Informationsrisikomanagement

Transkript

1 Informationsrisikomanagement 1

2 ROTER FADEN Das Unternehmen CARMAO Bedrohungen und Verwundbarkeiten Der Nutzen der Risikoszenarioanalyse 2

3 HERZLICH WILLKOMMEN Gegründet: Firmensitz: 2003 in Darmstadt Brechen (nahe bei Limburg a.d.l.) Geschäftsstelle: München Mitglied in: CAST, GDD, ISACA, KoSiB, VSW, Ploenzke Netzwerk Beratungen, Dienstleistungen und Schulungen zu risikoorientiertem Informationsmanagement Informationssicherheitsmanagement Identitäts-und Berechtigungsmanagement Informationsrisikomanagement BCM/ Notfallmanagement IT-Compliance inkl. Datenschutz Sicherheitskultur 3

4 IHRE WERTE VERLANGEN SCHUTZ! 4

5 BEDROHUNGEN Angreifer von außen Angreifer von innen Zufällige Angriffe Hoch motivierte Angriffe 5

6 ANGRIFFE AUF DIE UNTERNEHMENS-IT Prof. Kempf als Datev-Vorstand Eine fünfstellige Zahl an Attacken pro Jahr *) : 365 = 27 pro Tag : 365 = 273 pro Tag *) Quelle: heise online

7 BEDROHUNG TRIFFT AUF SCHWACHSTELLE Angreifer von außen trifft auf Unsicheren Server Szenario Hacker greift über Internet an Über die Eintrittswahrscheinlichkeit Ermittlung des Gefährdungspotentials 7

8 RISIKOORIENTIERTES SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 8

9 CARVAS SCHWACHSTELLENANALYSE Risikominderung Schwachstellen Analyse Risikobewertung 9

10 SCHWACHSTELLEN-ANALYSE Infrastruktur Vulnerability Scans Architektur Reviews Audits von Rechenzentren und Gebäudesicherheit Etc. Applikationen Web Application Scans Application Penetration Tests Source Code Reviews Etc. Prozesse Audits von Rollen und Berechtigungen Audits von Review- und Genehmigungsworkflows Audits zur Compliance gegen Informationssicherheits-Policies Etc. 10

11 SCHWACHSTELLENLISTE Nach Schweregrad geordnet

12 HERAUSFORDERUNGEN Bei welcher Schwachstelle fange ich denn an? Nach welchem Kriterium legt man die Reihenfolge fest? Welche Aktivität liefert den größten Kosten/Nutzen-Effekt? Wie bekomme ich die Antwort ohne übermäßigen Aufwand? 12

13 RISK SCENARIO ASSESSMENT Risikominderung Schwachstellen Analyse Risikobewertung 13

14 INFORMATION SECURITY ASSETS Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 14

15 RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X 15

16 RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Szenario S2 Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X Schwachstelle y 16

17 HERAUSFORDERUNG Geschätzte Kosten für die Beseitigung der Schwachstellen Schwachstelle x: Schwachstelle y: EUR EUR Verfügbares Budget: EUR Nun ist guter Rat teuer!!!!

18 RISIKOKLASSIFIZIERUNG Beispiel: Gefährdung der Vertraulichkeit Risikoklasse Vertraulichkeit Schaden Wahrscheinlichkeit des Eintretens (Gefährdung) 10% 20% 30% 40% 50% 60% 70% 80% 90% Schaden -Auswirkung durch Verletzung der Vertraulichkeit Streng Vertraulich Katastrophal Vertraulich Signifikant Interner Gebrauch Beträchtlich Externer Gebrauch Nennenswert Gering Risikoakzeptanzschwelle RS 1.1 Mittel RS 1.2 Hoch Sehr Hoch RS 2 Behebung einer Schwachstelle reduziert Sehr Hohes Risiko bei nur nennenswertem Schaden Behebung einer anderen Schwachstelle behebt gleich mehrere Risiken Mittel/Hoch bei signifikantem Schaden

19 3 2 5 DAS MODELL ZUR RISIKOBEWERTUNG VeriNice steht unter Gnu Public License Konstruktion & Entwicklung Wartung durch Firma SerNet Empfohlen unter anderem vom BSI Dateiaustausch mit Ingenieurbüro Konstruktions-& Entwicklungsdaten 4 1 FTP-Server Unverschlüsselte FTP-Anmeldung 19

20 IHR NUTZEN Entscheidungen nach Wichtigkeit und Dringlichkeit Budgetanfragen mit Argumenten untermauert Zielgerichteter Einsatz von Budgetmitteln 20

21 SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 21

22 RISIKOMINDERUNG Auswahl geeigneter Schutzmaßnahmen Berücksichtigung interner Sicherheitsrichtlinien Orientierung an ISO bzw. IT-Grundschutzkatalogen Management der Schwachstellen Workflow zur Steuerung der Schwachstellenbehebung Statustracking in einer Schwachstellendatenbank Schwachstellen-Repository Trendinformationen zur Schwachstellenentwicklung Dauer der Schwachstellenbehebung Integration in ein bestehendes ISMS nach ISO/IEC 27001

23 CARVAS SCHWACHSTELLENMANAGEMENT Toolunterstützung (MS Excel, MS Sharepoint, ISMS Tools, etc.) Risikominderung Erstellung und Umsetzung von Lösungskonzepten zu Einzelmaßnahmen Implementierung eines ganzheitlichen Schwachstellenmanagements Integration in ein vorhandenes ISMS nach ISO/IEC Risiko-Bewertung Planung, Einführung und Durchführung von methodischen Risiko-Assessments Schwachstellenanalyse Durchführung diverser Analysen VulnerabilityScans, Web ApplicationScans, APTs, Audits, Social Engineering Simulationen, etc. 23

24 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT FRAGEN? Ulrich Heun Geschäftsführer und Management Consultant, CARMAO GmbH Vorstand des Kompetenzzentrum für Sicherheit KoSiB eg 24

25 wählen Sie CARMAO als Partner Firmensitz Rathausstraße Brechen Tel: +49 (6438) Fax: +49 (6438) Geschäftsstelle München Pilotystraße München Tel: +49 (89) Fax: +49 (89) kontakt@carmao.de 25