Data Security. WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

Transkript

1 NoSQL-Systeme (i) Data Security WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

2 Quellen NoSQL-Systeme (i) sehr nette Intro in das Problem; schraeg, aber gut schichten1und2_node.html auch die Links dort SEHR schoebnes Beispiel aus der DBMS-Ecke --> Optimaler!Einstieg zum Downloaden blob=publicationfile sehr schöner Foliensatz WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 2

3 IT-Sicherheit ist... gefährdet NoSQL-Systeme (i) Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit,... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte,... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash,... Vorsätzliche Handlungen: Hacker, Viren, Trojaner,... WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016

4 Grundstimmung in den Unternehmen NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

5 Überblickspublikation NoSQL-Systeme (i) rundschutz/download/uberblickgrundschutz.pdf? blob=p ublicationfile&v=1 WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 5

6 IT Sicherheit: Grundsätzliches NoSQL-Systeme (i) es gibt nur sicheren Betrieb ; die beiden Konzepte lassen sich nicht trennen Sicherheit muss alle Facetten ganzheitlich berücksichtigen HW, SW social hacking Gebäude nicht-vertragsgemäße Weitergabe von Daten und geht nach dem schwächsten Glied entsprechend reichhaltig ist das Maßnahmenbündel Sicherheitserfordernisse und Bedrohungen aus kompromittierter Sicherheit ausbalancieren AktG, KontraG, GoB, Basel 2 ff: Risikomanagement ist Vorstandsaufgabe WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

7 Rahmenwerke zu Empfehlungen NoSQL-Systeme (i) ISO 27001: Regelungen zum Verfahren des internen risk assessment und auditing Deutschland: BSI Empfehlungen IT Grundschutz bei normalen Sicherheitserfordernissen (BSI und -2) Kernthemen Organisation Handlungs-Checklisten Vorgehensmodell bei erhöhtem Sicherheitsbedarf (BSI und -4) angelehnt an ISO rd. 400 Mitarbeiter seit 1991 WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

8 NoSQL-Systeme (i) Randbedingungen: aus WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

9 NoSQL-Systeme (i) Credo des Grundschutz einfaches, kochrezeptartiges Vorgehen ohne individuelle Bedrohungsanalyse ( pauschale Gefährdungen ) umfasst auch z.b. organisatorische Aspekte ( wann entziehe ich Rechte, Dokumentationserfordernisse ) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016 1

10 NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

11 Aufbau Grundschutzhandbuch NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

12 weiterer Aufbau BSI NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

13 Umsetzung NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

14 NoSQL-Systeme (i) Einschätzung des Schutzbedarf 1. Schutzbedarf ergibt sich primär aus dem Schaden von kompromittierten Anwendungen 2. und vererbt sich in erster Näherung nach dem Maximumprinzip auf HW, Netzwerk, Gebäude und andere Infrastruktur 3. was aber (z.b. bei redundanter Auslegung eines Systems) nicht immer zwingend ist: Verteilungseffekt 4. Kumulationseffekt: 10 Anwendungen niedrigen Schutzbedarfs auf einem Server löst für diesen vielleicht erhöhten Schutzbedarf aus 5. Virtualisierung kann zu (3) und (4) wirken WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

15 NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

16 NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

17 BSI-Standard BSI-Standard zur IT Sicherheit - NoSQL-Systeme (i) BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS2016

18 BSI-Standard Komponenten eines ISMS Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT- Sicherheitskonzeptes und einer IT-Sicherheitsorganisation Hilfsmittel zur Umsetzung IT-Sicherheitsstrategie IT-Sicherheitsorganisation IT-Sicherheitskonzept Prozesse, Abläufe Strukturen Maßnahmen Beschreibung der IT-Struktur Risikobewertung Regeln, Anweisungen 18

19 Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis BSI-Standard Wesentliche Merkmale Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern 19

20 BSI-Standard Wesentliche Merkmale Interpretation der Anforderungen aus ISO 13335, und Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen 20

21 Einleitung BSI-Standard Inhalte IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung 21

22 1 Initiative der Geschäftsführung Übersicht über den IT-Sicherheitsprozess Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung 2 Analyse der Rahmenbedingungen Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) 3 Sicherheitscheck Sicherheitsmaßnahmen Identifikation von Sicherheitslücken 22

