Staatlich geprüfte IT-Sicherheit

Transkript

1 Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme GmbH Kirchheim/München und Offenburg

2 Die Ausgangslage Sabotage Spionage Fremdzugriff Vandalismus Via Internet Viren, Würmer Troj. Pferde usw. Überspannungen IT-Systeme Einbruch Feuer Elektromagnetische Felder EMV-Strahlung Wasser Korrosive Gase

3 Wozu IT-Sicherheit? S k Schaden, der zur Insolvenz des Unternehmens führt Insolvenz Wirtschaftlicher Schaden S limit vom Unternehmen noch tragbarer Schaden Schadensentwicklung durch den Ausfall wichtiger IT-Systeme t limit max. Ausfallzeitpunkt der IT t k Eintritt der Insolvenz Ausfallzeitpunkt der IT t limit t k Ausfallzeit IT-Sicherheit = Schadensvorbeugung bzw. -minimierung

4 IT-Sicherheit und Wirtschaftsprüfung (Prüfpunkte nach IDW-Checkliste) Was wird geprüft? IT-Strategie: IT-Planung, Geschäftsprozesse und IT-Prozesse, Investplanung IT-Umfeld: IT-Risikobewusstsein, Sensibilisierung der Mitarbeiter IT-Organisation: Unternehmensstruktur und IT-Organisation IT-Infrastruktur: Physische, technische, logische Sicherheitsmaßnahmen IT-Anwendungen: Standard- und Individualsoftware, Programmfunktionen IT-gestützte Geschäftsprozesse: IT-gestützter Daten- und Belegfluss IT-Überwachungssystem: Maßnahmen der Geschäftsleitung IT-Outsourcing: Regelungen zwischen Auftraggeber und -nehmer Besonderheiten bei der Internetnutzung: Richtlinien für Mitarbeiter Der Wirtschaftsprüfer als IT-Sicherheitsexperte?

5 Rechtliche Aspekte der IT-Sicherheit Vorstand muss gemäß 91 Abs. 2 AktG Maßnahmen zur Sicherung des Fortbestands des Unternehmens treffen, insbes. ein Überwachungssystem einrichten => das betrifft auch IT-Sicherheit Einführung eines Risikomanagementsystems, zu dem auch Kontrolle der Internet- und -Kommunikation am Arbeitsplatz gehört Mangelnde IT-Sicherheit gehört zu den im Rahmen von Basel II relevanten so genannten operationellen Risiken Persönliche Haftung der Vorstandsmitglieder nach 93 Abs. 2 AktG 91 Abs. 2 AktG hat Ausstrahlungswirkung auf Geschäftsführer anderer Gesellschaftsformen, u.a. der GmbH

6 Abgrenzung Datenschutz und IT-Sicherheit Datenschutz => schützt die Betroffenen bei der Datenverarbeitung und Speicherung von personenbezogenen Daten geregelt sind im BDSG, u.a.: Kontrollrechte des Betroffenen nach BDSG Schadensersatzhaftung ( 7 BDSG) und Geldbußen ( 43 BDSG) oder gar Strafbarkeit ( 44 BDSG) bei Datenschutzverstößen IT-Sicherheit =>Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten Geregelt in Nationalen/Internationalen Normen, wie z.b. ISO/IEC bis 27004, ISO/IEC 17799, BS 7799, BSI-Norm IT-GSHB

7 Wer ist für IT-Sicherheit verantwortlich? Grundregeln Für die Einführung von IT-Sicherheit ( Initiierung des IT- Sicherheitsprozesses ) ist das Management verantwortlich! Die Verantwortung für die Umsetzung von IT-Sicherheit liegt beim Management. Nur wenn sich das Management um IT-Sicherheit bemüht, wird die Aufgabe IT-Sicherheit" im Unternehmen vollumfänglich wahrgenommen. IT-Sicherheit ist Chefsache!

