FFHS Modul ITSec, Ergänzungen zur Präsenz 4. PHYSISCHE SICHERHEIT sowie Business Continuity Planing. Disaster & Recovery Planing usw.

Transkript

1 C 4 (Chip, Card & Crypto Consulting) FFHS Modul ITSec, Ergänzungen zur Präsenz 4 PHYSISCHE SICHERHEIT sowie Business Continuity Planing Disaster & Recovery Planing usw. Version 1.0 Verfasser: Josef Schuler, dipl. math & dipl. ing. NDS ETHZ in Informationstechnik C 4 (Chip, Card & Crypto Consulting) Feldhof Zug E: j.schuler@bluewin.ch Mai 2011, Version 1.0

2 C 4 (Chip, Card & Crypto Consulting) Seite 2 / 18 Inhaltsverzeichnis 1. Physische Sicherheit Drei Begriffe Der Bezug zu BSI Übersicht B 2 Infrastruktur Beispiel: B 2.4 Serverraum...6 Planung und Konzeption...7 Umsetzung...7 Betrieb...7 Planung und Konzeption...7 Umsetzung...8 Betrieb Risikoanalyse Fallstudie Idealfall Normalfall BCP & DRP Begriffe Der Bezug zu BSI: B1 Übergreifende Aspekte Fallstudie Malware Patching und Hardening Der Bezug zu BSI: B1 Übergreifende Aspekte Quellen- und Literaturverzeichnis...18

3 C 4 (Chip, Card & Crypto Consulting) Seite 3 / Physische Sicherheit 1.1 Drei Begriffe Begriff Bedeutung Regelungsmassnahme(n) Zugriff Zutritt Zugang Zugriff auf Daten (Datensätze), um diese zu Erstellen, Lesen, Ändern oder Löschen. Zutritt zu Gebäuden. Zugang zu Rechnerressourcen Authentisierung (Zugriffsberechtigung, wird aber oft auch mittels Zugangsberechtigung gemacht) und Authorisierung (Rechtevergabe) Zutrittsberechtigung Keine Einschränkungen Mechanisch Elektronisch (Badge) Authentisierung/Identifizierung Login mit Passwort usw. (Authentisierung) Frage: Welcher der drei Begriffe ist relevant für den Bereich der physischen Sicherheit?

4 C 4 (Chip, Card & Crypto Consulting) Seite 4 / Der Bezug zu BSI Übersicht Kataloge und Bausteine Aus [VA] Frage: In welchem Baustein kommt die physische Sicherheit vornehmlich vor?

5 C 4 (Chip, Card & Crypto Consulting) Seite 5 / B 2 Infrastruktur B 2.1 Gebäude B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung

6 C 4 (Chip, Card & Crypto Consulting) Seite 6 / Beispiel: B 2.4 Serverraum Beschreibung Der Serverraum dient in erster Linie zur Unterbringung von Servern, z. B. eines LAN-Servers, eines Unix-Zentralrechners oder eines Servers für eine TK-Anlage. Darüber hinaus können dort serverspezifische Unterlagen, Datenträger in kleinem Umfang oder weitere Hardware (Sternkoppler, Protokolldrucker, Klimatechnik) vorhanden sein. In einem Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet, er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. Zu beachten ist jedoch, dass im Serverraum aufgrund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als zum Beispiel in einem Büroraum Gefährdungslage Für den IT-Grundschutz eines Serverraumes werden folgende typische Gefährdungen angenommen: Höhere Gewalt G 1.4 Feuer G 1.5 Wasser G 1.7 Unzulässige Temperatur und Luftfeuchte G 1.16 Ausfall von Patchfeldern durch Brand Organisatorische Mängel G 2.1 Fehlende oder unzureichende Regelungen G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen Menschliche Fehlhandlung Nach BSI keine vorhanden. Technisches Versagen G 4.1 Ausfall der Stromversorgung G 4.2 Ausfall interner Versorgungsnetze G 4.6 Spannungsschwankungen/Überspannung/Unterspannung Vorsätzliche Handlungen G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör G 5.2 Manipulation an Informationen oder Software G 5.3 Unbefugtes Eindringen in ein Gebäude G 5.4 Diebstahl

7 C 4 (Chip, Card & Crypto Consulting) Seite 7 / 18 G 5.5 Vandalismus Maßnahmenempfehlungen Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT- Grundschutz. Bei der Auswahl und Gestaltung eines Serverraums sind eine Reihe infrastruktureller und organisatorischer Maßnahmen umzusetzen, die in M 1.58 Technische und organisatorische Vorgaben für Serverräume beschrieben sind. Dabei sind bei bestimmten Maßnahmen unterschiedliche Vorgehensweisen zu verfolgen, je nachdem, ob ein Serverraum in einem neu zu errichtenden Gebäude eingerichtet werden soll oder ob es sich um eine Anmietung oder die Nutzung eines bestehenden Gebäudes handelt. In diesem zweiten Fall sind die Möglichkeiten zur Realisierung einer adäquaten IT-Sicherheit oft viel stärker eingeschränkt. Die Schritte, die bei der Gestaltung eines Serverraums durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Planung und Konzeption Bei der Planung von Serverräumen ist durch eine Reihe von Maßnahmen zur Installation der Stromversorgung, einer eventuell notwendigen Klimatisierung und zum Brandschutz dafür zu sorgen, dass eine hinreichende physische Sicherheit bereitgestellt wird. Dazu gehört auch, dass nach Möglichkeit keine wasserführenden Leitungen in einem Serverraum vorhanden sein sollten, da Undichtigkeiten größere Schäden bis hin zum Ausfall des gesamten IT-Verbundes verursachen können. Bei erhöhten Verfügbarkeitsanforderungen sollten für Serverräume hinreichende Redundanzen in der technischen Infrastruktur geplant werden, um die Überbrückung einzelner Ausfälle zu ermöglichen. Umsetzung Nur diejenigen Personen, die zur Durchführung ihrer Aufgaben direkten Zugriff auf Server und sonstige im Serverraum installierte Geräte wie Kommunikationsverteiler, Firewalls etc. benötigen, sollten Zutritt zu einem Serverraum erhalten, und ein Rauchverbot sollte dort selbstverständlich sein. Betrieb Serverräume sollten grundsätzlich immer verschlossen sein, wenn sie nicht besetzt sind. Nachfolgend wird das Maßnahmenbündel für den Bereich "Serverraum" vorgestellt: Planung und Konzeption M 1.3 (A) Angepasste Aufteilung der Stromkreise

8 C 4 (Chip, Card & Crypto Consulting) Seite 8 / 18 M 1.7 (A) Handfeuerlöscher M 1.10(C) Verwendung von Sicherheitstüren und -fenstern M 1.18(Z) Gefahrenmeldeanlage M 1.24(C) Vermeidung von wasserführenden Leitungen M 1.26(W) Not-Aus-Schalter M 1.27(B) Klimatisierung M 1.28(B) Lokale unterbrechungsfreie Stromversorgung M 1.31(Z) Fernanzeige von Störungen M 1.52(Z) Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur M 1.58(A) Technische und organisatorische Vorgaben für Serverräume M 1.62(C) Brandschutz von Patchfeldern Umsetzung M 2.17(A) Zutrittsregelung und -kontrolle M 2.21(A) Rauchverbot Betrieb M 1.15(A) Geschlossene Fenster und Türen M 1.23(A) Abgeschlossene Türen Legende

