IT-Grundschutz für mittelständische Unternehmen

Transkript

1 IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden

2 IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs in mittelständischen Unternehmen Ausbaustufen und Zertifizierung Seite 2

3 Firmenprofil SRC Gründung: August 2000, operativ seit Mitarbeiter: 40 Firmensitz: Bonn (Zentrale) Wiesbaden Ein Thema: Sichere Systeme Seite 3

4 Gesellschafter MABG Seite 4

5 Selbstverständnis Ein Thema: Sichere Systeme Unabhängigkeit Kunden- und Projektorientierung Hohe Fachkompetenz der Mitarbeiter Seite 5

6 Themen Chipkarten Zahlungssysteme PKI und Signaturanwendungen Bedrohungsund Risikoanalysen ZKA-Gutachten und Common Criteria SRC Academy Netzwerksicherheit Software- Entwicklung Seite 6

7 Das IT-Grundschutzhandbuch Seite 7

8 IT-Grundschutz IT-Grundschutzhandbuch Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard-Sicherheitsmaßnahmen Baukasten-Prinzip Zertifizierbar mit IT-Grundschutz-Zertifikat des BSI Quelle: Seite 8

9 Das Grundschutzhandbuch im Detail Baustein Baustein Baustein Baustein Komponente Komponente Komponente Komponente Komponente Massnahme Massnahme Massnahme Massnahme Gefährdung Gefährdung Seite 9

10 Das Grundschutzhandbuch im Detail Gefährdungskataloge aus den Bereichen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge aus den Bereichen Infrastruktur Organisation Personal Hardware/Software Notfallvorsorge Seite 10

11 Das Grundschutzhandbuch im Detail Vorgehensweise zur Umsetzung definiert (Kapitel 2) Baukastenmodell umfaßt die Bausteine Übergeordnete Komponenten (Kapitel 3) Infrastruktur (Kapitel 4) Nicht vernetzte Systeme und Clients (Kapitel 5) Vernetzte Systeme und Server (Kapitel 6) Datenübertragungseinrichtungen (Kapitel 7) Telekommunikation (Kapitel 8) Sonstige IT-Komponenten (Kapitel 9) Seite 11

12 Das Grundschutzhandbuch im Detail Beispiel: Vernetzte Systeme und Server Vernetzte Systeme Servergestützes Netz Unix-Server Peer-to-Peer Netz Windows NT Netz Windows NT Netz Novell Netware 3.x Novell Netware 4.x Heterogene Netze Netz- und Systemmanagement Windows 2000 Server Seite 12

13 Das Grundschutzhandbuch im Detail Beispiel: Servergestütztes Netz 37 Gefährdungen, z.b. G 1.1 G 2.7 G 3.6 G 4.6 G 5.4 Personalausfall Unerlaubte Ausübung von Rechten Gefährdung durch Reinigungs- oder Fremdpersonal Spannungsschwankungen/... Diebstahl 45 Maßnahmen, z.b. M 1.29 M 2.26 M 3.5 M 4.7 M 6.25 Geeignete Aufstellung eines IT-Systems Ernennung eines Administrators und eines Vertreters Schulung zu IT-Sicherheitsmaßnahmen Änderung voreingestellter Paßwörter Regelmäßige Datensicherung Höhere Gewalt Organisatorische Mängel Technisches Versagen Menschliche Fehlhandlungen Vorsätzliche Handlungen Infrastruktur Organisation Personal Hardware/- Software Notfallvorsorge Seite 13

14 Umsetzung des IT-Grundschutzhandbuchs Auf der Basis des Dokuments IT-Grundschutz für den Mittelstand Seite 14

15 Vorgehensweise GSHB-Vorgehensweise anhand von 7 Phasen Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung Seite 15

16 Eine übliche Institution Ein Institutsleiter Ein IT-Sicherheits- und QM-Beauftragte beauftragt mit der Umsetzung des GSHB Drei Abteilungen Produktionsabteilung mit drei separaten Teams Das (Forschungs-)Labor mit Softwareentwicklung Die Abteilung IT Die Abteilung Organisation/Finanzen Seite 16

17 Verantwortlichkeit Zielperson: Der IT-Sicherheitsbeauftragte Geleitete Anwendung des GSHB mit Unterstützung durch das GSTOOL Erläuterung einer alternativen Vorgehensweise ohne GSTOOL (händische Umsetzung) Seite 17

18 Der übliche mittlere IT-Verbund Anbindung an das Internet über DSL Trennung der Abteilung Organisation/ Finanzen vom Hausnetz durch Paketfilter Gruppierung der IT-Anwendungen/Systeme eines Projektteams als Sondergruppe Seite 18

