Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue

Transkript

1 1

2 3

3 Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue Sicherheitslücken Jeder, der für ein Unternehmen oder zumindest die Informationstechnik verantwortlich ist, stellt sich daher die Frage nach den aktuellen Risiken und wie diese angemessen behandelt werden können. 4

4 Vielleicht war die Lage vor einiger Zeit noch unter Kontrolle. Jedoch: Das Risiko steigt dreifach: 5

5 Web-Anwendungen werden immer wichtiger für das Geschäft: Früher waren Web-Sites gerade bei kleineren Unternehmen lediglich einfache Aushängeschilder. Das Hauptgeschäft erfolgte im persönlichen oder telefonischen Kontakt. 6

6 Aktuelle Web-Technologien vergrößern die Angriffsfläche: Die aktuellen Web-Technologien werden immer komplexer und damit immer schwieriger und aufwändiger beherrschbar. 7

7 Cyber-Crime ist ein lukratives Geschäft: Angriffe auf Web-Sites erfolgen nicht mehr nur aus Spaß oder wegen der Profilierung sondern immer mehr aus wirtschaftlichen Interessen. Damit steigt auch der Aufwand, den ein Angreifer bereit ist in Kauf zu nehmen. Durch diese drei Trends steigt auch das Risiko (Schadenshöhe * Auftrittswahrscheinlichkeit) dreifach. Auch mittelständische Unternehmen können sich nicht mehr sicher fühlen. 8

8 Es gibt viele Möglichkeiten eine Web-Site anzugreifen. Ein einfaches Beispiel ist das Cross-Site-Scripting. Dabei wird Script-Code in Gästebüchern, Kommentaren oder sonstigen Texteinträgen hinterlegt. Dieser Code wird dann ausgeführt, wenn ein anderer Benutzer der Web-Site darauf zugreift. Der Code kann den Benutzer dann z.b. auf Phishing-Web-Sites verweisen. Ein anderes Beispiel ist das Einschleusen von Code der auf dem Web-Server ausgeführt werden soll (Injection), z.b. in der URL. Bei nicht hinreichend geschützten Web-Servern kann ein Angreifer damit sogar Administratorzugriff erlangen. 9

9 Maßgeblich für eine angemessene Behandlung des Risikos ist die Höhe der potentiellen Schäden: Wenn der Wirtschaftsprüfer das Risikomanagement bemängelt, dann ist dies zumindest ärgerlich und mit Aufwand zur Nachbesserung verbunden Bei einem tatsächlichen Vorfall treten häufig neben dem Aufwand für die Wiederherstellung der IT auch noch Kosten durch den Geschäftsausfall auf Schwieriger zu bewerten ist der Schaden, wenn Mitbewerber Zugriff auf Unternehmensgeheimnisse erhalten Am schwierigsten zu beziffern, aber häufig am höchsten, ist der Verlust durch einen Reputationsschaden, wenn z.b. Kundendaten öffentlich werden Im Extremfall verstößt der Betreiber der Web-Site gegen Richtlinien und Gesetze (z.b. BDSG) bis hin zur Strafbarkeit (z.b. wegen Computersabotage), die im Falle der Verbreitung von Angriffstools gegeben sein kann. 10

10 Für eine zielgerichtete Begrenzung des Risikos sind im Wesentlichen 5 Punkte abzuhaken: Die Maßnahmen zur Behandlung eines Risikos sollten die potentielle Schadenshöhe nicht übersteigen. Daher muss zunächst das individuelle Risiko bekannt sein. Ein Sicherheits-Risiko ist immer mit konkreten Sicherheitslücken und Schwachstellen verbunden. Zur Abdeckung dieser Sicherheitslücken und Schwachstellen gibt es jeweils ganz konkrete Schutzmaßnahmen. Diese sind für die individuelle Situation aufzulisten. Vermutlich existieren bereits einige dieser Schutzmaßnahmen. Diese sind ebenfalls aufzulisten. Die Beantwortung der Frage, welche fehlenden Maßnahmen noch umzusetzen sind, beinhaltet insbesondere auch die Abschätzung über die Angemessenheit der damit verbunden Kosten. Nach der Umsetzung der beschlossenen Maßnahmen sollte sich das Risiko auf einem akzeptablen Niveau befinden. 12

11 Die existierenden Risiken ergeben sich aus folgenden Punkten: Wie angreifbar ist die Web-Site? Welche individuellen Bedrohungen existieren? Welche Schutzmaßnahmen sind bereits aktiv, welche fehlen noch? Welche potentiellen Schäden können auftreten? 13

12 Zur Bearbeitung dieser Punkte sind im Folgenden Tabellen und Formulare angegeben. Diese stellen einen Einstieg für einfache Fälle dar und sind keinesfalls als vollständig zu betrachten. Insbesondere bei höherem Sicherheitsbedarf wird der vorgestellte Ansatz nicht ausreichen! 14

13 IT-Zugriff aus dem Internet für alle IP-Adressen und Ports muss vermieden werden, um überhaupt eine Chance auf Sicherheit zu haben. 15

14 Allgemeiner Web-Zugriff aus dem Internet ist die Regel für Web-Sites. Web-Sites, die nur für bestimmte IP-Adressen zugänglich sind (z.b. Intranets, Extranets), exponieren hingegen kaum Angriffsfläche zum Internet. 16

15 Auch anonymer Web-Zugriff aus dem Internet ist die Regel. Web-Sites, die nur nach (wirksamer) Authentifizierung zugänglich sind (z.b. Extranets), exponieren weniger Angriffsfläche zum Internet. 17

16 Die meisten Web-Sites nutzen inzwischen als Funktionalität HTML-Formulare und als Middleware Content-Management-Systeme (CMS) Aktive Web-Applikationen sind nur für intensivere Benutzer-Interaktionen erforderlich. Da in diesem Fall üblicherweise Daten zu speichern sind, wird auch eine Datenbank in der Infrastruktur enthalten sein. 18

17 Falls die Web-Site in einer allgemeinen demilitarisierten Zone (DMZ) des Unternehmens betrieben wird, sind auf benachbarten Systemen häufig andere Internet-Dienste zu finden. Sehr riskant ist es, wenn von den Web-Servern in das Unternehmens-LAN zugegriffen werden kann. Dieser Zugriff muss daher vermieden oder zumindest mit entsprechenden (aufwändigen) Maßnahmen eingegrenzt und geschützt werden. 19

18 Dies ist die ausgefüllte Tabelle für ein typisches Portal mit Web-Applikation. 20

19 Diese Tabelle können Sie für Ihre Risikoanalyse verwenden. 21

20 Gliederung der Bedrohungen in Klassen: Manipulation der Web-Site - Verweis auf Phishing-Seiten - Verbreitung von Viren & Co. - Missbrauch als illegaler Fileserver - Missbrauch als Bot-Netz-Knoten Spionage durch Zugriff auf vertrauliche Daten - Kunden-/Benutzerdaten (Logins, Kontodaten) - Unternehmensgeheimnisse Sabotage durch Lahmlegen oder Verfälschung - Umsatzausfall - Reputationsschaden Erpressung durch Drohung mit - Spionage und Veröffentlichung vertraulicher Daten - Sabotage, gerne auch im Vorweihnachtsgeschäft 22

21 Die angegebenen Fälle sollten zur Ermittlung realistischer Schadenshöhen möglichst kreativ und detailliert als Worst-Case-Szenarien durchdacht werden. 23

22 Die Wiederherstellung der Infrastruktur bereitet üblicherweise keinen allzu großen Schaden (zumindest im Verhältnis). Der Schaden kann durch ein angemessenes und funktionierendes Backup/Recovery noch drastisch reduziert werden. 24

23 Der Umsatzausfall hängt sehr stark von der Art der Web-Site ab. Bei Web-Shops kann er um den Faktor 10, 100 oder gar 1000 höher liegen als oben angegeben (insbesondere in Stoßzeiten). Falls die Web-Site nur zur Information dient, kann es immerhin sein, dass man einen potentiellen Kunden nicht gewinnt. 25

24 Beim Diebstahl vertraulicher Daten können personen-bezogene Daten nach Bundesdatenschutzgesetz (BDSG) betroffen sein. In diesem Fall können konkret Strafzahlungen resultieren (zusätzlich zum Reputationsverlust). Der Schaden durch Diebstahl der Kundendaten durch den Mitbewerb ist schwierig zu beziffern, aber zweifelsohne vorhanden (es gab schon Fälle im Mittelstand, bei denen die benachbarte Konkurrenz seltsamerweise immer ein paar Tage früher bei potentiellen Neukunden war). Ein Diebstahl von Unternehmensgeheimnissen kann das Ergebnis vieler Tage Forschung und Entwicklung in die Hände des Mitbewerbs geben. 26

