IT-Grundschutz für Entscheider & Manager Malte Hesse Hesse@internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule Gelsenkirchen
IT-Sicherheit ist... gefährdet Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit,... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte,... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash,... Vorsätzliche Handlungen: Hacker, Viren, Trojaner,... 2
IT-Sicherheit ist... gefährdet Der Benutzer hätte am liebsten keine komplizierten Passwörter und der Administrator am liebsten keine Benutzer. 100.000 kompromittierte Passwörter von Flirtlife.de 1234 176x 12345 367x 123456 1375x 12345678 215x 123456789 260x Sicherheitsbewusstsein der Benutzer?! 3
IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 4
IT-Sicherheit ist... gefährdet :Spionage ein Thema? Der Mensch bleibt die größte Sicherheitslücke Quelle: W. Karden, Verfassungsschutz NRW 5
IT-Sicherheit ist... gefährdet :Spionage ein Thema? Quelle: W. Karden, Verfassungsschutz NRW 6
Rechtliche Aspekte der IT-Sicherheit (1/2) Die Unternehmensleitung hat die Gesamtverantwortung für die IT- Sicherheit Persönliche Haftung bei Fahrlässigkeit (KonTraG, AktG, GmbHG etc.) Datenschutzgesetze des Bundes und der Länder Basel II Vergaberichtlinie für die Kreditvergabe Seit Januar 2007 u. a. im Kreditwesengesetz verankert Mindestanforderungen an das Risikomanagement Aktives IT-Risikomanagement kann Kreditkosten senken! Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) IT-Sicherheit ist Chefsache! 7
Rechtliche Aspekte der IT-Sicherheit (2/2) IT-Sicherheit beeinflusst aber auch andere Organe im Unternehmen: Betriebsrat Vertreter der IT-Benutzer bei Betriebsvereinbarungen Nutzung von E-Mail am Arbeitsplatz, Einsatz von Spam- & Viren-Filtern Mitarbeiter Ohne Akzeptanz der Mitarbeiter, keine IT-Sicherheit Strafrecht/Arbeitsrecht besonders: Administratoren Strafrecht: Computerbetrug ( 263a StGB), Fälschung beweiserheblicher Daten ( 269 StGB), Sachbeschädigung: Datenveränderung ( 303a StGB) und Computersabotage ( 303b StGB) IT-Sicherheit ist nicht nur Chefsache! 8
Neue organisatorische Anforderungen HIPAA (USA) ISO 18501/1850 9 FDA 21 CRF Part 11 SEC 17a-4 (USA) Sarbanes-Oxley Act (USA) Canadian Electronic Evidence Act Public Records Office (UK) Basel II Capital Accord Financial Services Authority (UK) Electronic Ledger Storage Law (Japan) 11MEDIS-DC (Japan) AIPA (Italy) GDPdU & GoBS (Germany) NF Z 42-013 (France) BSI PD0008 (UK) Quelle: M. Hochenrieder, HvS-Consulting GmbH 9
Methodik für f r IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste? 10
Rahmenwerke & Standards im Bereich Informationssicherheit ISO 17799 / ISO 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines Information Security Management System (ISMS) BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO 20000 Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen Quelle: M. Hochenrieder, HvS-Consulting GmbH 11
BSI IT-Grundschutz Neugliederung des IT-Grundschutzes Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische Risikoanalyse Empfehlung von Standard-Sicherheitsmaßnahmen konkrete Maßnahmenbeschreibung 12
BSI IT-Grundschutz Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement BSI Standard 100-1 ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2 IT-Grundschutz Vorgehensweise BSI Standard 100-3 Risikoanalyse auf Basis von IT-Grundschutz Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001 Audits IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen -Baustein-Kataloge - Kap.B1 Übergreifende Aspekte -Kap. B1.0 IT-Sicherheitsmgnt. - Kap. B2 Infrastruktur - Kap. B3 IT-Systeme - Kap. B4 Netze - Kap. B5 IT-Anwendungen -Gefährdungs-Kataloge -Maßnahmen-Kataloge 13
