Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen

Transkript

1 Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen

2 Wir über uns Die DEMAL GmbH ist ein 100-prozentiges Tochterunternehmen der Rummel AG die seit über 18 Jahren erfolgreich Software für Juristen (z.b. die Kanzleisoftware WinMACS) und andere Branchen (z.b. Dokumenten-Management-System ScanMACS) herstellt und vertreibt. Gründung Anfang 2004 Sitz in Schwarzenbruck bei Nürnberg Geschäftsführer: Ulrich Rummel

3 Relevante Gesetze und Richtlinien (Auszug) National BDSG (Bundesdatenschutzgesetz) 9 BDSG (1-5) KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) in Verb. Mit. AktG 91 II HGB (Handelsgesetzbuch) 239 Abs. 4 Basel II (Vorschriften des Baseler Ausschuss f. Bankensicherheit) International SOX (Sarbanes-Oxley Act) Section 404 CobiT (Control Objectives for Information and Related Technology) BS7799 (British Standard- Normungsgremium für IT-Sicherheit Teil 1 = ISO17799 SAS 70 (Statement on Auditing Standards No. 70, Service Organizations)

4 Folge bei Nichteinhaltung: z.b. Haftungsrisiken Insolvenzsituation Außenhaftung Dritte können Ansprüche gegen Unternehmen nicht durchsetzen und wenden sich stattdessen an das Management Innenhaftung Insolvenzverwalter will Masse mehren und nimmt deshalb Management in Regress Regress-/ Verlustsituation Trennungssituation Innenhaftung Dritte haben Unternehmen wegen Managementfehlverhaltens verklagt: Das Unternehmen nimmt eigenes Management in Regress Innenhaftung Unternehmen will sich von Manager trennen: Haftungsrisiken werden zur Reduzierung der Abfindung verwendet

5 Warum dynamisches Audit Forderung nach mehr IT-Sicherheit ohne konkrete Vorschriften Das BSI gibt in ihrem IT Grundschutz- Katalogen konkrete Maßnahmen zur Umsetzung Aus den relevanten Maßnahmen werden Auswertungsvorschrift en formuliert Das dynamische Audit stellt eine permanente Sicherheit wie am Tag des Audits sicher und dokumentiert laufend die Ergebnisse Gesetze Richtlinien Interne Vorschriften IT-Grundschutz- Kataloge (ISO 27001) Auswertungsvorschriften Der Auditprozess mit dem Dynamischen Audit

6 Dynamisches Audit was ist das? Statisches IT-Audit bedeutet die Kontrolle von relevanten (Sicherheits-) Einstellungen zu einem festgelegten Zeitpunkt Momentaufnahme. Ergebnisse, die im nachhinein auftreten, werden nicht erfasst. Dynamisches IT-Audit bedeutet die permanente Überwachung und Auswertung von relevanten (Sicherheits-) Einstellungen an den IT-Systemen. Zeitraumbetrachtung. Einmal getätigte Einstellungen werden kontinuierlich überprüft und analysiert.

7 Dynamisches Audit was ist das? Anzahl der Gefährdungen Statisches Audt = Sicherheit zum Zeitpunkt X Dynamisches Audit = permanente Sicherheit Audit-Vorbereitung Audit-Durchführung/ -Aufrechterhaltung Zeit

8 Probleme bei der Umsetzung von Audits Mit ansteigender Integration von unterschiedlichen Betriebssystemen und Plattformen wird die IT-Landschaft und ihre Datenstrukturen immer komplexer. Firewall/Gateways Windows-Clients Mainframes Windows-Server UNIX-Server

9 Probleme bei der Umsetzung von Audits Neueste Studien zeigen, dass die Menge der generierten Security-Daten viel zu groß sei, um sie sorgfältig zu analysieren und potentielle Sicherheitsbedrohungen anhand dieser Daten auch wirklich zu identifizieren. die manuelle Sammlung, der Abgleich und die Analyse von Security-Daten einen signifikanten Anteil der Ressourcen der IT-Abteilungen beanspruchen. Quelle: Datenmenge erschlägt jede Security-Strategie, CRN Bericht über Studie von Vanson Bourne im Auftrag von Micromuse

10 Probleme bei der Umsetzung von Audits Zentrale Fragestellungen! WELCHE Daten gibt es im Unternehmen? WO befinden sich die Daten? WIE ist die Information zu interpretieren? WAS für ein Aufwand ist damit verbunden?

