IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik
Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung im BSI Folie 2
Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für ITSicherheit. Jahresbudget: 51 Mio. Mitarbeiter: rund 400 Standort: Bonn Folie 3
Kunden und Dienstleistungen Regierung und Verwaltung Unterstützung E-Government IT-Sicherheitsberatung Entwicklung von Kryptosystemen Lauschabwehr Betrieb des Regierungsnetzes Wissenschaft Kooperation mit Universitäten Trendanalysen Vergabe von Forschungsaufträgen Bürger Sensibilisierungskampagnen BSI - Internetangebot www.bsi.bund.de www.bsi-fuer-buerger.de Fachbeiträge in Zeitschriften Veranstaltungen, Messen, Kongresse Wirtschaft Nationales CERT IT-Grundschutz Zertifizierung Sicherheitspartnerschaften Folie 4
IT-Sicherheit: Zahlen & Fakten Steigende Zahl von Angriffen 15% der Internetnutzer hatten 2003 Sicherheitsprobleme im Internet* pro Tag 10-15 neue Viren 1996: 10 von 1000 PCs infiziert 2002: 160 von 1000 PCs steigende Schäden: 2003 allein durch Viren rund 13 Mrd. Dollar** * Destatis (10/2004) ** Computer Economics 2004 Folie 5
ABER: Mangelnde Investitionsbereitschaft... in die Technik: IT-Sicherheit ist für 90 Prozent der Unternehmen für die Erreichung des Unternehmensziels wichtig* Aber: 75 Prozent der Unternehmen investieren weniger als 10 Prozent des IT-Budgets für Sicherheit. Rund 12 Prozent haben bislang überhaupt kein Geld für Security-Maßnahmen ausgegeben.** Positiv: Je größer das Unternehmen, desto mehr Sicherheitsmechanismen.*** * Ernst&Young (2003) ** CompTIA (2003) ***Statistisches Bundesamt (2004) Folie 6
Mangelnde Investitionsbereitschaft... in die Ausbildung der Mitarbeiter: 75 Prozent aller IT-Leiter sehen menschliches Versagen als größtes IT-Sicherheitsrisiko* Aber: nur 35 Prozent der Unternehmen veranschlagen ITBudget für die Ausbildung/Sensibilisierung der Mitarbeiter** rund ein Viertel aller Angreifer sind Mitarbeiter*** * Hitachi Data Systems (2003) ** Ernst&Young (2003) *** Mummert (2002) Folie 7
Weitere Sicherheitsbarrieren Sicherheitsbarrieren sind vielfältig: Zeitmangel Budgetknappheit zunehmende Komplexität der Sicherheitsbedrohung mangelnde Awareness bei den Mitarbeitern Komplexität der Technologie fehlende Sicherheitsstrategie fehlendes qualifiziertes Personal Mögliche Folgen: Imageschäden/Probleme bei Bekannt werden von vertraulichen Daten Schäden durch Ausfallzeiten Folie 8
Deshalb: Vorbeugen! BSI Dienstleistungen: Methoden und Werkzeuge zur Integration von IT-Sicherheit IT-Grundschutz Zertifizierung Folie 9
Ziel IT-Grundschutz Durch geeignete Anwendung von infrastrukturellen, organisatorischen, personellen und technischen Standardsicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Anwendungen dienen kann. Folie 10
IT-Grundschutzhandbuch Sammlung von Standardsicherheitsmaßnahmen für typische IT-Systeme Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten Standard für IT-Sicherheit Nachschlagewerk: rund 2.500 Seiten ständige Aktualisierung kostenfreie elektronische Version: www.bsi.bund.de/gshb Folie 11
Leitfaden IT-Sicherheit IT-Grundschutz kompakt GSHB zu umfangreich für die Belange von kleinen und mittleren Unternehmen (KMU) Essenz aus GSHB für KMUs auf 50 Seiten aufbereitet Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen Zielgruppe: IT-Verantwortliche und Administratoren in kleinen und mittleren Unternehmen und Behörden Download unter: www.bsi.bund.de/gshb/leitfaden/index.htm Folie 12
IT-Grundschutz-Schulung Selbstlernkurs auf HTML-Basis Warum? Hohe Nachfrage nach Grundschutz-Schulungen Unterstützung von KMUs (niedrigere Schwelle zum Einstieg) Wie? verschiedene Lehrabschnitte mit Übungsfragen und Beispielen Zeitaufwand: 4-5 Stunden ersetzt eine 1- bis 2-tägige Schulung Wo? www.bsi.bund.de/gshb/webkurs/index.htm Folie 13
IT-Grundschutz-Tool 3.1 seit August 2004 verfügbar unterstützt bei der Erstellung und Fortschreibung von IT-Sicherheitskonzepten und Sicherheitsrevisionen für Behörden kostenlos für übrige Kunden Staffelpreise (Einzellizenz: 765 Euro + MwSt.) kostenloser Download: 30-Tage-Testversion 3300 Lizenzen im Einsatz Weitere Informationen: http:/ www.bsi.bund.de/gstool Folie 14
Zertifizierung im BSI GS-Zertifikat CC-Zertifizierung ITSEC-Zertifizierung Folie 15
BSI Zertifizierungsschema Produkt-Zert.: Produkt-Lösg. Internationale Anerkennung Grundschutz: Einsatzkonzepte BSI-Zertifikat* BSI als nationale Sicherheitsbehörde IT-Grundschutz-Zertifikat IT-Grundschutz-Zertifikat bestätigt Umsetzung des IT-Grundschutzes in Systemen * Nachweis gegenüber Dritten (z.b.: Kunden, Branchenverbände, Versicherer, DS-Beauftragte) Produkt-Zertifikat CC/ITSEC Kunde, Anwender, Betreiber 120 lizenzierte Auditoren Unterstützung durch: akkreditierte Prüfstellen lizenzierte Auditoren international. Gremien bzgl. Kriterienabstimmung und gegenseitige Anerkennung Produkt-Zertifikat bestätigt produktspezifische Sicherheitsmerkmale 12 akkreditierte Prüfstellen Folie 16
Das IT-Grundschutz-Zertifikat Warum? Unternehmen und Behörden wollen Sicherheitsniveau dokumentieren (intern/nach außen) Wie sicher sind meine Geschäftspartner? Maßstab für Umsetzung von Standard-Sicherheitsmaßnahmen Dafür steht es: In der Institution...... ist IT-Sicherheit anerkannter Wert.... ist IT-Sicherheitsmanagement vorhanden.... sind Standardsicherheitsmaßnahmen umgesetzt.... zu einem bestimmten Zeitpunkt wurde ein definiertes ITSicherheitsniveaus erreicht. Folie 17
CC - Zertifizierung Festlegung Sicherheitseigenschaften des Produkts in Verbindung mit den dort auftretenden Bedrohungen (z.b. Loginfunktion) Festlegung des Grades der Vertrauenswürdigkeit (z.b. Quellcodeanalyse) Festlegung von Einsatzumgebungen und Installationsbedingungen Feststellung von inhärenten Schwachstellen und entsprechenden Gegenmaßnahmen Möglichkeit der Nutzung von vorgegebenen Profilen (Protection Profiles) -> Vergleichbarkeit von Produkten Folie 18
IT-Sicherheits-Zertifizierung: Kriterien Common Criteria for Information Technology Security Evaluation Part I: Introduction and general model May 1998 1998: Common Criteria (CC) V2.0 1999: ISO/IEC 15408 Version 2.0 CCIB-98-026 S Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) Juni 1991 1991: Information Technology Security Evaluation Criteria (ITSEC) Zentralstelle für Sicherheit IT-SICHERHEITSKRITERIEN Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) xyz, Datum 1989: German IT Security Criteria (ITS) Folie 19
Zertifizierungsverfahren: Beteiligte Partner HERSTELLER ZERTIFIZIERUNGSSTELLE stellt Know-How über Kriterien und Prüfverfahren zur Verfügung PRÜFSTELLE wahrt die Gleichwertigkeit der Prüfverfahren Garant für Neutralität Folie 20
Internationale Anerkennung der IT-Sicherheitszertifizierung Zertifizierende und anerkennende Nationen Anerkennende Nationen Finnland Griechenland Australien/ Neuseeland Israel Italien Deuschland Niederlande Frankreich Norwegen Großbritannien Spanien Kanada Schweden USA Ungarn Türkei Österreich Folie 21
Aktuelle Zertifikate - Beispiele Infineon Smartcard-Controller (Smart Card IC SLE66CX322P) Gemplus Smart Card Betriebssystem (GemXpresso Pro E64 PK) SuSE Betriebssystem (Linux) IBM Betriebssysteme, Directory-Server, Tivoli Microsoft Firewall GeNUA Firewall Utimaco PC-Sicherheitsprodukte Renesas (Hitachi) Smartcard-Controller (AE43C Version 01) Philips Smartcard-Controller (P16WX064V0C) G+D Tachosmart Card (STARCOS SPK 2.4 mit Tachograph Card Applikation) Folie 22
Informationen I www.bsi.bund.de BSI-Internetauftritte www.bsi-fuer-buerger.de Folie 23
Informationen II www.mittelstand-sicher-im-internet.de Folie 24
Informationen III Info-CD-ROMs Folie 25
Informationen IV IT-Grundschutz-Hotline Telefon: 01888-9582-369 E-Mail: gshb@bsi.bund.de IT-Grundschutz-Zertifikat E-Mail: gssiegel@bsi.bund.de IT-Grundschutz-Tool Telefon: 01888-9582-299 E-Mail: gstool@bsi.bund.de CD-ROM auch in Englisch verfügbar kostenlos unter www.bsi.bund.de IT-Sicherheitszertifizierung Telefon: 01888-9582-111 E-Mail: zerti@bsi.bund.de Print-Version ca. 2.500 Seiten, 148 Bundesanzeigerverlag Folie 26
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Präsident Godesberger Allee 185-189 D-53175 Bonn Tel: +49-1888-9582-330 Fax: +49-1888-9582-90330 kai.fuhrberg@bsi.bund.de www.bsi.bund.de Folie 27