Moderne Beschaffung mit Berücksichtigung von IT Security

Transkript

1 Moderne Beschaffung mit Berücksichtigung von IT Security 4. November 2016 IT-sicher.kaufen

2 Agenda Problemstellung & Projektidee Gefahren & Schwachstellen Maßnahmen für sichere Beschaffung Beschaffungsplattform Demo IT-sicher.kaufen 4. November

3 Problemstellung IT-sicher.kaufen 4. November

4 Problemstellung IT-Sicherheit Ist schon beim Einkauf von IT-Komponenten sehr wichtig Spielt aber beim Einkauf meist keine oder nur eine geringe Rolle Maßnahmen bei der Beschaffung von IT-Produkten erforderlich, damit sie die erforderliche Sicherheit liefern Projekt ITsec.at Gefördert von der FFG (Forschungsförderungsgesellschaft) Finanziert im Sicherheitsforschungsprogramm KIRAS vom BMVIT IT-sicher.kaufen 4. November

5 Projektrahmen Jegliche Produkte/Komponenten, die Software enthalten Komplette Palette an Software (Betriebssysteme, Systemsoftware, Standardsoftware, Anwendungssoftware, etc.) Hardware, die Software enthält (Produktionsmaschinen, Telekommunikationsgeräte, Netzwerkkomponenten, etc.) Produkte im Privatbereich (Webcams, Staubsaugerroboter, etc.) Erhöhte Gefahr durch die Öffnung fast aller dieser Produkte in den Cyberraum Stellen heute für Unternehmen direkt oder indirekt Gefahren dar IT-sicher.kaufen 4. November

6 Gefahren (1) Produkte/Komponenten sind sehr unterschiedlich resistent gegen Angriffe aus dem Cyberraum Besonders gefährlich: Widerstandsfähigkeit wird schon im Produktdesign bzw. während der Produktentwicklung gezielt untergraben z.b. schwache Implementierung sicherer Kryptografie z.b. vorinstallierte Hintertüren oder Spionage-Komponenten IT-sicher.kaufen 4. November

7 Gefahren (2) Beispiele aus den NSA Enthüllungen durch Snowden: Gezielter Einbau von Hintertüren in kommerzielle Verschlüsselungsprodukte Bullrun -Programm Bewusste Schwächung der Konfiguration gängiger Internet- Verschlüsselungskomponenten z.b. NIST Zufallszahlengenerator X-KEYSCORE Erlaubt Echtzeit-Monitoring der Online-Aktivitäten von einzelnen Zielpersonen Den Herstellern muss immenses Vertrauen entgegengebracht werden, dass sie korrekte, schwachstellenfreie und IT-sichere Produkte liefern IT-sicher.kaufen 4. November

8 Maßnahmen IT-sicher.kaufen 4. November

9 Maßnahmen Beschaffungsstrategie und Beschaffungsrichtlinien Anforderungskataloge für Hardware- und Software- Komponenten Datenbank über Schwachstellen und andere sicherheitsrelevante Vorkommnisse Berücksichtigung des Vertrauens, z.b. Herkunft Sicherheitszertifizierungen, Sicherheitslabel, etc. Qualifizierte Kundenrezessionen und Testdatenbank IT-sicher.kaufen 4. November

10 Anforderungskataloge (1) IT-Sicherheitsanforderungen wurden definiert Teilweise aus bekannten Sicherheitsstandards entnommen und gegebenenfalls konkretisiert Anforderungen sind möglichst allgemein formuliert Sollen auf alle Produkte zutreffen, die Software beinhalten Es wird unterschieden zwischen: Standard-Software In Auftrag gegebener Software Hardware mit integrierter Software Speziellen Kriterien für Open Source Produkte IT-sicher.kaufen 4. November

11 Anforderungskataloge (2) Kategorien für Standard-Software: Benutzerauthentifizierung und Zugriffskontrolle Wahrung der Vertraulichkeit von Daten (Verschlüsselung) Datenvalidierung Fehlerbehandlung und Logging Konfiguration Datenschutz Sabotage und Spionage Sicherheitsüberprüfungen und -updates Dokumentation IT-sicher.kaufen 4. November

12 Anforderungskataloge (3) Sicherheitsanforderungen für Ausschreibungen als Checklisten ohne Ausschreibung Konkrete Empfehlungen Notwendige Implementierungsstärke einzelner IT- Sicherheitsverfahren z.b. Schlüssellänge eines Verschlüsselungsalgorithmus Einteilung der Anforderungen in Schutzbedarfsklassen 3 Stufen: normal (1) hoch (2) sehr hoch (3) Schutzziele: Vertraulichkeit (C), Integrität (I), Verfügbarkeit (A) IT-sicher.kaufen 4. November