9 C 4 (Chip, Card & Crypto Consulting) Seite 9 / 18 M 1.7 Handfeuerlöscher Verantwortlich für Initiierung: Brandschutzbeauftragter, Leiter Haustechnik Verantwortlich für Umsetzung: Brandschutzbeauftragter, Haustechnik Die meisten Brände entstehen aus kleinen, anfangs noch gut beherrschbaren Brandherden. Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten. Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu. Diese Sofortbekämpfung ist nur möglich, wenn Handfeuerlöscher in der jeweils geeigneten Brandklasse (DIN EN 3) in ausreichender Zahl und Größe (Beratung durch die örtliche Feuerwehr) im Gebäude zur Verfügung stehen. Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum, Raum mit technischer Infrastruktur oder Belegarchiv anzustreben. Wasserlöscher mit Eignung für Brandklasse A bis 1000 V sind durchaus für elektrisch betriebene Geräte geeignet. Für elektronisch gesteuerte Geräte, z. B. Rechner, sollten vorzugsweise Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen. Die Löschwirkung wird durch Verdrängung des Sauerstoffs erreicht, deshalb ist bei Anwendung in engen, schlecht belüfteten Räumen Vorsicht geboten. Pulverlöscher, die die Brandklassen A (feste Stoffe), B (brennbare Flüssigkeiten) und C (Gase) abdecken, sollten in Bereichen mit elektrischen und elektronischen Geräten nicht eingesetzt werden, weil die Löschschäden in der Regel unverhältnismäßig hoch sind. Es wird daher dringend empfohlen, im direkten Umfeld von Serverräumen, Datenträgerarchiven, Räumen für technische Infrastruktur und Rechenzentren keine Pulverlöscher, sondern ausschließlich geeignete Gaslöscher bereit zu halten. Nur so kann verhindert werden, dass in der Ausregung eines Brandes fälschlicher Weise ein Pulverlöscher verwendet wird. Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. Die Feuerlöscher müssen so angebracht werden, dass sie im Brandfall leicht erreichbar sind. Die Beschäftigten sollten sich die Standorte des nächsten Feuerlöschers einprägen. Die Standorte von Löschern und Hydranten sind durch vorgeschriebene Schilder kenntlich zu machen. Tragbare Feuerlöscher sind zugelassen bis zu einem Gesamtgewicht von 20 kg. Mit den überwiegend eingesetzten Geräten von 6 und 12 kg lassen sich größere Brandherde löschen als von Laien üblicherweise angenommen wird, dies ist allerdings nur bei konsequenter Vorgehensweise gegeben. Bis zur vollständigen Entladung des Löschmittels vergehen nur wenige Sekunden. Daher sind bei entsprechenden Brandschutzübungen die Mitarbeiter in die Benutzung der Handfeuerlöscher einzuweisen. Prüffragen: Gibt es an allen notwendigen Stellen eine ausreichende Zahl geeigneter Handfeuerlöscher? Sind die Mitarbeiter über die Aufbewahrungsorte der Handfeuerlöscher informiert?

10 C 4 (Chip, Card & Crypto Consulting) Seite 10 / 18 Wird die Nutzung der Handfeuerlöscher geübt? Sind die Handfeuerlöscher im Brandfall erreichbar? Werden die Handfeuerlöscher regelmäßig inspiziert und gewartet? Alles aus [BSI] 1.3 Risikoanalyse In BSI-Grundschutz nicht nötig, erst bei erhöhtem Schutzbedarf, siehe auch Unterlagen zur Präsenz 1. Aus [VA]

11 C 4 (Chip, Card & Crypto Consulting) Seite 11 / Fallstudie Idealfall Aufgabe: Welche physischen Bedrohungen sehen Sie in diesem Plan? Angenommen Sie müssen ein kleines RZ oder grösseren Serverraum neu einrichten. Was würden Sie von Beginn weg tun?