19 TALK / DATA TALK RS CS TR RD TD CD Der mittlere IT-Verbund Telefon Internet Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Mailserver Firewall Kopierer Paketfilter File-/Printserver R210 Switch R205 Drucker R203 PC Herr Dacher R103 PC Herr Baumeister PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 PC Frau Claasen R201 PC Herr Gerhart FW-Int PC Frau Ahrens R101a Fax Anrufbeantw. PC Frau Heuer R202 PCs Mitarbeiter PC Frau Feist R301 R311 PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCs Mitarbeiter Herr Mertens PCs Mitarbeiter R312 Abt. Drucker PC Frau Eiler R301a PC Herr Kurth R302 PC Herr Lucht R303 PC Herr Mertens R304 Seite 19

20 TAL K / DATA TALK RS CS TR RD TD CD TALK / DATA TALK RS CS TR RD TD CD Komplexitätsreduktion durch Gruppenbildung Telefon Internet Internet Telefon Vermittlungsstelle Telefongesellschaft Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Internet Mailserver Firewall Kopierer PC Herr Dacher File-/Printserver R210 Paketfilter Switch R205 Drucker Server Zeiterfassung Telefonanlage Splitter PC Gast R203 R103 PC Herr Baumeister Server Mail Firewall Kopierer PC Herr Idt R204 PC Herr Jacobi Paketfilter PC Herr Albrecht R101 Server File/Print Switch Drucker PC Frau Claasen R201 PC Frau Heuer R202 PC Herr Gerhart FW-Int PCs Mitarbeiter PC Frau Ahrens R101a Fax Anrufbeantw. Instituts LAN R301 R311 PC Frau Feist PC Org./Finanz Org/Fin LAN FW-Int PC Projekt A PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCs Mitarbeiter Herr Mertens PCs Mitarbeiter R312 Abt. Drucker PC Frau Eiler R301a PC Herr Kurth R302 PC Herr Lucht R303 PC Herr Mertens R304 PC MA Fax Anrufbeantworter Seite 20

21 Parallelen Betrachteter Verbund dient als Beispiel Abweichungen möglich Betriebssystem Anzahl der Rechner Art des Internetanschlusses Server Räume / Verkabelung Ziel: Anwendung des GSHB/GSTOOL verdeutlichen Seite 21

22 Sicherheits-Leitlinie Vier Seiten Orientierung an den Musterrichtlinien und Beispielkonzepte des BSI Bedeutung von Verfügbarkeit (z.b. Ausfälle nur in geringem Maße tolerierbar) Vertraulichkeit (höchste Ansprüche) Benennung eines IT-Sicherheitsbeauftragten Schulung von Mitarbeitern bzgl. Sicherheitsmaßnahmen Revision von Sicherheitsmaßnahmen Vollständiges Beispiel Seite 22

23 Strukturanalyse Hilfsmittel: GSTOOL IT-Systeme erfassen IT-Benutzer und Verantwortliche erfassen Benutzer und Verantwortliche mit den Systemen verknüpfen IT-Anwendungen erfassen IT-Anwendungen mit den Systemen verknüpfen Kommunikationsverbindungen erfassen Räume erfassen Kommunikationsverbindungen mit den Systemen verknüpfen Räume mit Systemen verknüpfen Seite 23

24 Schutzbedarfsfeststellung 1 Drei Klassen: normal, hoch und sehr hoch Durchführung anhand des GSTOOL Vorarbeiten Definition der Schutzbedarfskategorien Betrachtung von möglichen Schadensszenarien Dokumentation dieser Ergebnisse Durchführung Bestimmung des Schutzbedarfs der IT-Anwendungen Ableitung des Schutzbedarfs der IT-Systeme Schutzbedarfsfeststellung für die Kommunikationsverbindungen Schutzbedarfsfeststellung für IT-Räume Beispiele für Schadensszenario Ein Ausfall des internen Fileservers beeinträchtigt die Aufgabenerfüllung. Eine Folge ist die verspätete Auslieferung von Dokumenten an die Kunden der Institution sein. Dies ist in Abhängigkeit von evtl. vereinbarten Vertragsstrafen bei der Schutzbedarfsfeststellung zu berücksichtigen. Seite 24

25 Schutzbedarfsfeststellung 2 Detaillierte Beispiele der durchgeführten Schutzbedarfsfeststellung anhand des GSTOOL Erwähnung der ergänzenden Sicherheitsanalyse Seite 25

26 Modellierung Modellierung: Nachbildung des Verbundes mit den Bausteinen des GSHB Komplette Modellierung anhand des GSTOOL Begründung nicht angewandter Bausteine Nicht verwendete Bausteine Begründung B3.03 Der Baustein zur Notfallvorsorge wurde nicht angewandt, da im IT-Verbund keine Komponente mit hoher Verfügbarkeit vorhanden ist. Seite 26

