IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Transkript

1 IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

2 Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit Audit: Schwachstellen erkennen Wie Hacker arbeiten Automatisierte Vulnerability Assessments Präventive Schutzmaßnahmen Dem Täter auf der Spur: Intrusion Detection Systeme Wenn alle Vorsicht nichts genutzt hat

3 Der Weg zu mehr Sicherheit

4 Der Weg zu mehr Sicherheit Der Weg zum sicheren IT-System Überprüfung/ Penetrationstest Live-Betrieb Training / Sensibilisierung Audit Security Live Cycle Implementierung Sicherheitskonzept

5 Sicherheit ein Business-Ziel Unternehmen unterscheiden sich in der Verfügbarkeit von Informationen. Die Einzigartigkeit eines Unternehmens basiert auf proprietären Informationen über Produkte, Prozesse, Kunden, Lieferanten... Schutz der unternehmenseigenen Informationen muss ein fundamentales Business-Ziel sein

6 Sicherheit ein Business-Ziel Jedes Unternehmen muss seine Sicherheitsziele festlegen: Was muss geschützt werden? Wie umfassend muss der Schutz sein? Wie lange ist der Schutz erforderlich? Jedes Unternehmen muss Sicherheitsaktionen festlegen: Welche Schutzmaßnahmen werden benötigt? Wie / wie schnell können Angriffe erkannt werden? Wie / wie schnell kann korrigierend eingegriffen werden?

7 Sicherheit ein Business-Prozess Ziele: Vom Maximal- zum Minimalziel: Verhindern von Sicherheitsproblemen Entdecken von Sicherheitsproblemen Schadensbegrenzung bei Sicherheitsproblemen Wiederanlauf nach Sicherheitsproblemen Es gilt das Prinzip des schwächsten Gliedes

8 Sicherheit ein Business-Prozess Je höher das Sicherheitsniveau sein soll um so höher wird der finanzielle Aufwand um so höher ist der Aufwand für Administration und Kontrolle um so niedriger wird die Benutzerakzeptanz Sicherheit ist kein Produkt oder Zustand, sondern ein Prozess, dem ein Konzept die Security Policy zu Grunde liegt

9 Anforderungen Anforderungen an die Sicherheitspolitik: Realistische Zielsetzungen Durchsetzbare Maßnahmen Finanzierbarer Aufwand Flexibilität und Skalierbarkeit Ohne überzogene Beeinträchtigung der Arbeitsabläufen Im Einklang mit den Business-Zielen des Unternehmens Nicht immer soviel Sicherheit wie möglich sondern soviel Sicherheit wie nötig!

10 Wirtschaftliche Ausgewogenheit Optimaler Sicherheits-Level bei minimalen Kosten Kosten Gesamtkosten Kosten der Sicherheitsmaßnahmen Schaden durch Sicherheitsprobleme 0 % 100 % Sicherheits-Level

11 Wozu eine Sicherheitspolitik? Ohne Sicherheitspolitik ist ein Sicherheits-Management nicht möglich. Die Sicherheitspolitik legt fest, was erlaubt und was nicht erlaubt ist. Die Sicherheitspolitik liefert die Begründung für den Einsatz von Tools und Prozeduren. Die Sicherheitspolitik kommuniziert einen Konsens innerhalb des Managements. IT-Sicherheit ist ein Firmen übergreifendes Thema. Ihre Kommunikationspartner gehen davon aus, dass Ihr System hinreichend sicher ist und übermittelte Daten ggf. vertraulich behandelt werden

12 Umsetzen der Sicherheitspolitik Definition der Basis-Sicherheitskonfiguration Identifikation von Benutzern mit abweichenden Rechten (z.b. Remote- und Mobil-Arbeitsplätze) Analyse der Hersteller von Zusatzprodukten nach: Support-Qualität, Marktbedeutung, Referenzen Abgleich der Produkteigenschaften mit den Forderungen der Security-Policy Funktions- und Performance-Test in einer Testoder Pilot-Installation Ggf. Installation von Intrusion- und Penetration- Detection-Tools Regelmäßige Penetrationstests von außen

13 Analyse der Sicherheitsrisiken Risiko des Verlusts der Vertraulichkeit Erhalten Unberechtigte Zugriff auf sensible Daten (Personenbezogene Daten, Forschungsergebnisse, Business-Daten)? Risiko des Verlusts der Integrität Können Daten von Unberechtigten zerstört oder verfälscht werden? Risiko des Verlusts der Verfügbarkeit Können Systeme (Server) oder Komponenten des Netzwerks (z.b. Router) zerstört, Fehlfunktionen ausgelöst oder für unberechtigte Zwecke genutzt werden?