8 Wie ist IT-Sicherheit einzuführen? IT-Sicherheit ist ein Prozess! Initiierung des IT- Sicherheitsprozesses: Initiierung des IT- Sicherheitsprozesses: - Erstellung Erstellung einer einer IT- Sicherheitsleitlinie IT- Sicherheitsleitlinie - Einrichtung Einrichtung des des IT- Sicherheitsmanagements IT- Sicherheitsmanagement Erstellung eines IT- Sicherheitskonzeptes Erstellung eines IT- Sicherheitskonzepts Umsetzung: Umsetzung: Realisierung fehlender Maßnahmen in den in den Bereichen Infrastruktur, Organisation, Personal, Personal, Technik, Technik, Kommunikation Kommunikation und Notfallvorsorge, und Notfallvorsorge insbesondere insbesondere - Sensibilisierung für für IT- Sicherheit IT- Sicherheit - Schulung Schulung zur zur IT- IT- Sicherheit Sicherheit Aufrechterhaltung im laufenden Betrieb Aufrechterhaltung im laufenden Betrieb IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierungsplanung IT-Sicherheitsprozess nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI)

9 Erstellen einer IT-Sicherheitsleitlinie Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT Sicherheit und Bedeutung der IT für die Aufgabenerfüllung Sicherheitsziele (anzustrebendes Sicherheitsniveau) Sicherheitsstrategie zur Erreichung der Ziele, Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird, notwendige interne Organisationsstrukturen, Richtlinien, Vorgaben und Regeln für die Umsetzung des IT- Sicherheitsprozesses

10 Einrichtung des IT-Sicherheitsmanagements Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation, koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts, etc. erstellt den Realisierungsplan für IT-Sicherheitsmaßnahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT- Verantwortlichen sicher. Bild: BSI

11 Inhalt des IT-GSHB Bild: BSI

12 Was umfasst IT-Sicherheit? IT-Sicherheit Schutz der Vertraulichkeit Schutz der Integrität Schutz der Verfügbarkeit eine bestimmte Information dem zuständigen Anwender Unversehrtheit und Korrektheit der Daten zur rechten Zeit am rechten Ort

13 Methodik nach IT-Grundschutzmodell Grafik: BSI

14 Methodik nach IT-Grundschutzmodell 1.Schritt: IT-Verbund festlegen Ein systematisches Vorgehen erfordert zuerst die Festlegung des IT-Verbunds, welcher betrachtet werden soll. Definition Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, Organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem Anwendungsbereich der Informationsverarbeitung dienen. z.b. gesamte IT einer Institution oder einzelne Bereiche (organisatorische Strukturen)

15 Methodik nach IT-Grundschutzmodell 2.Schritt: IT-Strukturanalyse Bestandteile der IT-Strukturanalyse Netzplan (grafische Übersicht) Erhebung der IT-Systeme (Tabelle) Erhebung der IT-Anwendungen (Tabelle) Netzwerkverbindungen zwischen den Systemen Verbindungen nach aussen Komplexitätsreduzierung im Netzplan durch Gruppenbildung Voraussetzungen: Gleicher Typ Gleiche oder nahezu gleiche Konfiguration Gleiche oder nahezu gleiche Netzwerkanbindung (z.b. am gleichen Switch) Gleiche Rahmenbedingungen (Administration und Infrastruktur) Gleiche Anwendungen

16 Methodik nach IT-Grundschutzmodell IT-Strukturanalyse Beispiel für Gruppenbildung Bild: BSI

17 Methodik nach IT-Grundschutzmodell Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse Der Schutzbedarf der einzelnen IT-Komponenten wird für die drei Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit gesondert betrachtet, da der Schutzbedarf je Grundwert unterschiedlich hoch sein kann. Grafik: BSI

18 Methodik nach IT-Grundschutzmodell Schutzbedarfskategorien des IT-GSHB Schutzbedarf ist meist nicht quantifizierbar Beschränkung auf drei Kategorien niedrig bis mittel hoch sehr hoch Schutzbedarfskategorie Die Schadensauswirkungen sind begrenzt und überschaubar Die Schadensauswirkungen können beträchtlich sein Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen

19 Methodik nach IT-Grundschutzmodell 4.Schritt: Modellierung Bei der Modellierung wird der aufbereitete IT-Verbund und seine einzelnen Komponenten (IT-Strukturanalyse und Schutzbedarfsfeststellung) mit Hilfe von Bausteinen (=Kapiteln) des IT-Grundschutzhandbuchs nachgebildet. Die einzelnen Bausteine sind dabei fünf Schichten zugeordnet. Bildquellen: BSI

20 Methodik nach IT-Grundschutzmodell 5.Schritt: Basis-Sicherheitscheck IT-Grundschutz-Modell Internet Primärer Domänen- Controller (Windows NT) Exchange- Server (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen Fehlende Sicherheitsmaßnahmen Bildquelle: BSI

21 Methodik nach IT-Grundschutzmodell Basis-Sicherheitscheck - Dokumentation Bildquelle: BSI

22 Methodik nach IT-Grundschutzmodell Ergänzende Sicherheitsanalyse Eine ergänzende Sicherheitsanalyse ist durchzuführen, wenn die Standard- Sicherheitsmaßnahmen für Komponenten, deren Bedarf an Vertraulichkeit, Integrität oder Verfügbarkeit bei der Schutzbedarfsfeststellung als hoch eingestuft wurde, unter Umständen nicht ausreichen,... als sehr hoch eingestuft wurde, im Allgemeinen nicht ausreichen. Drei Verfahren: Risikoanalyse Differenz- Sicherheitsanalyse Penetrationstest Beispiel: Risikoanalyse Bildquelle: BSI

23 Methodik nach IT-Grundschutzmodell 6.Schritt: Realisierung 1. Ergebnisse sichten Tabellarische Auflistung der noch zu realisierenden Maßnahmen 2. Maßnahmen konsolidieren Prüfen und konkretisieren der Maßnahmen 3. Aufwand schätzen Schätzen des finanziellen und personellen Aufwands, unterteilt nach einmaligem Aufwand und wiederkehrendem Aufwand im laufenden Betrieb 4. Umsetzungsreihenfolge festlegen unter Beachtung der Prioritäten 5. Termine und Verantwortliche bestimmen Terminplan mit Verantwortlichkeiten erstellen und kontrollieren 6. Begleitende Maßnahmen festlegen Sensibilisierung der Mitarbeiter für IT-Sicherheit Regelmäßige Schulungen

24 Wie kann IT-Sicherheit geprüft werden? Stufenmodell nach IT- Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI)

25 BSI-Sicherheitscheck Nutzen eines BSI-Sicherheitschecks Anerkanntes Sicherheitsniveau, auch gegenüber WP s und Banken Minimierung des Haftungsrisikos Klare Aussagen zu den folgenden Fragen: Wo sind Sicherheitslücken? Wo besteht Handlungsbedarf? Welche Maßnahmen mit hoher Dringlichkeit (Priorität I) sind kurzfristig erforderlich? Welche weiteren Maßnahmen (Priorität II) müssen mittelfristig umgesetzt werden? Nach Abschluss aller 5 Phasen des Sicherheitschecks: Umsetzung aller erforderlichen Maßnahmen Auditierung durch lizenzierten IT- Grundschutzauditor Antrag auf Erteilung eines BSI-Sicherheitszertifikats

26 BSI-Sicherheitscheck Methodischer Ablauf IT-Grundschutz-Modell Internet Primärer Domänen- Controller (Windows NT) Exchange- Server (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen Fehlende Sicherheitsmaßnahmen Bildquelle: BSI

27 BSI-Sicherheitscheck Vorgehensweise nach BSI-Schichtenmodell Phase 1 Phase 2 Phase 3 Kompletter Sicherheits- Check Phase 4 Phase 5 Schichtenmodell nach BSI-GSHB Grafik: BSI