11 AuditBasics Lösung für das dynamische IT-Audit AuditBasics ist ein systemübergreifendes und plattformunabhängiges Software-Tool zur permanenten Erfassung, Überwachung und Auswertung von elektronisch erzeugten Dateien jeglicher Art. Auf der Basis voreingestellter Auswertungsvorschriften (Policies) kontrolliert und analysiert AuditBasics zeitgesteuert die relevanten IT-Systeme und versendet automatisch Warnungen und Kontrollprotokolle an die zuständigen Stellen. Definierte IT-System Einstellungen (z.b. aus statischem Audit) und Ereignisprotokolle werden somit permanent überwacht und ausgewertet Das dynamische Audit

12 AuditBasics Policies Die Policies stellen die Vorschriften dar, nach denen AuditBasics die Auswertungen vornimmt. Die DEMAL GmbH hat, in Zusammenarbeit mit Partnern aus der freien Wirtschaft (z.b. FinanzIT GmbH Berlin) und staatlich geprüften BSI- Auditoren bereits eine Vielzahl der am häufigsten benötigten und wichtigsten Policies entwickelt. Die Top30 -Policies stehen für die Systeme z/os, Windows, UNIX und OS/400 bzw. i5/os zur Verfügung Beispiel: z/os-policy 1 Minimale Passwortlänge Beispiel: Windows-Policy 4 Anzahl der Anmeldeversuche Individuelle Policies können Sie selbst entwickeln oder durch die Spezialisten der DEMAL GmbH anfertigen lassen.

13 AuditBasics in der Praxis Verdeutlichung am Beispiel Einhaltung von Gesetzen und Richtlinien Trotz umfangreicher Anforderungen an die IT-Sicherheit werden selten konkrete Vorgaben zur Umsetzung gemacht. Das IT-Grundschutzhandbuch des BSI dient durch die konkreten Maßnahmen als Grundlage zur Erstellung von IT-Sicherheitspolicies. Standardisierte und individualisierte Policies werden mit AuditBascis permanent überwacht und ausgewertet. Dynamisches Audit

14 Beispiel KonTraG in Verb. mit AktG

15 Anwendung des BSI IT-Grundschutzhandbuch Beispiel: Maßnahme 2.11 Regelung des Passwortgebrauches Wenn für das Passwort alphanumerische Zeichen gewählt werden können, sollte es mindestens 8 Zeichen lang sein. Wenn für das Passwort nur Ziffern zur Verfügung stehen, sollte es mindestens 6 Zeichen lang sein und das Authentisierungssystem sollte den Zugang nach wenigen Fehlversuchen sperren (für eine bestimmte Zeitspanne oder dauerhaft).

16 Extrahiert: konkrete Policies Beispiel: Maßnahme 2.11 Regelung des Passwortgebrauches

17 Ergebnisliste nach Auswertung Beispiel: Maßnahme 2.11 Regelung des Passwortgebrauches

18 Managementreport

19 Nutzen eines dynamischen IT-Audit 1. Dauerhafte Einhaltung von gesetzlichen Vorschriften zur IT-Sicherheit und Vermeidung von Haftungsklagen z.b. AktG oder BDSG; SOX bei Kundenbeziehung mit einem SOXzertifizierten Unternehmen 2. Einhaltung nationaler und internationaler IT-Sicherheitsrichtlinien kann permanent überwacht und dokumentiert werden z.b. wichtige Teile des IT-Grundschutzes des BSI 3. Bestandsgefährdende Sicherheitslücken kontinuierlich und zeitnah identifizieren

20 Nutzen eines dynamischen IT-Audit 4. Langfristiger Qualitätsnachweis durch IT-Sicherheits- Zertifizierung 5. Marktposition international ausweiten z.b. Pflicht zur Erfüllung der SOX Kriterien bei Notierung an USA-Börsen 6. Kreditwürdigkeit steigern (langfristiger Wettbewerbsvorteil) Basel II : Bessere Kreditkonditionen aufgrund höherer IT- Sicherheit

21 Mit diesem Werkzeug führen Sie einfach und effizient das dynamische Audit in Ihrem Unternehmen und für Ihre Kunden durch.

22 Funktionsweise Projekt 1. Import: Die auszuwertenden Daten werden auf intelligente Weise zunächst importiert. Import Einlesen strukturierter Dateien Graphisches Parsen von Dateien Überführen der Daten in SQL-Tabellen 2. Verarbeitung: Bei der Verarbeitung in der nächsten Stufe werden signifikante Inhalte der verknüpften Tabellen herausgefiltert die eigentliche Analyse. Verarbeitung Verknüpfung der SQL-Tabellen, berechnete Felder, Filteranweisungen, Dateivergleich liefert die Ergebnistabelle 3. Export: Schließlich wird das Ergebnis im gewünschten Format (PDF, HTML, RTF, CSV) und mit einem Ihrem Unternehmen angepassten Layout exportiert Export Gestaltung des Reports, Ausgabe der Ergebnistabelle in HTML, PDF, RTF, CSV

23 AuditBasics - Der Import AuditBasics verarbeitet dabei direkt mit Trennzeichen strukturierte Dateien. Aber auch kompliziert aufgebaute Daten hat AuditBasics im Griff. Mit graphischem Parsen des Dateibildes lernt AuditBasics, die Inhalte der Datei zu verstehen.