12 C 4 (Chip, Card & Crypto Consulting) Seite 12 / Normalfall Der Normalfall geht (leider) meistens anders, nämlich. Es passiert etwas und dann kommen die Reaktionen: Ausgangslage: Ein Gewitter, das aus dem Osten über die Rigi hinweg zog, hatte zur Folge, dass ein Bach über die Ufer trat. Das Wasser drang in das Spital ein. Nur mit viel Glück und dem Einsatz aller verfügbaren Pumpen konnte verhindert werden, dass das Wasser im Rechenzentrum auf nicht mehr als 10 cm stieg. Ausser einigen Switches und dem zentralen Router wurden keine Geräte beschädigt. Das Eindringen des Wassers in einen Kabelkanal führte aber dazu, dass ein grosser Teil der IT-Infrastruktur während 3 Tagen nicht verfügbar war. Die Feuerwehr war zwar rasch vor Ort, konnte sich unglücklicherweise aber keinen Zutritt zum Rechenzentrum verschaffen, da alle Angestellten mit Schlüssel zum Rechenzentrum ausser Haus waren. Aufgabenstellung: Die Geschäftsleitung ist sich bewusst, dass ein vergleichbarer Vorfall nicht mehr passieren darf. Sie erhalten den Auftrag, ein Grobkonzept für die Verbesserung der physischen Sicherheit des Rechenzentrums auszuarbeiten. Aus [CAS]

13 C 4 (Chip, Card & Crypto Consulting) Seite 13 / 18 Typisches Inhaltsverzeichnis:

14 C 4 (Chip, Card & Crypto Consulting) Seite 14 / BCP & DRP 2.1 Begriffe Begriff Bedeutung Disaster Katastrophe Krise Schaden Notfall Recovery Backup Notfallvorsorge Disaster and Revery Planing Business Continue Planing Frage: Was bedeuten diese Begriffe?

15 C 4 (Chip, Card & Crypto Consulting) Seite 15 / Der Bezug zu BSI: B1 Übergreifende Aspekte B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfallmanagement B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.7 Kryptokonzept B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B 1.14 Patch- und Änderungsmanagement B 1.15 Löschen und Vernichten von Daten B 1.16 Anforderungsmanagement

16 C 4 (Chip, Card & Crypto Consulting) Seite 16 / Fallstudie Ausgangslage: Nach einem Ausfall des Exchange-Server Clusters (EX1, EX2) dauerte es vier Tage, bis der operative Betrieb wieder aufgenommen werden konnte. Es wurde festgestellt, dass das Personal nicht in der Lage war, das Cluster-System von einem Backup zu restaurieren. Es mussten externe Spezialisten zugezogen werden. Der lange Ausfall führte zu massiven betrieblichen Problemen. Dieser Vorfall führte dazu, dass die Geschäftsleitung sehr verunsichert war. Man fragte sich, ob das gegenwärtige Backup-Konzept (eine Band-Station für jeden Server) die beste und sicherste Lösung für das Spital sei. Zudem tauchten Fragen auf, warum EX1 und EX2 als Cluster betrieben werden, nicht aber der Datenbank- und der E*Gate-Server. Zudem war man unsicher, ob die aktuelle Aufteilung von Diensten auf die verschiedenen Server optimal ist oder ob eine Konsolidierung der Serverinfrastruktur angestrebt werden sollte. Aufgabenstellung: Sie erhalten den Auftrag, ein Grobkonzept zu den folgenden Themen zu erarbeiten: Optimierung von Backup und Recovery bezüglich Sicherheit und Effizienz Eventuell, falls sinnvoll Serverkonsolidierung Das Grobkonzept soll auf einer Analyse des Vorfalls basieren. Die Analyse gehört deshalb auch zum Dokument, das erstellt wird.

17 C 4 (Chip, Card & Crypto Consulting) Seite 17 / 18 Typisches Inhaltsverzeichnis: Aus [CAS]

18 C 4 (Chip, Card & Crypto Consulting) Seite 18 / Malware Wird in der 5. Präsenz behandelt. 4. Patching und Hardening 4.1 Der Bezug zu BSI: B1 Übergreifende Aspekte B1.14 Patch- und Änderungsmanagement Also keinen wirklichen strengen Bezug zu unserem Thema 5. Quellen- und Literaturverzeichnis [BSI] [CAS] Fallstudie des CAS Information Security, der Hochschule Luzern Wirtschaft [VA]: Vogel Armin, Bewältigungsstrategien zu Risiken Methode Grundschutz, Folien im CAS Information Security an der HSLU Wirtschaft.