Informationssicherheit

Transkript

1 Informationssicherheit - wie und warum - Uwe Seifert, CISSP Certified Information Systems Security Professional (CISSP ) uwe@useifert.de

2 Definition IT-Sicherheit ist der Zustand, der die Verfügbarkeit, die Integrität und die Vertraulichkeit von Informationen beim Einsatz von IT gewährleistet. Dieser Zustand ergibt sich aus : technische personelle IT-Sicherheitskonzept organisatorische materielle

3 Warum benötigen wir Informationssicherheit? Informationssicherheit Rechtliche Vorgaben BGB,HGB Bürgerliche Gesetzbuch BDSG Bundesdatenschutzgesetz StGB Strafgesetzbuch TKG / TDDSG Telekommunikationsgesetz KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Kundenanforderungen zuverlässige Serviceleistungen sichere Infrastrukturen Business über Internet Entwicklungspartnerschaft Know-how Schutz ISO-Zertifizierung Eigeninteresse Schutz von Informationen und Wissen Schutz der Infrastrukturen Kooperation mit Wettbewerbern Image in der Öffentlichkeit

4 Angriffe und Eindringen von außen

5 Infoabfluss von Innentätern

6 Verlust von Daten und Infrastruktur Beim Absturz der Spanair-Maschine JK 2022 vor zwei Jahren soll Schadsoftware nach Art eines Trojaners eine Rolle gespielt haben. Damals war die Maschine auf dem Weg nach Gran Canaria kurz nach dem Start auf dem Madrider Flughafen auf dem Boden aufgeschlagen; 154 der 172 Menschen an Bord kamen ums Leben. Es war seit über 25 Jahren das schlimmste Unglück in der Geschichte der spanischen Luftfahrt. Nun meldet die spanische Tageszeitung El Pais in ihrer Ausgabe vom , dass das zentrale Spanair-Sicherheitssystem ein Rechner nicht genannter Bauart, der in der Spanair-Zentrale in Palma de Mallorca stand und der für die technische Überwachung der Flugzeuge eingesetzt wurde von Trojanern verseucht gewesen sein soll. Der Rechner war so programmiert, dass er Alarm geben sollte, wenn drei ähnliche technische Probleme festgestellt wurden. Der Trojanerbefall habe das aber verhindert. Nach der Veröffentlichung hat der zuständige Untersuchungsrichter Juan David Perez angeordnet, dass die spanische Fluggesellschaft alle relevanten Daten herausgeben soll.

7 Angriffsvektoren 1 Angriff von Verlust Außen auf Plattformen im Internet 2 Eindringen von außen in interne Netze und Anwendungen 3 Info- Abfluss durch Innentäter, Geschäftspartner und Wettbewerber im internen Netz 4von Daten und Infrastruktur durch Katastrophen Abhören Spionage Diebstahl Datenverlust Computerviren Irrtum Katastrophen Hacker Verfälschung

8 Viele Wege führen zur Sicherheit ISO (BS 7799) COBIT ISO TR Common Criteria ITSM TÜV IT - ISO ITIL (IT Infrastructure Library) - BSI-Standards IT-Grundschutz Welcher Weg ist der Richtige?

9 ISO/IEC 27K Standards In der ISO wird zur Zeit eine internationale Normenreihe von Informationssicherheits- Managementsystemen (ISMS) entwickelt. ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27005:2008 an overview/introduction to the ISO27k standards as a whole plus the specialist vocabulary used in ISO27k is the Information Security Management System (ISMS) requirements standard, is the code of practice for information security management (ISO/IEC 17799: ) is an information security risk management standard

10 ISO/IEC Standard ISMS umsetzen festlegen act plan do verbessern überwachen check

11 ISO festlegen Definition des Anwendungsbereiches und der Grenzen des ISMS Definition der ISMS-Leitlinie Definition der Vorgehensweise der Organisation für Risikoeinschätzung Identifizierung der Risiken Analyse und Bewertung der Risiken Identifizierung und Bewertung der Optionen für die Risikobehandlung Auswahl der Maßnahmenziele und Maßnahmen für die Risikobehandlung Zustimmung des Managements zu den vorgeschlagenen Restrisiken Genehmigung des Managements für die Umsetzung und Durchführung des ISMS Erstellung einer Erklärung zur Anwendbarkeit

12 ISO umsetzen Formulierung eines Risikobehandlungsplans Umsetzung des Risikobehandlungsplans Umsetzung der ausgewählten Maßnahmen Definition eines Maßes für die Wirksamkeit der ausgewählten Maßnahmen Umsetzung von Programmen für Schulung und Bewusstseinsbildung Verwaltung des Betriebs des ISMS Verwaltung der Ressourcen für das ISMS Umsetzung von Verfahren und anderen Maßnahmen, die eine sofortige Erkennung von Sicherheitsereignissen und Reaktion auf Sicherheitsvorfälle ermöglichen

13 ISO überwachen Regelmäßige Überprüfung der Wirksamkeit des ISMS Messung der Wirksamkeit von Maßnahmen Überprüfung der Risikoeinschätzungen in regelmäßigen Abständen und Überprüfung der Restrisiken Durchführung interner ISMS-Audits in geplanten Abständen Ausführung einer regelmäßigen Managementbewertung des ISMS Aktualisierung von Sicherheitsplänen Aufzeichnung von Aktivitäten und Ereignissen, die einen Einfluss auf die Wirksamkeit oder die Leistung des ISMS haben könnten

14 ISO verbessern Umsetzung der identifizierten Verbesserungen im ISMS Ergreifung von geeigneten Vorbeugungsmaßnahmen Mitteilung der Maßnahmen und Verbesserungen an alle Interessenten, Sicherstellung, dass die Verbesserungen die beabsichtigten Ziele erreichen

15 ITIL Die Geschichte Was ist ITIL? Öffentlich verfügbares Framework Bibliothek mit Leitlinien für eine effektive und effiziente Bereitstellung von qualitätsbasierten IT Services Beschreibt Konzepte sowie die erforderlichen Prozesse und Funktionen Die weltweit einzige, konsistente, umfassende und herstellerunabhängige Beschreibung des IT Service Management Internationaler De-facto-Standard ITIL Version 1 entsteht Stück für Stück und wächst auf mehr als 40 Dokumente ITIL Version 2 wird erstellt. Insgesamt werden 7 Bände veröffentlicht 2007 ITIL Version 3 mit den 5 Kernbüchern zum Service Management wird freigegeben

16 ITIL (IT Infrastructure Library) IT-Sicherheit

17 ITIL - Security Framework - Information Security Mgmt System Information Security Policy maintain - Learn - Correct plan evaluate - Internal audits - External audits - Self assesment - Security incidents control - organize - Service Level Agreements - Underpinning contracts - Operational Level Agreements - Policy Statements plan implement - Create awareness - Classification - Personal security - Physical security - Networks,applications,computers - Access Rights Management - Security incidents procedures Overall Information Security Policy Use and misuse of IT assets policy Acess control policy Password control policy policy internet policy anti-virus policy information classification policy document classification policy remote access policy Supplier access policy Asset disposal policy ISO/IEC 27001:2005

18 BSI Standards B undesamt für S icherheit in der I nformationstechnik

19 BSI-Sicherheitsstandards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: (Entwurf) Notfallmanagement

20 BSI-Standard Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT- Sicherheitskonzeptes und einer IT-Sicherheitsorganisation Hilfsmittel zur Umsetzung IT-Sicherheitsstrategie IT-Sicherheitsorganisation IT-Sicherheitskonzept Prozesse, Abläufe Strukturen Maßnahmen Beschreibung der IT-Struktur Risikobewertung Regeln, Anweisungen Quelle: BSI-Standard 100-1

