Informationssicherheit für Juristen: vernachlässigter Prozess?

Transkript

1 Informationssicherheit für Juristen: vernachlässigter Prozess? Ulrich Brügger Managing Security Consultant ISSS Vorstand, IBM Schweiz AG

2 Es gibt gute Gründe Informationen zu schützen Behördliche Vorgaben Gesetze, politische Vorgaben Vorschriften Gefahren Spionage Datenanalyse Sabotage, Betrug, Zerstörung, etc. Information Best Practice Security Governance Standards Guidelines

3 Beispiel: Moderne Internetkriminalität heute Warchalking / Wardriving

4 Beispiel Warchalking / Wardriving = Kennzeichnung von ungesicherten Wireless-LAN- Standorten in öffentlichen Bereichen Erstmalig in London aufgetreten! Explosionsartige Ausbreitung einer Subkultur

5 Wardriving Zürich Kartenausschnitt

6 Wardriving im Internet

7 Embedded Systems

8 Dunkelziffer unbekannt: Wirtschafts- und Industriespionage Internationaler Telekommunikationssatellit Abhöranlage für Intelsat und andere Satelliten Kontrollstation für Aufklärungssatelliten (Signit-Satelliten)

9 Beispiel: Nachrichtendienstliche Organisationen: Wirtschaftsspionage als Abfallprodukt? Abhörstation Bad Aibling, BRD

10 Beispiel: Nachrichtendienstliche Organisationen: Wirtschaftsspionage als Abfallprodukt? 1972: Ivy Bells"-Abhörvorrichtung für Unterseekabel

11 Keine Visionen - Realität Warum kaufte Korea den TGV?

12 Was soll man tun? Einige Weisheiten zum Thema: Zitat von Bruce Schneier: (ein Sicherheitspapst ) The only secure Computer is one that s turned off, locked in a safe, and buried 20 feet down in a secret location and I m not completely confident of that one either Fazit: ist sowieso nichts zu machen, also Augen zu und durch? Nein, halten wir uns lieber an Erich Kästner: An allem Unfug, der passiert, sind nicht etwa nur die Schuld, die ihn tun, sondern auch die, die ihn nicht verhindern! Fazit: wir sollten und wir können auch was tun, aber... Zitat von J. Ringelnatz: Sicher ist, dass nichts sicher ist. Selbst das ist nicht sicher. Fazit: Perfekte Sicherheit ist nicht erreichbar, das ist ja normal

13 Auslöser der Informationssicherheit externe Auslöser Gesetzliche Vorschriften (z.b. Länder und EU- Vorschriften Viren, Würmer, Spam Risikobeurteilung/ Sicherheitsanforderungen interne Auslöser Strategische Neuausrichtung, (Business) Process Redesign IT-Konsolidierung Neue Technologien Serviceoptimierung Zunehmende Bedrohung durch Terrorismus, Umweltvorfälle Markterfordernisse (Globalisierung, Supply Chain Integration, etc.) Einführung neuer Technologien Notfall

14 Gefahren und Bedrohungen Hacker Hacker Ihr Unternehmen Faktor Faktor Mensch Viren, Viren, Würmer & Co. Co. Online- Online- Betrüger Schmutzfinfink Spammer

15 Populäre Bedrohungen und Angriffe Kreditkartendiebstahl Abhören von s Spionage Identitätsdiebstahl Finanztransaktionen Web Defacing Integrität Informationen Vertraulichkeit Verfügbarkeit Denial of Service

16 Unpopuläre Bedrohungen Freundschaftsauskünfte Neugierde Nachlässigkeit Fehlmanipulationen Missverständnisse Irrtümer Integrität Informationen Vertraulichkeit Verfügbarkeit Nachlässigkeit Softwarefehler Hardwarefehler

17 Spezielle Probleme: Mobile Geräte Mobile Endgeräte: Laptops, PDAs, Mobiltelefone Schwachstelle: Verlieren, vergessen, stehlen Klassische Antwort: Das passiert mir doch nicht? Wirklichkeit: Statistik: Londoner Taxen, erstes Halbjahr Laptops vergessen! 1400 PDAs vergessen und Mobiltelefone vergessen! Problem: private und geschäftliche Daten auf mobilen Geräten!

18 In vielen Unternehmen finden sich häufig ähnliche, leicht zu identifizierende Sicherheitslücken. unzureichende Vorgaben, Richtlinien oder Anweisungen (Policies) ineffiziente/s Sicherheitsorganisation, -team oder management Fehlende Prozesse (Benutzerregistrierung etc.) Keine durchgängige Informationsklassifizierung Keine durchgängige Systemklassifizierung mässige physische Sicherheitsvorkehrungen (Zutrittskontrollen) keine "Clean Desk" Vorgabe nachlässige Handhabung schutzwürdiger (Kunden-) Daten

19 Spannungsverhältnisse die die Aufgaben erschweren Termine Gesetze Policies/ Standards Kostendruck IT Sicherheits- Programme Benutzer Anfoderungen Schutz des Betroffenen Produktivität Workload Öffentlichkeit

20 Ganzheitliche Betrachtung des Unternehmens auf mehreren Ebenen notwendig. Sicherheitskonzept Business Sicherheit Geschäftsprozesse Diese Ebene repräsentiert alle für das Erreichen der Geschäftsziele notwendigen und kritischen Businessprozesse Business Sicherheit Organisation Unterstützung der Businessprozesse durch Organisation mit Benutzergruppen, Rollen und Verantwortlichkeiten Sicherheit Lösung IT Elemente wie Anwendungen oder Systeme unterstützen als Lösungen die Benutzer und deren Aufgaben IT Sicherheit Infrastruktur Die Infrastruktur wie Netzwerke, Basisdienste aber auch Gebäude werden als Elemente dieser Ebene abgebildet IT IT Architektur

21 1000 Mal gehört IT-Sicherheit ist ein Prozess also ein Kreis, der sich schliessen soll. Fragt sich nur, wo der Anfang ist. IT- Security- Analyse Schwachstellenerkennung Schutzbedarf Gefährdungslage Risikoanalyse IT- Security- Betrieb Administration Monitoring Auditing/Revision Reporting Feedback IT- Security- Policy Grundsätze Richtlinien & Standards Produktbezogene Richtlinien Hilfsmittel Abgeleitete Policies Realisierung und Sensibilisierung Technische Umsetzung Integration der Komponenten Services / Outsourcing Mitarbeiterschulung IT- Sicherheitskonzept IT- Sicherheitsmassnahmen personell, organisatorisch, infrastrukturel, technisch (SW?HW), Restrisiko Soll- ist-vergleich

22 Sensibilisierung? Davon verstehe ich nichts... Geht mich nichts an, ist Sache der Spezialisten... Kostet nur Geld und bringt nichts... Bitte nicht gerade jetzt... Es ist ja noch nie was passiert... Das trifft sowieso nur die anderen...

23 Es braucht Jahre um den Ruf eines sicheren Unternehmens zu schaffen, Sekunden ihn zu verlieren!! Thank you! Brügger Ulrich Managing Security Consultant IBM Global Technology Services