IT-Grundschutz Entscheider & Manager

Transkript

1 IT-Grundschutz für Entscheider & Manager Malte Hesse Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

2 IT-Sicherheit ist... gefährdet Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit,... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte,... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash,... Vorsätzliche Handlungen: Hacker, Viren, Trojaner,... 2

3 IT-Sicherheit ist... gefährdet Der Benutzer hätte am liebsten keine komplizierten Passwörter und der Administrator am liebsten keine Benutzer kompromittierte Passwörter von Flirtlife.de x x x x x Sicherheitsbewusstsein der Benutzer?! 3

4 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 4

5 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Der Mensch bleibt die größte Sicherheitslücke Quelle: W. Karden, Verfassungsschutz NRW 5

6 IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 6

7 Rechtliche Aspekte der IT-Sicherheit (1/2) Die Unternehmensleitung hat die Gesamtverantwortung für die IT- Sicherheit Persönliche Haftung bei Fahrlässigkeit (KonTraG, AktG, GmbHG etc.) Datenschutzgesetze des Bundes und der Länder Basel II Vergaberichtlinie für die Kreditvergabe Seit Januar 2007 u. a. im Kreditwesengesetz verankert Mindestanforderungen an das Risikomanagement Aktives IT-Risikomanagement kann Kreditkosten senken! Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) IT-Sicherheit ist Chefsache! 7

8 Rechtliche Aspekte der IT-Sicherheit (2/2) IT-Sicherheit beeinflusst aber auch andere Organe im Unternehmen: Betriebsrat Vertreter der IT-Benutzer bei Betriebsvereinbarungen Nutzung von am Arbeitsplatz, Einsatz von Spam- & Viren-Filtern Mitarbeiter Ohne Akzeptanz der Mitarbeiter, keine IT-Sicherheit Strafrecht/Arbeitsrecht besonders: Administratoren Strafrecht: Computerbetrug ( 263a StGB), Fälschung beweiserheblicher Daten ( 269 StGB), Sachbeschädigung: Datenveränderung ( 303a StGB) und Computersabotage ( 303b StGB) IT-Sicherheit ist nicht nur Chefsache! 8

9 Neue organisatorische Anforderungen HIPAA (USA) ISO 18501/ FDA 21 CRF Part 11 SEC 17a-4 (USA) Sarbanes-Oxley Act (USA) Canadian Electronic Evidence Act Public Records Office (UK) Basel II Capital Accord Financial Services Authority (UK) Electronic Ledger Storage Law (Japan) 11MEDIS-DC (Japan) AIPA (Italy) GDPdU & GoBS (Germany) NF Z (France) BSI PD0008 (UK) Quelle: M. Hochenrieder, HvS-Consulting GmbH 9

10 Methodik für f r IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste? 10

11 Rahmenwerke & Standards im Bereich Informationssicherheit ISO / ISO Internationaler Informationssicherheitsstandard Fokus: Etablierung eines Information Security Management System (ISMS) BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen Quelle: M. Hochenrieder, HvS-Consulting GmbH 11

12 BSI IT-Grundschutz Neugliederung des IT-Grundschutzes Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische Risikoanalyse Empfehlung von Standard-Sicherheitsmaßnahmen konkrete Maßnahmenbeschreibung 12

13 BSI IT-Grundschutz Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement BSI Standard ISMS: Managementsysteme für Informationssicherheit BSI Standard IT-Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf Basis von IT-Grundschutz Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen -Baustein-Kataloge - Kap.B1 Übergreifende Aspekte -Kap. B1.0 IT-Sicherheitsmgnt. - Kap. B2 Infrastruktur - Kap. B3 IT-Systeme - Kap. B4 Netze - Kap. B5 IT-Anwendungen -Gefährdungs-Kataloge -Maßnahmen-Kataloge 13

14 Fortlaufender IT-Sicherheitsprozess im IT-Grundschutzhandbuch IT-Sicherheitsleitlinie IT-Sicherheitsmanagement Revision Kontrolle Betrieb Planung Umsetzung Schulung 14

15 IT-Sicherheitsprozess IT-Sicherheitsleitlinie (Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: IT-Sicherheit ist Chefsache! 15

