Die drei Säulen der IT-Sicherheit



Ähnliche Dokumente
Kundeninformationen zur Sicheren

ITIL & IT-Sicherheit. Michael Storz CN8

Infrastruktur: Vertrauen herstellen, Zertifikate finden

GPP Projekte gemeinsam zum Erfolg führen

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

-Verschlüsselung viel einfacher als Sie denken!

Sicherheit im IT Umfeld

Sicherheitsaspekte der kommunalen Arbeit

HISPRO ein Service-Angebot von HIS

Verschlüsselte Kommunikation und Datensicherung

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Stadt-Sparkasse Solingen. Kundeninformation zur "Sicheren "

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Checkliste zur Planung einer Webseite

Zugriff auf Unternehmensdaten über Mobilgeräte

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

Checkliste wie schütze ich meinen account

Februar Newsletter der all4it AG

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud

Datenschutz und Datensicherheit in mittelständischen Betrieben

Weiterleitung einrichten für eine GMX- -Adresse

5 Jahre Computer Emergency Response Team der Bundeswehr (CERTBw) eine Bilanz

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Kurzanleitung zur sicheren -Kommunikation

Kundenleitfaden zur Sicheren per WebMail

Secure Ausführliche Kundeninformation

Verwendung des IDS Backup Systems unter Windows 2000

Ausgewählte Rechtsfragen der IT-Security

Informatik für Ökonomen II HS 09

Sparkasse Duisburg. versenden aber sicher! Sichere . Anwendungsleitfaden für Kunden

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Das Secure -System der Hamburger Sparkasse

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Jeder in Deutschland soll ab Mitte 2016 ein Konto eröffnen können.

Leichte-Sprache-Bilder

ecure usführliche Kundeninformation

Erstellen einer digitalen Signatur für Adobe-Formulare

Social Media Guidelines. Miriam Nanzka, Hohenzollern SIEBEN

-Verschlüsselung

Microsoft Office 365 Outlook 2010 Arbeitsplatz einrichten

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Secure Ausführliche Kundeninformation

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Machen Sie Ihre Kunden zu Botschaftern Ihrer Marke! Real Bau

Cryptoparty: Einführung

Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Online Data Protection

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Mit Sicherheit gut behandelt.

Windows wird nicht mehr unterstützt Was bedeutet das? Was muss unternommen werden? Compi-Treff vom 9. Mai 2014 Thomas Sigg

OpenMAP WEBDrive Konfiguration. Oxinia GmbH , Version 1

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

-Verschlüsselung wer muss wann s verschlüsseln rechtliche Anforderungen an die Sicherheit von E- Mails

Dezentrale Verschlüsselung. Lumension Device Control Version 4.4

Mobility: Hoher Nutzen

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

SMART Newsletter Education Solutions April 2015

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Konzentration auf s Wesentliche

Einstellen der Makrosicherheit in Microsoft Word

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Wir machen neue Politik für Baden-Württemberg

Stephan Groth (Bereichsleiter IT-Security) CIO Solutions. Zentrale -Verschlüsselung und Signatur

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Fragen und Antworten

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

-Verschlüsselung mit S/MIME

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Naturgewalten & Risikoempfinden

Die Post hat eine Umfrage gemacht

Leitfaden zur Nutzung von binder CryptShare

Das Verkaufsspiel. Spielerisch verkaufen trainieren.

e-books aus der EBL-Datenbank

Microsoft Office 365 Kalenderfreigabe

Gönner der Junioren. Patenschaft für Tennistalente. im Freiamt

Andreas Brill Geschäftsführer

Alle gehören dazu. Vorwort

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Rechtssichere -Archivierung

Verschlüsselung von Daten mit TrueCrypt

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Microsoft Office 365 Benutzerkonten anlegen

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser


IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Key Management für ETCS

Patch Management mit

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Wolfgang Straßer. Unternehmenssicherheit in der Praxis. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

Ihren Kundendienst effektiver machen

Transkript:

Die drei Säulen der IT-Sicherheit - Technik - Organisation / Recht - Mensch / Awareness Bernhard Esslinger Quelle: www.spiegel.de IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 2

Bedroht werden die Daten durch: Unternehmensdaten IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 3 IT-Sicherheit Was bedeutet das? Die Ziele Die Ziele der IT-Sicherheit 1. Verfügbarkeit 2. Vertraulichkeit 3. Integrität / Authentizität 4. Nicht-Abstreitbarkeit 5. Einklang mit den Firmenzielen / Risiko-Management 6. Kosteneffizienz 7. Erfüllen gesetzlicher Auflagen Sicherheit ist wie Qualität ein Erfüllungsgehilfe zur Erreichung der eigentlichen Firmenziele. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 4

