Foliensatz 1 - Sicherheit in komplexen IT-Systemen

Document Sample
Foliensatz 1 - Sicherheit in komplexen IT-Systemen Powered By Docstoc
					Sicherheit in komplexen
       IT-Systemen
            Teil 1
  IT-Sicherheitsmanagement
  IT-Sicherheitsmanagement

1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
   Zertifizierung



                   Dr. Michael David          Folie 2
1. Einführung in die betriebliche
          IT-Sicherheit

1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen




                Dr. Michael David   Folie 3
    1.1 Was ist IT-Sicherheit?
Gefundene Definitionen:

 „Sicherheit ist ein Zustand, in dem potentielle
 Schadensereignisse unbekannter Art auf ein
 angemessenes Maß reduziert werden“

 „Sicherheit ist die Summe aller Maßnahmen, die ergriffen
 werden, um einen definierten Zustand von
 Gefahrlosigkeit zu erreichen“

Problematisch:     Wie wird der Zustand erreicht?
                   Wie ergeben sich Maßnahmen?
                          Dr. Michael David          Folie 4
        Was ist IT-Sicherheit?
Bessere Definitionen:
 „Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit
 vorbeugenden Technologien, aber auch mit Erkennungs- und
 Reaktionsprozessen zu tun.“ (Schneier)

 „Sicherheit ist ein Prozeß, ein ständiges Bemühen. Hacker
 entwickeln ständig neue Methoden, Ihren Rechner anzugreifen,
 jeden Tag tauchen neue Viren auf. Sicherheit ist vor diesem
 Hintergrund schon die Kenntnis der Gefahr.“ (easynet.de)

Sicherheit ist als Synonym mit einem übergreifenden
Sicherheitsprozeß zu sehen
• Welche Ziele verfolgt der Prozeß?
• Wie sollte er aufgebaut werden?
                           Dr. Michael David                      Folie 5
      Was ist IT-Sicherheit?
Brauchbare Definition:

 Sicherheit ist ein Prozess zur Reduzierung von
 Risiken oder Schadenswahrscheinlichkeiten

Daraus ergeben sich die Fragen
   • Wie sieht ein derartiger Prozess aus?
   • Wie erkennt und bewertet man Risiken?
   • Wer ist verantwortlich? Welche Rollen gibt es?

                      Dr. Michael David               Folie 6
     Was ist IT-Sicherheit?
Abgrenzung der Zuständigkeit

  Datenschutz?
  Sicherheit der Daten?
  Sicherheit von Personen oder Rechnern?
  Arbeitssicherheit?
  Ausfallsicherheit?
  Rechtliche Sicherheit?

                   Dr. Michael David        Folie 7
1. Einführung in die betriebliche
          IT-Sicherheit

1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen




                Dr. Michael David   Folie 8
   1.2 Warum IT-Sicherheit?
Was kann Sicherheit bedeuten?
  Produktivfaktor
  Investitionssicherung
  Vertrauensbildung
  Einhaltung gesetzlicher Anforderungen
  Marketingunterstützend
  Qualitätselement


                   Dr. Michael David       Folie 9
       Warum IT-Sicherheit?
Ziel einer jeden betrieblichen Massnahme ist der
Beitrag zum Unternehmenserfolg. Daran müssen
sich alle Maßnahmen der IT-Sicherheit messen
lassen.
Dem Unternehmenserfolg entgegen stehen
Bedrohungen verschiedenster Art, denen durch
Maßnahmen zu begegnen ist.

Schwerpunkt des IT-Sicherheitsmanagements ist
die Erkennung von Bedrohungen und deren
Abwehr durch Auswahl geeigneter Maßnahmen.
                    Dr. Michael David         Folie 10
               Warum IT-Sicherheit?
Die Sicherheitspyramide als Motivation der IT-Sicherheit (1)

Hauptziel                                 Unternehmenserfolg

Formalziele                        §                               $
                              Rechtmäßigkeit                Wirtschaftlichkeit          Akzeptanz



Schutzziele
                     Vertraulichkeit           Integrität               Verfügbarkeit         Verbindlichkeit


Bedrohungen
              Höhere Gewalt    Technisches Versagen Menschliches Versagen Spionage            Sabotage      Betrug




                                           Dr. Michael David                                         Folie 11
Die Sicherheitspyramide als Motivation der IT-Sicherheit (2)
 Maß-
 nahmen-
 bereiche              InfrastrukturPersonal                    Organisation                                                 Hardware, Software, Kommunikationstechnik
 bzgl.                 Brandschutz
                                           Einstellung und
                                                                                                                                                      Grundfunktionen
                       Blitzschutz                              Rechte und Rollen
                                           Kündigung

 IV-Sicher-            Wasserschutz
                       Schutz Strom-
                                           Schulungen
                                                                Verwaltung von
                                                                Betriebsmitteln
                                                                                        Identifi-        Zugriffs-          Beweis-           Wiederauf-    Unver-        Zuver-        Übertra-      Zurechen-   Kompen-
                                           Arbeitsplatz-                                                                                                                                                          sation
                       versorgung                                                       zierung          kontrolle          sicherung         bereitung     fälschtheit   lässigkeit    gungs-        barkeit
                                                                Kontrolle der
                                           umgebung
 heit und              Abstrahlschutz
                                           Überwachung
                                                                Benutzung               und                                 und Proto-                                    der Dienst-   siche-
                       Zutrittskontrolle                        Betriebsvorschriften    Authenti-                           kollaus-                                      leistung      rung
                                           etc.
                       Einbruchsschutz                          etc.                    sierung
 Daten-                etc.
                                                                                                                            wertung


                                                                                                       BDSG:               BDSG:                                          BDSG:         BDSG:
 schutz                BDSG:
                       Zugangskontrolle
                                           BDSG:
                                           Verpflichtung zum
                                                               BDSG:
                                                               Organisationskontrolle
                                                                                                       Datenträger-        Eingabekontrolle                               Auftrags-     Transport-
                                           Datengeheimnis;                                             kontrolle           Übermittlungs-                                 kontrolle     kontrolle
                                                                                                       Speicherkontrolle kontrolle
                                           Beteiligung des
                                                                                                       Benutzerkontrolle
                                           Datenschutzbe-
                                                                                                       Zugriffskontrolle
                                           auftragten



                                                                                                         Mechanismen
                                                                                              (z.B. User-ID/Paßwort, Chip-Karte, Viren-Scanner ...)



