Einführung. Erreichen und Aufrechterhaltung eines angemessenen IT-Sicherheitsniveaus. IT-Sicherheitsmanagement ist Planungs- und Lenkungsaufgabe

Transkript

1 Einführung Technik allein kann nicht alle Sicherheitsprobleme lösen Grundprinzipien des s Erreichen und Aufrechterhaltung eines angemessenen IT-Sicherheitsniveaus Muß alle Beteiligten mit einschließen ist Planungs- und Lenkungsaufgabe

2 Einführung Dimensionen des s: Technologie, z.b. Kryptographische Verfahren Schlüsselverteilung Zugriffskontrolle Prozesse, z.b. Festlegung von Verantwortlichkeiten Etablierung des s Aufrechterhaltung im laufenden Betrieb Menschen, z.b. Schulung und Qualifikation Sensibilisierung

3 Einführung Ein system (engl. Information Security Management System (ISMS)) ist eine Sammlung von Vorgehensweisen und Vorschriften, um einen IT-Sicherheitsprozess zu etablieren und im laufenden Betrieb aufrechtzuerhalten. ist eine Querschnittsaufgabe Häufig kommt es zu Überlappungen mit anderen Bereichen einer Institution Muss daher eng an die Hausleitung gekoppelt und von dieser getragen werden

4 Einführung Umzusetzenden Schutzmaßnahmen hängen ab von konkreter Einsatzumgebung Schutzbedarf der zu verarbeitenden Daten Verschiedene standardisierte Vorgehensmodelle zu Umsetzung ISO Reihe IT-Grundschutz des BSI (lernen wir hier kennen) Beschreiben ein Vorgehen zur Umsetzung eines IT-Sicherheitskonzepts

5 IT-Sicherheitskonzept Zunächst wird in der IT-Strukturanalyse alle Bestandteile des IT-Verbund der Institution beschrieben. Die Schutzbedarfsanalyse ermittelt an Hand von möglichen Schadensszenarien den Schutzbedarf der Daten, IT-Systeme und Räumlichkeiten. In der Gefährdungsanalyse werden mögliche Gefährdungen, die Schäden verursachen können, ermittelt. Die Risikoanalyse bewertet die Gefährdungen an Hand der Eintrittswahrscheinlichkeit und den möglichen Schäden (ermittelt in der Schutzbedarfsanalyse). An Hand der Risikoanalyse werden nun Schutzmaßnahmen für jede Gefährdung ausgewählt. In einer (extern oder intern) durchgeführten Evaluierung wird überprüft, ob die ausgewählten Schutzmaßnahmen wirksam und ausreichend sind, um den IT-Verbund in seiner Gesamtheit zu schützen.

6 Initiierung des IT-Sicherheitsprozesses - Erstellung einer Sicherheitsleitlinie - Einrichtung des s (Aufbau einer IT-Sicherheitsorganisation, Bereitstellung von Ressourcen, Einbindung aller Mitarbeiter) Erstellung eines IT-Sicherheitskonzepts IT-Strukturanalyse, Schutzbedarfsfeststellung, Gefährdungsanalyse, Risikoanalyse, Auswahl von Schutzmaßnahmen, Validierung und Evaluation Umsetzung der Schutzmaßnahmen technische Maßnahmen, organisatorische Maßnahmen, personelle Maßnahme, infrastrukturelle Maßnahmen Aufrechterhaltung im laufenden Betrieb strategische Ebene (Leitungsaufgabe) taktische Ebene operative Ebene

7 Sicherheitskonzept nach IT-Grundschutz IT-Strukturanalyse - Erfassung der Räumlichkeiten, Netze, IT-Systeme und IT-Anwendungen - Gruppenbildung Schutzbedarfsfeststellung normal hoch, sehr hoch IT-Grundschutzanalyse Gefährdungsanalyse - Modellierung - Gefährdungsübersicht - Auswahl von Maßnahmen - zusätzliche Gefährdugen - Basis-Sicherheitscheck Realisierungsplanung - Konsolidierung der Maßnahmen - Umsetzungsplan Risikoanalyse - Gefährdungsbewertung Maßnahmen - Auswahl von Maßnahmen - Restrisikoanalyse

8 IT-Strukturanalyse Darstellung aller Bestandteile des IT-Verbundes und ihrer Beziehungen untereinander Geschäftsprozesse (z.b. Personalverwaltung, Entgegennahme von Bestellungen), Daten/Informationen (z.b. Personaldaten, Verträge, aber auch technische Informationen wie Konfigurationsdateien), Anwendungen (z.b. Betriebssysteme, Office-, -, Backup-Programme), IT-Systeme (z.b. Computer, Server, Router, USB-Sticks, Smartphones), Kommunikationsnetze (z.b. Intranet, Internet), Räumlichkeiten (z.b. Büros, Standorte).

9 IT-Strukturanalyse Erhebung muss strukturiert erfolgen, z.b. Ermittlung der Geschäftsprozessen Erhebung der hier verarbeiteten Daten Mit welchen Anwendungen werden die Daten verarbeitet Auf welchen IT-Komponenten laufen die Anwendungen In welchen Räumlichkeiten sind die IT-Komponenten vorhanden

10 IT-Strukturanalyse Reduktion der Komplexität: Zusammenfassung ähnlicher Komponenten, wenn sie vom gleichen Typ sind, ähnlich konfiguriert sind, ähnlich in das Netz eingebunden sind, ähnlichen Rahmenbedingungen unterliegen, ähnliche Anwendungen bedienen. Beispiel: Arbeitsplatzrechner von Mitarbeitern, die ähnliche Aufgaben erledigen

11 Schadensszenarien Stärke der eingesetzten Schutzmaßnahmen hängt ab vom Schutzbedarf der Geschäftsprozesse, Informationen, IT-Systeme, Kommunikationsnetze, Räumlichkeiten hinsichtlich der Schutzziele Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit, Verfügbarkeit

12 Schadensszenarien Typische Schadensszenarien Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Innen- oder Außenwirkung Finanzielle Auswirkungen

13 Schadensszenarien Verstoß gegen Gesetze/Vorschriften/Verträge: Die Schwere des Schadens ist abhängig von den rechtlichen Konsequenzen, die sich aus dem Nichterreichen der oben aufgeführten Ziele ergeben können. Beispiele für in Deutschland relevante Gesetze, Vorschriften und Verträge sind: Gesetze: Grundgesetz, Bürgerliches Gesetzbuch, Bundesdatenschutzgesetz und Datenschutzgesetze der Länder, Informations- und Kommunikationsdienstgesetz, Gesetz zur Kontrolle und Transparenz im Unternehmen Vorschriften: Verschlusssachenanweisung. Verwaltungsvorschriften, Verordnungen und Diesntvorschriften Verträge zur Wahrung von Betriebsgeeihmnissen, Dienstleistungsverträge im Bereich Datenverarbeitung

14 Schadensszenarien Beeinträchtigung des informationellen Selbstbestimmungsrechts:, z.b. Unzulässige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung, unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der Übermittlung von personen- bezogenen Daten, unbefugte Weitergabe personenbezogener Daten, Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der Erhebung zulässigen Zweck, Verfälschung von personenbezogenen Daten in IT-Systemen oder bei der Übertragung

15 Schadensszenarien Beeinträchtigung der persönlichen Unversehrtheit: Fehlfunktionen von IT-Systemem können unmittelbar zu gesundheitlichen Schäden (Verletzungen, Invalidität oder Tod von Personen) führen. Beispiele hierfür sind medizinische Überwachungsrechner, medizinische Diagnosesysteme, Flugkontrollrechner, Verkehrsleitsysteme

16 Schadensszenarien Beeinträchtigung der Aufgabenerfüllung: Der Verlust der Ziele Verfügbarkeit oder Integrität von Daten kann die Aufgabenerfüllung in einer Institution erheblich beeinträchtigen. Beispiele hierfür sind Fristversäumnisse durch verzögerte Bearbeitung von Verwaltungsvorgängen, verspätete Lieferung aufgrund verzögerter Bearbeitung von Bestellungen, fehlerhafte Produktion aufgrund falscher Steuerungsdaten, unzureichende Qualitätssicherung durch Ausfall eines Testsystems

17 Schadensszenarien Negative Innen- oder Außenwirkung: Durch den Verlust einer der Ziele Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung können verschiedenartige negative Innen- oder Außenwirkungen entstehen. Beispiele hierfür sind Ansehensverlust einer Institution, Vertrauensverlust gegenüber einer Institution, Demoralisierung der Mitarbeiter, Beeinträchtigung der wirtschaftlichen Beziehungen zusammenarbeitender Institutionen, verlorenes Vertrauen in die Arbeitsqualität einer Institution, Einbuße der Konkurrenzfähigkeit

18 Schadensszenarien Finanzielle Auswirkungen: Finanzielle Schäden können durch den Verlust der Vertraulichkeit schutzbedürftiger Daten, die Veränderung von Daten oder den Ausfall von IT-Anwendungen entstehen. Beispiele hierfür sind unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen, Manipulation von finanzwirksamen Daten in einem Abrechnungssystem, Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste, Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen, Ausfall eines Buchungssystems einer Reisegesellschaft, Ausfall eines E-Commerce-Servers, Zusammenbruch des Zahlungsverkehrs einer Bank, Diebstahl oder Zerstörung von Hardware

19 Schadensszenarien Üblich ist die Einteilung in die folgenden drei Kategorien. mittel Die Schadensauswirkungen sind begrenzt und überschaubar hoch Die Schadensauswirkungen können beträchtlich sein sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Tabelle: Schutzbedarfskategorien Berücksichtigung der individuellen Gegebenheiten einer Institution: Ein Verlust von Euro ist für einen großen Konzern nicht bedrohlich, kann bei ein kleines Unternehmen aber zur Insolvenz führen

20 Schutzbedarfsanalyse Schutzbedarfsanalyse gliedert sich in mehrere Schritte. Zunächst wird der Schutzbedarf der Informationen bestimmt. Der Schutzbedarf der IT-Systeme und Kommunikationsnetze richtet sich dann im Wesentlichen nach dem Schutzbedarf der in diesen Systemen zu verarbeitenden Informationen. Ähnlich wird der Schutzbedarf der Räume, in denen die IT-Systeme untergebracht sind, bestimmt.

21 Schutzbedarfsanalyse Ergebnis ist eine Auflistung der Schutzbedarfer aller in der IT-Strukturanalyse aufgeführten Teile hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

22 Modellierung Idee des IT-Grundschutz: Beschreibung der Bestandteile (Prozesse, Anwendungen, IT-Systeme, Kommunikationsnetze, Räumlichkeiten) einer Institution als Bausteine nicht jeder Rechner wird einzelnt betrachtet, sondern ähnliche Rechner mit ähnlichen Aufgaben zusammengefasst (Reduktion der Komplexität) Zu jedem Baustein finden sich in den IT-Grundschutzkatalogen Gefährdungen und entsprechende Maßnahmen gegen diese Gefährdungen

23 Modellierung Ziel der Modellierung: Beschreibung der Komponenten des in der Strukturanalyse bestimmten IT-Verbunds als Bausteine Lassen sich typischerweise den folgenden fünf Schichten zuordnen: Schicht 1 umfasst die übergreifenden Aspekte, d.h. Aspekte, die sich auf den gesamten IT-Verbund oder große Teile hiervon beziehen (z.b. Organisation des prozesses, Datensicherheitskonzept). Schicht 2 beschäftigt sich mit der baulich-technischen Infrastruktur (z.b.gebäude, Büro- und Serverräume). Schicht 3 betrachtet die IT-Systeme (z.b. Client unter Mac OS X, Server unter Unix). Schicht 4 erfasst die Kommunikationsnetze (z.b. WLAN, heterogene Netze). Schicht 5 schließlich beschäftigt sich mit den Anwendungen (z.b. , Datenbanken).

24 Auswahl von Maßnahmen Im Schritt Modellierung wurden alle Komponenten als Bausteine formuliert In den IT-Grundschutzkatalogen finden sich für jeden Baustein: Gefährdungen Schutzmaßnahmen Gilt nur für Bausteine mit Schutzbedarf normal (Ab hoch muss eine erweiterte Risikoanalyse durchgeführt werden, vgl. Folie 303)

25 Auswahl von Maßnahmen Die Gefährdungen werden werden im IT-Grundschutz wie folgt kategorisiert: Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen

26 Auswahl von Maßnahmen Entsprechende Schutzmaßnahmen finden sich in folgenden Kategorien: Planung und Konzeption Umsetzung Betrieb Aussonderung Notfallvorsorge

27 Beispiel Baustein Client unter Mac OS X Für diesen Baustein gibt der IT-Grundschutz folgende Gefährdungen an: Höhere Gewalt: Ausfall von IT-Systemen, Feuer, Wasser, Staub, Verschmutzung Organisatorische Mängel: Fehlende oder unzureichende Regelungen, Mangelhafte Anpassung an Veränderungen beim IT-Einsatz, Unzureichendes Schlüsselmanagement bei Verschlüsselung Menschliche Fehlhandlungen: Fahrlässige Zerstörung von Gerät oder Daten, Nichtbeachtung von Sicherheitsmaßnahmen, Gefährdung durch Reinigungsoder Fremdpersonal, Fehlerhafte Nutzung von IT-Systemen, Fehlerhafte Administration von IT-Systemen, Fehlerhafte Konfiguration von Mac OS X, Unsachgemäßer Umgang mit FileVault-Verschlüsselung

28 Beispiel Baustein Client unter Mac OS X Technisches Versagen: Defekte Datenträger Vorsätzliche Handlungen: Manipulation an Informationen oder Software, Abhören von Leitungen, Unberechtigte IT-Nutzung, Systematisches Ausprobieren von Passwörtern, Trojanische Pferde, Schadprogramme, Abhören von Räumen mittels Rechner mit Mikrofon und Kamera, Vertraulichkeitsverlust schützenswerter Informationen, Kompromittierung kryptographischer Schlüssel, Integritätsverlust schützenswerter Informationen

29 Beispiel Baustein Client unter Mac OS X Schutzmaßnahmen gegen diese Gefährdungen finden sich ebenfalls in den IT-Grundschutzkatalogen. Für den Baustein Client unter Mac OS X sind dies: Planung und Konzeption: Planung des sicheren Einsatzes von Mac OS X, Planung der Sicherheitsrichtlinien von Mac OS X, Zugriffschutz der Benutzerkonten unter Mac OS X, Einsatz der Sandbox-Funktion unter Mac OS X, Festlegung von Passwortrichtlinien unter Mac OS X, Einschränkung der Programmzugriffe unter Mac OS X, Secure Shell Umsetzung: Aktivieren der Systemprotokollierung, Konfiguration von Mac OS X Clients, Einsatz von FileVault unter Mac OS X, Deaktivierung nicht benötigter Hardware unter Mac OS X, Deaktivieren nicht benötigter Mac OS X-Netzdienste, Konfiguration der Mac OS X Personal Firewall, Sicherheit beim Fernzugriff unter Mac OS X

30 Beispiel Baustein Client unter Mac OS X Betrieb: Einsatz der Protokollierung im Unix-System, Regelmäßiger Sicherheitscheck des Unix-Systems, Überprüfung der Signaturen von Mac OS X Anwendungen, Datenhaltung und sicherer Transport unter Mac OS X Aussonderung: Aussonderung eines Mac OS X Systems Notfallvorsorge: Einsatz von Apple-Software-Restore unter Mac OS X, Verhaltensregeln nach Verlust der Systemintegrität, Datensicherung und Wiederherstellung von Mac OS X Clients, Wiederherstellung von Systemparametern beim Einsatz von Mac OS X

31 Beispiel Baustein Client unter Mac OS X Zu jeder Maßnahme finden sich detaillierte Beschreibungen insb. dazu, wer für diese Maßnahme verantwortlich ist (z.b. IT-Sicherheitsbeauftrager, Administrator, Anwender), wie die Maßnahme konkret umgesetzt werden sollte

32 Auswahl von Maßnahmen Bei der Auswahl und Anpassung der Schutzmaßnahmen sollten die folgende Aspekte berücksichtigt werden: Wirksamkeit: Sie müssen vor den möglichen Gefährdungen wirksam schützen Eignung: Sie müssen in der Praxis einsetzbar sein, d.h. keine Organisationsabläufe behindern oder andere Schutzmaßnahmen aushebeln Praktikabilität: Sie sollten leicht verständlich, einfach anwendbar und wenig fehleranfällig sein Akzeptanz: Sie sollten barrierefrei sein und niemanden diskriminieren Wirtschaftlichkeit: Sie sollten das Risiko bestmöglich minimieren aber auch in einem geeigneten Verhältnis zu den zu schützenden Werten stehen