13 Quelloffene Software Unterschied Freie Software und Open Source Software Qualitätseinschätzung durch Bewertungskriterien: Funktionalität Community Support Dokumentation Entwicklungsaktivität Langlebigkeit Integration Sicherheit Lizenzierung IT-sicher.kaufen 4. November

14 Beschaffungsplattform Aus den Maßnahmen für die Beschaffung sicherer IT-Produkte entstand eine webbasierte Beschaffungsplattform benutzerfreundlich leicht verständlich öffentlich einer größeren Personengruppe zugänglich Zentrale Anlaufstelle im Gegensatz zu einzelnen, im Internet verteilten Sicherheitsanforderungen Umfangreiche Informationen über IT-Sicherheitsaspekte vor einer möglichen Beschaffung URL: it-sicher.kaufen IT-sicher.kaufen 4. November

15 Demo der Beschaffungsplattform it-sicher.kaufen IT-sicher.kaufen 4. November

16 Beschaffungsplattform it-sicher.kaufen IT-sicher.kaufen 4. November

17 Beschaffungsplattform (1) Zielgruppen: Große u. öffentliche Unternehmen Kleine und mittlere Unternehmen (KMUs) Jegliche Personen, die an IT-Sicherheit interessiert sind Sicherheitsrelevante Informationen über bestimmte Produkte und Hersteller Hersteller/Anbieter Können Produkte samt sicherheitsrelevanter Informationen eintragen Demonstriert Transparenz und erzeugt Vertrauen bei potentiellen Kunden IT-sicher.kaufen 4. November

18 Beschaffungsplattform (2) 4 große Bereiche: Beschaffung Sicherheitsvorfälle Produkte Suche IT-sicher.kaufen 4. November

19 Bereich Beschaffung Anforderungskataloge für: Standardsoftware In Auftrag gegebene Software Hardware mit integrierter Software Kurzversion des Anforderungskataloges Langversion mit Schutzbedarfsklassifikation Konkrete Empfehlungen z.b. notwendige Implementierungsstärke von Sicherheitsverfahren Open Source Bewertungskriterien und Lizenzmodelle zur Qualitätseinschätzung IT-sicher.kaufen 4. November

20 Bereich Sicherheitsvorfälle Information über Schwachstellen von bestehenden Produkten Common Vulnerability Enumeration (CVE) Schwachstellen- Datenbank von MITRE CERT Warnungen Suchfunktion über aktuelle oder vergangene Sicherheitsvorfälle z.b. nach Produkten oder Herstellern Keine Bewertung und Interpretation auf der Plattform Lediglich Orientierungshilfe für die Transparenz eines Herstellers oder die Anfälligkeit eines bestimmten Produktes z.b. regelmäßige Zero-Day Lücken eines Produkts mit hoher Kritikalität IT-sicher.kaufen 4. November

21 Bereich Produkte Vertrauensdatenbank für IT-Sicherheitsprodukte Sammlung von Produkten (im Aufbau) Erlaubt Registrierung von Herstellern oder Produktanbietern Proaktive Eintragung von Produkten samt ihrer ITsicherheitsrelevanten Eigenschaften Ausfüllen einer Checkliste der Sicherheitsanforderungen Rechtsgültig unterschriebene Erklärung (inklusive Haftung), dass die Angaben richtig sind Transparentes Bild, welche Sicherheitsanforderungen ein Hersteller bei seinem Produkt erfüllt IT-sicher.kaufen 4. November

22 Sonstiges Semantische Suchfunktion über die gesamten Inhalte der Plattform inklusive anerkannten externen Quellen: z.b. BSI Grundschutzkatalog Beschaffungsplattform steht kostenlos allen zur Verfügung Herstellerunabhängig und werbefrei Betrieb und Wartung erfolgt an der FH St. Pölten IT-sicher.kaufen 4. November

23 Projektpartner FH St. Pölten (Institut für IT Sicherheitsforschung) Bundeskanzleramt Bundesministerium für Inneres Bundesministerium für Landesverteidigung und Sport Gemeinde Wien (MA 14) SEC Consult Unternehmensberatung GmbH des Weiteren unterstützen das Projekt die ITSV (IT der österreichischen Sozialversicherungsträger) Cyber Security Plattform der Bundesregierung IT-sicher.kaufen 4. November

24 Ausblick Branchenspezifische Sicherheitsanforderungen z.b. Industrie, Energieversorgung, Gesundheitswesen etc. Berücksichtigung von gesetzlichen Vorgaben, Verordnungen, Normen oder auch Zertifikaten Eintragung von Produkten durch Hersteller/Anbieter Zweisprachigkeit (deutsch/englisch) Weitere Kooperationen gewünscht z.b. BSI, ACS (deutsche Allianz für Cybersicherheit) IT-sicher.kaufen 4. November

25 Danke für Ihre Aufmerksamkeit! IT-sicher.kaufen 4. November