16 IT-Sicherheitsprozess IT-Sicherheitsmanagement (1/2) Der IT-Sicherheitsbeauftragte als delegierter der Unternehmensleitung ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaßnahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher Muss seiner Aufgabe gewachsen sein und die notwendigen Ressourcen erhalten! 16

17 IT-Sicherheitsprozess IT-Sicherheitsmanagement (2/2) Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme 17

18 Erstellung und Realisierung eines IT-Sicherheitskonzepts IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen ca. 20% 18

19 IT-Strukturanalyse Erfassen der IT-Systeme Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten, Netzdrucker, TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen. 19

20 IT-Strukturanalyse Beispiel: Gruppenbildung Internet S2: Primärer Domänen- Controller (Windows NT) S3: Exchange- Server (Windows NT) S4: File- Server (Novell Netware) S5: Kommunikations- Server (Unix) S6: Backup Domänen- Controller (Windows NT) N1: Router S1: Server für Personalverwaltung (Windows NT) Liegenschaft Bonn N2: Firewall N4: Switch C1: 5 Client- Computer für Personalverwaltung (Windows NT) N3: Switch C2: 10 Client- Computer für Verwaltung (Windows NT) IP N5: Router Standleitung C3: 75 Client- Computer für Fachabteilungen (Windows NT) N6: Router IP Liegenschaft Berlin N7: Switch C4: 40 Client-Computer (Windows NT) 20

21 IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personalverwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb Personalreferat S2 C6 N1 T1 Windows NT Server Laptop unter Windows XP Router Primärer Domänen- Controller Gruppe der Laptops für den Standort Berlin Router zum Internet-Zugang TK-Anlage für Bonn ISDN-TK- Anlage 1 Bonn, R Berlin, R Bonn, R Bonn, B.02 in Betrieb in Betrieb in Betrieb in Betrieb alle IT-Anwender alle IT-Anwender in Berlin alle IT-Anwender alle Mitarb. in Bonn 21

22 IT-Strukturanalyse Erfassen der IT-Anwendungen Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle) Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen. 22

23 IT-Strukturanalyse Darstellung der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen Beschreibung der IT-Anwendungen Anw.- Nr. A1 A4 IT-Anwendung/ Informationen Personaldatenverarbeitung Benutzer- Authentisierung Pers.- bez. Daten A5 Systemmanagement X A7 zentrale Dokumentenverwaltung X IT-Systeme S1 S2 S3 S4 S5 S6 S7 X X X X X 23

24 IT-Strukturanalyse Ergebnisdokument 24

25 Schutzbedarfsfeststellung Übersicht Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse 25

26 Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn...?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit (Leib & Leben) Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen 26

27 Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien Beispiel: finanzielle Auswirkungen (Mittelstand) niedrig bis mittel hoch sehr hoch Schutzbedarfskategorie Die Schadensauswirkungen sind begrenzt und überschaubar Die Schadensauswirkungen können beträchtlich sein Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen Individualisierung der Zuordnungstabelle! 27

28 Schutzbedarfsfeststellung Beispiel: IT-Anwendungen IT-Anwendung Nr. Bezeichnung pers. Daten Grundwert Schutzbedarfsfeststellung Schutzbedarf Begründung A1 Personaldatenverarbeitung Vertr. hoch schutzbedürft., personenbez. Daten, Gehaltsinformationen A2 Beihilfeabwicklung Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. Vertr. hoch schutzbedürft., personenbez. Daten, z.t. Hinweise auf Erkrankungen etc. Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. 28

29 Schutzbedarfsfeststellung Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind für die Schutzbedarfskategorie "niedrig bis mittel" im Allgemeinen ausreichend und angemessen, für die Schutzbedarfskategorie "hoch" Basisschutz, unter Umständen nicht ausreichend, zusätzliche Sicherheitsmaßnahmen, können durch ergänzende Sicherheitsanalyse ermittelt werden, für die Schutzbedarfskategorie "sehr hoch" Basisschutz, im Allgemeinen nicht ausreichend, so dass eine ergänzende Sicherheitsanalyse notwendig ist. 29

