Vorlesung IT-Security

Transkript

1 Vorlesung IT-Security Duale Hochschule Baden-Württemberg Stuttgart Wirtschaftsinformatik WWI2009A / WWI2009B, 6. Studienhalbjahr Informationstechnologie IT-Security, Teil 2/ / Seite 1 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 2 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 1

2 INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 3 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ÜBUNG 1 VERSCHLÜSSELUNG SPEICHER-STICK Ausgangssituation Sie wollen Daten auf einem Speicher-Stick gegen unbefugten Zugriff schützen Aufgabenstellung Recherchieren Sie nach dem Tool truecrypt Installieren Sie das Tool truecrypt auf Ihrem Client Legen Sie ein verschlüsseltes Daten-Volume an Speichern Sie Daten in dem verschlüsselten Daten-Volume Seite 4 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 2

3 ÜBUNG 2 ERSTELLUNG/NUTZUNG VON ZERTIFIKATEN Ausgangssituation Sie wollen eine sowohl signiert als auch verschlüsselt versenden Aufgabenstellung Erstellen Sie sich ein Express Zertifkat unter Installieren Sie das Zertifikat in einem geeigneten Client Versenden Sie eine signiert sowie eine verschlüsselt und signiert Seite 5 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 6 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 3

4 IT-SECURITY DEFINITIONEN UND ZIELE (1/4) Integrität Authentizität Vertraulichkeit Zuverlässigkeit / Verfügbarkeit Seite 7 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY DEFINITIONEN UND ZIELE (2/4) Integrität Daten dürfen nicht verändert werden Veränderung muss zuverlässig erkannt werden Einsatz von Hash Funktionen Änderung von 1 bit ergibt komplett neuen Hash Authentizität Daten kommen von einer bestimmten Person bzw. von einem bestimmten System Wichtig z.b. bei E-Commerce Einsatz von digitalen Signaturen Ergibt in der Regel auch Zurechenbarkeit Seite 8 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 4

5 IT-SECURITY DEFINITIONEN UND ZIELE (3/4) Vertraulichkeit Daten dürfen nur bestimmen Personen bzw. Systemen zugänglich gemacht werden Erreichbar durch Verkehrskontrolle (ACLs) und Benutzerauthentisierung Daten sollen während einer Übertragung nicht mitgelesen werden können Einsatz von Verschlüsselung Virtual Private Networks (VPN) Seite 9 04./ Thomas DHBW Stuttgart, Treutler Dozent Thomas Treutler Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY DEFINITIONEN UND ZIELE (4/4) Zuverlässigkeit / Verfügbarkeit Daten sollen jederzeit zur Verfügung stehen Einsatz von Hochverfügbarkeitslösungen Redundanz und Failover Funktionalität Regelmäßige Sicherung aller Daten Traditionell Backupkonzepte über Bandlaufwerke Neuere Technologien wie Storage Area Network SAN oder Network Attached Storage NAS Seite 10 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 5

6 INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 11 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY NORMEN, STANDARDS, PRACTICES (1/8) KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) AktG 91 (2), HGB 289 (1), GmbH-Gesetz 43 Ermittlung, Aufnahme in die Berichtserstattung und Prüfung von Risiken, die für den Bestand des Unternehmens gefährlich sein können. GoB (Grundsätze ordnungsgemäßer Buchführung) HGB 239 (4) GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) GoBS (Grundsätze ordnungsgemäßer DV-gestützer Buchführungssysteme) Abgabenordnung 146 und 147, GoBS-Schreiben Rechte der Finanzverwaltung zum Zugriff Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung von Informationen Forderung nach einem internen Kontrollsystems (IKS) Forderung nach einem vollständigen Informationssicherheits-Management- Systems (ISMS) Seite 12 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 6

7 IT-SECURITY NORMEN, STANDARDS, PRACTICES (2/8) S-Ox (Sarbanes-Oxley-Gesetz) Relevant für Aktiengesellschaften und deren Töchterunternehmen Fokus Finanzberichtserstattung Regelung der Unvereinbarkeit von Beratungsmandaten und Mandaten zur Wirtschaftsprüfung COSO (Committee of the Sponsoring Organizations of the Treadway Commission) Anforderungen an die Finanzberichtserstattung Grundsätze zur ordnungsgemäßen Rechnungslegung Gültig für amerikanischen Raum Basel II (Kapitaladäquanzrichtlinie für Banken) Solvency II (Kapitaladäquanzrichtlinie für Versicherungen) Kreditwesengesetz Berücksichtigung und Absicherung von Risiken, auch IT-Risiken, bzgl. Kreditund Versicherungsnehmer Seite 13 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY NORMEN, STANDARDS, PRACTICES (3/8) BDSG (Bundesdatenschutzgesetz) Verpflichtung zur Einrichtung eines ISMS (Informationssicherheits-Management- Systems) Schutz personenbezogener Daten Nachweis zur Erfüllung der Erfordernisse, z.b. Verfahrensverzeichnisse Seite 14 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 7

8 IT-SECURITY NORMEN, STANDARDS, PRACTICES (4/8) ITIL Security Management vom Office of Government Commerce.. Buch Service Design, Planung, Implementierung, Evaluierung und Wartung eines IT-Sicherheitsmanagement-Prozesses Einführung und Durchsetzung eines definierten Sicherheitsniveaus für IT- Umgebungen mit Fokus auf Vertraulichkeit, Integrität und Verfügbarkeit Wechselwirkung mit fast allen ITIL-Prozessen Seite 15 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY NORMEN, STANDARDS, PRACTICES (5/8) ISO-Norm 13335: Managementsicht auf Konzeption, Implementierung und Betrieb der Sicherheit von Informations- und Kommunikationstechnologie Konzepte und Modelle der IT-Sicherheit Managen, Planen von IT-Sicherheit Techniken für das Management von IT-Sicherheit Auswahl von Sicherheitsmaßnahmen Management Guide für Netzwerksicherheit Seite 16 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 8

9 IT-SECURITY NORMEN, STANDARDS, PRACTICES (6/8) ISO-Norm 27001: Information technology Security techniques Information security management systems Requirements mit PDCA-Zyklus (Plan-Do-Check-Act) Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Zum kosteneffizienten Management von Sicherheitsrisiken Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit Zur Definition von neuen Informationssicherheits-Managementprozessen Zur Identifikation und Definition von bestehenden Informationssicherheits- Managementprozessen Zur Definition von Informationssicherheits-Managementtätigkeiten Zum Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards Seite 17 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. IT-SECURITY NORMEN, STANDARDS, PRACTICES (7/8) Seite 18 ISO-Norm 17799:2005 -> ISO 27002: Code of Practice for Information Security Management Information Security Policy Weisungen und Richtlinien zur Informationssicherheit Organization of information security Organisatorische Sicherheitsmaßnahmen und Managementprozess Asset management Verantwortung und Klassifizierung von Informationswerten Human resources security Personelle Sicherheit Physical and Environmental Security Physische Sicherheit und öffentliche Versorgungsdienste Communications and Operations Management Netzwerk- und Betriebssicherheit (Daten und Telefonie) Access Control Zugriffskontrolle Information systems acquisition, development and maintenance Systementwicklung und Wartung Information security incident management - Umgang mit Sicherheitsvorfällen Business Continuity Management Notfallvorsorgeplanung Compliance Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 9

10 IT-SECURITY NORMEN, STANDARDS, PRACTICES (8/8) IT-Grundschutz-Kataloge vom Bundesamt für Sicherheit in der Informationstechnik BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS).. definiert allgemeine Anforderungen an ein ISMS BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise.. beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.. enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen Geschäftsprozessen und Informationsverbünden sind BSI-Standard Notfallmanagement.. systematischer Weg, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen Seite 19 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 20 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 10

11 IT-SECURITY AKTUELLE BEISPIELE Seite / DHBW Thomas Stuttgart, Treutler Dozent Thomas Treutler alle Rechte vorbehalten. Thomas Treutler alle Rechte vorbehalten. Business Technology INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite / DHBW Thomas Stuttgart, Treutler Dozent Thomas Treutler alle Rechte vorbehalten. Thomas Treutler alle Rechte vorbehalten. Business Technology 11

12 AUFBAU (1/2) Bausteine B 1: Übergeordnete Aspekte der IT-Sicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit im Netz B 5: Sicherheit in Anwendungen Gefährdungskataloge G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen Seite 23 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. AUFBAU (2/2) Maßnahmenkataloge M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge Seite 24 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 12

13 INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS BAUSTEINE UND PRAXISBEISPIELE Seite 25 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS Es existiert ein Prüfschema für Auditoren zur Erlangung eines ISO Zertifikats Seite 26 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 13

