Sicherheit beim Web-Auftritt

Transkript

1 Symposium on Privacy and Security Freitag, 2. November 2001, Kongresshaus Zürich Track F, 11:15 13:00 Sicherheit beim Web-Auftritt Prof. Dr. Peter Heinzmann, Direktor cnlab AG und Leiter ITA-HSR lic. iur. Marco Fey, Stellvertreter des Datenschutzbeauftragten des Kt ZH Bruno Herzog, ManagementConsultant Information Security, CSC Switzerland AG cnlab / HSR 11/26/01 1

2 Symposium on Privacy and Security Freitag, 2. November 2001, Kongresshaus Zürich Track F, 11:15 11:35 Einleitung zum Track Sicherheit beim Webauftritt Prof. Dr. Peter Heinzmann, Direktor cnlab AG und Leiter ITA-HSR cnlab / HSR 11/26/01 2

3 Themen und Ziele zum Track Sicherheit beim Web-Auftritt Grosse Sicherheit auch für mittlere und kleine Unternehmen Sicherheitseckpunkte aus technischer und rechtlicher Sicht: Sie verstehen die technischen Klippen beim Web- Auftritt Wer sich nicht sichern will, wird fühlen: Investition in Sicherheit: Sie kennen die Rechtsgrundlagen und deren Auslegung in Zusammenhang mit möglichen Zwischenfällen. Sicherheitscheckliste für Web-Auftritte von KMU und Gemeinden: Sie werden Verhaltensweisen in Bezug auf Sicherheitsaspekte überdenken. cnlab / HSR 11/26/01 3

4 Stufen des Web-Einsatzes Integration Transaktion Kunde 3 Web Server Dynamische Web-Seiten Interne Rechner, Prozesse Interaktion Information 2 1 Anfrage, Bestellung (Formular) Statische Web- Seiten cnlab / HSR 11/26/01 4

5 KMU-Netzwerklayout Router Internet Switch Mail Web HTML- Seiten Application Daten DNS Router Firewall Win 9x Demilitarized Zone (DMZ) Intranet RAS Modem Switch BDC Win NT Win 2k Backup NT-/File-/Mail-Server Modem Daten cnlab / HSR 11/26/01 5 PDC

6 Server-Komponenten und -Sicherheit Display Memory Webserver Mailserver... Fileserver Operating System Disc data Keyboard Hardware Peripherals Network cnlab / HSR 11/26/01 6

7 Monatlich veröffentliche neue Vulnerabilities cnlab / HSR 11/26/01 7

8 NIST Statistics on Exploitable Vulnerabilities Statistics on Remotely Exploitable Vulnerabilities Loss Type Availability 230 (38%) 244 (36%) 109 (31%) 43 (42%) Confidentiality 161 (27%) 181 (27%) 102 (29%) 21 (20%) Integrity 29 (5%) 59 (9%) 27 (8%) 5 (5%) Security Protection 279 (46%) 291 (43%) 150 (43%) 45 (44%) Statistics on Locally Exploitable Vulnerabilities Loss Type Availability 62 (19%) 80 (19%) 39 (16%) 4 (6%) Confidentiality 54 (16%) 75 (18%) 35 (14%) 4 (6%) Integrity 70 (21%) 63 (15%) 31 (13%) 10 (15%) Security Protection 209 (64%) 253 (62%) 158 (65%) 52 (80%) cnlab / HSR 11/26/01 8

9 SANS Institute Top Internet Security Vulnerabilities that affect all systems 1. Default installs of operating systems and applications 2. Accounts with No Passwords or Weak Passwords 3. Non-existent or Incomplete Backups 4. Large number of open ports 5. Not filtering packets for correct incoming and outgoing addresses 6. Non-existent or incomplete logging 7. Vulnerable CGI Programs cnlab / HSR 11/26/01 9

10 Sie können Opfer oder Täter bzw. Ankläger oder Angeklagter werden Opfer Verfügbarkeit Ihrer Daten und Dienste Integrität Ihrer Daten (Web-Graffity, Web-Highjacking) Vertraulichkeit Ihrer Daten Nutzung Ihrer Dienste durch unberechtigte Täter Helfer bei Attacken Verteiler von Viren cnlab / HSR 11/26/01 10

11 Kosten von Zwischenfällen und Kosten von Schutzmassnahmen (Risikoabschätzung) Kosten Gesamtkosten Kosten des betrachteten Systems Kosten von Zwischenfällen Kosten von Schutzmassnahmen unprotected High level protection Schutzaufwand cnlab / HSR 11/26/01 11

12 Wie gross ist die Gefahr, welche Rechte werden verletzt, welche Risiken gehen wir ein? Spiegel TV/VOX 2000, 1:20 Cassian von Salomon, Rob Englehardt, John Scheer, Die Zukunftder Technik "Krieg im Netz 1994 Pentagon Hack DoD-Studie Angriffe (88% erfolgreich) 320 Angriffe aufgedeckt (nur 4% der erfolgreichen Angriffe aufgedeckt) 22 Angriffe gemeldet (nur 0.25% der erfolgreichen Angriffe bzw. einer von 400 gemeldet) CyberTerroristen.mpg cnlab / HSR 11/26/01 12