27 Basissicherheitscheck Soll/Ist Vergleich Welche Maßnahmen fordert das GSHB? Welche Maßnahmen davon sind bereits umgesetzt? Welche Maßnahmen müssen noch umgesetzt werden? Zentrales Hilfsmittel: Interviews Vorbereitung der Interviews Durchführung der Interviews Dokumentation des Umsetzungsstatus einer Maßnahme Seite 27

28 Realisierung Keine Nutzung des GSTOOL Erläuterung und Hinweise innerhalb der fünf Schritte Schritt 1 Sichtung der Untersuchungsergebnisse Schritt 2 Konsolidierung der Maßnahmen Schritt 3 Kosten- und Aufwandsschätzung Schritt 4 Festlegung der Umsetzungsreihenfolge der Maßnahmen Schritt 5 Festlegung der Verantwortlichkeit Schritt 6 Realisierungsbegleitende Maßnahmen Die Mitarbeiter sollten möglichst frühzeitig in die Planungen mit einbezogen werden: Sie sind es, die mit den neuen Maßnahmen leben müssen. Seite 28

29 IT-Grundschutz-Zertifikat Seite 29

30 Ausbaustufen Die drei Stufen der Zertifizierung Vertrauenswürdigkeit mit Testat Selbsterklärung Einstiegsstufe IT-Grundschutz-Zertifikat mit Testat Selbsterklärung Aufbaustufe Sicherheit Seite 30

31 Ausbaustufen Stufe 1: Selbsterklärung IT-Grundschutz Einstiegsstufe Gültigkeit: 2 Jahre Verlängerbar: Nicht für denselben IT-Verbund Stufe 2: Selbsterklärung IT-Grundschutz Aufbaustufe Gültigkeit: 2 Jahre Verlängerbar: Nicht für denselben IT-Verbund Stufe 3: IT-Grundschutz-Zertifikat Gültigkeit: 2 Jahre Verlängerbar: Ja Seite 31

32 Ausbaustufen Auditierung nach dem Zertifizierungsschema 4 Vergabe Zertifikat Kunde 2 3 Grundschutz-Audit Zertifizierungsantrag Erstellung Audit-Report Audit-Report 1 Beauftragung Übergabe Dokumente Seite 32

33 Vorgehensweise: Zertifizierung Aufgaben des Antragstellers: Erstellung erforderlicher Dokumente (vgl. Kap. 1 Prüfschema) IT-Strukturanalyse Definition Geltungsbereich Bereinigter Netzplan Liste der IT-Systeme Liste der IT-Anwendungen Schutzbedarfsfeststellung Definition Schutzbedarfskategorien Schutzbedarf IT-Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume Modellierung IT-Verbund Ergebnisse des Basis-Sicherheitschecks Seite 33

34 Vorgehensweise: Zertifizierung Aufgaben des Auditors: Plausibilitätsprüfung Sinnvolle Mindestgröße des IT-Verbunds Plausibilität der Strukturanalyse Korrektheit der Modellierung Plausibilität des Basis-Sicherheitschecks Realisierungsprüfung Stichprobenartige Ermittlung des im Basis-Sicherheitscheck dokumentierten Umsetzungsstatus Baustein IT-Sicherheitsmanagement jeweils einem Baustein der fünf Schichten und vier weitere Bausteinen Erstellung des Audit-Reports (gem. Kapitel 7 Prüfschema) Seite 34

35 Zertifizierung Zusammenhang zwischen Ausbaustufen und umzusetzenden Maßnahmen -»A«Die Umsetzung dieser Maßnahme ist für alle Stufen der IT-Grundschutz-Qualifizierung erforderlich (unabdingbare Maßnahme). -»B«Die Umsetzung dieser Maßnahme ist für die Aufbaustufe und für das Zertifikat erforderlich. -»C«Die Umsetzung dieser Maßnahme ist nur für das IT-Grundschutz-Zertifikat erforderlich. -»Z«Die Umsetzung dieser zusätzlichen IT-Sicherheitsmaßnahmen sollte zur Steigerung der IT-Sicherheit erfolgen, ist jedoch zur Qualifizierung nach IT-Grundschutz nicht erforderlich. Unterstützung durch das GSTOOL Seite 35

36 Ergebnis Unterstützung eines IT-Sicherheitsbeauftragten, der mit der Umsetzung des GSHB beauftragt ist Geleitete Anwendung des GSHB anhand eines Beispiels Erläuterung der Anwendung des GSTOOL als unterstützendes Werkzeug Heranführung an eine Zertifizierung Seite 36

37 Quellen IT-Grundschutzhandbuch Vortrag: Grundschutz-Profile: Prüfschema für Auditoren IT-Grundschutz-FAQ Seite 37

38 Kontakt SRC Security Research & Consulting GmbH Graurheindorfer Str. 149a Bonn Tel. +49-(0) Fax: +49-(0) WWW: Seite 38