23 4 Planung von Maßnahmen Übersicht über den IT-Sicherheitsprozess Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos 5 6 Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb Implementierung Test Notfallvorsorge Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge 23

24 BSI-Standard Übersicht IT-Sicherheitsprozess Initiierung des IT-Sicherheitsprozesses IT-Sicherheitskonzeption (einschl. Umsetzung) Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung 24

25 BSI-Standard IT-Sicherheitsorganisation 25

26 BSI-Standard Verantwortung der Leitungsebene Verantwortung der Leitungsebene: Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen IT-Sicherheitsstrategie zur Erreichung der IT- Sicherheitsziele entwickeln IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden 26

27 BSI-Standard Aufgaben im IT-Sicherheitsprozess 27

28 BSI-Standard Risikoanalyse nach IT-Grundschutz Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Maßnahmenauswahl zur Behandlung von Risiken Konsolidierung des IT-Sicherheitskonzepts 28

29 IT-Grundschutz-Kataloge Übersicht 29

30 Bausteine Gefährdungen Maßnahmen IT-Grundschutz-Kataloge Inhalt Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge + + Loseblattsammlung 30

31 IT-Grundschutz-Kataloge Aufbau 31

32 IT-Grundschutz-Kataloge Struktur der Bausteine Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge 32

33 IT-Grundschutz-Kataloge Schichtenmodell SCHICHT I SCHICHT II SCHICHT III SCHICHT IV SCHICHT V ÜBERGREIFENDE ASPEKTE INFRASTRUKTUR IT-SYSTEME NETZE ANWENDUNGEN 33

34 Betreffen den gesamten IT-Verbund Bausteine: IT-Grundschutz-Kataloge Schicht 1: Übergreifende Aspekte IT-Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Computer-Virenschutzkonzept Kryptokonzept Incident Handling Hard- und Software-Management Standardsoftware Outsourcing Archivierung IT-Sicherheitssensibilisierung und - schulung 34

35 IT-Grundschutz-Kataloge Schicht 2: Infrastruktur Betreffen bauliche Gegebenheiten Bausteine: Gebäude Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur Schutzschrank häuslicher Arbeitsplatz Rechenzentrum Mobiler Arbeitsplatz Besprechungs-, Veranstaltungs- und Schulungsräume 35

36 IT-Grundschutz-Kataloge Schicht 3: IT-Systeme SCHICHT III B 3.1XX B 3.2XX B 3.3XX B 3.4XX IT-SYSTEME SERVER CLIENTS NETZKOMPONENTEN SONSTIGE IT-SYSTEME 36

37 IT-Grundschutz-Kataloge Schicht 3: IT-Systeme Bausteine: Server: Allgemeiner Server Server unter Unix Windows Server 2003 s/390 & zseries-mainframe... Clients: Allgemeiner Client Allg. nicht vernetztes IT-System Client unter Unix Laptop Client unter Windows XP... Netzkomponenten: Sicherheitsgateway (Firewall)... Sonstige:... Faxgerät Anrufbeantworter Mobiltelefon PDA 37

38 IT-Grundschutz-Kataloge Schicht 4: Netze Bausteine: Heterogene Netze Netz- und Systemmanagement Modem Remote Access LAN-Anbindung über ISDN WLAN VoIP 38

39 IT-Grundschutz-Kataloge Schicht 5: Anwendungen Bausteine: Datenträgeraustausch Lotus Notes Faxserver Datenbanken Novell edirectory SAP Webserver Internet Information Server Apache Webserver Exchange/ Outlook 2000 Telearbeit Peer-to-Peer-Dienste 39

40 IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine 40

41 IT-Grundschutz-Kataloge Aufbau aller IT-Grundschutz-Bausteine Konformer Aufbau jedes IT-Grundschutz-Bausteins Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge 41

42 IT-Grundschutz-Kataloge Gefährdungs-Kataloge Gefährdungs-Kataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen Beispiel: G 4.1 Ausfall der Stromversorgung 42

43 M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung M2: Organisation M3: Personal Zuständigkeiten Dokumentationen Arbeitsanweisungen Vertretungsregelungen Schulung IT-Grundschutz-Kataloge Typische Maßnahmen I Maßnahmen beim Ausscheiden von Mitarbeitern 43

44 M4: Hardware/Software Passwortgebrauch Protokollierung IT-Grundschutz-Kataloge Typische Maßnahmen II Vergabe von Berechtigungen M5: Kommunikation Konfiguration Datenübertragung , SSL, Firewall M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung) 44

45 IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz G G 2. 1 G 2. 4 G M 1.15 A X X M 1.23 A X X G M 1.45 A X X X X X M 1.46 Z X M 1.61 A X X X X X G 3. 3 G G G 5. 1 G 5. 2 G 5. 4 G

46 IT-Grundschutz-Kataloge Zusammenfassung Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca Seiten... Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca Maßnahmen) Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden 46

47 GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung GSTOOL-Hotline: / gstool@bsi.bund.de 47

48 Maßnahmenpriorisierung und Projektmanagement NoSQL-Systeme (i) WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

49 2 Beispiele aus dem Grundschutzkatalog NoSQL-Systeme (i) aloge/download/download_node.html Kataloge_2014_EL14_DE.pdf M Vernichtung von Datenträgern durch externe Dienstleister Verantwortlich für Initiierung: Datenschutzbeauftragter, ITSicherheitsbeauftragter, Behörden-/ Unternehmensleitung Verantwortlich für Umsetzung: Leiter Organisation Falls für die Vernichtung von Datenträgern auf externe Dienst WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

50 NoSQL-Systeme (i) hutzkataloge/inhalt/_content/g/g05/g05018.html?nn= G 5.18 Systematisches Ausprobieren von Passwörtern Zu einfache Passwörter lassen sich durch systematisches Ausprobieren herausfinden. Dabei ist zwischen dem simplen Ausprobieren aller möglichen Zeichenkombinationen bis zu einer bestimmten Länge (sogenannter Brute-Force- Angriff) und dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (sogenannter Wörterbuch-Angriff) zu unterscheiden. Beide Ansätze lassen sich auch kombinieren. Die meisten Betriebssysteme verfügen über eine Datei oder Datenbank ( z. B. passwd- bzw. shadow-datei bei Unix oder RACF -Datenbank bei z/os ) mit den Kennungen und Passwörtern der Benutzer. Allerdings werden zumindest die Passwörter bei vielen Betriebssystemen nicht im Klartext gespeichert, sondern es kommen kryptographische Mechanismen zum Einsatz. Ist die Datei nur unzureichend gegen unbefugten Zugriff geschützt, kann ein Angreifer diese Datei möglicherweise kopieren und mit Hilfe leistungsfähigerer Rechner und ohne Einschränkungen hinsichtlich der Zugriffszeit einem Brute-Force-Angriff aussetzen. Die Zeit, die bei einem Brute-Force-Angriff zum Herausfinden eines Passworts benötigt wird, hängt ab von der Dauer einer einzelnen Passwortprüfung, der Länge des Passworts und der Komplexität des Passworts. Die Dauer einer einzelnen Passwortprüfung hängt stark vom jeweiligen System und dessen Verarbeitungs- bzw. Übertragungsgeschwindigkeit ab. Im Falle eines Angriffs spielen auch die Methode und die Technik des Angreifers eine Rolle. Zu einfache Passwörter lassen sich durch systematisches Ausprobieren herausfinden. Dabei ist zwischen dem simplen Ausprobieren aller möglichen Zeichenkombinationen bis zu einer bestimmten Länge (sogenannter Brute-Force-Angriff) und dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (sogenannter Wörterbuch-Angriff) zu unterscheiden. Beide Ansätze lassen sich auch kombinieren. Die meisten Betriebssysteme verfügen über eine Datei oder Datenbank ( z. B. passwd- bzw. shadow-datei bei Unix oder RACF -Datenbank bei z/os ) mit den Kennungen und Passwörtern der Benutzer. Allerdings werden zumindest die Passwörter bei vielen Betriebssystemen nicht im Klartext gespeichert, sondern es kommen kryptographische Mechanismen zum Einsatz. Ist die Datei nur unzureichend gegen unbefugten Zugriff geschützt, kann ein Angreifer diese Datei möglicherweise kopieren und mit Hilfe leistungsfähigerer Rechner und ohne Einschränkungen hinsichtlich der Zugriffszeit einem Brute-Force-Angriff aussetzen. Die Zeit, die bei einem Brute-Force-Angriff zum Herausfinden eines Passworts benötigt wird, hängt ab von der Dauer einer einzelnen Passwortprüfung, der Länge des Passworts und der Komplexität des Passworts. Die Dauer einer einzelnen Passwortprüfung hängt stark vom jeweiligen System und dessen Verarbeitungs- bzw. Übertragungsgeschwindigkeit ab. Im Falle eines Angriffs spielen auch die Methode und die Technik des Angreifers eine Rolle. Die Verwendung von Rainbow Tables kann die benötigte Rechenzeit noch einmal deutlich verringern. In Rainbow Tables werden Passwörter in zusammenhängenden Passwortsequenzen durch eine Hashfunktion und weitere Funktionen verkettet. Wenn keine entsprechenden Gegenmaßnahmen bei der Implementierung der Passwort-Prüfung getroffen wurden, können Rainbow Tables von Angreifern missbraucht werden, um Brute- Force-Angriffe zu beschleunigen. WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

51 ctd. NoSQL-Systeme (i) Länge und Zeichenzusammensetzung des Passworts lassen sich dagegen durch organisatorische Vorgaben oder sogar durch technische Maßnahmen beeinflussen. Beispiel: Bei einem Zeichenvorrat von 26 Zeichen, also zum Beispiel, wenn für Passwörter nur Kleinbuchstaben ohne Sonderzeichen verwendet werden, ergeben sich für ein acht Zeichen langes Passwort circa 209 Milliarden mögliche Kombinationen. Ein moderner PC, der circa 100 Millionen Hashwerte pro Sekunde berechnen kann, hätte nach 35 Minuten alle möglichen Passwörter mit acht Kleinbuchstaben geprüft. Durch die Verwendung von Sonderzeichen, Großbuchstaben und Zahlen steigt die Anzahl der verwendbaren Zeichen auf 72 an. Bei achtstelligen Passwörtern wären damit 722 Billionen Kombinationen möglich. Um mit handelsüblichen PC s alle Hashwerte zu berechnen, würden ca. 83 Tage benötigt. Stand: 15. EL Stand 2016 WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

52 NoSQL-Systeme (i) halt/_content/baust/b05/b05007.html G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten Gefährdungslage Neben den grundlegenden Gefährdungen, die prinzipiell für IT -Systeme gelten, existieren Gefährdungen, die speziell die Verfügbarkeit von Datenbanken sowie die Vertraulichkeit oder die Integrität der gespeicherten Daten bedrohen. Generell steht die Gefährdungslage in Abhängigkeit vom Einsatzszenario und berechtigten Benutzerkreis. Beispielsweise ergibt sich eine erhöhte Gefährdungslage, wenn, anders als gegenüber identifizierbaren Benutzerkreisen innerhalb einer Behörde oder eines Unternehmens, Zugriffe anonymer Benutzern ( z. B. Internet-Zugriffe) erlaubt werden. Eine weiterer Aspekt ergibt sich aus der steigenden Komplexität des DBMS, der sich unter anderem auch in örtlich weit voneinander getrennter Datenhaltung begründet und den damit einhergehenden Anforderungen an sichere Kommunikationswege und konsistente Daten-Synchronisation. Für den IT-Grundschutz von Datenbanken werden die folgenden Gefährdungen angenommen: Organisatorische Mängel Menschliche Fehlhandlungen G 3.23 G 3.24 G 3.80 G 2.22 G 2.26 G 2.38 G 2.39 G 2.40 G 2.41 G 2.57 G Fehlerhafte Administration eines DBMS Unbeabsichtigte Datenmanipulation Fehler bei der Synchronisation von Datenbanken Fehlende oder unzureichende Auswertung von Protokolldaten Fehlendes oder unzureichendes Test- und Freigabeverfahren Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen Mangelhafte Konzeption eines DBMS Mangelhafte Konzeption des Datenbankzugriffs Mangelhafte Organisation des Wechsels von Datenbank-Benutzern Nicht ausreichende Speichermedien für den Notfall Mangelhafte Organisation bei Versionswechsel und Migration von Datenbanken WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS

53 NoSQL-Systeme (i) Goldene Regeln neregeln.pdf? blob=publicationfile&v=2 WI Vorlesung Business Process Management" Prof. Dr. J. Ruhland SS