28 BSI-Sicherheitscheck Checkliste: Übergreifende Aspekte Grundsätzliche Aspekte der IT-Sicherheit im Unternehmen Audit-Bestandteile: Sicherheitsmanagement Organisatorische Maßnahmen Personelle Maßnahmen Notfall-Vorsorgekonzept Datensicherungskonzept Computer-Virenschutzkonzept Kryptokonzept Behandlung von Sicherheitsvorfällen Hard- und Softwaremanagement IT-Outsourcing Bildquellen: BSI

29 BSI-Sicherheitscheck Checkliste: Infrastruktur Modellierung der für den betrachteten IT-Verbund relevanten infrastrukturellen Gegebenheiten Audit-Bestandteile: Gebäude Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur Schutzschrank Häuslicher Arbeitsplatz Rechenzentrum Bildquellen: BSI

30 BSI-Sicherheitscheck Checkliste: IT-Systeme Modellierung der im betrachteten IT-Verbund eingesetzten Clients und Server Audit-Bestandteile: DOS-PC UNIX-System Tragbarer PC (Notebook) PC mit wechselnden Benutzern Windows NT-PC Windows 2000-PC Internet-PC Allgem. nicht vernetztes System Servergestütztes Netz Unix-Server Peer-to-Peer-Netz Windows NT-Netz Novell Netware3.x/4.x Windows 2000 Server TK-Anlage Faxgerät Anrufbeantworter Mobiltelefon Telearbeit

31 BSI-Sicherheitscheck Checkliste: Netze Modellierung der Netzwerkverbindungen Audit-Bestandteile: Heterogene Netze Netz- und Systemmanagement Modem Firewall Remote Access LAN-Anbindung eines IT-Systems über ISDN Bildquellen: BSI

32 BSI-Sicherheitscheck Checkliste: IT-Anwendungen Modellierung der im betrachteten IT-Verbund eingesetzten Anwendungen. Audit-Bestandteile Datenträgeraustausch WWW-Server Lotus Notes Faxserver Datenbanken Novell edirectory Bildquellen: BSI

33 Das Ziel: BSI-Grundschutzzertifikat Welche Vorteile bringt ein BSI-Grundschutzzertifikat? Wettbewerbsvorteile (insbesondere RZ-Outsourcing-Dienstleister) BSI-Zertifizierung hat einen hohen Marketingeffekt Nachweis eines hohen IT-Sicherheitsniveaus gegenüber Kunden (im Automotive- Zulieferbereich oftmals Forderung des Kunden) BSI-Grundschutzhandbuch ist der nationale Sicherheitsstandard bei Behörden und immer mehr im privatwirtschaftlichen Bereich Ab 2006: BSI-Zertifizierung nach internationalem Sicherheitsstandard ISO/IEC (entspricht BS : Information Security Management System ) Dokumentierung eines hohen Stellenwerts der IT-Sicherheit (Aufnahme im Geschäftsbericht) Minimierung von IT-Risiken (IT-Risikomanagement): Nachweis gegenüber Wirtschaftsprüfern und Banken (Basel II) Minimierung des persönlichen Haftungsrisikos für Vorstände und Geschäftsführer bei IT-Sicherheitsvorfällen

34 Der Weg zum Ziel Wie verläuft der Zertifizierungsprozess? 2. Schritt 3. Schritt Interne Umsetzung der Vorgaben und der Maßnahmen aus dem Grundschutzhandbuch des BSI IT-Strukturanalyse Schutzbedarfsanalyse Modellierung nach Schichtenmodell Basis-Sicherheitscheck Realisierungsplanung Umsetzung aller Maßnahmen, wie z.b. - IT-Sicherheitsprozess initiieren - IT-Sicherheitsmanagement einrichten, Maßnahmebündel für Schicht 1 bis 5 ermitteln und umsetzen - Sensibilisierung der Mitarbeiter - Schulung der Mitarbeiter - Aufrechterhaltung im laufenden Betrieb Auditor Prüft 1. Schritt Erstellt Auditreport Beauftragung Antrag auf Zertifikat Unternehmen/Institution IT-Verbund BSI vergibt Zertifikat

35 Das Ergebnis Das IT-Grundschutz-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik

36 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Dr. Christian Scharff Tel. 089/