14 Bedrohungsanalyse Ziele Festlegen der Analyse- und Sicherheitsziele, der finanziellen, zeitlichen und personellen Rahmenbedingungen, des Restrisiko, etc. Analysephase Aufspüren von Sicherheitslücken und Schwachstellen Security Roadmap Basierend auf den Analyse-Ergebnissen werden Empfehlungen zur Behebung der Schwachstellen gemacht. Security Report Enthält sowohl die Analyse-Ergebnisse, als auch die Security Roadmap

15 Security Roadmap Der organisierte Weg zur Sicherheit Inhalte aus den Ergebnissen der Bedrohungs- Analyse abgeleitet: Definition von Prioritäten Quantifizierung personeller und finanzieller Anforderungen Vorschlag zu beschaffender Produkte Implementierungsvorschlag Erfolgsbetrachtungen: welches Sicherheitsniveau wird erreicht Empfehlung von Folgemaßnahmen zur Verfeinerung des Sicherheitskonzepts

16 Security Audits warum? Die Früherkennung von Sicherheitsproblemen kann überlebenswichtig sein Ständig neue Facetten der externen Bedrohungen (neue Hacker-Tricks, Viren, ) Intern Nachlässigkeiten (z.b. temporäre Änderung der Firewall-Konfiguration wird nicht rückgängig gemacht) Aufspüren verdächtiger Anomalien, unberechtigte Konfigurationsänderungen Liefert ein Feedback über die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen

17 Security Audits wann sinnvoll? Als Standortbestimmung, möglichst früh, dann in vorgegebenen Zeitintervallen Ereignisgesteuert nach System- und Netzwerk-Upgrades nach der Migration zu neuen Technologien nach dem Anschluss an neue Netzwerke nach dem erstmaligen Internet-, Intranet-, Extranet- Anschluss nach der Installation neuer Basis-Software (z.b. SAP) oder e-commerce-anwendungen

18 Security Audits wie? Von außen: Penetrationstests / Vulnerability Assessments Von innen: Automatisierte Security Scans Manuelle Prüfung von Anomalien in Log-Files Manuelle Prüfung der Richtlinien Prüfung der Aktualität von Viren-Scannern, Firewalls, Security-Patches der Betriebssysteme, etc. Prüfung der Aktualität von Benutzerkonten (ausgeschiedene Mitarbeiter, Praktikanten)

19 Sicherheitshandbuch Inhalt gemäß der allgemein anerkannten Grundschutz-Forderungen des BSI Beschreibung der Sicherheitspolitik des Unternehmens Dokumentation der eingesetzten Sicherheitsprodukte Verbindliche Verfahrensanweisungen zur Aufrechterhaltung der Sicherheit Verfahrensanweisungen für Reaktionen nach Sicherheitsbeeinträchtigungen (Disaster Recovery) Empfehlung von Informationsquellen bei Sicherheitsfragen

20 IT-Grundschutz-Zertifikat Das IT-Grundschutz-Zertifikat stellt den höchsten Grad an Vertrauenswürdigkeit und das höchste Sicherheitsniveau dar. Das Zertifikat wird durch Zertifizierungsstellen vergeben, die für die Vergabe des IT-Grundschutz- Zertifikats akkreditiert sind. Voraussetzung ist, dass die Umsetzung der im IT- Grundschutzhandbuch beschriebenen und im vorliegenden Fall relevanten Standard- Sicherheitsmaßnahmen durch einen lizenzierten Auditor bestätigt ist

21 Zertifizierungsschema Auditor legt Audit- Bericht vor Zertifizierungsstelle prüft Institution IT-Verbund vergibt Zertifikat

22 Wir freuen uns über Ihr Feedback Network Training and Consulting Südwest GmbH Gutenbergstraße Leinfelden-Echterdingen Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an Bundesweite Infoline: (Festnetz / Telekom 4,6 Cent / Minute)