Interne Datensicherheit

Transkript

1 Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit

2 Analyse der Ist-Situation 1. Bewertung der IT Risiko-Szenarien: Angriffe auf IT Systeme können sowohl von extern (z.b. durch Viren, Haecker oder Schadcode) als auch intern (z.b. durch sogenannte Innentäter) erfolgen. Eine Bedrohungsanalyse kann Angriffsszenarien intern und extern ermitteln und diese hinsichtlich der zu erwartenden Schäden und Wahrscheinlichkeiten bewerten. Aus diesen Erkenntnissen können Sicherheitsrichtlinien sowie die damit verbundenen Maßnahmen abgeleitet werden. 2. Überprüfung der bestehenden internen Schutzsysteme: Mit einem Security Audit und einer Verwundbarkeitsanalyse können Unternehmen prüfen, ob ihre Sicherheitsmaßnahmen hinsichtlich der vorhandenen Bedrohungsszenarien angemessen sind. Eine Verwundbarkeitsanalyse oder ein Penetrationstest kann potentielle Ziele von Hacker-Angriffen ermitteln und die Schwachstellen hinsichtlich einer Gefährdung bewerten. 3. Welche Sicherheitsziele sind definiert? Die IT-Sicherheit zielt auf den Datenschutz und die Informationssicherheit ab. Der Datenschutz soll den Missbrauch aller interner Daten verhindern. Die Aufgabe der Informationssicherheit besteht darin, die Vertraulichkeit (Schutz vor unbefugtem Zugriff), die Intergrität (Daten dürfen nicht verändert oder manipuliert werden) und die Verfügbarkeit (Schutz vor Systemausfällen) der Unternehmensdaten zu garantieren. 4. Verantwortungsbereich der IT Sicherheit: Die Verantwortung der IT Sicherheit in Unternehmen sollte in die Hände eines fachlich geeigneten IT-Sicherheitsbeauftragten gelegt werden. Er sollte dazu ein ganzheitliches Konzept erstellen, welches den erforderlichen Schutz von Informationen, Daten und IT-Systemen zum Ziel hat. Insbesondere sollte er auch die Wirksamkeit der Sicherheitsmaßnahmen kontinuierlich überwachen. 5. Aufwand- und Nutzenanalyse für IT Security ermitteln: Der Aufwand für IT-Sicherheit sollte sich nicht nur aus den Zielen und der Risikoanalyse ableiten, sondern ebenso aus den rechtlichen Anforderungen. Daher müssen die IT-Verantwortlichen auch dafür Sorge tragen, dass die IT-Systeme und Geschäftsprozesse den gesetzlichen Auflagen und Compliance-Anforderungen entsprechen. 1

3 Anforderungsdefinition 6. Schutz von vertraulichen Daten definieren: Der Umgang mit unternehmenskritischen Daten, sollte die Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten nicht beeinträchtigen. Die implementierten IT Sicherheitslösungen sollten dies nach Maßgabe der Sicherheitsanforderungen unterstützen und gewährleisten. 7. Richtlinie für die Verwendung von fremder Hardware festlegen: Fremde Hardware, die von Mitarbeitern oder Besuchern an das Unternehmensnetzwerk angeschlossen werden, gefährden die Sicherheit, da diese nicht nur Viren in das Netz bringen, sondern auch unbemerkt Schad- oder Spionageprogramme ausführen könnten. Gleiches gilt für unautorisierte WLAN-Access- Points. Diese stellen eine gefährliche Hintertür für das lokale Netz dar, denn ein Angreifer kann dadurch vorhandene Schutzfunktionen umgehen und unbemerkt in das Netz eindringen. 8. Erkennung von fremder Hardware sicherstellen: Die Kenntnis aller an das Netzwerk angeschlossenen Geräte sorgt für eine Basissicherheit. Detallierte Sicherheitsrichtlinien könnten dadurch beispeilsweise für unterschiedliche Geräteklassen erstellt werden. Veränderungen im Hardwarebestand sollten anhand einer zyklischen Inventarisierung zu jedem Zeitpunkt nachvollzogen werden können. 9. Schutzmaßnahmen vor internen Angriffen festlegen: Interne Angriffe basieren in der Regel auf Manipulationen der Kommunikation in lokalen Netzwerken. Einen Schutz bieten Systeme zur Erkennung von ARP-Spoofing, IP- Spoofing und ARP-Poisoning. 10. IT Sicherheitsprozess definieren: Der IT-Sicherheitsprozess beschreibt ein definiertes Vorgehen bei der Implementierung eines angemessenen Sicherheitsniveaus. Die Ziele und Vorgaben sollten sich dabei an Best-Practice orientieren, um die Informations- und Datensicherheit mit einem wirtschaftlichen Ansatz umsetzen zu können. 2

4 Auswahl der Lösungen 11. Ganzheitlichen und wirtschaftlichen Ansatz verfolgen: Die Security Lösung sollte konzeptionell einen ganzheitlichen Ansatz verfolgen und keine Teil- oder Insellösung beinhalten. Dabei ist insbesondere zu prüfen, ob mit wirtschaftlich vertretbarem Aufwand Planung, Implementierung und Betrieb realisiert werden kann. Zudem sollte die vorhandene Infrastruktur eingebunden werden, um die einzelnen Netzwerkzugänge (Ports) abzusichern. 12. Erweiterbarkeit durch Standardschnittstellen sicherstellen: Es sollte ein Lösungsansatz gewählt werden, der herstellerübergreifend ist und auf Standardschnittstellen basiert. Damit werden Abhängigkeiten von einschränkenden Technologien oder proprietären Herstellern vermieden. Technologische Sackgassen mit unverhältnismäßig hohen Folgekosten können ausgeschlossen werden und im Betrieb wird eine Nachhaltigkeit der Lösung garantiert. 13. Roadmap des Herstellers berücksichtigen: Die Roadmap eines Herstellers sollte bezüglich der Produktauswahl miteinbezogen werden. Der Fokus sollte auf praxisbewährte und zukunftssichere Lösungen gelegt werden. Dadurch lässt sich kann ausschließen, dass ein kritisches Thema mit einem unausgereiften Produkt besetzt wird. 14. Service & Support Konzept: Das Service&Support Konzept sollte neben umfassenden Kontaktmöglichkeiten per Telefon und , auch den Bezug neuer Features und Versionen enthalten. Lokale Service-Partner können Reaktionszeiten verkürzen und die Qualität der Betreuung deutlich steigern. Individuelle Service-Laufzeiten sollten zudem das Leistungsspektrum abrunden. 15. Ressourcen schonenden Betrieb sicherstellen: Das Service&Support Konzept sollte neben umfassenden Kontaktmöglichkeiten per Telefon und auch den Bezug neuer Features und Versionen enthalten. Lokale Service-Partner können Reaktionszeiten verkürzen und die Qualität der Betreuung deutlich steigern. Individuelle Service-Laufzeiten sollten zudem das Leistungsspektrum abrunden. 3

5 Implementierung und Betrieb 16. Inventarisierung: Im ersten Schritt sollte eine Inventarisierung und Lokalisierung der Hardware erfolgen. Hierbei ist zu berücksichtigen, dass alle im Unternehmensnetz vorhandenen Systeme erfasst werden. Zudem sollten detaillierte Informationen über die IP- und MAC-Adresse sowie den Switchport des angeschlossenen Gerätes geliefert werden. Damit erhält man eine strukturierte Übersicht der Netzwerk-Topologie mit allen aktiven IT Systemen. Diese Basissicherheit kann dann als Ausgangspunkt für eine sukzessive Implementierung von interner Netzwerk-Sicherheit dienen. 17. Netzwerk-Zugangskontrolle einrichten: Anhand der umfassenden Inventarisierung der im Netzwerk zugelassenen Hardware, kann die Erkennung von unternehmensfremden Systemen realisiert werden. Die autorisierten Systeme werden dadurch in eine Adress-Datenbank aufgenommen und unbekannte Geräte können durch einen Abgleich mit dieser Datenbank erkannt werden und mittels Portabschaltung vom Netzwerk getrennt werden. 18. Netzwerk gegen interne Angriffe absichern: In der Regel basieren interne Netzwerk-Angriffe auf Manipulationen der IP basierten Kommunikation in lokalen oder unternehmensweiten Netzwerken. Diese Angriffe richten sich je nach Angriffsart gegen vermittelnde Komponenten wie Switches und Router oder direkt gegen Endgeräte. Die Infrastruktur sollte daher vor Manipulationen, mit denen Angreifer Man-in-the-Middle und Denial-of-Service Angriffe ausführen können, geschützt werden. Diese Schutzsysteme sollten insbesondere ARP-Spoofing, IP-Spoofing und ARP-Poisoning erkennen und diese durch vordefinierte Gegenmaßnahmen unterbinden können. 19. Reports und Anaylsen nutzen: Alle sicherheitsrelevanten Informationen sollten transparent erfasst und als Reports dem verantwortlichen Management zur Verfügung gestellt werden. Dabei gilt es sicherzustellen, dass alle Security-Vorfälle mit einem Zeitstempel versehen sind, um in einer Datenbank revisionssicher dokumentiert werden zu können. Zudem können detaillierte Analyse- und Reporting-Funktionalitäten IT Verantwortliche bei der Umsetzung gesetzlicher Vorschriften oder Firmenrichtlinien sowie von Service Levels unterstützen. 20. Schulung der Mitarbeiter und Administratoren: Interne IT-Sicherheit ist nicht allein durch die Implementierung von entsprechenden technischen Schutzsystemen zu realisieren. Vielmehr sollten alle Beteilgten und insbesondere die Mitarbeiter, die täglich mit unternehemnskritsichen Daten umgehen, für den internen Daten- und Informationsschutz gewonnen werden. Schulungen, welche die Motivation und Ziele von internen Maßnahmen erläutern, sollten daher Bestandteil eines jeden internen IT Security Projektes sein. Dabei sollte im Vordergrund stehen, dass interne Sicherheit nur als gemeinsames Unternehmensziel umzusetzen ist. 4

6 Nachhaltigkeit 21. Überprüfung der Zielerreichung: Die Sicherheitsziele sollten anhand der vor Projektbeginn definierten Sicherheitsleitlinie überprüft werden. Zudem sollten die umgesetzten internen Sicherheitsmaßnahmen mit wirtschaftlich vertretbaren Möglichkeiten unter Einbeziehung der vorhandenen Infrastrukturen und Ressourcen sowie in einem vertretbaren Zeitrahmen implementiert worden sein. 22. Ressourcen schonender Betrieb sicherstellen: Die Lösung sollte sich mit Blick auf die Ressourcen und Betriebskosten als administrationsarm erweisen. Da die interne Sicherheit einen Teilbereich der Security-Strategien darstellt und die Sicherheitsthematik wiederum ein Teilgebiet der Gesamtaufgaben im IT-Betrieb darstellt, sollte das System diesen Praxisbedingungen entsprechen. 23. Netzwerkleistung und Performance überwachen: Weder die Performance noch die Verfügbarkeit des Netzwerks sollten im täglichen Betrieb durch die Lösung beeinträchtigt werden. Selbst bei einem Ausfall des Systems für die Zugangskontrolle zum Netzwerk, sollte der Zugang zum Netzwerk trotzdem weiterhin gegeben sein. 24. Compliance-Anforderungen bezüglich Reports und Analysen beachten: Rechtliche Rahmenbedingungen können von IT Verantworlichen die Dokumentation von Sicherheitsvorfällen verlangen. In diesem Fall sollte die implementierte Lösung alle sicherheitsrelevanten Informationen transparent erfassen und als Reports zur Verfügung stellen können. Für eine revisionssichere Dokumentation sollten alle Security-Incidents mit einem Zeitstempel versehen und in einer Datenbank unveränderbar archiviert werden können. 25. Flexible Skalierbarkeit: Das System sollte in der Lage sein, die Wachstumsentwicklungen oder andere Veränderungen in der Unternehmensstruktur durch Fusionen etc. flexibel und ohne nennenswerten Projektaufwand bzw. hohen Investitionsaufwand abzubilden. Darüber hinaus sollte auch die Zukunftssicherheit der Lösung beachtet werden. So sollte die Lösung in ihrer technischen Konzeption keine Migrationsbeschränkungen aufweisen. 5