Get documents about "Foliensatz 1 - Sicherheit in komplexen IT-Systemen
Shared by: wulinqing
-
Stats
- views:
- 83
- posted:
- 1/27/2011
- language:
- German
- pages:
- 128
Document Sample
Sicherheit in komplexen
IT-Systemen
Teil 1
IT-Sicherheitsmanagement
IT-Sicherheitsmanagement
1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
Zertifizierung
Dr. Michael David Folie 2
1. Einführung in die betriebliche
IT-Sicherheit
1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen
Dr. Michael David Folie 3
1.1 Was ist IT-Sicherheit?
Gefundene Definitionen:
„Sicherheit ist ein Zustand, in dem potentielle
Schadensereignisse unbekannter Art auf ein
angemessenes Maß reduziert werden“
„Sicherheit ist die Summe aller Maßnahmen, die ergriffen
werden, um einen definierten Zustand von
Gefahrlosigkeit zu erreichen“
Problematisch: Wie wird der Zustand erreicht?
Wie ergeben sich Maßnahmen?
Dr. Michael David Folie 4
Was ist IT-Sicherheit?
Bessere Definitionen:
„Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit
vorbeugenden Technologien, aber auch mit Erkennungs- und
Reaktionsprozessen zu tun.“ (Schneier)
„Sicherheit ist ein Prozeß, ein ständiges Bemühen. Hacker
entwickeln ständig neue Methoden, Ihren Rechner anzugreifen,
jeden Tag tauchen neue Viren auf. Sicherheit ist vor diesem
Hintergrund schon die Kenntnis der Gefahr.“ (easynet.de)
Sicherheit ist als Synonym mit einem übergreifenden
Sicherheitsprozeß zu sehen
• Welche Ziele verfolgt der Prozeß?
• Wie sollte er aufgebaut werden?
Dr. Michael David Folie 5
Was ist IT-Sicherheit?
Brauchbare Definition:
Sicherheit ist ein Prozess zur Reduzierung von
Risiken oder Schadenswahrscheinlichkeiten
Daraus ergeben sich die Fragen
• Wie sieht ein derartiger Prozess aus?
• Wie erkennt und bewertet man Risiken?
• Wer ist verantwortlich? Welche Rollen gibt es?
Dr. Michael David Folie 6
Was ist IT-Sicherheit?
Abgrenzung der Zuständigkeit
Datenschutz?
Sicherheit der Daten?
Sicherheit von Personen oder Rechnern?
Arbeitssicherheit?
Ausfallsicherheit?
Rechtliche Sicherheit?
Dr. Michael David Folie 7
1. Einführung in die betriebliche
IT-Sicherheit
1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen
Dr. Michael David Folie 8
1.2 Warum IT-Sicherheit?
Was kann Sicherheit bedeuten?
Produktivfaktor
Investitionssicherung
Vertrauensbildung
Einhaltung gesetzlicher Anforderungen
Marketingunterstützend
Qualitätselement
Dr. Michael David Folie 9
Warum IT-Sicherheit?
Ziel einer jeden betrieblichen Massnahme ist der
Beitrag zum Unternehmenserfolg. Daran müssen
sich alle Maßnahmen der IT-Sicherheit messen
lassen.
Dem Unternehmenserfolg entgegen stehen
Bedrohungen verschiedenster Art, denen durch
Maßnahmen zu begegnen ist.
Schwerpunkt des IT-Sicherheitsmanagements ist
die Erkennung von Bedrohungen und deren
Abwehr durch Auswahl geeigneter Maßnahmen.
Dr. Michael David Folie 10
Warum IT-Sicherheit?
Die Sicherheitspyramide als Motivation der IT-Sicherheit (1)
Hauptziel Unternehmenserfolg
Formalziele § $
Rechtmäßigkeit Wirtschaftlichkeit Akzeptanz
Schutzziele
Vertraulichkeit Integrität Verfügbarkeit Verbindlichkeit
Bedrohungen
Höhere Gewalt Technisches Versagen Menschliches Versagen Spionage Sabotage Betrug
Dr. Michael David Folie 11
Die Sicherheitspyramide als Motivation der IT-Sicherheit (2)
Maß-
nahmen-
bereiche InfrastrukturPersonal Organisation Hardware, Software, Kommunikationstechnik
bzgl. Brandschutz
Einstellung und
Grundfunktionen
Blitzschutz Rechte und Rollen
Kündigung
IV-Sicher- Wasserschutz
Schutz Strom-
Schulungen
Verwaltung von
Betriebsmitteln
Identifi- Zugriffs- Beweis- Wiederauf- Unver- Zuver- Übertra- Zurechen- Kompen-
Arbeitsplatz- sation
versorgung zierung kontrolle sicherung bereitung fälschtheit lässigkeit gungs- barkeit
Kontrolle der
umgebung
heit und Abstrahlschutz
Überwachung
Benutzung und und Proto- der Dienst- siche-
Zutrittskontrolle Betriebsvorschriften Authenti- kollaus- leistung rung
etc.
Einbruchsschutz etc. sierung
Daten- etc.
wertung
BDSG: BDSG: BDSG: BDSG:
schutz BDSG:
Zugangskontrolle
BDSG:
Verpflichtung zum
BDSG:
Organisationskontrolle
Datenträger- Eingabekontrolle Auftrags- Transport-
Datengeheimnis; kontrolle Übermittlungs- kontrolle kontrolle
Speicherkontrolle kontrolle
Beteiligung des
Benutzerkontrolle
Datenschutzbe-
Zugriffskontrolle
auftragten
Mechanismen
(z.B. User-ID/Paßwort, Chip-Karte, Viren-Scanner ...)
IV-Produkt-spezi-
fischer Schutz
(Sicherheitskonzept)
Grundschutz
(produkt-
Dr. Michael David Folie 12
übergreifend)
Ziele, Bedrohungen und Maßnahmen der IV-Sicherheit und des Datenschutzes
Hauptziel Unternehmenserfolg
Formalziele § $
Rechtmäßigkeit Wirtschaftlichkeit Akzeptanz
Schutzziele
Vertraulichkeit Integrität Verfügbarkeit Verbindlichkeit
Bedrohungen
Höhere Gewalt Technisches Versagen Menschliches Versagen Spionage Sabotage Betrug
Maß-
nahmen-
bereiche InfrastrukturPersonal Organisation Hardware, Software, Kommunikationstechnik
bzgl. Brandschutz
Blitzschutz
Einstellung und
Kündigung Rechte und Rollen
Grundfunktionen
Wasserschutz
IV-Sicher- Schutz Strom-
versorgung
Schulungen
Arbeitsplatz-
umgebung
Verwaltung von
Betriebsmitteln
Kontrolle der
Identifi-
zierung
Zugriffs-
kontrolle
Beweis-
sicherung
Wiederauf-
bereitung
Unver-
fälschtheit
Zuver-
lässigkeit
Übertra-
gungs-
Zurechen-
barkeit
Kompen-
sation
heit und Abstrahlschutz
Zutrittskontrolle
Einbruchsschutz
Überwachung
etc.
