Strategiepapier der ITEK zu IT-Sicherheit an der ETHZ. Verfasser: SecITEK (Projekt der IT-Expertenkommission)

Transkript

1 Strategiepapier der ITEK zu IT-Sicherheit an der ETHZ Verfasser: SecITEK (Projekt der IT-Expertenkommission)

2 Strategiepapier Mitglieder der SecITEK: Peter Bircher D-INFK Armin Brunner ID-KOM Franz Koch ID-KOM Wolfgang Lierz ETH-Bibliothek Urs Meile ID-KOM Hanspeter Scherbel D-MATH Stephen Sheridan ID-KOM Frank Thommen D-INFK Fritz Zaucker D-ITET 1

3 Inhaltsverzeichnis 1 Einleitung Motivation Grundhaltung Analyse spezielle Eigenschaften der IT-Umgebung Zielsetzung in Bezug auf IT-Sicherheit Einschätzung der Lage, bezogen auf die Zielsetzung Strategische Ziele 9 4 Umsetzung 10 2

4 Kapitel 1 Einleitung 1.1 Motivation Erzeugung, Transformation und Distribution von Wissen bilden die Hauptaufgabe von Hochschulen wie der ETHZ. Dabei ist die digitale Informationstechnologie (IT) ein sehr wirkungsvolles und wichtiges Instrument. Der Grund für die umfangreichen Arbeiten der SecITEK ist, dass die IT- Expertenkommission (ITEK) eine erhebliche Diskrepanz zwischen der Wichtigkeit von IT-Funktionalitäten und dem Sicherheitsdenken und -handeln in manchen Bereichen der IT-Dienstleistungen festgestellt hat. In die IT- Dienstleistungen sind umfangreiche Investitionen gemacht worden und werden weiter getätigt. Deshalb ist eine Professionalisierung zur Sicherung der Dienstleistungen auf dem heutigen Qualitätsniveau und der Investitionen unumgänglich. Wo notwendig ist dieses Qualitätsniveau anzupassen. Die ETH Zürich orientiert sich in Ausbildung, Forschung und Dienstleistungen an höchsten internationalen Standards. Auf dem Gebiet der IT-Sicherheit bedeutet dies, dass fachbezogene Standards erfüllt und allenfalls weiter entwickelt werden. Die schon bestehenden Ansätze sind entschlossen auszubauen. Es geht auch darum, den Herausforderungen der Zukunft angemessen begegnen zu können. Was für Probleme im Bereich der IT-Sicherheit auftreten können haben in der Vergangenheit verschiedene Ereignisse an der ETHZ gezeigt. So führte z.b. eine Denial of Service (DoS) Attacke zu grösseren Ausfällen der Netzwerkfunktionalität über mehrere Tage. Eine NIMDA-Welle legte offen, dass tausende von PCs an unserer Hochschule für Zugriffe von Dritten offen standen. 3

5 Strategiepapier Um eine bestimmte Qualität der IT-Dienstleistung zu erbringen, muss diese für die Führungsinstanzen auf allen Ebenen mit ihren Sicherheitsaspekten im Zentrum stehen. Eine Diskussion um IT-Sicherheit soll deshalb dazu führen, dass diese Anforderungen explizit formuliert werden. Aufträge für IT- Dienstleistungen sollten mit klaren Vorgaben bezüglich Verantwortlichkeiten, Sicherheitsanforderungen, Ressourcen und Strukturen verbunden sein. Die IT-Dienstleister stehen vor der Herausforderung, den gleichzeitigen Zuwachs von Funktionalitäten und Komplexität einerseits und von Sicherheitsanforderungen andererseits mit beschränkten Ressourcen zu bewältigen. IT- Systeme müssen so betrieben werden, dass im Falle eines sicherheitsrelevanten Ereignisses der Schaden möglichst lokal begrenzt bleibt. Von den einzelnen Benutzern wird erwartet, dass sie ihren Beitrag zur IT-Sicherheit leisten, indem sie die Richtlinien und Standards befolgen. Dazu müssen sie entsprechend informiert und geschult werden. Wo das optimale Verhältnis zwischen Kosten und Nutzen auf der Skala von hoher Sicherheit und kleinem Aufwand zu finden ist, muss im Einzelfall entschieden und durch übergeordnete Richtlinien geregelt werden. Klar ist, dass hohe Anforderungen an Qualität und Sicherheit sich nicht mit den weit verbreiteten schlecht gewarteten und unprofessionell betriebenen Systemen vereinbaren lässt. Das vorliegende Papier soll eine Strategie zur Verbesserung der IT-Sicherheit an der ETHZ skizzieren. Dabei wird an das Projekt ITproETH angeschlossen, welches die Verbesserung der institutionellen und technischen Infrastrukturen an der ETHZ vorsieht. 1.2 Grundhaltung Die SecITEK legt grosses Gewicht auf institutionalisierten, auf Regeln und Verantwortlichkeiten basierenden Betrieb von IT-Strukturen. Ein IT-Dienstleistung erbringendes System wird als integrales Ganzes verstanden, das sich aus einer institutionellen und einer technischen Komponente zusammensetzt. Im Rahmen des institutionellen Betriebs unterstreichen wir das Element der Verantwortung. Diese muss definiert sowie mit Kompetenzen und Ressourcen verknüpft werden. 4

