Datensicherheit - Lautlose Attacken von innen und außen Wie kann sich Ihr Unternehmen gegen virtuelle Angriffe schützen? 1 / 30
Headlines Computervirus soll iranische Netzwerke ausgespäht haben (FAZ; 20.06.2011); Nato kämpft gegen Flut von Cyber-Attacken (SPON; 24.04.2012); US-Geheimdienst will chinesische Hacker identifiziert haben (Wall Street Journal; 13.12.2011); Lieferheld gegen Lieferando - DoS-Attacken im Konkurrenzkampf zwischen Pizzaplattformen (SPON; 23.04.2012); DDoS-Attacke gegen israelische Börse und Fluglinie (Golem; 16.01.2012); AutoCAD-Wurm schickt Dateien nach China (Golem; 25.06.2012); 2 / 30
Agenda Grundlagen Felder der IT Sicherheit Physik Basisschutz auf jeder IT-Schicht Datenabflusskanäle Cloud Computing Stabile Schritte 3 / 30
Unterschied Datenschutz und Datensicherheit Datenschutz: Schutz der informationellen Selbstbestimmung von Personen 4 / 30 Datensicherheit: Verhinderung von Datenverlust, Datendiebstahl und Datenverfälschung Datenschutz setzt ein funktionierende Datensicherheit voraus. Datenschutz und Datensicherheit stehen jedoch in einem systematischen Spannungsverhältnis Datenschutz: Jede Organisation ist ein möglicher Angreifer! (Sicherheitsbehörden, Verwaltungen, Versicherung, SocialNetwork-Provider ) Folge: Die Organisation muss (jederzeit) prüffähig nachweisen (können), dass sie kein Angreifer ist, sich an die Regeln hält und die dazugehörigen Verfahren und Prozesse beherrscht. Datensicherheit: Jede Person ist ein möglicher Angreifer! (Hacker, Kunden, Mitbewerber, (ehemalige) Mitarbeiter ) => Folge: Die Person muss nachweisen, dass sie kein Angreifer ist und dass sie ggf. mit Zugriff auf/über ihre Person rechnen muss.
Grundwerte der IT-Sicherheit Verfügbarkeit IT-Service ist verfügbar wenn benötigt Vertraulichkeit Schutz vor Preisgabe von Informationen an unbefugte Personen oder Systeme Integrität Schutz vor unbefugter Veränderung oder Löschung von Informationen 5 / 30
Kosten-Risiko-Bewertung Kosten der Absicherung Niedrig Hoch Risiko akzeptieren (nicht einfach) Niedrigste Priorität Schwierige Fälle! Sofort absichern Akzeptabel Inakzeptabel Risiko ( downside risk ) Massiv in Sicherheitsmaßnahmen investieren? Versicherung kaufen? Geschäftsstrategie/ -Ziele ändern? Security is a set of tradeoffs : Bewusste Entscheidung, gegen welche Risiken man sich zu welchen Kosten absichert Quelle: nach Dan Geer, The Evolution of Security, ACM Queue, April 2007, S. 30 35. 6 / 30
Sicherheit als ökonomisches Optimierungsproblem Kosten Gesamtkosten Erwartete Kosten des Versagens Optimum Sicherheitsniveau Quelle: nach Dan Geer, The Evolution of Security, ACM Queue, April 2007, S. 30 35. 7 / 30
Beispiel: Verfügbarkeit einer Web-Applikation Die Bereitstellung einer Web-Applikation wird von mehreren Komponenten gemeinsam erbracht und müssen alle gleichzeitig verfügbar sein. Komponente 1 98% verfügbar Komponente 2 98% verfügbar Komponente 3 98% verfügbar Komponente 4 98% verfügbar Komponente 5 98% verfügbar OK Storage Datenbank Applikation Webserver Netzwerk Service-Verfügbarkeit: 0,98 5 = 0,90 und mit nur 5 Komponenten läuft heute kaum eine reale Web-Applikation 8 / 30
IT-Grundschutz Schichtenmodell 7. Anwendungen incl. Anwendungsobjekte 6. Plattformen (z.b. Datenbankserver) 5. User-Informationen 4. Betriebssysteme 3. Hardware 2. Netzwerkstruktur und Komponenten 1. Facilities (Gebäude, Rechenzentren,...) 9 / 30
Agenda Grundlagen Felder der IT Sicherheit Physik Basisschutz auf jeder IT-Schicht Datenabflusskanäle Cloud Computing (Schatten IT) Stabile Schritte 10 / 30
11 / 30 Physikalische Sicherheit
Raumbedingungen bestimmen das erreichbare physikalische Schutzniveau Typische Raumsituationen: Kein eigener Raum Besenkammer Serverraum RZ Stufe 1 4 Arbeitsplätze Büro/mobil/zu Hause Elementare Gerfährdungen: Feuer, Wasser, Klima, Staub Strom Zutritt / Zugang Netzwerk-, Leitungstechnik 1. Facilities (Gebäude, Rechenzentren,...) 12 / 30
13 / 30 Grundschutz
IT-Grundschutz 14 / 30 2. Netzwerkstruktur und Komponenten Firewall Switche, Router Speichersysteme (NAS, SAN); Datensicherung 3. Hardware Hardware Maintenance (Ersatzteilversorgung / Reaktionszeit) Redundante Komponenten (Festplatten, RAID) Recovery-Test 4. Betriebssysteme Software Update und Patchmanagement Laufende Überwachung von Diensten, Protokollen und Speichermedien Virenscanner
15 / 30 Datenabflusskanäle
16 / 30 Zahlreiche Möglichkeiten
aktueller Trend: dienstliche Nutzung privater Endgeräte Engl.: Bring-your-own-device (BOYD), consumerization of IT Früher: strikte Trennung Unternehmens IT private IT Zukünftig: Mitarbeiter (digital natives) wollen z. B. Smart-Phones und Tablet-PC s auch betrieblich nutzen. Aber: Privates und dienstliches wird vermischt geltende Sicherheitsstandards werden schleichend unterlaufen 17 / 30
IT-Organisatorische Vorüberlegungen Ist Wahlfreiheit von Endgeräten ein Anreiz? Welche Personen dürfen das? Sind Betrieb und Wartung der Geräte geregelt? Zugang / Zugriffe in das Firmennetz, d.h. Gruppenrichtlinien, Berechtigungen in der Verzeichnisdiensten bestimmt? Gesicherte Kommunikation über Verschlüsselung, Authentifizierung, Virenschutz hergestellt? Datenschutz: Backup ggf. mit privaten Daten abgestimmt? Lizenzfragen geklärt? Betriebsvereinbarung zur Nutzung geschlossen? 18 / 30
Maßnahmen Organisatorische Maßnahme Prävention Vertragsvereinbarung, Organisationsanweisung Schadensbegrenzung Notfallhandbuch PR/Kommunikationsplan Passiver Schutz Logging, Videoaufzeichnung Aktiver Schutz Sperren Recovery Juristische Verfolgung, Schadenersatz 19 / 30
20 / 30 Cloud Computing
Cloud Computing - Risiken Typische Aussage: Cloud Computing ist nicht sicher! Im Vergleich zum Ausgangsniveau des KMU ist die Datensicherheit beim Cloud Anbieter i.d.r. deutlich höher. Sicherheit ist zentraler Bestandteil des Geschäftsmodells. Mögliche Risiken sind: Verlust der Verfügungsgewalt und Abhängigkeit vom Cloud Anbieter Fehler bei Datenhaltung in mandantenfähigen Programmen (isolation failure) Gesetzeskonformität kann nicht eingehalten werden Administrations- bzw. Managementzugang wird kompromittiert Sichere Datenspeicherung und Datenlöschung Angriff durch böswillige Insider vgl. Fraunhofer SIT (2009); ENSIA (2009) 21 / 30
Cloud Computing Hinweise Service Level Agreement passt zum Bedarf Standort des Rechenzentrums ist auswählbar (z. B. Deutschland) Zertifikate zu Datenschutz und Datensicherheit DIN ISO 27001 (Informationssicherheits-Managementsystem) TÜViT Level 3 TIER III Classfication Uptime Institute SAS 70 Statement of Auditing Standards; Service Organizations; American Institute of Certified Public Accountants (AICPA) 22 / 30
Stichwort Schatten IT Schatten IT sind Anwendungen und Applikationen, die in den Fachabteilungen autonom eingeführt und genutzt werden, i.d. R. ohne Wissen, Zustimmung und Unterstützung der Unternehmensleitung und/oder IT Abteilung. Soziale Software (z.b. Skype, Twitter, Doodle ) Eigenentwicklungen auf Basis Excel, Access Tools (WebMail; Dropbox, AnyDo, ) Spezial Anwendungen als Software as a Service (SaaS) Gelebte IT-Autonomie der Fachbereiche gegen zentralistische IT Nutzungsrichtlinien. 23 / 30
Risiken der Schatten IT Umgehung der Datensicherheit (Compliance), z. B. Upload von Unternehmensdaten in eine Cloud Anwendung; Verfügbarkeit nicht gesichert (fehlendes Service Level Agreement). Risikomanagement geschäftskritische Prozesse und Anwendungen, z. B. Wichtige Kennzahlen werden mit selbstentwickelter Anwendung des Controllers erstellt. Die Datenabfrage legt (jedes Mal) Datenbankserver und Netzwerk lahm. Bei Migration und Integration von Systemen kommt es zu Überraschungen. Ressourcenengpässe und Budgetrestriktionen der internen IT führen zur Selbsthilfe und versteckten Kosten durch geringere Qualität und zweckfremder Aktivitäten in den Fachabteilungen. 24 / 30
Chancen der Schatten IT Hohe IT Innovationsrate Fachabteilungen setzen unmittelbar lösungsorientiert den Mehrnutzen durch IT im operativen Geschäft um. Fokussierung auf Prozesse Entwicklung von aufgabenorientierte Lösungen mit besonderer Ausrichtung auf die interne Organisation. Hohe Benutzerzufriedenheit Die Ausrichtung auf die Bedürfnisse der Benutzer macht der Lösungsauswahl Betroffene zu Beteiligten und führt zu einer schneller Akzeptanz der Anwendungen. 25 / 30
Beispiel IBM Wahlfreiheit bei Endgeräten Verbot von bestimmten Diensten z.b. Dropbox und Spracherkennung Siri Erlaubt sind Apps zur Selbstorganisation Endgeräte von Führungskräften werden verschlüsselt Mobile Device Management Software für Trennung von Unternehmensdaten und Privatem Sicheres Verwalten und Verteilen von Software und Daten Überwachen und Kontrollieren vertraulicher Datenübertragung Steuern und Verwaltung von Sicherheitszertifikaten Quelle: IT-Director 6/2012 26 / 30
Agenda Grundlagen Felder der IT Sicherheit Physik Basisschutz auf jeder IT-Schicht Datenabflusskanäle Cloud Computing (Schatten IT) Stabile Schritte 27 / 30
Maßnahmen 1. Analyse potenzielle Gefahren und Bewertung (von Elementar zur Einzelgefährdungen) 2. Bestimmung der Sicherheitsziele 3. Entwurf einer IT Sicherheitsrichtlinie 4. Erstellung einer Übersicht über die Systemlandschaft 5. Ermittlung des Schutzbedarfs (Verfügbarkeit, Vertraulichkeit, Integrität) 6. Bestimmung und Planung der Maßnahmen 7. Kommunikation der Sicherheitsregeln für Mitarbeitern 8. Umsetzung und Kontrolle 28 / 30
1. Unilab in 30 Sek Zielgruppe: regionaler Mittelstand Zielgruppe: ISVs, bundesweit Zielgruppe: Kunden, bundesweit Zielgruppe: SME, Industriekunden ITK Onsite VIP-Service Infrastructure as a Service (IaaS) Trainings für Partner Campus, PTM, SPE Qualitätssicherung Hardware / Software ITK Remote VIP-Service Software as a Service (SaaS) Projektbetreuung (SAM, ITIL) Entwicklung Hardware / Software Vertrieb/Handel ITK- Markenhersteller Forschungsförderung IT Strategie Beratung ITK-Check, Marketing & SPP 29 / 30
Kontakt Dr. Lars Kemper unilab AG Technologiepark 34 33100 Paderborn Tel.: (0 52 51) 16 56-0 Fax: (0 52 51) 16 56-526 Lars.Kemper@unilab.de 30 / 30
IT-Sicherheit 51. Hammer Managementseminar 04. Juli 2012 Datensicherheit: Lautlose Attacken von innen und außen Christopher Brune unilab Systemhaus GmbH Geschäftsbereich: Training & Consulting
Agenda Referenzprojekt Endpoint- Security Quick-Check für Ihr Unternehmen Elemente im IT- Grundschutz & Anbieterkompass
Elemente im IT-Grundschutz 6. Plattformen (z.b. Middleware) 5. User- Informationen 4. Betriebssysteme Mobile-Security Endpoint-Security Antivirus und Antispam 3. Hardware 2. Netzwerkstruktur und -komponenten Backupsoftware inkl. Recoverytest Firewall Router und Switches
Elemente im IT-Grundschutz Absicherung gegen unberechtigte Zugriffe (z.b. VLANs, NAC) Router und Switches (Redundante) Anbindung von IT- Arbeitsplätzen Sichere Vernetzung zwischen Netzwerken
Elemente im IT-Grundschutz Absicherung gegenüber unautorisierten Externen Firewalls Sicherheit auf Portund/oder Paketebene Einsatz als VPN- Gateway und Proxy- Server möglich
Elemente im IT-Grundschutz Disaster Recovery Backupsoftware Schutz vor schlechter Software bzw. Updates Fortlaufende Sicherung der relevanten Daten
Elemente im IT-Grundschutz Absicherung gegen Schadsoftware Antivirus/ Antispam Zugriffschutz bei gefährlichen Webseiten Schutz vor Phishing- Attacken
Elemente im IT-Grundschutz Absicherung der IT-Arbeitsplätze, z.b. Festplattenverschlüsselung Endpoint- Security Kontrolle der Schnittstellen Gerichtsfeste Verfolgbarkeit der Benutzeraktivitäten
Elemente im IT-Grundschutz Umsetzung von Richtlinien auch auf mobilen Geräten Mobile- Security Absicherung mobiler Geräte Schutz vor ungewollten Zugriff
Anbieterkompass & IT-Grundschutz 6. Plattformen (z.b. Middleware) 5. User- Informationen 4. Betriebssysteme 3. Hardware 2. Netzwerkstruktur und -komponenten
Anbieterkompass & IT-Grundschutz 6. Plattformen (z.b. Middleware) 5. User- Informationen 4. Betriebssysteme 3. Hardware 2. Netzwerkstruktur und -komponenten
Agenda Referenzprojekt Endpoint- Security Quick-Check für Ihr Unternehmen Elemente im IT- Grundschutz & Anbieterkompass
Referenzprojekt Endpoint-Security Aber: Keine gerichtsfeste Verfolgbarkeit über die Benutzeraktivitäten, keine stichhaltigen Beweise Verdacht: Ehemalige Mitarbeiter haben Daten unbefugt außer Haus geschafft Hohe Fluktuation im mittleren Management (Maschinenbauer mit ca. 110 IT-Usern)
Referenzprojekt Endpoint-Security Kontaktaufnahme zu einem Institut, das spezialisiert ist auf IT-Forensik Forensische Datensicherstellung und forensische Datenwiederherstellung von jeweils zwei Festplatten im Labor (4.000,00 Euro) Einhaltung der Beweiskette für ein mögliches Gerichtsverfahren
Referenzprojekt Endpoint-Security Systematische Analyse der im Unternehmen identifizierten Datenabflusswege Einstufung des gegenwärtigen Schutzniveaus Definition des notwendigen/ gewünschten Schutzniveaus
Referenzprojekt Endpoint-Security
Referenzprojekt Endpoint-Security Einführung einer Lösung für die Endpoint- Security Implementierung einer hardwarebasierenden Lösung zur E-Mail-Archivierung Verstärktes Regelwerk für die Internetnutzung bzw. des eingesetzten Webfilters
Agenda Referenzprojekt Endpoint- Security Quick-Check für Ihr Unternehmen Elemente im IT- Grundschutz & Anbieterkompass
Quick-Check Fragebogen mit Beispielfragen aus den Kernbereichen der IT-Sicherheit Schneller Überblick über den Reifegrad bzw. Dringlichkeit konkreter Maßnahmen Bewusstsein bei allen Beteiligten schaffen
Quick-Check Fragen 1/2 Haben Sie ein vollständiges und ausgelagertes Backup der unternehmensrelevanten Daten? Wird die Rücksicherung der Backups in regelmäßigen Abständen getestet und dokumentiert? Können Sie gewährleisten, dass alle eingesetzten Betriebssysteme auf dem jeweils aktuellsten Stand sind und dass diese regelmäßig aktualisiert werden? Haben Sie Vorkehrungen gegen mögliche Katastrophen getroffen (z.b. durch einen Notfallplan)? Können Sie gewährleisten, dass Sie gegen Attacken auf Ihr Unternehmen ausreichend geschützt sind?
Quick-Check Fragen 2/2 Existiert ein allen Mitarbeitern kommunizierter Prozess bei Verlust und/oder Diebstahl von mobilen Geräten? Können Sie im Zweifelsfall gerichtsfest nachweisen, ob ein unerlaubter Datenabfluss stattgefunden hat und wer diesen zu verantworten hat? Sind die mobilen Geräte (z.b. Smartphones und Notebooks) in das Sicherheitskonzept eingebunden (Virenscanner, Zugriffsschutz, etc.)? Ist in Ihrem Unternehmen ein Berechtigungskonzept für den Zugriff auf gemeinsam genutzte Daten vorhanden? Schließen Sie mit Ihren Dienstleistern Geheimhaltungsvereinbarungen ab?
Weitführende Informationen zu Quick-Checks http://www.hannoverit.de/itcheck.php http://www.it-compliance-check.ch/ https://www.datev.de/dosc/start.jsp?zg=ext http://www.kmu-sicherheit.eu/login.cfm?step=show
Ihre Fragen? Herzlichen Dank für Ihre Aufmerksamkeit!
Kontakt Christopher Brune unilab Systemhaus GmbH Technologiepark 34 33100 Paderborn Tel.: 05251 1656-117 Fax: 05251 1656-127 E-Mail: christopher.brune@unilab.de