IV-Produkt-spezi-
fischer Schutz
(Sicherheitskonzept)


Grundschutz
(produkt-
                                                                                          Dr. Michael David                                                                                         Folie 12
übergreifend)
           Ziele, Bedrohungen und Maßnahmen der IV-Sicherheit und des Datenschutzes

   Hauptziel                                                                            Unternehmenserfolg

   Formalziele                                                         §                                                       $
                                                               Rechtmäßigkeit                                    Wirtschaftlichkeit                                     Akzeptanz


   Schutzziele
                                              Vertraulichkeit                                Integrität                                  Verfügbarkeit                                 Verbindlichkeit


   Bedrohungen
                                 Höhere Gewalt                  Technisches Versagen Menschliches Versagen Spionage                                                                    Sabotage              Betrug

 Maß-
 nahmen-
 bereiche              InfrastrukturPersonal                    Organisation                                               Hardware, Software, Kommunikationstechnik
 bzgl.                 Brandschutz
                       Blitzschutz
                                           Einstellung und
                                           Kündigung            Rechte und Rollen
                                                                                                                                                    Grundfunktionen
                       Wasserschutz
 IV-Sicher-            Schutz Strom-
                       versorgung
                                           Schulungen
                                           Arbeitsplatz-
                                           umgebung
                                                                Verwaltung von
                                                                Betriebsmitteln
                                                                Kontrolle der
                                                                                        Identifi-
                                                                                        zierung
                                                                                                       Zugriffs-
                                                                                                       kontrolle
                                                                                                                          Beweis-
                                                                                                                          sicherung
                                                                                                                                            Wiederauf-
                                                                                                                                            bereitung
                                                                                                                                                          Unver-
                                                                                                                                                          fälschtheit
                                                                                                                                                                         Zuver-
                                                                                                                                                                         lässigkeit
                                                                                                                                                                                         Übertra-
                                                                                                                                                                                         gungs-
                                                                                                                                                                                                      Zurechen-
                                                                                                                                                                                                      barkeit
                                                                                                                                                                                                                  Kompen-
                                                                                                                                                                                                                  sation
 heit und              Abstrahlschutz
                       Zutrittskontrolle
                       Einbruchsschutz
                                           Überwachung
                                           etc.
                                                                Benutzung
                                                                Betriebsvorschriften
                                                                etc.
                                                                                        und
                                                                                        Authenti-
                                                                                                                          und Proto-
                                                                                                                          kollaus-
                                                                                                                                                                         der Dienst-
                                                                                                                                                                         leistung
                                                                                                                                                                                         siche-
                                                                                                                                                                                         rung
                                                                                        sierung                           wertung
 Daten-                etc.
                                                                                                     BDSG:               BDSG:
                                           BDSG:               BDSG:                                                                                                     BDSG:           BDSG:
 schutz                BDSG:
                       Zugangskontrolle    Verpflichtung zum
                                           Datengeheimnis;
                                                               Organisationskontrolle                Datenträger-
                                                                                                     kontrolle
                                                                                                                         Eingabekontrolle
                                                                                                                         Übermittlungs-
                                                                                                                                                                         Auftrags-
                                                                                                                                                                         kontrolle
                                                                                                                                                                                         Transport-
                                                                                                                                                                                         kontrolle
                                           Beteiligung des                                           Speicherkontrolle   kontrolle
                                           Datenschutzbe-                                            Benutzerkontrolle
                                           auftragten                                                Zugriffskontrolle


                                                                                                       Mechanismen
                                                                                            (z.B. User-ID/Paßwort, Chip-Karte, Viren-Scanner ...)

IV-Produkt-spezi-
fischer Schutz
(Sicherheitskonzept)
Grundschutz
                                                                                         Dr. Michael David                                                                                          Folie 13
(produkt-
übergreifend)
       Warum IT-Sicherheit?
Die Notwendigkeit von IT-Sicherheit ist heute
allgemein anerkannt.

IT-Sicherheit erfordert einen hohen Aufwand an
Material, Personal und organisatorisch-
technischen Ressourcen

(Einschub – aktuelle Studie)



                     Dr. Michael David          Folie 14
1. Einführung in die betriebliche
          IT-Sicherheit

1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen




                Dr. Michael David   Folie 15
  1.3 Schutzziele und Risiken
Daten sind zu schützen:              Personen sind zu schützen:
  Daten sollen nur Befugten             Die Authentizität ist wenn
   zur Kenntnis gelangen                  nötig zu sichern
   können                                Die Zuordnung von
  Daten dürfen nicht unbefugt            Informationen zu Personen
   verändert werden                       ist zu schützen
  Daten müssen dann zur
   Verfügung stehen, wenn sie        Systeme sind zu schützen
   benötigt werden
                                         Sie dürfen nicht missbraucht
  Daten sollen nicht
                                          oder manipuliert werden
   missbraucht werden
                                         Sie müssen dann zur
                                          Verfügung stehen, wenn sie
                                          benötigt werden


                           Dr. Michael David                     Folie 16
    Schutzziele und Risiken
Die Schutzziele der IT-Sicherheit:

• Vertraulichkeit
• Verbindlichkeit
• Integrität
• Verfügbarkeit


                    Dr. Michael David   Folie 17
    Schutzziele und Risiken
Bedeutung der Vertraulichkeit:
  Kann durch das Bekanntwerden von
   Informationen dem Unternehmen ein Schaden
   entstehen?
  Kann durch das Bekannwerden von
   Informationen Dritten ein Schaden entstehen?




                   Dr. Michael David        Folie 18
    Schutzziele und Risiken
Bedeutung der Verbindlichkeit
  Kann ein Geschäftsprozess nicht durchgeführt
   werden, da die Verbindlichkeit nicht gegeben
   ist?
  Kann eine Person durch den Verlust der
   Verbindlichkeit von Daten in Ihren
   Persönlichkeitsrechten beeinträchtigt werden?



                    Dr. Michael David        Folie 19
    Schutzziele und Risiken
Bedeutung der Integrität
  Kann in einem Geschäftsprozeß durch
   manipulierte Daten ein Schaden entstehen?
  Können durch verfälschte Daten
   Vertrauensverluste in das Unternehmen
   entstehen?
  Können verfälschte Daten Fehlentscheidungen
   hervorrufen?


                  Dr. Michael David        Folie 20
    Schutzziele und Risiken
Bedeutung der Verfügbarkeit
  Kann ein Geschäftsprozess nicht durchgeführt
   werden, da notwendige Daten nicht vorhanden
   sind?
  Schreiben Gesetze die Verfügbarkeit von
   Daten vor?
  Können Personen beinträchtigt werden, wenn
   Daten nicht zur Verfügung stehen?


                   Dr. Michael David        Folie 21
     Schutzziele und Risiken
Was ist ein Risiko?

 Mathematisch: Erwartungswert des Verlustes (korrekt,
 aber meist nicht einsetzbar)

Risiken in der IT:
 Durch den Betrieb der Systeme: Operatives Risiko
 Dadurch: Risko der Beinträchtigung des Geschäfts
 Dadurch: Finanzielles Risiko


                      Dr. Michael David              Folie 22
      Schutzziele und Risiken
Wordurch wird ein Risiko beeinflusst?
 Eintrittswahrscheinlichkeit                       Schwachstellen




                                 Risiko




     Schadenspotential                              Bedrohungen



                               Dr. Michael David                    Folie 23
    Schutzziele und Risiken
Häufige Schwachstellen in der IT:
  Probleme im Systementwurf
    • Fehlendes Know-How
    • Vernachlässigung von Sicherheitsaspekten
    • Fehlerhaftes Design
  Probleme im Systemaufbau
    • Fehlerhafte Schnittstellenspezifikation
    • Fehler in der Entwicklung
    • Ungenügende Qualitätssicherung

                        Dr. Michael David        Folie 24
    Schutzziele und Risiken
Häufige Schwachstellen in der IT:
  Strukturelle Probleme
    • Unklarheiten in der Verantworlichkeit
    • Kein präzises Outsourcing
    • Wildwuchs von Applikationen und Plattformen
  Betriebliche Probleme
    • Fehlerhafte Konfiguration
    • Unwissenheit der Anwender
  Konträre Anforderungen
    • Sicherheit als Gegensatz zur Bequemlichkeit

