Zugangskontrolle zu IT-Systemen

Transkript

1 Zugangskontrolle zu IT-Systemen Jens Schletter PRODATIS CONSULTING AG Canaletto Internet GmbH

2 Das Unternehmen

3 Das Unternehmen PRODATIS CONSULTING AG ist ein weltweit agierender IT Beratungs-, Technologie- und Outsourcing-Dienstleister. gegründet 1999 als PRODATIS CONSULTING GmbH seit 2002 Aktiengesellschaft 2007 Zusammenschluss mit Canaletto Internet GmbH mehr als 2000 Kunden weltweit eigenes, zertifiziertes Rechenzentrum Innovationspreis Best of IT Kundenmanagement-Systeme 2012 und 2013 Innovationspreis Best of IT Platz 2 On Demand 2013

4 Kompetenzen DMS/ECM Konzeptionen, Einführung, Betrieb ELO ECM ERP/CRM - Konzeptionen, Einführung, Betrieb AVE!CRM IT-Infrastruktur- Security Konzepte, Cloud Services IT-Revision - Analyse und Prüfung der Gesetzeskonformität nach GDPdU, AO, GoBS, Erstellen von Verfahrensdokumentationen Datenschutz - Audits, Datenschutzdokumentationen, Stellen eines Externen Datenschutzbeauftragten Oracle - Datenbankadministration

5 Agenda

6 Agenda 1. Grundlagen Datensicherheit 2. Zugangskontrolle 3. Lösungen aus der Praxis 4. Tipps und Tricks

7 Grundlagen Datensicherheit

8 8 Gebote der Datensicherheit 1.) Zutrittskontrolle: räumliche Zutritt zu den IT-Systemen 2.) Zugangskontrolle: unbefugte Nutzung von IT-Systemen verhindern 3.) Zugriffskontrolle: Mitarbeiter und unbefugte Dritte können nur auf Daten zugreifen, die im Rahmen von Zugriffsberechtigungen gewährt werden 4.) Weitergabekontrolle: Möglichkeiten der Weitergabe personenbezogener Daten mittels Datenträgern o.ä. 5.) Eingabekontrolle: Eingegebene personenbezogene Daten in IT-Systemen unterliegen der Revisionsfähigkeit

9 8 Gebote der Datensicherheit 6.) Auftragskontrolle: Zielt auf die Einhaltung der weisungsgebundenen Verarbeitung oder Nutzung von personenbezogenen Daten durch den Auftragnehmer gem. 11 BDSG ab 7.) Verfügbarkeitskontrolle: Der Schutz der personenbezogenen Daten gegen zufällige Zerstörung oder vor Verlust 8.) Trennungsgebot: Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitbar sein

10 Zugangskontrolle

11 Definition Zugangskontrolle Definition: Zugangskontrolle (engl. admission control) stellt in der Informatik sicher, dass ein PC, Kommunikation nur mit berechtigten Benutzern oder anderen Rechnern erlaubt. Es wird zwischen Zugangskontrolldiensten (zur Realisierung der Zugangskontrolle) und zugangskontrollierten Diensten (die erst nach erfolgreicher Zugangskontrolle genutzt werden können) unterschieden.

12 Prinzip 1.) Identitätsprüfung des Kommunikationspartners 2.) Validierung 3.) Fortsetzung der Kommunikation Wie erkennt ein Rechner einen Menschen? Äußerlichkeiten (Biometrie) Besitz (Chipkarte, Smartcard, o.ä.) Wissen (Benutzername, Passwort)

13 Biometrie Unveränderbare körpereigene Merkmale: Fingerabdruck, Handgeometrie Gesicht Augeniris, Retina Stimmanalyse Schreibverhalten Venenscann

14 Biometrie

15 Biometrie - Fingerprint Einfach und weit verbreitet Optisch oder mittels kapazitiven Sensoren

16 Biometrie - Gesichtserkennung 2D/3D Verfahren 25 Bilder pro Sekunde: 2-3 Sekunden pro Gesicht Sehr flexibel

17 Biometrie - Iriserkennung 266 individuellen komplexen Mustern wie Furchen, Bändern, Gruften und Stegen Gitter + Mittelpunkt + Radien der Irisränder Vergleich mit Datenbank

18 Biometrie - Venenscann Kontaktlos via Infrarot Bildinformationen als Referenzmuster; sehr hohe Trefferquote Kein physischer Kontakt Hygiene kommerzielle Nutzung

19 Biometrie Weitere Verfahren Tastentippdynamik-Verfahren Technik vorhanden Preiswert Herzschlaganalyse Noch in Forschung Aufwendige Templates notwendig EKG unter verschiedenen Bedingungen

20 Biometrie Fazit Vielzahl funktionsfähiger biometrischer Erfassungssysteme lästiges Eingeben von Logins und Passwörtern entfällt bieten mehr Sicherheit vor Missbrauch als die herkömmlichen Verfahren Aber auch die Biometrie ist nicht zu hundert Prozent sicher - ein Restrisiko durch Missbrauch bleibt auch bei dieser Technologie bestehen. Erst die Kombination mehrerer Biometrie-Verfahren, wie zum Beispiel Gesichtserkennung und Fingerprint, maximieren die Sicherheit. Bereits starke Akzeptanz (Banken, Flughäfen, Unternehmen)

21 Chipkarte In großen IT-Terminal- Lösungen genutzt Nicht mehr aktuell In Kombination

22 Passwörter Je wichtiger Daten und Unterlagen auf meinem (Dienst)Rechner sind, desto besser muss der Schutz sein Sie müssen ein Gefühl dafür haben/entwickelt, welche ihrer Daten wie sicher zu schützen sind Verarbeitung der immens hohen Anzahl an Passwörtern und PINs: ca. 8++ Passwörter ca. 8++ PINs

23 Passwörter Behandle Dein Passwort wie Deine Zahnbürste. Lass niemanden heran und wechsle es alle 3 Monate! Niemals das Passwort aufschreiben! Niemals das Passwort per verschicken! Niemals das Passwort an andere weitergeben auch nicht mal eben. Auch nicht an die Chefin / den Chef, die Bundeskanzlerin,... (denken Sie an die Zahnbürste!)

24 Passwörter Ihr sicheres Passwort nützt nichts, wenn jede(r), die/der in Ihr Büro kommt an ihren Rechner und damit an Ihre Daten und Dokumente gelangen kann. Oder per Ihre Identität annehmen kann. (WIN+L) NICHT GUT: seinen Account-Namen verwendet, gleich ob direkt oder verfremdet (weder vorwärts, rückwärts, in Großbuchstaben noch doppelt) irgendeinen Namen (den eigenen, den der Freundin, etc.) verwendet

25 Passwörter NICHT GUT: andere persönliche Informationen verwendet, die leicht zu ermitteln sind (Telefonnummer, Autokennzeichen, Automarke, Straßenname, usw.) ein Wort verwendet, das in irgendeinem Wörterbuch (Deutsch, Englisch, oder einer anderen Sprache) vorkommt ein Wort verwendet, das überhaupt in irgendeinem Buch vorkommt, egal ob Tolkien oder Tyrion ein Wort verwendet, in dem man Buchstaben durch ähnliche Ziffern ersetzt, etwa i durch 1, e durch 3 oder o durch 0 ("hallo" -> "h4ll0")

26 Passwörter NICHT GUT: Kunstworte aus Tastaturnachbarn (qwerty) oder -mustern (hjkijn) bildet ein Passwort mit weniger als acht Zeichen verwendet BESSER IST: im Passwort Groß- und Kleinschreibung verwendet, am besten gemischt nicht nur Buchstaben, sondern auch Ziffern und Satzzeichen benutzt

27 Passwörter WICHTIG IST: ein Passwort wählt, das man sich leicht merken kann, damit man es sich nicht aufschreiben muss ein Passwort wählt, das man schnell und sicher eingeben kann, damit es niemand beim Eintippen mitlesen kann ein Passwort ohne sprachliche Bedeutung verwendet

28 Passwörter Ein neues Passwort erzeugen: Einen Satz wählen und sich jeweils den ersten Buchstaben der Worte merken. So erhält man aus dem Satz Ich sollte mein Passwort nicht auf ein Stück Papier schreiben das Passwort IsmPnaeSPs

29 Passwörter erschreckende Zahlen Die Fantasie der Menschen ist auffallend beschränkt die Top 10: PIN Häufigkeit ,7% ,0% ,8% ,2% ,7% 19XX nicht gut Tag, Monat, Geburtstag nicht gut 2580 Zahlenblock-Kombinationen nicht gut 0007 nicht gut ,6% ,6% ,5% ,5% ,5%

30 Passwörter erschreckende Zahlen Die Fantasie der Menschen ist auffallend beschränkt die Top 10: International Deutschland password f+++en passwort qwerty(z) baby abc123 sommer monkey letmein dragon baseball

31 Passwörter Fazit Alle Passwörter und PINS prüfen Ggf. Ändern und Ergänzen Regelmäßig ändern (monatlich, nach Bedarf) Keine Notiz Keine Weitergabe Nachrichten verfolgen

32 Vielen Dank für Ihre Aufmerksamkeit Fragen?