IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1
If you haven t got a security policy, you haven t got a firewall. (Quelle: Marcus Ranum, ranum.com) Security Consulting GmbH, Karlsruhe Seite 2
Regelwerke im ISMS-Prozess Externe Vorgaben Strategie Konzeption Umsetzung Betrieb 1. Entwicklung einer Sicherheitsleitlinie 2. Bedrohungs- und Risikoanalyse 3. Sicherheitsvorgaben und -konzepte 4. Realisierung von Sicherheitsmaßnahmen 5. Schulung und Sensibilisierung 6. IT-Sicherheit im laufenden Betrieb Information Security Management Security Consulting GmbH, Karlsruhe Seite 3
Warum ist Informationssicherheit für uns wichtig? Was soll geschützt werden? Wovor soll geschützt werden? Wie sollen Schutzmaßnahmen konkret aussehen? Wie viel Aufwand und Geld bin ich bereit zu investieren? Wie groß ist der Nutzen der Schutzmaßnahmen? Das Paretro-Prinzip: Mit 20% des möglichen Aufwands erzielen Sie 80% des möglichen Ergebnisses Security Consulting GmbH, Karlsruhe Seite 4
Warum? Leitlinie / Security Policy Leitlinie Richtlinien Was? Richtlinien Sicherheitskonzepte Prozess-Anweisungen Arbeits-/Fachanweisungen Service Level Agreements Virenschutz, Backup, Kryptokonzept etc. Wie soll? Vorgaben abteilungsübergreifend, intern, extern Betriebskonzepte Technische Dokumente Systembeschreibungen Wie ist? Umsetzung intern, extern Handlungsempfehlungen Best Practices Standards IT-Grundschutz ISO 27001, ISO 27002 Guides Checklisten Wie könnte? Security Consulting GmbH, Karlsruhe Seite 5
Mögliche Inhalte einer Leitlinie Strategisches Dokument der Geschäftsleitung zur Informations-/IT-Sicherheit Festlegung des Aufbaus und der Kompetenzen einer Sicherheitsorganisation Dokumentation nach innen und außen Beinhaltet (IT-) Sicherheitsziele und strategie Gleichermaßen Anspruch und Aussage Security Consulting GmbH, Karlsruhe Seite 6
Regelungs-Aspekte Motivation und Regelungsgegenstand beschreiben Klare Zieldefinition Klärung der Zielgruppe Definition eines Geltungsbereiches Gültigkeit Umgang mit Ausnahmen Vertraulichkeit und Anhänge Security Consulting GmbH, Karlsruhe Seite 7
Konkretisierende Regelungen Benutzer-Policy Welche Arten von Accounts gibt es? Passwort-Policy Welche Rechten und Pflichten haben diese? Netzwerk-Policy Was ist normaler Netzwerk- Verkehr? Wer darf welche Netzressourcen nutzen? Backup-Policy Welche Daten werden wann gesichert? Wer sichert, verwaltet und überprüft diese Daten? Audit-Policy Was wird wo wie lange protokolliert? Wer hat in welchen Fällen Zugriff auf diese Daten? Antivirus-Policy Zentral vs. dezentral Wie oft aktualisieren? Umgang mit Rechnern, die offline sind? Incident Response Policy Umgang mit (Sicherheits-) Vorfällen Certification Policy PKI Security Consulting GmbH, Karlsruhe Seite 8
Bestimmen des Sicherheitsniveaus Definition allgemeiner Sicherheitsziele Definition spezieller Sicherheitsziele Definition erforderlicher Maßnahmen Erstellung der Security Policy Verabschiedung, Umsetzung der Policy Security Consulting GmbH, Karlsruhe Seite 9
Koordination & Zielgruppen Verantwortung für die Erstellung (Informations- / IT-) Sicherheitsbeauftragte(r) Informationsbeschaffung und Koordination Nutzen etablierter Standards Autorisierung der Erstellung Beratung mit allen betroffenen Abteilungen Sichtung bereits bestehender Regelungen Beteiligter Personenkreis Management (Gesamtverantwortung) Mitarbeiter / IT-Betrieb Betriebsrat / Datenschützer / Rechtsabteilung / Revision / Compliance Bei Bedarf externe Unterstützung Versicherungen Wirtschaftsprüfer Weiterführende Links: BSI: http://www.bsi.de/ IT-Grundschutz: http://www.bsi.bund.de/gshb/index.htm ISO/IEC 17799 (BS 7799): http://www.bsi-global.com/ Security Consulting GmbH, Karlsruhe Seite 10
Wichtige Aspekte für f r Regelungen Regelungen sind umfassend und widerspruchsfrei Regelungen sind verbindlich Knappe und präzise Formulierungen Eindeutige Formulierungen Keine Interpretationsspielräume Klare und verständliche Begriffe Umsetzbar, d. h. Orientierung an der Praxis Informationen zur Erstellung von bzw. Beispiele für Site Security Handbook : http://www.rfc-editor.org/rfc/rfc2196.txt The SANS Security Policy Project: http://www.sans.org/resources/policies/ Site Security Policy Development: http://secinf.net/info/policy/auscert.html Georgia Institute of Technology COMPUTER AND NETWORK USAGE POLICY: http://www.security.gatech.edu/policy/usage/policy.html Developing an Information Security Policy: http://www.jisc.ac.uk/index.cfm?name=pub_smbp_infosec BSI: IT-Grundschutzkataloge / Maßnahmenkataloge / M2 Organisation - Maßnahme M2.192 - Erstellung einer IT-Sicherheitsleitlinie: http://www.bsi.bund.de/gshb/deutsch/m/m02192.htm BSI: IT-Grundschutzkataloge / Hilfsmittel / Musterrichtlinien und Beispielkonzepte - http://www.bsi.bund.de/gshb/deutsch/musterrichtlinien/index.htm Security Consulting GmbH, Karlsruhe Seite 11
Formulierungen Begriffsdefinitionen/Terminologie Juristische Formulierungen möglichst vermeiden Angepasst an die Unternehmenskultur Kein Bezug auf spezifische Systeme oder Mitarbeiter Positive Ausdrucksweise, soweit möglich, z. B.: Die Verwendung der Arbeitsplatzrechner ist nur zu dienstlichen Zwecken gestattet. anstatt Die private Nutzung der Arbeitsplatzrechner ist verboten! Sprachliche Abgrenzung von Anforderungen und Empfehlungen muss, soll vs. sollte Security Consulting GmbH, Karlsruhe Seite 12
Mögliche Inhalte Präambel Allgemeines Geltungsbereich Genehmigung und Änderung Sicherheitsziele und - prinzipien Grundsätze der Sicherheit Sicherheitsbewusstsein Sicherheitsprozess Informationssicherheit Beschreibung Regelwerk Grundlagen Security Policy (Ebene 1) Leitlinien und Regelwerke (Ebene 2) Ratgeber und Informationstexte (Ebene 3) Standortspezifische Policies, Arbeitsanweisungen (Ebene 4) Weitere Dokumente Sicherheitshandbuch Notfallhandbuch Allgemeine Regelungen Sicherheitsmanagement Rollen Information Ownership Gremien Verstöße und Sanktionen Glossar Beispiel vom BSI: http://www.bsi.bund.de/gshb/deutsch/musterrichtlinien/index.htm Security Consulting GmbH, Karlsruhe Seite 13
Formelle Aspekte ID Datum Inkrafttreten Titel Kurztitel Erstellungsdatum Seitenzahl Status Version Prüfung Freigabe Datum Außerkrafttreten Nächste Prüfung Ablage Veröffentlichung Anlagen Mitgeltende Regelungen Kommunikation Sprachen Security Consulting GmbH, Karlsruhe Seite 14
Steuerung von Regelungen Sicherheitsregelungen sollten verbindlich für alle Betroffenen sein! Sicherheitsregelungen benötigen Grundlage für die Durchsetzung Freigabe der Leitlinie durch die Geschäftsleitung Delegation der Freigabekompetenz für weitere Regelungen Prozessschritte, die geregelt werden müssen: Erstellung Prüfung Freigabe Ablage Dokumentation Außer Kraft setzen Security Consulting GmbH, Karlsruhe Seite 15
Umsetzung der Policy Verteilung Geeignete Standardinfrastruktur, z. B. browserbasiert Unterstützung durch das Top-Management Unterrichtung / Schulung aller Mitarbeiter Gründe für Regelungen verdeutlichen Informationsschutz-Bewusstsein: Es ist mein Arbeitsplatz, der bedroht ist... Regelmäßige Wiederholung der Schulung Realisierung eines Feedback-Mechanismus Umsetzung beobachten bzw. aktiv begleiten Prozesse für Change Management müssen etabliert sein Regelmäßige Fortschreibung Anpassung an grundlegende Änderungen Konsistenz zwischen Policies wahren Security Consulting GmbH, Karlsruhe Seite 16
Zusammenfassung Erstellung von Policies ist ein eigenständiger Sicherheitsprozess Aufwendiger, umfassender und komplexer Vorgang Bewertung oft schwierig Abgrenzung zu Gesamtbetriebsvereinbarung (GBV) Ohne Leitlinie kein umfassendes, zusammenhängendes Sicherheitskonzept Leitlinie und Richtlinien definieren Mindestanforderungen Umsetzung ist ebenso wichtig wie die Erstellung Regelmäßige Überprüfung der zu schützenden Güter sowie der Bedrohungen und Risiken ist wichtig Das Management muss hinter dem Regelwerk stehen Gute Regelungen schützen das ganze Unternehmen! Beispiele für potentielle Policy-Lücken : Modem-Zugänge werden zunächst als ungefährlich eingestuft, später werden jedoch auch Administrator-Logins per Modem erlaubt. Webserver bzw. Anwendungen werden extern (z. B. von einem Provider) betrieben; es besteht keinerlei Kontrolle über den Betrieb bzw. die Administration dieses Servers bzw. dieser Anwendung (z. B. E-Commerce). Falsche Bewertung einzelner Maßnahmen, z. B. die Länge kryptographischer Schlüssel Generierung neuer Benutzeraccounts ist oft fehlerhaft, weil vom Betriebssystem vorgegebene, automatisierte Skripts eingesetzt werden, die nicht in jedem Fall alle Berechtigungen korrekt vergeben. Löschen alter Benutzeraccounts; dies wird häufig bei der Administration übersehen. Neue Bedrohungen durch (z. B.) neue Projekte; ein hochsensitives Projekt könnte auch neue Angriffsziele bieten. Pocket-PCs der Mitarbeiter (z. B. Palm-PDA) werden immer häufiger für den Datenabgleich mit den Mitarbeiter-PCs synchronisiert ; diese Pocket-PCs werden meist bei der Bestandsaufnahme für ein Sicherheitskonzept ignoriert, obwohl auch hier potentielle Sicherheitslücken (z. B. Multiplattform- Viren) existieren. Security Consulting GmbH, Karlsruhe Seite 17
www.secorvo-college.de Security Consulting GmbH, Karlsruhe Seite 18