                      Dr. Michael David             Folie 25
    Schutzziele und Risiken
Bedrohung:
  Potentielles Ereignis, das einem Sicherheitsziel
   entgegenwirkt.
  Beeinflussende Faktoren:
   • Potential eines Angreifers
   • Stärke bestehender Maßnahmen


Bedrohungs- und Schadenspotential sind
nicht zu verwechseln!
                    Dr. Michael David          Folie 26
    Schutzziele und Risiken
Schadenspotential
  Das Schadenspotential ist selbst bei gleichem
   Angriff immer individuell
  Beispielhafte Kenngrößen
   • Vertragsstrafen
   • Einschränkung der Wettbewerbsfähigkeit
   • Beeinträchtigung der Arbeitsleistung von
     Mitarbeitern
   • Entstehung zusätzlicher Kosten

                      Dr. Michael David         Folie 27
    Schutzziele und Risiken
Eintrittswahrscheinlichkeit
  I.A. keine statistische Basis verfügbar
  Häufig nur „aus dem Bauch heraus“
  Kontextabhängig
  Kategorisierung sinnvoller als Präzisierung
   (etwa gering-mittel-hoch)




                    Dr. Michael David            Folie 28
    Schutzziele und Risiken
Fazit
  Schutzziele bilden die Grundlage für die
   konkreten Ziele der IT-Sicherheit
  Eine ausschließlich schadensorientierte
   Risikobetrachtung ist schwierig und häufig
   unpräzise
  Risiken sollten aus dem Blickwinkel der
   Bedrohung von Werten betrachtet und
   behandelt werden

                    Dr. Michael David           Folie 29
1. Einführung in die betriebliche
          IT-Sicherheit

1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Bedrohungen
1.4 Rechtliche Rahmenbedingungen




               Dr. Michael David   Folie 30
1.4 Rechtliche Rahmenbedingungen

Vielfältige Gesetze haben mittelbar oder
Unmittelbar Einfluß auf IT-Sicherheit
  Datenschutzgesetze (BDSG, TDSV, … )
  Telekommunikationsgesetze (TKG, FüV,...)
  Gesetz zur „Konzerntransparenz“ (KontraG)
  Grundsätze ordnungsmäßiger Speicherbuchführung
   (GoBS)
  Informations- und Kommunikationsdienste Gesetz
   (IuKDG)
  Weitere branchenspezifische (Banken,
   Versicherungen, Fernabsatzgesetz etc.)

                     Dr. Michael David          Folie 31
Rechtliche Rahmenbedingungen
Datenschutzgesetze (BDSG, TDSV, … )
  Regelung der Erhebung, Verarbeitung und
   Nutzung personenbezogener Daten
  Datensparsamkeit als Grundsatz
  Zustimmung der Betroffenen in vielen Fällen
   nötig
  Es ergeben sich Schwierigkeiten in
   betrieblichen Fragen (Backup, Testsysteme,
   Nachvollziehbarkeit, …)
                    Dr. Michael David        Folie 32
Rechtliche Rahmenbedingungen
Telekommunikationsgesetze (TKG, FüV,...)
  Richten sich an Diensteanbieter, aber: VoIP
   (Konvergenz der Netze)
  Fordern den expliziten Einsatz eines
   Sicherheitsbeauftragten (§87 TKG)
  Definition des Fernmeldegeheimnisses
  Regelung behördlicher Zugriffe



                    Dr. Michael David        Folie 33
Rechtliche Rahmenbedingungen
Beispiel: Schutzziele nach §87 TKG
  Schutz des Fernmeldegeheimnisses und
   personenbezogener Daten
  Schutz der programmgesteuerten
   Telekommunikations- und Datenverarbeitungssysteme
   gegen unerlaubte Zugriffe
  Schutz gegen Störungen, die zu erheblichen Beein-
   trächtigungen von Telekommunikationsnetzen führen
  Schutz von Telekommunikations- und
   Datenverarbeitungs-systemen gegen äußere Angriffe
   und Einwirkungen von Katastrophen
                     Dr. Michael David          Folie 34
Rechtliche Rahmenbedingungen
KontraG
  Regelung der Haftung von Vorständen sowie
   leitenden Angestellten bei Innen- und
   Außenschäden
   • Aufgaben lassen sich delegieren
   • Kontrolle über die Durchführung ist nötig
  Forderung nach Einführung eines
   Risikomanagements
Schäden können Dritten durch
Versäumnisse in der IT leicht entstehen!
                      Dr. Michael David          Folie 35
Rechtliche Rahmenbedingungen
Grundsätze ordnungsmäßiger
Speicherbuchführung (GoBS)
  Grundlage zur Durchführung von „Buchungen“
   über DV-Systeme
  Setzt „Keine Buchung ohne Beleg“ für DV-
   Systeme um
  Stellt Anforderungen an die Korrektheit,
   Revisionssicherheit und an
   Aufbewahrungsfristen für Daten
                  Dr. Michael David       Folie 36
Rechtliche Rahmenbedingungen
Informations- und Kommunikations-Dienste
Gesetz IuKDG
  Regelt Dienstleistungen über jegliche
   Kommunikationsmedien
  Stellt Anforderungen z.B. an Transaktionssicherheit
   (Abbruch eines Geschäftsvorgangs)
  Beinhaltet das Signaturgesetz SigG
    • Regelungen zur Digitalen Signatur
    • Auswirkungen auf andere Bereiche (Rechnungsstellung etc.)



                         Dr. Michael David                  Folie 37
  IT-Sicherheitsmanagement

1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
   Zertifizierung



                     Dr. Michael David            Folie 38
          2. Strukturen des IT-
       Sicherheitsmanagements

2.1   Verantwortungsbereiche und Aufgaben
2.2   Der Sicherheitsmanagementprozeß
2.3   Vorgehensweise
2.4   Normen und Standards




                  Dr. Michael David    Folie 39
  2.1 Verantwortungsbereiche und
             Aufgaben
Zentrale Aufgaben im Sicherheitsprozeß

• Geschäftsführung: Festlegen der
  Sicherheit als Unternehmensziel
• Sicherheitsmanagement: Etablieren,
  Aufrechterhalten und weiterentwickeln der
  Sicherheit
• Auditor: Erbringen von Nachweisen über
  Sicherheit
                  Dr. Michael David      Folie 40
 Verantwortungsbereiche und Aufgaben

Aufgaben der Geschäftsführung:
  Vorgabe der Sicherheitsstrategie (Policy)
   • Festlegen von Sicherheit als Unternehmensziel
   • Beachtung rechtlicher Rahmenbedingungen
  Vorgabe der Sicherheitsorganisation
   • Einrichten des Sicherheitsmanagements
   • Berichtspflicht und Berichtsrecht festlegen
   • Ziele des Sicherheitsmanagements festlegen


                     Dr. Michael David               Folie 41
  Verantwortungsbereiche und Aufgaben

Aufgaben des Sicherheitsmanagements
  Erstellen eines allgemeinen Sicherheitskonzepts
  Abstimmung des Konzepts im Unternehmen
  Umsetzung des Konzepts veranlassen
  Einhaltung des Konzepts überwachen
  Bericht an die Geschäftsführung
  Management von Sicherheitsvorfällen
  Weiterentwicklung des Konzepts

                     Dr. Michael David         Folie 42
  Verantwortungsbereiche und Aufgaben

Aufgaben des Auditors
  Überprüfung der Umsetzung des
   Sicherheitsmanagements
  Überprüfung der Ziele und der Zielerreichung
  Überprüfung der praktischen Umsetzung des Konzepts


Ein Auditor muss diese Leistungen unabhängig von
der Geschäftsführung und vom
Sicherheitsmanagement erbringen!

