Sicherheitsprofil SaaS-CRM

Größe: px

Ab Seite anzeigen:

Download "Sicherheitsprofil SaaS-CRM"

Jacob Brahms
vor 10 Jahren
Abrufe

1 Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014

2 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis /

3 Ansatz des BSI für sicheres Cloud Computing Risikotransparenz Sicheres Cloud Computing 3

4 Die sechs Cloud-Bausteine auch jenseits des IT-Grundschutzes IT-Grundschutz-Bausteine sind auch nützlich jenseits des IT-Grundschutzes Sie bestehen aus: Goldene Regeln Was sollten CISOs wissen Gefährdungsübersicht Risikoidentifikation und -analyse Maßnahmen Was sollte gegen die Gefährdungen getan werden Was sollte in das Sicherheitskonzept geschrieben werden Kreuz-Referenz-Tabelle Welche Risiken entstehen, wenn Maßnahmen nicht ergriffen werden (s. BSI Kap. 5.3) Bausteine können als Anbieter und/oder Nutzer gelesen werden 4

5 Die sechs Cloud-Bausteine Cloud Management (2013) Spezifika jenseits von Netz-, System- und Speichermgmt Speicherlösungen / Cloud Storage (2014) Moderne Speichersysteme jenseits von SAN und NAS Virtualisierung (2011) Servervirtualisierung Web-Service (2014) Grundlegende Kommunikation von Cloud-Diensten Webanwendungen (2013) GUI Cloud-Nutzung (2014) Aufstellen der internen Organisation 5

6 Was ist ein Sicherheitsprofil Idee: Das Sicherheitsprofil ist eine Blaupause für das auf Cloud Computing abgestimmte Risikomanagement Möglich, da Cloud Computing: standardisiert und automatisiert, Clouds ähneln einander stark auf Meta-Ebene beschreibbar Akteure, Prozesse und Datentypen sehr ähnlich Sicherheitsproblematiken sind übertragbar Risikomanagement ist für viele Bereiche sehr ähnlich Aufwand für das Risikomanagement reduzieren durch Konzentration auf die Spezifika ihrer Lösung (siehe IT-GS) Konkretisierung auf Use Case ermöglicht detailliertere Aussagen 6

7 Sicherheitsprofil CRM-SaaS: Voraussetzungen Voraussetzung: Es existiert ein ISMS & BCM beim Cloud Anbieter (und beim Nutzer) Sicherheitsaspekte wie phys. Sicherheit nicht betrachtet Hoher Schutzbedarf Verarbeitung von personenbezogenen Daten in CRM dynamisches Umfeld erfordern kontinuierliches Risikomanagement Risiko Identifikation (Was sind die Hauptrisiken?) Risikobewertung (Welche Auswirkungen haben sie?) Risikobehandlung (Was sollte getan werden?) 7

8 Risikoanalyse für Clouds: Vorgehen Cloud-Referenzarchitektur beschreiben Use Case auswählen Relevanten Akteure, Prozesse und Daten identifizieren Verbindungen zwischen Akteuren und Cloud Komponenten identifizieren Welche Gefährdungen gibt es? Alle Risiken erfassen durch Kombinatorik zwischen Akteuren, Prozessen, Verbindungen, Schichten zu den Gefährdungen Risiken bewerten und und konsolidieren Ergebnisse Erweiterbare Karte aller Akteure und Verbindungen Systematischer Überblick über Risiken und Restrisiken Prozesse und Daten ergeben erste Priorisierung 8

9 IETF Cloud Referenzarchitektur Architektur des SP Vereinfachte IETF-Referenzarchitektur Access & Delivery Layer Cloud Management Cloud Service Layer Resource Control Layer Physical Layer 9

10 Akteure Subscriber End User Nutzt den angebotenen Service Kann ggf. in beschränktem Maß Service selbst anpassen Subscriber Admin Verwaltet die End User Accounts Verwaltet die vom End User nutzbaren Service Kataloge Konfiguration der Services Provider Admin Verwaltet den gesamten Cloud-Stack Sub-Provider Bringt weiter Services ein und hat dadurch ggf. Zugriff 10

11 Akteure und Prozesse CRM-User/User-Admin Login Geschäfts Prozesse Logout Kundendaten Verarbeiten Kundendaten Profilerstellen Für Admins CRM Management 11

12 Gefährdungen: STRIDE Abstrakte Gefährdungen: STRIDE Spoofing Täuschung (Identitäten) Tampering Manipulation von Daten Repudiation Abstreitung Information disclosure Vertrauensverlust Denial of service Nicht-Verfügbarkeit Elevation of privileges Eskalation von Rechten 12

13 Gesamtübersicht Subscriber End User Subscriber Admin Provider Admin Sub- Provider + Prozesse 13

14 Risikokonsolidierung am Beispiel Ext. Communication Subs. End User + Admin Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Service Layer Subs. End User + Admin Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Ressource Layer Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Access & Delivery Alle Akteure Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Management Provider-Admin Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Generell Sub-Provider vertraglich binden Abstreitbarkeit Protokollierung Alles fängt mit A&D an Ext. Komm. A&D (bis auf DoS) 14

