Unangemessenheit von IT- Sicherheits-Ma. Maßnahmen. Michael Haack INFODAS GmbH, Köln

Größe: px

Ab Seite anzeigen:

Download "Unangemessenheit von IT- Sicherheits-Ma. Maßnahmen. Michael Haack INFODAS GmbH, Köln"

Tomas Arnold
vor 8 Jahren
Abrufe

1 Unangemessenheit von IT- Sicherheits-Ma Maßnahmen Michael Haack INFODAS GmbH, Köln

2 Übersicht Aktuelle Beispiele von unangemessenen Sicherheitsmaßnahmen Übertragung auf die IT Wie kommt es zu unangemessenen Maßnahmen? Wie kann man IT-Sicherheit mit Augenmaß erreichen? 2010 Michael Haack, INFODAS GmbH 2

3 Aktuelles Vorfall-Beispiel 2010 Michael Haack, INFODAS GmbH 3

4 Unangemessene Maßnahmen? Es gab doch Maßnahmen! Warum haben die nicht gewirkt? Warum keinen Körperscanner beim Bäcker? Warum keinen Fussgängerhelm? 2010 Michael Haack, INFODAS GmbH 4

5 Anforderungen an Maßnahmen Maßnahmen müssen wirtschaftlich, wirksam, praktikabel, angemessen und akzeptabel sein Michael Haack, INFODAS GmbH 5

6 In der IT ist es genauso! Nach Vorfällen werden übereilte Schlüsse gezogen und dann in vielen Fällen falsche - weil nicht wirtschaftliche - Maßnahmen auf den Weg gebracht. Motivation: Wer den Brand löscht l scht, erweist sich als Held - wer Feuerlöscher aufhängt und so Brände verhindert, wird nicht wahrgenommen Michael Haack, INFODAS GmbH 6

weil nicht wirtschaftliche - Maßnahmen auf den Weg gebracht.

7 Negativ-Beispiele Virtuelle Cluster-Systeme aber keine geschulten Administratoren LKW-Schutzwall aber VPN aus Indien Awareness-Kampagnen 2010 Michael Haack, INFODAS GmbH 7

8 Negativ-Beispiele Policy fordert: Die Nutzung von privater IT (auch Peripherie: Maus, Tastatur etc.) und Datenträgern zu dienstlichen Zwecken ist nicht erlaubt. Mobilfunkgeräte sind durch eine PIN vor unberechtigter Nutzung zu schützen. Realität ist: Passwort-Policy wird nicht technisch durchgesetzt Administrationsrechte sind vorhanden Zutrittsschutz ist nicht gegeben 2010 Michael Haack, INFODAS GmbH 8

Mobilfunkgeräte sind durch eine PIN vor unberechtigter Nutzung zu schützen.

9 Negativ-Beispiele Policy fordert: Eine Übertragung von vertraulichen Informationen im Klartext über das Netzwerk ist nicht zulässig. Realität ist: Sperrung von USB-Schnittstellen am PC Sperrung von verschlüsselten Datenformaten am Gateway ( Ihre Nachricht enthielt verschluesselte Dateien, die den Sicherheitsregeln nicht entsprechen. Ihre Mail wurde nicht zugestellt. ) 2010 Michael Haack, INFODAS GmbH 9

Realität ist: Sperrung von USB-Schnittstellen am PC Sperrung von verschlüsselten Datenformaten am

10 Weitere Defizite Einhaltung von Maßnahmen wird nicht kontrolliert Monitoring, Log-Auswertung Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) Auditing, Social Engineering-Tests Verstöße werden nicht geahndet Private Internet-Nutzung verbieten, aber dann tolerieren, geht nicht - das färbt dann auch auf andere Policies ab Verstöße werden geheim gehalten Oft werden Konsequenzen aus Angst vor negativem Image geheim gehalten. Aber: wenn man einen Unfall sieht, fährt man zumindest für einige Zeit vorsichtiger 2010 Michael Haack, INFODAS GmbH 10

tolerieren, geht nicht - das färbt dann auch auf andere Policies ab Verstöße werden geheim gehalten Oft werden Konsequenzen aus Angst vor

11 Weitere Defizite Aktuelle Entwicklungen werden nicht berücksichtigt Paradigmenwechsel: von Perimeter-Sicherheit zu Endpoint Security Sicherheit von der Netzwerk- in die Anwendungsebene 2010 Michael Haack, INFODAS GmbH 11

Perimeter-Sicherheit zu Endpoint Security Sicherheit

12 Mißbrauch von Checklisten IT-Grundschutz wird als Checkliste missbraucht ohne sich über die Wertigkeiten der verschiedenen Bedrohungen für die Organisation klar zu werden Michael Haack, INFODAS GmbH 12

Wertigkeiten der verschiedenen Bedrohungen für die

13 Risiko-Ansatz im IT-Grundschutz IT-Strukturanalyse Wie sieht der Untersuchungsgegenstand aus? (Netzplan, IT-Systeme, IT-Anwendungen, Räume) Feststellung des Schutzbedarfs normal, hoch, sehr hoch Modellierung Welche Bausteine des GSHB lassen sich anwenden? Basis-Sicherheitscheck Welche Grundschutzmaßnahmen sind bereits umgesetzt? bei hohem Schutzbedarf, fehlende BS: Ergänz. Sicherheitsanalyse Risikoanalyse Realisierung der Sicherheitsmaßnahmen 2010 Michael Haack, INFODAS GmbH 13

Bausteine des GSHB lassen sich anwenden? Basis-Sicherheitscheck Welche Grundschutzmaßnahmen sind bereits umgesetzt?

14 Risiko-Ansatz im IT-Grundschutz 2010 Michael Haack, INFODAS GmbH 14

15 Bewertung der Einzel-Risiken 2010 Michael Haack, INFODAS GmbH 15

16 Bewertung der Risiken Eine ergänzende Sicherheitsanalyse ist durchzuführen, wenn hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein im IT-Grundschutz existiert Michael Haack, INFODAS GmbH 16

zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein

17 Priorisierung der Risiken Abarbeitung der Risikoreduzierenden Maßnahmen nach Priorisierung! Risiken, deren Eintrittswahrscheinlichkeit klein und deren potenzieller Schaden klein ist, müssen bewusst getragen werden, um nicht hierfür wertvolle Ressourcen - Gelder und Arbeitszeit - zu verschwenden Michael Haack, INFODAS GmbH 17

Risiken, deren Eintrittswahrscheinlichkeit klein und deren potenzieller Schaden

18 Kostenbetrachtung 2010 Michael Haack, INFODAS GmbH 18

19 Tipp Fachbereich in die Verantwortung nehmen Risiken mit Unterschrift bestätigen lassen - mit der eigenhändigen Unterschrift wird die persönliche Verantwortung spürbar. Risiken hat nicht die IT, sondern der verantwortliche Fachbereich Anwender in die Verantwortung nehmen Rechte und Pflichten z. B. Einverständnis zur Privatnutzung mit Zustimmung zu Beschränkungen 2010 Michael Haack, INFODAS GmbH 19

Risiken hat nicht die IT, sondern der verantwortliche Fachbereich Anwender in die Verantwortung

20 Fazit Nach Vorfällen nicht übereilt handeln Keine Pseudo-Maßnahmen installieren Risiken ermitteln und angemessen behandeln Anwender einbeziehen Maßnahmen überwachen 2010 Michael Haack, INFODAS GmbH 20

und angemessen behandeln Anwender einbeziehen

21 Danke für f r Ihre Aufmerksamkeit! Ihr Kontakt: Michael Haack, IT Security INFODAS GmbH, Rhonestraße e 2, Köln (0221) (0221) m.haack@infodas.de

22 Wir über uns Rechtsform Geschäftsführung Stammkapital DIN EN ISO 9001 Gesellschaft mit beschränkter Haftung Holger Henn Kurt Schmidt ,- Handelsregister Köln HRB 6484 Gründung Firmensitz Kommunikation 15. August 1974 Rhonestraße 2 D Köln Postfach D Köln Tel.: (0221) Fax: (0221) infodas@infodas.de WWW: Michael Haack, INFODAS GmbH 22

23 Beratungs- und Projektkompetenz 35 Jahre Erfahrung IT-Security Erstellung von IT-Sicherheitskonzepten Durchführung von IT-Sicherheitsanalysen Wirtschaftlichkeitsbetrachtungen zur Umsetzung des IT-Sicherheitsprozesses Notfallvorsorgekonzeptionen Zugriff auf das Know-How eines Unternehmens mit hoher Projektkompetenz IT-Systems Diverse Betriebssysteme Aufbau und Konfiguration von Netzwerken für LAN und WAN Mailgateways für SMTP, X.400 Einrüstung der IT Ausstattung in Fahrzeuge und Kabinen Roll out / Softwareverteilung Schwachstellen-Analysen Auditierung und Zertifizierung nach BSI- Grundschutz und ISO IT-Services Business Intelligence für ein wirtschaftliches Reporting und Controlling Billing für Kunden mit einem Bedarf an Abrechnungen mit detailliertem Nachweis der Nutzer- und Dienstedaten Dokumenten- und Vorgangsmanagment zur Prozessbeherrschung und zum effizienten Einsatz von Mitarbeitern und Mitteln 2010 Michael Haack, INFODAS GmbH 23

24 Kompetenz in IT-Sicherheit Langjährige Kernkompetenz IT-Sicherheit (seit 1980) 3 lizenzierte Auditoren ISO 27001/IT-Grundschutz Arbeit mit dem IT-Grundschutzhandbuch seit 1996 Restrukturierung des IT-Grundschutzhandbuchs 2005 Erstellung des Bausteins Windows NT im IT-GSHB Mitarbeit am IT-Grundschutz-Zertifizierungsschema Datenschutzbeauftragte und Prüfungen Datensicherheit Zahlreiche Fachvorträge und Publikationen Entwicklung der IT-Sicherheitsdatenbank 2010 Michael Haack, INFODAS GmbH 24

25 Kundenreferenzen öffentlicher Sektor Aktion Mensch e.v., Bonn Bundesministerium der Verteidigung, Bonn Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn Bundesamt für Wehrtechnik und Beschaffung, Koblenz Bundesamt für Informationsmgt.u.Informationstechnik d.bundeswehr Bundesamt für Bauwesen und Raumordnung, Bonn Bundesanstalt für Finanzdienstleistungsaufsicht; Bonn und Frankfurt Bundespolizeipräsidium West, St. Augustin CJD Berufsförderungswerk, Vallendar Deutsche Krebshilfe e.v., Bonn Deutscher Akademischer Austauschverein, Bonn Deutscher Wetterdienst, Offenbach Eisenbahnbundesamt, Bonn Feuerwehr Düsseldorf Finanzministerium Nordrhein-Westfalen, Düsseldorf Mitteldeutscher Rundfunk, Leipzig Nieders.Ministerium f.ernährung, Landwirtschaft u.forsten, Hannover Norddeutscher Rundfunk, Hamburg Ruhrverband AG, Essen Sächsisches Staatsministerium für Soziales, Dresden Sächsisches Staatsministerium für Wissenschaft und Kunst, Dresden Sächsisches Landeskrankenhaus Altscherbitz, Leipzig Stadt Köln Stiftung Haus der Geschichte, Bonn und Leipzig 2010 Michael Haack, INFODAS GmbH Zollkriminalamt, Köln, und Zollfahndungsämter 25 Sächsisches Staatsministerium

26 Kundenreferenzen Privatwirtschaft Krankenhaus Dresden-Friedrichstadt AXA Colonia AG, Köln ARAG Lebensversicherung AG, München BahnTank Transport GmbH, Mainz Bayerische Landesbank AG, München BAYER AG, Leverkusen Bochum-Gelsenkirchener Straßenbahnen AG, Bochum Deutsche Bahn AG, Frankfurt Deutsche Telekom AG, T-Com ElectronicPartner Handel GmbH, Düsseldorf FEV Motorentechnik GmbH, Aachen Gerling AG, Köln Krankenhaus Dresden-Friedrichstadt Metallwerke Helmstadt GmbH, Helmstadt OVB Vermögensberatung AG, Köln Rheinbraun AG, Köln RheinLand Versicherungen AG, Neuss Rotkäppchen Sektkellerei, Freyburg und Eltville RWE AG, Essen Sagaflor AG, Baunatal SAP Systems Integration AG, Dresden SBI IS Insurance GmbH, Köln T-Systems International GmbH, Berlin TDS Informationstechnologie AG, Neckarsulm 2010 Michael Haack, INFODAS GmbH 26

Ähnliche Dokumente

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.