TeleTrusT-Informationstag "Cyber Crime"
|
|
|
- Catharina Bäcker
- vor 8 Jahren
- Abrufe
Transkript
1 TeleTrusT-Informationstag "Cyber Crime" Berlin, Udo Adlmanninger Secaron AG ILP Information ist mehr als nur Software
2 Agenda Was ist Information Leakage Prevention Motivation aktuelle Datenpannen Wo sind denn die kritischen Informationen? Organisatorischer Schutz von Informationen Technischer Schutz von Informationen Seite 2
3 Unterschied: Information Leakage Prevention Data Leakage Prevention Information = Daten + Dokumente + Wissen Daten = digitale Repräsentation von Informationen Seite 3
4 Motivation Quelle: projekt-datenschutz.de Seite 4
5 Motivation Original Fälschung Seite 5
6 Motivation Marketingpläne 13% Quellcodes 6% Geistiges Eigentum 6% Kundeninformationen 25% Mitarbeiterdaten 13% Finanzinformationen 17% Geschäftspläne 15% Firmendaten auf privaten USB-Sticks Quelle: Sandisk Seite 6
7 Motivation - Verlustpunkte Internet und Intranet, Mobile Geräte Desktop / Server Gedruckte Dokumente Archiviertes Material Sonstige Quelle: Infowatch 2008 Seite 7
8 Ausgangslage Wo sind die kritischen Informationen? Wie sind sie aktuell geschützt? Reicht das auch in Zukunft? Seite 8
9 Wo werden Informationen verarbeitet? Geschäftsprozess Anwendungen Information Systeme Netzwerk Seite 9
10 Fragestellungen Wo liegen kritische Informationen? Wie sehen die Systeme und Architekturen aus? Wie sehen die Entwicklungsprozesse aus? Wie sieht der IT-Betrieb aus? Übergreifende Maßnahmen Seite 10
11 Geschäftsprozess Wo liegen kritische Informationen? Definition Informationseigner Richtlinie zur Datenklassifikation Speicherung und Übertragung der Daten Vertragsgestaltung mit Dritten Seite 11
12 IT Landschaft Wie sehen die Systeme und Architekturen aus? Verteilung der Systeme auf Schutzbedarfsklassen Netzwerkzonierung Identity Management Festlegung von Authentifizierungs- & Autorisierungsmechanismen Seite 12
13 Entwicklungsprozesse Wie sehen die Entwicklungsprozesse aus? Standardisierte Entwicklungsprozesse Security Guidelines für Entwickler Security Framework Penetrationstests für kritische Anwendungen Seite 13
14 IT Betrieb Wie sieht der IT-Betrieb aus? Standardisierte IT-Prozesse nach ITIL Standardisierter und zentralisierter Security Incident Handling Prozess Seite 14
15 Maßnahmen Übergreifende Maßnahmen Aufbau eines ISMS Dokumentation der Geschäftsprozesse Definition der Sicherheitsorganisation Vorgaben für Mitarbeiter und Prozesse auf Leitlinien-, Richtlinien- und Konzeptebene Risikoorientiertes Vorgehen Schulung und Sensibilisierung von Mitarbeitern Seite 15
16 Reicht der Schutz? Was bringt die Zukunft? Soziale Netzwerke als Mittel zur Firmenkommunikation - Facebook und Co Private Endgeräte im Firmennetzwerk (ByoD) Ich will mein privates iphone auch dienstlich nutzen Seite 16
17 Technische Lösungsansätze Data Leakage Prevention Schutz der Schnittstellen Information Rights Management Schutz der Information Seite 17
18 Wie funktioniert Information Rights Management : Benutzerinteraktion Adobe Policy Selection Microsoft Template Selection Oracle IRM Toolbar Seite 18
19 Vergleich der Lösungen Unterschiede von DLP und IRM Schutzszenario DLP- Lösung Schutz vor unerlaubtem Export auf Ja Ja* Datenträger Schutz vor unerlaubtem Versand ( ) Ja Ja* Schutz vor unerlaubtem Drucken Ja Ja Überwachung von Informationen Ja Ja Schutz vor interner Spionage durch nicht Teilweise Ja Berechtigte Schutz vor unerlaubtem Kopieren (Copy/ Teilweise Ja Paste) Verhinderung von Datenlecks außerhalb der Nein Ja Firma z.b. bei Partnern Schutz bei Übertragung über das Internet Nein Ja Schutz vor unberechtigter Modifikation Nein Ja IRM- Lösung Automatische Erkennung von Datenlecks Ja Nein * Daten können zwar exportiert/versandt werden, sind aber durch Verschlüsselung geschützt. Seite 19
20 DLP und IRM: Der beste Weg Schutz der Informationen Klassifikation Überwachung Zugriffsschutz Manuelle Klassifikation Automatische Klassifikation Überwachung von Zugriffen Interner Zugriffsschutz (Verschlüsselung) Externer Zugriffsschutz (Verschlüsselung) IRM-Lösung DLP- Lösung Seite 20
21 Bewertung von Lösungen Vergleich der Benutzerfreundlichkeit Usability Verschlüsselter Datenkanal (VPN) Festplattenverschlüsselung Dokumentenverschlüsselung Rights Management Dateiverschlüsselung Containerverschlüsselung Security Seite 21
22 Fazit Kontrolle über Geräte und verwendete Medien wird für die Unternehmen abnehmen Informationen müssen in Zukunft direkt geschützt werden Schutz der kritischen Informationen ist auch verbraucherfreundlich möglich Seite 22
23 Kontakt Secaron AG Ludwigstr. 45 D Hallbergmoos Tel Fax Ansprechpartner: Udo Adlmanninger adlmanninger@secaron.de Seite 23