6 Kapitel 2 Analyse 2.1 spezielle Eigenschaften der IT-Umgebung Die ETHZ ist geprägt von einer heterogenen IT-Landschaft. Hervorgerufen wird dies durch eine grosse Dezentralisierung der Kompetenzen und den permanent steigenden Anforderungen und Dynamik in den zu erbringenden Dienstleistungen. Es existieren kaum Vorgaben und Standards in Bezug auf Qualität der IT-Dienstleistungen und IT-Dienstleister. Die Charakteristika im einzelnen sind: dezentrale Kompetenzen und IT-Trägerschaften hohe Anzahl Benutzer und Netzschnittstellen hohe Dynamik in Benutzerschaft / Technologie / Dienstleistungen Betriebskonzepte von Personal Computing bis institutioneller IT wachsende Zahl privater Maschinen 2.2 Zielsetzung in Bezug auf IT-Sicherheit Erklärtes Ziel der ETHZ ist die Lehre und Forschung sowie die Dienstleistungen auf höchstem internationalen Niveau. Die IT-Dienstleistungen und deren Sicherheit sind eingebunden in die Zielhierarchie der ETHZ zu betrachten. 5

7 Strategiepapier Die IT-Sicherheit ist ein wichtiger Aspekt, unter welchem die IT-Dienstleistungen in Bezug auf Datenintegrität, Informationsvertraulichkeit, Authentizität und Verfügbarkeit erbracht werden. Als Risiko kann die Diskrepanz zwischen dem realen und dem perfekten Sicherheitniveau bezeichnet werden. Das Eingehen von Risiken für bestimmte IT-Dienste ist einzukalkulieren. Es darf allerdings nur soweit gehen, dass Dritte respektive die gesamte ETHZ von den Folgen nicht betroffen sind! Absolute IT-Sicherheit ist praktisch nicht zu erreichen. Jede aktive sich am Netz befindliche Maschine stellt ein Risikopotential dar. Die heutigen Systeme weisen leider zu viele Schwachstellen und Verletzlichkeiten auf. Aus diesem Grund muss das geforderte Qualitätsniveau respektive die entsprechende Risikobereitschaft möglichst genau definiert werden. Eine Analyse des Ist-Soll-Zustandes in Bezug auf die IT-Sicherheit an der ETHZ ist aus zwei Gründen schwierig: 1. Die IT-Dienstleistungen werden in unterschiedlichster Art und Weise erbracht. Nur ein kleiner Teil wird explizit im Auftrag der Schulleitung der Gesamt ETHZ erbracht, die meisten werden im Auftrag von hunderten dezentralen Entscheidungsträgern geleistet. 2. Nur eine Minderheit der IT-Dienstleistungen basiert auf einem formulierten Leistungsauftrag mit Sicherheitspflichtenheft. Die Sicherheitsanforderungen bestehen in den allermeisten Fällen aus der impliziten Annahme des Auftraggebers, dass die gewünschte Funktionalität fachgerecht erbracht wird. Pragmatisch wählen wir als Arbeitshypothese das folgende Ziel für IT- Sicherheit: Das Netzwerk und andere strategische IT-Güter der Gesamt- ETHZ sollen auf einem angemessenen Qualitätsniveau bezüglich Datenintegrität, Informationsvertraulichkeit, Authentizität und Verfügbarkeit betrieben werden. Durch die enge Koppelung der Geräte über das Netzwerk genügt es für das Erreichen dieses Ziels nicht, allein die Trägermaschinen wichtiger IT- Güter sowie die Netzwerkkomponenten entsprechend zu schützen, sondern es müssen auch Sicherheitselemente im Netzwerk vorhanden sein, die bei Störungen die Netzwerkfunktionalität gewährleisten können und verhindern, dass weitere Systeme in Mitleidenschaft gezogen werden. 6

