ADV-Tagung 3. IT-Sicherheitstagung für Fortgeschrittene Wien 11.Nov. 2010, Austria Trend Hotel Erfahrungsbericht zu Datenschutzprüfungen IT-Sicherheit ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.at Januar 2009
Überblick Allgemeines Situation Erfahrungsbericht Datenschutzprüfungen Strafbestimmungen Zertifizierung Zusammenfassung Seite 2
Allgemeines Seite 3
ZT Wolfgang Prentner IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit seit 1998 Geschäftsführer der ZTPRENTNERIT GmbH, 2001 Vorsitzender der Bundesfachgruppe Informations- Technologie der Bundeskammer der Arch+Ing, 2003 E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker seit 2004 Mitglied der Plattform Digitales Österreich im Bundeskanzleramt seit 2004. Seite 4
Befugnis-Umfang (Ziviltechnikergesetz) Beraten Planen Überprüfen Überwachen Koordinieren Treuhandschaften Urkundsfähigkeit Zertifizierung KEINE ausführenden Tätigkeiten KEINE Störungsbehebung KEIN Vertrieb von Software und Hardware KEINE Interessenskonflikte mit gewerblichen Unternehmen Seite 5
Situation Seite 6
Online Sicherheit On the Internet, nobody knows you are a dog. Seite 7
Realer Terrorismus im Internet Weitere Beispiele: CIO Land, CIO KH, BM LV, aktuelle Bedrohungen wie Stuxnet-Wurm Seite 8
Hacker kaperten Homepage der deutschen Atomlobby http://derstandard.at/1288659923929/hacker-kaperten-homepage-der-deutschen-atomlobby Seite 9
Datenklau Seite 10
ComputerZeitung (D) Seite 11
Neue Bedrohung Professioneller Datenklauer Seite 12
Erfahrungsbericht Datenschutzprüfungen Seite 13
IT-Sicherheitsanforderungen I Seite 14
IT-Sicherheitsanforderungen II Seite 15
Aufwandsverteilung Applikationsanalyse Kommunikationsanalyse Netzwerkanalyse Seite 16
Vorgehensweise Seite 17
INTERNETSICHERHEITSGURT Seite 18
1. E-Spionage Informationen sammeln www.mustermann.at office@mustermann.at Output Netzwerkplan des Ziel-Unternehmens Außensicht des Angreifers Seite 19
1a. E-Spionage Internet Router Ergebnis Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access Seite 20
2. Netzwerk- und Systemsicherheit Seite 21
3. Kommunikation - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) 0000 00 13 19 68 e9 3f 00 12 3f 76 e0 97 08 00 45 00...h.?..?v...E. 0010 02 9b 32 ba 40 00 80 06 3a dd ac 10 01 06 c1 6e..2.@...:...n 0020 1c 41 3d 75 01 bb 31 03 f9 15 b7 d0 09 e7 50 18.A=u..1...P. 0030 ff d1 8d 53 00 00 17 03 01 02 6e cd c5 03 54 3a...S...n...T: 0040 6e 10 f7 95 05 c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d..2.. 0050 4f 3e 04 41 93 c8 8a 65 ba a3 12 91 2f 72 de d6 O>.A...e.../r.. 0060 3c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca 33 65 de <.M...7.F..M.3e. 0070 df 8f 08 6c 08 25 c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w 0080 17 d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go??... 0090 d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb 04.6..0+.R..-/... 00a0 2d 31 63 32 c6 40 16 98 60 70 0b 91 90 0c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d4 18 24 4c 80 b4 6e...8-...0..$L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d1 90 25 df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c 90 25 86 ef 54 4a d2 71 0f 88 40 8c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f0 31 24 67 9d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\... 0100 55 c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Seite 22
(4. Applikationssicherheit) Login/Doing/Logout Authentifikation Autorisierung Session Management SQL-Injection Code-Review Security Path Testen in unfreundlicher Umgebung Auditing Reporting Seite 23
Ergebnisse Seite 24
Technische Sicherheit Arbeitsplatzcomputer Server Firewall Status: nicht ok (hohes Risiko) Status: nicht ok (hohes Risiko) Status: nicht ok (mittleres Risiko) Seite 25
Organisatorische Sicherheit Systemwartung Status: nicht ok (hohes Risiko) Passwort-Handhabung Status: nicht ok (mittleres Risiko) Datensicherung Status: nicht ok (mittleres Risiko) Datenarchivierung Status: nicht ok (mittleres Risiko) Datenträger-Vernichtung Status: ok Virenschutz Status: ok Fernwartung Status: ok Wireless LAN Status: nicht anwendbar Telearbeit bzw. Home-Office Status: nicht anwendbar Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 26
IT-Schwachstellen auf Netzwerkebene Seite 27
IT-Schwachstellen MTTR Seite 28
Rechtliche Aspekte Seite 29
Haftung des IT-Ziviltechniker 1. Öffentliche Urkunde gemäß Ziviltechnikergesetz zum heutigen Stand der Technik 2. Erhöhte Beweiskraft vor Gerichten im Streitfall 3. Haftung insbesondere nach 1299 ABGB für Sachverständigentätigkeit für grobe und leichte Fahrlässigkeit sowie 4. Haftungsübernahme je Schadensfall von 1,5 Mio. Euro durch die Berufshaftpflichtversicherung Seite 30
ZT Zertifikat - Raiffeisen Seite 31
Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 32
Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis 18.890,- Mediengesetz 7 bis 20.000,- Telekommunikationsgesetz 109 bis 58.000,- Seite 33
Top 5 Sicherheitsprobleme 1. Nicht aktueller Patchlevel von Serversoftware Das führt idr zu möglichen Buffer Overflows und weiter evtl. Code Injection, DoS- Angriffen,... 2. Nicht korrekt programmierte Webanwendungen Mögliche Folgen: SQL-Injections, Cross-Site-Scripting,... 3. Falsch oder nicht korrekt konfigurierte Serversoftware nicht immer ein Angriffspunkt, aber oft eine Quelle für Informationen über das System: phpinfo, asp-standard-fehlermeldungen,... (sind eher kleine Sachen, trotzdem...) 4. Verwenden nicht ausreichender Sicherheitsmechanismen Beispiel: Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. 5. Ein Klassiker unbewusst offene Dienste. Es kam immer wieder mal bei einem Kunden vor, dass ein Dienst auf einem System nach außen sichtbar war, der es nicht sein sollte, d.h. die FW war nicht korrekt konfiguriert. Seite 34
Zusammenfassung Seite 35
Sicherheitslevel Seite 36
Nacktscanner Seite 37
Zusammenfassung Der Faktor Mensch als Risiko bleibt bestehen. Sicherheitstechnologie am Stand der Technik, regelmäßige Systemwartung und eine hohe Sicherheitskultur sind gute Bestandteile zum Schutz vor Datenklau. Seite 38
Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 39