Fortlaufender IT-Sicherheitsprozess im IT-Grundschutzhandbuch IT-Sicherheitsleitlinie IT-Sicherheitsmanagement Revision Kontrolle Betrieb Planung Umsetzung Schulung 14
IT-Sicherheitsprozess IT-Sicherheitsleitlinie (Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: IT-Sicherheit ist Chefsache! 15
IT-Sicherheitsprozess IT-Sicherheitsmanagement (1/2) Der IT-Sicherheitsbeauftragte als delegierter der Unternehmensleitung ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaßnahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher Muss seiner Aufgabe gewachsen sein und die notwendigen Ressourcen erhalten! 16
IT-Sicherheitsprozess IT-Sicherheitsmanagement (2/2) Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme 17
Erstellung und Realisierung eines IT-Sicherheitskonzepts IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen ca. 20% 18
IT-Strukturanalyse Erfassen der IT-Systeme Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten, Netzdrucker, TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen. 19
IT-Strukturanalyse Beispiel: Gruppenbildung Internet S2: Primärer Domänen- Controller (Windows NT) S3: Exchange- Server (Windows NT) S4: File- Server (Novell Netware) S5: Kommunikations- Server (Unix) S6: Backup Domänen- Controller (Windows NT) N1: Router S1: Server für Personalverwaltung (Windows NT) Liegenschaft Bonn N2: Firewall N4: Switch C1: 5 Client- Computer für Personalverwaltung (Windows NT) N3: Switch C2: 10 Client- Computer für Verwaltung (Windows NT) IP N5: Router Standleitung C3: 75 Client- Computer für Fachabteilungen (Windows NT) N6: Router IP Liegenschaft Berlin N7: Switch C4: 40 Client-Computer (Windows NT) 20
IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personalverwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb Personalreferat S2 C6 N1 T1 Windows NT Server Laptop unter Windows XP Router Primärer Domänen- Controller Gruppe der Laptops für den Standort Berlin Router zum Internet-Zugang TK-Anlage für Bonn ISDN-TK- Anlage 1 Bonn, R 3.10 2 Berlin, R 2.0 1 1 Bonn, R 3.09 1 Bonn, B.02 in Betrieb in Betrieb in Betrieb in Betrieb alle IT-Anwender alle IT-Anwender in Berlin alle IT-Anwender alle Mitarb. in Bonn 21
IT-Strukturanalyse Erfassen der IT-Anwendungen Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle) Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen. 22
IT-Strukturanalyse Darstellung der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen Beschreibung der IT-Anwendungen Anw.- Nr. A1 A4 IT-Anwendung/ Informationen Personaldatenverarbeitung Benutzer- Authentisierung Pers.- bez. Daten A5 Systemmanagement X A7 zentrale Dokumentenverwaltung X IT-Systeme S1 S2 S3 S4 S5 S6 S7 X X X X X 23
IT-Strukturanalyse Ergebnisdokument 24
Schutzbedarfsfeststellung Übersicht Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse 25
Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn...?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit (Leib & Leben) Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen 26
Schutzbedarfsfeststellung Schutzbedarfskategorien Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien Beispiel: finanzielle Auswirkungen (Mittelstand) niedrig bis mittel hoch sehr hoch Schutzbedarfskategorie Die Schadensauswirkungen sind begrenzt und überschaubar. 25.000 Die Schadensauswirkungen können beträchtlich sein. 100.000 Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. 1.000.000 Individualisierung der Zuordnungstabelle! 27
