Schritt für Schritt zum sicheren Unternehmen

Schritt für Schritt zum sicheren Unternehmen Prof. Dr. Hans Jürgen Ott Berufsakademie Heidenheim KECoS Kompetenzzentrum Electronic Commerce Schwaben http://www. kecos.de Träger: Kooperationspartner: KECoS Kompetenz-Zentrum Electronic Conmerce Schwaben Ulm Bodensee-Oberschwaben

Die Ängste sind berechtigt. Quelle: http://www.bka.de/pks/pks2005/download/pks-jb_2005_bka.pdf

Mehr Straftaten bei geringerer Aufklärungsquote Quelle: http://www.bka.de/pks/pks2005/download/pks-jb_2005_bka.pdf

Die Bedrohung ist weltweit. Quelle: http://www.cert.org/stats/cert_stats.html, November 2006

Der Mittelstand reagiert bereits. "Es gibt da einen Irrglauben, dass Technologie auf irgendeine magische Weise das Sicherheitsproblem lösen kann. Es gibt auch keine technische Lösung für Mord und Raub". (Bruce Schneier) Virenscanner Firewall Datenverschlüsselung Digitale Signatur ist es damit getan? andere Maßnahmen keine Maßnahmen

Problem: Wie aktuell ist Ihr Virenschutz? Quelle: http://www.symantec.com/enterprise/security_response/threatexplorer Täglich neue Viren.

Aktualisierung Viren-DB Schutz Der Wettlauf wird dramatischer... zero-day-exploit Sicherheitslücke bekannt Virus-Veröffentlichung Viren-Entdeckung Update-Bereitstellung keine Schutzmöglichkeit Quelle: http://www.symantec.com/enterprise/threatreport Quelle: Andreas Marx, http://www.av- Test.org Exploit

... und unkalkulierbarer... Selbst Virenschutzprogramme können zeitweise Überträger sein

... mit drastischeren Folgen. Quelle: <kes>/microsoft-sicherheitsstudie 2004

Problem: Wie gut ist Ihre Firewall konfiguriert? Client Server Internet Client Firewall Kontrolle der ein- und ausgehenden Daten Client softwarebasiert (z.b. LINUX: iptables); hardwarebasiert (z.b. Cisco PIX, Watchguard Firebox,...)

Portscanner: Automatisch Lücken in Firewalls finden.

Sogar Viren öffnen und nützen Lücken. Welche Firewall sperrt schon Port 3127?

Problem: Wie sicher ist Ihre Kommunikation nach/von draußen? Personal Firewall Was passiert zwischen sicheren Systemen? Unternehmens- Firewall wichtig! Außendienst- Mitarbeiter Unternehmen

Problem: Wie sicher ist Ihre drahtlose Kommunikation? Wardriving, LAN jacking: Eindringen in mobile Netze.

Die Gefahrenquelle Mensch ist technisch nicht verhinderbar. Bedeutung heute Prognose Schäden Gefahrenbereich Rang Priorität Rang Priorität Rang ja, bei Irrtum und Nachlässigkeit eigener Mitarbeiter 1 1,50 2 1,70 2 51 % Malware (Viren, Würmer, Troj. Pferde,...) 2 1,34 1 2,80 1 54 % unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage 3 0,60 4 1,14 8 9 % Software-Mängel/-Defekte 4 0,57 5 0,96 3 43 % Hacking (Vandalismus, Probing, Missbrauch,...) 5 0,48 3 1,26 5 19 % Hardware-Mängel/-Defekte 6 0,40 8 0,32 4 38 % unbeabsichtigte Fehler von Externen 7 0,30 9 0,26 7 15 % höhere Gewalt (Feuer, Wasser,...) 8 0,24 11 0,04 9 8 % Manipulation zum Zweck der Bereicherung 9 0,17 7 0,43 10 8 % Mängel der Dokumentation 10 0,15 10 0,20 6 17 % Sabotage (inkl. DoS) 11 0,12 6 0,55 11 8 % Sonstiges 12 0,03 12 0,00 12 3 % Quelle: KES-Sicherheitsstudie 2004 / Basis: 161 Antworten (Bedeutung), Ø 124 (Prognose), Ø 128 (Schäden)

Beispiel: Phishing (password fishing) Werbung (Banner, Werbemail) mit scheinbarem Link auf Bank-/ Kreditkarten-Website tatsächlicher Link auf Angreifer-Website Angreifer-Website enthält Formular, in das geheime Daten eingetragen werden sollen geheime Daten erhält nicht die Bank, sondern der Angreifer Social Engineering: Ausnutzen von Nachlässigkeit/Furcht/ Dummheit von Mitarbeitern. Number of unique phishing messages Quelle: Symantec Corporation, Oktober 2006

Beispiel: Sicherheitslücke Passwort. Quelle: iconomy, Juli 2005

Problemlösung durch sorgfältige/umfassende Sicherheitskonzeption. Security Policy Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Ist-Zustand Systemgrenzen Systemgrenzen Festlegen Festlegen Sicherheitsobjekte Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Fortschreiben Fortschreiben der der Konzeption Konzeption Gefahren erkennen Gefahren bewerten Gefahren abwehren

1. Gefahren erkennen. Ziele: Was soll erreicht werden? Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Datenschutz,... Ist-Zustand: Wie sieht es derzeit aus? eigenes Personal (Sicherheitsbeauftragter, betrieblicher Datenschutzbeauftragter) Einrichtungen (Werkschutz, Feuervorsorge,...) Hard- und Software (Sicherheitssoftware,...) Sicherungsobjekte: Was ist zu sichern? Hardware, Software, Daten, Personen, Betriebsmittel Bedrohungsanalyse: Was kann passieren? Gefahrenquellen: Natur/höhere Gewalt, Technik, Mitarbeiter, externe Personen,... gedankliches Durchspielen (Szenario-Technik) Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

2. Gefahren bewerten. Risikoanalyse: Was wird wahrscheinlich passieren? Wahrscheinlichkeiten von Gefahren: Polizeistatistik, Versicherer, eigene Erfahrungen, Hersteller, News-Groups, Literatur,... Schadensanalyse: Wie wird sich das auswirken? Kostensteigerung direkte Schadensfolgen: Zinskosten, Lagerkosten, unnötiger Traffic (z.b. bei Spam),... Wiederherstellungsaufwand bei Daten (Recovery) und DV-System (Ersatzbeschaffung) Mehraufwand für Handbetrieb bei Personal (Zusatzpersonal, Einarbeitung) und Betriebsmitteln (Papier, Fahrtkosten,...) Erlöseinbußen direkt: Forderungsausfall, Betriebsausfall indirekt: Verzögerungen, Kundenunzufriedenheit Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

3. Maßnahmen ergreifen. vorbeugen: Vulnerability Assessment, Notfallplan,... erkennen: Intrusion Detection; Honey-Pots,... korrigieren: Backup,... Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte ignorieren: Versicherung,... Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse deligieren: Managed Security Services,... Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption

Problem: Wer soll das alles machen? Sicherheit auslagern. Muß ich mich dann um nichts mehr kümmern?

IT-Sicherheit im Mittelstand: Spezifische Bedingungen. niedriges finanzielles Polster geringes Experten- Know How Personalknappheit geringe Standardisierung von Abläufen geringe Arbeitsteiligkeit im Sicherheitsmanagement inkrementelles Vorgehen finanziell tragbar wenig Beeinträchtigung des laufenden Geschäfts erweiterbar beherrschbare Schritte

Die KECoS-Lösung zum sicheren Mittelstandsunternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Schritt 1: Verantwortliches Personal bestimmen. Der IT-Sicherheitsbeauftragte ist der Verantwortliche für die IT-Sicherheit. Kenntnis der Risiken Koordinierung der Maßnahmen Überwachung der Maßnahmen Kümmerer für IT-Sicherheit 1. Sicherheitsbeauftragten bestimmen

Es gibt viel zu tun für Sicherheitsbeauftragte. z.b. sich mal die Arbeitsplatzrechner anzusehen... Keylogger als Hard- und Software. Quelle: http://www.harvard.de/pressemeldungen/mcafee/2007/6-avert-id-thft-001-0107s_de.pdf, Januar 2007

Eingesetztes Sicherheitspersonal in der Praxis. Den Bock zum Gärtner gemacht

Schritt 2: Daten regelmäßig sichern. 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Band 1 Band 2 Band 3... Datensicherung (Backup). Kopie der produktiven Datenträger anfertigen. sichere Archivierung auf Band, CD, etc. an anderem Ort Bei Datenträgerfehler/Virus etc.: Aufspielen der Kopie auf neuen Datenträger Archivierung nach dem Generationenprinzip: 1. Sicherung (Großvater) 2. Sicherung (Vater) 3. Sicherung (Sohn) 4. Sicherung (Enkel) 5. Sicherung (Urenkel) Aufwand <==> Sicherheit...

Schritt 3: Gegen Viren und andere Schadsoftware schützen. 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Viren-Schutz. Virenschutzprogramme (Viren-Wächter, -Scanner) installieren Regelmäßig (automatisch) updaten Notfallplan erarbeiten (Wer was wann wie wo mit wem?) Umsicht, Vorsicht, Sorgfalt keine Raubkopien und unbekannten Programme verwenden nur bekannte Mails öffnen, nur sichere Attachments anklicken regelmäßig Sicherungskopien anlegen

Schritt 4: Hacker müssen draußen bleiben. 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Einstieg: Penetration Software. Lücken finden durch Portscanner

Schritt 5: Sicherheit muss gewollt und gekonnt werden. 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Information/Schulung im Sicherheitsbereich. Benutzer IV-/DV-Mitarbeiter Datenschutzbeauftragte ISI-Beauftragte Revisoren, Prüfer Management andere Quelle: KES/UTIMACO-Sicherheitsstudie 2002 gar nicht gelegentlich, spezielle Anlässe regelmäßig

Schritt 6: Daten auch außerhalb des Unternehmens absichern. 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Virtual Private Networks (VPN) schützen übertragene Daten. Verschlüsselung der Daten Zugriff für Angreifer nutzlos Benutzung von digitalen Zertifikaten Kommunikationspartner authentifiziert sich Kombination: Virtual Private Network (VPN) Datenpakete werden ausgepackt und durch Tunnel übertragen Vertraulichkeit Echtheit VPN-Client VPN-Client (z.b. Firewall)

weitere Schritte: Es gibt kein zu sicheres Unternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen

Problem: Kosten-Nutzen-Asymmetrie. Kosten von Sicherheitsmaßnahmen Nutzen von Sicherheitsmaßnahmen der Maßnahme leicht zuordenbar der Maßnahme schwer zuordenbar leicht bewertbar schwer bewertbar treten sicher auf unsicher, ob er überhaupt auftritt Großteil tritt sofort auf tritt erst später auf!?

Fazit. Sicherheitsmaßnahmen sind teuer und schwierig -... aber notwendig! Jetzt Vorsorge treffen! Mittel bereitstellen Personal bestimmen Bewußtsein bei den Mitarbeitern schaffen Das Netzwerk Elektronischer Geschäftsverkehr hilft!

Das Netz der Kompetenz-Zentren. Über 20 Kompetenzzentren in Deutschland Information, Beratung, Schulung www.ec-sicherheit.de