21 BSI Standard Sicherheitskonzeption nach IT-Grundschutz - Quelle: BSI-Standard 100-2

22 BSI-Standard Quelle: BSI-Standard 100-2

23 IT-Grundschutz - Baustein Module - B 3 IT-Systeme In der Schicht IT-Systeme sind folgende Bausteine enthalten: B Allgemeiner Server B Server unter Unix B Server unter Windows NT B Server unter Novell Netware 3.x B Server unter Novell Netware Version 4.x B Server unter Windows 2000 B S/390- und zseries-mainframe B Windows Server 2003 B Allgemeiner Client B Allgemeines nicht vernetztes IT- System B Laptop B Client unter Unix B Client unter Windows NT B Client unter Windows 95 B Client unter Windows 2000 B Internet-PC B Client unter Windows XP B Client unter Windows Vista B Sicherheitsgateway (Firewall) B Router und Switches B Speichersysteme und Speichernetze B TK-Anlage B Faxgerät B Anrufbeantworter B Mobiltelefon B PDA B Drucker, Kopierer und Multifunktionsgeräte

24 IT-Grundschutz - Baustein Module - B Laptop Beschreibung Unter einem Laptop oder Notebook wird ein PC verstanden, der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-, CD-ROM- oder DVD-Laufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem, ISDN, LAN, USB, Firewire, WLAN). Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. Daher ist zusätzlich der betriebssystemspezifische Client-Baustein zu betrachten. Typischerweise wird ein Laptop zeitweise allein, ohne Anschluss an ein Rechnernetz betrieben, und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden- oder Unternehmensnetz verbunden. Häufig wird er auch während der mobilen Nutzung über Modem direkt mit externen Netzen, insbesondere mit dem Internet, verbunden, so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. Die Einrichtungen zur Datenfernübertragung (über Modem, ISDN-Karte, etc.) werden hier nicht behandelt (siehe Baustein B 4.3). Für den Laptop wird vorausgesetzt, dass er innerhalb eines bestimmten Zeitraums nur von einem Benutzer gebraucht wird. Ein anschließender Benutzerwechsel wird berücksichtigt

25 IT-Grundschutz - Gefährdungen - Für den IT-Grundschutz eines Laptops werden folgende typische Gefährdungen angenommen: Höhere Gewalt: - G 1.2 Ausfall von IT-Systemen - G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung Organisatorische Mängel: - G 2.7 Unerlaubte Ausübung von Rechten - G 2.8 Unkontrollierter Einsatz von Betriebsmitteln - G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs Menschliche Fehlhandlungen: - G 3.2 Fahrlässige Zerstörung von Gerät oder Daten - G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen - G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal - G 3.8 Fehlerhafte Nutzung von IT-Systemen - G 3.38 Konfigurations- und Bedienungsfehler - G 3.76 Fehler bei der Synchronisation mobiler Endgeräte Technisches Versagen: - G 4.9 Ausfall der internen Stromversorgung - G 4.13 Verlust gespeicherter Daten - G 4.22 Software-Schwachstellen oder -Fehler - G 4.19 Informationsverlust bei erschöpftem Speichermedium - G 4.52 Datenverlust bei mobilem Einsatz

26 IT-Grundschutz - Gefährdungen - Vorsätzliche Handlungen: - G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör - G 5.2 Manipulation an Informationen oder Software - G 5.4 Diebstahl - G 5.9 Unberechtigte IT-Nutzung - G 5.18 Systematisches Ausprobieren von Passwörtern - G 5.21 Trojanische Pferde - G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems - G 5.23 Schadprogramme - G 5.43 Makro-Viren - G 5.71 Vertraulichkeitsverlust schützenswerter Informationen - G Missbrauch der Informationen von mobilen Endgeräten - G Unberechtigte Datenweitergabe über mobile Endgeräte - G Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten

27 IT-Grundschutz - Maßnahmen - Planung und Konzeption - M 2.36 (B) Geregelte Übergabe und Rücknahme eines tragbaren PC - M (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten - M (A) Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung - M 4.29 (Z) Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme Beschaffung - M (A) Geeignete Auswahl von Laptops Umsetzung - M 5.91 (A) Einsatz von Personal Firewalls für Internet-PCs - M (B) Sichere Kommunikation von unterwegs - M (A) Sicherer Anschluss von Laptops an lokale Netze

28 IT-Grundschutz - Maßnahmen - Betrieb - M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz - M 1.34 (A) Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz - M 1.35 (Z) Sammelaufbewahrung tragbarer IT-Systeme - M 1.46 (Z) Einsatz von Diebstahl-Sicherungen - M 4.3 (A) Einsatz von Viren-Schutzprogrammen - M 4.27 (A) Zugriffsschutz am Laptop - M 4.28 (Z) Software-Reinstallation bei Benutzerwechsel eines Laptops - M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz - M (B) Abgleich der Datenbestände von Laptops - M (Z) Zentrale Administration von Laptops - M (A) Nutzung von IrDA-Schnittstellen Aussonderung -M (A) Verlustmeldung Notfallvorsorge - M 6.71 (A) Datensicherung bei mobiler Nutzung des IT-Systems

29 IT-Grundschutz - Maßnahmen - M 4.27 Zugriffsschutz am Laptop Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Benutzer Jeder Laptop sollte mit einem Zugriffsschutz versehen werden, der verhindert, dass dieser unberechtigt benutzt werden kann. Bei Laptops sollte als Minimalschutz, wenn kein anderer Sicherheitsmechanismus vorhanden ist, der BIOS-Bootschutz aktiviert werden, wenn dessen Nutzung möglich ist. Erst nach Eingabe des korrekten Bootpasswortes wird der Rechner dann hochgefahren. Die im Umgang mit Passwörtern zu beachtenden Regeln sind in M 2.11 Regelung des Passwortgebrauchs aufgeführt worden. Außerdem bieten nahezu alle Betriebssysteme die Möglichkeit, Anmeldepasswörter einzurichten und diese mit geeigneten Restriktionen zu versehen (z. B. Mindestlänge, Lebensdauer, etc.). Da diese Bordmittel nur eine begrenzte Sicherheit bieten, empfiehlt es sich bei Laptops, auf denen sich schnell große Mengen sensitiver Daten sammeln, zusätzliche Sicherheitshard oder -software einzusetzen. Dazu gehören beispielsweise Chipkarten oder Token, die die Authentikation absichern. Ist keine Passwortroutine installiert, sollte, wenn keine Verschlüsselung der Daten erfolgt, die Speicherung von schutzbedürftigen Daten auf der Festplatte verboten und deren Speicherung stattdessen nur auf mobilen Datenträgern, also z. B. Disketten oder USB-Sticks, zugelassen werden. Diese sind dann getrennt vom Laptop aufzubewahren, zum Beispiel in der Brieftasche. Bei kurzen Arbeitsunterbrechungen muss unbedingt ein Zugriffsschutz aktiviert werden, z. B. ein Bildschirmschoner. Ist es absehbar, dass die Unterbrechung länger dauert, ist der Laptop auszuschalten. Ergänzende Kontrollfragen: - Ist ein angemessener Zugriffschutz für die Laptops vorhanden? Werden die Regeln für den korrekten Umgang mit dem Zugriffschutz eingehalten? - Wird bei der Übergabe eines Laptops das Passwort gewechselt?

30 Die Sicherheitspyramide Richtlinien, Standards, Sicherheitskonzept Sicherheitsbewusstsein & Kultur Sicherheitsdienste wie CERT, Trust Center (PKI) Identity- and Access-Management

31 Informationsmanagement System - Die Sicherheitspyramide - Netzwerkinfrastruktur

32 Informationsmanagement System - Die Sicherheitspyramide - Systemsicherheit

33 Informationsmanagement System - Die Sicherheitspyramide - Anwendungen

34 Informationsmanagement System - Die Sicherheitspyramide - Erst bei Umsetzung aller Maßnahmen ist der (Daten)schatz ausreichend gesichert

35 Vielen Dank für Ihre Aufmerksamkeit und bleiben Sie aufmerksam!

36 Kontaktdaten: Uwe Seifert