Schutzbedarfsfeststellung Beispiel: IT-Anwendungen IT-Anwendung Nr. Bezeichnung pers. Daten Grundwert Schutzbedarfsfeststellung Schutzbedarf Begründung A1 Personaldatenverarbeitung Vertr. hoch schutzbedürft., personenbez. Daten, Gehaltsinformationen A2 Beihilfeabwicklung Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. Vertr. hoch schutzbedürft., personenbez. Daten, z.t. Hinweise auf Erkrankungen etc. Integr. mittel Fehler werden rasch erkannt und korrigiert. Verf. mittel Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. 28
Schutzbedarfsfeststellung Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind für die Schutzbedarfskategorie "niedrig bis mittel" im Allgemeinen ausreichend und angemessen, für die Schutzbedarfskategorie "hoch" Basisschutz, unter Umständen nicht ausreichend, zusätzliche Sicherheitsmaßnahmen, können durch ergänzende Sicherheitsanalyse ermittelt werden, für die Schutzbedarfskategorie "sehr hoch" Basisschutz, im Allgemeinen nicht ausreichend, so dass eine ergänzende Sicherheitsanalyse notwendig ist. 29
Schutzbedarfsfeststellung Ergebnis 30
Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs 31
Struktur des IT-Grundschutzhandbuchs Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge 32
IT-Grundschutzhandbuch Bausteine (Auswahl) IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Anwendungen E-Mail WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung 33
Basis-Sicherheitscheck Übersicht IT-Grundschutz-Modell Internet Exchange- Server (Windows NT) Primärer Domänen- Controller (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich umzusetzende Maßnahmen Realisierte Maßnahmen 34
Basis-Sicherheitscheck Umsetzungsstatus Möglicher Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" "ja" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv Risiko-Übernahme (Akzeptanz des Risikos) Risiko-Transfer (Versicherungsschutz oder Outsourcing) Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein Maßnahmen müssen umgesetzt werden. 35
Priorisierung der Sicherheitsmängel und -maßnahmen Schutzbedarfsstufe // Bedrohung Dringend Dringend Sicherheitslücken Don't Don't forget forget Wichtig Wichtig Eintrittswahrscheinlichkeit Risiko 36
Ergänzende Sicherheitsanalyse Ist durchzuführen, wenn Schutzbedarfskategorie "hoch" oder sehr hoch" in mindestens einem der drei Grundwerte vorliegt, zusätzlicher Analysebedarf besteht (z.b. bei besonderem Einsatzumfeld) oder wenn für bestimmte Komponenten oder Aspekte kein geeigneter Baustein im IT-Grundschutzhandbuch existiert. Mögliche Vorgehensweisen sind: Risikoanalyse - relevante Bedrohungen ermitteln - Eintrittswahrscheinlichkeiten schätzen Penetrationstest - Verhalten eines Angreifers simulieren - Blackbox- und Whitebox-Ansatz unterscheiden Grundschutzmaßnahmen IT-Grundschutzanalyse Konsolidierung der Maßnahmen ergänzende Sicherheitsanalyse höherwertige Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen 37
Realisierung von IT- Sicherheitsmaßnahmen Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Stehen die erforderlichen Ressourcen zur Verfügung? Schritt 6: Realisierungsbegleitende Maßnahmen Werden die Mitarbeiter geschult und sensibilisiert, so dass die IT-Sicherheitsmaßnahmen akzeptiert werden? 38
Fazit IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten 39
IT-Grundschutz Grundschutz-Zertifizierung Was bringt es mir??? gültig bis 1.1.2009 40
