Erfahrungsbericht zu Datenschutzprüfungen

Transkript

1 ADV-Tagung 3. IT-Sicherheitstagung für Fortgeschrittene Wien 11.Nov. 2010, Austria Trend Hotel Erfahrungsbericht zu Datenschutzprüfungen IT-Sicherheit ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 Januar 2009

2 Überblick Allgemeines Situation Erfahrungsbericht Datenschutzprüfungen Strafbestimmungen Zertifizierung Zusammenfassung Seite 2

3 Allgemeines Seite 3

4 ZT Wolfgang Prentner IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit seit 1998 Geschäftsführer der ZTPRENTNERIT GmbH, 2001 Vorsitzender der Bundesfachgruppe Informations- Technologie der Bundeskammer der Arch+Ing, 2003 E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker seit 2004 Mitglied der Plattform Digitales Österreich im Bundeskanzleramt seit Seite 4

5 Befugnis-Umfang (Ziviltechnikergesetz) Beraten Planen Überprüfen Überwachen Koordinieren Treuhandschaften Urkundsfähigkeit Zertifizierung KEINE ausführenden Tätigkeiten KEINE Störungsbehebung KEIN Vertrieb von Software und Hardware KEINE Interessenskonflikte mit gewerblichen Unternehmen Seite 5

6 Situation Seite 6

7 Online Sicherheit On the Internet, nobody knows you are a dog. Seite 7

8 Realer Terrorismus im Internet Weitere Beispiele: CIO Land, CIO KH, BM LV, aktuelle Bedrohungen wie Stuxnet-Wurm Seite 8

9 Hacker kaperten Homepage der deutschen Atomlobby Seite 9

10 Datenklau Seite 10

11 ComputerZeitung (D) Seite 11

12 Neue Bedrohung Professioneller Datenklauer Seite 12

13 Erfahrungsbericht Datenschutzprüfungen Seite 13

14 IT-Sicherheitsanforderungen I Seite 14

15 IT-Sicherheitsanforderungen II Seite 15

16 Aufwandsverteilung Applikationsanalyse Kommunikationsanalyse Netzwerkanalyse Seite 16

17 Vorgehensweise Seite 17

18 INTERNETSICHERHEITSGURT Seite 18

19 1. E-Spionage Informationen sammeln Output Netzwerkplan des Ziel-Unternehmens Außensicht des Angreifers Seite 19

20 1a. E-Spionage Internet Router Ergebnis Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access Seite 20

21 2. Netzwerk- und Systemsicherheit Seite 21

22 3. Kommunikation - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) e9 3f f 76 e h.?..?v...E b 32 ba a dd ac c1 6e..2.@...:...n c 41 3d bb f9 15 b7 d0 09 e A=u..1...P ff d1 8d e cd c a...S...n...T: e 10 f c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d f 3e c8 8a 65 ba a f 72 de d6 O>.A...e.../r c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca de <.M...7.F..M.3e df 8f 08 6c c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go?? d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb R..-/... 00a0 2d c b c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d c 80 b4 6e $L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c ef 54 4a d2 71 0f c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\ c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Seite 22

23 (4. Applikationssicherheit) Login/Doing/Logout Authentifikation Autorisierung Session Management SQL-Injection Code-Review Security Path Testen in unfreundlicher Umgebung Auditing Reporting Seite 23

24 Ergebnisse Seite 24

25 Technische Sicherheit Arbeitsplatzcomputer Server Firewall Status: nicht ok (hohes Risiko) Status: nicht ok (hohes Risiko) Status: nicht ok (mittleres Risiko) Seite 25

26 Organisatorische Sicherheit Systemwartung Status: nicht ok (hohes Risiko) Passwort-Handhabung Status: nicht ok (mittleres Risiko) Datensicherung Status: nicht ok (mittleres Risiko) Datenarchivierung Status: nicht ok (mittleres Risiko) Datenträger-Vernichtung Status: ok Virenschutz Status: ok Fernwartung Status: ok Wireless LAN Status: nicht anwendbar Telearbeit bzw. Home-Office Status: nicht anwendbar Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 26

27 IT-Schwachstellen auf Netzwerkebene Seite 27

28 IT-Schwachstellen MTTR Seite 28

29 Rechtliche Aspekte Seite 29

30 Haftung des IT-Ziviltechniker 1. Öffentliche Urkunde gemäß Ziviltechnikergesetz zum heutigen Stand der Technik 2. Erhöhte Beweiskraft vor Gerichten im Streitfall 3. Haftung insbesondere nach 1299 ABGB für Sachverständigentätigkeit für grobe und leichte Fahrlässigkeit sowie 4. Haftungsübernahme je Schadensfall von 1,5 Mio. Euro durch die Berufshaftpflichtversicherung Seite 30

31 ZT Zertifikat - Raiffeisen Seite 31

32 Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 32

33 Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis ,- Mediengesetz 7 bis ,- Telekommunikationsgesetz 109 bis ,- Seite 33

34 Top 5 Sicherheitsprobleme 1. Nicht aktueller Patchlevel von Serversoftware Das führt idr zu möglichen Buffer Overflows und weiter evtl. Code Injection, DoS- Angriffen, Nicht korrekt programmierte Webanwendungen Mögliche Folgen: SQL-Injections, Cross-Site-Scripting, Falsch oder nicht korrekt konfigurierte Serversoftware nicht immer ein Angriffspunkt, aber oft eine Quelle für Informationen über das System: phpinfo, asp-standard-fehlermeldungen,... (sind eher kleine Sachen, trotzdem...) 4. Verwenden nicht ausreichender Sicherheitsmechanismen Beispiel: Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. 5. Ein Klassiker unbewusst offene Dienste. Es kam immer wieder mal bei einem Kunden vor, dass ein Dienst auf einem System nach außen sichtbar war, der es nicht sein sollte, d.h. die FW war nicht korrekt konfiguriert. Seite 34

35 Zusammenfassung Seite 35

36 Sicherheitslevel Seite 36

37 Nacktscanner Seite 37

38 Zusammenfassung Der Faktor Mensch als Risiko bleibt bestehen. Sicherheitstechnologie am Stand der Technik, regelmäßige Systemwartung und eine hohe Sicherheitskultur sind gute Bestandteile zum Schutz vor Datenklau. Seite 38

39 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 39