Benutzung
Betriebsvorschriften
etc.
und
Authenti-
und Proto-
kollaus-
der Dienst-
leistung
siche-
rung
sierung wertung
Daten- etc.
BDSG: BDSG:
BDSG: BDSG: BDSG: BDSG:
schutz BDSG:
Zugangskontrolle Verpflichtung zum
Datengeheimnis;
Organisationskontrolle Datenträger-
kontrolle
Eingabekontrolle
Übermittlungs-
Auftrags-
kontrolle
Transport-
kontrolle
Beteiligung des Speicherkontrolle kontrolle
Datenschutzbe- Benutzerkontrolle
auftragten Zugriffskontrolle
Mechanismen
(z.B. User-ID/Paßwort, Chip-Karte, Viren-Scanner ...)
IV-Produkt-spezi-
fischer Schutz
(Sicherheitskonzept)
Grundschutz
Dr. Michael David Folie 13
(produkt-
übergreifend)
Warum IT-Sicherheit?
Die Notwendigkeit von IT-Sicherheit ist heute
allgemein anerkannt.
IT-Sicherheit erfordert einen hohen Aufwand an
Material, Personal und organisatorisch-
technischen Ressourcen
(Einschub – aktuelle Studie)
Dr. Michael David Folie 14
1. Einführung in die betriebliche
IT-Sicherheit
1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Risiken
1.4 Rechtliche Rahmenbedingungen
Dr. Michael David Folie 15
1.3 Schutzziele und Risiken
Daten sind zu schützen: Personen sind zu schützen:
Daten sollen nur Befugten Die Authentizität ist wenn
zur Kenntnis gelangen nötig zu sichern
können Die Zuordnung von
Daten dürfen nicht unbefugt Informationen zu Personen
verändert werden ist zu schützen
Daten müssen dann zur
Verfügung stehen, wenn sie Systeme sind zu schützen
benötigt werden
Sie dürfen nicht missbraucht
Daten sollen nicht
oder manipuliert werden
missbraucht werden
Sie müssen dann zur
Verfügung stehen, wenn sie
benötigt werden
Dr. Michael David Folie 16
Schutzziele und Risiken
Die Schutzziele der IT-Sicherheit:
• Vertraulichkeit
• Verbindlichkeit
• Integrität
• Verfügbarkeit
Dr. Michael David Folie 17
Schutzziele und Risiken
Bedeutung der Vertraulichkeit:
Kann durch das Bekanntwerden von
Informationen dem Unternehmen ein Schaden
entstehen?
Kann durch das Bekannwerden von
Informationen Dritten ein Schaden entstehen?
Dr. Michael David Folie 18
Schutzziele und Risiken
Bedeutung der Verbindlichkeit
Kann ein Geschäftsprozess nicht durchgeführt
werden, da die Verbindlichkeit nicht gegeben
ist?
Kann eine Person durch den Verlust der
Verbindlichkeit von Daten in Ihren
Persönlichkeitsrechten beeinträchtigt werden?
Dr. Michael David Folie 19
Schutzziele und Risiken
Bedeutung der Integrität
Kann in einem Geschäftsprozeß durch
manipulierte Daten ein Schaden entstehen?
Können durch verfälschte Daten
Vertrauensverluste in das Unternehmen
entstehen?
Können verfälschte Daten Fehlentscheidungen
hervorrufen?
Dr. Michael David Folie 20
Schutzziele und Risiken
Bedeutung der Verfügbarkeit
Kann ein Geschäftsprozess nicht durchgeführt
werden, da notwendige Daten nicht vorhanden
sind?
Schreiben Gesetze die Verfügbarkeit von
Daten vor?
Können Personen beinträchtigt werden, wenn
Daten nicht zur Verfügung stehen?
Dr. Michael David Folie 21
Schutzziele und Risiken
Was ist ein Risiko?
Mathematisch: Erwartungswert des Verlustes (korrekt,
aber meist nicht einsetzbar)
Risiken in der IT:
Durch den Betrieb der Systeme: Operatives Risiko
Dadurch: Risko der Beinträchtigung des Geschäfts
Dadurch: Finanzielles Risiko
Dr. Michael David Folie 22
Schutzziele und Risiken
Wordurch wird ein Risiko beeinflusst?
Eintrittswahrscheinlichkeit Schwachstellen
Risiko
Schadenspotential Bedrohungen
Dr. Michael David Folie 23
Schutzziele und Risiken
Häufige Schwachstellen in der IT:
Probleme im Systementwurf
• Fehlendes Know-How
• Vernachlässigung von Sicherheitsaspekten
• Fehlerhaftes Design
Probleme im Systemaufbau
• Fehlerhafte Schnittstellenspezifikation
• Fehler in der Entwicklung
• Ungenügende Qualitätssicherung
Dr. Michael David Folie 24
Schutzziele und Risiken
Häufige Schwachstellen in der IT:
Strukturelle Probleme
• Unklarheiten in der Verantworlichkeit
• Kein präzises Outsourcing
• Wildwuchs von Applikationen und Plattformen
Betriebliche Probleme
• Fehlerhafte Konfiguration
• Unwissenheit der Anwender
Konträre Anforderungen
• Sicherheit als Gegensatz zur Bequemlichkeit
Dr. Michael David Folie 25
Schutzziele und Risiken
Bedrohung:
Potentielles Ereignis, das einem Sicherheitsziel
entgegenwirkt.
Beeinflussende Faktoren:
• Potential eines Angreifers
• Stärke bestehender Maßnahmen
Bedrohungs- und Schadenspotential sind
nicht zu verwechseln!
