Wie viel IT-Sicherheit braucht mein Unternehmen?

Transkript

1 Wie viel IT-Sicherheit braucht mein Unternehmen? Dipl.-Ing., Dipl.-Inform. Gerhard Bülow Verein zur Förderung der Gladbecker Wirtschaft e.v

2 IT-Sicherheit ist Chefsache Nach den Enthüllungen um die NSA steigt die Bedeutung des Datenschutzes. Mobile Endgeräte und das Internet stellen immer höhere Anforderungen an die Sicherheit im Bereich der IT. Unternehmen sind zudem mehr denn je von funktionierenden IT-Infrastrukturen abhängig. Informationssicherheit ist daher ein besonders wichtiges Interesse von Vorständen, Geschäftsführern und IT-Entscheidern um Verlust von Daten und Datendiebstahl zu vermeiden. Hilfreiche Fragegestellungen: Welche schützenswerten Daten habe ich im Unternehmen? Wie muss das organisatorische Umfeld gestaltet sein? Wie schafft man ein Sicherheitsbewusstsein im Unternehmen? Welche Maßnahmen müssen ergriffen werden?

3 "Wie sicher ist sicher genug?" Mit der Beantwortung dieser Frage ringen Unternehmen in aller Welt. Medienberichte beunruhigen die IT-Verantwortlichen: Staatsanwaltschaft Verden bestätigt 18-millionenfachen Datenklau Heartbleed Bug" Sicherheitslücke (OpenSSL) macht verschlüsselte Verbindung unter Umständen angreifbar. Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck Virenmail tarnt sich als Bahn-Buchungsbestätigung Sparkassen-Website manipuliert Nutzer-Rechner Massenhafter Raub von Kundendaten Australien: Hackerangriffe auf die Zentralbank Cyber-Bankräuber erbeuten Millionen von deutschen Konten Nur strukturiertes Vorgehen hilft den Sicherheitsverantwortlichen weiter

4 Sicherung des Unternehmensstandortes: Gebäude (Zaun, Alarmanlage, Videoüberwachung) Server-Räume (Zutritt) Unterbrechungsfreier Betrieb (USV, Notstrom) Umgebungsbedingungen (Klima) Brandschutz

5 Risikofaktor Netzwerk [LAN / WAN] PC-Arbeitsplätze File-Server (RAID, Berechtigungen) Datensicherung (BAND / SAN) Virenschutz (Server / PC) Netzwerk WLAN Notebook Sichere Datenvernichtung / PC-Entsorgung Eine Studie der Gardner Group besagt, dass 70 Prozent aller unberechtigten Zugriffe auf EDV-Systeme durch autorisierte Benutzer erfolgen und sogar 95 % aller Angriffe, die zu einem finanziellen Verlust führen

6 Risikofaktor PC-Arbeitsplatz PC-Systeme verfügen heute häufig über CD / DVD Brenner USB-Schnittstelle Internet-Zugang Damit ergibt sich das potentielle Risiko, dass interne Daten auf CD / DVD gebrannt und mitgenommen werden auf einen USB-Stick gespeichert und mitgenommen werden per verschickt werden oder Viren, Trojaner etc. eingeschleust werden. Abhilfe: Terminalserver mit Thin-Clients (USB abgeschaltet) Datenschutzrichtlinie

7 Risikofaktor File-Server (Windows, Samba [Linux] etc.) Sichere Datenhaltung der Firmendaten RAID (Redundant Array of Independant Disks) beschreibt die Methode, aus mehreren ungesicherten Festplatten einen Verbund aufzubauen. Ziel ist es, bestimmte Eigenschaften wie Datensicherheit oder Geschwindigkeit zu verbessern. Berechtigungsstrukturen (Verzeichnisebene) Gruppenrichtlinien Benutzer-Zugangskennung Benutzer-Zugangs-Passwort Jeder Benutzer erhält nur Zugang zu Daten, die er tatsächlich benötigt

8 Risikofaktor File-Server Datensicherung (Maßnahmen gegen Datenverlust) Generelle Klärung: Was?, Wann?, Wie viel?, Wie schnell? Wo?: Regelmäßige Sicherung der Server-Daten auf Bändern Wo?: Kombination aus Plattenspeicher und Bänder Datenbestände wachsen rasant schnell Sicherung der Daten auf Bändern benötigt immer mehr Zeit Eine Wiederherstellung der Daten vom Band dauert lange Daher oft zweistufiges Konzept: Tägliche Sicherung auf SAN / NAS Bänder dienen der Langzeitaufbewahrung