30 Schutzbedarfsfeststellung Ergebnis 30

31 Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs 31

32 Struktur des IT-Grundschutzhandbuchs Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge 32

33 IT-Grundschutzhandbuch Bausteine (Auswahl) IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Anwendungen WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung 33

34 Basis-Sicherheitscheck Übersicht IT-Grundschutz-Modell Internet Exchange- Server (Windows NT) Primärer Domänen- Controller (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich umzusetzende Maßnahmen Realisierte Maßnahmen 34

35 Basis-Sicherheitscheck Umsetzungsstatus Möglicher Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" "ja" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv Risiko-Übernahme (Akzeptanz des Risikos) Risiko-Transfer (Versicherungsschutz oder Outsourcing) Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein Maßnahmen müssen umgesetzt werden. 35

36 Priorisierung der Sicherheitsmängel und -maßnahmen Schutzbedarfsstufe // Bedrohung Dringend Dringend Sicherheitslücken Don't Don't forget forget Wichtig Wichtig Eintrittswahrscheinlichkeit Risiko 36

37 Ergänzende Sicherheitsanalyse Ist durchzuführen, wenn Schutzbedarfskategorie "hoch" oder sehr hoch" in mindestens einem der drei Grundwerte vorliegt, zusätzlicher Analysebedarf besteht (z.b. bei besonderem Einsatzumfeld) oder wenn für bestimmte Komponenten oder Aspekte kein geeigneter Baustein im IT-Grundschutzhandbuch existiert. Mögliche Vorgehensweisen sind: Risikoanalyse - relevante Bedrohungen ermitteln - Eintrittswahrscheinlichkeiten schätzen Penetrationstest - Verhalten eines Angreifers simulieren - Blackbox- und Whitebox-Ansatz unterscheiden Grundschutzmaßnahmen IT-Grundschutzanalyse Konsolidierung der Maßnahmen ergänzende Sicherheitsanalyse höherwertige Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen 37

38 Realisierung von IT- Sicherheitsmaßnahmen Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Stehen die erforderlichen Ressourcen zur Verfügung? Schritt 6: Realisierungsbegleitende Maßnahmen Werden die Mitarbeiter geschult und sensibilisiert, so dass die IT-Sicherheitsmaßnahmen akzeptiert werden? 38

39 Fazit IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten 39

40 IT-Grundschutz Grundschutz-Zertifizierung Was bringt es mir??? gültig bis

41 IT-Grundschutz Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: seit Januar 2004 auch auf Englisch erhältlich seit Anfang 2006 IT-Grundschutz-Zertifikat des BSI nach ISO

42 IT-Grundschutz Zertifizierung Zielgruppen Für wen lohnt eine IT-Grundschutz Zertifizierung? Allgemein: Als Nachweis eines funktionierenden IT-Sicherheitsmanagements Für Unternehmen gegenüber Kunden Geschäftspartnern Geldgebern (Stichwort Basel II) Aufsichtsorganen Für Behörden gegenüber Bürgern oder Unternehmen E-Government 42

43 IT-Grundschutz Zertifizierung Anwendungsbereiche Was kann zertifiziert werden? Ein oder mehrere Geschäftsprozesse Eine oder mehrere Fachaufgaben Eine oder mehrere Organisationseinheiten Es braucht nicht gleich das gesamte Unternehmen zu sein! Bedingung: IT-Verbund muss eine sinnvolle Mindestgröße haben! 43

44 IT-Grundschutz Grundschutz-Zertifizierung Ablauf (vereinfacht) Prüfung erfolgt durch einen vom BSI lizensierten IT-Grundschutz- Auditor Auditor prüft die Umsetzung von IT-Grundschutz und erstellt den Auditreport Prüfung der vorhandenen Dokumente Prüfung von Stichproben vor Ort Unternehmen stellt Zertifizierungsantrag beim BSI BSI prüft den Auditreport Falls Prüfung positiv: Zertifikat wird erteilt Kosten für BSI: ca Zertifikat wird veröffentlicht (Internet und Zeitschrift <kes>) 44

45 IT-Grundschutz Grundschutz-Zertifizierung Erfahrungen des BSIs IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen Tool-Unterstützung 45

46 Investment & Wirtschaftlichkeit Das liebe Geld... 46

47 IT-Sicherheitsrisiko und -Investment Investment ( ) Risiko Investment Schritt n Reduzierte Risiken << Investment Schritt 1 Reduzierte Risiken >> Investment Reduzierte Risiken Schritt - 1 Reduzierte Risiken Schritt - n Investment zur Risikominderung Investment????? Verbleibende Risiken Grad der IT-Security Implementation 47

48 Investment zur Risikominimierung Grundschutz Pareto-Prinzip (80:20 Regel) 20% der möglichen IT-Sicherheitsmechanismen richtig eingesetzt liefern 80% Schutz vor potentiellen Bedrohungen Das bedeutet, dass mit dem Einsatz der richtigen IT-Sicherheitsma Sicherheitsmaßnahmen mit einem relativ geringen Aufwand, ein vernünftiger nftiger Grundschutz für IT-Systeme hergestellt werden kann. Die Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen ist ein zunehmend wichtiger und sehr komplexer Punkt, mit dem sich die Verantwortlichen in Unternehmen, Behörden, aber auch die Regierungen, in einer gesellschaftlichen Verantwortung auseinandersetzen müssen. 48

49 Investment zur Risikominimierung Spezieller Schutz Wenn ein Grundschutz bereits implementiert ist, wird notwendiges weiteres Investment in Sicherheit sehr groß und ist wirtschaftlich isoliert betrachtet, i.d.r. nicht mehr sinnvoll. Es kann aber andere Gründe außer der Wirtschaftlichkeit geben, ein solches Investment dennoch durchzuführen. Ist im Gesamtzusammenhang besonders wichtig kritische Infrastruktur besonders sensibler Bereich Gesetzliche Notwendigkeiten Im militärischen Bereich, zum Schutz der Gesellschaft Wenn es um die Sicherheit von Menschen geht Angst Übertriebenes Sicherheitsgefühl 49

50 Wirtschaftlichkeit RoI = Return on Investments Nutzen den Kosten gegenübergestellt Was nützt ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung? Wann hat sich eine Investition amortisiert, d.h. die Anschaffung für die Investition wird durch den mit der Investition erwirtschafteten Ertrag gedeckt? Problem bei IT-Sicherheit: Quantitativer Nachweis von Schäden ist sehr schwierig! (Mittelbare und unmittelbare finanzielle Schäden; Renommeeverlust, Vertrauensverlust,...) Return on Security Investment (RoSI( RoSI) 50

51 Return on Security Investment RoSI Beispiel: Notebookverluste In diesem Beispiel soll anhand der Verluste von Notebooks exemplarisch eine Return on Security Investment (RoSI( RoSI) durchgeführt werden. Ablauf: Festlegung der Wahrscheinlichkeit des Verlustes eines Notebooks. Festlegung des Schadens (Recovery Cost - R), wenn die Daten, die auf einem Notebook gespeichert sind, von Dritten missbräuchlich verwendet werden. Total Cost of Ownership (TCO) für die Anschaffung eines Sicherheitssystems (Tool Cost - T) für die Sicherung der Daten auf dem Notebook. RoSI - Berechnung R Kosten eines Schadens T Kosten für f r eine Sicherheitssystems 51

52 RoSI-Beispiel Beispiel: Notebookverluste Wahrscheinlichkeit des Verlustes? Jeder der die Verantwortung von Notebooks im Unternehmen hat, müsste wissen wie viele Notebooks jährlich aus nachvollziehbaren und nicht nachvollziehbaren Gründen verschwinden! Einschätzung (Erfahrungen anderer) 5% of the company s laptops were stolen over the past year. Head of the MIS Department at the Advisory Board Company many as one in every 14 laptops sold in the US was stolen last year. Newsweek, 05/2002, One in every 14 laptops is stolen (= 7%) World Security Corporation, in 10 notebooks are stolen Tech Republic survey, Annual notebook theft rate rising to 5% and more through 2002 Gartner Group, Durchschnitt: gestohlene Notebooks 6% 52