15 Konsolidierte Risiken Ext. Communication Subs. End User + Admin Provider-Admin Denial of Service Cloud Service Layer Subs. End User + Admin Provider-Admin Tampering Info Disclosure Ressource Layer Provider-Admin Info Disclosure Denial of Service Access & Delivery Alle Akteure Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation Priv. Cloud Management Provider-Admin Tampering Elevation Priv. 15

16 Zusammenfassung der Vorgehensweise Spoofing Tampering Repudiation Info Disclosure Denial of Service Elevation of Privileges Akteure Verbindungen Informationen Ressourcen Prozesse Prüfbare & transparente Maßnahmen Authentifizierung Integrität Nichtabstreitbarkeit Vertraulichkeit Verfügbarkeit Autorisierung Restrisikoerfassung durch Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen 16

17 Risikobehandlung 60 mögliche Risiken 13 Risikofelder Eckpunktepapier, ISO 27001, NIST , Cloud Control Matrix (CSA), FedRAMP zu Anforderungen konsolidiert Für Anwendungsfall CRM konkrete Maßnahmen Kreuz-Referenz-Tabelle zwischen Risiken und Maßnahmen Systematische Identifikation des Restrisikos Vernachlässigung von Anforderungen Nichtumsetzung von Maßnahmen Schneller Überblick über wichtigste Maßnahmen der Risikobehandlung 17

18 Sicherheitsanforderungen und Maßnahmen aus Standards/Rahmenwerken Sicherheitsanforderungen aus dem Sicherheitsprofil NIST Fed RAMP CSA CCM BSI Eckpunkte [HRR-01] Mitarbeiter des Cloud-Service-Anbieters und der an der Bereitstellung des Service beteiligten Sub-Dienstleiter werden regelmäßig zu Sicherheitsbedrohungen und Sicherheitsmaßnahmen ausreichend geschult. A AT-1 AT-2 AT-3 AT-4 IR-2 AT-1, AT-2, AT-3, AT-4, HR-01 IS-11, IS-12, IS-14, 11: 2;3 Sicherheitsverhalten und Sicherheitstraining M Der Cloud Service Provider muss über formale und dokumentierte Richtlinien für das erforderliche Sicherheitsverhalten und Sicherheitstraining der Mitarbeiter entsprechend den ihnen zugewiesenen Aufgaben und Verantwortlichkeiten verfügen. M Auf der Grundlage der Richtlinien muss der Cloud Service Provider Prozesse etablieren, welche die Umsetzung unterstützen. Dazu gehören: die regelmäßige und dokumentierte Einweisung und Schulung in die sichere Konfiguration, den sicheren Betrieb und das sichere Management der für den Service erforderlichen Systeme und Komponenten, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung von Sicherheitsmaßnahmen, die regelmäßige und dokumentierte Unterweisung hinsichtlich der Beachtung und Einhaltung datenschutzrechtlicher Regelungen und Anforderungen, die regelmäßige und dokumentierte Unterrichtung über bekannte Bedrohungen und das regelmäßige und dokumentierte Training des Verhaltens beim Auftreten sicherheitsrelevanter Ereignisse. Besonderer Fokus soll dabei sein, die Mitarbeiter zu befähigen, Social Engineering Attacken, die gerade bei mehrstufigen Angriffen und APTs eine vorbereitende Funktion haben, zu erkennen und ihnen durch entsprechende Prozesse beim CSP zu begegnen. 18

19 Kreuz-Referenz-Tabelle für das Risikomanagement Adaptiert aus dem IT-Grundschutz Hilfreich für Fragen: Welche Maßnahmen sollten primär/sekundär zur Behandlung welchen Risikos angegangen werden? Welches direkte/indirekte Risiko entsteht, wenn Maßnahmen nicht umgesetzt werden? 19

20 Sicherheitsprofil SaaS Im Überblick Referenzarchitektur des IETF BSI Eckpunktepapier, ISO 27001, NIST , FedRAMP, Cloud Control Matrix der Cloud Security Alliance Blaupause für das Risikomanagement des Cloud-Anbieters (Prinzip Sapere aude! ) IT-Grundschutz-Anwender: Baustein für Geschäftsprozess Teil I: Akteure, Objekte, Geschäftsprozesse im CRM Schutzbedarf und Sicherheitsanforderungen Teil II: Risikoanalyse & Steckbriefe Teil III: Sicherheitsanforderungen Teil IV: Kreuz-Referenz-Tabelle 20

21 Zusammenfassung Kurze Zusammenfassung als Broschüre Ergebnis der AG 4 UAG 1 Sicheres Cloud Computing des nationalen IT-Gipfels Unter Beteiligung und Review der Mitglieder der UAG 1 21

22 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Clemens Doubrava Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)

Ähnliche Dokumente

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag