Schritt für Schritt zum sicheren Unternehmen Prof. Dr. Hans Jürgen Ott Berufsakademie Heidenheim KECoS Kompetenzzentrum Electronic Commerce Schwaben http://www. kecos.de Träger: Kooperationspartner: KECoS Kompetenz-Zentrum Electronic Conmerce Schwaben Ulm Bodensee-Oberschwaben
Die Ängste sind berechtigt. Quelle: http://www.bka.de/pks/pks2005/download/pks-jb_2005_bka.pdf
Mehr Straftaten bei geringerer Aufklärungsquote Quelle: http://www.bka.de/pks/pks2005/download/pks-jb_2005_bka.pdf
Die Bedrohung ist weltweit. Quelle: http://www.cert.org/stats/cert_stats.html, November 2006
Der Mittelstand reagiert bereits. "Es gibt da einen Irrglauben, dass Technologie auf irgendeine magische Weise das Sicherheitsproblem lösen kann. Es gibt auch keine technische Lösung für Mord und Raub". (Bruce Schneier) Virenscanner Firewall Datenverschlüsselung Digitale Signatur ist es damit getan? andere Maßnahmen keine Maßnahmen
Problem: Wie aktuell ist Ihr Virenschutz? Quelle: http://www.symantec.com/enterprise/security_response/threatexplorer Täglich neue Viren.
Aktualisierung Viren-DB Schutz Der Wettlauf wird dramatischer... zero-day-exploit Sicherheitslücke bekannt Virus-Veröffentlichung Viren-Entdeckung Update-Bereitstellung keine Schutzmöglichkeit Quelle: http://www.symantec.com/enterprise/threatreport Quelle: Andreas Marx, http://www.av- Test.org Exploit
... und unkalkulierbarer... Selbst Virenschutzprogramme können zeitweise Überträger sein
... mit drastischeren Folgen. Quelle: <kes>/microsoft-sicherheitsstudie 2004
Problem: Wie gut ist Ihre Firewall konfiguriert? Client Server Internet Client Firewall Kontrolle der ein- und ausgehenden Daten Client softwarebasiert (z.b. LINUX: iptables); hardwarebasiert (z.b. Cisco PIX, Watchguard Firebox,...)
Portscanner: Automatisch Lücken in Firewalls finden.
Sogar Viren öffnen und nützen Lücken. Welche Firewall sperrt schon Port 3127?
Problem: Wie sicher ist Ihre Kommunikation nach/von draußen? Personal Firewall Was passiert zwischen sicheren Systemen? Unternehmens- Firewall wichtig! Außendienst- Mitarbeiter Unternehmen
Problem: Wie sicher ist Ihre drahtlose Kommunikation? Wardriving, LAN jacking: Eindringen in mobile Netze.
Die Gefahrenquelle Mensch ist technisch nicht verhinderbar. Bedeutung heute Prognose Schäden Gefahrenbereich Rang Priorität Rang Priorität Rang ja, bei Irrtum und Nachlässigkeit eigener Mitarbeiter 1 1,50 2 1,70 2 51 % Malware (Viren, Würmer, Troj. Pferde,...) 2 1,34 1 2,80 1 54 % unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage 3 0,60 4 1,14 8 9 % Software-Mängel/-Defekte 4 0,57 5 0,96 3 43 % Hacking (Vandalismus, Probing, Missbrauch,...) 5 0,48 3 1,26 5 19 % Hardware-Mängel/-Defekte 6 0,40 8 0,32 4 38 % unbeabsichtigte Fehler von Externen 7 0,30 9 0,26 7 15 % höhere Gewalt (Feuer, Wasser,...) 8 0,24 11 0,04 9 8 % Manipulation zum Zweck der Bereicherung 9 0,17 7 0,43 10 8 % Mängel der Dokumentation 10 0,15 10 0,20 6 17 % Sabotage (inkl. DoS) 11 0,12 6 0,55 11 8 % Sonstiges 12 0,03 12 0,00 12 3 % Quelle: KES-Sicherheitsstudie 2004 / Basis: 161 Antworten (Bedeutung), Ø 124 (Prognose), Ø 128 (Schäden)
