Kai Jendrian kai.jendrian@secorvo.de

Ähnliche Dokumente
ITIL & IT-Sicherheit. Michael Storz CN8

Dieter Brunner ISO in der betrieblichen Praxis

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Strukturierte Informationssicherheit

IT Security Investments 2003

GPP Projekte gemeinsam zum Erfolg führen

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Risikoanalyse mit der OCTAVE-Methode

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Sicherheitsaspekte der kommunalen Arbeit

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Lenkung der QM-Dokumentation

BSI Technische Richtlinie

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheitsmanagement

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Avira Server Security Produktupdates. Best Practice

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Lenkung von Dokumenten und Aufzeichnungen. Studienabteilung

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Dokumentenlenkung - Pflicht oder Kür-

SharePoint - Security

Informationssicherheit als Outsourcing Kandidat

Einrichtung eines VPN-Zugangs

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

E i n f ü h r u n g u n d Ü b e r s i c h t

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Qualitätsmanagement. Prozessbeschreibung

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Verwendung des IDS Backup Systems unter Windows 2000

BSI Technische Richtlinie

Lenkung von Dokumenten

Regulatorische Anforderungen an die Entwicklung von Medizinprodukten

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Projekt H.I.D.E. Ralf Watermann (IT-Abteilung) Theo Douwes (Organisation)

Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Datenschutzbeauftragte

Microsoft Office Visio 2007 Infotag SemTalk Thema: Prozessmodellierung

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Security Audits. Ihre IT beim TÜV

Kirchlicher Datenschutz

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Governance und COBIT. DI Eberhard Binder

I.O. BUSINESS. Checkliste Trainerauswahl

Skript Pilotphase für Arbeitsgelegenheiten

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

BSI Technische Richtlinie

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

TeleTrusT-Informationstag "Cyber Crime"

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK

Musterprozesse für das Datenschutzmanagement

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Content Management System mit INTREXX 2002.

Mit Sicherheit gut behandelt.

Dok.-Nr.: Seite 1 von 6

Übung - Konfigurieren einer Windows 7-Firewall

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

Informations- / IT-Sicherheit - Warum eigentlich?

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

IT-Trend-Befragung Xing Community IT Connection

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Informatik und Datenschutz im Bund

Anleitung TUS Port Checker 2.0

Marketing Intelligence Schwierigkeiten bei der Umsetzung. Josef Kolbitsch Manuela Reinisch

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013


Transkript:

IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1

If you haven t got a security policy, you haven t got a firewall. (Quelle: Marcus Ranum, ranum.com) Security Consulting GmbH, Karlsruhe Seite 2

Regelwerke im ISMS-Prozess Externe Vorgaben Strategie Konzeption Umsetzung Betrieb 1. Entwicklung einer Sicherheitsleitlinie 2. Bedrohungs- und Risikoanalyse 3. Sicherheitsvorgaben und -konzepte 4. Realisierung von Sicherheitsmaßnahmen 5. Schulung und Sensibilisierung 6. IT-Sicherheit im laufenden Betrieb Information Security Management Security Consulting GmbH, Karlsruhe Seite 3

Warum ist Informationssicherheit für uns wichtig? Was soll geschützt werden? Wovor soll geschützt werden? Wie sollen Schutzmaßnahmen konkret aussehen? Wie viel Aufwand und Geld bin ich bereit zu investieren? Wie groß ist der Nutzen der Schutzmaßnahmen? Das Paretro-Prinzip: Mit 20% des möglichen Aufwands erzielen Sie 80% des möglichen Ergebnisses Security Consulting GmbH, Karlsruhe Seite 4

Warum? Leitlinie / Security Policy Leitlinie Richtlinien Was? Richtlinien Sicherheitskonzepte Prozess-Anweisungen Arbeits-/Fachanweisungen Service Level Agreements Virenschutz, Backup, Kryptokonzept etc. Wie soll? Vorgaben abteilungsübergreifend, intern, extern Betriebskonzepte Technische Dokumente Systembeschreibungen Wie ist? Umsetzung intern, extern Handlungsempfehlungen Best Practices Standards IT-Grundschutz ISO 27001, ISO 27002 Guides Checklisten Wie könnte? Security Consulting GmbH, Karlsruhe Seite 5

Mögliche Inhalte einer Leitlinie Strategisches Dokument der Geschäftsleitung zur Informations-/IT-Sicherheit Festlegung des Aufbaus und der Kompetenzen einer Sicherheitsorganisation Dokumentation nach innen und außen Beinhaltet (IT-) Sicherheitsziele und strategie Gleichermaßen Anspruch und Aussage Security Consulting GmbH, Karlsruhe Seite 6