                        Dr. Michael David          Folie 43
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                      Datenschutzbeauftragter


    Gebäudemanagement                                Revision
                              Immer zu beteiligen, wenn es um die
                              Verarbeitung personenbezogener Daten
                              geht.
                     Sicherheitsmanagement
                              Ziele: Rechtmäßigkeit, Datenvermeidung,
                              Zweckbindung der Daten
   Qualitätsmanagement                             Betriebsrat


                        Weiterbildungsabteilung

                              Dr. Michael David                    Folie 44
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                       Datenschutzbeauftragter


    Gebäudemanagement
  Kontrolle der Verwendung von Budget,              Revision

  Überprüfung der Zielerreichung
                       Sicherheitsmanagement


   Qualitätsmanagement                             Betriebsrat


                         Weiterbildungsabteilung

                              Dr. Michael David                  Folie 45
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                          Datenschutzbeauftragter
   Zu beteiligen, sobald Rechte von
   Mitarbeitern betroffen sind!
     Gebäudemanagement                               Revision
   Stets zu beteiligen, wenn
   Überwachungsmaßnahmen (Logs,
   Kameras), aber auch Sicherheitsmanagement
   Arbeitsanweisungen oder
   Leistungsnachweise gefordert werden
   Qualitätsmanagement                              Betriebsrat


                          Weiterbildungsabteilung

                                Dr. Michael David                 Folie 46
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                        Datenschutzbeauftragter
       Initiieren von Trainingsmaßnahmen
       (Security Awareness, regelmäßige
       Einweisungen, …)
    Gebäudemanagement                               Revision


                      Sicherheitsmanagement


   Qualitätsmanagement                             Betriebsrat


                         Weiterbildungsabteilung

                              Dr. Michael David                  Folie 47
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                     Datenschutzbeauftragter

                            Nutzung der Werkzeuge zur Messbarkeit
    Gebäudemanagement       von Prozessen          Revision

                           Übergreifende Verantwortung für
                           Prozesse
                     Sicherheitsmanagement


   Qualitätsmanagement                             Betriebsrat


                         Weiterbildungsabteilung

                              Dr. Michael David                     Folie 48
  Verantwortungsbereiche und Aufgaben

Beispiele weiterer möglicher Schnittstellen
                     Datenschutzbeauftragter


    Gebäudemanagement                                 Revision
                              Themen: Bauliche Sicherheit,
                              Zutrittskontrollen, Disaster Recovery und
                              Business Continuity-Anteile, Sicherung
                     Sicherheitsmanagement
                              von Rechenzentren,
                              Datenverteilungsräumen etc.
   Qualitätsmanagement                             Betriebsrat


                         Weiterbildungsabteilung

                              Dr. Michael David                      Folie 49
  Verantwortungsbereiche und Aufgaben

Sicherheit ist ein integrativer Bestandteil
                     Datenschutzbeauftragter


    Gebäudemanagement                               Revision


                     Sicherheitsmanagement


   Qualitätsmanagement                             Betriebsrat


                         Weiterbildungsabteilung

                              Dr. Michael David                  Folie 50
  Verantwortungsbereiche und Aufgaben

Weitere Aufgaben des Sicherheitsmanagements:
  Vereinbarung von sinnvollen Zielwerten (z.B.
   Niveau des Restrisikos, Erfüllungsgrad von
   Maßnahmen, Konformität zu Standards, …)
  Abstimmung von Definition der Aufgabe und der
   Rechte und Pflichten
  Genaue Festlegung der Leistungen
  Abstimmung von Schnittstellen zu anderen
   Unternehmensprozessen
                     Dr. Michael David       Folie 51
          2. Strukturen des IT-
       Sicherheitsmanagements

2.1   Verantwortungsbereiche und Aufgaben
2.2   Der Sicherheitsmanagementprozeß
2.3   Vorgehensweise
2.4   Normen und Standards




                   Dr. Michael David        Folie 52
              2.2 Der
  Sicherheitsmanagementprozess
Ziele des Prozesses:
  Erstmalige Etablierung von Sicherheit
  Aufrechterhaltung der Sicherheit
  Weiterentwicklung der Sicherheit
  (mittelbar): Nachweis über Sicherheit
  (mittelbar): Bericht an die GF




                    Dr. Michael David      Folie 53
Der Sicherheitsmanagementprozess

Der Sicherheitsprozeß sollte wie ein
Qualitätskontrollprozess eingesetzt werden:

    Weiterentwicklung                           Planung

                   Steuerung durch das
                  Sicherheitsmanagement


      Überprüfung                            Implementation



                         Dr. Michael David                    Folie 54
Der Sicherheitsmanagementprozess

Aufgaben im Sicherheitsprozess
    Analyse der Situation
    Erstellung von Sicherheitskonzepten
    Implementierung des Sicherheitskonzepts
    Überwachung der Einhaltung
    Bericht über die Sicherheit
    Incident-Management
    Mitarbeit an sicherheitsrelevanten Themen
    Erstellung der notwendigen Dokumentation


Zusätzliche Schwierigkeit in der IT: Outsourcing

                              Dr. Michael David   Folie 55
   Exkurs: Outsourcing und Sicherheit

Outsourcing und Sicherheit nach ITIL

ITIL:     IT Infrastructure Library
  Best-Practice-Ansatz aus Großbritannien zur
   Zusammenarbeit beim Outsourcing
  Zusammenstellung
         • notwendiger Prozesse in der IT
         • notwendiger Schnittstellen in der IT
  Kein Kochrezept!
                      Dr. Michael David           Folie 56
  Exkurs: Outsourcing und Sicherheit

Kommunikationsbeziehungen beim
Outsourcing:
  Kunde: Beauftragt IT-Dienstleistungen
                                                    Kunde + Service-
                                                      Management:
                                                     Festlegung des
   Report                          SLA             Service-Levels der
                                                  Dienstleistung (Service
                                                      Level Agreement)


       Dienstleister: Betrieb der IT



                              Dr. Michael David                    Folie 57
   Exkurs: Outsourcing und Sicherheit

Schwierigkeiten bzgl. Sicherheit:
  Alle Massnahmen verursachen Kosten und müssen
   deshalb sorgfältig geplant werden
  Der Dienstleister wird i.a. mit einer Gesamtleistung
   beauftragt, die internen Strukturen des Dienstleisters
   sind für den Kunden nicht notwendig transparent
  Sicherheitsmassnahmen beim DL laufen scheinbar
   Kosteneinsparungen entgegen
  Sicherheitsanforderungen zweier Unternehmen
   müssen miteinander in Übereinstimmung gebracht
   werden
                        Dr. Michael David              Folie 58
   Exkurs: Outsourcing und Sicherheit
Mögliche Beteiligung des Kunden im
Sicherheitsprozess
                       Initiierung
 Security Officer          von                 Audits Right to be informed
                        Massnahmen

              Report



             Maintain                             Plan

                        Control: Sec. Manager

             Evaluate                           Implement
                           Dr. Michael David                       Folie 59
  Exkurs: Outsourcing und Sicherheit
Abstimmung von Anforderungen

   Sicherheitsanforderungen                  Entwicklung: Umsetzung
         des Kunden                            der Anforderungen




  Sicherheitsvereinbarungen                  Sicherheitsanforderungen
     zwischen Kunde und                     des Dienstleisters für einen
         Dienstleister                          gesicherten Betrieb




                              Dr. Michael David                            Folie 60
Der Sicherheitsmanagementprozess

Wesentliche Schnittstellen zu anderen Prozessen:
    Configuration-Management
    Incident-Management
    Problem-Management
    Change-Management
    Availability-Managment
    Business Continuity Management
Ohne die notwendige Kommunikation mit diesen
Prozessen ist der Sicherheitsmanagementprozess
unvollständig implementiert!
                       Dr. Michael David     Folie 61
        2. Strukturen des IT-
     Sicherheitsmanagements

2.1 Verantwortungsbereiche und Aufgaben
2.2 Der Sicherheitsmanagementprozeß
2.3 Vorgehensweise
2.4 Normen und Standards




                 Dr. Michael David        Folie 62
          2.3 Vorgehensweise

Prozess-Schritte im Sicherheitsmanagement
  Analyse und Konzeption
  Erstellung der Dokumentation
  Implementierung des Sicherheitskonzepts
  Sensibilisierung
  Überwachung
  Anpassung


                   Dr. Michael David         Folie 63
               Vorgehensweise

Analyse und Konzeption
  Festlegen des Gegenstands des
   Sicherheitskonzepts
  Erfassen der beteiligten (und geplanten) IT
    •   Beteiligte Hardware
    •   Physikalische Netzwerkverbindungen
    •   Logische Kommunikation
    •   Anwendungen
    •   Übergänge zu anderen Netzen

                       Dr. Michael David         Folie 64
               Vorgehensweise

Analyse und Konzeption: Dokumentation

                                 Policy


      Sicherheitspolicy = Grundgesetz der Sicherheit.
      Sie ist kurz und knapp zu halten und sollte von
      jedem Mitarbeiter verstanden werden können.
      Änderungshäufigkeit: Im Idealfall nie.




                          Dr. Michael David             Folie 65
                 Vorgehensweise

Analyse und Konzeption: Dokumentation

                                   Policy

                         Richtlinien für Themen,
                           Sicherheitskonzept


   Richtlinien: Generelle Anweisungen für bestimmte Themen, z.B. Richtlinie
   für die Zutrittssicherheit oder für den Informationsschutz.
   Sicherheitskonzept: Übergreifendes Konzept für ein umrissenes Thema




                            Dr. Michael David                      Folie 66
                       Vorgehensweise

  Analyse und Konzeption: Dokumentation

                                         Policy

                                Richtlinien für Themen
                                 Sicherheitskonzept


                              Einzelthemen, Standards


Standards, Richtlinien für technische Lösungen:
Anforderungen an eingesetzte Betriebssysteme, Richtlinien für Netzübergänge,
Netzwerkarchitektur für Anwendungen mit Internet-Connect, …
                                  Dr. Michael David                     Folie 67
                        Vorgehensweise

    Analyse und Konzeption: Dokumentation

                                         Policy

Arbeitsanweisungen: Konkrete    Richtlinien für Themen
Anweisungen zur Umsetzung,       Sicherheitskonzept
z.B. Konfiguration einer
bestimmten Firewall
                               Einzelthemen, Standards



                                 Arbeitsanweisungen


                                  Dr. Michael David      Folie 68
           Vorgehensweise

Hierarchische, konsistente Dokumentation

                         Policy

                Richtlinien für Themen
                 Sicherheitskonzept


               Einzelthemen, Standards



                 Arbeitsanweisungen


                  Dr. Michael David      Folie 69
            Vorgehensweise

Implementierung des Sicherheitskonzepts
  Vorher: Abnahme des Konzepts durch Mgmt
  Wer übernimmt die Aufgabe verantwortlich?
  Wer hat Entscheidungsbefugnis bei Problemen
   und Abweichungen vom Konzept?
  Wer koordiniert die Rückkopplung mit dem
   Konzept?



                  Dr. Michael David       Folie 70
             Vorgehensweise

Überwachung und Anpassung
  Welche Überwachung findet statt?
   (Checklisten über erledigte Tätigkeit, Logs,
   Audits, …)
  Wer kontrolliert diese Aufzeichnungen, wer
   überwacht die Korrektheit?
  Wer kann Korrekturen bei betrieblichen
   Problemen veranlassen?
  Wer koordiniert die Rückkopplungen auf die
   Dokumentenpyramide?
                    Dr. Michael David         Folie 71
          2. Strukturen des IT-
       Sicherheitsmanagements

2.1   Verantwortungsbereiche und Aufgaben
2.2   Der Sicherheitsmanagementprozeß
2.3   Vorgehensweise
2.4   Normen und Standards




                   Dr. Michael David        Folie 72
        2.4 Normen und Standards

Weshalb Normen und Standards für
Sicherheitsmanagement?
     Lernen von Anderen
     Best-Practice-Ansätze
     Internationale Erfahrungen
     Kosten
     Prüfbare Verfahren erbringen die Möglichkeit
      einer Zertifizierung (Vgl. Kapitel 4)

                      Dr. Michael David        Folie 73
        Normen und Standards

Wichtige Normen und Standards
   BS 7799 – ISO 17799
    • British Standard
    • Beschreibt qualitativ hochwertiges
      Sicherheitsmanagement
    • 2 Bände: Code of Practise und Specification of
      Information Security Management Systems
    • Ergänzt durch Guidelines (Risk Assesment, Risk
      Management, Auditing, Preparation for Certification
      …)
    • Dokumente müssen erworben werden

                      Dr. Michael David             Folie 74
        Normen und Standards

Wichtige Normen und Standards
   BS 7799 – ISO 17799
    • Anwendung muss umsichtig geschehen, denn viele
      Anforderungen werden nur knapp formuliert:
      Beispiel aus „Physical Entry Controls“ zur generic
      heading „Physical and environmental security“:
      „Visitors to secure areas should be supervised
      and cleared and their date and time of entry and
      departure recorded“
    • Ausführlich und umfassend

                     Dr. Michael David             Folie 75
        Normen und Standards

Wichtige Normen und Standards
   ISO 15408 – Common Criteria
    • Beschreibt Anforderungen an sichere IT und deren
      Prüfung
    • Geht zurück auf verschiedene nationale Vorgänger
      (Orange Book, ITSEC, …)
    • Ist Prüfstandard beim Signaturgesetz
    • Anwendbar auch auf die Sicherheit von Prozessen
      (z.B. Sicherheitsmanagement)


                     Dr. Michael David            Folie 76
        Normen und Standards

Wichtige Normen und Standards
   ISO 15408 – Common Criteria
    • Sieben Stufen für die Prüftiefe EAL1 … EAL7, die
      die verschiedene Arten der Prüfung abdecken, von
      einer Prüfung der Funktionalität (inkl. Darstellung
      der Systemkomponenten) über eine Analyse des
      Quelltextes bis hin zu mathematischer Analyse der
      Semantik unter Nutzung eines formal evaluierten
      Übersetzers reicht
    • Drei Stufen für das Angriffspotential (basic,
      medium, high)
                      Dr. Michael David              Folie 77
        Normen und Standards

Wichtige Normen und Standards
   BSI Grundschutzhandbuch
    • Maßnahmenorientiert
    • Unterer bis mittlerer Schutzbedarf
    • „Behördenlastig“
    • Umfangreicher Maßnahmenkatalog, sehr gut als
      Ideensammlung und zur Überprüfung der
      Vollständigkeit zu Rate zu ziehen
    • Nicht immer direkt anwendbar …


                    Dr. Michael David           Folie 78
        Normen und Standards

Wichtige Normen und Standards
   BSI Grundschutzhandbuch – gemäß BSI:
    • Praxiserprobte Maßnamen mit hoher Wirksamkeit
    • Gesamtsystem enthält typische Komponenten (z.B.
      Server- und Clientstrukturen, Verkablung, Mail, …)
    • Empfehlung geeigneter Bündel von Standard-
      Sicherheitsmaßnahmen
    • Konkrete Umsetzbarkeit von Maßnahmen
    • Erweiterbarkeit und Aktualisierbarkeit


                     Dr. Michael David             Folie 79
        Normen und Standards

Wichtige Normen und Standards
   Ziele des IT-Grundschutzes:
    Durch geeignete Anwendung von
    infrastrukturellen, organisatorischen und
    personellen Standardsicherheitsmaßnahmen
    ein Sicherheitsniveau für IT-Systeme zu
    erreichen, das für den mittleren Schutzbedarf
    angemessen ist und als Basis für
    hochschutzbedürftige IT-Anwendungen
    dienen kann.

                    Dr. Michael David         Folie 80
        Normen und Standards

Wichtige Normen und Standards
   Methodik des IT-Grundschutzes
                 Analyse des Ist-Zustands

              Feststellung des Schutzbedarfs

                      IT-Grundschutz


         In ca 20% der Fälle:                Hoher Schutzbedarf:
                                              Sicherheitsanalyse

             Konsolidierung der Maßnahmen

              Realisierung der Maßnahmen
                         Dr. Michael David                         Folie 81
          Normen und Standards

Wichtige Normen und Standards
     Struktur des IT-Grundschutzhandbuchs:
      1. Kapitel (Bausteine), etwa für Gebäude
         (Serverräume, Archive …)
      2. Gefährdungskataloge, aufgeteilt in 5 Aspekte
      3. Maßnahmenkataloge, aufgeteilt in 6 Themen

      Einschub: IT-Grundschutzhandbuch



                       Dr. Michael David            Folie 82
        Normen und Standards

Wichtige Normen und Standards
     ISO IEC TR 133355: Gute umfangreiche
      Grundlagen für Sicherheitspolicies
     DIN ISO 9001 Quality Management System
     DIN EN 69904 Hochwertiges
      Projektmanagement




                  Dr. Michael David      Folie 83
  IT-Sicherheitsmanagement

1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
   Zertifizierung



                     Dr. Michael David            Folie 84
 3. Das IT-Sicherheitskonzept

3.1   Übersicht über das Vorgehen
3.2   Bedrohungen und Schutzbedarf
3.3   Sicherheitsmaßnahmen
3.4   Begründungen, Restrisiko
3.5   Praxiserfahrungen




                  Dr. Michael David   Folie 85
3.1 Übersicht über das Vorgehen
Generelles Vorgehen:
   Abgrenzen des Untersuchungsgegenstands
   Beschreibung der Sicherheitsziele
   Feststellung des Schutzbedarfs
   Bedrohungs-/Risiko-/Schadensanalyse
   Feststellung der Sicherheitsanforderungen
   Maßnahmenauswahl
   Begründungen und Restrisiko

                    Dr. Michael David       Folie 86
  Übersicht über das Vorgehen
• Ein Sicherheitskonzept muss um genau
genug zu sein zunächst den Gegenstand
der Untersuchung penibel abgrenzen.
• Wichtig: Auch spezifizieren, was nicht
Gegenstand des Sicherheitskonzepts ist, um
keine falschen Erwartungen zu wecken
• Das generelle Vorhaben muss sich aus der
Sicherheitspolicy ableiten lassen
                 Dr. Michael David    Folie 87
  Übersicht über das Vorgehen
• Eine Übersichtsbeschreibung ist nötig, um
überhaupt einen Überblick zu erhalten
  Abhängig vom Gegenstand
   (Anwendungsarchitektur, Netzwerk- und
   Kommunikationskonzept,
   Prozessbeschreibung)
  Schnittstellenbeschreibung sind zur
   Abgrenzung wichtig


                  Dr. Michael David        Folie 88
   Übersicht über das Vorgehen
Objekte und Subjekte des Sicherheitskonzepts
•Aus dem Gegenstand leiten sich zu schützende Objekte
ab (Daten, Transaktionen, Systeme, Werte, …)
• Für jedes Objekt sind die Sicherheitsziele (Vertraulichkeit,
…) und deren Relevanz (niedrig, mittel, hoch, extrem)
festzulegen

•Aus dem Gegenstand leiten sich zu betrachtende Subjekte
ab (beteiligte Personen, Dritte, klassifiziert je nach Rolle)
•Jedes Subjekt ist zu jedem Objekt in Beziehung zu setzen
(Wie sieht der Kontakt aus, welche Kommunikation findet
statt, welche Zugriffe gibt es?)
•Wichtige Subjekte: Owner, Betreiber, Nutzer, Admin
                         Dr. Michael David               Folie 89
 3. Das IT-Sicherheitskonzept

3.1   Übersicht über das Vorgehen
3.2   Bedrohungen und Schutzbedarf
3.3   Sicherheitsmaßnahmen
3.4   Begründungen, Restrisiko
3.5   Praxiserfahrungen




                 Dr. Michael David   Folie 90
         3.2 Bedrohungen und
             Schutzbedarf
Vorgehen allgemein
    Wert und Schaden für ein Objekt betrachten
    Gefährdung eines Objekts betrachten
    Schutzbedarfbilanz erstellen
    Bedrohung für jedes Paar (Objekt/Ziel)
     feststellen




                    Dr. Michael David        Folie 91
 Bedrohungen und Schutzbedarf
Wert eines Objekts
  Welchen Wert hat die Erfüllung eines Ziels bei
   einem Objekt für das Unternehmen?
   • Monetärer Wert, Qualitätsgewinn
   • Geschäftsförderung, Gesetzeskonformität, …
  Welcher Schaden entsteht durch
   Nichteinhaltung eines Ziels bei einem Objekt
   für das Unternehmen?
   • Monetärer Verlust, Qualitätsverlust
   • Geschäftsbeeinträchtigung, Gesetzeswidrigkeit

                     Dr. Michael David               Folie 92
 Bedrohungen und Schutzbedarf

Gefährdung eines Objekts
  In welchem Maß ist das Objekt (in bezug auf
   ein Sicherheitsziel) gefährdet?
    • Beeinträchtigung durch zufällige Ereignisse
    • Beeinträchtigung durch Unbefugte
    • Beeinträchtigung durch andere Systeme
  Skalierung nötig, 3-4 Stufen sollten reichen



                     Dr. Michael David              Folie 93
  Bedrohungen und Schutzbedarf
Schutzbedarfbilanz
   Der Schutzbedarf eines Objektes+Sicherheitsziel hängt
    ab
     • vom Wert der Einhaltung des Sicherheitsziels
     • von der prinzipiellen Gefährdung für dieses Sicherheitsziel
   Der Schutzbedarf zeigt, welche Stärke
    Sicherheitsmaßnahmen haben sollten
   Beachte: Schutzbedarf und Angriffspotential korreliert
    nicht! (geringer Bedarf = niedriges Angriffspotential ist
    eine vereinfachte Darstellung!)


                           Dr. Michael David                    Folie 94
 Bedrohungen und Schutzbedarf

Bedrohung für jedes Paar (Objekt/Ziel)
  Wo ist das Objekt verfügbar, wie könnte es
   angegriffen werden? (aus der Übersichtsbeschreibung)
  Wie erfolgt der Angriff, ohne Beachtung von
   bestehenden Maßnahmen
  Wer ist der Angreifer? (Subjekt)
  Welches Angriffspotential gibt es? (Bilanz)



                       Dr. Michael David             Folie 95
 3. Das IT-Sicherheitskonzept

3.1   Übersicht über das Vorgehen
3.2   Bedrohungen und Schutzbedarf
3.3   Sicherheitsmaßnahmen
3.4   Begründungen, Restrisiko
3.5   Praxiserfahrungen




                  Dr. Michael David   Folie 96
   3.3 Sicherheitsmaßnahmen
    Jeder Angriff (mit dem erhaltenen
Angriffspotential) muss durch (mindestens)
   eine Maßnahme abgewehrt werden!

      Sinnvoller Schritt vor der
 Maßnamenauswahl: Dokumentation der
      Sicherheitsanforderungen


                 Dr. Michael David     Folie 97
       Sicherheitsmaßnahmen
Sicherheitsanforderungen dokumentieren
  die Bedingungen, unter denen ein Sicherheitsziel
   erreicht werden kann
  die Bedingungen, unter denen ein Angriff abgewehrt
   werden kann
Sicherheitsanforderungen helfen
  den Aufbau eines Sicherheitskonzepts zu untermauern
  den Abgleich mit Standards zu erreichen
   (Anforderungen sind z.B. Bestandteil der Common
   Criteria)

                      Dr. Michael David            Folie 98
      Sicherheitsmaßnahmen
Maßnahmenauswahl
  Jede Anforderung ist durch eine Maßnahme zu
   realisieren bzw.
  Jeder Angriff ist durch eine Maßnahme
   abzuwehren
  Sinnvolle Maßnahmen betrachten mehrere
   Anforderungen bzw. Angriffe



                  Dr. Michael David       Folie 99
        Sicherheitsmaßnahmen
Maßnahmenklassen
    Organisatorische Maßnahmen
    Netzwerkmaßnahmen
    Soft- und Hardware
    Gebäudeinfrastruktur
    Vertragliche Regelungen
    Notfallvorsorge (Business Continuity, Disaster
     Recovery)

                      Dr. Michael David         Folie 100
      Sicherheitsmaßnahmen
Maßnahmenstärke
  Schwierige Beurteilung der Stärke
  Kenntnis von Maßnahmen läßt die Bewertung
   noch schwerer werden
  Abhilfe:
    • Firmen-/Konzernübergreifende Experten
    • Literatur, Internetquellen
    • Externe Experten hinzuziehen


                     Dr. Michael David        Folie 101
 3. Das IT-Sicherheitskonzept

3.1   Übersicht über das Vorgehen
3.2   Bedrohungen und Schutzbedarf
3.3   Sicherheitsmaßnahmen
3.4   Begründungen, Restrisiko
3.5   Praxiserfahrungen




                  Dr. Michael David   Folie 102
  3.4 Begründungen, Restrisiko
• Begründungen für Maßnahmen erleichtern
die Umsetzung eines Sicherheitskonzepts
• Betrachtung des Restrisikos ist unbedingt
nötig, um die Plausibilität des Konzepts
darzustellen
• Es gibt keine risikofreien IT-Systeme



                  Dr. Michael David    Folie 103
  3.4 Begründungen, Restrisiko
Begründungen sollten erkennen lassen,
warum die Maßnahmen
  praktikabel
  angemessen
  wirtschaftlich
  akzeptabel
  ausreichend wirksam
 Sind (vgl. Praxiserfahrungen)

                    Dr. Michael David   Folie 104
  3.4 Begründungen, Restrisiko
Das Restrisiko ergibt sich aus dem nicht
mehr abgewehrten Angriffspotential
  Wer kann schon sicher Geheimdienste
   abwehren?
 Darstellen der Auswirkungen des Risikos
  Akzeptieren des Risikos?
  Versichern des Risikos?
  Weitere Reduktion des Risikos?

                   Dr. Michael David       Folie 105
 3. Das IT-Sicherheitskonzept

3.1   Übersicht über das Vorgehen
3.2   Bedrohungen und Schutzbedarf
3.3   Sicherheitsmaßnahmen
3.4   Begründungen, Restrisiko
3.5   Praxiserfahrungen




                  Dr. Michael David   Folie 106
        3.5 Praxiserfahrungen
Randbedingungen für Sicherheit:
 Wirksamkeit
   • Reduktion des Risikos auf ein vertretbares Maß
   • Reduktion eines Schadens auf einen akzeptierten
     Wert
 Praktikabilität
   • Vorgegebene Maßnahmen müssen umsetzbar sein
     – vgl. Akzeptanz
   • Die Maßnahmen sind nicht fehleranfällig und
     behindern keine Betroffenen
                     Dr. Michael David           Folie 107
          Praxiserfahrungen
Randbedingungen für Sicherheit:
 Wirtschaftlichkeit
   • Sicherheit darf nicht mehr Aufwände verursachen
     als das reduzierte Risiko ergibt
 Angemessenheit
   • Maßnahmen müssen dem Schutzbedarf
     angemessen sein
 Akzeptanz
   • Maßnahmen müssen von Betroffenen als notwendig
     erkannt werden

                       Dr. Michael David          Folie 108
            Praxiserfahrungen
Randbedingungen für Sicherheit
  Es gibt keine 100% Sicherheit. 80-20-Lösungen sind
   einfach zu erreichen.
  „90% der Sicherheitsmaßnahmen erfordern 90% des
   Budgets – die nächsten 10% der Maßnahmen erfordern
   die nächsten 90%“
  Steigt die Komplexität eines Systems, so sinken i.a.
   Praktikabilität und Wirksamkeit von Maßnahmen.
  Neben der Bedrohungsanalyse ist auch eine
   Gefahrenanalyse sinnvoll, sonst ist ggf. die
   Angemessenheit nicht gegeben
                      Dr. Michael David           Folie 109
  IT-Sicherheitsmanagement