Beispiel: Phishing (password fishing) Werbung (Banner, Werbemail) mit scheinbarem Link auf Bank-/ Kreditkarten-Website tatsächlicher Link auf Angreifer-Website Angreifer-Website enthält Formular, in das geheime Daten eingetragen werden sollen geheime Daten erhält nicht die Bank, sondern der Angreifer Social Engineering: Ausnutzen von Nachlässigkeit/Furcht/ Dummheit von Mitarbeitern. Number of unique phishing messages Quelle: Symantec Corporation, Oktober 2006
Beispiel: Sicherheitslücke Passwort. Quelle: iconomy, Juli 2005
Problemlösung durch sorgfältige/umfassende Sicherheitskonzeption. Security Policy Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Ist-Zustand Systemgrenzen Systemgrenzen Festlegen Festlegen Sicherheitsobjekte Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Fortschreiben Fortschreiben der der Konzeption Konzeption Gefahren erkennen Gefahren bewerten Gefahren abwehren
1. Gefahren erkennen. Ziele: Was soll erreicht werden? Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Datenschutz,... Ist-Zustand: Wie sieht es derzeit aus? eigenes Personal (Sicherheitsbeauftragter, betrieblicher Datenschutzbeauftragter) Einrichtungen (Werkschutz, Feuervorsorge,...) Hard- und Software (Sicherheitssoftware,...) Sicherungsobjekte: Was ist zu sichern? Hardware, Software, Daten, Personen, Betriebsmittel Bedrohungsanalyse: Was kann passieren? Gefahrenquellen: Natur/höhere Gewalt, Technik, Mitarbeiter, externe Personen,... gedankliches Durchspielen (Szenario-Technik) Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption
2. Gefahren bewerten. Risikoanalyse: Was wird wahrscheinlich passieren? Wahrscheinlichkeiten von Gefahren: Polizeistatistik, Versicherer, eigene Erfahrungen, Hersteller, News-Groups, Literatur,... Schadensanalyse: Wie wird sich das auswirken? Kostensteigerung direkte Schadensfolgen: Zinskosten, Lagerkosten, unnötiger Traffic (z.b. bei Spam),... Wiederherstellungsaufwand bei Daten (Recovery) und DV-System (Ersatzbeschaffung) Mehraufwand für Handbetrieb bei Personal (Zusatzpersonal, Einarbeitung) und Betriebsmitteln (Papier, Fahrtkosten,...) Erlöseinbußen direkt: Forderungsausfall, Betriebsausfall indirekt: Verzögerungen, Kundenunzufriedenheit Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption
3. Maßnahmen ergreifen. vorbeugen: Vulnerability Assessment, Notfallplan,... erkennen: Intrusion Detection; Honey-Pots,... korrigieren: Backup,... Rahmenbedingungen: Rahmenbedingungen: Sicherheitsziele Sicherheitsziele Ist-Zustand Systemgrenzen Ist-Zustand Systemgrenzen Festlegen Sicherheitsobjekte Festlegen Sicherheitsobjekte ignorieren: Versicherung,... Bedrohungsanalyse Bedrohungsanalyse Risikoanalyse Risikoanalyse deligieren: Managed Security Services,... Schadensanalyse Schadensanalyse Maßnahmenkonzeption Maßnahmenkonzeption
Problem: Wer soll das alles machen? Sicherheit auslagern. Muß ich mich dann um nichts mehr kümmern?
