Datensicherheit der nächsten Generation, zentral administrierbar und skalierbar. Thomas Hüttner Product Manager Device Security Utimaco Safeware AG

Transkript

1 Datensicherheit der nächsten Generation, zentral administrierbar und skalierbar Thomas Hüttner Product Manager Device Security Utimaco Safeware AG

2 Moderne IT-Infrastrukturen Wie viele Geräte müssen geschützt werden? Wie viele Security-Tools werden benötigt? Harmonieren diese untereinander? Effizienz? 2

3 Herausforderungen der IT-Sicherheit 1. Mobile Datensicherheit Vielfalt mobiler Endgeräte nimmt zu Nutzung dieser Geräte für geschäftskritische Anwendung nimmt zu Anzahl der verlorenen oder gestohlenen Geräte steigt Quantität und Qualität der Bedrohungsszenarien nimmt zu Shamir s Law: Bedrohung verdoppelt sich in 18 Monaten IT-Security- Bordmittel der Betriebssysteme sind unzureichend Plattformübergreifender Schutz aller Endgeräte 3

4 Herausforderungen der IT-Sicherheit 2. IT-Security Management Gesetzliche Anforderungen an IT-Sicherheit steigen Vielfalt der Gerätetypen und Plattformen nimmt zu... IT-Sicherheit als dynamischer Prozess - erfordert einfache und flexible Anpassungen von Nutzerrechten Delegieren administrativer Rechte an Sub- Administratoren Zentrale Umsetzung unternehmensweiter Sicherheitsrichtlinien 4

5 Herausforderungen der IT-Sicherheit 3. Kostenkontrolle Investitionen in IT-Sicherheit müssen sich rechnen Versteckte Kosten durch Integration in bestehende IT-Infrastruktur Versteckte Kosten durch Erweiterungen der Sicherheitsarchitektur zu einem späteren Zeitpunkt Überhöhte Personalkosten durch mangelhafte Self-Service -Funktionalitäten Volle Kostentransparenz 5

6 Anforderungen der Unternehmen Unternehmen (CXO) Gesetzliche Anforderungen Datensicherheit Investitionsschutz Produktivität IT-Support/Helpdesk Geringe Helpdesk-Kosten Einfache Administration Begrenzte Ressourcen Heterogene Infrastrukturen Managen komplexer IT Systemstabilität & Integrität IT-Security Manager IT Sicherheit für das Unternehmen und seine Mitarbeiter Durchsetzung von Security Policies Hochkomplexe, heterogene IT-Infrastruktur Systemstabilität Benutzer Hohe Effizienz Bewusstseinsbildung Unveränderte Abläufe Sich nicht um Sicherheit kümmern zu müssen Schnelle, einfache Hilfe Balance zwischen Sicherheit Kosten Produktivität Cross-Plattform Sicherheit 6

7 Sicherheit auf den Punkt gebracht Kundenstimmen Organisationen brauchen Informationssicherheit, die ihre Daten unabhängig vom Arbeitsort der Mitarbeiter und ohne Beeinträchtigung der Abläufe schützt Die optimale Lösung finden Pro-aktiv Sicherheit managen Die Infrastruktur absichern Nutzern bei der Sicherheit helfen Die Security Investition rechtfertigen Was passiert in meinem Netzwerk? Was passiert im Netzwerk mit meinen Daten? Sicherheit darf nicht zu Hürden führen Interoperabilität mit meiner Infrastruktur Auswahl vertrauensvoller Zulieferer Fokus auf alle Nutzer meiner Daten egal ob Mitarbeiter oder Externe Abhängigkeit von Administrations- Rollen Wie sichere ich heterogene Landschaften pro-aktiv ab? Den Nutzern auch bei mobiler Arbeit folgen Schnelle Hilfestellung und Daten-Recovery 7

8 Handlungsempfehlungen

9 Handlungsempfehlungen für Datensicherheit Umfassender Schutz aller Daten 5. Absicherung der Master Schlüssel durch Hardwaresicherheit. 1. Schutz sensibler Daten auf Endgeräten. 4. Schutz der Daten in Netzen und Servern. 2. Sicherer Daten- austausch mit Geschäftspartnern. 3. Sicherer Datenaustausch innerhalb der Organisation. 9

10 Handlungsempfehlungen für Datensicherheit 1. Endpunkt Sicherheit Best Practice #1 Schutz personenbezogener Daten sowie des geistigen Eigentums auf mobilen und ggfs. auch stationären Endgeräten Warum müssen sich Firmen schützen? 80% aller Firmen nutzen mobile Endgeräte, auch um vertrauliche Informationen zu verarbeiten. 81% der US Firmen haben in 2005 Laptops mit sensitiven Daten verloren. Bis zu 8 % aller mobilen Endgeräte gehen jedes Jahr verloren oder werden gestohlen. Nicht verschlüsselte Datenträger wie Festplatten, Memory Sticks, DVDs etc. können von nicht autorisierten Nutzern jederzeit ausgelesen werden. Wie können sich Firmen schützen? mit der Verschlüsselung der Endgeräte: Notebooks PDAs, SmartPhones Desktops 10

11 Handlungsempfehlungen für Datensicherheit 2. Sicherer Datenaustausch mit Geschäftspartnern Best Practice #2 Sicherstellung der Authentizität und Vertraulichkeit auszutauschender Daten Warum müssen sich Firmen schützen? Geschäftsübergreifende Prozesse erfordern den Austausch sensitiver Informationen. Großkunden fordern sicheren Datenaustausch von ihren Zulieferern (z.b. in der Automobilindustrie). Ohne Schutz riskieren Unternehmen nicht autorisierten Datenzugriff. Authentizität übermittelter Daten sollte sichergestellt werden. Phishing s in fremdem Namen irritieren Kunden. Wie können sich Firmen schützen? mit dem Schutz (Verschlüsselung und digitale Signatur) der übermittelten Daten : Verschlüsselung und digitale Signatur Verschlüsselung und digitale Signatur von Transaktionsdaten (EDI, XML, ) Verschlüsselung von Wechselmedien 11

12 Handlungsempfehlungen für Datensicherheit 3. Sicherer Datenaustausch innerhalb der Firmen Best Practice #3 Sicherer Datenaustausch innerhalb der Firmengrenzen Warum müssen sich Firmen schützen? Durch Outsourcing verschwimmen die Firmengrenzen zunehmend % aller Verstöße gegen die Datensicherheit haben ihren Ursprung innerhalb der Firmengrenzen. Nicht autorisierte Zugriffe auf zentrale Datenspeicher stellen ein erhebliches Risiko dar. Wie können sich Firmen schützen? mit dem Schutz übermittelter Daten: Verschlüsselung Absicherung von Push-Mail Systemen Verschlüsselung zentraler Datenspeicher Verschlüsselung aller Wechselmedien 12

13 Handlungsempfehlungen für Datensicherheit 4. Schutz der Daten auf Servern Best Practice #4 Vertraulichkeit der Daten in Netzwerken und auf Servern Warum müssen sich Firmen schützen? Zentrale Datenspeicher enthalten das gesammelte Wissen eines Unternehmens. Unautorisierter Datenzugriff durch Administratoren, Hacker oder Outsourcing Mitarbeiter stellen eine erhebliche Bedrohung dar. Wie können sich Firmen schützen? mit der Verschlüsselung zentraler Datenspeicher: Verschlüsselung zentraler Dateiserver Verschlüsselung von Datenbanken Professionelle Zugriffsberechtigung, z.b. durch 2-Faktor Identifikation Verschlüsselung der Inhalte auf Mail Servern mit der Einführung eines Content Monitoring and Filtering Systems 13

14 Handlungsempfehlungen für Datensicherheit 5. Schutz des Schlüsselmaterials Best Practice #5 Wirksamer Schutz der Master Schlüssel Warum müssen sich Firmen schützen? Verschlüsselte Daten sind nur so sicher wie der dazugehörige Schlüssel. Zertifikate sollten professionell abgesichert werden, um Missbrauch durch Unbefugte zu verhindern. Hardware ist der effektivste Schutz in unsicheren Umgebungen. Wie können sich Firmen schützen? durch den Hardware-Schutz aller wichtigen Schlüssel Hardwaresicherheitsmodule Smartcards Trusted Platform Module 14

15 Effiziente Umsetzung der Datensicherheit

16 Trends der Datensicherheit 1. Schutz der Daten, statt nur der Infrastruktur Firewalls und Security Gateways schützen das Unternehmensnetz Let the good guys in, keep the bad guys out Closed Shop Prinzip mit eigenen Regeln und Richtlinien Unternehmensübergreifende Prozesse Offene IT Infrastruktur Mobile Mitarbeiter Bad guys sind schon im Unternehmen Schutz der Daten, statt nur der Infrastruktur 16

17 Trends der Datensicherheit 2. Von Einzellösungen zu einem ganzheitlichen Ansatz Proprietäre Punktlösungen Kein zentrales Richtlinien- Management Aufwendig für Anwender und Administratoren (hohe Kosten) Oftmals reaktive Tools/Projekte Perimeterzentrisch Integrierte Lösungen Leichte Handhabung und Organisation Reduzierte Komplexität in Administration und Anwendung Pro-aktives Risikomanagement Daten- und Anwenderzentrisch 17

18 Details einer Sicherheitslösung 1. Leistungsfähige Administration Effizienz Viele Sicherheitsfunktionen mit wenigen Klicks, sowie Automatismen Plattformübergreifende Regelwerke Hohe Komplexität der Infrastruktur meistern Protokollierung und Auditing Schnelle Übersicht über den Zustand des Gesamtsystems Integration einer Vielzahl von Werkzeugen Directories, PKIs Logging, Monitoring Provisioning, Skriptfähigkeit 19

19 Details einer Sicherheitslösung Beispiel für Administration 20

20 Beispiele für eine Sicherheitslösung Beispiel für Logging / Analyse 21

21 Details einer Sicherheitslösung 2. Datentransfer Schutz von vertraulichen Daten Transparente Verschlüsselung lokaler Platten, Wechselmedien, Daten im Netz Sichere Kommunikation Durchsetzung von Kommunikationsregeln, sowie Protokollierung des Datenverkehrs Sicherer Datenaustausch Verschlüsselung von s, Wechselmedien Einbindung von Dritten in die sichere Infrastruktur 22

22 Details einer Sicherheitslösung Beispiel für Policyverteilung Administration Server Policy Server (primary) Policy Server (secondary) Feature Services Transport Services Feature Services Transport Services Transport Services Local Data Storage Client Services Administration Workstation Transport Services Local Data Storage Client Services Management Center Services AD, PKI or other external source Transport Services Local Data Storage Client Services 23

23 Details einer Sicherheitslösung 3. Schutz der Clients Schutz des Betriebssystemes Transparente Verschlüsselung von lokalen Festplatten Konfigurationsschutz Moderne Pre-boot Architektur Authentisierung Schutz der schwächsten Kette im Glied: PIN / Passwort Mehrfaktorauthentisierung: Smartcards, USB-Token, Biometrie Schutz vor externen Angriffen Malware Protection (Viren, Adware, Rootkits, Bots, ) Personal Firewall 24

24 Details einer Sicherheitslösung Beispiel für sicheres Booten BIOS Boot sector Secure Kernel Pre-boot Logon Password oder zertifikatsbasierender Login (Smartcard, USB-Token, TPM, ) Int-13 Handler Pre-boot Windows Logon Original Boot sector Windows Loader Local Data Storage Disk/Volume Filter Windows 25

25 Details einer Sicherheitslösung Biometrie Match-on-Server 1:n Identifikation (sehr viele) Schlüssel am Server Match-on-Card Besitz und Wissen 1:1 Authentisierung Schlüssel auf der Karte Match-on-Device (HW) 1:n Identifikation (wenige) Payload im Chip Match-on-Device (SW) 1:n Identifikation (einige) Schlüssel auf der Platte potenziell unsicher 26

26 Details einer Sicherheitslösung 4. Skalierbarkeit Keep it simple Install and Forget sinnvolle Default-Policies Automatisierung Heterogene Umgebungen Nutzung bereits bestehender Directory-Infrastruktur für die Verwaltung von Tausenden Benutzern und Geräten Inventory Leicht zu bewältigende Administration Anpassung des GUI an Vorbilder (z.b. Active Directory) bzw. Web-Oberfläche Delegation, hierarchische Administration 27

27 Details einer Sicherheitslösung 5. Nebenparameter Berücksichtigung der Mobilität von Benutzern Online und offline Recovery- und Notfallszenarien Aktualität der Security Policies Unmittelbare Durchsetzung von Änderungen Berücksichtigung der Datenmengen Lastverteilung bei Policy-Verteilung Hoher Standardisierungsgrad Integration / Kompatibilität verschiedener Hersteller 360 Sicherheit Gesetzliche Rahmenbedingungen 28

28 Ausblick Neue Technologien in den Startlöchern Microsoft Vista BitLocker Full Disk Encryption Seagate Festplatten Trusted Platform Modules Neue Blickwinkel 360 Security Multi-Plattform Fähigkeit Content Encryption 29

29 Festplattenverschlüsselung mit TPM Beispiel: BitLocker TM Bootprozess BIOS Bootloader Stage I Bootloader Stage II OS Kernel BitLocker Logon (optional) TPM Init Storage Root Key (SRK) Platform Configuration Registers (PCR) BIOS MBR ******* Hashed Password Bootsektor Volume Master Key (VMK) Bootblock Full Volume Encryption Key (FVEK) Bootmanager OS Loader OS Start Messung Kontrollübergabe 30