Schritt für Schritt zum sicheren Unternehmen

Transkript

1 Schritt für Schritt zum sicheren Unternehmen Prof. Dr. Hans Jürgen Ott Berufsakademie Heidenheim KECoS Kompetenzzentrum Electronic Commerce Schwaben kecos.de Träger: Kooperationspartner: KECoS Kompetenz-Zentrum Electronic Conmerce Schwaben Ulm Bodensee-Oberschwaben

2 Die Ängste sind berechtigt. Quelle:

3 Mehr Straftaten bei geringerer Aufklärungsquote Quelle:

4 Die Bedrohung ist weltweit. Quelle: November 2006

5 Der Mittelstand reagiert bereits. "Es gibt da einen Irrglauben, dass Technologie auf irgendeine magische Weise das Sicherheitsproblem lösen kann. Es gibt auch keine technische Lösung für Mord und Raub". (Bruce Schneier) Virenscanner Firewall Datenverschlüsselung Digitale Signatur ist es damit getan? andere Maßnahmen keine Maßnahmen

6 Problem: Wie aktuell ist Ihr Virenschutz? Quelle: Täglich neue Viren.

7 Aktualisierung Viren-DB Schutz Der Wettlauf wird dramatischer... zero-day-exploit Sicherheitslücke bekannt Virus-Veröffentlichung Viren-Entdeckung Update-Bereitstellung keine Schutzmöglichkeit Quelle: Quelle: Andreas Marx, Test.org Exploit

8 ... und unkalkulierbarer... Selbst Virenschutzprogramme können zeitweise Überträger sein

9 ... mit drastischeren Folgen. Quelle: <kes>/microsoft-sicherheitsstudie 2004

10 Problem: Wie gut ist Ihre Firewall konfiguriert? Client Server Internet Client Firewall Kontrolle der ein- und ausgehenden Daten Client softwarebasiert (z.b. LINUX: iptables); hardwarebasiert (z.b. Cisco PIX, Watchguard Firebox,...)

11 Portscanner: Automatisch Lücken in Firewalls finden.

12 Sogar Viren öffnen und nützen Lücken. Welche Firewall sperrt schon Port 3127?

13 Problem: Wie sicher ist Ihre Kommunikation nach/von draußen? Personal Firewall Was passiert zwischen sicheren Systemen? Unternehmens- Firewall wichtig! Außendienst- Mitarbeiter Unternehmen

14 Problem: Wie sicher ist Ihre drahtlose Kommunikation? Wardriving, LAN jacking: Eindringen in mobile Netze.

15 Die Gefahrenquelle Mensch ist technisch nicht verhinderbar. Bedeutung heute Prognose Schäden Gefahrenbereich Rang Priorität Rang Priorität Rang ja, bei Irrtum und Nachlässigkeit eigener Mitarbeiter 1 1,50 2 1, % Malware (Viren, Würmer, Troj. Pferde,...) 2 1,34 1 2, % unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage 3 0,60 4 1, % Software-Mängel/-Defekte 4 0,57 5 0, % Hacking (Vandalismus, Probing, Missbrauch,...) 5 0,48 3 1, % Hardware-Mängel/-Defekte 6 0,40 8 0, % unbeabsichtigte Fehler von Externen 7 0,30 9 0, % höhere Gewalt (Feuer, Wasser,...) 8 0, , % Manipulation zum Zweck der Bereicherung 9 0,17 7 0, % Mängel der Dokumentation 10 0, , % Sabotage (inkl. DoS) 11 0,12 6 0, % Sonstiges 12 0, , % Quelle: KES-Sicherheitsstudie 2004 / Basis: 161 Antworten (Bedeutung), Ø 124 (Prognose), Ø 128 (Schäden)

16 Beispiel: Phishing (password fishing) Werbung (Banner, Werb ) mit scheinbarem Link auf Bank-/ Kreditkarten-Website tatsächlicher Link auf Angreifer-Website Angreifer-Website enthält Formular, in das geheime Daten eingetragen werden sollen geheime Daten erhält nicht die Bank, sondern der Angreifer Social Engineering: Ausnutzen von Nachlässigkeit/Furcht/ Dummheit von Mitarbeitern. Number of unique phishing messages Quelle: Symantec Corporation, Oktober 2006

17 Beispiel: Sicherheitslücke Passwort. Quelle: iconomy, Juli 2005

18 Problemlösung durch sorgfältige/umfassende Sicherheitskonzeption. Security Policy Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Ist-Zustand Systemgrenzen Systemgrenzen Festlegen Festlegen Sicherheitsobjekte Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Fortschreiben Fortschreiben der der Konzeption Konzeption Gefahren erkennen Gefahren bewerten Gefahren abwehren

19 1. Gefahren erkennen. Ziele: Was soll erreicht werden? Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Datenschutz,... Ist-Zustand: Wie sieht es derzeit aus? eigenes Personal (Sicherheitsbeauftragter, betrieblicher Datenschutzbeauftragter) Einrichtungen (Werkschutz, Feuervorsorge,...) Hard- und Software (Sicherheitssoftware,...) Sicherungsobjekte: Was ist zu sichern? Hardware, Software, Daten, Personen, Betriebsmittel Bedrohungsanalyse: Was kann passieren? Gefahrenquellen: Natur/höhere Gewalt, Technik, Mitarbeiter, externe Personen,... gedankliches Durchspielen (Szenario-Technik) Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

20 2. Gefahren bewerten. Risikoanalyse: Was wird wahrscheinlich passieren? Wahrscheinlichkeiten von Gefahren: Polizeistatistik, Versicherer, eigene Erfahrungen, Hersteller, News-Groups, Literatur,... Schadensanalyse: Wie wird sich das auswirken? Kostensteigerung direkte Schadensfolgen: Zinskosten, Lagerkosten, unnötiger Traffic (z.b. bei Spam),... Wiederherstellungsaufwand bei Daten (Recovery) und DV-System (Ersatzbeschaffung) Mehraufwand für Handbetrieb bei Personal (Zusatzpersonal, Einarbeitung) und Betriebsmitteln (Papier, Fahrtkosten,...) Erlöseinbußen direkt: Forderungsausfall, Betriebsausfall indirekt: Verzögerungen, Kundenunzufriedenheit Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

21 3. Maßnahmen ergreifen. vorbeugen: Vulnerability Assessment, Notfallplan,... erkennen: Intrusion Detection; Honey-Pots,... korrigieren: Backup,... Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte ignorieren: Versicherung,... Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse deligieren: Managed Security Services,... Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

22 Problem: Wer soll das alles machen? Sicherheit auslagern. Muß ich mich dann um nichts mehr kümmern?

23 IT-Sicherheit im Mittelstand: Spezifische Bedingungen. niedriges finanzielles Polster geringes Experten- Know How Personalknappheit geringe Standardisierung von Abläufen geringe Arbeitsteiligkeit im Sicherheitsmanagement inkrementelles Vorgehen finanziell tragbar wenig Beeinträchtigung des laufenden Geschäfts erweiterbar beherrschbare Schritte

24 Die KECoS-Lösung zum sicheren Mittelstandsunternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

25 Schritt 1: Verantwortliches Personal bestimmen. Der IT-Sicherheitsbeauftragte ist der Verantwortliche für die IT-Sicherheit. Kenntnis der Risiken Koordinierung der Maßnahmen Überwachung der Maßnahmen Kümmerer für IT-Sicherheit 1. Sicherheitsbeauftragten bestimmen

26 Es gibt viel zu tun für Sicherheitsbeauftragte. z.b. sich mal die Arbeitsplatzrechner anzusehen... Keylogger als Hard- und Software. Quelle: Januar 2007

27 Eingesetztes Sicherheitspersonal in der Praxis. Den Bock zum Gärtner gemacht

28 Schritt 2: Daten regelmäßig sichern. 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

29 Band 1 Band 2 Band 3... Datensicherung (Backup). Kopie der produktiven Datenträger anfertigen. sichere Archivierung auf Band, CD, etc. an anderem Ort Bei Datenträgerfehler/Virus etc.: Aufspielen der Kopie auf neuen Datenträger Archivierung nach dem Generationenprinzip: 1. Sicherung (Großvater) 2. Sicherung (Vater) 3. Sicherung (Sohn) 4. Sicherung (Enkel) 5. Sicherung (Urenkel) Aufwand <==> Sicherheit...

30 Schritt 3: Gegen Viren und andere Schadsoftware schützen. 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

31 Viren-Schutz. Virenschutzprogramme (Viren-Wächter, -Scanner) installieren Regelmäßig (automatisch) updaten Notfallplan erarbeiten (Wer was wann wie wo mit wem?) Umsicht, Vorsicht, Sorgfalt keine Raubkopien und unbekannten Programme verwenden nur bekannte Mails öffnen, nur sichere Attachments anklicken regelmäßig Sicherungskopien anlegen

32 Schritt 4: Hacker müssen draußen bleiben. 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

33 Einstieg: Penetration Software. Lücken finden durch Portscanner

34 Schritt 5: Sicherheit muss gewollt und gekonnt werden. 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

35 Information/Schulung im Sicherheitsbereich. Benutzer IV-/DV-Mitarbeiter Datenschutzbeauftragte ISI-Beauftragte Revisoren, Prüfer Management andere Quelle: KES/UTIMACO-Sicherheitsstudie 2002 gar nicht gelegentlich, spezielle Anlässe regelmäßig

36 Schritt 6: Daten auch außerhalb des Unternehmens absichern. 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

37 Virtual Private Networks (VPN) schützen übertragene Daten. Verschlüsselung der Daten Zugriff für Angreifer nutzlos Benutzung von digitalen Zertifikaten Kommunikationspartner authentifiziert sich Kombination: Virtual Private Network (VPN) Datenpakete werden ausgepackt und durch Tunnel übertragen Vertraulichkeit Echtheit VPN-Client VPN-Client (z.b. Firewall)

38 weitere Schritte: Es gibt kein zu sicheres Unternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

39 Problem: Kosten-Nutzen-Asymmetrie. Kosten von Sicherheitsmaßnahmen Nutzen von Sicherheitsmaßnahmen der Maßnahme leicht zuordenbar der Maßnahme schwer zuordenbar leicht bewertbar schwer bewertbar treten sicher auf unsicher, ob er überhaupt auftritt Großteil tritt sofort auf tritt erst später auf!?

40 Fazit. Sicherheitsmaßnahmen sind teuer und schwierig -... aber notwendig! Jetzt Vorsorge treffen! Mittel bereitstellen Personal bestimmen Bewußtsein bei den Mitarbeitern schaffen Das Netzwerk Elektronischer Geschäftsverkehr hilft!

41 Das Netz der Kompetenz-Zentren. Über 20 Kompetenzzentren in Deutschland Information, Beratung, Schulung