Die drei Säulen der IT-Sicherheit - Technik - Organisation / Recht - Mensch / Awareness Bernhard Esslinger Quelle: www.spiegel.de IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 2
Bedroht werden die Daten durch: Unternehmensdaten IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 3 IT-Sicherheit Was bedeutet das? Die Ziele Die Ziele der IT-Sicherheit 1. Verfügbarkeit 2. Vertraulichkeit 3. Integrität / Authentizität 4. Nicht-Abstreitbarkeit 5. Einklang mit den Firmenzielen / Risiko-Management 6. Kosteneffizienz 7. Erfüllen gesetzlicher Auflagen Sicherheit ist wie Qualität ein Erfüllungsgehilfe zur Erreichung der eigentlichen Firmenziele. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 4
Grundlegende Sicherheitsanforderungen Authentisierung Partner können sich gegenseitig eindeutig identifizieren. Verschlüsselung Informationen und Daten sind vor dem Zugriff Dritter gesichert. Integrität Datenmanipulationen während und nach der Transaktion sind ausgeschlossen bzw. werden transparent. Nicht-Abstreitbarkeit Interoperabilität Einzelne signierte Transaktionen können nicht geleugnet werden und sind somit rechtlich bindend. Weltweit einheitliche Systeme, Schnittstellen, Regeln, Prozesse und Verträge. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 5 IT-Sicherheit Was bedeutet das? Die 3 Säulen der IT-Sicherheit IT-Sicherheit ist normalerweise nicht das Kerngeschäft, aber wichtig aufgrund von: Operativen Risiken Reputation und Vertrauen im Markt Erfüllen nationaler und internationaler Gesetze Die drei klassischen Säulen der IT-Sicherheit: 1. Technologie (incl. Kryptographie) 2. Organisation / Rechtliche Aspekte 3. Menschen / Awareness (Psychologie, Verständnis, Standhaftigkeit gegen Social Engineering, ) Die Sicherheitsstrategie ist keine Insellösung. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 6
Säule 1: Technik Physische Sicherheit Zutrittseinrichtungen Video-Überwachung Brandschutzwände Technische Verfahren Firewallkonzept Verbindungen zu Geschäftspartnern Verbindungen ins Internet Fernverbindungen für Mitarbeiter Lokale Firewall auf Arbeitsplatz-Rechnern Betriebskonzept: Virenschutz Spam-Schutz Monitoring Konzept Eventmonitoring / Intrusion Detection (Erkennung von Eindringlingen) Stausmonitoring Backup und Notfall Konzepte Standby-Systeme Daten-Replikation IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 7 Säule 2: Organisation Organisatorische Regelungen Backup Zuständigkeiten Katastrophen-/Notfallplan Zugangs- und Zugriffsverwaltung Change-Prozess Problem-Management CERT-Team Festlegung von Standard Infrastruktur-Komponenten Proaktives Monitoren von Sicherheitsindikatoren IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 8
Säule 3: Mensch / Awareness Mensch / Awareness Schulung, Verständnis Passwort Gesprochenes Wort, Indiskretion Email (Governance, -Hygiene) Laptop, Heimarbeitsplatz Mobile Endgeräte (Mobile/Handy, Blackberry etc.) Papier (Hauspost, Fax. etc.) und Datenträger Internetzugang Zutrittsregelung/Mitarbeiterausweis Konferenztechnik Security-/Datenschutzorganisation IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 9 Awareness Motivation und Wissen für Mitarbeiter Motivation Es sind seine Daten und seine Arbeit; es ist seine Firma und sein Arbeitsplatz Konkrete Tipps, was zu tun ist, und was passieren kann Vorführen, erfahrbar machen, wie leicht etwas kompromittiert werden kann: Trojanische Pferde, DoS, schlechte Passworte, non-compliant Prozesse Richtlinien Konkret, positiv, nicht zu abstrakt (z.b. alle sensitiven Übertragungen über öffentliche Netze sind zu verschlüsseln; die Mitarbeiter dürfen unter keinen Umständen ihr Passwort weitergeben ("statt jeder Mitarbeiter hat auf sein Passwort zu achten") Feedback / Training Hotline, Infos zu Bedrohungen, über die die Medien berichten, FAQs zu Kampagnen den täglich-korrekten Umgang überwachen/erzwingen, die Notwendigkeit aufzeigen Benutzbarkeit Easy to use, ohne den täglichen Arbeitsablauf zu beeinträchtigen Nicht zu restriktiv sonst zu teuer oder umgangen (z.b. Passworte: zu lang, zu oft zu wechseln) Ausbildungsplan (Allgemeinverständnis, zielgruppen-orientiert, Tipps und Tricks) Die Menschen sind der wesentliche Teil jeder Security-Maßnahme. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 10
Beispiel: Passwörter Passwortwahl Gute Passwörter sind mindestens 8 Zeichen lang enthalten Groß/Klein geschriebene Zeichen (oder auch Ziffern) stehen nicht im Wörterbuch Solche Passwörter denkt man sich mit einer Strategie aus. Empfehlung: Ein Passwort aus einem Satz bilden. Die Anfangsbuchstaben der Wörter im Satz (Groß/Klein Schreibung beachten) bilden das Passwort. Beispiel: Bitte gute Passwörter mit mindestens 8 Zeichen wählen. (BgPmm8Zw) IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 11 Beispiel: Wissen über Kryptographie Digitale Signaturen // www.cryptool.de, www.cryptool.org IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 12
Beispiel: Stärkung des Sicherheits-Bewusstseins - Plakate - Tischkalender - Rätsel und Gewinnspiele - Informationsveranstaltungen - Beiträge in Firmenzeitschriften - usw. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 13 Wer soll die Verantwortung tragen? Stufe 1 Aktiv: Die Geschäftsführung 1) Festlegung der Unternehmensprinzipien 2) Kommunikation der Unternehmensprinzipien 3) Bereitstellung von Budget Stufe 2 Aktiv: Der Geschäftsbereich 1) Bewertung der Kritikalität der Informationen 2) Beauftragung der IT-Risiko-Analyse 3) Bereitstellung von Budget Stufe 3 Aktiv: Der IT-Bereich 1) Beurteilung der eingesetzten Technologie 2) Bereitstellung geeigneter System- Komponenten IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 14
Und wer trägt noch die Verantwortung? Jeder von uns! Aufgaben: User-ID / Password geheim halten. Vertrauliche Dokumente nicht unbeaufsichtigt liegen lassen. Geschäftliche Interna nicht an öffentlichen Plätzen besprechen. Sorgsamer Umgang mit Mails und beim Surfen im Internet. usw. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 15 Policies, Standards und Richtlinien Policies Inhalt: - Grundlegende Aussagen - Definition zu Rollen und Verantwortlichkeiten - Basis für detailliertere Standards Standards Inhalt: - Grundlegende Anforderungen für Bereiche Beispiele: Betriebssystem-Standard, Applikations-Standard, Richtlinien Inhalt: -Implementierungs-Details Beispiele: Richtlinien für Linux, MS Windows, Oracle, DB2, IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 16
Sicherheitsmanagement / Information Risk-Lifecycle Risiko-Identifikation Risiko-Messung Risiko-Evaluierung Risiko-Inventory Eintrittswahrscheinlichkeit Schwere des Risikos Maßnahmen Status Monitoring Steuerung der Behebung Risiko-Report Risiko-Monitoring Verhindern / Reduzieren Transferieren des finanz. Risikos Eigen-Übernahme des Risikos Risiko-Behebung IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 17 Praxis: Bedienung aus Benutzersicht Sicherer E-Mail Empfang und Versand (nach S/MIME-Standard) Ampel signalisiert: signierte S/MIME E-Mail Grüne Ampel = Signaturprüfung erfolgreich Symbol kann von außen nicht gefälscht werden. (Ampelsymbol kann nur innerhalb der Notesinfrastruktur erzeugt werden.) IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 18
European Bridge-CA Initiative (EB-CA) Public-Private-Partnerschaft für sichere E-Mail Ziel der EB-CA ist es, auf pragmatische und sichere Weise Interoperabilität zu schaffen und die existierenden PKI-Inseln zu verbinden. http://www.bridge-ca.com IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 19 Ausgewogene Hilfsmittel Regelmäßige BAkups Aktuelle Sicherheitssoftware Aktuelle Patches Gut ausgebildete/bezahlte Administratoren Sicherheitsstrategie Policies, Standards und Richtlinien Tools und Checklisten Unterstützung durch Sicherheitsbeauftragte Schulungen Awareness-Kampagnen Proaktives Monitoren von Sicherheitsindikatoren und aktive Steuerung Angemessene IT-Sicherheit ist machbar und finanzierbar. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 20
Link-Sammlung IT-Grundschutz-Handbuch www.bsi.de/gshb/index.htm Leitfaden IT-Sicherheit www.bsi.de/gshb/leitfaden/index.htm NRW-Forum www.secure-it.nrw.de Bundesdatenschutz-Gesetz www.bfd.bund.de/information/bdsg.pdf Basel II www.bis.org CERT Coordination Center www.cert.org Risiko-Management www.risknet.de Sicherheits-Infos www.sans.org/top20 Heise-Online www.heise.de/security elearning-programm Kryptologie www.cryptool.de Kontakt: bernhard.esslinger@db.com - Deutsche Bank AG - Universität Siegen, Fachbereich 5 Wirtschaftsinformatik - Leiter des CrypTool-Projektes IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 21