielen angedacht Klassische Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Revisionsfähigkeit Beispiele für neue Schutzziele: Intervenierbarkeit, Nicht-Verkettbarkeit 8

9 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (1) Überblick Penetrationstests Ein Penetrationstest dient der Prüfung der Sicherheit der Systembestandteile und Anwendungen eines Rechnernetzes oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisiert in das System einzudringen. Angriffsverfahren und Schutzmaßnahmen für die IT-Infrastruktur unterliegen einer konstanten Weiterentwicklung und Wandlung. Dies macht eine kontinuierliche Prüfung der Wirksamkeit getroffener Schutzmaßnahmen erforderlich. Die Komplexität der unternehmensinternen IT-Systeme sowie der getroffenen Sicherheitsvorkehrungen ist oft zu groß, um eine Bewertung der Wirksamkeit allein anhand einer abstrakten Betrachtung zu erlauben. Die Aufdeckung von Konfigurationsfehlern kann mittels Penetrationstests erleichtert werden. Oftmals vernachlässigen Unternehmen die Absicherung nach innen. Die Aufdeckung solcher Sicherheitslücken kann mittels Penetrationstests unterstützt werden. 9

10 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (2) Bei einem Angriff von außen stehen für einen Angreifer bspw. folgende Ziele im Mittelpunkt: Überwindung der Sicherheitsbarrieren des Unternehmens (bspw. Firewall) Mitlesen bzw. Entwenden von Informationen bzw. Daten (bspw. durch Trojaner) Störung des IT-Betriebs (bspw. durch Viren, Würmer) Speicherung oder Verbreitung von illegalen oder imageschädigenden Inhalten Bei einem Angriff von innen entfällt die Überwindung externer Sicherheitsbarrieren. Die übrigen Ziele werden hier erweitert, bspw. um: Ausnutzung von konfigurationsbedingten Sicherheitslücken (bspw. durch gepachte Netzzugänge) Verwendung von Methoden des Social Engineerings zur Erlangung vertraulicher Informationen Erlangung von Administrationsrechten und Zugriff auf vertrauliche Informationen, Verschleierung unberechtigter Zugriffe Beabsichtigte oder unbeabsichtigte Installation unzulässiger Software 10

11 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (3) Nutzen von Penetrationstests Beim Penetrationstest wird durch die kontrollierte und realitätsnahe Simulation eines Angriffs folgende Zielsetzung verfolgt: Identifikation von Schwachstellen und Sicherheitslücken, um geeignete Gegenmaßnahmen einzuleiten Erhöhung der Sicherheit auf technischer und organisatorischer Ebene Know-how-Transfer und Sensibilisierung Schutz der unternehmenseigenen Firmenwerte (bspw. Kundendaten) und dadurch Vertrauensgewinn seitens der Kunden Sicherstellung der Einhaltung gesetzlicher Vorschriften Erfüllung der Sorgfaltspflicht der Geschäftsleitung Bestätigung (und ggf. Bescheinigung) der Sicherheit durch externe Dritte 11

12 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (4) Vorbereitung von Penetrationstests Ein Angreifer benötigt für einen effizienten, möglichst unentdeckten Angriff zunächst Informationen zu Art und Aufbau des Rechnernetzes sowie zu den darin betriebenen Komponenten und Konfigurationen. White Box und Black Box Tests White Box: Die für den Angriff relevanten Informationen liegen bereits vor, bspw. aufgrund interner Kenntnisse des Unternehmens oder entsprechender Vereinbarung beim Penetrationstest. Black Box: Die für den Angriff relevanten Informationen müssen zunächst beschafft werden. Dies setzt eine Vorbereitungsphase voraus, bspw. unter Verwendung von Social Engineering oder ebenfalls mittels technischer Angriffe. 12

13 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (5) Umsetzung von Penetrationstests Verwendung spezieller Software (Portscanner, Sniffer) für Angriffe auf stationäre Rechnernetze mobile Rechnernetze (WLAN, Bluetooth), bspw. zum Testen von Hotspots und mobilen Firmengeräten Analyse und Attackierung der Firewall und DMZ (bspw. durch CGI-basierte Web- Angriffe und IP-Spoofing) Einsatz von Port- und Systemscannern zur Aufdeckung von sicherheitskritischen Zugriffsmöglichkeiten Manuelle und maschinelle Tests, mit zum Teil frei verfügbaren Tools Einsatz von Sniffern im internen Netzwerk zur Sammlung von Daten und Verbindungsinformationen Überprüfung sicherheitsrelevanter Systemeinstellungen bei Firewall und Antivirensoftware 13

14 Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests (6) Vorsichtsmaßnahmen Einige der in einem Penetrationstest angewandten Methoden können nach deutschem Recht strafbar sein, bspw. das Erspähen von Daten. Um etwaige Schadensrisiken zu minimieren, sollten im Vorfeld eines Penetrationstests sorgfältige Vorbereitungen getroffen werden, bspw.: Klärung des rechtlichen Rahmens Sicherstellung adäquater Datensicherungen und Wiederherstellungsverfahren Organisatorische Vorbereitung und Abstimmung im Unternehmen, bspw. durch Einbeziehung von Betriebsrat und Datenschutzbeauftragtem 14

15 Zusammenfassung Begriffliche Abgrenzung von Datenschutz und IT-Sicherheit Schutzmaßnahmen gemäß 9 BDSG im Überblick Prüfung der IT-Sicherheit von Unternehmen mit Penetrationstests 15

16 Ihre Fragen FIDES IT Consultants GmbH Dr. Ralf Kollmann Contrescarpe Bremen Tel Fax Niederlassung Hamburg Am Kaiserkai Hamburg Tel Fax