1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
   Zertifizierung



                     Dr. Michael David            Folie 110
4. Sicherheitsüberprüfungen, Audits
         und Zertifizierung
Abgrenzung der Begriffe
  Sicherheitsüberprüfung: Technische oder
   organisatorische Überprüfung eines IT-
   Systems
  Audit – Überprüfung der Übereinstimmung von
   Prozessen (und Ergebnissen) mit der
   Dokumentation
  Zertifizierung: Nachweis der Übereinstimmung
   von Prozessen (und Ergebnissen) mit einem
   Standard

                   Dr. Michael David       Folie 111
 Sicherheitsüberprüfungen, Audits
        und Zertifizierung

4.1 Technische bzw. organsiatorische
    Überprüfungen
4.2 Audits
4.3 Zertifizierungen




                Dr. Michael David      Folie 112
        4.1 Technische bzw.
  organisatorische Überprüfungen
Sog. Security-Checks dienen im Rahmen
der Risikoüberwachung zur Überprüfung
von IT-Systemen bzgl. IT-Sicherheit.
  Teil des „Überprüfungs“-Schritts des Security
   Management Prozesses
  Ergebnisse dienen zur Überprüfung der Stärke
   von Sicherheitsmaßnahmen
  Häufig weitere Erkenntnisse für zukünftige
   Konzeptionen
                   Dr. Michael David        Folie 113
 Technische bzw. organisatorische
         Überprüfungen
Durchführung durch qualifizierte externe
Diensleister
  Aktuelles Hacking-Know-How muss nicht intern
   vorgehalten werden
  Keine Betriebsblindheit
  Aber: Wissen um die IT-Security wird mitgenommen!
Arten des Security-Checks:
  Personal-Überprüfung
  Penetrationstests
  Quality Checks
                      Dr. Michael David          Folie 114
  Technische bzw. organisatorische
          Überprüfungen
• Personal-Überprüfung
  Ist das beteiligte Betriebspersonal erfahren genug, um
   mit Sicherheitsproblemen umgehen zu können
• Penetrationstests
  Gezielte Angriffe auf Systeme und Netzwerke
• Quality-Checks
  Überprüfung der Verfügbarkeit durch Simulation
   verschiedenen Verhaltens (typisches Benutzerverhalten,
   Last, Transaktionszeiten etc.)


                        Dr. Michael David             Folie 115
  Technische bzw. organisatorische
          Überprüfungen
Vorbereitung eines Security-Checks:
  Spezifikation der zu betrachtenden Systeme
  Genaue (!) Spezifikation der erwarteten Leistung
   • Grobkonzept erstellen lassen
   • Feinkonzept gemeinsam erarbeiten
  Abstimmung mit allen Beteiligten:
   • IT-Betrieb
   • IT-Verantwortliche
   • Anwendungs-Verantwortliche (auch im Umfeld)

                     Dr. Michael David             Folie 116
  Technische bzw. organisatorische
          Überprüfungen
Durchführung eines Security-Checks:
  „Kein Schritt alleine!“
  Überwachung der Ergebnisse jedes
   Einzelschritts durch das Security-Management
  Stand-by von fachlichen Ansprechpartnern bzw.
   Anwendungsverantwortlichen
  Kein Zugriff auf System mit
   Administrationsrechten – dies ist den Admins
   vorbehalten!
                    Dr. Michael David       Folie 117
  Technische bzw. organisatorische
          Überprüfungen
Nachbereitung eines Security-Checks:
  Ergebnisse nur streng vertraulich handhaben
  (Interne) Abstimmung des Ergebnisses
  (Interne) Bewertung des Ergebnisses
  Ggf. Fehleranalyse, „Lessons learned“
  Konzeption und Umsetzung weiterer
   Massnahmen (vgl. Kontrollprozess)
  Nebenbedingung: Keine Daten verlassen das
   Haus!
                    Dr. Michael David       Folie 118
 Sicherheitsüberprüfungen, Audits
        und Zertifizierung

4.1 Technische bzw. organsiatorische
    Überprüfungen
4.2 Audits
4.3 Zertifizierungen




                 Dr. Michael David     Folie 119
                4.2 Audits

Ein Audit überprüft die Übereinstimmung
von Prozessen (und Ergebnissen) mit der
Dokumentation.

Typischerweise von externen Auditoren
durchgeführt, interne Audits sind häufig mit
der Betriebsbrille behaftet


                  Dr. Michael David      Folie 120
                  Audits

Vorbereitung eines Audits
  Festlegen des Audit-Gegenstands
  Übergabe der Dokumentation
  Ggf. Benennung eines Standards, gegen den
   geprüft werden soll
  Regelmäßige Abstimmung mit dem Auditor
  Kommunikation nach innen



                  Dr. Michael David      Folie 121
                    Audits

Durchführung eines Audits
  Der Auditor begeht in Begleitung ein Objekt
   und führt dort hauptsächlich Gespräche
   (Mitarbeiterschulung wichtig)
  Alle Details werden dokumentiert
  Ein vorläufiger Auditbericht benennt gefundene
   Abweichungen und Probleme
  Nachbegehungen / Nachdokumentieren
   möglich
                    Dr. Michael David        Folie 122
                    Audits

Nachbereitung des Audits
  Entgegennahme des Abschlussberichts
  Interne Bewertung der Ergebnisse
  Bewertung der Ergebnisse mit dem Auditor
  Nachschulungen der Mitarbeiter initiieren
  Überarbeitung der Dokumentation initiieren




                    Dr. Michael David       Folie 123
 Sicherheitsüberprüfungen, Audits
        und Zertifizierung

4.1 Technische bzw. organsiatorische
    Überprüfungen
4.2 Audits
4.3 Zertifizierungen




                 Dr. Michael David     Folie 124
             4.3 Zertifizierung

Was bedeutet Zertifizierung?
  Nachweis der Übereinstimmung von Prozessen
   (und Ergebnissen) mit einem Standard
  Vorangegangen ist ein Audit
  Besonders wichtig ist hier die Abstimmung der
   Ergebnisse mit den Auditoren
  Durchführung von IT-Security-Zertifizierungen:
   • BSI
   • T-Systems ISS
   • Tuev u.a.
                     Dr. Michael David      Folie 125
                Zertifizierung

Wieso Zertifizierung?
  Zertifikate sind als Qualitäts- und
   Marktetingfaktor nutzbar
  Ein Zertifikat kann Voraussetzung für die
   Erbringung von Dienstleistern sein
  Ein Zertifizierungsbericht beinhaltet keinerlei
   interne Details – im Gegensatz zum
   Auditbericht


                     Dr. Michael David          Folie 126
     IT-Sicherheitsmanagement

                                              
1. Einführung in die betriebliche IT-Sicherheit
2.   Strukturen des IT-Sicherheitsmanagements 
3.   Das IT-Sicherheitskonzept                
4.   Sicherheitsüberprüfungen, Audits und
     Zertifizierung                           
Zum Abschluss noch:
                     Dr. Michael David        Folie 127
          Zum Nachdenken
Schneier:
• Sicherheit ist kein Produkt; sie ist ein Prozess.
Und falls wir unsere digitalen Systeme jemals
sicher machen wollen, werden wir mit dem Aufbau
von Prozessen beginnen müssen.
• "Falls Sie glauben, dass Technologie Ihre
Sicherheitsprobleme lösen kann, verstehen Sie die
Probleme nicht, und Sie haben von Technologie
keine Ahnung."
                     Dr. Michael David         Folie 128

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:149
posted:1/28/2011
language:German
pages:128