Grundlegende Sicherheitsanforderungen Authentisierung Partner können sich gegenseitig eindeutig identifizieren. Verschlüsselung Informationen und Daten sind vor dem Zugriff Dritter gesichert. Integrität Datenmanipulationen während und nach der Transaktion sind ausgeschlossen bzw. werden transparent. Nicht-Abstreitbarkeit Interoperabilität Einzelne signierte Transaktionen können nicht geleugnet werden und sind somit rechtlich bindend. Weltweit einheitliche Systeme, Schnittstellen, Regeln, Prozesse und Verträge. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 5 IT-Sicherheit Was bedeutet das? Die 3 Säulen der IT-Sicherheit IT-Sicherheit ist normalerweise nicht das Kerngeschäft, aber wichtig aufgrund von: Operativen Risiken Reputation und Vertrauen im Markt Erfüllen nationaler und internationaler Gesetze Die drei klassischen Säulen der IT-Sicherheit: 1. Technologie (incl. Kryptographie) 2. Organisation / Rechtliche Aspekte 3. Menschen / Awareness (Psychologie, Verständnis, Standhaftigkeit gegen Social Engineering, ) Die Sicherheitsstrategie ist keine Insellösung. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 6

Säule 1: Technik Physische Sicherheit Zutrittseinrichtungen Video-Überwachung Brandschutzwände Technische Verfahren Firewallkonzept Verbindungen zu Geschäftspartnern Verbindungen ins Internet Fernverbindungen für Mitarbeiter Lokale Firewall auf Arbeitsplatz-Rechnern Betriebskonzept: Virenschutz Spam-Schutz Monitoring Konzept Eventmonitoring / Intrusion Detection (Erkennung von Eindringlingen) Stausmonitoring Backup und Notfall Konzepte Standby-Systeme Daten-Replikation IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 7 Säule 2: Organisation Organisatorische Regelungen Backup Zuständigkeiten Katastrophen-/Notfallplan Zugangs- und Zugriffsverwaltung Change-Prozess Problem-Management CERT-Team Festlegung von Standard Infrastruktur-Komponenten Proaktives Monitoren von Sicherheitsindikatoren IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 8

Säule 3: Mensch / Awareness Mensch / Awareness Schulung, Verständnis Passwort Gesprochenes Wort, Indiskretion Email (Governance, -Hygiene) Laptop, Heimarbeitsplatz Mobile Endgeräte (Mobile/Handy, Blackberry etc.) Papier (Hauspost, Fax. etc.) und Datenträger Internetzugang Zutrittsregelung/Mitarbeiterausweis Konferenztechnik Security-/Datenschutzorganisation IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 9 Awareness Motivation und Wissen für Mitarbeiter Motivation Es sind seine Daten und seine Arbeit; es ist seine Firma und sein Arbeitsplatz Konkrete Tipps, was zu tun ist, und was passieren kann Vorführen, erfahrbar machen, wie leicht etwas kompromittiert werden kann: Trojanische Pferde, DoS, schlechte Passworte, non-compliant Prozesse Richtlinien Konkret, positiv, nicht zu abstrakt (z.b. alle sensitiven Übertragungen über öffentliche Netze sind zu verschlüsseln; die Mitarbeiter dürfen unter keinen Umständen ihr Passwort weitergeben ("statt jeder Mitarbeiter hat auf sein Passwort zu achten") Feedback / Training Hotline, Infos zu Bedrohungen, über die die Medien berichten, FAQs zu Kampagnen den täglich-korrekten Umgang überwachen/erzwingen, die Notwendigkeit aufzeigen Benutzbarkeit Easy to use, ohne den täglichen Arbeitsablauf zu beeinträchtigen Nicht zu restriktiv sonst zu teuer oder umgangen (z.b. Passworte: zu lang, zu oft zu wechseln) Ausbildungsplan (Allgemeinverständnis, zielgruppen-orientiert, Tipps und Tricks) Die Menschen sind der wesentliche Teil jeder Security-Maßnahme. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 10

Beispiel: Passwörter Passwortwahl Gute Passwörter sind mindestens 8 Zeichen lang enthalten Groß/Klein geschriebene Zeichen (oder auch Ziffern) stehen nicht im Wörterbuch Solche Passwörter denkt man sich mit einer Strategie aus. Empfehlung: Ein Passwort aus einem Satz bilden. Die Anfangsbuchstaben der Wörter im Satz (Groß/Klein Schreibung beachten) bilden das Passwort. Beispiel: Bitte gute Passwörter mit mindestens 8 Zeichen wählen. (BgPmm8Zw) IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 11 Beispiel: Wissen über Kryptographie Digitale Signaturen // www.cryptool.de, www.cryptool.org IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 12