14 ABLAUF EINES AUDITS Im Audit gibt es drei unterschiedliche Rollen: Den Antragssteller, den Auditor bzw. das Audit-Team sowie eventuell Erfüllungsgehilfen und die Zertifizierungsstelle Geforderte Referenzdokumente: IT-Strukturanalyse (A.1) Schutzbedarffeststellung (A.2) Modellierung des IT-Verbunds (A.3) Ergebnis des Basis-Sicherheitschecks (A.4) (optional) Ergänzende Sicherheitsanalyse (A.5) Risikoanalyse (A.6) Seite 27 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS REFERENZDOKUMENTE (1/9) IT-Strukturanalyse (A.1) Definition des Untersuchungsgegenstands Integration des Untersuchungsgegenstands in das Gesamtunternehmen Bereinigter Netzplan Liste der IT-Systeme Liste der IT-Anwendungen Seite 28 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 14

15 ABLAUF EINES AUDITS REFERENZDOKUMENTE (2/9) Schutzbedarfsfeststellung (A.2) Definition der Schutzbedarfskategorien (normal, hoch, sehr hoch) Schutzbedarf der IT-Anwendungen Schutzbedarf der IT-Systeme Schutzbedarf der Kommunikationsverbindungen Schutzbedarf der IT-Räume Seite 29 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS REFERENZDOKUMENTE (3/9) Modellierung des IT-Verbunds (A.3) Festlegung der Anwendung der Bausteine auf Zielobjekte Ergebnis des Basis-Sicherheitschecks (A.4) Durchführung eines SOLL-IST-Vergleichs mittels Interviews und stichprobenartigen Kontrollen für alle Bausteine Erhebung des Umsetzungsstatus der einzelnen Maßnahmen des BSI-Katalogs nach entbehrlich / ja / teilweise / nein für übergeordnete Aspekte, Infrastruktur, IT-Systeme, Netze sowie IT-Anwendungen Seite 30 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 15

16 ABLAUF EINES AUDITS REFERENZDOKUMENTE (4/9) Ergänzende Sicherheitsanalyse (A.5) Entscheidung bzgl. Erfordernis von weiteren Risikobetrachtungen für alle Zielobjekte des IT-Verbunds, die einen hohen oder sehr hohen Schutzbedarf haben mit den existierenden Bausteinen nicht hinreichend abgebildet werden können in Einsatzszenarien betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind Seite 31 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS REFERENZDOKUMENTE (5/9) Risikoanalyse (A.6) Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Maßnahmenauswahl zur Behandlung von Risiken Risiken können durch entsprechende Sicherheitsmaßnahmen reduziert werden Risiken können vermieden werden Risiken können verlagert werden Risiken können akzeptiert werden Seite 32 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 16

17 ABLAUF EINES AUDITS PRÜFBAUSTEINE (6/9) Auswahl der Prüfbausteine Zwingend erforderlich: IT-Sicherheitsmanagement [B1.0] Fünf zufällige Stichproben aus den fünf Schichten, pro Schicht eine Bausteinzuordnung Übergeordnete Aspekte Infrastruktur IT-Systeme Netze Anwendungen Fünf durch den Auditor ausgewählte Stichproben Seite 33 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS VOR ORT (7/9) Inspektion vor Ort Überblick über die Audit-Aktivitäten vor Ort Verifikation des Netzplans Verifikation der Liste der IT-Systeme Verifikation des Basis-Sicherheitschecks Verifikation der Umsetzung der zusätzlichen Maßnahmen aus der ergänzenden Risikoanalyse Seite 34 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 17

18 ABLAUF EINES AUDITS (8/9) Nachbesserungen und Nachforderungen Der Auditor belegt festgestellte Mängel mit einer angemessener Frist zur Behebung und dokumentiert diese im Audit-Report Die Zertifizierungsstelle teilt Nachforderungen zu dem Audit-Report dem Auditor mit. Das Unternehmenmuss diese Nachforderungen innerhalb eines Monats beheben In Einzelfällen kann es auch dazu kommen, dass der Auditor eine Nachbesserung gegenüber dem Antragsteller fordert Seite 35 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. ABLAUF EINES AUDITS (9/9) Gesamtvotum Grundlage für die Entscheidung über die Vergabe eines ISO Zertifikats auf der Basis von IT-Grundschutz bzw. eines Auditor- Testats ist die Einschätzung des Auditors, ob der betrachtete Untersuchungsgegenstand die jeweiligen Anforderungen erfüllt. "Aufgrund der durchgeführten Einzelprüfungen im Rahmen des IT- Grundschutz-Audits wird festgestellt, dass der Untersuchungsgegenstand die Anforderungen des ISO Zertifikats auf der Basis von IT-Grundschutz (nicht) erfüllt." [Nicht Zutreffendes bitte streichen.] Seite 36 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 18

