Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit
Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit (BSI) in der Informationstechnik lizenzierter BSI IT-Grundschutzauditor Certified Information System Security Professional (CISSP) CompTIA Security+ ITIL Foundation
Ausgangslage Aufgrund der großen IT- Abhängigkeit der Geschäftsprozesse wirken sich deren Anforderungen direkt auf die IT aus
Notwendige Konsequenz Ausrichtung der IT auf die Geschäftsziele Verantwortungsvoller Umgang mit Ressourcen (z.b. Kosten-Nutzen-Relation) Angemessene Steuerung der Risiken IT- bzw. Informations-Sicherheits-Management
Informationen vs. IT IT dient zur Erhebung, Speicherung, Verarbeitung und Nutzung von Informationen. Informationen sind Unternehmens-Werte, die vor Bedrohungen geschützt werden müssen. IT-Sicherheit ist ein Teil der Informations- Sicherheit
Was ist Informations-Sicherheit? Prozess oder Status Chefsache oder IT-Abteilung Notwendigkeit oder Nice-to-have
Was muss sicher sein? Prozesse Fachverfahren Informationen Ressourcen Schutz der Vertraulichkeit Schutz der Integrität Schutz der Verfügbarkeit Schutz vor Rechtsverstößen eine bestimmte Information ausschließlich dem zuständigen Anwender unversehrt und korrekt zur rechten Zeit am rechten Ort Einhaltung von gesetzlichen und sonstigen Anforderungen; Sowie Schutz vor Missbrauch
Ganzheitlichkeit der Informationssicherheit Management des kontinuierlichen Geschäftsbetriebs Einhaltung der Anforderungen & Verpflichtungen IT-Strategie & Sicherheitspolitik Organisatorische Sicherheit IT-Dokumentation 10 1 9 8 100 75 50 7 25 2 3 4 6 5 Change Management Zugriffs-, Zutritts- & Zugangskontrolle Persönliche Absicherung Physische und umgebungsbezogene Sicherheit 0 Regelmäßige Sicherheitsaudits
100%ige Sicherheit? Risiko ist die Bugwelle des Erfolges 100%ige Sicherheit gibt es nicht und ist nicht Erstrebenswert
Warum Informations-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner Vorgesetzte Rechnungshöfe Interne Vorschriften Wirtschaftsprüfer Interne Revision
IT-relevante Normen Die objektiv nachweisbare und nachprüfbare Erfüllung von gesetzlichen, vertraglichen und sonstigen Anforderungen an den ordnungsmäßigen IT- Betrieb. Auszüge: GDPdU Grundsätze der Prüfbarkeit digitaler Unterlagen BDSG Bundesdatenschutzgesetz KonTraG Gesetz zur Kontrolle und Transparenz von Unternehmen SOX Sarbanes Oxley Act GOB Grundsätze ordnungsgemäßer Buchführung IDW PS 330 IT-Systemprüfung im Rahmen der Jahresabschlussprüfung AG, GmbH-G Kaufmännische Sorgfaltspflichten Konzernrichtlinien, Unternehmensrichtlinien, Dienstverordnungen Bildschirmarbeitsplatzverordnung, Jugendschutzgesetz Etc.
Wie gehe ich vor? Geplant und strukturiert - keine isolierten Maßnahmen - keine fehlenden oder inkonsistenten Konzepte - keine einmaligen Aktionen
Informations-Sicherheits-Standards ITIL ISO 9000 CobiT ISO 17799 BS 7799 ISO 27001 IT-GSHB FIPS 140-1/2 IDW PS 330
Sicherheit im elektronischen Geschäftsverkehr Elektronischer Geschäftsverkehr und elektronische Kommunikation gewinnen immer mehr an Bedeutung Basiert bisher oft nur auf (gegenseitigem) Vertrauen, meist keine wirkliche Sicherheit gewährleistet Ohne nachweisbare Sicherheit kein Geschäft
Was bedeutet Sicherheit in der elektronischen Kommunikation: Schutz der Vertraulichkeit des Inhalts Schutz der Integrität (Unveränderlichkeit) des Inhalts Schutz der Verfügbarkeit der Kommunikationsmöglichkeit Schutz der Authentizität der Vertrags- bzw. Kommunikationspartner Schutz vor Rechtsverstößen Gewährleistung der Nachweisbarkeit & Rechtssicherheit etc.
Was ist eine elektronische Signatur? Vereinfachte Definition: Ist ein spezielles Unterschriftsmerkmal welche die Identität der Kommunikationspartner und die Unversehrtheit und Beweisfähigkeit der übertragenen Daten gewährleistet.
Was ist eine elektronische Signatur? Technisch korrekte Definition: Eine mittels geheimen Schlüssel verschlüsselte Prüfsumme, welche einer elektronischen Datei beigefügt wird, um die Authentizität, Integrität und Beweisfähigkeit dieser Datei sicherstellen zu können. Das technische Verfahren elektronischer Signaturen basiert auf der Verwendung zweier unterschiedlicher elektronischer Schlüssel: dem so genannten privaten Schlüssel und dem so genannten öffentlichen Schlüssel.
Synchrone & Asynchrone Verschlüsselung ynchrone Verschlüsselung: Ein einziger Schlüssel zum Ver- und Entschlüsseln Dedizierter Schlüsselaustausch zwischen Empfänger und Absender Viele unterschiedliche Schlüssel bei verschiedenen Kommunikationspartnern Bespiele: Verschlüsselung in WinZIP, MS Word synchrone Verschlüsselung mittels Public-Key Methode: Verschiedene Schlüssel zum Ver- und Entschlüsseln (öffentlicher / privater Schlüssel) Kein dedizierter Schlüsselaustausch zwischen Absender und jedem einzelnem Empfänger notwendig Bespiele: Mobilfunk über GSM, HTTPS/ SSL
Was ist ein Zertifikat? Zertifikat = Signatur + (Person & Identitätsnachweiszweck) Elektronische Zertifikate sind Bescheinigungen, mit denen Signaturprüfschlüssel einer Person zugeordnet werden und die Identität dieser Person bestätigt wird. ( 2 Nr. 6 SigG)
Vereinfachtes Beispiel für Schlüsselpaar
Unterschreiben eines Dokuments
Vielen Dank für Ihre Aufmerksamkeit! Knut Haufe www.persicon.com khaufe@persicon.com