Dr. Michael David Folie 26
Schutzziele und Risiken
Schadenspotential
Das Schadenspotential ist selbst bei gleichem
Angriff immer individuell
Beispielhafte Kenngrößen
• Vertragsstrafen
• Einschränkung der Wettbewerbsfähigkeit
• Beeinträchtigung der Arbeitsleistung von
Mitarbeitern
• Entstehung zusätzlicher Kosten
Dr. Michael David Folie 27
Schutzziele und Risiken
Eintrittswahrscheinlichkeit
I.A. keine statistische Basis verfügbar
Häufig nur „aus dem Bauch heraus“
Kontextabhängig
Kategorisierung sinnvoller als Präzisierung
(etwa gering-mittel-hoch)
Dr. Michael David Folie 28
Schutzziele und Risiken
Fazit
Schutzziele bilden die Grundlage für die
konkreten Ziele der IT-Sicherheit
Eine ausschließlich schadensorientierte
Risikobetrachtung ist schwierig und häufig
unpräzise
Risiken sollten aus dem Blickwinkel der
Bedrohung von Werten betrachtet und
behandelt werden
Dr. Michael David Folie 29
1. Einführung in die betriebliche
IT-Sicherheit
1.1 Was ist IT-Sicherheit?
1.2 Warum IT-Sicherheit?
1.3 Schutzziele und Bedrohungen
1.4 Rechtliche Rahmenbedingungen
Dr. Michael David Folie 30
1.4 Rechtliche Rahmenbedingungen
Vielfältige Gesetze haben mittelbar oder
Unmittelbar Einfluß auf IT-Sicherheit
Datenschutzgesetze (BDSG, TDSV, … )
Telekommunikationsgesetze (TKG, FüV,...)
Gesetz zur „Konzerntransparenz“ (KontraG)
Grundsätze ordnungsmäßiger Speicherbuchführung
(GoBS)
Informations- und Kommunikationsdienste Gesetz
(IuKDG)
Weitere branchenspezifische (Banken,
Versicherungen, Fernabsatzgesetz etc.)
Dr. Michael David Folie 31
Rechtliche Rahmenbedingungen
Datenschutzgesetze (BDSG, TDSV, … )
Regelung der Erhebung, Verarbeitung und
Nutzung personenbezogener Daten
Datensparsamkeit als Grundsatz
Zustimmung der Betroffenen in vielen Fällen
nötig
Es ergeben sich Schwierigkeiten in
betrieblichen Fragen (Backup, Testsysteme,
Nachvollziehbarkeit, …)
Dr. Michael David Folie 32
Rechtliche Rahmenbedingungen
Telekommunikationsgesetze (TKG, FüV,...)
Richten sich an Diensteanbieter, aber: VoIP
(Konvergenz der Netze)
Fordern den expliziten Einsatz eines
Sicherheitsbeauftragten (§87 TKG)
Definition des Fernmeldegeheimnisses
Regelung behördlicher Zugriffe
Dr. Michael David Folie 33
Rechtliche Rahmenbedingungen
Beispiel: Schutzziele nach §87 TKG
Schutz des Fernmeldegeheimnisses und
personenbezogener Daten
Schutz der programmgesteuerten
Telekommunikations- und Datenverarbeitungssysteme
gegen unerlaubte Zugriffe
Schutz gegen Störungen, die zu erheblichen Beein-
trächtigungen von Telekommunikationsnetzen führen
Schutz von Telekommunikations- und
Datenverarbeitungs-systemen gegen äußere Angriffe
und Einwirkungen von Katastrophen
Dr. Michael David Folie 34
Rechtliche Rahmenbedingungen
KontraG
Regelung der Haftung von Vorständen sowie
leitenden Angestellten bei Innen- und
Außenschäden
• Aufgaben lassen sich delegieren
• Kontrolle über die Durchführung ist nötig
Forderung nach Einführung eines
Risikomanagements
Schäden können Dritten durch
Versäumnisse in der IT leicht entstehen!
Dr. Michael David Folie 35
Rechtliche Rahmenbedingungen
Grundsätze ordnungsmäßiger
Speicherbuchführung (GoBS)
Grundlage zur Durchführung von „Buchungen“
über DV-Systeme
Setzt „Keine Buchung ohne Beleg“ für DV-
Systeme um
Stellt Anforderungen an die Korrektheit,
Revisionssicherheit und an
Aufbewahrungsfristen für Daten
Dr. Michael David Folie 36
Rechtliche Rahmenbedingungen
Informations- und Kommunikations-Dienste
Gesetz IuKDG
Regelt Dienstleistungen über jegliche
Kommunikationsmedien
Stellt Anforderungen z.B. an Transaktionssicherheit
(Abbruch eines Geschäftsvorgangs)
Beinhaltet das Signaturgesetz SigG
• Regelungen zur Digitalen Signatur
• Auswirkungen auf andere Bereiche (Rechnungsstellung etc.)
Dr. Michael David Folie 37
IT-Sicherheitsmanagement
1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
Zertifizierung
Dr. Michael David Folie 38
2. Strukturen des IT-
Sicherheitsmanagements
2.1 Verantwortungsbereiche und Aufgaben
2.2 Der Sicherheitsmanagementprozeß
2.3 Vorgehensweise
2.4 Normen und Standards
Dr. Michael David Folie 39
2.1 Verantwortungsbereiche und
Aufgaben
Zentrale Aufgaben im Sicherheitsprozeß
• Geschäftsführung: Festlegen der
Sicherheit als Unternehmensziel
• Sicherheitsmanagement: Etablieren,
Aufrechterhalten und weiterentwickeln der
Sicherheit
• Auditor: Erbringen von Nachweisen über
Sicherheit
Dr. Michael David Folie 40
Verantwortungsbereiche und Aufgaben
Aufgaben der Geschäftsführung:
Vorgabe der Sicherheitsstrategie (Policy)
• Festlegen von Sicherheit als Unternehmensziel
• Beachtung rechtlicher Rahmenbedingungen
Vorgabe der Sicherheitsorganisation
• Einrichten des Sicherheitsmanagements
• Berichtspflicht und Berichtsrecht festlegen
• Ziele des Sicherheitsmanagements festlegen
Dr. Michael David Folie 41
Verantwortungsbereiche und Aufgaben
Aufgaben des Sicherheitsmanagements
Erstellen eines allgemeinen Sicherheitskonzepts
Abstimmung des Konzepts im Unternehmen
Umsetzung des Konzepts veranlassen
Einhaltung des Konzepts überwachen
Bericht an die Geschäftsführung
Management von Sicherheitsvorfällen
Weiterentwicklung des Konzepts
Dr. Michael David Folie 42
Verantwortungsbereiche und Aufgaben
Aufgaben des Auditors
Überprüfung der Umsetzung des
Sicherheitsmanagements
Überprüfung der Ziele und der Zielerreichung
Überprüfung der praktischen Umsetzung des Konzepts
Ein Auditor muss diese Leistungen unabhängig von
der Geschäftsführung und vom
Sicherheitsmanagement erbringen!
Dr. Michael David Folie 43
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Gebäudemanagement Revision
Immer zu beteiligen, wenn es um die
Verarbeitung personenbezogener Daten
geht.
Sicherheitsmanagement
Ziele: Rechtmäßigkeit, Datenvermeidung,
Zweckbindung der Daten
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 44
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Gebäudemanagement
Kontrolle der Verwendung von Budget, Revision
Überprüfung der Zielerreichung
Sicherheitsmanagement
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 45
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Zu beteiligen, sobald Rechte von
Mitarbeitern betroffen sind!
Gebäudemanagement Revision
Stets zu beteiligen, wenn
Überwachungsmaßnahmen (Logs,
Kameras), aber auch Sicherheitsmanagement
Arbeitsanweisungen oder
Leistungsnachweise gefordert werden
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 46
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Initiieren von Trainingsmaßnahmen
(Security Awareness, regelmäßige
Einweisungen, …)
Gebäudemanagement Revision
Sicherheitsmanagement
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 47
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Nutzung der Werkzeuge zur Messbarkeit
Gebäudemanagement von Prozessen Revision
Übergreifende Verantwortung für
Prozesse
Sicherheitsmanagement
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 48
Verantwortungsbereiche und Aufgaben
Beispiele weiterer möglicher Schnittstellen
Datenschutzbeauftragter
Gebäudemanagement Revision
Themen: Bauliche Sicherheit,
Zutrittskontrollen, Disaster Recovery und
Business Continuity-Anteile, Sicherung
Sicherheitsmanagement
von Rechenzentren,
Datenverteilungsräumen etc.
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 49
Verantwortungsbereiche und Aufgaben
Sicherheit ist ein integrativer Bestandteil
Datenschutzbeauftragter
Gebäudemanagement Revision
Sicherheitsmanagement
Qualitätsmanagement Betriebsrat
Weiterbildungsabteilung
Dr. Michael David Folie 50
Verantwortungsbereiche und Aufgaben
Weitere Aufgaben des Sicherheitsmanagements:
Vereinbarung von sinnvollen Zielwerten (z.B.
Niveau des Restrisikos, Erfüllungsgrad von
Maßnahmen, Konformität zu Standards, …)
Abstimmung von Definition der Aufgabe und der
Rechte und Pflichten
Genaue Festlegung der Leistungen
Abstimmung von Schnittstellen zu anderen
Unternehmensprozessen
Dr. Michael David Folie 51
2. Strukturen des IT-
Sicherheitsmanagements
2.1 Verantwortungsbereiche und Aufgaben
2.2 Der Sicherheitsmanagementprozeß
2.3 Vorgehensweise
2.4 Normen und Standards
Dr. Michael David Folie 52
2.2 Der
Sicherheitsmanagementprozess
Ziele des Prozesses:
Erstmalige Etablierung von Sicherheit
Aufrechterhaltung der Sicherheit
Weiterentwicklung der Sicherheit
(mittelbar): Nachweis über Sicherheit
(mittelbar): Bericht an die GF
Dr. Michael David Folie 53
Der Sicherheitsmanagementprozess
Der Sicherheitsprozeß sollte wie ein
Qualitätskontrollprozess eingesetzt werden:
Weiterentwicklung Planung
Steuerung durch das
Sicherheitsmanagement
Überprüfung Implementation
Dr. Michael David Folie 54
Der Sicherheitsmanagementprozess
Aufgaben im Sicherheitsprozess
Analyse der Situation
Erstellung von Sicherheitskonzepten
Implementierung des Sicherheitskonzepts
Überwachung der Einhaltung
Bericht über die Sicherheit
Incident-Management
Mitarbeit an sicherheitsrelevanten Themen
Erstellung der notwendigen Dokumentation
Zusätzliche Schwierigkeit in der IT: Outsourcing
Dr. Michael David Folie 55
Exkurs: Outsourcing und Sicherheit
Outsourcing und Sicherheit nach ITIL
ITIL: IT Infrastructure Library
Best-Practice-Ansatz aus Großbritannien zur
Zusammenarbeit beim Outsourcing
Zusammenstellung
• notwendiger Prozesse in der IT
• notwendiger Schnittstellen in der IT
Kein Kochrezept!
Dr. Michael David Folie 56
Exkurs: Outsourcing und Sicherheit
Kommunikationsbeziehungen beim
Outsourcing:
Kunde: Beauftragt IT-Dienstleistungen
Kunde + Service-
Management:
Festlegung des
Report SLA Service-Levels der
Dienstleistung (Service
Level Agreement)
Dienstleister: Betrieb der IT
Dr. Michael David Folie 57
Exkurs: Outsourcing und Sicherheit
Schwierigkeiten bzgl. Sicherheit:
Alle Massnahmen verursachen Kosten und müssen
deshalb sorgfältig geplant werden
Der Dienstleister wird i.a. mit einer Gesamtleistung
beauftragt, die internen Strukturen des Dienstleisters
sind für den Kunden nicht notwendig transparent
Sicherheitsmassnahmen beim DL laufen scheinbar
Kosteneinsparungen entgegen
Sicherheitsanforderungen zweier Unternehmen
müssen miteinander in Übereinstimmung gebracht
werden
Dr. Michael David Folie 58
Exkurs: Outsourcing und Sicherheit
Mögliche Beteiligung des Kunden im
Sicherheitsprozess
Initiierung
Security Officer von Audits Right to be informed
Massnahmen
Report
Maintain Plan
Control: Sec. Manager
Evaluate Implement
Dr. Michael David Folie 59
Exkurs: Outsourcing und Sicherheit
Abstimmung von Anforderungen
Sicherheitsanforderungen Entwicklung: Umsetzung
des Kunden der Anforderungen
Sicherheitsvereinbarungen Sicherheitsanforderungen
zwischen Kunde und des Dienstleisters für einen
Dienstleister gesicherten Betrieb
Dr. Michael David Folie 60
Der Sicherheitsmanagementprozess
Wesentliche Schnittstellen zu anderen Prozessen:
Configuration-Management
Incident-Management
Problem-Management
Change-Management
Availability-Managment
Business Continuity Management
Ohne die notwendige Kommunikation mit diesen
Prozessen ist der Sicherheitsmanagementprozess
unvollständig implementiert!