19 INHALT BESPRECHUNG DER ÜBUNGEN IT-SECURITY TEIL 2/3 NORMEN, STANDARDS, PRACTICES AKTUELLE BEISPIELE IT-GRUNDSCHUTZKATALOGE AUFBAU ABLAUF EINES AUDITS 1/2 BAUSTEINE UND PRAXISBEISPIELE Seite 37 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 1 ÜBERGEORDNETE ASPEKTE Bausteine B 1.0 IT-Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfallvorsorge-Konzept B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Computer-Viren-Schutzkonzept B 1.7 Kryptokonzept B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 IT-Sicherheitssensibilisierung und -schulung Seite 38 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 19

20 B1.0 IT-SICHERHEITSMANAGEMENT (1/2) Gefährdungslage: Organisatorische Mängel Unzureichendes IT-Sicherheitsmanagement Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen Störung der Geschäftsabläufe aufgrund von IT-Sicherheitsvorfällen Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement Planung und Konzeption Erstellung einer IT-Sicherheitsleitlinie Festlegung der IT-Sicherheitsziele und -strategie Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene Seite 39 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.0 IT-SICHERHEITSMANAGEMENT (2/2) Umsetzung Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit Erstellung eines IT-Sicherheitskonzepts Integration der Mitarbeiter in den Sicherheitsprozess Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit Betrieb Aufrechterhaltung der IT-Sicherheit Managementreporte und -bewertungen der IT-Sicherheit Dokumentation des IT-Sicherheitsprozesses Beachtung rechtlicher Rahmenbedingungen Seite 40 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 20

21 B1.1 ORGANISATION (1/4) Gefährdungslage Höhere Gewalt Feuer Wasser Unzulässige Temperatur und Luftfeuchte Organisatorische Mängel Fehlende oder unzureichende Regelungen Unzureichende Kenntnis über Regelungen Fehlende, ungeeignete, inkompatible Betriebsmittel Fehlende oder unzureichende Wartung Unbefugter Zutritt zu schutzbedürftigen Räumen Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Betriebsmitteln Menschliche Fehlhandlungen Gefährdung durch Reinigungs- oder Fremdpersonal Seite 41 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.1 ORGANISATION (2/4) Gefährdungslage Technisches Versagen Ausfall der Stromversorgung Ausfall interner Versorgungsnetze Ausfall vorhandener Sicherungseinrichtungen Vorsätzliche Handlungen Manipulation/Zerstörung von IT-Geräten oder Zubehör Manipulation an Daten oder Software Unbefugtes Eindringen in ein Gebäude Diebstahl Vandalismus Anschlag Abhören von Telefongesprächen und Datenübertragungen Abhören von Räumen Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal Gefährdung bei Wartungsarbeiten durch externes Personal Unberechtigter Zugang zu den aktiven Netzkomponenten Sabotage Seite 42 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 21

22 B1.1 ORGANISATION (3/4) Planung und Konzeption Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz Betriebsmittelverwaltung Regelungen für Wartungs- und Reparaturarbeiten Aufgabenverteilung und Funktionstrennung Rechtzeitige Beteiligung des Personal-/Betriebsrates Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten Seite 43 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.1 ORGANISATION (4/4) Betrieb Vergabe von Zutrittsberechtigungen Vergabe von Zugangsberechtigungen Vergabe von Zugriffsrechten Schlüsselverwaltung Beaufsichtigung oder Begleitung von Fremdpersonen Kontrollgänge "Der aufgeräumte Arbeitsplatz" Reaktion auf Verletzungen der Sicherheitspolitik Sicherheit bei Umzügen Aussonderung Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln Seite 44 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 22

23 B1.2 PERSONAL (1/2) Gefährdungslage Höhere Gewalt Personalausfall Ausfall des IT-Systems Organisatorische Mängel Unzureichende Kenntnis über Regelungen Unerlaubte Ausübung von Rechten Menschliche Fehlhandlungen Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer Fahrlässige Zerstörung von Gerät oder Daten Nichtbeachtung von IT-Sicherheitsmaßnahmen Fehlerhafte Nutzung des IT-Systems Fehlerhafte Administration des IT-Systems Fehlinterpretation von Ereignissen Unproduktive Suchzeiten Ungeeigneter Umgang mit Passwörtern Sorglosigkeit im Umgang mit Informationen Seite 45 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.2 PERSONAL (2/2) Gefährdungslage Vorsätzliche Handlungen Manipulation/Zerstörung von IT-Geräten oder Zubehör Manipulation an Daten oder Software Missbrauch von Administratorrechten Computer-Viren Social Engineering Makro-Viren Hoax Ausspähen von Informationen Betrieb Schulung zu IT-Sicherheitsmaßnahmen Schulung vor Programmnutzung Schulung des Wartungs- und Administrationspersonals Vertretungsregelungen Anlaufstelle bei persönlichen Problemen Seite 46 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 23

24 B1.3 NOTFALLVORSORGE-KONZEPT Gefährdungslage Höhere Gewalt Ausfall des IT-Systems Umsetzung Dokumentation der Kapazitätsanforderungen der IT-Anwendungen Definition des eingeschränkten IT-Betriebs Untersuchung interner und externer Ausweichmöglichkeiten Regelung der Verantwortung im Notfall Alarmierungsplan Notfall-Pläne für ausgewählte Schadensereignisse Notfall-Plan für DFÜ-Ausfall Erstellung eines Wiederanlaufplans Erstellung eines Datensicherungsplans Abschließen von Versicherungen (optional) Betrieb Durchführung von Notfallübungen Seite 47 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.5 DATENSCHUTZ Aufgabe des Datenschutzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht") Ein Vorschlag für ein solches IT-Grundschutz-Baustein "Datenschutz" wurde federführend vom Bundesbeauftragten für den Datenschutz gemeinsam mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder erstellt Dieser Vorschlag kann auch auf dem Internet-Server des Bundesbeauftragten für den Datenschutz unter der Adresse nachgelesen werden Es richtet sich an die öffentlichen Stellen des Bundes und der Länder, die privaten Anbieter von Telekommunikationsdiensten und Postdienstleistungen Seite 48 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 24

25 B1.7 KRYPTOKONZEPT (1/3) Gefährdungslage Kryptographische Verfahren werden eingesetzt zur Gewährleistung von Vertraulichkeit Integrität Authentizität Nichtabstreitbarkeit Schlechte oder fehlende Authentikation Nichtanerkennung einer Nachricht Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Seite 49 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.7 KRYPTOKONZEPT (2/3) Gefährdungslage Organisatorische Mängel Fehlende oder unzureichende Regelungen Unzureichende Kenntnis über Regelungen Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen Unzureichendes Schlüsselmanagement bei Verschlüsselung Menschliche Fehlhandlungen Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptographischen Verfahren Fehlbedienung von Kryptomodulen Seite 50 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 25

26 B1.7 KRYPTOKONZEPT (3/3) Gefährdungslage Technisches Versagen Software-Schwachstellen oder Fehler Ausfall eines Kryptomoduls Unsichere kryptographische Algorithmen Fehler in verschlüsselten Daten Vorsätzliche Handlungen Unautorisierte Benutzung eines Kryptomoduls Manipulation eines Kryptomoduls Kompromittierung kryptographischer Schlüssel Gefälschte Zertifikate Umsetzung Geeignetes Schlüsselmanagement Sichere Rollenteilung und Konfiguration der Kryptomodule Physikalische Sicherheit von Kryptomodulen Abstrahlsicherheit Seite 51 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.8 BEHANDLUNG VON SICHERHEITSVORFÄLLEN Gefährdungslage Ungeeigneter Umgang mit Sicherheitsvorfällen Betrieb Untersuchung und Bewertung eines Sicherheitsvorfalls Behebung von Sicherheitsvorfällen Benachrichtigung betroffener Stellen Nachbereitung von Sicherheitsvorfällen Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen Seite 52 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 26