Beispiel: Stärkung des Sicherheits-Bewusstseins - Plakate - Tischkalender - Rätsel und Gewinnspiele - Informationsveranstaltungen - Beiträge in Firmenzeitschriften - usw. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 13 Wer soll die Verantwortung tragen? Stufe 1 Aktiv: Die Geschäftsführung 1) Festlegung der Unternehmensprinzipien 2) Kommunikation der Unternehmensprinzipien 3) Bereitstellung von Budget Stufe 2 Aktiv: Der Geschäftsbereich 1) Bewertung der Kritikalität der Informationen 2) Beauftragung der IT-Risiko-Analyse 3) Bereitstellung von Budget Stufe 3 Aktiv: Der IT-Bereich 1) Beurteilung der eingesetzten Technologie 2) Bereitstellung geeigneter System- Komponenten IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 14

Und wer trägt noch die Verantwortung? Jeder von uns! Aufgaben: User-ID / Password geheim halten. Vertrauliche Dokumente nicht unbeaufsichtigt liegen lassen. Geschäftliche Interna nicht an öffentlichen Plätzen besprechen. Sorgsamer Umgang mit Mails und beim Surfen im Internet. usw. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 15 Policies, Standards und Richtlinien Policies Inhalt: - Grundlegende Aussagen - Definition zu Rollen und Verantwortlichkeiten - Basis für detailliertere Standards Standards Inhalt: - Grundlegende Anforderungen für Bereiche Beispiele: Betriebssystem-Standard, Applikations-Standard, Richtlinien Inhalt: -Implementierungs-Details Beispiele: Richtlinien für Linux, MS Windows, Oracle, DB2, IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 16

Sicherheitsmanagement / Information Risk-Lifecycle Risiko-Identifikation Risiko-Messung Risiko-Evaluierung Risiko-Inventory Eintrittswahrscheinlichkeit Schwere des Risikos Maßnahmen Status Monitoring Steuerung der Behebung Risiko-Report Risiko-Monitoring Verhindern / Reduzieren Transferieren des finanz. Risikos Eigen-Übernahme des Risikos Risiko-Behebung IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 17 Praxis: Bedienung aus Benutzersicht Sicherer E-Mail Empfang und Versand (nach S/MIME-Standard) Ampel signalisiert: signierte S/MIME E-Mail Grüne Ampel = Signaturprüfung erfolgreich Symbol kann von außen nicht gefälscht werden. (Ampelsymbol kann nur innerhalb der Notesinfrastruktur erzeugt werden.) IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 18

European Bridge-CA Initiative (EB-CA) Public-Private-Partnerschaft für sichere E-Mail Ziel der EB-CA ist es, auf pragmatische und sichere Weise Interoperabilität zu schaffen und die existierenden PKI-Inseln zu verbinden. http://www.bridge-ca.com IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 19 Ausgewogene Hilfsmittel Regelmäßige BAkups Aktuelle Sicherheitssoftware Aktuelle Patches Gut ausgebildete/bezahlte Administratoren Sicherheitsstrategie Policies, Standards und Richtlinien Tools und Checklisten Unterstützung durch Sicherheitsbeauftragte Schulungen Awareness-Kampagnen Proaktives Monitoren von Sicherheitsindikatoren und aktive Steuerung Angemessene IT-Sicherheit ist machbar und finanzierbar. IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 20

Link-Sammlung IT-Grundschutz-Handbuch www.bsi.de/gshb/index.htm Leitfaden IT-Sicherheit www.bsi.de/gshb/leitfaden/index.htm NRW-Forum www.secure-it.nrw.de Bundesdatenschutz-Gesetz www.bfd.bund.de/information/bdsg.pdf Basel II www.bis.org CERT Coordination Center www.cert.org Risiko-Management www.risknet.de Sicherheits-Infos www.sans.org/top20 Heise-Online www.heise.de/security elearning-programm Kryptologie www.cryptool.de Kontakt: bernhard.esslinger@db.com - Deutsche Bank AG - Universität Siegen, Fachbereich 5 Wirtschaftsinformatik - Leiter des CrypTool-Projektes IT-Trends Sicherheit, Bochum, 21. April 2005 Seite 21

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback