Sicheres Bereitstellen von Web-Angeboten

Transkript

1 Sicheres Bereitstellen von Web-Angeboten Joachim Astel Vorstand noris network AG Security Angels Nürnberg Freiraum schaffen für Innovation, Kreativität, Produktivität 1

2 noris network wurde 1993 gegründet, ist eigenfinanziert, inhabergeführt und hat seinen Hauptsitz in Nürnberg mit 140 festen Mitarbeitern. noris network Nürnberg Thomas-Mann-Straße

3 Zur Person Joachim Astel Vorstand der noris network AG Mitbegründer des Unternehmens im Jahr war das Jahr der Veröffentlichung des ersten Internet-Browsers Mosaic, welcher Text und Grafik einer HTML-Seite integriert darstellen konnte. Experte und strategischer Berater in den Bereichen IT-Sicherheit + Internet 3

4 Abgleich der Anforderungen Der Provider (Outsourcing-Nehmer) zeigt im Rahmen der ISO/IEC seine Kern-Prozesse in der Abwicklung seiner angebotenen Services auf. Business-Anforderungen (Applikationsbetrieb einer Lösung, Kapazitäten) Compliance-Anforderungen (BDSG, Security, branchenspezifische Anforderungen) Service-Level-Agreements (SLAs) Betriebszeiten (24 x 7 x 365), Verfügbarkeiten (Wiederherstellungszeiten), Testing-Verfahren (Backup-/Restore-Tests etc.) 4

5 Compliance-Vorgaben der Kunden Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich spezifische Wirtschaftsprüferstandards in Deutschland: IDW (*) IDW PS 331 Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen IDW PS 951 Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen Internationale Wirtschaftsprüferstandards: Sarbanes Oaxley Act (SOX) - ISAE 3402 bzw. SSAE 16 (betrifft börsennotierte US-Unternehmen) Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG (*) vgl. Wikipedia: Liste der IDW-Prüfungsstandards 5

6 Compliancevorgaben von staatl. Seite Datenschutz und Datensicherheit: Im Fachjargon bedeuten die beiden Begriffe folgendes: Datenschutz umfasst den Schutz des Individuums vor übermäßiger Verarbeitung seiner Daten. (z. B. richtiges Verhalten im Internet) Datensicherheit bezeichnet den Schutz von Daten bei deren Verarbeitung, Übermittlung und Speicherung. (z. B. sichere Passwörter, nur gesicherte Übermittlung vertraulicher Daten) Sicherheit (Security) Verfügbarkeit (Availability) Integrität (Integrity) 6

7 Compliancevorgaben von staatl. Seite Bundesdatenschutzgesetz (BDSG), Landesdatenschutzgesetz Bayern (LDSG-BY) Bayerisches Landesamt für Datenschutzaufsicht: Impressumspflicht / Anbieterkennzeichnung auf der Webseite Datenschutzerklärung auf der Webseite Öffentliches Verfahrensverzeichnis (övv) Vereinbarungen mit Lieferanten gemäß Auftragsdatenverarbeitung (BDSG 11) 7

8 8

9 Compliancevorgaben von PCI DSS PCI DSS = Payment Card Industry Data Security Standard PCI DSS Vorgabe der Kreditkartenorganisationen bei Zahlungsverkehr mit Kreditkartentransaktionen 12 Anforderungen an die Rechnernetze der Unternehmen (*): Installation und Pflege einer Firewall zum Schutz der Daten Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen Einsatz und regelmäßiges Update von Virenschutzprogrammen Entwicklung und Pflege sicherer Systeme und Anwendungen Einschränken von Datenzugriffen auf das Notwendige Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit (*) aus Wikipedia, Suchbegriff: PCI DSS 9

10 Thema: Normen IT-Grundschutzkataloge Bundesamt für Sicherheit in der Informationstechnik ISO/IEC 27001, ISO/IEC (Controls A.5 A.18 und Konkretisierungen) ISIS12 Katalog 10

11 BSI Grundschutzkataloge 4883 Seiten: Sehr umfassende Zusammenstellung von Best Practice und Checklisten für einen gesunden IT-Grundschutz. Sehr gut geeignet als IT-Security-Nachschlagewerk, zum Vertiefen technischer Schwerpunkte. Teilweise nicht ganz aktuell: Beispiel: Client unter Windows 7 (Stand: Ende 2014) (wird kostenlos auf bereitgestellt) 11

12 Aufbau der Norm ISO/IEC Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Anhang A - siehe Folgeseite Eine deutsche Übersetzung der aktuellen ISO/IEC Norm wurde im Frühjahr von DIN herausgebracht und heißt DIN ISO/IEC 27001: zu bestellen für 99,80 bzw. 124,80 EUR beim Beuth-Verlag Interessante Informationsquelle zum Thema ISO 27001: Dejan Kosutic in seinem Blog (engl.) 12 Insgesamt 23 Seiten, Schwerpunkt: 13 Seiten Anhang A (Annex A)

13 13 ISO/IEC 27001, Anhang A im Detail: 14 Control Clauses, 35 Security Categories, 114 Controls ISO/IEC mit 80 Seiten greift genau diese 114 Controls im Detail auf.

14 ISIS12 ISIS12 = Informations-Sicherheitsmanagement System in 12 Schritten Das IT-Security-Vorgehensmodell in 12 Kapiteln wurde entwickelt und herausgegeben vom "Netzwerk für Informationssicherheit im Mittelstand (NIM) mit den Mitgliedern Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg. Es handelt sich um ein Vorgehensmodell, das ein Informationssicherheits- Managementsystem beschreibt. Das Verfahren kann als mögliche Vorstufe zur ISO/IEC bzw. BSI IT- Grundschutz-Zertifizierung verwendet werden. Die Kosten für die ISIS12 Unterlagen liegen bei: 150 EUR + 28,50 MWST = 178,50 EUR Die Einführung erfolgt durch speziell ausgebildete ISIS12-Dienstleister externe Unterstützung. Leitlinie erstellen Mitarbeiter sensibilisieren Informationssicherheitsteam aufbauen IT-Dokumentationsstruktur festlegen IT-Servicemanagement-Prozess einführen Kritische Applikationen identifizieren IT-Struktur analysieren Sicherheitsmaßnahmen modellieren Ist-Soll vergleichen Umsetzung planen Umsetzen Revision (aus Wikipedia

15 Compliance-Vorgaben Spezifische Gesetze in Deutschland: 93 Abs. 2 S. 2 AktG, 43 GmbH-Gesetz KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Weitere spezifische Gesetze in Deutschland: Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: Öffentlicher Bereich: Verpflichtungsgesetz Post-Dienstleister: Postgesetz (PostG) Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) Bankgeheimnis, WPHG Wer kümmert sich darum? Der Geschäftsführer ist in der Verantwortung Die Verantwortung verbleibt beim Geschäftsführer bzw. bei den Geschäftsführern, auch wenn das Thema delegiert oder outgesourct wurde. 15

16 Thema: Sicherheitsleitlinie Sicherheitsleitlinie, -ziele und strategie Geltungsbereich Stellenwert der Informationssicherheit Unternehmensspezifische Sicherheitsziele Leitaussagen zur Durchsetzung und Erfolg Revision 17

17 physikalische Sicherheit Wichtige Anforderungen zur physikalischen Sicherheit (= Sicherheit umfasst auch das Thema Verfügbarkeit) Perimeterschutz (fensterloser Serverraum, unabhängig von äußeren Einflüssen) hohe Verfügbarkeit für die Stromversorgung (USV) hohe Verfügbarkeit für die Klimatisierung hohe Verfügbarkeit für die Netzwerkanbindung Klare Maßgaben an den Rechenzentrumsbetreiber (BSI Grundschutzkataloge Baustein Rechenzentrum ) 18 in Bildern - abschreckende Negativbeispiele:

18 Firewall als Perimeterschutz Zuverlässiger Schutz vor Viren Spam SaaS Collaboration Social Media Personal Hacker-Angriffen 20

19 WAF als erweiterter Perimeterschutz WAF = Web Application Firewall Filtert auf Applikationsebene vor bekannten Gefahren: - Cross-Site-Scripting (XSS) - SQL Injection - Buffer Overflow Attacks - uvm. Einstiegs-WAF: Apache-Modul mod_security Kann oftmals URLs und Cookies umwandeln, so dass die internen URLs bzw. Cookies nach außen hin nicht bekannt werden (Verschleierung, damit wird eine echte Hackerattacke erschwert). Kommerzielle WAFs bieten häufig einen Learning-Mode, der bekanntes Nutzerverhalten als gut klassifiziert, und bei Scharfschalten der WAF anderes Verhalten abweist. 21

20 Sicherheit in der Software-Entwicklung OWASP = Open Web Application Security Project (*) OWASP ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern. Folgende Dokumentationsprojekte unterhält OWASP: OWASP Application Security Verification Standard (ASVS) - Standard zur Durchführung von Sicherheitsverifizierungen auf Applikationsebene) The Guide Dieses Dokument beinhaltet detaillierte Handlungsempfehlungen zur Web-Applikationssicherheit. Top Ten Most * DotNet eine Vielzahl von Werkzeugen, um Dot-Net-Umgebungen abzusichern. Enigform eine Zusammenstellung aus beispielhaften endgerät- und serverseitigen Anwendungen mit OpenPGP-Funktionen (u. a. Verschlüsselung, Signierung) im HTTP zu realisieren. ESAPI OWASP Enterprise Security API (ESAPI) Project eine freie und offene Sammlung von Methoden, die benötigt werden, um sichere Webapplikationen zu erstellen. AntiSamy ein Werkzeug zur Validierung von Eingaben im Web und Enkodierung des Ergebnisses. XSSer ein automatisches System zum Erkennen, Ausnutzen und Melden von Cross-Site-Scripting-Schwachstellen in Webapplikationen. Webgoat eine absichtlich unsichere Webanwendung, hergestellt von OWASP als eine Anleitung für sichere Programmiermethoden. WebScarab ein http- und https-proxyserver, der genutzt werden kann, um Inhalte von Datenpaketen zu ändern, zu prüfen und die Übertragung zu unterbrechen. Dies bietet dem Anwender ein besseres Verständnis dafür, welche Informationen vom Webserver übermittelt werden, und kann genutzt werden, um mögliche Verwundbarkeiten aufzudecken. OWASP Mantra Security Framework eine Sammlung von Hacker-Werkzeugen, Erweiterungen und Skripten, basierend auf Mozilla Firefox. ggf. Software-Audit von einem OWASP-Mitglied durchführen lassen und für Kunden bereithalten. (*) Wikipedia: 22

21 ISO/IEC 27005: Der Risiko-Management-Prozess I Risikobewertung Risikoanalyse (Identifikation von assets, threats & vulnerabilities ) Risikobehandlungsplan 23

22 Thema: kritische Anwendungen Identifikation kritischer Anwendungen - -Server - ecommerce-shop und kritischer Daten - Kundendaten - Software-Quellcode - Warenbestandsdaten 24

23 Thema: Notfallhandbuch Notfall- und Katastrophenfall-Planung Beispiel: Was passiert bei Stromausfall? Ab wann funktioniert der Server wieder? Gibt es ein Backup? Gibt es eine Ersatzlösung? Gibt es ggf. redundante Server? Beispiel: Was passiert bei Ausfall der Telefonanlage? Funktioniert die Telefonanlage bzw. die Telefone bei Stromausfall? erreichen uns die Kunden noch? Welche Ersatzmöglichkeiten gibt es? (Schaltung einer Ansage? Kontaktinfo an die wichtigsten Kunden per /Fax o. ä. weitere oder andere firmenspezifische Maßnahmen Die Auftraggeber möchten häufig ein Gefühl dafür entwickeln, ob man ein Risikogefühl für die typischen IT-Risiken oder Geschäftsrisiken generell im Unternehmen entwickelt hat, und fragen nach einem Notfallhandbuch. 25

24 Datenträgervernichtung Vernichtung defekter Datenträger: Alte oder defekte Massenspeicher werden mittels professioneller, datenschutzkonformer Datenträgerentsorgung vernichtet (z. B. Firma Reisswolf, Firma Recall o. ä.) Bei verschiedenen Hardwarehersteller gibt es die Möglichkeit, gegen geringen Aufpreis die Option behalten Sie Ihre alte Festplatte dazuzubuchen, d. h. eine defekte Festplatte kann selbst vernichtet werden und muss nicht an den Hersteller zurück. Bei Vernichtung muss ein Vernichtungsprotokoll geführt werden. Löschung nicht mehr benötigter Datenträger: Vor der Wiederverwendung alter Systeme werden alle darauf befindlichen Unternehmens-Informationen gelöscht, hierzu gibt es Löschprogramme, die den Datenträger mehrfach mit Zufallszahlen o. ä. überschreiben. Bundesamt für Sicherheit in der Informationstechnik (BSI): So löschen Sie Daten richtig: Bevor Sie Ihren Rechner oder Festplatten an Dritte oder zum Elektroschrottrecycling weitergeben, sollten Sie die Festplatten löschen oder physikalisch vernichten. 27

25 Vulnerabililty- und Patch-Management Vulnerability- und Patch-Management ist für Cloud-Systeme (bzw. allgemein für Systeme, die aus dem Internet erreichbar sind) besonders wichtig. Versteckte Software-Schwächen werden im Laufe der Jahre von Hackern entdeckt. Diese können gezielt ausgenutzt werden, um Trojaner, andere Malware in das System einzupflanzen und vielfältig zu verwenden (z. B. als Spam-Relay). Relevant ist nicht nur die Basis-Software, sondern auch sämtliche Zusatzmodule (wie Plugins, Libraries, etc.) Plugins, die nicht mehr weiterentwickelt werden, sind eine weitere schlummernde Gefahr. Beispiel: Wordpress alle Wordpress-Module sind relevant. Tipp: Regelmäßiges Patchen der Systeme und Verfolgen einschlägiger Sicherheits-Newsletter (z. B. DFN-CERT, heise.de Security), regelmäßige Security-Scans (z. B. einmal monatlich) sollten obligatorisch sein. 28

26 Segregation of Duties Anforderungen aus ISO/IEC 27001, BDSG u. a.: Segregation of Duties = Gewaltenteilung Aufgabenteilung mit verschiedenen Zugangs-/Zugriffsrechten klassisches Freigabeprinzip im Nicht-IT-Bereich am Beispiel Einkaufsvorgang: Bestellanforderung (zum Einkauf einer Ware) Freigabe durch fachlichen Vorgesetzten Freigabe durch Budget-Vorgesetzten Beispiel bei IT-Sicherheit: z. B. Administrator-Kennwort steht nicht für den Besitzer des Systems zur Verfügung. Dieser darf nur die Applikation bedienen. Der Administrator bedient typischerweise nicht die Applikation. Seine Aufgaben sind Patch-Management, Durchführung von Konfigurationen, u. ä., eben die typischen Administratortätigkeiten 30

27 Zugangs-/Zugriffsberechtigungen Ganz wichtige allgemeine Vorgabe: personenbezogene Logins, Passwörter dürfen nicht weitergegeben werden! (z. B. Urlaubsvertretung: gib mir schnell deinpasswort, dann kann ich Deine Mails im Urlaub lesen, damit keine Kundenanfrage verlorengeht no go aus Datenschutzsicht, macht zudem oftmals schlechten Eindruck) Rollenaccounts (vertrieb, verkauf, einkauf, support, etc.) Ticketsystem (offene Tickets, d. h. zu erledigende Punkte, können von anderen Personen eingesehen werden) Vertreterregelung Regelmäßige Reviews der Benutzerdatenbank: Mitarbeiter ausgeschieden diese Info muss an alle externen Dienstleister weitergegeben werden (mit Bitte zur Austragung der Zugangs-/Zugriffsberechtigungen des Benutzers). Worst-Case-Szenario: Dienstleister macht Lieferantenaudit Benutzerdatenbank auf dem Serversystem enthält veraltete Einträge. großes Probleme aus Datenschutzsicht! Protokollierung (Audit-Trail): Sämtliche Transaktionen im Rahmen der Zugangs-/Zugriffs-Steuerung werden protokolliert. (out of band, d. h. auf einem Dritten, vom potenziellen Angreifer nicht sabotierbares System). Einsatz von Kryptographie: Es sollten nur verschlüsselte Verbindungen verwendet werden, um Authentizität, Integrität und Vertraulichkeit des Kommunikationskanals sicherzustellen. 31

28 Change Management Klare Differenzierung: Standard-Change oder genehmigungspflichtiger Change ggf. Freigabe durch Service-Manager beim Auftraggeber. Change-Verfahren (Beschreibung des Changes) wichtiger Freigabeparameter: Hat der genehmigungspflichtige Change einen Security-Impact? (vgl. Security-Prozess im Rahmen des ISMS nach ISO/IEC 27001) darüberhinaus wichtig: - Priorisierung der Changes - Step-Back-Möglichkeit 32

29 Systemumgebungen Produktionsumgebung QS- Umgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt. Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl. Backendanbindungen etc.) und ist definiert als Qualitätssicherungsumgebung. Keine Echtdaten insbesondere keine personenbezogenen Daten befinden sich auf der Entwicklungsumgebung 33

30 100/1000 Mbit 100/1000 Mbit 100/1000 Mbit Geschäftsprozessmonitoring Überwachung der Systeme / Systemmanagement Terminal Server 1 Application Server Terminal Server 2 Firewall Storage DB-Server 1 Terminal Server 3 Firewall Application Server Storage Terminal Server 4 DB-Server 2 34

31 Security-Awareness Client-Sicherheit: aktueller Virenscan Bildschirmschoner Bring in Your Own Device versus Security (Stichwort: keine private Daten auf Firmengeräten) Social Engineering hat ein hohes Gefährdungspotenzial: - Kunden-USB-Stick mit Virus - Versteckter USB-Stick am PC - WLAN-Basisstation oder WLAN-USB-Stick am Computer ansteckt 35

32 Zum Abschluss Wichtige Apskete zur IT-Security: - gelebte Sicherheit ist das A und O - Risikomanagement ist ein wichtiger Prozess - Transparenz (gelebte Sicherheit nach außen zeigen) durch Managementsysteme (wie ISO 27001, BSI Grundschutz-Modellierungen, ISIS12 o. ä.) 37

33 noris network Nürnberg-Süd (Zentrale) Thomas-Mann-Straße Nürnberg Telefon: noris network Nürnberg-Mitte Deutschherrnstraße Nürnberg (Deutschherrnkarree) noris network Nürnberg-Nord Kilianstraße Nürnberg Niederlassung München: Seidlstraße 8 (Nähe Hbf.) München Freiraum schaffen für Innovation, Kreativität, Produktivität 38