24 AuditBasics - Die Verarbeitung Die Tabellen werden für die Analyse miteinander verknüpft. Sie greifen gleichzeitig auf die importierten Daten zu! Für die Definition von berechneten Feldern und Filtervorschriften steht ein leistungsfähiger Formeleditor zur Verfügung.

25 AuditBasics - Die Verarbeitung Direkt nach der Verarbeitung stehen die Auswertungsergebnisse als SQL- Tabelle zur Verfügung. Das Setzen von Filterbedingungen reduziert die Ergebnismenge auf das Wesentliche!

26 AuditBasics - Der Export Im Exportgenerator legen Sie Format und Layout fest, mit dem Ihnen AuditBasics das fertige Ergebnis präsentiert. Eine Anpassung an das Corporate Design Ihres Unternehmens ist durch die Einbindung von Firmenlogos, Wahl der Schrift und dergleichen möglich.

27 AuditBasics - Das Ergebnis Ob als PDF-Dokument mit einer Beschreibung in Klartext oder als HTML-Datei AuditBasics präsentiert in der von Ihnen gewünschten Darstellung schließlich den Befund der Analyse in transparenter Form!

28 AuditBasics im Umfeld eines Großunternehmens Aufgabenstellung: Flexibles Konzept für den Einsatz von AuditBasics in einem Umfeld mit sehr großen Datenmengen mehreren Standorten dennoch zentrales Audit an einem Standort rechenintensiven Auswertungen

29 AuditBasics im Umfeld eines Großunternehmens Lösung: Stufenweise Analyse auf verteilten AuditBasics Auswertungseinheiten 1. Übertragung der großen Dateien einzelner bzw. weniger Systeme auf eine von mehreren AuditBasics Auswertungseinheiten (AE) der Auswertungsvorstufe. Beispielsweise wird jedem Mainframe-System eine eigene AE zugeordnet. 2. Jede dieser parallel arbeitenden AuditBasics AE führt eine Voranalyse durch und stellt das Ergebnis in eine weiterverarbeitbare und vergleichsweise kleine CSV-Datei. 3. Alle Zwischenergebnisse der verschiedenen AuditBasics Vorstufen-AE s werden an eine zentrale AuditBasics AE gesendet auch von verschiedenen Standorten. 4. Auf der zentralen AuditBasics AE werden die Zwischenergebnisse importiert und konsolidiert ausgewertet. Hier werden die zusammenfassenden Berichtsdokumente erstellt.

30 AuditBasics im Umfeld eines Großunternehmens Mainframes Windows Server AuditBasics AE Vorstufe Fertigung von Zwischenergebnissen in Form von weiter verarbeitbaren Dateien (CSV) Übertragung der Zwischenergebnisse (CSV, kleine Datenmengen) Zusammenfassende Auswertung der Zwischenergebnisse Fertigung der Berichtsdokumente Übertragung der Logfiles (große Datenmengen) an AuditBasics AE weitere Standorte Unix-Server Zwischenergebnisse der lokalen AuditBasics-Analysen

31 AuditBasics im Umfeld eines Großunternehmens Skalierbarkeit der AuditBasics Auswertungseinheit Nebenstehendes Symbol stellt in der vorherigen Grafik eine AuditBasics Auswertungseinheit dar. Ob es sich dabei um einen einzelnen Rechner oder eine Kombination von zwei Rechnern handelt, ist in erster Linie von Rechnerleistung und dem Volumen der auszuwertenden Daten, aber auch von der Komplexität der Analyse abhängig. Generell sollten sich aus Gründen der Performance und Reduzierung der Netzlast die auszuwertenden Logfiles auf dem Rechner befinden, auf dem die Applikation AuditBasics läuft. Variante 1 Variante 2 Variante 3 einzelner PC integrierte Hypersonic Datenbank (max. 2 GB pro Tabelle) einzelner PC externer Datenbankserver (z.b. mysql) bei Tabellen > 2 GB auf diesem Rechner zwei PCs für verteilte Lasten und Tabellen > 2 GB PC1 : AuditBasics / LogFiles PC2: externer Datenbank-Server wie z.b. mysql Ein bedarfsabhängiger Wechsel von Variante 1 (niedrigste Leistung) über Variante 2 zur Variante 3 (höchste Leistung) ist jederzeit möglich.

32 Kontakt Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Tel / Fax / Web info@demal-gmbh.de