8 Strategiepapier Einschätzung der Lage, bezogen auf die Zielsetzung Wenn zum Beispiel ein System mit einer Forschungsdatenbank, ein Doktorandenarbeitsplatz oder eine Versuchsmaschine der Informatikdienste in Betrieb genommen wird, werden lokale und ETHZ weite Risiken generiert. Das Eingehen lokaler Risiken (etwa Totalverlust einer Forschungsdatenbank) gehört zur Verantwortung des Auftraggebers und wird im folgenden nicht weiter betrachtet. Im Zeitalter breitbandiger Vernetzung treten aber lokale Risiken vielfach nicht isoliert auf. Sie sind sehr oft gekoppelt und bedeuten ein ETHZ weites Risiko. Eine Analyse der zahlreichen vorhandenen Verletzlichkeiten führt zum Schluss, dass die ETHZ alle paar Monate von mittleren und schweren Beeinträchtigungen der IT-Funktionen betroffen sein könnte. Wie weit sich dieses Potenzial realisiert, liegt im Moment vollständig ausserhalb der Kontrolle der ETHZ. Die wichtigsten unmittelbaren Schwachstellen sind: tausende von nicht professionell gewarteten Rechnern stellen eine grosse Gefahr für die darauf laufenden Funktionen und für alle Rechner am Datennetz dar. Ein besonderes Problem sind dabei die privaten Rechner. das weitgehende Fehlen von Sicherheitselementen im ETHZ Netzwerk exponiert die IT-Infrastruktur und führt zu einem Netzwerk im Glashaus. die Handlungsfähigkeit im Krisen- und Notfall ist auf zentraler Ebene wie in den Departementen und Dienststellen ungenügend oder nicht vorhanden. das nicht geregelte oder nicht regelkonforme Verhalten von Endbenutzer und Systemadministratoren stellt einen grossen Risikofaktor dar. Aus übergeordneter Sicht lassen sich daraus folgende Hauptkategorien herleiten : Institutionelle Ebene: Es fehlt vielfach eine Verantwortlichkeitsstruktur die auf allen Ebenen nachvollziehbar und klar geregelt ist. In vielen Organisationseinheiten sind die Rechner auch nach den Fortschrit- 7

9 Strategiepapier ten der letzten Jahre nicht flächendeckend von professionellen, kompetenten und reaktionsschnellen IT-Fachleuten betreut, die einen Leistungsauftrag haben und mit Ressourcen ausgestattet sind. Technische Infrastruktur: Es fehlt ein System von Sicherheitselementen im Netzwerk, welches Schutz- und Interventionsmöglichkeiten bietet. Handlungsfähigkeit: Es fehlt eine zentrale Notfallorganisation. Ein besonderes Problem sind private Geräte sowie dienstliche Geräte, die ausserhalb der ETHZ betrieben, aber über das ETHZ Netzwerk mit dem Internet verbunden sind. Beispiele sind: öffentliche Steckdosen in ETHZ Gebäuden Wireless LAN ETH-DialUp, ETH-DialUp800 VPN-Tunnel (Virtual Private Network) private Geräte am ETHZ Netzwerk Alle diese Geräte erscheinen als ETHZ Rechner, ohne dass die ETHZ eine Verfügungsgewalt über dieses private Eigentum hat oder auf diese dienstliche Geräte unmittelbar zugreifen kann. Das erschwert die Durchsetzung von Qualitätsanforderungen im Normalbetrieb erheblich und schränkt die Handlungsfähigkeit in Krisenlagen oder Notfällen empfindlich ein. Die institutionelle und rechtliche Sonderstellung dieser privaten Maschinen erfordert ein separates Vorgehen in Bezug auf Netzwerkanbindung und IT-Sicherheitspolitik. 8

10 Kapitel 3 Strategische Ziele 1. Übergang zu institutionalisiert betriebener IT: IT-Geräte am ETH- Netzwerk sollen unter Verantwortung von institutionellen Trägern mit entsprechendem Auftrag, Verantwortlichkeiten, Kompetenzen, Regeln, Qualitätsstandards und Ressourcen betrieben werden. 2. Prinzip der Nachvollziehbarkeit: Systemrelevante Vorgänge auf ETH-Rechnern müssen rekonstruierbar sein und einer Person zugeordnet werden können. 3. Prinzip regelbasierter Nutzung: Für jede Benutzergruppe existieren klar kommunizierte und verbindliche Regeln mit Rechten und Pflichten. Dies gilt auch für private Rechner am ETH-Netzwerk. 4. Die Handlungsfähigkeit im Notfall soll auf zentraler Ebene stark erhöht werden. 5. Eine robustere Netzstruktur soll das Netzwerk gegen aussen und innen schützen und intern als Ganzes stabilisieren. 6. Ein generelles Sicherheitsbewusstsein und Grundkenntnisse in IT-Sicherheitsfragen soll bei allen Angehörigen der ETH entwickelt respektive vermittelt werden. 9

11 Kapitel 4 Umsetzung Für das Erreichen der oben skizzierten Ziele schlagen wir folgende Massnahmen vor: Fortsetzung von Institutionalisierung und Professionalisierung der IT-Dienstleister im Sinne von ITproETH. Geräte am ETHZ-Netz sollen unter Verantwortung von institutionellen Trägern mit entsprechendem Auftrag, Verantwortlichkeiten, Kompetenzen, Regeln, Qualitätsstandards und Ressourcen betrieben werden. Diese institutionellen Träger setzen die sicherheitsmässigen Qualitätsstandards im Normalbetrieb um und reagieren schnell und effizient im Krisen- oder Notfall. Sie kommunizieren mit der Umwelt über standardisierte Schnittstellen. Sie erlassen und kommunizieren Regeln für Systemadministratoren und Endbenutzer. Aufbau einer Notfallorganisation mit entsprechendem Konzept. Die Handlungsfähigkeit im Notfall soll auf zentraler Ebene stark erhöht werden. Es soll ein Krisenstab gebildet werden, der die Schadensbegrenzung sichert, Behebung der Störung einleitet, und sach- und zielgerichtet informiert. Einführung von Security Standards sowie der Prinzipien von Nachvollziehbarkeit und regelbasierter Nutzung. Für jede Benutzergruppe gibt es kommunizierte Regeln von Rechten und Pflichten. Mit besonderer Sorgfalt muss das Problem der privaten Rechner am ETH- Netz geregelt werden. Schlussbericht2.0.pdf 10

12 Strategiepapier Auf dem Datennetz sollen Sicherheitselemente mit der Möglichkeit einer Segmentierung eingeführt werden. Es soll eine robustere Netzstruktur gegen aussen (Filter/Firewall) und gegen innen (Entkoppelung durch Segmentierung) geben. Das Netz ist mit Sicherheitselementen entsprechend institutioneller Dezentralisierung und durch den Einsatz von Intrusion Detection Systemen zu ergänzen. Schlussbericht1.2.pdf Erneuerung der ETHZ-eigenen rechtlichen Rahmenbedingungen. Sensibilisierung und Vermittlung von Grundkenntnissen bei den Benutzern und Entscheidungsträgern bezüglich IT-Sicherheit zentral (etwa durch die Informatikdienste unter Einbindung der Corporate Communications) und vor Ort (durch die verantwortliche IT-Organisation). Kenntnisse und Sicherung der wahrzunehmenden Verantwortung auf allen Stufen (verstanden und wahrgenommen). 11