25 Am schwierigsten zu beziffern ist ein Reputationsschaden. Er setzt sich üblicherweise zusammen aus: Teuren Marketingmaßnahmen zur Wiederherstellung des Kundenvertrauens Sonderaktionen für die Kunden (Preisnachlässe) Umsatzausfällen, die für eine unbestimmte Zeit anhalten. 27

26 Das Resultat der Betrachtung sind häufig hohe Summen. Diese hängen nicht zuletzt von der Art und Wichtigkeit der Web-Site ab. Nicht jeder Vorfall muss zu einem so hohen Schaden führen. Es sollte jedoch überlegt werden, ob man dieses Risiko einfach so akzeptieren möchte, zumal häufig mit einfachen Mitteln die Schadenshöhe und die Eintrittswahrscheinlichkeit reduziert werden können. Ein Kriterium für die Eintrittswahrscheinlichkeit ist dabei, wie konkret und zielgerichtet die Bedrohung ist (z.b. durch Mitbewerb). Auch wenn die Bedrohung nicht konkret erscheint: Jede Sekunde durchstreifen Angreifer das Internet auf der Suche nach leichten Opfern! Die potentielle Schadenshöhe kann als Maßstab für das für Maßnahmen bereitzustellende Budget dienen: Ein Budget oberhalb der Schadenshöhe ist bestimmt nicht mehr angemessen Falls z.b. alle 10 Jahre ein Vorfall abgewehrt wird, haben Sie von einem Jahresbudget von 1/20 der Schadenshöhe bereits gut profitiert. 28

27 Die angegebenen Sicherheitsmaßnahmen stellen lediglich einen Überblick dar. Für Details kann z.b. der Maßnahmen-Katalog für IT-Grundschutz des BSI herangezogen werden (URL im Anhang). 29

28 Im Folgenden wird exemplarisch eine Architektur mit separierten Schutzzonen betrachtet. 30

29 Kernkomponenten sind eine Firewall (hier redundant ausgelegt) und ein Web-Server (ebenfalls hochverfügbar). Bei interaktiven Web-Applikationen kann eine Web-Application- Firewall den Schutz erheblich erhöhen. Die Administration der Komponenten erfolgt aus einem separierten Management-Netz. Der Management-Server sammelt die Logdaten der Komponenten und führt die Überwachung und ggf. Alarmierung durch. 31

30 Falls die Web-Site hochverfügbar sein soll und regelmäßig neue Versionen der Software oder Web-Applikation zu installieren sind, können die neuen Versionen gefahrlos auf einem Abbild des Web-Servers (Staging-Server) getestet werden. 32

31 Falls Daten in einer Datenbank zu speichern sind, sollte die Datenbank auf einem getrennten Server betrieben werden. Idealerweise ist der Datenbank-Server durch weitere Schutzkomponenten (Firewall, VPN) separiert. Falls der Datenbank-Server im Unternehmensnetz steht, ist dies zwingend erforderlich. 33

32 Ein Fernzugriff zur Administration der Infrastruktur darf nur verschlüsselt und authentisiert möglich sein (z.b. durch ein VPN). 34

33 Auch ein Fernzugriff zur Verwaltung der Web-Site, z.b. durch eine Web-Agentur darf nur verschlüsselt und authentisiert möglich sein. Die Web-Agentur sollte dabei ausschließlich auf bestimmte Komponenten und Benutzerkonten Zugriff erhalten (in der Regel ein dediziertes Benutzerkonto auf dem Staging- Server). 35

34 Die resultierende Gesamtarchitektur stellt lediglich ein Beispiel dar. Oft ist die Architektur wesentlich komplexer. Die dargestellten Komponenten können teilweise auch gemeinsam als virtuelle Maschinen auf einem physikalischen Server abgebildet werden. Das damit verbundene, etwas höhere Risiko ist im Einzelfall gegen die Hardware-Ersparnis abzuwägen. 36

35 Die angegebenen Sicherheitsmaßnahmen stellen lediglich einen Überblick dar. Für Details kann z.b. der Maßnahmen-Katalog für IT-Grundschutz des BSI herangezogen werden. 37