Dr. Michael David Folie 61
2. Strukturen des IT-
Sicherheitsmanagements
2.1 Verantwortungsbereiche und Aufgaben
2.2 Der Sicherheitsmanagementprozeß
2.3 Vorgehensweise
2.4 Normen und Standards
Dr. Michael David Folie 62
2.3 Vorgehensweise
Prozess-Schritte im Sicherheitsmanagement
Analyse und Konzeption
Erstellung der Dokumentation
Implementierung des Sicherheitskonzepts
Sensibilisierung
Überwachung
Anpassung
Dr. Michael David Folie 63
Vorgehensweise
Analyse und Konzeption
Festlegen des Gegenstands des
Sicherheitskonzepts
Erfassen der beteiligten (und geplanten) IT
• Beteiligte Hardware
• Physikalische Netzwerkverbindungen
• Logische Kommunikation
• Anwendungen
• Übergänge zu anderen Netzen
Dr. Michael David Folie 64
Vorgehensweise
Analyse und Konzeption: Dokumentation
Policy
Sicherheitspolicy = Grundgesetz der Sicherheit.
Sie ist kurz und knapp zu halten und sollte von
jedem Mitarbeiter verstanden werden können.
Änderungshäufigkeit: Im Idealfall nie.
Dr. Michael David Folie 65
Vorgehensweise
Analyse und Konzeption: Dokumentation
Policy
Richtlinien für Themen,
Sicherheitskonzept
Richtlinien: Generelle Anweisungen für bestimmte Themen, z.B. Richtlinie
für die Zutrittssicherheit oder für den Informationsschutz.
Sicherheitskonzept: Übergreifendes Konzept für ein umrissenes Thema
Dr. Michael David Folie 66
Vorgehensweise
Analyse und Konzeption: Dokumentation
Policy
Richtlinien für Themen
Sicherheitskonzept
Einzelthemen, Standards
Standards, Richtlinien für technische Lösungen:
Anforderungen an eingesetzte Betriebssysteme, Richtlinien für Netzübergänge,
Netzwerkarchitektur für Anwendungen mit Internet-Connect, …
Dr. Michael David Folie 67
Vorgehensweise
Analyse und Konzeption: Dokumentation
Policy
Arbeitsanweisungen: Konkrete Richtlinien für Themen
Anweisungen zur Umsetzung, Sicherheitskonzept
z.B. Konfiguration einer
bestimmten Firewall
Einzelthemen, Standards
Arbeitsanweisungen
Dr. Michael David Folie 68
Vorgehensweise
Hierarchische, konsistente Dokumentation
Policy
Richtlinien für Themen
Sicherheitskonzept
Einzelthemen, Standards
Arbeitsanweisungen
Dr. Michael David Folie 69
Vorgehensweise
Implementierung des Sicherheitskonzepts
Vorher: Abnahme des Konzepts durch Mgmt
Wer übernimmt die Aufgabe verantwortlich?
Wer hat Entscheidungsbefugnis bei Problemen
und Abweichungen vom Konzept?
Wer koordiniert die Rückkopplung mit dem
Konzept?
Dr. Michael David Folie 70
Vorgehensweise
Überwachung und Anpassung
Welche Überwachung findet statt?
(Checklisten über erledigte Tätigkeit, Logs,
Audits, …)
Wer kontrolliert diese Aufzeichnungen, wer
überwacht die Korrektheit?
Wer kann Korrekturen bei betrieblichen
Problemen veranlassen?
Wer koordiniert die Rückkopplungen auf die
Dokumentenpyramide?
Dr. Michael David Folie 71
2. Strukturen des IT-
Sicherheitsmanagements
2.1 Verantwortungsbereiche und Aufgaben
2.2 Der Sicherheitsmanagementprozeß
2.3 Vorgehensweise
2.4 Normen und Standards
Dr. Michael David Folie 72
2.4 Normen und Standards
Weshalb Normen und Standards für
Sicherheitsmanagement?
Lernen von Anderen
Best-Practice-Ansätze
Internationale Erfahrungen
Kosten
Prüfbare Verfahren erbringen die Möglichkeit
einer Zertifizierung (Vgl. Kapitel 4)
Dr. Michael David Folie 73
Normen und Standards
Wichtige Normen und Standards
BS 7799 – ISO 17799
• British Standard
• Beschreibt qualitativ hochwertiges
Sicherheitsmanagement
• 2 Bände: Code of Practise und Specification of
Information Security Management Systems
• Ergänzt durch Guidelines (Risk Assesment, Risk
Management, Auditing, Preparation for Certification
…)
• Dokumente müssen erworben werden
Dr. Michael David Folie 74
Normen und Standards
Wichtige Normen und Standards
BS 7799 – ISO 17799
• Anwendung muss umsichtig geschehen, denn viele
Anforderungen werden nur knapp formuliert:
Beispiel aus „Physical Entry Controls“ zur generic
heading „Physical and environmental security“:
„Visitors to secure areas should be supervised
and cleared and their date and time of entry and
departure recorded“
• Ausführlich und umfassend
Dr. Michael David Folie 75
Normen und Standards
Wichtige Normen und Standards
ISO 15408 – Common Criteria
• Beschreibt Anforderungen an sichere IT und deren
Prüfung
• Geht zurück auf verschiedene nationale Vorgänger
(Orange Book, ITSEC, …)
• Ist Prüfstandard beim Signaturgesetz
• Anwendbar auch auf die Sicherheit von Prozessen
(z.B. Sicherheitsmanagement)
Dr. Michael David Folie 76
Normen und Standards
Wichtige Normen und Standards
ISO 15408 – Common Criteria
• Sieben Stufen für die Prüftiefe EAL1 … EAL7, die
die verschiedene Arten der Prüfung abdecken, von
einer Prüfung der Funktionalität (inkl. Darstellung
der Systemkomponenten) über eine Analyse des
Quelltextes bis hin zu mathematischer Analyse der
Semantik unter Nutzung eines formal evaluierten
Übersetzers reicht
• Drei Stufen für das Angriffspotential (basic,
medium, high)
Dr. Michael David Folie 77
Normen und Standards
Wichtige Normen und Standards
BSI Grundschutzhandbuch
• Maßnahmenorientiert
• Unterer bis mittlerer Schutzbedarf
• „Behördenlastig“
• Umfangreicher Maßnahmenkatalog, sehr gut als
Ideensammlung und zur Überprüfung der
Vollständigkeit zu Rate zu ziehen
• Nicht immer direkt anwendbar …
Dr. Michael David Folie 78
Normen und Standards
Wichtige Normen und Standards
BSI Grundschutzhandbuch – gemäß BSI:
• Praxiserprobte Maßnamen mit hoher Wirksamkeit
• Gesamtsystem enthält typische Komponenten (z.B.
Server- und Clientstrukturen, Verkablung, Mail, …)
• Empfehlung geeigneter Bündel von Standard-
Sicherheitsmaßnahmen
• Konkrete Umsetzbarkeit von Maßnahmen
• Erweiterbarkeit und Aktualisierbarkeit
Dr. Michael David Folie 79
Normen und Standards
Wichtige Normen und Standards
Ziele des IT-Grundschutzes:
Durch geeignete Anwendung von
infrastrukturellen, organisatorischen und
personellen Standardsicherheitsmaßnahmen
ein Sicherheitsniveau für IT-Systeme zu
erreichen, das für den mittleren Schutzbedarf
angemessen ist und als Basis für
hochschutzbedürftige IT-Anwendungen
dienen kann.
Dr. Michael David Folie 80
Normen und Standards
Wichtige Normen und Standards
Methodik des IT-Grundschutzes
Analyse des Ist-Zustands
Feststellung des Schutzbedarfs
IT-Grundschutz
In ca 20% der Fälle: Hoher Schutzbedarf:
Sicherheitsanalyse
Konsolidierung der Maßnahmen
Realisierung der Maßnahmen
Dr. Michael David Folie 81
Normen und Standards
Wichtige Normen und Standards
Struktur des IT-Grundschutzhandbuchs:
1. Kapitel (Bausteine), etwa für Gebäude
(Serverräume, Archive …)
2. Gefährdungskataloge, aufgeteilt in 5 Aspekte
3. Maßnahmenkataloge, aufgeteilt in 6 Themen
Einschub: IT-Grundschutzhandbuch
Dr. Michael David Folie 82
Normen und Standards
Wichtige Normen und Standards
ISO IEC TR 133355: Gute umfangreiche
Grundlagen für Sicherheitspolicies
DIN ISO 9001 Quality Management System
DIN EN 69904 Hochwertiges
Projektmanagement
Dr. Michael David Folie 83
IT-Sicherheitsmanagement
1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
Zertifizierung
Dr. Michael David Folie 84
3. Das IT-Sicherheitskonzept
3.1 Übersicht über das Vorgehen
3.2 Bedrohungen und Schutzbedarf
3.3 Sicherheitsmaßnahmen
3.4 Begründungen, Restrisiko
3.5 Praxiserfahrungen
Dr. Michael David Folie 85
3.1 Übersicht über das Vorgehen
Generelles Vorgehen:
Abgrenzen des Untersuchungsgegenstands
Beschreibung der Sicherheitsziele
Feststellung des Schutzbedarfs
Bedrohungs-/Risiko-/Schadensanalyse
Feststellung der Sicherheitsanforderungen
Maßnahmenauswahl
Begründungen und Restrisiko
Dr. Michael David Folie 86
Übersicht über das Vorgehen
• Ein Sicherheitskonzept muss um genau
genug zu sein zunächst den Gegenstand
der Untersuchung penibel abgrenzen.
• Wichtig: Auch spezifizieren, was nicht
Gegenstand des Sicherheitskonzepts ist, um
keine falschen Erwartungen zu wecken
• Das generelle Vorhaben muss sich aus der
Sicherheitspolicy ableiten lassen
Dr. Michael David Folie 87
Übersicht über das Vorgehen
• Eine Übersichtsbeschreibung ist nötig, um
überhaupt einen Überblick zu erhalten
Abhängig vom Gegenstand
(Anwendungsarchitektur, Netzwerk- und
Kommunikationskonzept,
Prozessbeschreibung)
Schnittstellenbeschreibung sind zur
Abgrenzung wichtig
Dr. Michael David Folie 88
Übersicht über das Vorgehen
Objekte und Subjekte des Sicherheitskonzepts
•Aus dem Gegenstand leiten sich zu schützende Objekte
ab (Daten, Transaktionen, Systeme, Werte, …)
• Für jedes Objekt sind die Sicherheitsziele (Vertraulichkeit,
…) und deren Relevanz (niedrig, mittel, hoch, extrem)
festzulegen
•Aus dem Gegenstand leiten sich zu betrachtende Subjekte
ab (beteiligte Personen, Dritte, klassifiziert je nach Rolle)
•Jedes Subjekt ist zu jedem Objekt in Beziehung zu setzen
(Wie sieht der Kontakt aus, welche Kommunikation findet
statt, welche Zugriffe gibt es?)
•Wichtige Subjekte: Owner, Betreiber, Nutzer, Admin
Dr. Michael David Folie 89
3. Das IT-Sicherheitskonzept
3.1 Übersicht über das Vorgehen
3.2 Bedrohungen und Schutzbedarf
3.3 Sicherheitsmaßnahmen
3.4 Begründungen, Restrisiko
3.5 Praxiserfahrungen
Dr. Michael David Folie 90
3.2 Bedrohungen und
Schutzbedarf
Vorgehen allgemein
Wert und Schaden für ein Objekt betrachten
Gefährdung eines Objekts betrachten
Schutzbedarfbilanz erstellen
Bedrohung für jedes Paar (Objekt/Ziel)
feststellen
Dr. Michael David Folie 91
Bedrohungen und Schutzbedarf
Wert eines Objekts
Welchen Wert hat die Erfüllung eines Ziels bei
einem Objekt für das Unternehmen?
• Monetärer Wert, Qualitätsgewinn
• Geschäftsförderung, Gesetzeskonformität, …
Welcher Schaden entsteht durch
Nichteinhaltung eines Ziels bei einem Objekt
für das Unternehmen?
• Monetärer Verlust, Qualitätsverlust
• Geschäftsbeeinträchtigung, Gesetzeswidrigkeit
Dr. Michael David Folie 92
Bedrohungen und Schutzbedarf
Gefährdung eines Objekts
In welchem Maß ist das Objekt (in bezug auf
ein Sicherheitsziel) gefährdet?
• Beeinträchtigung durch zufällige Ereignisse
• Beeinträchtigung durch Unbefugte
• Beeinträchtigung durch andere Systeme
Skalierung nötig, 3-4 Stufen sollten reichen
Dr. Michael David Folie 93
Bedrohungen und Schutzbedarf
Schutzbedarfbilanz
Der Schutzbedarf eines Objektes+Sicherheitsziel hängt
ab
• vom Wert der Einhaltung des Sicherheitsziels
• von der prinzipiellen Gefährdung für dieses Sicherheitsziel
Der Schutzbedarf zeigt, welche Stärke
Sicherheitsmaßnahmen haben sollten
Beachte: Schutzbedarf und Angriffspotential korreliert
nicht! (geringer Bedarf = niedriges Angriffspotential ist
eine vereinfachte Darstellung!)
