Sicherheit messbar machen Dipl.-Kfm. Tim Hoffmann

Transkript

1 Secure 2007 Sicherheit messbar machen Dipl.-Kfm. Tim Hoffmann 1

2 1. Voraussetzungen für die Messung/quantitative Darstellung der IT-Sicherheit 2. Methoden zur Messung der IT-Sicherheit 3. Messbarkeit als Bewertungskriterium der Effizienz getroffener Maßnahmen 4. Messbarkeit in der Praxis: Tool zur quantitativen Analyse der IT-Sicherheit 5. Der praktische Fall: Quantitative Darstellung eines IT-Sicherheitssystems 6. Fazit Überblick 2

3 Unternehmensgruppe 66,7 % GmbH Neu! 3

4 Messbare IT-Sicherheit?? Welchen Return erhalte ich in meinem Unternehmen für die IT-Sicherheit? Das IT-Sicherheit Geld kostet, wissen wir. Was sie bringt, ist ungewiss. Wir sind noch nicht einmal in der Lage, die Kosten der IT-Sicherheit genau anzugeben. Wie sollten wir dann in der Lage sein, ihren Nutzen zu berechnen? 4

5 IT-Sicherheit objektivieren und quantifizieren Identifizierung und Bewertung von Risikopotentialen und Handlungsoptionen: Einsatz von Methoden aus der Strategieplanung Einsatz von Methoden des Controllings u. a. Szenariotechnik, betriebswirtschaftliche Bewertungsverfahren Für die realistische Bewertung der Kosten der Handlungsoptionen und der Risiken ist auch die Qualität der vom Controlling bereitzustellenden Datenbasis entscheidend. 5

6 Was ist IT-Sicherheit? IT-Sicherheit ist der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses IT-Systems aufgrund von Bedrohungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. Quelle: BSI (Hrsg.): IT-Sicherheitshandbuch, Version 1.0, Bonn, 1992, S

7 Was bedeutet Risiko? Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe 7

8 Bewertung von Risiken Quelle: BSI (Hrsg.): IT-Sicherheitshandbuch, Version 1.0, Bonn, 1992, S.151 8

9 Bewertung von Risiken Quelle: O. V.: VDI-Richtlinie 5002, Sicherheit in der Bürokommunikation, 1993, S. 23 9

10 Bewertung von Risiken Quelle: O. V.: VDI-Richtlinie 5002, Sicherheit in der Bürokommunikation, 1993, S

11 Angemessenheitskriterien (1) Größe und Komplexität der Institution Organisation der Datenverarbeitung IT-sicherheitsspezifischer Schutz des Informationssystems Abhängigkeitsgrad des Unternehmens von den betreffenden Daten Abhängigkeitsgrad der personenbezogenen Daten von einem wirksamen Schutz Verfügbarkeitsnotwendigkeiten 11

12 Angemessenheitskriterien (2) Durchdringungsgrad mit Informationstechnologie (insb. im Hinblick auf die Quantität und Qualität der Daten, die automatisiert verarbeitet werden) IT-Sicherheitszielvorstellungen des Managements/ der IT-Sicherheitsstrategie IT-Sicherheitsbewusstsein der Mitarbeiter In der Vergangenheit realisiertes IT-Sicherheitsniveau Individuelle Risiko- und Gefahrensituation Anfälligkeit der Daten im Hinblick auf beabsichtigte Verletzung des unternehmensindividuellen IT- Sicherheitsniveaus (IT-Sicherheits-Sabotage) 12

13 Was bedeutet Risiko? 1. Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe 2. Risiko Schwachstellen Bedrohung Risiko = Schwach stelle Beträchtliche Auswirkung 13

14 Gefahren für die IT-Sicherheit (1) Computerkriminalität Spionage Viren und andere Schadprogramme ( Malware ) Security by Obscurity (Passwort unter der Tastatatur -»Wird schon keiner finden!«) Sicherheitsparadoxon Social Engineering / Hacking Trügerische Sicherheit in kommerziellen Produkten Risiken der Monokultur Systemfehler Verstoß gegen Ordnungsmäßigkeit ( Compliance ) 14

15 Gefahren für die IT-Sicherheit (2) Mangelndes Sicherheitsbewusstsein Arglosigkeit bei Nutzern Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle und -spezifikationen»security-ignoranz der Chefs bedroht das ganze E-Business«(CZ 12/2001) Blinder technischer Fortschritt Abhängigkeit von verletzlicher, nicht verlässlicher Technik immer größere Teile der kritischen Infrastruktur werden computergestützt gesteuert 15

16 Konkrete Risiken Risikofeld Informationswesen Risiken der Verfügbarkeit Risiken der Integrität Risiken der Vertraulichkeit Risiken der eingesetzten Technologie (Hardware) Risiken der eingesetzten Anwendungssysteme (technisch) Risiken der eingesetzten Anwendungslösungen (organisatorisch) Potentielle Risikofelder 16

17 Was sind Risiken? Verfügbarkeitsrisiken Ein Kommunikationsrechner bricht zusammen Ein Datensatz wird durch einen Hacker gelöscht Integritätsrisiken Ein Programmbug führt zu fehlerhaften Abrechnungsdaten Ein Programm entspricht nicht den gesetzlichen Vorgaben Vertraulichkeitsrisiken s werden systematisch nach Schlüsselworten durchsucht und gelesen Hardware mit ungelöschten Festplatten geht an Leasinggeber zurück Irrtümlich falsch adressiertes mit Mitarbeiterdaten geht an Unberechtigten 17

18 Risikoindikatoren erster Art sind z. B. Systemabstürze Netzzusammenbrüche Programmabstürze Risikoerkennung...im Risikofeld Informationswesen Diese drei Beispiele machen deutlich, dass z. B. eine Häufung von Pannen oder Störungen zur Katastrophe führen kann. Mithin sind diese Pannen und Störungen als Risikoindikatoren erster Art zu werten. 18

19 Risikoerkennung...im Risikofeld Informationswesen Die Risikoindikatoren zweiter Art sind schwerer zu deuten. Es handelt sich hierbei z. B. um Benutzerbeschwerden Falsche Nutzerverhaltensweisen Stockende/falsche Abläufe im Betriebsgeschehen Diese Indikatoren sind in ihrer Aussagefähigkeit weniger deutlich als die der ersten Art. 19

20 Risikobereitschaft Die individuelle Risikobereitschaft bestimmt bei einem gegebenen Bedrohungspotential die Höhe der IT-Sicherheitsinvestitionen sowie die entsprechend umzusetzenden IT-Sicherheitsmaßnahmen. 20

21 Risikoinventar Für eine detailliertere Risikobetrachtung über die Risikobereitschaft hinaus wird ein sog. Risikoinventar zugrunde gelegt. Dieses strukturiert die Risiko- und Maßnahmenbewertung, priorisiert die Maßnahmen mit der höchsten Wirkung, liefert den Ansatzpunkt, die finanziellen Auswirkungen möglicher Sicherheitsvorfälle quantitativ zu bewerten und daraus fundierte ROI Entscheidungen für Maßnahmen abzuleiten. Dazu werden Risiken (= potentielle Verluste) vor & nach der Maßnahmenergreifung für das jeweilige Risiko bestimmt und direkt den Aufwänden der Maßnahme gegenüber gestellt. 21

22 Maßnahmen (Aufwand) Risiken (potentieller Verlust) Maßnahmen vs.. Risiko... oder Aufwand vs. potentielle Verluste Materialkosten Kosten für Bedienung und Betrieb Summe Kosten fix variabel fix variabel fix variabel Interne Verrechnung Diese Gegenüberstellung liefert die Basis für die Ermittlung eines optimalen Kosten-Nutzen-Verhältnisses. Optimum = monetär bewertete Risikominderung > Kosten der Maßnahme = positiver Return on Security Investment (ROSI) 22

23 IT-Sicherheits Sicherheits-Controlling Es sollte ein IT-Sicherheitscontrolling gefördert werden. Bestandteil eines solchen Controllings sind Budgets. Es sind im Rahmen von Budgets ein eigenes IT-Sicherheitsbudget einzurichten eine Kostenerfassung und -zurechnung vorzunehmen ein übliches Kontrollsystem einzurichten Der Stand des Budgeting für Sicherheit ist unter Unternehmensführungs- und Controlling-Aspekten höchst kritikwürdig in Bezug auf das Budgetingverhalten und die -qualität. 23

24 Nutzen Qualitativer Nutzen» Imagegewinn» IT-Sicherheit als Enabler» Transparenter Kunde» Erhöhung der IT-Sicherheit» Verbesserung der Ordnungsmäßigkeit ( Compliance ) Quantitativer Nutzen» Kosteneinsparungen» Umsatzgenerierung 24

25 Nutzwertanalyse Auswahl der Alternativen Auswahl der Kriterien Gewichtung der Kriterien Nutzen Ermittlung des Zielerreichungsgrads IT-Sicherheits-Controlling-Funktionen» Angemessenheitskriterien» Aufwendungen für Sicherheit in % des IT-Budgets 25

26 Nutzwertanalyse Auswahl der Kriterien Qualität Kostenminimierung Know-how-Transfer Personelle Verfügbarkeit Re-Organisationsnutzen Kommentar Eine hohe IT-Sicherheitsqualität wird durch eine routinierte Aufgabenwahrnehmung des IT- Sicherheitsbeauftragten erreicht. Die Kosten der IT-Sicherheit werden mitunter durch das Verhältnis der Kosten für die IT-Sicherheitsaktivitäten zu den Kosten qualitätssichernder Aktivitäten (Schulung, Fortbildung etc.) beeinflusst. Nutzen kann einerseits durch den vermiedenen Verlust internen Know-hows und andererseits durch den Zufluss externen Know-hows generiert werden. Durch Anwesenheit des IT-Sicherheitsbeauftragten im Unternehmen ist eine geringe Reaktionszeit bei auftretenden Problemen zu erwarten. Hierbei wird der Nutzen der Maßnahmen zur Änderung des Status quo betrachtet. 26

27 Einsatz von Hilfsmitteln Checklistensysteme als Prüfungsunterlage (Beispiele von Listensystemen) Aufbau von Prüfchecklisten Methodik der Abarbeitung von Prüflisten Schwachstellenanalysen als Grundlage für Prüfberichte Computergestützte Tools und ihr Einsatzgebiet (Beispielsdarstellung) zur Quantifizierung 27

28 Entwicklung der Quantifizierung 1. Eindimensionale, undifferenzierte Systeme (z. B. SIVOR) 2. Einfache Benchmarking-Systeme (z. B. DTAG) 3. Gewichtete, differenzierte Bewertungssysteme (z. B. UTAB) 28

29 Indikatoren für IT-Sicherheit Indikatoren für IT-Sicherheit auf Basis der international anerkannten IT-Sicherheitsnorm ISO/IEC Controls (= Indikatoren) der Norm sind intern zu analysieren und durch Auswahl geeigneter Maßnahmen umzusetzen Erfüllung/Umsetzung relevanter Maßnahmen: Positiver quantitativer Wert Nicht-Erfüllung/-Umsetzung relevanter Maßnahmen: Negativer quantitativer Wert 29

30 Funktionsweise 2 Punkte 3 Punkte 1 Punkt 1 Punkt Für jede Antwort werden Punkte vergeben, maximal zu erreichende Punktezahl im Beispiel: 7 30

31 Festlegung der Grenzen P u n k t e % 1. G r e n z e 2. G r e n z e 6 1 6, , , Im gezeigten Beispiel können maximal 7 Punkte erreicht werden. Für jeden Punkt im Beispiel werden 14,3 % (= 100%/ 7) gegeben. Prozentwerte unter der 1.Grenze (< 56%) Darstellung in rot Prozentwerte zwischen 1.Grenze und 2.Grenze (>56% <87%) Darstellung in gelb Prozentwerte über der 2. Grenze (> 87%) Darstellung in grün 31

32 Funktionsweise Die Institution hat alle Werte definiert oder alle Sicherheitsprozesse definiert und dokumentiert. Erreichte Punkte: 3 = 43% 32

33 Funktionsweise Die Institution hat alle Werte und Sicherheitsprozesse definiert. Erreichte Punkte: 5 = 71% 33

34 Funktionsweise Die Institution hat alle Werte und Sicherheitsprozesse definiert und alle Sicherheitsprozesse oder Werte dokumentiert. Erreichte Punkte: 6 = 86% 34

35 Funktionsweise Die Institution hat alle Werte und Sicherheitsprozesse definiert und dokumentiert. Erreichte Punkte: 7 = 100% 35

36 Einhaltung der Verpflichtung Quantitative Auswertung eines IT-Sicherheitsaudits Management des kontinuierlichen Geschäftsbetriebs Zugriffskontrolle Management d. Kommunikation und des Betriebs Phys. und umgebungsbez. Sicherheit Personelle Sicherheit Einstufung und Kontrolle der Werte Organisation der Sicherheit Sicherheitspolitik Abb. N: Quantitative Ausw ertung eines IT-Sicherheitsaudits 36

37 Fazit Sicherheit ist messbar als norm-orientierter Erfüllungsgrad Sicherheit ist nicht berechenbar als individual-statistischer Wert 37

38 Vielen Dank für Ihre Aufmerksamkeit! UIMC Dr. Vossbein GmbH & Co. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) URL: Neu! UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de URL: 38

39 Aktivitätenfelder Individuelle Beratungen und Konzeptionen Unternehmensmanagement Standardisierte Beratungen und Konzeptionen Individuelle Beratungen und Konzeptionen IT-Management Betriebliche und außerbetriebliche Fort- und Weiterbildung Unternehmensführung Controlling Aufbau- und Ablauforganisation Planung und Budgetierung Informationssystemmanagement UMC - Unternehmensund Management- Checkup Sicherheits- Schwachstellenanalyse (Si-SSA) gem. ISO 17799/27001 Datenschutz-Checkup gem. BDSG und IuKDG IT-Sicherheit IT-Revison (Auditing) Datenschutzberatung Externe Datenschutzbeauftragung Datenschutz- und -sicherheit im Gesundheitssektor Unternehmensorganisation Unternehmensplanung und -budgetierung IT-Systemplanung IT-Controlling Datenschutz Sicherheitskonzeptionen Marketing Organisationsmittel Erstellen und Überprüfen von Pflichtenheften Arbeitsplatzsicherheit ISO SW-Lösungen für interne und externe Beratungs- und Auditierungsprojekte 39

40 Aktivitätenfelder Schulung/Weiterbildung Tools u. Organisationsmittel Auditierung Zertifizierung IT-Sicherheit Wissenschaftliche Projekte Datenschutz 40