36 Web-Applikationen vergrößern die Angriffsfläche erheblich, da Angriffe durch herkömmliche Schutzkomponenten (z.b. Firewalls) in der Regel nicht verhindert werden können. Daher ist auf die sichere Entwicklung von Web-Applikationen besonderer Wert zu legen. Als ergänzende Maßnahme können Web- Application-Firewalls das Schutzniveau weiter erhöhen. Das Thema Web-Applikationen wird durch das OWASP-Projekt ausführlich behandelt (URL im Anhang). 38

37 Zu jedem Aspekt der Angriffsfläche gibt es Maßnahmen, welche die Schwachstellen abdecken und den Schutz erhöhen sollen. Welches Schutzniveau insgesamt oder für bestimmte Teile erforderlich ist, hängt vom jeweiligen potentiellen Schaden ab. Im Folgenden werden beispielartig einzelne Maßnahmen den verschiedenen Aspekten der Angriffsfläche gegenübergestellt. Diese Gegenüberstellung ist nicht allgemeingültig und kann von Fall zu Fall variieren. Zur systematischen Bearbeitung des Themas kann ein Vorgehen nach IT-Grundschutz des BSI dienen. 39

38 Basismaßnahmen sind Maßnahmen, die kostengünstig zu realisieren sind und in Ihrer Gesamtheit ein Basis- Schutzniveau ergeben. Sie sollten daher in jedem Fall für die angegebenen Aspekte der Angriffsfläche umgesetzt werden. Sobald bestimmte Angriffsflächen exponiert werden, sind auch teure Maßnahmen zum Schutz empfehlenswert (z.b. Net-IDS bei Verbindungen ins interne LAN). In solchen Fällen ist es oft effizienter, auf bestimmte Funktionen zu verzichten oder sie anders abzubilden (z.b. Zugriff ausschließlich aus dem internen LAN auf die Web-Server-Infrastruktur). 40

39 Bei Kombinationen aus mittlerer Bedrohung und größerer Angriffsfläche sind weitere Maßnahmen in Betracht zu ziehen, die dann auch teurer sind (z.b. Web-Application-Firewall bei einem Web-Forum). 41

40 Die Kosten zur Umsetzung der einzelnen Maßnahmen und damit verbundene Erhöhung des Schutzniveaus variieren stark. Bestimmte Maßnahmen sind daher für den Basisschutz sinnvoll, andere teure Maßnahmen helfen nur, wenn ein gewisser Basisschutz bereits vorhanden ist (z.b. ersetzt ein Intrusion Detection System keine Firewall).

41 Die hier dargestellten Aufwände und Kosten für Hardware, Software und externe Services sind nur als grobe Abschätzung für die Absicherung einer einfache Web-Site durch einen hinreichend erfahrenen Spezialisten zu verstehen. Bei komplexen Web-Infrastrukturen können die Kosten leicht um den Faktor 10 oder 100 steigen. Bei regelmäßig durchgeführten Tätigkeiten wie Audits und Reviews hängt der Aufwand natürlich stark davon ab, ob sie z.b. jedes Quartal oder nur einmal im Jahr erfolgen. 43

42 Bei der initialen Risikobewertung werden Die größten Risiken identifiziert und beziffert Geprüft, ob die Risiken bereits durch Verzicht auf unnötige Funktionen reduziert werden können (z.b. benötigt nicht jede Web-Präsenz eine Web- Applikation und nicht alle Kundendaten müssen über die Web-Site verfügbar sein) Das Budget für Schutzmaßnahmen grob festgelegt Anschließend wird die Architektur auf Sicherheit getrimmt und die Web-Server-Komponenten gehärtet. Weitere Komponenten (z.b. Firewalls) ergänzen den Schutz. Anschließend sind bei den Web-Designern/-Entwicklern ein Sicherheitsbewusstsein und Best-Practices für die sichere Web-Entwicklung zu etablieren.

43 Mit jedem Schritt wird das Sicherheitsniveau erhöht. Ergänzend zu den vorher beschriebenen Schritten darf die Etablierung eines sicheren Betriebs nicht fehlen.

44 Im Ergebnis werden viele Angriffe abgewehrt und auch die Wirtschaftsprüfer werden mit dem Sicherheitsniveau zufrieden sein. Und nicht zuletzt: Die Web-Sicherheit wird dem Geschäftsführer keine schlaflosen Nächte mehr bereiten. 46

45 Am besten planen Sie noch heute den Termin für den ersten Workshop. 47

46 50

47 51