27 B1.10 STANDARDSOFTWARE (1/2) Gefährdungslage Höhere Gewalt Ausfall des IT-Systems Organisatorische Mängel Fehlende oder unzureichende Regelungen Unzureichende Kenntnis über Regelungen Fehlende, ungeeignete, inkompatible Betriebsmittel Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test- und Freigabeverfahren Fehlende oder unzureichende Dokumentation Verstöße gegen das Urheberrecht Softwaretest mit Produktionsdaten Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten Seite 53 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.10 STANDARDSOFTWARE (2/2) Gefährdungslage Menschliche Fehlhandlungen Fahrlässige Zerstörung von Gerät oder Daten Nichtbeachtung von IT-Sicherheitsmaßnahmen Fehlerhafte Nutzung des IT-Systems Fehlerhafte Administration von Zugangs- und Zutrittsrechten Kein ordnungsgemäßer PC-Benutzerwechsel Technisches Versagen Defekte Datenträger Bekanntwerden von Softwareschwachstellen Software-Schwachstellen oder Fehler Vorsätzliche Handlungen Manipulation an Daten oder Software Unberechtigte IT-Nutzung Trojanische Pferde Computer-Viren Makro-Viren Seite 54 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 27

28 B1.11 OUTSOURCING (1/4) Gefährdungslage Höhere Gewalt Ausfall eines Weitverkehrsnetzes Menschliche Fehlhandlungen Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer Technisches Versagen Schlechte oder fehlende Authentikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister Seite 55 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.11 OUTSOURCING (2/4) Gefährdungslage Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test- und Freigabeverfahren Ungesicherter Akten- und Datenträgertransport Unzureichendes IT-Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Seite 56 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 28

29 B1.11 OUTSOURCING (3/4) Betrieb Änderungsmanagement Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb Sicherheitsüberprüfung von Mitarbeitern Seite 57 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. B1.11 OUTSOURCING (4/4) Phasen Phase 1: Strategische Planung des Outsourcing-Vorhabens Phase 2: Definition der wesentlichen Sicherheitsanforderungen Phase 3: Auswahl des Outsourcing-Dienstleisters Phase 4: Vertragsgestaltung Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund Phase 6: Migrationsphase Phase 7: Planung und Sicherstellen des laufenden Betriebs Seite 58 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 29

30 B1.12 ARCHIVIERUNG Betrieb Geeignete Lagerung von Archivmedien Überwachung der Speicherressourcen bei der Archivierung Regelmäßige Revision des Archivierungsprozesses Regelmäßige Marktbeobachtung von Archivsystemen Regelmäßige Aufbereitung von verschlüsselten Daten bei der Archivierung Schutz der Integrität der Index-Datenbank von Archivsystemen Protokollierung der Archivzugriffe Regelmäßige Funktions- und Recoverytests bei der Archivierung Seite 59 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 2 INFRASTRUKTUR Bausteine B 2.1 Gebäude B 2.2 Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume Seite 60 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 30

31 3 IT-SYSTEME Bausteine B Allgemeiner Server B Server unter Unix B Server unter Windows NT B Server unter Novell Netware 3.x B Server unter Novell Netware Version 4.x B Server unter Windows 2000 B S/390- und zseries-mainframe B Allgemeiner Client B Allgemeines nicht vernetztes IT-System B Laptop B Client unter Unix B Client unter Windows NT B Client unter Windows 95 B Client unter Windows 2000 Bausteine B Internet-PC B Client unter Windows XP B Sicherheitsgateway (Firewall) B Router und Switches B TK-Anlage B Faxgerät B Anrufbeantworter B Mobiltelefon B PDA Seite 61 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 4 NETZE Bausteine B 4.1 Heterogene Netze B 4.2 Netz- und Systemmanagement B 4.3 Modem B 4.4 Remote Access B 4.5 LAN-Anbindung eines IT-Systems über ISDN Seite 62 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 31

32 5 IT-ANWENDUNGEN Bausteine B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 Seite 63 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. QUELLEN IT-Sicherheitsmanagement nach ISO und Grundschutz; Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder IT-Grundschutz-Kataloge; Bundesamt für Sicherheit in der Informationstechnik (BSI); Seite 64 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 32

33 KONTAKT IHR ANSPRECHPARTNER Thomas Treutler Leiter IT Systeme & Betrieb Schwarz Finanz und Beteiligungs GmbH & Co. KG Stiftsbergstr. 1, Neckarsulm Telefon: Seite 65 Thomas Treutler alle Rechte alle Rechte vorbehalten. vorbehalten. 33