Regelungs-Aspekte Motivation und Regelungsgegenstand beschreiben Klare Zieldefinition Klärung der Zielgruppe Definition eines Geltungsbereiches Gültigkeit Umgang mit Ausnahmen Vertraulichkeit und Anhänge Security Consulting GmbH, Karlsruhe Seite 7

Konkretisierende Regelungen Benutzer-Policy Welche Arten von Accounts gibt es? Passwort-Policy Welche Rechten und Pflichten haben diese? Netzwerk-Policy Was ist normaler Netzwerk- Verkehr? Wer darf welche Netzressourcen nutzen? Backup-Policy Welche Daten werden wann gesichert? Wer sichert, verwaltet und überprüft diese Daten? Audit-Policy Was wird wo wie lange protokolliert? Wer hat in welchen Fällen Zugriff auf diese Daten? Antivirus-Policy Zentral vs. dezentral Wie oft aktualisieren? Umgang mit Rechnern, die offline sind? Incident Response Policy Umgang mit (Sicherheits-) Vorfällen Certification Policy PKI Security Consulting GmbH, Karlsruhe Seite 8

Bestimmen des Sicherheitsniveaus Definition allgemeiner Sicherheitsziele Definition spezieller Sicherheitsziele Definition erforderlicher Maßnahmen Erstellung der Security Policy Verabschiedung, Umsetzung der Policy Security Consulting GmbH, Karlsruhe Seite 9

Koordination & Zielgruppen Verantwortung für die Erstellung (Informations- / IT-) Sicherheitsbeauftragte(r) Informationsbeschaffung und Koordination Nutzen etablierter Standards Autorisierung der Erstellung Beratung mit allen betroffenen Abteilungen Sichtung bereits bestehender Regelungen Beteiligter Personenkreis Management (Gesamtverantwortung) Mitarbeiter / IT-Betrieb Betriebsrat / Datenschützer / Rechtsabteilung / Revision / Compliance Bei Bedarf externe Unterstützung Versicherungen Wirtschaftsprüfer Weiterführende Links: BSI: http://www.bsi.de/ IT-Grundschutz: http://www.bsi.bund.de/gshb/index.htm ISO/IEC 17799 (BS 7799): http://www.bsi-global.com/ Security Consulting GmbH, Karlsruhe Seite 10

Wichtige Aspekte für f r Regelungen Regelungen sind umfassend und widerspruchsfrei Regelungen sind verbindlich Knappe und präzise Formulierungen Eindeutige Formulierungen Keine Interpretationsspielräume Klare und verständliche Begriffe Umsetzbar, d. h. Orientierung an der Praxis Informationen zur Erstellung von bzw. Beispiele für Site Security Handbook : http://www.rfc-editor.org/rfc/rfc2196.txt The SANS Security Policy Project: http://www.sans.org/resources/policies/ Site Security Policy Development: http://secinf.net/info/policy/auscert.html Georgia Institute of Technology COMPUTER AND NETWORK USAGE POLICY: http://www.security.gatech.edu/policy/usage/policy.html Developing an Information Security Policy: http://www.jisc.ac.uk/index.cfm?name=pub_smbp_infosec BSI: IT-Grundschutzkataloge / Maßnahmenkataloge / M2 Organisation - Maßnahme M2.192 - Erstellung einer IT-Sicherheitsleitlinie: http://www.bsi.bund.de/gshb/deutsch/m/m02192.htm BSI: IT-Grundschutzkataloge / Hilfsmittel / Musterrichtlinien und Beispielkonzepte - http://www.bsi.bund.de/gshb/deutsch/musterrichtlinien/index.htm Security Consulting GmbH, Karlsruhe Seite 11

Formulierungen Begriffsdefinitionen/Terminologie Juristische Formulierungen möglichst vermeiden Angepasst an die Unternehmenskultur Kein Bezug auf spezifische Systeme oder Mitarbeiter Positive Ausdrucksweise, soweit möglich, z. B.: Die Verwendung der Arbeitsplatzrechner ist nur zu dienstlichen Zwecken gestattet. anstatt Die private Nutzung der Arbeitsplatzrechner ist verboten! Sprachliche Abgrenzung von Anforderungen und Empfehlungen muss, soll vs. sollte Security Consulting GmbH, Karlsruhe Seite 12

Mögliche Inhalte Präambel Allgemeines Geltungsbereich Genehmigung und Änderung Sicherheitsziele und - prinzipien Grundsätze der Sicherheit Sicherheitsbewusstsein Sicherheitsprozess Informationssicherheit Beschreibung Regelwerk Grundlagen Security Policy (Ebene 1) Leitlinien und Regelwerke (Ebene 2) Ratgeber und Informationstexte (Ebene 3) Standortspezifische Policies, Arbeitsanweisungen (Ebene 4) Weitere Dokumente Sicherheitshandbuch Notfallhandbuch Allgemeine Regelungen Sicherheitsmanagement Rollen Information Ownership Gremien Verstöße und Sanktionen Glossar Beispiel vom BSI: http://www.bsi.bund.de/gshb/deutsch/musterrichtlinien/index.htm Security Consulting GmbH, Karlsruhe Seite 13

Formelle Aspekte ID Datum Inkrafttreten Titel Kurztitel Erstellungsdatum Seitenzahl Status Version Prüfung Freigabe Datum Außerkrafttreten Nächste Prüfung Ablage Veröffentlichung Anlagen Mitgeltende Regelungen Kommunikation Sprachen Security Consulting GmbH, Karlsruhe Seite 14

Steuerung von Regelungen Sicherheitsregelungen sollten verbindlich für alle Betroffenen sein! Sicherheitsregelungen benötigen Grundlage für die Durchsetzung Freigabe der Leitlinie durch die Geschäftsleitung Delegation der Freigabekompetenz für weitere Regelungen Prozessschritte, die geregelt werden müssen: Erstellung Prüfung Freigabe Ablage Dokumentation Außer Kraft setzen Security Consulting GmbH, Karlsruhe Seite 15

Umsetzung der Policy Verteilung Geeignete Standardinfrastruktur, z. B. browserbasiert Unterstützung durch das Top-Management Unterrichtung / Schulung aller Mitarbeiter Gründe für Regelungen verdeutlichen Informationsschutz-Bewusstsein: Es ist mein Arbeitsplatz, der bedroht ist... Regelmäßige Wiederholung der Schulung Realisierung eines Feedback-Mechanismus Umsetzung beobachten bzw. aktiv begleiten Prozesse für Change Management müssen etabliert sein Regelmäßige Fortschreibung Anpassung an grundlegende Änderungen Konsistenz zwischen Policies wahren Security Consulting GmbH, Karlsruhe Seite 16

Zusammenfassung Erstellung von Policies ist ein eigenständiger Sicherheitsprozess Aufwendiger, umfassender und komplexer Vorgang Bewertung oft schwierig Abgrenzung zu Gesamtbetriebsvereinbarung (GBV) Ohne Leitlinie kein umfassendes, zusammenhängendes Sicherheitskonzept Leitlinie und Richtlinien definieren Mindestanforderungen Umsetzung ist ebenso wichtig wie die Erstellung Regelmäßige Überprüfung der zu schützenden Güter sowie der Bedrohungen und Risiken ist wichtig Das Management muss hinter dem Regelwerk stehen Gute Regelungen schützen das ganze Unternehmen! Beispiele für potentielle Policy-Lücken : Modem-Zugänge werden zunächst als ungefährlich eingestuft, später werden jedoch auch Administrator-Logins per Modem erlaubt. Webserver bzw. Anwendungen werden extern (z. B. von einem Provider) betrieben; es besteht keinerlei Kontrolle über den Betrieb bzw. die Administration dieses Servers bzw. dieser Anwendung (z. B. E-Commerce). Falsche Bewertung einzelner Maßnahmen, z. B. die Länge kryptographischer Schlüssel Generierung neuer Benutzeraccounts ist oft fehlerhaft, weil vom Betriebssystem vorgegebene, automatisierte Skripts eingesetzt werden, die nicht in jedem Fall alle Berechtigungen korrekt vergeben. Löschen alter Benutzeraccounts; dies wird häufig bei der Administration übersehen. Neue Bedrohungen durch (z. B.) neue Projekte; ein hochsensitives Projekt könnte auch neue Angriffsziele bieten. Pocket-PCs der Mitarbeiter (z. B. Palm-PDA) werden immer häufiger für den Datenabgleich mit den Mitarbeiter-PCs synchronisiert ; diese Pocket-PCs werden meist bei der Bestandsaufnahme für ein Sicherheitskonzept ignoriert, obwohl auch hier potentielle Sicherheitslücken (z. B. Multiplattform- Viren) existieren. Security Consulting GmbH, Karlsruhe Seite 17

www.secorvo-college.de Security Consulting GmbH, Karlsruhe Seite 18

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback