Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Transkript

1 und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

2 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation 3.2 Personal 3.3 Notfallvorsorge-Konzept 3.4 Datensicherungskonzept 3.5 Datenschutz 3.6 Computer-Virenschutzkonzept 3.7 Kryptokonzept 3.8 Behandlung von Sicherheitsvorfällen 3.9 Hard- und Software-Management 3.10 Outsourcing 2

3 7.1 Bausteine des IT-GSHB (2) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 4.1 Gebäude 4.2 Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur 4.4 Schutzschränke 4.5 Häuslicher Arbeitsplatz 4.6 Rechenzentrum 3

4 7.1 Bausteine des IT-GSHB (3) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 5.1 DOS-PC (ein Benutzer) 5.2 Unix-System 5.3 Tragbarer PC 5.4 PCs mit wechselnden Benutzern 5.5 PC unter Windows NT 5.6 PC mit Windows Windows 2000 Client 5.8 Internet-PC 5.99 Allgemeines nicht vernetztes IT-System 4

5 7.1 Bausteine des IT-GSHB (4) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 6.1 Servergestütztes Netz 6.2 Unix-Server 6.3 Peer-to-Peer-Dienste 6.4 Windows NT Netz 6.5 Novell Netware 3.x 6.6 Novell Netware 4.x 6.7 Heterogene Netze 6.8 Netz- und Systemmanagement 6.9 Windows 2000 Server 6.10 S/390- und zseries-mainframe 5

6 7.1 Bausteine des IT-GSHB (5) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 7.1 Datenträgeraustausch 7.2 Modem 7.3 Sicherheitsgateway (Firewall) Webserver 7.6 Remote Access 7.7 Lotus Notes 7.8 Internet Information Server 7.9 Apache-Webserver 7.10 Exchange 2000 / Outlook Router und Switches 6

7 7.1 Bausteine des IT-GSHB (6) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 8.1 TK-Anlage 8.2 Faxgerät 8.3 Anrufbeantworter 8.4 LAN-Anbindung eines IT-Systems über ISDN 8.5 Faxserver 8.6 Mobiltelefon 8.7 PDA 9.1 Standardsoftware 9.2 Datenbanken 9.3 Telearbeit 9.4 Novell edirectory 9.5 Archivierung 7

8 7.2 Pflichtbausteine Unter Pflichtbausteine versteht man im Rahmen der Modellierung eines IT-Verbundes (siehe Kapitel 2.3.1) die Bausteine, die in den Schichten 1 (übergeordnete Aspekte der IT-Sicherheit) und 2 (Sicherheit der Infrastruktur) zwingend vorgeschrieben sind. Ohne jegliche Einschränkung sind vorgeschrieben für Schicht 1: Bausteine 3.0, 3.1, 3.2, 3.4, 3.9 für Schicht 2: Bausteine 4.1, 4.3.1, 4.3.2, Zweckmäßig ist außerdem: Bausteine 3.3, 3.6, 3.8, 9.1; 4.2, 4.6 8

9 7.3 Struktur eines (Pflicht-) 1. Beschreibung Bausteins 2. Gefährdungslage Aufzählung von G x.y (gegliedert nach Gefährungskatalog) 3. Maßnahmenempfehlungen Aufzählung von M a.b (gegliedert nach Maßnahmenkatalog) 9

10 7.3 Gefahren für übergeordneten (Pflicht-)Baustein (1) Baustein 3.0: IT-Sicherheitsmanagement G 2.66 Unzureichendes IT-Sicherheitsmanagement Baustein 3.1: Organisation G 2.1 Fehlende oder unzureichende Regelungen G 2.2 Unzureichende Kenntnis über Regelungen G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel G 2.5 Fehlende oder unzureichende Wartung G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen G 2.7 Unerlaubte Ausübung von Rechten G 2.8 Unkontrollierter Einsatz von Betriebsmitteln G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer 10

11 7.3 Gefahren für übergeordneten Baustein 3.2: Personal G 1.1 Personalausfall (Pflicht-)Baustein (2) G 2.2 Unzureichende Kenntnis über Regelungen G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer G 3.2 Fahrlässige Zerstörung von Gerät oder Daten G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen G 3.8 Fehlerhafte Nutzung des IT-Systems G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör G 5.2 Manipulation an Daten oder Software G 5.42 Social Engineering G Ausspähen von Informationen 11

12 7.3 Gefahren für übergeordneten (Pflicht-)Baustein (3) Baustein 3.4: Datensicherungskonzept G 4.13 Verlust gespeicherter Daten Baustein 3.9: Hard- und Software-Management G 2.1 Fehlende oder unzureichende Regelungen G 2.2 Unzureichende Kenntnis über Regelungen G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz G 2.10 Nicht fristgerecht verfügbare Datenträger G 2.22 Fehlende Auswertung von Protokolldaten G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer G 3.44 Sorglosigkeit im Umgang mit Informationen 12

13 7.3 Gefahren für übergeordneten (Pflicht-)Baustein (4) Fortsetzung Baustein 3.9: Hard- und Software-Management G 4.22 Schwachstellen oder Fehler in Standardsoftware G 4.43 Undokumentierte Funktionen G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör G 5.2 Manipulation an Daten oder Software G 5.4 Diebstahl G 5.21 Trojanische Pferde 13

14 7.4 Wichtigste Maßnahme für übergeordneten Baustein Baustein 3.0: IT-Sicherheitsmanagement M Etablierung des IT-Sicherheitsprozesses, da das BSI ausdrücklich diese Maßnahme an erste Stelle setzt Baustein 3.1: Organisation M 2.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz, da ohne die Festlegung von Regelungen und Verantwortlichkeiten alle anderen organisatorischen Maßnahmen ins Leere greifen Baustein 3.2: Personal M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter, da dieser Maßnahme eine hohe Bedeutung zukommt Baustein 3.4: Datensicherungskonzept M 6.36 Festlegung des Minimaldatensicherungskonzeptes, da das BSI ausdrücklich diese Maßnahme an erste Stelle setzt Baustein 3.9: Hard- und Software-Management M Konzeption des IT-Betriebs, da das BSI ausdrücklich diese Maßnahme an erste Stelle setzt 14

15 7.5 Schutzbedarfskategorien Da der Schutzbedarf meist nicht quantifizierbar ist, beschränkt sich das IT-Grundschutzhandbuch im Weiteren auf eine qualitative Aussage, indem der Schutzbedarf (gem. Kapitel 2.2) in drei Kategorien unterteilt wird: niedrig bis mittel : Die Schadensauswirkungen sind begrenzt und überschaubar. hoch : Die Schadensauswirkungen können beträchtlich sein. sehr hoch : Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Hinweis: zu beachten ist, dass das IT-GSHB nur einen Schutz der IT- Sicherheit der untersten Kategorie gewährleistet: Grundschutz! 15