Informationssicherheit - wie und warum - Uwe Seifert, CISSP Certified Information Systems Security Professional (CISSP ) uwe@useifert.de
Definition IT-Sicherheit ist der Zustand, der die Verfügbarkeit, die Integrität und die Vertraulichkeit von Informationen beim Einsatz von IT gewährleistet. Dieser Zustand ergibt sich aus : technische personelle IT-Sicherheitskonzept organisatorische materielle
Warum benötigen wir Informationssicherheit? Informationssicherheit Rechtliche Vorgaben BGB,HGB Bürgerliche Gesetzbuch BDSG Bundesdatenschutzgesetz StGB Strafgesetzbuch TKG / TDDSG Telekommunikationsgesetz KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Kundenanforderungen zuverlässige Serviceleistungen sichere Infrastrukturen Business über Internet Entwicklungspartnerschaft Know-how Schutz ISO-Zertifizierung Eigeninteresse Schutz von Informationen und Wissen Schutz der Infrastrukturen Kooperation mit Wettbewerbern Image in der Öffentlichkeit
Angriffe und Eindringen von außen
Infoabfluss von Innentätern
Verlust von Daten und Infrastruktur Beim Absturz der Spanair-Maschine JK 2022 vor zwei Jahren soll Schadsoftware nach Art eines Trojaners eine Rolle gespielt haben. Damals war die Maschine auf dem Weg nach Gran Canaria kurz nach dem Start auf dem Madrider Flughafen auf dem Boden aufgeschlagen; 154 der 172 Menschen an Bord kamen ums Leben. Es war seit über 25 Jahren das schlimmste Unglück in der Geschichte der spanischen Luftfahrt. Nun meldet die spanische Tageszeitung El Pais in ihrer Ausgabe vom 20.8.2010, dass das zentrale Spanair-Sicherheitssystem ein Rechner nicht genannter Bauart, der in der Spanair-Zentrale in Palma de Mallorca stand und der für die technische Überwachung der Flugzeuge eingesetzt wurde von Trojanern verseucht gewesen sein soll. Der Rechner war so programmiert, dass er Alarm geben sollte, wenn drei ähnliche technische Probleme festgestellt wurden. Der Trojanerbefall habe das aber verhindert. Nach der Veröffentlichung hat der zuständige Untersuchungsrichter Juan David Perez angeordnet, dass die spanische Fluggesellschaft alle relevanten Daten herausgeben soll.
Angriffsvektoren 1 Angriff von Verlust Außen auf Plattformen im Internet 2 Eindringen von außen in interne Netze und Anwendungen 3 Info- Abfluss durch Innentäter, Geschäftspartner und Wettbewerber im internen Netz 4von Daten und Infrastruktur durch Katastrophen Abhören Spionage Diebstahl Datenverlust Computerviren Irrtum Katastrophen Hacker Verfälschung
Viele Wege führen zur Sicherheit ISO 17799 (BS 7799) COBIT ISO TR 13335 Common Criteria ITSM TÜV IT - ISO 27001 - ITIL (IT Infrastructure Library) - BSI-Standards IT-Grundschutz Welcher Weg ist der Richtige?
ISO/IEC 27K Standards In der ISO wird zur Zeit eine internationale Normenreihe von Informationssicherheits- Managementsystemen (ISMS) entwickelt. ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27005:2008 an overview/introduction to the ISO27k standards as a whole plus the specialist vocabulary used in ISO27k is the Information Security Management System (ISMS) requirements standard, is the code of practice for information security management (ISO/IEC 17799:2005-06) is an information security risk management standard
ISO/IEC 27001 Standard ISMS umsetzen festlegen act plan do verbessern überwachen check
ISO 27001 - festlegen Definition des Anwendungsbereiches und der Grenzen des ISMS Definition der ISMS-Leitlinie Definition der Vorgehensweise der Organisation für Risikoeinschätzung Identifizierung der Risiken Analyse und Bewertung der Risiken Identifizierung und Bewertung der Optionen für die Risikobehandlung Auswahl der Maßnahmenziele und Maßnahmen für die Risikobehandlung Zustimmung des Managements zu den vorgeschlagenen Restrisiken Genehmigung des Managements für die Umsetzung und Durchführung des ISMS Erstellung einer Erklärung zur Anwendbarkeit
ISO 27001 - umsetzen Formulierung eines Risikobehandlungsplans Umsetzung des Risikobehandlungsplans Umsetzung der ausgewählten Maßnahmen Definition eines Maßes für die Wirksamkeit der ausgewählten Maßnahmen Umsetzung von Programmen für Schulung und Bewusstseinsbildung Verwaltung des Betriebs des ISMS Verwaltung der Ressourcen für das ISMS Umsetzung von Verfahren und anderen Maßnahmen, die eine sofortige Erkennung von Sicherheitsereignissen und Reaktion auf Sicherheitsvorfälle ermöglichen
ISO 27001 überwachen Regelmäßige Überprüfung der Wirksamkeit des ISMS Messung der Wirksamkeit von Maßnahmen Überprüfung der Risikoeinschätzungen in regelmäßigen Abständen und Überprüfung der Restrisiken Durchführung interner ISMS-Audits in geplanten Abständen Ausführung einer regelmäßigen Managementbewertung des ISMS Aktualisierung von Sicherheitsplänen Aufzeichnung von Aktivitäten und Ereignissen, die einen Einfluss auf die Wirksamkeit oder die Leistung des ISMS haben könnten
ISO 27001 verbessern Umsetzung der identifizierten Verbesserungen im ISMS Ergreifung von geeigneten Vorbeugungsmaßnahmen Mitteilung der Maßnahmen und Verbesserungen an alle Interessenten, Sicherstellung, dass die Verbesserungen die beabsichtigten Ziele erreichen
ITIL Die Geschichte Was ist ITIL? Öffentlich verfügbares Framework Bibliothek mit Leitlinien für eine effektive und effiziente Bereitstellung von qualitätsbasierten IT Services Beschreibt Konzepte sowie die erforderlichen Prozesse und Funktionen Die weltweit einzige, konsistente, umfassende und herstellerunabhängige Beschreibung des IT Service Management Internationaler De-facto-Standard 1989 1995 ITIL Version 1 entsteht Stück für Stück und wächst auf mehr als 40 Dokumente 2000 2004 ITIL Version 2 wird erstellt. Insgesamt werden 7 Bände veröffentlicht 2007 ITIL Version 3 mit den 5 Kernbüchern zum Service Management wird freigegeben
ITIL (IT Infrastructure Library) IT-Sicherheit
ITIL - Security Framework - Information Security Mgmt System Information Security Policy maintain - Learn - Correct plan evaluate - Internal audits - External audits - Self assesment - Security incidents control - organize - Service Level Agreements - Underpinning contracts - Operational Level Agreements - Policy Statements plan implement - Create awareness - Classification - Personal security - Physical security - Networks,applications,computers - Access Rights Management - Security incidents procedures Overall Information Security Policy Use and misuse of IT assets policy Acess control policy Password control policy e-mail policy internet policy anti-virus policy information classification policy document classification policy remote access policy Supplier access policy Asset disposal policy ISO/IEC 27001:2005
BSI Standards B undesamt für S icherheit in der I nformationstechnik
BSI-Sicherheitsstandards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: (Entwurf) Notfallmanagement
BSI-Standard 100-1 Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT- Sicherheitskonzeptes und einer IT-Sicherheitsorganisation Hilfsmittel zur Umsetzung IT-Sicherheitsstrategie IT-Sicherheitsorganisation IT-Sicherheitskonzept Prozesse, Abläufe Strukturen Maßnahmen Beschreibung der IT-Struktur Risikobewertung Regeln, Anweisungen Quelle: BSI-Standard 100-1
BSI Standard 100-2 - Sicherheitskonzeption nach IT-Grundschutz - Quelle: BSI-Standard 100-2
BSI-Standard 100-2 Quelle: BSI-Standard 100-2
IT-Grundschutz - Baustein Module - B 3 IT-Systeme In der Schicht IT-Systeme sind folgende Bausteine enthalten: B 3.101 Allgemeiner Server B 3.102 Server unter Unix B 3.103 Server unter Windows NT B 3.104 Server unter Novell Netware 3.x B 3.105 Server unter Novell Netware Version 4.x B 3.106 Server unter Windows 2000 B 3.107 S/390- und zseries-mainframe B 3.108 Windows Server 2003 B 3.201 Allgemeiner Client B 3.202 Allgemeines nicht vernetztes IT- System B 3.203 Laptop B 3.204 Client unter Unix B 3.205 Client unter Windows NT B 3.206 Client unter Windows 95 B 3.207 Client unter Windows 2000 B 3.208 Internet-PC B 3.209 Client unter Windows XP B 3.210 Client unter Windows Vista B 3.301 Sicherheitsgateway (Firewall) B 3.302 Router und Switches B 3.303 Speichersysteme und Speichernetze B 3.401 TK-Anlage B 3.402 Faxgerät B 3.403 Anrufbeantworter B 3.404 Mobiltelefon B 3.405 PDA B 3.406 Drucker, Kopierer und Multifunktionsgeräte
IT-Grundschutz - Baustein Module - B 3.203 Laptop Beschreibung Unter einem Laptop oder Notebook wird ein PC verstanden, der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-, CD-ROM- oder DVD-Laufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem, ISDN, LAN, USB, Firewire, WLAN). Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. Daher ist zusätzlich der betriebssystemspezifische Client-Baustein zu betrachten. Typischerweise wird ein Laptop zeitweise allein, ohne Anschluss an ein Rechnernetz betrieben, und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden- oder Unternehmensnetz verbunden. Häufig wird er auch während der mobilen Nutzung über Modem direkt mit externen Netzen, insbesondere mit dem Internet, verbunden, so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. Die Einrichtungen zur Datenfernübertragung (über Modem, ISDN-Karte, etc.) werden hier nicht behandelt (siehe Baustein B 4.3). Für den Laptop wird vorausgesetzt, dass er innerhalb eines bestimmten Zeitraums nur von einem Benutzer gebraucht wird. Ein anschließender Benutzerwechsel wird berücksichtigt
IT-Grundschutz - Gefährdungen - Für den IT-Grundschutz eines Laptops werden folgende typische Gefährdungen angenommen: Höhere Gewalt: - G 1.2 Ausfall von IT-Systemen - G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung Organisatorische Mängel: - G 2.7 Unerlaubte Ausübung von Rechten - G 2.8 Unkontrollierter Einsatz von Betriebsmitteln - G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs Menschliche Fehlhandlungen: - G 3.2 Fahrlässige Zerstörung von Gerät oder Daten - G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen - G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal - G 3.8 Fehlerhafte Nutzung von IT-Systemen - G 3.38 Konfigurations- und Bedienungsfehler - G 3.76 Fehler bei der Synchronisation mobiler Endgeräte Technisches Versagen: - G 4.9 Ausfall der internen Stromversorgung - G 4.13 Verlust gespeicherter Daten - G 4.22 Software-Schwachstellen oder -Fehler - G 4.19 Informationsverlust bei erschöpftem Speichermedium - G 4.52 Datenverlust bei mobilem Einsatz
IT-Grundschutz - Gefährdungen - Vorsätzliche Handlungen: - G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör - G 5.2 Manipulation an Informationen oder Software - G 5.4 Diebstahl - G 5.9 Unberechtigte IT-Nutzung - G 5.18 Systematisches Ausprobieren von Passwörtern - G 5.21 Trojanische Pferde - G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems - G 5.23 Schadprogramme - G 5.43 Makro-Viren - G 5.71 Vertraulichkeitsverlust schützenswerter Informationen - G 5.124 Missbrauch der Informationen von mobilen Endgeräten - G 5.125 Unberechtigte Datenweitergabe über mobile Endgeräte - G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten
IT-Grundschutz - Maßnahmen - Planung und Konzeption - M 2.36 (B) Geregelte Übergabe und Rücknahme eines tragbaren PC - M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten - M 2.309 (A) Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung - M 4.29 (Z) Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme Beschaffung - M 2.310 (A) Geeignete Auswahl von Laptops Umsetzung - M 5.91 (A) Einsatz von Personal Firewalls für Internet-PCs - M 5.121 (B) Sichere Kommunikation von unterwegs - M 5.122 (A) Sicherer Anschluss von Laptops an lokale Netze
IT-Grundschutz - Maßnahmen - Betrieb - M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz - M 1.34 (A) Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz - M 1.35 (Z) Sammelaufbewahrung tragbarer IT-Systeme - M 1.46 (Z) Einsatz von Diebstahl-Sicherungen - M 4.3 (A) Einsatz von Viren-Schutzprogrammen - M 4.27 (A) Zugriffsschutz am Laptop - M 4.28 (Z) Software-Reinstallation bei Benutzerwechsel eines Laptops - M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz - M 4.235 (B) Abgleich der Datenbestände von Laptops - M 4.236 (Z) Zentrale Administration von Laptops - M 4.255 (A) Nutzung von IrDA-Schnittstellen Aussonderung -M 2.306 (A) Verlustmeldung Notfallvorsorge - M 6.71 (A) Datensicherung bei mobiler Nutzung des IT-Systems
IT-Grundschutz - Maßnahmen - M 4.27 Zugriffsschutz am Laptop Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Benutzer Jeder Laptop sollte mit einem Zugriffsschutz versehen werden, der verhindert, dass dieser unberechtigt benutzt werden kann. Bei Laptops sollte als Minimalschutz, wenn kein anderer Sicherheitsmechanismus vorhanden ist, der BIOS-Bootschutz aktiviert werden, wenn dessen Nutzung möglich ist. Erst nach Eingabe des korrekten Bootpasswortes wird der Rechner dann hochgefahren. Die im Umgang mit Passwörtern zu beachtenden Regeln sind in M 2.11 Regelung des Passwortgebrauchs aufgeführt worden. Außerdem bieten nahezu alle Betriebssysteme die Möglichkeit, Anmeldepasswörter einzurichten und diese mit geeigneten Restriktionen zu versehen (z. B. Mindestlänge, Lebensdauer, etc.). Da diese Bordmittel nur eine begrenzte Sicherheit bieten, empfiehlt es sich bei Laptops, auf denen sich schnell große Mengen sensitiver Daten sammeln, zusätzliche Sicherheitshard oder -software einzusetzen. Dazu gehören beispielsweise Chipkarten oder Token, die die Authentikation absichern. Ist keine Passwortroutine installiert, sollte, wenn keine Verschlüsselung der Daten erfolgt, die Speicherung von schutzbedürftigen Daten auf der Festplatte verboten und deren Speicherung stattdessen nur auf mobilen Datenträgern, also z. B. Disketten oder USB-Sticks, zugelassen werden. Diese sind dann getrennt vom Laptop aufzubewahren, zum Beispiel in der Brieftasche. Bei kurzen Arbeitsunterbrechungen muss unbedingt ein Zugriffsschutz aktiviert werden, z. B. ein Bildschirmschoner. Ist es absehbar, dass die Unterbrechung länger dauert, ist der Laptop auszuschalten. Ergänzende Kontrollfragen: - Ist ein angemessener Zugriffschutz für die Laptops vorhanden? Werden die Regeln für den korrekten Umgang mit dem Zugriffschutz eingehalten? - Wird bei der Übergabe eines Laptops das Passwort gewechselt?
Die Sicherheitspyramide Richtlinien, Standards, Sicherheitskonzept Sicherheitsbewusstsein & Kultur Sicherheitsdienste wie CERT, Trust Center (PKI) Identity- and Access-Management
Informationsmanagement System - Die Sicherheitspyramide - Netzwerkinfrastruktur
Informationsmanagement System - Die Sicherheitspyramide - Systemsicherheit
Informationsmanagement System - Die Sicherheitspyramide - Anwendungen
Informationsmanagement System - Die Sicherheitspyramide - Erst bei Umsetzung aller Maßnahmen ist der (Daten)schatz ausreichend gesichert
Vielen Dank für Ihre Aufmerksamkeit und bleiben Sie aufmerksam!
Kontaktdaten: Uwe Seifert uwe@useifert.de