Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen.

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen."—  Präsentation transkript:

1 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen des Seminars : Sicherheit in vernetzten Systemen. Vortragende: Jörg Ziemann, Fabian Müller

2 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Gliederung Teil I Konzepte und Theorien Einführung Bedrohungs- und Schwachstellenanalyse Risikoanalyse Sicherheitspolitik Teil II Vorgehensmodell für die Erstellung eines IT- Sicherheitskonzepts (nach BSI) Teil III Vorstellung des IT-Grundschutztools

3 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Begriffsklärung 1 Bedrohungs- und Schwachstellenanalyse –Bedrohungen/Schwachstellen des Systems/Projekts –Werte Daten, Dokumentation, Ansehen, Hard-/Software –Schwachstellen Passworteingabe, unsichere Software –Bedrohungen Diebstahl, unbefugter Zugriff, Zerstörung, Blockade der Diensterbringung –Ziel: Daten für Risikoanalyse liefern

4 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Begriffsklärung 2 Risikoanalyse –Risiko = Wahrscheinlichkeit des Eintreffens eines gefährdenden Ereignisses innerhalb eines bestimmten Zeitraumes und der damit verbundene potentielle Schaden –Ziel: durch genaue Kenntnis des Risikos adäquate Abwehrmaßnahmen ergreifen können

5 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Begriffsklärung 3 Sicherheitspolitik –Niederlegung von Zielen, Konzepten und Methoden in allgemeiner, nicht-technischer Weise –Ziel: effektive Umsetzung von Sicherheit + Kontrolle der Umsetzung

6 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Risiko- manage- ment Risiko- Analyse Motivation Systematische Gegenmaßnahmen (Sicherheitspolitik, Vorfalls- Bearbeitung, Notfall-Plan) Werte (Assets) Bedrohungen (Threats) Schwachstellen (Vulnerabilities) Risiken

7 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Zusammenhang der 3 Bereiche Sicherheitspolitik Risikoanalyse Bedrohungs- und Schwachstellen- analyse Bei dem Erstellen einer Sicherheitspolitik:

8 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller „vorsätzliche“ Bedrohungen (deliberate threats) System Infiltration – Zugriffsversuch um Existenz, Integrität, Vertraulichkeit oder Zugreifbarkeit von Daten zu zerstören Ressourcen Missbrauch (Misuse of resources) –z.B. für Privatzwecke, mit Nebeneffekt dass autorisierte Dienste keine Kapazitäten mehr bekommen Vorsätzliche Beschädigung –Z.B. physische Zerstörung, Brandstiftung Diebstahl

9 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller „zufällige“ Bedrohungen (accidental threats) Natürliche Ereignisse –Feuer, Wasser, Wetter, Personalausfälle Menschliche Fehler –Programmierer, Administratoren, Benutzer, Ingenieure (Maintenance) Fehlfunktion von Ausrüstung und Software –CPU-, Speicher-, I/O, Netzwerkkomponenten-, Softwarefehlfunktionen bzw.-Ausfall

10 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Schwachstellen 1 Schwachstelle = Verwundbarkeit = Vulnerability –Stelle an der sich eine Bedrohung realisieren könnte –Wird ausgenutzt durch accidental oder deliberate threats –Boundary = Grenze innerhalb der die Schwachstellen analysiert werden; soll alle schutzbedürftigen Werte einschließen

11 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Schwachstellen 2 Vorraussetzung für Schadens-Auftritt: -bei deliberate Threat: Aktionsauslöser (Motivation, Ressource, Fähigkeit, Gelegenheit, Attraktivität des Assets) -Ereignis innerhalb oder außerhalb des Boundaries -Schwachstelle welche durch das Ereignis ausgenutzt werden kann

12 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Risikoanalyse-Ansätze (1) 1. Grundschutz-Ansatz –Pauschale Auswahl von Standart- Sicherheitsmechanismen –Wenig Aufwand, keine detaillierte Risikoanalyse, BSI- Grundschutzhandbuch 2. Informale Risikoanalyse –Erfahrene Berater zeigen subjektiv Schwachstellen, Risiken und Gegenmaßnahmen auf –Kein Aufwand durch formale Verfahren –Keine Garantie für Vollständigkeit, Updates schwierig

13 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Risikoanalyse-Ansätze (2) 3. Detaillierte Risikoanalyse –alle Werte auf Schwachstellen und Gefahren untersuchen –Hoher Aufwand/Kosten; 2 Ausprägungen: A) Quantitative Risikoanalyse –Risiko wird in Zahlen ausgedrückt B) Semi-quantitative Risikoanalyse –Klassen für Schadenshöhe und Eintrittswahrscheinlichkeit –Risiko = Eintrittshäufigkeitsklasse verknüpft mit Schadenskategorie

14 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Risikoanalyse-Ansätze (3) 4. Kombinierter Ansatz zur Risikoanalyse –Zuerst: informale Voranalyse IT System in Teilsysteme kategorisieren –A) Teilsysteme mit gängigen Risiken Grundschutzkonzept: pauschale Maßnahmen gegen gängige Risiken –B) Teilsysteme mit größeren Risiken Detaillierte Risikoanalyse mit spezifischen Gegenmaßnahmen

15 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Schritte bei der quantitativen Risikoanalyse 1.Werteermittlung 2.Bedrohungsermittlung 3.Schwachstellenermittlung 4.Risikoermittlung - durch Zuordnung der Gefahren zu bedrohten Werten

16 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Beispiel für Risikoermittlung Ist Authentisierung per Chip-Karte nötig? –Asset: Forschungsergebnisse, Wert 1mio. Euro –Bedrohung: PWD Spionage oder unabsichtliche Preisgabe  50 Nutzer à 2%  63,6% Auftrittswahrscheinlichkeit des Threat –Schwachstelle: Passwort-Eingabe (ist Aufgrund der hohen Auftrittswahrscheinlichkeit brisant) –Kosten die durch dieses Risiko entstehen: Euro

17 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Nutzen der Risikoanalyse Identifizierung aller Werte und Schwächen  Bessere Entscheidungen bezüglich der Schutzmaßnahmen Gesteigertes Sicherheits-Bewusstsein unter Angestellten Rechtfertigung für Sicherheitsausgaben

18 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Sicherheitspolitik Gesamt(sicherheits)konzept; Niederlegung von Zielen, Konzepten und Methoden in allgemeiner, nicht-technischer Weise Ziel der Policy: effektive Umsetzung von Sicherheit + Kontrolle der Umsetzung Was (Assets) ist wie (Vorgehen) zu schützen, wer ist verantwortlich?

19 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Sicherheitspolitik Arten Grundrichtungen: –Erlaubnispolitik: Alles verboten was nicht erlaubt –Verbotspolitik: Alles erlaubt was nicht verboten Arten: –Allgemeine Policies, für alle Vorgänge Evtl. zu komplex, unhandlich –Spezial-Policies für bestimmte Bereiche

20 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Beispiele für Spezial-Policies –Audit-Policy: Welche Audit-Daten werden gesammelt? Wie werde sie aufbereitet und gespeichert? –Backup-Policy: Welche Daten werden wann gesichert? Wer sichert und verwaltet die Daten?

21 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Erstellen einer Sicherheitspolitik 1 1. Autorisierung der Erstellung –Von höchster Stelle um Umsetzung zu gewährleisten 2. Informationsbeschaffung und Koordination –Ist-Zustand Analyse: tägliches Geschäft in alle Abteilungen, Probleme, bestehende Dokumente sichten –Personengruppen die einbezogen werden müssen: Mitarbeiter  detaillierte Auskünfte Betriebsrat+Datenschützer  Mitarbeiterrecht wahren bzw. Rechte und Pflichten aktualisieren Sicherheitsdienst  bestehende Konzepte einbinden, Machbarkeit von neuen Regelungen Jurist, Datenschützer

22 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Erstellen einer Sicherheitspolitik 2 3. Risiko- und Schwachstellenanalyse 4. Erstellung der Politik selbst –Welche Risiken sollen durch Policy vermieden werden? Verbleibende Risiken müssen durch Vorfallsbearbeitung erfasst werden!

23 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Sicherheitspolitik und Vorfallsbearbeitung Alle in der Schwachstellen- analyse ermittelten Risiken Risiken die durch Vorfallsbearbeitung abgefangen werden Risiken die durch Policy verhindert werden

24 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Vorgehensmodell für die Erstellung eines IT-Sicherheitskonzepts (nach BSI) 1. Abgrenzung der Einrichtung 2. Einsetzung eines Sicherheitsteams 3. Bestimmung der IT-Sicherheitsziele 4. Feststellung der Schutzbedürftigkeit 5. Individuelle Analyse nach IT-Sicherheitshandbuch 5.1 Bedrohungs- und Schwachstellenanalyse 5.2 Risikoanalyse 6. Risikobewertung 7. Maßnahmenkatalog

25 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 1. Abgrenzung der Einrichtung z.B. Zentrale Einrichtungen am Fachbereich: Fachbereichs- Bibliothek Fachbereichs- Verwaltung Fachbereichs- Rechenzentrum

26 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 2. Einsetzung eines Sicherheitsteams Angehörige des Teams: –ein Mitglied mit Expertenwissen im Bereich IT-Sicherheit sowie Erfahrung mit Organisation und Verwaltung –der Sicherheitsbeauftragte –ein Vertreter aus dem IT-Koordinierungsausschuß –ein Vertreter der Nutzer Aufgaben –IT-Sicherheitsziele festlegen und eine Politik entwickeln, diese Ziele zu erreichen –Ressourcen (Personen, Geld, Wissen)festlegen –Implementation und Effektivität überwachen

27 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 3. Bestimmung der IT- Sicherheitsziele Durch Befragung (Interview mit Frau E.Criegee Leiterin der FB- Bib) sind folgende Ziele für die FB-Bib definiert wurden: Hoher Schutzbedarf besteht aufgrund der Sensitivität der Benutzerdaten, die eine hohe Vertraulichkeit erfordert, der Integrität des Bestandskatalogs und der Verfügbarkeit von Recherchemöglichkeiten, Bestandskatalog und Ausleihsystem.

28 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 4. Kategorien für die Ermittlung der Schutzbedürftigkeit (1)

29 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 4. Kategorien für die Ermittlung der Schutzbedürftigkeit (2)

30 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 4. Vorgehens- weise in Abhängigkeit der SBK Kategorie I: IT- Anwendungen/Informationen mit unbedeutendem Schutzbedarf, Wert 0 Bagatellschäden Kategorie II: IT- Anwendungen/Informationen mit geringem oder mittleren Schutzbedarf, Werte 1,2 Abrechnung von Reisekosten Kategorie III: IT- Anwendungen/Informationen mit hohem Schutzbedarf, Werte 3,4 kassenwirksame Informationssysteme

31 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 5. Individuelle Analyse nach IT-Sicherheitshandbuch 5.1 Bedrohungsanalyse Erfassung der bedrohten Objekte Bestimmung der Bedrohungen und Grundbedrohungen 5.2 Risikoanalyse

32 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 5.1 Bedrohungs- und Schwachstellenanalyse (1) Erfassung der bedrohten Objekte Erfassung erfolgt anwendungsbezogen, d.h. es sind für jede Anwendung der Kategorie III die relevanten Objekte, strukturiert nach 8 Objektgruppen zu erfassen Bestimmung der Bedrohungen und Grundbedrohungen Erst wenn Bedrohungen und Wirkung vorhandener Schutzmaßnahmen bekannt sind können Schwachstellen erkannt werden. Zuordnung zu den Objekten mittels registrierter Schadensereignisse aus der Vergangenheit.

33 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 5.1 Bedrohungs- und Schwachstellenanalyse (2) Verlust der Integrität und Verfügbarkeit der Stromversorgung durch Stromausfall, einen Technischen Fehler oder Blitzschlag Verlust der Integrität der Gebäude und der Bibliotheksräume samt Infrastruktur durch unkontrollierten Zugang fremder Personen tagsüber und des Reinigungspersonals (frühmorgens) Verlust der Integrität der PICA-PCs, Barcodescanner und Ethernet-Netzwerk durch Manipulation

34 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 5.2 Risikoanalyse (1) Bewertung der Objekte Schadenswert ergibt sich aus dem Wert der IT- Anwendung oder der zu verarbeitenden Information. Bsp: Die Vertraulichkeit der Benutzerdaten ist im Bundesdatenschutzgesetz gefordert. Bei Verstoß droht eine Höchstentschädigungssumme von DM Bestimmung der Häufigkeit von Schäden Für Bedrohungen, deren Schadenswert mit 4 oder höher bewertet wurde, relativiert sich die Bedrohung der Eintrittshäufigkeit. Bsp: Budget der Bücherei: DM / Jahr 2 * Auftreten des Schadensfalls Vertraulichkeitsverletzung -> Bücherei muß Betrieb einstellen

35 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 5.2 Risikoanalyse (2) Bibliotheks-Ausleihsystem Bewertung der IT-Anwendungen und Informationen

36 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 6. Risikobewertung (1) Bibliotheks-Ausleihsystem Erfassung der Risikobereitschaft

37 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 6. Risikobewertung (2) - sehr hohes Risiko = Sofort-Maßnahmen unverzichtbar - hohes Risiko = auf Dauer untragbar, Maßnahmen baldmöglichst realisieren - mittleres Risiko = Reduzierung durch Maßnahmen des Grundschutzes angeraten - tragbares Risiko = keine Maßnahmen erforderlich

38 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 7. Maßnahmenkatalog (1) Kaufrichtlinien Richtlinien und Maßnahmen zum Schutz von und privaten Daten Monitoring, Log und Auditdaten Zugriffspolitik Zugriff auf Daten, Copyright, Telnet, FTP Authentifikation Paßwort-Restriktionen, remote-login Verfügbarkeit Definition von Backup-Recovery-Maßnahmen

39 Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller 7. Maßnahmenkatalog (2) Bsp: Schutz der Virus Datenbank Einbruchschutz: Vorbeugung durch durchbruchhemmende Verglasung (Folie) und Einbau einer Stahltür zum AVTC- Raum. Entdeckung durch Bewegungsmelder und Alarmsensoren. Wartung und Pflege Fehlermeldung, Angriffserkennung was muß (wann) gemeldet werden? Notfallmaßnahmen Notfallerkennung, Zuständigkeiten, Beweissicherung Weitergehende, unterstützende Informationen gesetzl. Vorschriften, Handlungsanweisungen


Herunterladen ppt "Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen."

Ähnliche Präsentationen


Google-Anzeigen