IT-Grundschutz Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: www.bsi.bund.de/gshb/zert seit Januar 2004 auch auf Englisch erhältlich seit Anfang 2006 IT-Grundschutz-Zertifikat des BSI nach ISO 27001 41
IT-Grundschutz Zertifizierung Zielgruppen Für wen lohnt eine IT-Grundschutz Zertifizierung? Allgemein: Als Nachweis eines funktionierenden IT-Sicherheitsmanagements Für Unternehmen gegenüber Kunden Geschäftspartnern Geldgebern (Stichwort Basel II) Aufsichtsorganen Für Behörden gegenüber Bürgern oder Unternehmen E-Government 42
IT-Grundschutz Zertifizierung Anwendungsbereiche Was kann zertifiziert werden? Ein oder mehrere Geschäftsprozesse Eine oder mehrere Fachaufgaben Eine oder mehrere Organisationseinheiten Es braucht nicht gleich das gesamte Unternehmen zu sein! Bedingung: IT-Verbund muss eine sinnvolle Mindestgröße haben! 43
IT-Grundschutz Grundschutz-Zertifizierung Ablauf (vereinfacht) Prüfung erfolgt durch einen vom BSI lizensierten IT-Grundschutz- Auditor Auditor prüft die Umsetzung von IT-Grundschutz und erstellt den Auditreport Prüfung der vorhandenen Dokumente Prüfung von Stichproben vor Ort Unternehmen stellt Zertifizierungsantrag beim BSI BSI prüft den Auditreport Falls Prüfung positiv: Zertifikat wird erteilt Kosten für BSI: ca. 2.500 Zertifikat wird veröffentlicht (Internet und Zeitschrift <kes>) 44
IT-Grundschutz Grundschutz-Zertifizierung Erfahrungen des BSIs IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen Tool-Unterstützung 45
Investment & Wirtschaftlichkeit Das liebe Geld... 46
IT-Sicherheitsrisiko und -Investment Investment ( ) Risiko Investment Schritt n Reduzierte Risiken << Investment Schritt 1 Reduzierte Risiken >> Investment Reduzierte Risiken Schritt - 1 Reduzierte Risiken Schritt - n Investment zur Risikominderung Investment????? Verbleibende Risiken Grad der IT-Security Implementation 47
Investment zur Risikominimierung Grundschutz Pareto-Prinzip (80:20 Regel) 20% der möglichen IT-Sicherheitsmechanismen richtig eingesetzt liefern 80% Schutz vor potentiellen Bedrohungen Das bedeutet, dass mit dem Einsatz der richtigen IT-Sicherheitsma Sicherheitsmaßnahmen mit einem relativ geringen Aufwand, ein vernünftiger nftiger Grundschutz für IT-Systeme hergestellt werden kann. Die Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen ist ein zunehmend wichtiger und sehr komplexer Punkt, mit dem sich die Verantwortlichen in Unternehmen, Behörden, aber auch die Regierungen, in einer gesellschaftlichen Verantwortung auseinandersetzen müssen. 48
Investment zur Risikominimierung Spezieller Schutz Wenn ein Grundschutz bereits implementiert ist, wird notwendiges weiteres Investment in Sicherheit sehr groß und ist wirtschaftlich isoliert betrachtet, i.d.r. nicht mehr sinnvoll. Es kann aber andere Gründe außer der Wirtschaftlichkeit geben, ein solches Investment dennoch durchzuführen. Ist im Gesamtzusammenhang besonders wichtig kritische Infrastruktur besonders sensibler Bereich Gesetzliche Notwendigkeiten Im militärischen Bereich, zum Schutz der Gesellschaft Wenn es um die Sicherheit von Menschen geht Angst Übertriebenes Sicherheitsgefühl 49
Wirtschaftlichkeit RoI = Return on Investments Nutzen den Kosten gegenübergestellt Was nützt ein Investment bezüglich Kostenminimierung und/oder Umsatzsteigerung? Wann hat sich eine Investition amortisiert, d.h. die Anschaffung für die Investition wird durch den mit der Investition erwirtschafteten Ertrag gedeckt? Problem bei IT-Sicherheit: Quantitativer Nachweis von Schäden ist sehr schwierig! (Mittelbare und unmittelbare finanzielle Schäden; Renommeeverlust, Vertrauensverlust,...) Return on Security Investment (RoSI( RoSI) 50
Return on Security Investment RoSI Beispiel: Notebookverluste In diesem Beispiel soll anhand der Verluste von Notebooks exemplarisch eine Return on Security Investment (RoSI( RoSI) durchgeführt werden. Ablauf: Festlegung der Wahrscheinlichkeit des Verlustes eines Notebooks. Festlegung des Schadens (Recovery Cost - R), wenn die Daten, die auf einem Notebook gespeichert sind, von Dritten missbräuchlich verwendet werden. Total Cost of Ownership (TCO) für die Anschaffung eines Sicherheitssystems (Tool Cost - T) für die Sicherung der Daten auf dem Notebook. RoSI - Berechnung R Kosten eines Schadens T Kosten für f r eine Sicherheitssystems 51
RoSI-Beispiel Beispiel: Notebookverluste Wahrscheinlichkeit des Verlustes? Jeder der die Verantwortung von Notebooks im Unternehmen hat, müsste wissen wie viele Notebooks jährlich aus nachvollziehbaren und nicht nachvollziehbaren Gründen verschwinden! Einschätzung (Erfahrungen anderer) 5% of the company s laptops were stolen over the past year. Head of the MIS Department at the Advisory Board Company www.compuclamp.com/computer%20theft.htm...as many as one in every 14 laptops sold in the US was stolen last year. Newsweek, 05/2002, www.compuclamp.com/computer%20theft.htm One in every 14 laptops is stolen (= 7%) World Security Corporation, 2002 1 in 10 notebooks are stolen Tech Republic survey, www.microsaver.com/tips/tip_1028.html Annual notebook theft rate rising to 5% and more through 2002 Gartner Group, www.ebiz.co.za/l_scripts/article.asp?pklarticleid=1380&pklissueid=245 Durchschnitt: gestohlene Notebooks 6% 52
RoSI-Beispiel Beispiel: Notebookverluste Wie hoch ist der Schaden? Dies kann der Besitzer des Notebooks am besten bemessen. Problem: der Schaden ist oft nicht genau zu analysieren, sondern durch Reduktion des Umsatzes und des Gewinns nur schwer zu beziffern. Einschätzung (Erfahrungen anderer) Average losses top $40,000 per Computer Stolen Over four years, the average reported loss related to notebook computer theft topped $40,000, and the highest reported single loss $1.2 million. FBI/Computer Security Institute Survey, Computer Security Issues and Trends Computer Security Institute, June 2000 The average financial loss resulting from a laptop theft grew by 44% from 2000 to 2001 ($62.000) Only a small percentage of the sum actually relates to the hardware costs Source: 2001 and 2002 Computer Security Institute/FBI Computer Crime & Security Survey Im November 1996 wurde ein Notebook von Visa International gestohlen. Darauf befanden sich über 314.000 Kreditkartennummern. Kosten für den Austausch pro Kreditkarte ca. 23 Euro. Insgesamt also ca. 7 Millionen Euro Schaden. Deutsche Ausgabe PKI, e-security implementieren, Nash, Duane, Joseph, Brink, mitp-verlag, Bonn: 2002. Annahme Wert der Daten 10.000 53
Notebook Verschlüsselung sselung Beispielberechnung Berechnung Notebook Verschlüsselung für 500 Nutzer (TCO): Einmalige Lizenzkosten: 55.000 (1 Lizenz = 110) Jährliche Kosten: 1. Jahr 10.000, dann 5.000/Jahr Vermiedener Schaden: 300.000 (= 30 Notebooks * 10.000) (= Reduced costs per year) Annahme Wert der Daten 10.000 Durchschnitt: gestohlene Notebooks 6% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year 55.000 10.000 -- 300.000 235.000 2 nd year -- 5.000 -- 300.000 530.000 3 rd year -- 5.000 -- 300.000 825.000 4 th year -- 5.000 -- 300.000 1.1.20.000 In total 4 years 55.000 25.000 -- 1.200.000 1.120.000 54
Notebook Verschlüsselung sselung 2. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: 55.000 (1 Lizenz = 110) Jährliche Kosten: 1. Jahr 10.000, dann 5.000/Jahr Vermiedener Schaden 75.000 (= 15 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten 5.000 Durchschnitt: gestohlene Notebooks 3% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year 55.000 10.000 -- 75.000 10.000 2 nd year -- 5.000 -- 75.000 80.000 3 rd year -- 5.000 -- 75.000 150.000 4 th year -- 5.000 -- 75.000 220.000 In total 4 years 55.000 25.000 -- 300.000 220.000 55
Notebook Verschlüsselung sselung 3. Berechnung Notebook Verschlüsselung für 500 Nutzer: Einmalige Lizenzkosten: 55.000 (1 Lizenz = 110) Jährliche Kosten: 1. Jahr 10.000, dann 5.000/Jahr Vermiedener Schaden 25.000 (= 5 Notebooks * 5.000) (= Reduced costs per year) Annahme Wert der Daten 5.000 Durchschnitt: gestohlene Notebooks 1% Calculation Time span Initial costs Implementation/ Roll-out, Admin Reduced costs?? Value of no losses from security breaches ROI 1 st year ROI 2 nd year ROI 3 rd year ROI 4 th year 1 st year 55.000 10.000 -- 25.000-40.000 2 nd year -- 5.000 -- 25.000-20.000 3 rd year -- 5.000 -- 25.000 0 4 th year -- 5.000 -- 25.000 20.000 In total 4 years 55.000 25.000 -- 100.000 20.000 56
RoSI-Berechnung Herausforderungen Die RoSi-Berechnung kann ein sehr komplexer Prozess sein Berechnung/Abschätzung des Schadens Berechnung/Abschätzung der Reduzierung des Schadens durch Sicherheitsmechanismen Komplexe Zusammenhänge zwischen Bedrohung und Schaden Komplexe Zusammenhänge zwischen Bedrohung und Wirkung von Sicherheitsmechanismen usw. 57
RoSI-Berechnung weitere einfache Beispiele Weitere Beispiele, bei denen eine RoSI-Berechnung in der Regel einfach durchgeführt werden kann, sind: Viren-Scanner Hier haben die meisten Unternehmen in den letzten Jahre selber Zahlen über die Kosten (S), die durch Schäden bei Virenbefall aufgetreten sind, zur Verfügung. ID-Management Management: SingleSignOn (SSO) oder Authentifizierung mit biometrischen Verfahren Hier kann der Einspareffekt durch Helpdesk Kosten sehr gut nachgewiesen werden (100 bis 200 /Jahr pro Benutzer). Elektronische Rechnungen mit digitaler Signatur Elektronische Rechnungen mit digitaler Signatur In diesem Bereich gibt es Studien, die aufzeigen, dass mit Hilfe einer elektronischen Rechnung sehr viel Geld gespart werden kann. Statt 1,40 für eine normale Papierrechnung mit handgeschriebener Unterschrift versendet, oder 0,40 für eine elektronische Rechnung mit digitaler Signatur, z.b. per E-Mail versendet. 58
Weitere Informationen den Wald vor lauter Bäumen nicht... 59
Weitere Informationen http://www.bsi.de Der IT-Sicherheitsleitfaden Norbert Pohlmann, Hartmut Blumberg Reichhaltiges, kostenloses Informationsangebot vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Kataloge Online-Schulungen Leitfaden Themen: IT-Sicherheit, RoSI-Berechnung Gebundene Ausgabe: 523 Seiten Verlag: Mitp-Verlag; Auflage: 2 (September 2006) ISBN-10: 3826616359 ISBN-13: 978-3826616358 Preis: 59,95 60
GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. Informationen und Preise unter www.bsi.bund.de/gstool Bezugsquelle: Download, Tool-CD und BSI-CD 30 Tage Testversion Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung 61
Beratungsangebot zum Thema Wirtschaftsspionage http://www.im.nrw.de/wirtschaftsspionage 62
IT-Grundschutz für Entscheider & Manager Vielen Dank für Ihre Aufmerksamkeit Fragen? Malte Hesse Hesse@internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule Gelsenkirchen