IT-GOVERNANCE & SECURITY

Transkript

1 IT-GOVERNANCE & SECURITY WARUM SIND DAS THEMEN FÜR DIE WIRTSCHAFTSINFORMATIK? Dr. Erwin Hoffmann Frankfurt am Main Dr. Erwin Hoffmann, Provadis Hochschule Frankfurt/Main - BIM

2 IT-Governance & Security Überblick Paradigma: Die Wirtschaftsprozesse haben sich mit der computergestützten Produktion, der Digitalisierung der Informationen und dem Internet seit Ende des letzten Jahrhunderts grundlegend geändert: Die IT ist zum Teil der Wertschöpfungskette geworden. Dem Schutz der IT-Infrastruktur, ihrem sicherer Betrieb sowie dem Schutz der Informationen kommt mittlerweile die gleiche Bedeutung zu, wie den der Produktionsmittel selbst; sind aber in einer offenen und vernetzten IT-Welt schwieriger zu realisieren. Der Vortrag soll die Randbedingungen hierfür beleuchten.

3 IT-Governance & Security Überblick Überblick: Welche Rolle spielt die IT in der Wertschöpfungskette? Was ist IT-Governance? Was verstehen wir unter IT-Security? Anforderungen und Ausblick

4 IT-Governance & Security IT im Wertschöpfungsprozess IT im Wertschöpfungsprozess: Elemente IT-Governance & Security Modellierung Steuerung, Überwachung Geldwirtschaft, Banking Kanäle, Präsentation, Feedback Warenwirtschaft Logistik, Distribution Marketing, Vertrieb Disposition, Personal (HR) Beschaffung, Betrieb, Wartung Industrie, Landwirtschaft, Produktion Personal- Dienstleistungen, Arbeitsmarkt IT-Dienstleistungen

5 IT-Governance & Security IT im Wertschöpfungsprozess IT im Wertschöpfungsprozess: Abläufe Business Process Modeling Projekt Management Modellierung Planung Anforderungsmanagement Requirement Engineering Realisierung Betrieb Software- Engineering, Testing Ablauf- Organisation: ITIL Marktanalyse, SWOT Planungsdaten Risikoanalyse Steuerung, Monitoring Netzmanagement, Systemmanagement Change + Release + Configuration Management Ausserbetrieb- nahme Optimierung System Level Agreements SLA Operation Level Agreements OLA Erzeugnisse Überwachung Qualitäts- Management: TQM, SPICE Key Performance Indicators: KPI Do Plan Check Act P-D-C-A Deming Circle

6 IT-Governance & Security Governance in der IT IT-Governance: Strategische Komponenten Business Process Management (BPM): BPMN: Business Process Model and Notation (ISO 19150) BPEL: Business Process Execution Language - Standard der Open Management Group OMG WSDL/WSBPEL - Web Service Based (OASIS) SOA: Service Orientierte Architektur SOAP: Simple Object Access Protocol Workflow Management (WFL) Enterprise Resource Planing (ERP): Requirements Engineering IT- Landschaft Geschäfts- Prozesse Alignment Organisation Enterprise Architecture Management (EAM): Modellierung der IT-Landschaft einer Firma

7 IT-Governance & Security Governance in der IT IT-Governance: Operative Komponenten ITIL (v3): IT Infrastructure Library Help Desk (SPoC), Incident & Problem Management Service Level Management Change & Configuration Management Strategie Struktur Betrieb Information/ Kommunikation Business Technik Availability & Business Continuity Management ISO/IEC 20000: Service & Steuerungsprozesse CObIT: Business & IT-Alignment

8 IT-Governance & Security Governance in der IT IT-Governance: ITIL v3 Framework ITIL wird wie PRINCE2 vom britischen OGC bereit gestellt.

9 IT-Governance & Security Governance in der IT IT-Governance: CObIT CObIT (Control Objectives for Information and related Technology) ist wie ITIL ein Rahmenwerk für die IT Governance. Im Gegensatz zu ITIL mit einer umfangreichen technischen Beschreibung der Abläufe und der Infrastruktur steht hier die mehr die Organisation mit folgenden Bereichen im Vordergrund: Value Delivery: Die IT als Leistungserbringer. Resource Management: Effektiver und effizienter Einsatz von technischen und nicht-technischen Ressourcen. Risk Management: Risiko Erkennungs- und Vermeidungs-Strategien. Performance Measurement Performance Management: Definition und Ermittlung von KPIs im Hinblick auf Geschäftsprozesse. Strategic Alignment IT Governance Resource Management Value Delivery CObIT ist ein US-amerikanischer Standard und an PMBoK angelehnt. Risk Management

10 IT-Governance & Security Governance in der IT IT-Governance: Versuch einer Definition IT-Governance fasst die technische Infrastruktur zur betrieblichen Wertschöpfung, die notwendigen Kontrollmechanismen und die organisatorischen Gegebenheiten zusammen, mit dem Ziel qualifizierte fachliche und technische Kompetenzen, Verantwortlichkeiten für den Ablauf, den Betrieb und für das Risikomanagement zu definieren und zu realisieren. Methoden Werkzeuge Personal Infrastruktur

11 IT-Governance & Security Security in der IT IT-Security: CIA-Dreieck I Klassischen Schutzziele der IT-Security C A C = Confidentially (Vertraulichkeit) Schutz vor Spionage I = Integrity (Unverletztlichkeit) Schutz vor Manipulation A = Availability (Verfügbarkeit) Schutz vor Sabotage

12 IT-Security: Erweiterte Schutzziele IT-Governance & Security Security in der IT Authentisierung = Mein Kommunikationspartner ist authentisch; ist also (nachweisbar) der, für den er sich ausgibt. Identifikation des Partners Autorisierung = Schutz von Daten, Prozessen durch Nutzung unberechtigter Personen. Zuweisung von Zugangsrollen None-Repudiation = Nichtabstreitbarkeit von Handlungen und Aktionen. Digitale Signaturen

13 IT-Governance & Security Security in der IT IT-Security: Im Produktionsprozess Availability: Verfügbarkeit durch (unabhängige) Redundanzen. Steuerung und Überwachung der Infrastruktur und Ressourcen. Vermeidung eines Single Point of Failures. Vermeidung von Komplexität. Integrity: Schutz der Ergebnisse/Daten und Wiederherstellbarkeit im Fehlerfall. Mechanismen zur (Ver-)Fälschungssicherheit. Überprüfung auf Korrektheit und Richtigkeit. Confidentially: Verschlüsseln der Daten. Schutz vor unberechtigtem Zugriff. Datenmodell und Architektur. Prinzip der kleinsten Privilegien. Keine unnötige Datenbevorratung. Die Verfügbarkeit von IT ist typischerweise eine Grössenordnung schlechter als für Maschinen im Produktionsprozess.

14 IT-Governance & Security Security in der IT IT-Security: Anforderungen im Produktionsprozess Datenschutz Trans- parenz Gesetze, Policy, Risiko, Best Practice Integrität, Wiederherstellbar, Verschlüsselung Verfügbarkeit, Authentizität, Vertraulichkeit Prozess- sicherheit Firmen, die ernsthaft an IT-Security interessiert sind, benötigen eine qualifizierte Risikoanalyse und hieraus abgeleitet ein IT-Security Handbuch.

15 IT-Governance & Security Security in der IT IT-Security: Vorgaben des Gesetzgebers Die Realisierung der IT-Security muss mit den Vorgaben des Gesetzgebers übereinstimmen: Compliance. Deutsche (und europäische) Rechtsvorschriften erfordern ein wesentlich höheres Datenschutz-Niveau als z.b. US-amerikanische. Grundlagen: GG Artikel 1 Abs. 1 Würde des Menschen Bundesdatenschutzgesetz (BDSG);Videoüberwachung der Mitarbeiter Telekommunikationsgesetz (TKG); Vorratsdatenspeicherung (Vds) Telekommunikationsdienstunternehmen-Datenschutzverordnung (TKDSV) Ergänzend: HGB 238 II: aufbewahrungspflichtige Unterlagen SOX: Sorbanes-Oxley Act - falls an US-Börse notiert Betriebliche Vereinbarungen

16 IT-Governance & Security Security in der IT IT-Security: Datenschutz IT-Security ist nicht mit Datenschutz gleichzusetzen. IT-Security beschreibt die kryptographischen und technischen Möglichkeiten der Datensicherung und Sicherung der Abläufe. Datenschutz beschreibt die Art und den Verwendungszweck der zu schützenden Daten, definiert ihre Schutzbedürftigkeit sowie macht Auflagen, wie dies zu realisieren ist. Security Safety Daher ist in (grossen) Firmen ein Datenschutzbeauftragter zu benennen.

17 IT-Governance & Security Security in der IT IT-Security: Populäre Irrtümer Mir kann nichts passieren, meine IT ist hinter einer Firewall verborgen. Eine Firewall schützt weder die Daten noch macht sie die Anwendungen sicherer im Gegenteil, eine Firewall reduziert die IT-Sicherheit. Mir kann nicht passieren, ich habe überall Virenscanner installiert. Ein Virenscanner schützt keine Daten. Im allgemeinen macht ein Virenscanner das System anfälliger und reduziert dessen Performance.

18 IT-Governance & Security Security in der IT IT-Security: Best Practice, Zertifizierung Operational Risks Identity Management Business Objectivs Governance Regularity Compliance Proactive Security Management Trusted Infrastructure IT Governance nach HP ISO/IEC 27001: ISO 17791: InformationTechnology Security Techniques - Code of Practice for information security management CoBIT: Control Objectives for Information related Technology NIST (National Institute of Standards and Technology): Information Technology Portal - Overview. BSI (Bundesamt für Sicherheit im Informationswesen): IT Grundschutz Handbuch ITSMF: IT Service Management Forum Security Incidents: Common Vulnerabilities and Exposers (CVE) Zero-Day-Attacks? Zertifizierung?

19 IT-Governance & Security Security in der IT IT-Security: Zero-Day Angriffe Lücken in Betriebssystemen und Anwendungen werden professionell gesucht und verkauft: Zero-Day Exploits Hierbei werden gerne bekannt schwache - und verbreitete - Produkte reverse engineered und auf Schwachstellen getestet: Adobe Flashplayer Internet Explorer Windows Betriebssystem Die Ergebnisse werden gegen gutes Geld verkauft (> 50 k ) und in Paketen wie Metaspoilt angeboten. Vermeidungsstrategie: Produkte einsetzen, die weniger bekannt und weniger anfällig sind (Unix )

20 IT-Security: Zertifizierung? IT-Governance & Security Security in der IT Heise, Vier Monate lang untersuchte die TÜV TrustIT GmbH, eine Tochter der TÜV-Austria-Gruppe, den Internet Explorer 8. Laut Mitteilung kam dabei ein Dokument heraus, das dem Browser "hohe Sicherheitstandards bei Datensicherheit, Privatsphäre und Compliance" bescheinigt. Ziel sei eine Prüfung "auf wesentliche Sicherheitsmerkmale" gewesen. Allerdings gehörte der Veröffentlichung von TÜV TrustIT zufolge dazu keine Untersuchung des Browser-Codes. Vollständig fehlerfreie Software könne es ohnehin nicht geben, betont die Firma mehrmals. Deshalb beschränkte sie sich im Wesentlichen auf zwei Schwerpunkte: Die Möglichkeiten, den Internet Explorer entsprechend den Sicherheitsbedürfnissen der Benutzer zu konfigurieren und den Umgang Microsofts mit bekannten Schwachstellen. Mit beiden Aspekten zeigten sich die TÜV-Prüfer zufrieden. Es gebe hinreichende Sicherheitseinstellungen, die Benutzer könnten sie leicht finden sowie bedienen, und sie funktionierten. In ihren Untersuchungen habe der IE zudem niemals unberechtigt Daten an Dritte versandt, und Funktionen wie "InPrivate" ermöglichten effektives privates Surfen mit der Einschränkung, dass für einen begrenzten Zeitraum die Daten mit forensischen Methoden rekonstruierbar blieben. Der Hersteller reagiere hinreichend schnell auf bekannte Sicherheitslücken; es gebe einen wirksamen unternehmensweiten Prozess zur sicheren Entwicklung von Software.