Dr. Michael David Folie 94
Bedrohungen und Schutzbedarf
Bedrohung für jedes Paar (Objekt/Ziel)
Wo ist das Objekt verfügbar, wie könnte es
angegriffen werden? (aus der Übersichtsbeschreibung)
Wie erfolgt der Angriff, ohne Beachtung von
bestehenden Maßnahmen
Wer ist der Angreifer? (Subjekt)
Welches Angriffspotential gibt es? (Bilanz)
Dr. Michael David Folie 95
3. Das IT-Sicherheitskonzept
3.1 Übersicht über das Vorgehen
3.2 Bedrohungen und Schutzbedarf
3.3 Sicherheitsmaßnahmen
3.4 Begründungen, Restrisiko
3.5 Praxiserfahrungen
Dr. Michael David Folie 96
3.3 Sicherheitsmaßnahmen
Jeder Angriff (mit dem erhaltenen
Angriffspotential) muss durch (mindestens)
eine Maßnahme abgewehrt werden!
Sinnvoller Schritt vor der
Maßnamenauswahl: Dokumentation der
Sicherheitsanforderungen
Dr. Michael David Folie 97
Sicherheitsmaßnahmen
Sicherheitsanforderungen dokumentieren
die Bedingungen, unter denen ein Sicherheitsziel
erreicht werden kann
die Bedingungen, unter denen ein Angriff abgewehrt
werden kann
Sicherheitsanforderungen helfen
den Aufbau eines Sicherheitskonzepts zu untermauern
den Abgleich mit Standards zu erreichen
(Anforderungen sind z.B. Bestandteil der Common
Criteria)
Dr. Michael David Folie 98
Sicherheitsmaßnahmen
Maßnahmenauswahl
Jede Anforderung ist durch eine Maßnahme zu
realisieren bzw.
Jeder Angriff ist durch eine Maßnahme
abzuwehren
Sinnvolle Maßnahmen betrachten mehrere
Anforderungen bzw. Angriffe
Dr. Michael David Folie 99
Sicherheitsmaßnahmen
Maßnahmenklassen
Organisatorische Maßnahmen
Netzwerkmaßnahmen
Soft- und Hardware
Gebäudeinfrastruktur
Vertragliche Regelungen
Notfallvorsorge (Business Continuity, Disaster
Recovery)
Dr. Michael David Folie 100
Sicherheitsmaßnahmen
Maßnahmenstärke
Schwierige Beurteilung der Stärke
Kenntnis von Maßnahmen läßt die Bewertung
noch schwerer werden
Abhilfe:
• Firmen-/Konzernübergreifende Experten
• Literatur, Internetquellen
• Externe Experten hinzuziehen
Dr. Michael David Folie 101
3. Das IT-Sicherheitskonzept
3.1 Übersicht über das Vorgehen
3.2 Bedrohungen und Schutzbedarf
3.3 Sicherheitsmaßnahmen
3.4 Begründungen, Restrisiko
3.5 Praxiserfahrungen
Dr. Michael David Folie 102
3.4 Begründungen, Restrisiko
• Begründungen für Maßnahmen erleichtern
die Umsetzung eines Sicherheitskonzepts
• Betrachtung des Restrisikos ist unbedingt
nötig, um die Plausibilität des Konzepts
darzustellen
• Es gibt keine risikofreien IT-Systeme
Dr. Michael David Folie 103
3.4 Begründungen, Restrisiko
Begründungen sollten erkennen lassen,
warum die Maßnahmen
praktikabel
angemessen
wirtschaftlich
akzeptabel
ausreichend wirksam
Sind (vgl. Praxiserfahrungen)
Dr. Michael David Folie 104
3.4 Begründungen, Restrisiko
Das Restrisiko ergibt sich aus dem nicht
mehr abgewehrten Angriffspotential
Wer kann schon sicher Geheimdienste
abwehren?
Darstellen der Auswirkungen des Risikos
Akzeptieren des Risikos?
Versichern des Risikos?
Weitere Reduktion des Risikos?
Dr. Michael David Folie 105
3. Das IT-Sicherheitskonzept
3.1 Übersicht über das Vorgehen
3.2 Bedrohungen und Schutzbedarf
3.3 Sicherheitsmaßnahmen
3.4 Begründungen, Restrisiko
3.5 Praxiserfahrungen
Dr. Michael David Folie 106
3.5 Praxiserfahrungen
Randbedingungen für Sicherheit:
Wirksamkeit
• Reduktion des Risikos auf ein vertretbares Maß
• Reduktion eines Schadens auf einen akzeptierten
Wert
Praktikabilität
• Vorgegebene Maßnahmen müssen umsetzbar sein
– vgl. Akzeptanz
• Die Maßnahmen sind nicht fehleranfällig und
behindern keine Betroffenen
Dr. Michael David Folie 107
Praxiserfahrungen
Randbedingungen für Sicherheit:
Wirtschaftlichkeit
• Sicherheit darf nicht mehr Aufwände verursachen
als das reduzierte Risiko ergibt
Angemessenheit
• Maßnahmen müssen dem Schutzbedarf
angemessen sein
Akzeptanz
• Maßnahmen müssen von Betroffenen als notwendig
erkannt werden
Dr. Michael David Folie 108
Praxiserfahrungen
Randbedingungen für Sicherheit
Es gibt keine 100% Sicherheit. 80-20-Lösungen sind
einfach zu erreichen.
„90% der Sicherheitsmaßnahmen erfordern 90% des
Budgets – die nächsten 10% der Maßnahmen erfordern
die nächsten 90%“
Steigt die Komplexität eines Systems, so sinken i.a.
Praktikabilität und Wirksamkeit von Maßnahmen.
Neben der Bedrohungsanalyse ist auch eine
Gefahrenanalyse sinnvoll, sonst ist ggf. die
Angemessenheit nicht gegeben
Dr. Michael David Folie 109
IT-Sicherheitsmanagement
1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
Zertifizierung
Dr. Michael David Folie 110
4. Sicherheitsüberprüfungen, Audits
und Zertifizierung
Abgrenzung der Begriffe
Sicherheitsüberprüfung: Technische oder
organisatorische Überprüfung eines IT-
Systems
Audit – Überprüfung der Übereinstimmung von
Prozessen (und Ergebnissen) mit der
Dokumentation
Zertifizierung: Nachweis der Übereinstimmung
von Prozessen (und Ergebnissen) mit einem
Standard
Dr. Michael David Folie 111
Sicherheitsüberprüfungen, Audits
und Zertifizierung
4.1 Technische bzw. organsiatorische
Überprüfungen
4.2 Audits
4.3 Zertifizierungen
Dr. Michael David Folie 112
4.1 Technische bzw.
organisatorische Überprüfungen
Sog. Security-Checks dienen im Rahmen
der Risikoüberwachung zur Überprüfung
von IT-Systemen bzgl. IT-Sicherheit.
Teil des „Überprüfungs“-Schritts des Security
Management Prozesses
Ergebnisse dienen zur Überprüfung der Stärke
von Sicherheitsmaßnahmen
Häufig weitere Erkenntnisse für zukünftige
Konzeptionen
Dr. Michael David Folie 113
Technische bzw. organisatorische
Überprüfungen
Durchführung durch qualifizierte externe
Diensleister
Aktuelles Hacking-Know-How muss nicht intern
vorgehalten werden
Keine Betriebsblindheit
Aber: Wissen um die IT-Security wird mitgenommen!
Arten des Security-Checks:
Personal-Überprüfung
Penetrationstests
Quality Checks
Dr. Michael David Folie 114
Technische bzw. organisatorische
Überprüfungen
• Personal-Überprüfung
Ist das beteiligte Betriebspersonal erfahren genug, um
mit Sicherheitsproblemen umgehen zu können
• Penetrationstests
Gezielte Angriffe auf Systeme und Netzwerke
• Quality-Checks
Überprüfung der Verfügbarkeit durch Simulation
verschiedenen Verhaltens (typisches Benutzerverhalten,
Last, Transaktionszeiten etc.)
Dr. Michael David Folie 115
Technische bzw. organisatorische
Überprüfungen
Vorbereitung eines Security-Checks:
Spezifikation der zu betrachtenden Systeme
Genaue (!) Spezifikation der erwarteten Leistung
• Grobkonzept erstellen lassen
• Feinkonzept gemeinsam erarbeiten
Abstimmung mit allen Beteiligten:
• IT-Betrieb
• IT-Verantwortliche
• Anwendungs-Verantwortliche (auch im Umfeld)
Dr. Michael David Folie 116
Technische bzw. organisatorische
Überprüfungen
Durchführung eines Security-Checks:
„Kein Schritt alleine!“
Überwachung der Ergebnisse jedes
Einzelschritts durch das Security-Management
Stand-by von fachlichen Ansprechpartnern bzw.
Anwendungsverantwortlichen
Kein Zugriff auf System mit
Administrationsrechten – dies ist den Admins
vorbehalten!
Dr. Michael David Folie 117
Technische bzw. organisatorische
Überprüfungen
Nachbereitung eines Security-Checks:
Ergebnisse nur streng vertraulich handhaben
(Interne) Abstimmung des Ergebnisses
(Interne) Bewertung des Ergebnisses
Ggf. Fehleranalyse, „Lessons learned“
Konzeption und Umsetzung weiterer
Massnahmen (vgl. Kontrollprozess)
Nebenbedingung: Keine Daten verlassen das
Haus!
Dr. Michael David Folie 118
Sicherheitsüberprüfungen, Audits
und Zertifizierung
4.1 Technische bzw. organsiatorische
Überprüfungen
4.2 Audits
4.3 Zertifizierungen
Dr. Michael David Folie 119
4.2 Audits
Ein Audit überprüft die Übereinstimmung
von Prozessen (und Ergebnissen) mit der
Dokumentation.
Typischerweise von externen Auditoren
durchgeführt, interne Audits sind häufig mit
der Betriebsbrille behaftet
Dr. Michael David Folie 120
Audits
Vorbereitung eines Audits
Festlegen des Audit-Gegenstands
Übergabe der Dokumentation
Ggf. Benennung eines Standards, gegen den
geprüft werden soll
Regelmäßige Abstimmung mit dem Auditor
Kommunikation nach innen
Dr. Michael David Folie 121
Audits
Durchführung eines Audits
Der Auditor begeht in Begleitung ein Objekt
und führt dort hauptsächlich Gespräche
(Mitarbeiterschulung wichtig)
Alle Details werden dokumentiert
Ein vorläufiger Auditbericht benennt gefundene
Abweichungen und Probleme
Nachbegehungen / Nachdokumentieren
möglich
Dr. Michael David Folie 122
Audits
Nachbereitung des Audits
Entgegennahme des Abschlussberichts
Interne Bewertung der Ergebnisse
Bewertung der Ergebnisse mit dem Auditor
Nachschulungen der Mitarbeiter initiieren
Überarbeitung der Dokumentation initiieren
Dr. Michael David Folie 123
Sicherheitsüberprüfungen, Audits
und Zertifizierung
4.1 Technische bzw. organsiatorische
Überprüfungen
4.2 Audits
4.3 Zertifizierungen
Dr. Michael David Folie 124
4.3 Zertifizierung
Was bedeutet Zertifizierung?
Nachweis der Übereinstimmung von Prozessen
(und Ergebnissen) mit einem Standard
Vorangegangen ist ein Audit
Besonders wichtig ist hier die Abstimmung der
Ergebnisse mit den Auditoren
Durchführung von IT-Security-Zertifizierungen:
• BSI
• T-Systems ISS
• Tuev u.a.
Dr. Michael David Folie 125
Zertifizierung
Wieso Zertifizierung?
Zertifikate sind als Qualitäts- und
Marktetingfaktor nutzbar
Ein Zertifikat kann Voraussetzung für die
Erbringung von Dienstleistern sein
Ein Zertifizierungsbericht beinhaltet keinerlei
interne Details – im Gegensatz zum
Auditbericht
Dr. Michael David Folie 126
IT-Sicherheitsmanagement
1. Einführung in die betriebliche IT-Sicherheit
2. Strukturen des IT-Sicherheitsmanagements
3. Das IT-Sicherheitskonzept
4. Sicherheitsüberprüfungen, Audits und
Zertifizierung
Zum Abschluss noch:
Dr. Michael David Folie 127
Zum Nachdenken
Schneier:
• Sicherheit ist kein Produkt; sie ist ein Prozess.
Und falls wir unsere digitalen Systeme jemals
sicher machen wollen, werden wir mit dem Aufbau
von Prozessen beginnen müssen.
• "Falls Sie glauben, dass Technologie Ihre
Sicherheitsprobleme lösen kann, verstehen Sie die
Probleme nicht, und Sie haben von Technologie
keine Ahnung."
Dr. Michael David Folie 128
