IT- Sicherheit durch Erfahrung

Transkript

1 IT- Sicherheit durch Erfahrung S A F E N E T IT Consulting & Solutions GmbH

2 Ihr Geschäftserfolg beruht auf sicheren und schnellen Prozessen und Informationen. Angesichts globaler Vernetzung, Heterogenität und Komplexität der IT-Systeme wird Informationssicherheit zunehmend Pflicht - denn vertrauliche Geschäftsinformation sollte auch im Zeitalter des Internet und E-Business vertraulich bleiben. IT Sicherheit im Internet-Zeitalter Wie lange kann Ihr Unternehmen den wachsenden Anforderungen noch standhalten? Ihre Anforderung Sicherheit Ihrer Geschäftsinformation Nahezu alle Unternehmen in der modernen Internet-Umgebung sehen sich bei der Ausgrenzung unerwünschter Besucher aus ihren Netzwerken immer größeren Herausforderungen ausgesetzt. Unsichere Firmennetzwerke, die Hackern den Zugang zu vertraulichen Unternehmensinformationen ermöglichen, stellen eine erhebliche Bedrohung für den Geschäftserfolg des gesamten Unternehmens dar. Aber auch die innerbetriebliche IT-Sicherheit muss zu jeder Zeit gewährleistet sein. Die unsichtbaren, dennoch stets gegenwärtigen und immer neuen Bedrohungen der IT- Systeme von innen und außen machen es oft besonders schwierig, diese Anforderungen erfolgreich in die Tat umzusetzen. Sich dagegen zu schützen, wird zum kritischen Erfolgsfaktor bei der rasanten Entwicklung der Informationstechnologie im Zeitalter von Internet und E-Business. Unser Angebot Sicherheit durch Erfahrung Die Bewältigung der Problematik erfordert entsprechend hohes Fachwissen und besondere Verfahren. Durch Mitarbeiter mit langjähriger Erfahrung im Bereich IT-Sicherheit kann herstellerunabhängige Beratung und Lösungen zur technischen, organisatorischen und betrieblichen Informationssicherheit liefern. Wir erarbeiten mit Ihnen eine unternehmensweite Security Policy. Dabei bestimmen wir das individuelle Sicherheitsniveau, legen die Sicherheitsziele des Unternehmens fest und definieren den IT-Sicherheitsprozess. Wir erstellen produktbezogene Sicherheitskonzepte nach einer von uns entwickelten Methodik, die sich in der Praxis in vielen Projekten bereits bewährt hat. Beim Sicherheitsauditing in Anlehnung an das Grundschutzhandbuch (GSHB) des Bundesamts für Sicherheit in der Informationstechnik (BSI) analysieren wir die Bedrohungen und definieren Maßnahmen für die Sicherheit in Ihren Systemen, Anwendungen und Netzen. Durch Penetrationstests werden mögliche Angriffe simuliert. Wir untersuchen, begutachten und maximieren die IT-Sicherheit Ihrer E-Business-Anwendungen im Internet, Intranet und Extranet und beraten Sie bei der Definition und Etablierung einer sicheren IT-Infrastruktur (PKI). Unternehmensweite Security Policies Produktbezogene Sicherheitskonzepte Sicherheitsauditing / Risikoanalyse Penetrationstests / Intrusion Detection Public Key Infrastruktur, PKI Internet- / Intranet- / Extranetsicherheit Management Beratung

3 Unternehmensweite Security Policies Richtlinien und Standards Verantwortlichkeiten Berechtigungskonzept Organisation und Personal Betriebskonzept, SLA Überwachung Notfallplanung Training, Schulung Ziel der Information Security Policy ist es, die aus einer Risikoanalyse gewonnenen Ergebnisse oder aber Best Practice Empfehlungen in Form von Sicherheitsgrundsätzen und Richtlinien für Ihr Unternehmen zu definieren. Dabei müssen auch Aussagen und Vorgaben über technische, organisatorische und betriebliche Maßnahmen gemacht werden, z.b.: Der skizzierte Wirkkreislauf einer Information Security Policy definiert das Zusammenspiel der getroffenen Regelungen und Maßnahmen zur Informationssicherheit (IS): Wirkkreislauf der Information Security Policy IS Policy IS Grundsätze Safenet 1999 Generische Richtlinien und Standards Produktbezogene Richtlinien Hilfsmittel (Checklisten, Formulare, etc) IS Organisation Technische Maßnahmen Organisator. Maßnahmen Training, Bewußtseinsbildung Kontrolle Monitoring Unternehmensweite Einführung Die Security Policy erstellt die Standards für das Sicherheitskonzept, beschreibt Verantwortlichkeiten und Verhaltensregeln für Anwender und Betreiber von IT- Systemen, Applikationen und Netzen. Sie definiert auch die Reaktionsmaßnahmen auf sicherheitsrelevante Ereignisse und Verstöße gegen die Richtlinien. Die Information Security Policy muss für den Anwender nachvollziehbar sein, und das Management muss zu jeder Zeit voll hinter den Aussagen stehen. Unsere bisherigen Projekte haben gezeigt, dass sehr oft Richtlinien zur Nutzung einzelner IT-Systeme bereits existieren, die es unbedingt zu berücksichtigen, aber auch im Gesamtzusammenhang zu harmonisieren gilt. Profitieren Sie von der Erfahrung unserer Experten bei der Definition Ihrer unternehmensweiten Security Policy! Unternehmensweite Security Policies Telefon Fax

4 Produktbezogene Sicherheitskonzepte WINDOWS-NT/UNIX SAP Exchange/Lotus Notes Firewall Remote Access Datenbanken Virenschutz EDI/XML/CGI/HTML/JAVA Sie möchten die Sicherheit Ihrer IT- Systeme zuverlässig beurteilen und heute und in Zukunft gewährleisten können. Um dieses Ziel zu erreichen ist nicht nur die Konfiguration der aktiven Netzwerkkomponenten nötig (Firewall, Router, usw.), sondern auch der am produktiven Betrieb beteiligten Betriebssysteme und der darauf laufenden Anwendungen. Wenn sie in Ihrem Unternehmen nicht über die erforderlichen Ressourcen verfügen, um die entsprechenden Maßnahmen selbst durchzuführen, unterstützen wir sie beim Security-Customizing ihrer geschäftskritischen IT-Komponenten. Das können Betriebssysteme, wie Windows-NT, UNIX und OS/390-RACF sein oder Anwendungen wie beispielsweise SAP R/3 inklusive vor- und nachgeschalteter Systeme (MDE, EDI), /Web-Server, Datenbanken, usw. Aber auch im Netzbereich (NDS, Firewall, Router) hat Safenet umfangreiches Know-how im Security-Customizing. Die Betriebssysteme Windows NT und UNIX verfügen beispielsweise über integrierte Sicherheitsmechanismen, mit deren Hilfe die nach der Standard-Installation des Betriebssystems noch vorhandene mangelnde Sicherheit erheblich verbessert werden kann. Wir konfigurieren die Systeme anhand von Sicherheitsempfehlungen der Hersteller bzw. gemäß eigener security guidelines, sowie nach den Anforderungen der Kriterienkataloge ITSEC und ITSEM. Das Security-Customizing eines komplexen IT-Systems, wie das eines R/3 Systems oder das von E-Business- Anwendungen, mit dem Ziel vorgegebene Sicherheitsstufen zu erreichen, kann nur beziehungsorientiert erfolgen. Dabei werden Abhängigkeiten und Beziehungsketten zwischen den Anwendungen gebildet, da jede Stufe des Verfahrens nur so sicher sein kann wie die darunter liegende, auf die aufgebaut wird. Der komplette Nutzungsvorgang der Anwendung wird betrachtet, und angesichts der sich für das System ergebenden Bedrohungen müssen die vorhandenen Sicherheitsgrundfunktionen (Identifikation, Authentisierung, Datenflußkontrolle, Verschlüsselung) aufeinander abgestimmt implementiert werden. Informationssicherheit ist ein Querschnittsthema, das in allen IT- Komponenten berücksichtigt werden muss Datenbanken SAP R/3 Viren, Schadensprogramme Edifact UNIX WIN NT Internet Anwendungen Firewall M Remote Access Inhalte produktbezogener Sicherheitskonzepte Zutrittskontrolle Zugangs- und Zugriffskontrolle (Benutzer- und Ressourcenverwaltung) Verfügbarkeit (Datensicherung, Notfallkonzept) Vertraulichkeitsschutz Integritäts- und Authentizitätsschutz Virenschutz Schutz der externen Netzzugänge Systemüberprüfung/ -überwachung Produktbezogene Sicherheitskonzepte Telefon Fax

5 Sicherheitsauditing / Risikoanalyse Penetrationstest / Intrusion Detection Ermittlung des Sicherheitsstatus Erfassung der bestehenden Netzstruktur Definition des Schutzbedarfs / Risikos Identifikation der gefährdeten Komponenten Scanning Penetration Sicherheitsbericht kontinuierliches Monitoring Die Gefahren, die durch das Internet entstehen, sind enorm. Durch die schnelle, weltweite Vernetzung von IT-Systemen existiert ein gewaltiges Bedrohungspotential. Im Rahmen von Securityaudits und Risikoanalysen identifizieren wir Schwachstellen innerhalb der Netzwerkanbindung an das Internet, insbesondere die, die Hackern den verdeckten Zugang ermöglichen. Denn die gefährlichsten Lücken sind die, die man nicht kennt. Ohne deren Kenntnis kann es auch keine Gegenmaßnahmen geben. Bei diesen Tests werden die effektiven Schutzmechanismen für Internet-Server und Firewalls bewertet und Konfigurationen von UNIX-, Windows NT und anderen vom Internet aus zugänglichen Servern sowohl innerhalb als auch außerhalb der Firewall sondiert. Zusätzliche Penetrationsanalysen werden durchgeführt, um ungeschützte Bereiche bei Kennwörtern und Zugriffsberechtigungen, geöffneten Ports und zulässigen Diensten zu bestimmen. Bei den von uns durchgeführten Penetrationstests setzten wir erprobte Netzwerk-Scanner (z.b. den Internet Security Scanner von ISS) und auch eigene Tools ein. Der genaue Leistungsumfang der Sicherheitstests wird bedarfsorientiert und individuell mit unserem Kunden gemeinsam festgelegt. Es kann sich dabei um einfache übers Internet nur mit der Kenntnis des Domain Namens oder einer IP- Adresse geführte Angriffe handeln. Weitaus komplexere und aufwendigere Angriffe werden sowohl aus dem Internet als auch aus dem internen Netz heraus unter Einbeziehung von Informationen zur Struktur des internen Netzes und der zur Zeit gültigen Sicherheitspolitik geführt. Zusätzlich zu dieser technischen Überprüfung untersuchen wir analytisch Regeln von Firewalls, Architekturen und das Zusammenspiel unterschiedlicher Komponenten. Wir bieten Ihnen einmalige und regelmäßige Sicherheitsüberprüfungen von IT-Systemen an. Das Resultat dieser Analyse ist ein Sicherheitsbericht. Darin sind die Schwachstellen, sowie die nötigen Schritte zur Behebung beschrieben. Wir halten fest, ob unsere Aktivitäten wahrgenommen werden und wie man darauf reagiert. Nach Abschluss einer Sicherheitsanalyse betrachten wir die Sicherheitsthematik nicht als beendet, sondern stehen Ihnen auch weiterhin als Servicepartner für Monitoring und Weiterentwicklung Ihrer Systeme zur Seite, beispielsweise durch das Aufsetzen von leistungsfähigen Intrusion Detection Systems (IDS). Dies sind Tools, mit denen sicherheitskritische Ereignisse automatisch erkannt und geeignete Reaktionen angestoßen werden können. IDS können helfen, Eindringversuche in Netzwerke, falsche Zugriffsrechte, Tunnels in Firewalls, usw. rechtzeitig zu entdecken, bevor durch Spionage, Hacker oder Fahrlässigkeit Schaden entstanden ist. Sicherheitsaudit / Risikoanalyse / Penetrationstest / Intrusion Detection

6 Public Key Infrastrukturen, PKI Corporate Directory, LDAP Trust-Center, CA rollenbasiertes Berechtigungskonzept Registration Authorities, LRA Anwendungen, Single Sign-On Einsatz von Smartcards Migration, Rollout Zertifizierung nach SigG Als eines der größten Hindernisse für E-Business wird häufig der Mangel an Sicherheit genannt. PKI bietet den Rahmen für eine Vielzahl von Systemen und Anwendungen, um die Sicherheitsfunktionen für kommerzielle Transaktionen zu verwirklichen: Vertraulichkeit -Geheimhaltung von Daten, Integrität - keine Datenmanipulation möglich, Authentisierung - Nachweis der Identität der Person Signatur - Beglaubigung der Information. Die Einführung einer PKI-Lösung ist ein komplexer Vorgang und stellt eine Herausforderung dar, die viel Planung, Verwaltung und eine klare Sicherheitsstrategie erfordert. Ziel einer Public Key Infrastruktur ist die Einrichtung und Darstellung vertrauenswürdiger Instanzen, die durch Erteilung eines Zertifikates die Bindung eines Public Key an einen Benutzer herstellen. Diese Bindung wird durch die Signatur einer Certification Authority (CA) im Zertifikat abgesichert. Die Einrichtung einer Public Key Infrastruktur stellt an die Instanzen hohe Anforderungen hinsichtlich der Sicherheit, insbesondere bei der Zertifizierung nach dem deutschen Signaturgesetz (SigG). Wir unterstützen Sie als Systemintegrator bei der Realisierung dieser geschäftskritischen neuen Technologie als Grundlage für Ihr sicheres E-Business. Daneben hat Safenet seit Jahren Erfahrung in der Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Public Key Infrastruktur muss folgende Kategorien behandeln: die Benutzer, mit der Möglichkeit der elektronischen Identifikation und der Verwendung von kryptographischen Schlüsseln (PSE, LDAP) die Anwendungen, mit den Software-Erweiterungen für kryptographische Verfahren (PCSC, PKCS) die Bereitstellung des Schlüsselmaterials, über die dazu notwendigen Instanzen (Trust Center und RA) Applications User PSE: Personal Security Environment LDAP Directory Application Public and Private Key (PSE) Public Key Certificates Als eines der wenigen Unternehmen hat Safenet Erfahrung in Konzeption und Implementierung von PKI für Unternehmensgrößen von mehr als Benutzern. Profitieren Sie von dieser Erfahrung bei der Einführung Ihrer PKI-Lösung! Public Key Infrastrukturen, PKI PIN Public Key Certificate Key Generation (KG) Registration Authority (RA) Application Trust Center Certification Authority (CA) Public and Private Key (PSE) Key Archive (KA) Safenet GmbH 1999 Public Key Infrastructure

7 Internet / Intranet / Extranetsicherheit Remote Access Role Based Access Corporate Directory SSL - Verschlüsselung Single Sign-On Smartcards Virtual Private Networks, VPN Secure Messaging Virenschutz Das Internet hat sich zu einem sehr wichtigen Kommunikationsmedium entwickelt. Mit dem Zugang zum Internet wächst aber das Gefahrenpotential für verschiedene Aspekte der Datensicherheit im Unternehmen und erreicht eine neue Qualität. Interne IT-Ressourcen, über das Internet übertragene Daten und Geschäftsinformationen im Internet müssen besonders geschützt werden. Daten und Applikationen, die aus dem Internet in interne Datennetze importiert werden, sind zusätzlich auf sicherheitsrelevante Eigenschaften zu überprüfen. Um die durch die Nutzung des Internet entstehenden Risiken auf ein akzeptables Maß zu reduzieren, sind organisatorische und technische Maßnahmen notwendig. Diese müssen den Grundsätzen und Richtlinien genügen, die aus Sicherheitserwägungen heraus für die Nutzung des Internet definiert (Internet-Politik) wurden. Die Anforderungen an die IT- Sicherheit reichen von der Zugangskontrolle, über gesicherte Verbindungen durch Einsatz von Verschlüsselung bis hin zur Vertraulichkeit und Unversehrtheit der Geschäftsdaten durch zentrale Autorisierung und Virenschutz. Safenet berät Sie bei Planung und Einsatz der zur Verfügung stehenden Sicherheitstechnologien und Standardprodukte und integriert diese in ihre bestehenden IT- Anwendungen (beispielsweise für verschlüsselung und sichere Internetanwendungen). Sie erhalten auch kompetente Unterstützung bei der Produktauswahl, bei Entwicklung und Schulung. Das skizzierte generische Modell für Internet Security via Security Proxies gibt eine Beispiellösung für die IS- Anforderungen konkreter Dienste wie Web oder NT- Services. Folgende Anforderungen werden erfüllt: Strong Authentication von Server und Client mit Public Key Verfahren und X.509v3-Zertifikaten Unterstützung von starker symmetrischer Verschlüsselung (ab 128 Bit Schlüssellänge) Ablage des Private Key und des Zertifikates als PSE Authentisierung auf Network-Ebene, ortsunabhängig über ein Zugangssystem Zentrale Rechtevergabe und -verwaltung Client Ungeschützter Server geschützter Server Authentisierungsserver Überprüfung, Gültigskeitsdauer, etc Client Applikation http,ftp,telnet,x11,pop,. Security PC/SC SC client proxy SSLv3.0 Security server proxy geschützte Applikation http, ftp, X11, telnet, POP,. SSLv3.0 Autorisierungsserver User, Rechte, Rollen Auditserver Logging SSL-Server MS, Netscape, Internet / Intranet / Extranetsicherheit SQL DB Administration der Autorisierung fen Sie uns einfach an. Wir vereinbaren gerne einen Telefon Fax

8 Firewallsysteme Analyse Installation Konfiguration IP-Chains (Linux-Firewall) Firewall-1 von Checkpoint NetGuard, u.a. Virtual Private Networks, VPN DMZ Virenschutz (Gatewayscanner) Das Schlagwort der letzten Jahre, das fast immer gleichzeitig mit dem Wort Sicherheit gefallen ist, war Firewall. Wohl kaum eine andere Komponente verspricht auf Anhieb einen derartigen Sicherheitsgewinn wie eine Firewall. Ohne Sie ist Sicherheit im Internet nicht denkbar. Sie schützt Ihr Firmennetzwerk vor unerlaubtem Zugriff aus dem Internet heraus, denn viele Provider sind zwar fähig, Sie in das Internet zu bringen, jedoch nicht Sie vor Angriffen aus dem Internet zu schützen. Grundsätzlich gilt: Nur solche Zugriffe sollten möglich sein, die explizit erlaubt wurden. Wir bestimmen zusammen mit Ihnen die für Sie geeignetste Firewallstrategie. Dazu gehört die Findung des besten Kompromisses zwischen erwünschter Sicherheit und möglichen Netzwerk-Services. Der Sicherheitsgewinn durch eine Firewall allein darf aber nicht überschätzt werden; ein weiterer Schritt zur Erhöhung der Sicherheit sollte die Einrichtung einer DMZ (als Bus- oder Sterntopologie), oder die Aufstellung eines VPN beispielsweise zwischen den verschiedenen Standorten ihres Unternehmens und/oder zu ihren Geschäftspartnern sein. Wir bieten Ihnen Planung, Konfiguration und Installation von Firewallsystemen an der Verbindung Ihres Firmennetzes mit dem Internet oder auch innerhalb Ihres Intranets an. Welche Firewall bei Ihnen zum Einsatz kommt, (z.b. IP- Chains unter Linux, Firewall-1 von Checkpoint, NetGuard) bestimmen Ihre Anforderungen. Wenn Sie schon eine Firewall installiert haben oder einfach wissen möchten, welchen Risiken Ihr Netz ausgesetzt ist, können wir Ihnen einen Analyse der aktuellen Firewall-Einstellungen anbieten. Firewallsysteme Quelle: Kostengünstige LINUX Firewall-Lösung von Safenet Wir installieren und konfigurieren alle gängigen Firewall- Produkte, wobei die Linux-Firewall die preisgünstigste Lösung darstellt. Wenn Sie kein Linux Know-how bzw. Ressourcen im Unternehmen haben oder sich mit Linux nicht auseinandersetzen möchten, bieten wir Ihnen die Installation, Konfiguration und den Betrieb der Firewall im Paket zu einem festen Preis an.

9 Management Beratung Machbarkeitsanalysen Entscheidungsvorbereitung strategische Planung Roadmap zur IT-Sicherheit Aktuelle Situation Informationssicherheit (IS) muss als Querschnittsthema in die strategische IT-Planung einbezogen werden, um Insellösungen zu vermeiden. Sicherheitsanforderungen ergeben sich durch Online-Anbindung von Geschäftsstellen, Geschäftspartnern und Lieferanten Breiteneinsatz von Telearbeitsplätzen und mobilen Geräten Dezentralisierung und Outsourcing von Geschäftsprozessen und Organisationen Anbindung des Unternehmensnetzes an das Internet. Anforderungen an die Dienste der Informationssicherheit Plattformunabhängigkeit zur Integration in heterogene Systemlandschaften Skalierbarkeit zur bedarfsgerechten Nutzungstiefe der IS-Dienste Modularität zur leichten Integration von neuen mit bestehenden Technologien in Prozessen und Anwendungen Standards für Schnittstellen, Protokolle, Kryptoalgorithmen Nachvollziehbarkeit durch geeignete Auditing-Funktionen Benutzer- und Betreiberfreundlichkeit durch Single Sign-On und rollenbasierte Berechtigungskonzepte Ziel / Strategie Verschlüsselung / Filtermechanismen für Vertraulichkeit, Integrität, Verfügbarkeit von Informationen des Unternehmens zentrale Authentisierungsfunktionen für Identifikation bzw. Authentisierung von Benutzern zentrale Autorisierungsinstanzen regulieren die Teilnehmer-Autorisierung auf IT-Ressourcen/- Dienste digitale Signaturen und Zertifikate als Basis für Verbindlichkeit bzw. Nichtabstreitbarkeit von Transaktionen innerhalb der IT-Geschäftsprozesse Bedarfsgerechte Verfügbarkeit von elektronischer Unterschrift und Verschlüsselung an jedem vernetzten Arbeitsplatzsystem (inhouse, mobil) wirksamer Zugangs- und Zugriffsschutz für alle IT-Systeme und Netze im Unternehmen Nutzen für das Unternehmen Sicherheits-Dienste (Schlüsselvergabe, Virenschutz) stehen jedem Anwender aktuell zur Verfügung. Vertrauliche Daten sind vor unbefugtem Zugriff geschützt Die Verbindlichkeit von elektronischen Geschäftstransaktionen durch anerkannte digitale Signaturen ist Basis für Geschäftsobjekte im Internet Der Zugang zu allen IT-Systemen ist einfach und sicher Nur eine globale integrierende Sicherheits-Architektur, die kontinuierlich an die Szenarien der offenen Kommunikation in den Geschäftsprozessen angepasst wird und effektive Sicherheitsdienste auf unterschiedlichen Ebenen bereitstellt, kann den modernen Anforderungen gerecht werden. Safenet unterstützt Sie bei der Entscheidungsvorbereitung und berät Sie bei Ihrer strategischen IS-Planung. Rufen Sie uns einfach an. Wir vereinbaren gerne einen vertraulichen Gesprächstermin mit Ihnen.

10 Kunden und aktuelle Projekte Unsere Prinzipien gegenüber unseren Kunden: Qualität, Leistung und Effektivität Verbindlichkeit unserer Vereinbarungen Fairness, auch im Preis-Leistungs-Verhältnis Flexibilität und Ausrichtung am Kunden absolute Vertraulichkeit Was unsere Kunden besonders zu schätzen wissen: Sie werden ganzheitlich von einem eigenverantwortlichen Ansprechpartner betreut. Erstellung und Implementierung der unternehmensweiten Security Policy UNIX- und Netzwerksicherheitsanalyse - Firewall, WINDOWS-NT, UNIX, Netscape, Lotus Notes Konzeption eines rollenbasierten unternehmensweiten Berechtigungskonzeptes Planung einer Corporate Directory Strategie Erstellung eines Sicherheitskonzeptes im Rahmen der Migration von UNIX auf WINDOWS NT Konzeption und Implementierung einer Public Key Infrastruktur (PKI) für sichere WEB-Anwedungen und Single Sign-On Security Machbarkeitsstudie und IST-Analyse, Maßnahmenkatalog zur Informationssicherheit Sicherheits- und Risikoanalyse - RACF, Exchange, DB2, SAP R/3, Remote Access und NDS Implementierung eines Corporate Directories mit LDAP und X.500 Konzeption für Secure Messaging - PKI, Lotus Notes Planung und Implementierung der rollenbasierten Benutzerverwaltung - ARIS, SAM ITSEC Zertifizierung Reliant UNIX 5.43 Konzeption, Realisierung und Einführung einer Smartcard-Lösung für Single Sign-On Wann dürfen wir Sie als Kunde begrüßen?

11 Erfolgsfaktor Sicherheit Im Gespräch mit unserem Geschäftsführer Hans-Jürgen Seidel - Hans-Jürgen Seidel ist Experte für die Sicherheit von IT-Systemen. Bei Siemens war er als Bereichsbeauftragter für Datenschutz und Informationssicherheit für die Definition und Umsetzung der Security Policy verantwortlich. Zu seinen Spezialgebieten zählen Protokoll- und Netzsicherheit, Security Komponenten und die Sicherheit in unsicheren Netzen. Warum bekommt das Security Management eine immer größere Bedeutung? Information und Kommunikation sind zu strategischen Faktoren des Unternehmenserfolgs geworden. Unerlaubte externe und interne Eingriffe in die Informationstechnik, die die Integrität, Vertraulichkeit und Verfügbarkeit der Information gefährden, können drastische Schäden verursachen. Die Dezentralisierung der Informationstechnik und die weltweite Vernetzung über das Internet erhöhen die Gefahren. Neuerdings berichten die Zeitungen fast täglich über Hackerangriffe auf Unternehmen, die im E-Business agieren. Management, Betreiber und Anwender von IT-Systemen müssen sich vor solchen Bedrohungen schützen. Nur ein Sicherheitskonzept, das auf einer Risikoanalyse aufbaut und die organisatorische, personelle und technische Sicherheit umfasst, bietet diesen Schutz. Worauf müssen Unternehmen dabei besonders achten? Zunächst gilt es, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Dann müssen Regeln aufgestellt werden, deren Einhaltung kontinuierlich überprüft wird. Sicherheitsmaßnahmen sollten möglichst technisch umgesetzt werden, das heißt automatisiert und toolgestützt ablaufen. Welche Schritte sind dazu notwendig? Am Anfang muss die Beschreibung des Ist- Zustandes der technischen Infrastruktur und der organisatorischen Zuständigkeiten stehen. Dem Benchmarking und der Entwicklungsplanung mit Festlegung von Prioritäten und Ressourcenbedarf sollte eine Risikoanalyse folgen. Dann lässt sich die Security Policy festschreiben. Verantwortlichkeiten müssen festgelegt und ein Berichtssystem muss etabliert werden. Schließlich gilt es, den Maßnahmenkatalog revisionssicher aufzustellen sowie in der Aufbauorganisation und in den Prozessen zu verankern. Wo sehen Sie die größten Hürden bei der Entwicklung und Umsetzung von Security Policies? Es wird oft zu viel auf einmal versucht. Meist wäre es besser, zunächst weniger zu regeln, das dafür aber konsequent umzusetzen, einzuhalten und zu überprüfen. Es empfiehlt sich, einen im Security-Bereich kompetenten Partner hinzuzuziehen, der ein Stufenkonzept mit einem unternehmensweiten Regelwerk zur Informationssicherheit entwickelt und einführt. Ganz wichtig ist dabei die begleitende Schulung der Mitarbeiter. Wie können Unternehmen die Systemsicherheit und die Einhaltung der Sicherheitsregeln am besten überwachen? Security-Audits durch unabhängige Experten sind sicher zu empfehlen. Von Zeit zu Zeit müssen auch Penetrationstests durchgeführt werden. Zudem sollten natürlich revisionssichere Tools und Produkte eingesetzt werden, die Systemsicherheit und Einhaltung der Security Policies auf technischer Ebene sicherstellen. Kann eine Firewall alleine ausreichen? Eine Firewall ist nur ein Baustein einer sicheren IT-Infrasruktur. In ein integrierendes Sicherheitsmodell müssen auch Verschlüsselung, zentrale Authentisierungsfunktionen und Autorisierungsinstanzen sowie anerkannte digitale Signaturen einbezogen werden. Hinzukommen sollten unternehmensweite Security-Dienste wie ein Virenschutz-Center und ein Computer Emergency Response Team. Wichtig und bald ein must für viele E-Business Unternehmen ist die frühzeitige Konzeption und Implementierung einer Public Key Infrastruktur (PKI) als Basis für sichere Internet- Transaktionen. Mit welchen Unternehmen arbeiten Sie im Bereich Security zusammen? Als Integrationspartner ist Safenet grundsätzlich herstellerneutral. Wir arbeiten selbstverständlich mit einer Reihe von Produkt-Lieferanten zusammen und agieren beispielsweise als Systemintegrator für alle führenden PKI-Produkte. Für unsere Kunden sind wir ein kompetenter Partner, der das Thema Informationssicherheit nicht als Me-Too-Business betrachtet, sondern konsequent und professionell bearbeitet.