Datenklau beim Outsourcing verhindern wie geht das?

Transkript

1 Applied Security GmbH Ihr Partner für Datensicherheit Datenklau beim Outsourcing verhindern wie geht das? IT-Trends 2007 Dr. Volker Scheidemann Produktmanager Seite 1

2 Inhalt Kurzvorstellung Applied Security GmbH (apsec) Outsourcing Chancen und Risiken Gelegenheit macht Diebe Datenklau verhindern mit fideas file enterprise Fazit Seite 2

3 Wer ist apsec? Applied Security GmbH Gegründet 1998 Sitz in Stockstadt/Main Softwareentwicklung und Beratung zur IT-Sicherheit Seite 3

4 Wer ist apsec? fideas -Produktfamilie file sign health : Datenklau verhindern : SigG-konforme digitale Signatur : Datenaustausch im Gesundheitswesen minica : Die kleine Zertifizierungsstelle web smile : Sicherheit für Online-Formulare : Kryptografisches Toolkit für Softwareentwickler Seite 4

5 Man soll die Stalltür nicht erst schließen, wenn die Kuh bereits gestohlen ist. (deutsches Sprichwort) Seite 5

6 Outsourcing Make or buy? Outsourcing bietet Chancen Spezialisten-Know How Zugriff auf externe Ressourcen, z.b. Rechenzentrum Ermöglicht Konzentration auf eigenes Kerngeschäft Kalkulierbare Kosten Seite 6

7 Outsourcing - Konsequenzen Outsourcing erfordert häufig Einbeziehung des Dienstleisters in interne Prozesse Übergabe der Kontrolle über interne Ressourcen an den Dienstleister Zugang des Dienstleisters zu internen Daten Seite 7

8 Beispiel: IT-Dienstleister IT-Outsourcing beinhaltet z.b. Netzwerkadministration Softwareverteilung und - installation Server Hosting Erstellen und Verwalten von Datenbackups etc. Seite 8

9 Gelegenheit macht Diebe Probleme beim Outsourcing Zugang zu sensiblen Daten Umgehung von Sicherheitsmaßnahmen, z.b. Firewall Gefahr des Innentäters wächst Wie vertrauenswürdig ist der Dienstleister? Compliance Seite 9

10 Relevante Gesetzesauflagen (Auszug) Schutz personenbezogener Daten (BDSG) Verschwiegenheitspflicht bei Privatgeheimnissen ( 203 StGB) Geschäfts- u. Betriebsgeheimnisse ( 17 UWG, 404 AktG) Strafandrohung: Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren Persönliche Haftung der Geschäftsführung Seite 10

11 Beispiel Datenschutz Auszug BDSG, Anlage zu 9, Satz 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind... Seite 11

12 Beispiel Datenschutz Auszug BDSG, Anlage zu 9, Satz 1... zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Seite 12

13 Beispiel Datenschutz Das BDSG verlangt Zugriffskontrolle auch für Interne. Das gilt auch für Systemadministratoren! Und für IT-Dienstleister Bordmittel reichen nicht zum Schutz! Zusatzmaßnahmen sind notwendig. Seite 13

14 Aktuelle Studie Fig 5: Groups that are considered to pose the biggest risk to the network in terms of potential sources for data loss* Temporary Workers Guest Users Contractors Internal employees accessing the LAN remotely Internal employees accessing the LAN Other *Quelle: Securing Corporate Ghosts, Studie LoudHouse Research 2007 Seite 14

15 Grundsätzliches Kontrolle und Verantwortung verbleiben beim auslagernden Unternehmen, denn Verantwortung kann nicht ausgelagert werden! Sowohl IT- als auch operative Risiken im Vorfeld analysieren, bewerten und Strategien zur Risiko- Minimierung entwickeln. damit entstehende Kosten im Business-Case berücksichtigt werden können! Seite 15

16 Strategie zur Behandlung von Risiken Seite 16

17 Was kann man unternehmen? Zwei unterschiedliche Ansätze... Seite 17

18 1. Die Hoffnung nicht aufgeben 2006 ist sicher nichts passiert wird sicher nichts passieren wird sicher nichts passieren... Seite 18

19 2. Datenverschlüsselung Seite 19

20 Wieso Verschlüsselung? Ich hab doch schon eine Firewall... Seite 20

21 Weil Sie mit Verschlüsselung auch mit Torwart spielen! Seite 21

22 Was den Dieb zum Dieb macht Hier beugt Verschlüsselung vor! Quelle: KPMG-Studie Wirtschaftskriminalität 2006, Fraud-Triangle nach Cressey Seite 22

23 Warum fideas file enterprise? Seite 23

24 Eine gute Verschlüsselung bietet... Keine Beeinträchtigung gewohnter Arbeitsabläufe Abbildung der Unternehmensstruktur möglich Zentrale Durchsetzung der Sicherheitsrichtlinien Vertreterregelungen Hohe Ausfallsicherheit und Skalierbarkeit Wenig Verwaltungsaufwand Recovery-Lösung für den Notfall Preiswert Seite 24

25 fideas file enterprise bietet... Seite 25

26 Sicherheit für Dateien und Ordner Seite 26

27 Zugriff für Arbeitsgruppen Seite 27

28 Sichere Authentisierung Security Server Admin Schickt Konfiguration digital signiert prüft Challenge- Response Zertifikatsspeicher Zwei-Faktor- Authentisierung prüft Zwei-Faktor- Authentisierung Private Agent Anwender Sicherheitsadministrator Zertifikatsspeicher Seite 28

29 Zugriffbeschränkung auf legitimierte Benutzer Seite 29

30 Einfachste Administration Seite 30

31 Kontrolle von mobilen Datenträgern Seite 31

32 Zufriedene Anwender......, denn sie merken nichts von der Verschlüsselung. Seite 32

33 Was andere über fideas file enterprise sagen... Auszüge aus dem Gutachten von Prof.Dr. Rainer Thome, E-Government-Berater der bayerischen Landesregierung Seite 33

34 ..., ist zum Beispiel: Die intuitive Bedienung der Software sowohl auf Seiten des Administrators als auch auf Seiten der Anwender ermöglicht eine schnelle und unkomplizierte Implementierung. Es konnte [...] kein Szenario erstellt werden, bei dem sich der Einsatz dieser Software störend auf den Arbeitsablauf ausgewirkt hat und es aufgrund der Verschlüsselung zu Verzögerungen kam. Seite 34

35 ..., ist zum Beispiel: Während der ausgiebigen Testphase konnten keine sicherheitskritischen Verstöße festgestellt werden. Zusammenfassend kann festgestellt werden, dass sich durch den Einsatz der Verschlüsselungssoftware fideas fileenterprise das Sicherheitsniveau in einem Unternehmen erheblich verbessern lässt. Komplettes Gutachten unter Seite 35

36 Anwendung: Outsourcing Dienstleister bekommt durch Verschlüsselung nur Einsicht in für ihn relevante Daten Spezialfall: IT-Dienstleister kann ALLE Daten verwalten, aber nicht unbedingt auch einsehen Backups können verschlüsselt erfolgen Kontrolle über den Datenzugriff bleibt im eigenen Haus Seite 36

37 Fazit Outsourcing-Vorteile nicht durch Aufreißen von Sicherheitslöchern verschenken Zugriff zu internen Daten auf ein Minimum beschränken Verschlüsselung hilft dabei Trennung von Sicherheits- und Netzwerkadministration ist essentiell Seite 37

38 Fazit Behalten Sie die Kontrolle über die Schlüssel! Setzen Sie Ihre Sicherheitsrichtlinien an zentraler Stelle durch! Und ganz nebenbei: schützen Sie sich auch dann gegen Datenklau und Spionage, wenn Sie kein Outsourcing betreiben! Seite 38

39 Um es einfach zu sagen... Seite 39

40 Um es einfach zu sagen schließen Sie die Stalltür mit fideas file enterprise Seite 40

41 Vielen Dank für Ihre Aufmerksamkeit! Ihr Ansprechpartner: Dr. Volker Scheidemann Produktmanager Seite 41