21 IT-Governance & Security Security in der IT IT-Security: Zertifizierung - Nachgekartet Heise, Eine Schwachstelle im Internet Explorer 8 ermöglicht das Ausführen beliebigen Programmcodes, wenn der Benutzer eine entsprechend präparierte Webseite aufruft. Das hat Microsoft heute in seiner Sicherheitsempfehlung bekannt gegeben. Die Versionen 6, 7, 9 und 10 seien nicht betroffen, darum wird ein Upgrade auf neuere Versionen empfohlen, so es das Betriebssystem zulässt (Mindestvoraussetzung: Windows Vista). An einem Update für IE8, das die Schwachstelle schließt, wird bei Microsoft noch gearbeitet.

22 IT-Governance & Security Security in der IT IT-Security: Die Cloud Die Nutzung von Cloud-Services ist aktuell en vogue in der IT- Strategiediskussion. IaaS: Infrastructure as a Service Bereitstellung von Rechenleistung und Speicherplatz, Netzwerk und Load Balancing (Co-Location, Dropbox) PaaS: Platform as a Service Bereitstellung von Datenbanken und Webservern, Versionsverwaltungswerkzeuge (GitHub) SaaS: Software as a Service Verlagerung geschäftskritischer Abläufe in die Cloud: CRM- System, -Server, Groupware (Google Office)

23 IT-Security: Wolkenkuckucksheim IT-Governance & Security Security in der IT Cloud-Services sind deshalb so populär, weil im Zuge der Internet-Blase enorm vielen Rechenzentren mit viel Leistung gebaut wurden, die auf Einsatz warten. Pros & Cons: Verfügbarkeit: Nutzer macht sich abhängig vom Internet. Integrität: Geschäfts-Transaktionen sind in der Regel stateful und erwarten eine dedizierte Netzwerk-Performance (Transaktions-Monitore, Datenbanken). Sicherheit & Datenschutz: Applikationen sind gegenseitig nicht authentisiert, Datenschutz kann nicht garantiert werden.

24 IT-Governance & Security Anforderungen & Ausblick Anforderungen & Zusammenfassung IT als Technik: IT als Produktionsfaktor: IT wird in grossen Massstab seit 40 Jahren in der Industrie eingesetzt. Mittlerweile gibt es ein gutes Verständnis, wie IT-Governance realisiert werden kann. Hinreichende IT-Security kann durch technische Möglichkeiten realisiert werden, sofern die organisatorischen Gegebenheiten vorliegen. IT ist für die heute Produktion nicht mehr hinwegzudenken. Speziell das Internet kann ganz neue Möglichkeiten der Customer-to-Business (C2B) und Business-to-Business (B2B) Kommunikation (Vertriebs-, Distribution und Marketing Kanäle) geschaffen, die die bisherigen ablösen. Die Verfügbarkeit von IT und Internet ist aber noch lange nicht auf dem gewünschten Niveau. Dr. Erwin Hoffmann, Provadis Hochschule Frankfurt/Main - BIM

25 IT-Governance & Security Anforderungen & Ausblick Literatur: Masak: IT-Alignement (Springer, 2006) Harris: The Business Process Ecosystem (Meghan-Kiffer Press, 2013) Beims: IT-Service Management in der Praxis mit ITIL 3 (Hanser, 2009) Schneier: Secrets & Lies (Wiley, 2004) CompR: IT- und Computerrecht (Beck-Texte im dtv) Internet Quellen Dr. Erwin Hoffmann, Provadis Hochschule Frankfurt/Main - BIM

26 IT-Governance & Security IT im Wertschöpfungsprozess IT im Wertschöpfungsprozess: Backup Folie Betriebliche Aspekte Prozesse Ressourcen Systemeaspekte beschreibt steuert konfiguriert beschreibt erfasst kontrolliert optimiert Systemmanagement stellt bereit katalogisiert sichert Daten