IT-Sicherheit im Mittelstand: Spezifische Bedingungen. niedriges finanzielles Polster geringes Experten- Know How Personalknappheit geringe Standardisierung von Abläufen geringe Arbeitsteiligkeit im Sicherheitsmanagement inkrementelles Vorgehen finanziell tragbar wenig Beeinträchtigung des laufenden Geschäfts erweiterbar beherrschbare Schritte
Die KECoS-Lösung zum sicheren Mittelstandsunternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Schritt 1: Verantwortliches Personal bestimmen. Der IT-Sicherheitsbeauftragte ist der Verantwortliche für die IT-Sicherheit. Kenntnis der Risiken Koordinierung der Maßnahmen Überwachung der Maßnahmen Kümmerer für IT-Sicherheit 1. Sicherheitsbeauftragten bestimmen
Es gibt viel zu tun für Sicherheitsbeauftragte. z.b. sich mal die Arbeitsplatzrechner anzusehen... Keylogger als Hard- und Software. Quelle: http://www.harvard.de/pressemeldungen/mcafee/2007/6-avert-id-thft-001-0107s_de.pdf, Januar 2007
Eingesetztes Sicherheitspersonal in der Praxis. Den Bock zum Gärtner gemacht
Schritt 2: Daten regelmäßig sichern. 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Band 1 Band 2 Band 3... Datensicherung (Backup). Kopie der produktiven Datenträger anfertigen. sichere Archivierung auf Band, CD, etc. an anderem Ort Bei Datenträgerfehler/Virus etc.: Aufspielen der Kopie auf neuen Datenträger Archivierung nach dem Generationenprinzip: 1. Sicherung (Großvater) 2. Sicherung (Vater) 3. Sicherung (Sohn) 4. Sicherung (Enkel) 5. Sicherung (Urenkel) Aufwand <==> Sicherheit...
Schritt 3: Gegen Viren und andere Schadsoftware schützen. 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Viren-Schutz. Virenschutzprogramme (Viren-Wächter, -Scanner) installieren Regelmäßig (automatisch) updaten Notfallplan erarbeiten (Wer was wann wie wo mit wem?) Umsicht, Vorsicht, Sorgfalt keine Raubkopien und unbekannten Programme verwenden nur bekannte Mails öffnen, nur sichere Attachments anklicken regelmäßig Sicherungskopien anlegen
Schritt 4: Hacker müssen draußen bleiben. 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Einstieg: Penetration Software. Lücken finden durch Portscanner
Schritt 5: Sicherheit muss gewollt und gekonnt werden. 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Information/Schulung im Sicherheitsbereich. Benutzer IV-/DV-Mitarbeiter Datenschutzbeauftragte ISI-Beauftragte Revisoren, Prüfer Management andere Quelle: KES/UTIMACO-Sicherheitsstudie 2002 gar nicht gelegentlich, spezielle Anlässe regelmäßig
Schritt 6: Daten auch außerhalb des Unternehmens absichern. 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Virtual Private Networks (VPN) schützen übertragene Daten. Verschlüsselung der Daten Zugriff für Angreifer nutzlos Benutzung von digitalen Zertifikaten Kommunikationspartner authentifiziert sich Kombination: Virtual Private Network (VPN) Datenpakete werden ausgepackt und durch Tunnel übertragen Vertraulichkeit Echtheit VPN-Client VPN-Client (z.b. Firewall)
weitere Schritte: Es gibt kein zu sicheres Unternehmen. 7. weitere Schritte (IDS/IPS, Honeypot,...) 6. Außendienstkommunikation absichern (VPN) 5. Sicherheitskultur aufbauen 4. Firewall einrichten (Unternehmen, Außendienst) 3. Virenschutz einrichten 2. Backup-Konzept einrichten 1. Sicherheitsbeauftragten bestimmen
Problem: Kosten-Nutzen-Asymmetrie. Kosten von Sicherheitsmaßnahmen Nutzen von Sicherheitsmaßnahmen der Maßnahme leicht zuordenbar der Maßnahme schwer zuordenbar leicht bewertbar schwer bewertbar treten sicher auf unsicher, ob er überhaupt auftritt Großteil tritt sofort auf tritt erst später auf!?
Fazit. Sicherheitsmaßnahmen sind teuer und schwierig -... aber notwendig! Jetzt Vorsorge treffen! Mittel bereitstellen Personal bestimmen Bewußtsein bei den Mitarbeitern schaffen Das Netzwerk Elektronischer Geschäftsverkehr hilft!
Das Netz der Kompetenz-Zentren. Über 20 Kompetenzzentren in Deutschland Information, Beratung, Schulung www.ec-sicherheit.de