Das sichere Rechenzentrum Normkonform und ökonomisch sinnvoll?! Dr. Andreas Gabriel Ethon GmbH 08. Oktober 2014
KURZE VORSTELLUNG 2
Über die Ethon GmbH Über die Ethon GmbH 2003: Gründung Ethon Technologies GmbH als IT-Dienstleister mit Schwerpunkt Automobilindustrie Bald erste IT-Sicherheits- und Voice over IP- Projekte 2009: Ausgliederung des Sicherheits- und VoIP- Geschäftes in die Ethon GmbH Struktur Größe Standorte Eigentümergeführte Gesellschaft Derzeit ca. 45 Mitarbeiter Ulm, München, Wolfsburg und Chernihiv 3
Unser Profil Informationssicherheit Sicherheitsaudits u. a. nach ISO 27001, Erstellung von Sicherheits-Konzepten, Auditvorbereitung, IT-Forensik VoIP & Crypto etasuite: Sichere (mobile) Sprachkommunikation, ZRTP- Verschlüsselung, Client- und Serverprodukte Über die Ethon GmbH 4
Notwendige Sicherheit in unserem Alltag?! Lassen Sie uns starten Chongqing (China) Washington (USA) Quellen: Facebook; www.krone.at 5
Überblick Normen/Standards Sicherheitsnormen und -standards (Auswahl) ISO 27001 (nativ) Bundesamt für Sicherheit in der Informationstechnik ISIS12 Cobit ITIL (IT Infrastructure Library) CC (Common Criteria) Basel II/III Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Bundesdatenschutzgesetz (BDSG) Vorschriften der BaFin ISAE 3402, SSAE 16 (vormals SAS 70 ) Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) 6
Einordnung der jeweiligen Räumlichkeiten Überblick IT-Räume Maschinensteuerung Lokaler Serverraum Schaltschrank Überregionaler Serverraum Verteilerraum Serverraum für Kundensysteme 7
Definition ANGEMESSEN Überblick Angemessenheit Frist Vergütung Entschädigung gerecht notwendig richtig Preis ANGE- MESSEN Verhältnis würdig ANGE- MESSEN bestimmt Reaktion Umfang Weise weise vorteilhaft einzig Quelle: http://www.duden.de/rechtschreibung/angemessen 8
Grundlegende Definitionen Informationssicherheit Die IT-Sicherheit tangiert alle technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für IT-Anwendungen und -Systeme. http://www.itwissen.info/definition/lexikon/it-sicherheit-it-security.html Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. http://www.itwissen.info/definition/lexikon/risiko-risk.html Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/glossar/glossar_node.html Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. http://www.itwissen.info/definition/lexikon/bedrohung-threat.html 9
Facetten der Informationssicherheit Informationssicherheit Die Bündelung aller Sicherheitsbemühungen erfolgt in einem sogenannten Informationssicherheits-Managementsystem (ISMS) Basis bei der Ausgestaltung des RZ ist eine angemessene Umsetzung in Bezug auf Branche Unternehmensgröße Marktsituation Ökonomische Situation 10
Schutzziele der Informationssicherheit Basisziele C/I/A-Analyse Vertraulichkeit/ Confidentiality Integrität/Integrity Verfügbarkeit/Availability Erweiterung für Cloud- Anwendungen Transparenz (Revisionssicherheit) Intervenierbarkeit (Eingreifbarkeit, Abstreitbarkeit) Informationssicherheit Weitere Schutzziele Nichtverkettbarkeit Verbindlichkeit (Zweckbindung, Zwecktrennung, Nachweisbarkeit Datensparsamkeit) Authentizität Quelle: T. Weichert: Cloud-Zertifizierung aus Sicht des Datenschutzes, 17.04.2013 11
ANFORDERUNGEN FÜR EIN RECHENZENTRUM 12
Für diese Analyse wurden diese drei Regelwerke verwendet ISO 27001:2013 Anforderungen (Auswahl) BDSG Vorgaben des VDA 13
Anforderungen (Auswahl) Vorgaben des BDSG, im speziellen aus der Anlage zu 9 Satz 1 Technik Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle Verschlüsselung Organisation Betrieblicher Datenschutzbeauftragter Verfahrensverzeichnis Abnahme spezieller Umsetzungen z. B. Videoüberwachung Geheimhaltungsvereinbarung Regelung für die Weitergabe von Daten Quelle: Bundesdatenschutzgesetz Text und Erläuterung 14
Anforderungen (Auswahl) VDA Katalog für ein Information Security Assessment 6 Organization of Information Security 6.2 Wird vor Auftragsvergabe an Fremdfirmen eine Risikoanalyse der personellen u. organisatorischen Risiken durchgeführt? (A.6.2.1) 6.3 Wie wird die Geheimhaltung bei der Zusammenarbeit mit Fremdfirmen sichergestellt? (A.6.2.3) 7 Asset Management 7.2 Wie werden die Informationen im Unternehmen eingestuft / klassifiziert? (A.7.2.1) 9 Physical and Environmental Security 9.1 Wie werden Sicherheitszonen definiert und wie sind diese abgesichert? (A.9.1.1) 9.2 In wie weit ist das Unternehmen auf physikalische Bedrohungen (z. B. Feuer, Erdbeben usw.) vorbereitet? (A.9.1.4) 9.3 Wie ist das Zutrittsmanagement im Unternehmen organisiert? (A.9.1.6) 9.4 Welche Vorsichtsmaßnahmen werden zum Schutz der Waren bei Anlieferung und Versand getroffen? (A.9.1.6) 9.5 Wie ist der Prozess zum Gebrauch von Betriebsmitteln definiert (einschließlich Mitnahme, Entsorgung und Wiederverwendung)? (A.9.2.7) 10 Communications and Operations Management 10.1 In wie weit ist das Änderungs-Management an Systemen im Unternehmen etabliert und werden die Systeme auf dem aktuellsten Stand gehalten? (A.10.1.1/A.10.1.2) 10.16 Wie werden die Aktivitäten von Systemadministratoren und Operatoren auf kritischen Systemen protokolliert? (A.10.10.4) 15 Compliance Welche Regelungen und Maßnahmen sind eingeführt, um personenbezogene Informationen unter Einhaltung der gesetzlichen / vertraglichen Regelungen zu schützen (z. B. Datenschutzgesetz)? (A.15.1.4) 15
Business Continuity Management BCM Die Bündelung aller Sicherheitsbemühungen erfolgt in einem sogenannten Informationssicherheits-Managementsystem (ISMS) Basis bei der Ausgestaltung des BCM ist eine angemessene Umsetzung in Bezug auf Branche Unternehmensgröße Marktsituation Ökonomische Situation 16
Anforderungen an ein Rechenzentrum Umsetzungsbeispiel Angemessenheit der Gesamtsituation Sind die genannten Aktivitäten notwendig oder nur Aktionismus der IT-Abteilung? Welche Anforderungen haben die Fachbereiche wirklich? Welche (vertraglichen) Absprachen gibt es mit den Kunden (SLAs)? Sind die eigenen Dienstleister auf eine angemessene Zusammenarbeit verpflichtet? Business Continuity Management (BCM) auf Basis einer Risiko- bzw. Business-Impact Analyse!!! 17
FAZIT 18
Ich habe zum Abschluss zwei Bitten an Sie Fazit Sicherheitsaktivitäten müssen zusammengreifen, aber Bitte achten Sie bei der Planung Ihres Rechenzentrums auf eine angemessene und vernünftige Umsetzung, in Abhängigkeit Ihrer wirklichen Bedürfnisse. Quelle: www.goermezer.de gehen Sie einmal bewusst einen vergessen Schritt zurück Sie nicht und die.. offene Tür nebenan. 19
Vielen Dank für Ihre Aufmerksamkeit! auf Wiedersehen & bis bald Dr. Andreas Gabriel Ethon GmbH Deutschhausgasse 11-13 89073 Ulm Sie finden mich auch bei: Tel.: +49 731 140 206 121 Fax: +49 731 140 206 200 Mobil: +49 173 399 602 1 Internet: http://www.ethon.com E-Mail: a.gabriel@ethon.com 20