9 Risikofaktor File-Server Disaster Recovery / Notfall-Pläne Fehlerursachen für Datenverluste sind vielfältig: Hardwareausfälle [Festplatten, Netzteil etc. ] Softwareausfälle [Probleme durch Updates] Sicherheitsbedrohungen [Viren, Trojaner] Stromausfall Fehlverhalten von Mitarbeitern Notfall-Pläne müssen regelmäßig überprüft / getestet werden. Im Ernstfall sollte innerhalb von X Stunden der Normalbetrieb wieder laufen Ein Störfall, der nicht innerhalb der erwarteten Zeit behoben wird, kann zu erheblichen geschäftlichen Konsequenzen führen

10 Risikofaktor Viren Viren, Würmer, Trojaner und andere Computer-Schädlinge werden eingeschleust durch s USB-Sticks CD-ROMS DVDs Anti-Viren-Software auf Server und PCs schaffen Abhilfe Regelmäßige Patternupdates sind notwendig Größte Gefahr durch s

11 Risikofaktor Viren Aktuelle Meldungen Entwicklung der IT-Bedrohungen im 1. Quartal weitere: Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck Virenmail tarnt sich als Bahn-Buchungsbestätigung Sparkassen-Website manipuliert Nutzer-Rechner Cyber-Bankräuber erbeuteten Millionen von deutschen Konten Australien: Hackerangriffe auf die Zentralbank Sicherheitsstudie: Die unsichersten Android-Apps

12 Risikofaktor WLAN WLAN Verschlüsselung Durch Verschlüsselungstechnologien wird die Verbindung selbst gesichert und alle Daten im WLAN verschlüsselt. [Leider oft nicht eingeschaltet] [WEP, WPA, WAP2] Zugangskontrolle zu WLAN Netzen [NAC] Vordefinierte MAC-Adressen Radius-Authentisierung WLAN IPS Überwachung, wer baut eine WLAN-Verbindung auf Sicherheitsregeln entscheiden über Freigabe oder Sperrung

13 Risikofaktor Notebook (USB-Stick, externe Festplatten, DVDs) Notebooks etc. gehen verloren oder werden gestohlen Zugangskontrolle über Fingerprint-Reader Verschlüsselung der Festplatte (z.b. G DATA TopSecret verschlüsselt die Daten in Echtzeit) Generell unternehmensweite Sicherheitsanforderungen für mobile Geräte Aktuelle Diskussion BYOD Bring Your Own Device ist eine Organisationsrichtlinie, die regeln soll, auf welche Weise Mitarbeiter ihre eigenen elektronischen Bürogeräte (Smartphones, Notebooks, Tablets) zu dienstlichen Zwecken nutzen dürfen

14 Risikofaktor Notebook Tipps zum Schutz vor Datenklau Sicherheitsrichtlinien definieren Sensibilisierung der Mitarbeiter Schwer zu knackende Passwörter einrichten Boot-Passwort einrichten Passwortschutz durch Fingerprint-Reader Ruhemodus absichern USB-Schnittstellen kontrollieren Export USB-Schnittstellen kontrollieren Import Automatische Verschlüsselung Selbst wenn Geräte verloren gehen oder gestohlen werden, haben Unbefugte dann geringe Chancen, sensible Daten einzusehen

15 Sichere Datenvernichtung / Entsorgung Tipps zur Daten(Träger)vernichtung Software-Tools Festplatte Daten schreddern (Eraser, CCleaner, AcronisDrive Cleanser ) Festplatte Daten wipen (Mehrfachlöschung) Festplatte low level formatieren (HDD Guru) Mechanische Zerstörung CD / DVD schreddern (wie Aktenvernichter) Festplatten Magnetbänder Drucker- Trommel Teil 4 der ÖNORM S 2109 (Akten- und Datenvernichtung - Geräte und Geräteteile mit Datenträgern)

16 Risikofaktor Internet Wahl des Internet-Zugangs Netzwerk-Sicherheit (Firewall) -Sicherheit Geschäftsmodell SPAM Gefahren beim Surfen (aktive Inhalte)

17 Wahl des Internet-Zugangs Leitungs-Typ: A-DSL, S-DSL, SFV Router / Modem Qualität (UBR, VBR, CBR) Bandbreite (symmetrisch, asymmetrisch) Verfügbarkeit Dynamische / Statische IP-Adresse

18 Netzwerk-Sicherheit Firewall: Kontrolliert die Verbindungen zwischen internem und externem Netz und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Firewall-Technologien: Paketfilter Stateful Inspection Application Layer Firewall / Proxy Firewall Contentfilter Intrusion Detection und Intrusion Prevention Systeme

19 Firewall Quelle: de.wikipedia.org/wiki/firewall

20 Risikofaktor Die elektronische Post entstand vor ca. 40 Jahren Über missbräuchliche Nutzung machte sich damals noch niemand Gedanken die Situation heute: Internet ist ein offenes Netz s sind zum unverzichtbaren Teil der Geschäftsabläufe geworden Es werden Mail verschickt, die wertvolle Informationen enthalten Kundendaten Verkaufszahlen, Angebote Bestellungen, Konstruktionspläne

21 Risikofaktor Ohne zusätzliche Schutzmechanismen kann der Empfänger einer weder dem Absender noch dem Inhalt trauen. Wer eine verschickt, muss damit rechnen, dass seine Nachricht von Dritten gelesen wird. s können auf dem Weg durchs Internet kopiert werden. Abhilfen: Verschlüsselung des gesamten ausgehenden -Verkehrs durch Verschlüsselung auf Basis der Public Key Infrastructure (PKI). Vertrauliche Daten werden in eine per Passwort verschlüsselte PDF-Datei umgewandelt und als Anhang an eine normale übermittelt

22 SPAM - Lukratives Geschäftsmodell Die -Kommunikation entstand bei dem Internet-Vorläufer 'ARPANET', betrieben vom US-Verteidigungsunternehmen. Die erste Werb (SPAM) datiert auf den 3. Mai 1978 mit dem Absender Gary Thurek. Er wollte Produkte seines Arbeitgebers DEC anpreisen. Heutzutage geht man von 100 Milliarden SPAM- oder Junk- s pro Jahr aus. Das entspricht in etwa 80 bis 85 % des gesamten Mailverkehrs. Dr. Bülow & Masiak hat laut eigenen Erfahrungen in dem gesamten E- Mailaufkommen einen SPAM-Anteil von ca. 95 % registriert

23 Zum Begriff SPAM ungewollte s Mails die Werbung enthalten Phishing-Mails mit denen Spamer versuchen an Benutzerkennungen, Passwörter, Bankkontooder Kreditkarten- oder Handy- Nummern zu kommen. Mails die Viren enthalten Mails die Links zu verseuchten Websites (Trojaner) enthalten

24 Zum Begriff SPAM SPAM hat sich vom banalen Ärgernis zum lukrativen Geschäftsmodell entwickelt. Spamer versuchen mit zunehmend krimineller Energie, Internet-Nutzern persönliche Informationen und Geld zu entlocken. Jedes Unternehmen, das in irgendeiner Weise über Internet und kommuniziert ist automatisch auch von SPAM betroffen. Allein in Deutschland ist die SPAM-Rate in den Jahren um mehr als Prozent gestiegen. Versendet werden Spam-Mails in der Regel über sogenannte Bot-Netze. Internet-Kriminelle installieren auf Computern, ohne dass der Anwender es merkt, Schadsoftware, die es dem Kriminellen ermöglichen, den Computer fernzusteuern. So wird der ahnungslose PC-Besitzer zum Spamer

25 Typische SPAM-Mail We ship Worldwide! To all countries! To all destinations!

26 Mail-Header-Informationen Received: from mx01.dbmg.de (mx01.dbmg.de [ ]) by bohr.dbmg.de (Scalix SMTP Relay ) via ESMTP; Wed, 18 Feb :29: (CET) Received: from ferrari.gegnet.com.br ([ ]) by mx01.dbmg.de with smtp (DBMG Mail 0.9 Wed, 18 Feb :29: ) (envelope-from id 1LZs6s-0004fY-4A for Wed, 18 Feb :29: To: Subject: Sales Order from walmart.com From: MIME-Version: 1.0 Importance: High Content-Type: text/html X-ACL-Warn: Greylisting started X-DBMG-Spam-Report: Software zur Erkennung von "Spam" auf dem Rechner thomson.dbmg.de hat die eingegangene als mögliche "Spam"-Nachricht identifiziert. Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass X-DBMG-Spam: (************) 12.3 X-Spam-Score: (************) 12.3 X-DBMG-Greylist: X-Greylist: greylist whitelisted Message-Id: < bohr.dbmg.de>

27 Gefahren beim Surfen Internet-Browser zeigen immer wieder Sicherheitslöcher der Internet Explorer mit Abstand die meisten AktiveX, Java, Javascript erhöhen die Gefahren Keine Speicherung von Kennung/Passwort Infektion durch Schadcode-präparierte Seiten (Grafiken, Fotos) Gefahren durch Downloads (Musik, Videos, Software) Gefahren durch Plug-Ins Ohne Sicherheitsvorkehrungen dauert es meist nicht lange, bis Ihr PC infiziert ist

28 Nicht-technische Aspekte der IT-Sicherheit IT-Sicherheit als Teil der Unternehmensführung Gesetzliche Vorgaben und Haftungsrisiken IT-Sicherheitsrichtlinie

29 IT-Sicherheit als Teil der Unternehmensführung Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit vorbeugenden Technologien, aber auch mit Erkennungs- und Reaktionsprozessen zu tun. [Bruce Schneier] Unternehmen müssen heute durch ihr Verhalten, ihre Organisation, Prozesse und Infrastruktur sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen gewährleistet sind

30 Gesetzliche Vorgaben und Haftungsrisiken Deutsches Gesetz über die Gesellschaften mit beschränkter Haftung GmbHG 43 Haftung der Geschäftsführer vom 4. Juli 1980 verpflichtet den Geschäftsführer die Sorgfalt eines ordentlichen Kaufmanns anzuwenden. Geschäftsführer haften, wenn sie ihre Obliegenheiten verletzen

31 Gesetzliche Vorgaben und Haftungsrisiken Organisationsverantwortung BGB 831 verpflichtet den Unternehmer, folgende Aufgaben wahrzunehmen: Anweisungspflicht: Präzise, verbindliche und vollständige Anweisungen geben Auswahlpflicht: Personen sorgfältig auswählen und Verantwortlichkeiten übertragen Kontrollpflicht: Die Durchführung angemessen überwachen Bei Nichtbeachtung droht die persönliche Haftung wegen Organisationsverschuldens

32 Gesetzliche Vorgaben und Haftungsrisiken Urheberrechtsverletzung Die Unternehmensleitung verletzt die Organisationspflicht und verstößt gegen 106 UrhG, wenn sie das Herunterladen und Verbreiten kopiergeschützter Musik / Filme den Einsatz nicht lizensierter Software duldet und keine Maßnahmen ergreift, dies zu unterbinden

33 Gesetzliche Vorgaben und Haftungsrisiken s und Fernmeldegeheimnis s unterliegen dem Fernmeldegeheimnis ( 206 StGB) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigten eines Unternehmens bekannt geworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit einer Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft. Ein Strafbestand ist beim Überprüfen des -Verkehrs aber auch beim ungenehmigten Löschen von Spam-Mails erfüllt. Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu 2 Jahren oder einer Geldstrafe bestraft

34 Gesetzliche Vorgaben und Haftungsrisiken Gesetzliche Vorgaben und Haftungsrisiken Weitere Vorgaben: Archivierungspflicht für s ( 257 HGB) Bundesdatenschutzgesetz (BDSG) Basel II.. Ohne eine definierte Sicherheitsrichtlinie ist keine IT-Sicherheit möglich!

35 Sie legen fest, wie sicher Sie sein wollen Welches Sicherheitsniveau wird angestrebt? Mit welcher potentiellen Bedrohung können Sie leben? Wie lange kann ein kritisches System ausfallen? Wie schnell muss die Wiederherstellung erfolgen? Wie hoch schätzen Sie einen möglichen finanziellen Schaden ein? Wie hoch darf das entsprechende Sicherheitsbudget sein? Die Beantwortung dieser Fragen liefert Ihnen gute Anhaltspunkte für den Entwurf einer eigenen Sicherheitsrichtlinie

36 Veranstaltungshinweise Die Dr. Bülow & Masiak GmbH informiert gemeinsam mit ausgewählten Partnerunternehmen regelmäßig Kunden und Interessenten über aktuelle IT- Themen und präsentiert mögliche Lösungsansätze. Business Frühstück am Mobile Device Management & mehr - IT-Sicherheit mit Sophos" Business Frühstück am "Virtualisierung, Backup & Storagesysteme für den Mittelstand" Security Day 2014 am

37 Kontaktdaten Dr. Bülow & Masiak GmbH Victoriastr Marl Tel Fax