53 RoSI-Beispiel Beispiel: Notebookverluste Wie hoch ist der Schaden? Dies kann der Besitzer des Notebooks am besten bemessen. Problem: der Schaden ist oft nicht genau zu analysieren, sondern durch Reduktion des Umsatzes und des Gewinns nur schwer zu beziffern. Einschätzung (Erfahrungen anderer) Average losses top $40,000 per Computer Stolen Over four years, the average reported loss related to notebook computer theft topped $40,000, and the highest reported single loss $1.2 million. FBI/Computer Security Institute Survey, Computer Security Issues and Trends Computer Security Institute, June 2000 The average financial loss resulting from a laptop theft grew by 44% from 2000 to 2001 ($62.000) Only a small percentage of the sum actually relates to the hardware costs Source: 2001 and 2002 Computer Security Institute/FBI Computer Crime & Security Survey Im November 1996 wurde ein Notebook von Visa International gestohlen. Darauf befanden sich über Kreditkartennummern. Kosten für den Austausch pro Kreditkarte ca. 23 Euro. Insgesamt also ca. 7 Millionen Euro Schaden. Deutsche Ausgabe PKI, e-security implementieren, Nash, Duane, Joseph, Brink, mitp-verlag, Bonn: Annahme Wert der Daten

54 Notebook Verschlüsselung sselung Beispielberechnung Berechnung Notebook Verschlüsselung für 500 Nutzer (TCO): Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden: (= 30 Notebooks * ) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 6% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years

55 Notebook Verschlüsselung sselung 2. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden (= 15 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 3% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years

56 Notebook Verschlüsselung sselung 3. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: (1 Lizenz = 110) Jährliche Kosten: 1. Jahr , dann 5.000/Jahr Vermiedener Schaden (= 5 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten Durchschnitt: gestohlene Notebooks 1% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year nd year rd year th year In total 4 years

57 RoSI-Berechnung Herausforderungen Die RoSi-Berechnung kann ein sehr komplexer Prozess sein Berechnung/Abschätzung des Schadens Berechnung/Abschätzung der Reduzierung des Schadens durch Sicherheitsmechanismen Komplexe Zusammenhänge zwischen Bedrohung und Schaden Komplexe Zusammenhänge zwischen Bedrohung und Wirkung von Sicherheitsmechanismen usw. 57

58 RoSI-Berechnung weitere einfache Beispiele Weitere Beispiele, bei denen eine RoSI-Berechnung in der Regel einfach durchgeführt werden kann, sind: Viren-Scanner Hier haben die meisten Unternehmen in den letzten Jahre selber Zahlen über die Kosten (S), die durch Schäden bei Virenbefall aufgetreten sind, zur Verfügung. ID-Management Management: SingleSignOn (SSO) oder Authentifizierung mit biometrischen Verfahren Hier kann der Einspareffekt durch Helpdesk Kosten sehr gut nachgewiesen werden (100 bis 200 /Jahr pro Benutzer). Elektronische Rechnungen mit digitaler Signatur Elektronische Rechnungen mit digitaler Signatur In diesem Bereich gibt es Studien, die aufzeigen, dass mit Hilfe einer elektronischen Rechnung sehr viel Geld gespart werden kann. Statt 1,40 für eine normale Papierrechnung mit handgeschriebener Unterschrift versendet, oder 0,40 für eine elektronische Rechnung mit digitaler Signatur, z.b. per versendet. 58

59 Weitere Informationen den Wald vor lauter Bäumen nicht... 59

60 Weitere Informationen Der IT-Sicherheitsleitfaden Norbert Pohlmann, Hartmut Blumberg Reichhaltiges, kostenloses Informationsangebot vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Kataloge Online-Schulungen Leitfaden Themen: IT-Sicherheit, RoSI-Berechnung Gebundene Ausgabe: 523 Seiten Verlag: Mitp-Verlag; Auflage: 2 (September 2006) ISBN-10: ISBN-13: Preis: 59,95 60

61 GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. Informationen und Preise unter Bezugsquelle: Download, Tool-CD und BSI-CD 30 Tage Testversion Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung 61

62 Beratungsangebot zum Thema Wirtschaftsspionage 62

63

64 IT-Grundschutz für Entscheider & Manager Vielen Dank für Ihre Aufmerksamkeit Fragen? Malte Hesse Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen