IT Sicherheit Wirtschaftsinformatiker Richard Roth September 2008

Der rote Faden 1. Ziele Der / die Studierende kennt die wichtigsten Massnahmen zur Sicherstellung der IT-Sicherheit kann, basierend auf einer Risiko-Analyse, ein Sicherheitskonzept erstellen kennt die Voraussetzungen für ein Information Security Management System (ISMS)   2.      Inhalte  Schutzbedarf, Sicherheitsanforderungen an IT-Systeme Risk Management Prozess Bedrohungsarten (z.B. Viren, organisatorische Mängel) Abwehrmechanismen (z.B. Firewalls, Access Control) IT Security Compliance Aufgaben und rechtliche Bedingungen des Datenschutzes Security Management System (ISMS) Policies, Richtlinien, Weisungswesen

Halb- tag Inhalt Kapitel Aufgaben Bewer- tung 1 Einführung in die IT Sicherheit, Klassifikation, ISO-Norm 27002, Grundschutzhandbuch Schutzbedarfsfeststellung Risk Management 1-5 Schutzbedarf / Risk Management 2 / 3 Selbständige Auseinandersetzung mit Sicherheits- Massnahmen Erstellung Zusammenfassung (Word / max. 3 Seiten) Präsentationsvorbereitung (Powerpoint) Pro Studierende(r) 1 Thema 4 / 5 Präsentation der Sicherheits-Massnahmen Ja 5 Rechtliche Aspekte, Compliance 6 IT Security Management IT Security Management System (ISMS) IT Security Governance 7 Implementation Security-Strukturen in einem Unternehmen (Gruppenarbeit) 8 Präsentation Gruppenarbeiten Zusammenfassung / Rückblick / Feedbackrunde Abschluss

Übersicht Begriffe

Übersicht IT Sicherheit Prozesse Gesetze Risiken Business Daten Applikationen OS / Netz Hardware Schutzbedarf / Sicherheitsziele Risiko-Analyse Sicherheits-Massnahmen Normen / Grundschutz-Katalog

Grundwerte der IT-Sicherheit Gewährleistung Vertraulichkeit Nur autorisierten Benutzern zugänglich Gewährleistung Integrität Richtige und vollständige Informationen Korrekte, originale Programme Gewährleistung Verfügbarkeit Zugang zu Informationen bei Bedarf Gewährleistung Verbindlichkeit Juristische Akzeptanz eines elektronisch abgewickelten Geschäftes Vertraulichkeit Vertraulichkeit von Informationen ist vorhanden, wenn die Informationen nur Befugten in der zulässigen Weise zugänglich sind. Entsprechende Massnahmen sind Definition und Einhaltung von Vertraulichkeitsstufen wie "öffentlich", "intern", "vertraulich", "streng vertraulich", "geheim". Eine Abstufung in weniger Stufen ist ebenfalls denkbar.   1.         Vertraulichkeit des Informationsverhaltens 2.         Vertraulichkeit der Prozesse 3.         Vertraulichkeit der Informationsinhalte (personenbezogene, sachbezogene Daten) Verfügbarkeit Die Verfügbarkeit eines IT-Systems bzw. einzelner Systemfunktionen wird durch die Wartezeit auf Systemfunktionen bzw. auf benötigte Betriebsmittel bestimmt. Die Masseinheit ist in %, in Stunden, Tagen, ...) 1.         Verfügbarkeit zu bestimmten Zeitpunkten bzw. in bestimmten Zeiträumen 2.         Verfügbarkeit an bestimmten Orten 3.         Verfügbarkeit in bestimmter Qualität (besonders: Komfort, Benutzerfreundlichkeit) 4.         Verfügbarkeit innerhalb einer vorgegebenen Zugriffszeit Integrität Integrität bedeutet, dass jedes (sicherheitsrelevante) Objekt der Informationsverarbeitung vollständig, unverfälscht und korrekt ist. 1.         Integrität von Programmen 2.         Ausführung nur der autorisierten Funktionen 3.         Bestimmungsgemässe Ausführung dieser Funktionen 4.         Schutz vor Veränderung von Funktionen bei der Entwicklung und im Einsatz, einschliesslich Schutz vor Viren, Trojanischen Pferden, logischen Bomben, Fall- und Hintertüren, Würmern 5.         Integrität von Informationen 6.         Korrekte Verarbeitung aller Informationen 7.         Vollständigkeit 8.         Aktualität 9.         Integrität von Prozessen 10.     Kommunikationsprozesse 11.     Erfassungs-, Verarbeitungs-, Speicherungs-, Ausgabeprozesse Verbindlichkeit Die Verbindlichkeit enthält die juristische Akzeptanz von elektronisch abgewickelten Verträgen. 1.         Nachweisbarkeit von Kommunikations-Abläufen 2. Juristische Akzeptanz von Rechtsgeschäften Informations-Sicherheit [ISO/IEC 17799:2000]: Sicherstellen der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen

Begriff: Vertraulichkeit Sicherstellen, dass Informationen nur für autorisierte Benutzer zugänglich sind [ISO/IEC 17799:2000] Die Vertraulichkeit ist gewährleistet, wenn nur berechtigten Subjekte ( Mensch, System oder Funktion) auf schutzwürdig definierte Objekte (System, Funktion oder Datenbestände) zugreifen.

Begriff: Integrität Sicherung der Richtigkeit und Vollständigkeit der Informationen und ihrer Verarbeitungsmethoden [ISO/IEC 17799:2000] Aktualität Richtigkeit Gültigkeit Korrekt

Begriff: Verfügbarkeit Sicherstellen, dass autorisierte Benutzer bei Bedarf jederzeit Zugang zu Informationen und verbundenen Informationswerten haben [ISO/IEC 17799:2000] Verfügbarkeit ist gewährleistet, wenn die berechtigten Subjekte dauernd innerhalb der gemeinsam als notwendig definierten Frist auf die zur Durchführung ihrer Aufgaben benötigten Objekte zugreifen können.

Begriff: Verbindlichkeit Nachweis von Kommunikationsvorgängen (EDI) dass kommuniziert wurde Inhalt Juristische Akzeptanz von Rechtsgeschäften

Begriff: Risiko Ein Risiko ist eine wahrscheinliche Gefahr auf ein Objekt Eine Kombination aus Bedrohung (threat) und Verletzbarkeit (Vulnerability). Eine Kombination aus Eintretens-Wahrscheinlichkeit eines gefährdenden Ereignisses und dem daraus resultierenden Schadenshöhe pro Jahr (Zeiteinheit).

Risiko Risiko Business-Impact Wahrscheinlichkeit Schaden Bedrohung Durch fehlende Vertraulichkeit Verfügbarkeit Integrität Wahrscheinlichkeit Schaden Bedrohung Objekt jährlich SFR.

Risiko-Wahrscheinlichkeit Bedrohung Objekt Höhere Gewalt Technisches Versagen Menschliche Fehlhandlungen Vorsätzliche Handlungen Organisatorische Mängel Infrastruktur (Bau) Netzwerk / Kommunikation Hardware und Software Applikationen Daten / Informationen

aus BSI: Schutzbedarfsfeststellung Business-Impact Auswirkungen auf das Kerngeschäft wegen Verstoss gegen Gesetze und Verträge Beeinträchtigung der informationellen Selbstbestimmung Beeinträchtigung der Aufgabenerfüllung Negative Auswirkungen im Ansehen oder Vertrauen Finanzelle Auswirkungen aus BSI: Schutzbedarfsfeststellung

Klassifikation

Definition „Klassifikation“ Eine Klassifikation oder Systematik ist eine planmässige Darstellung von Klassen, Kategorien oder anderen abstrakten Konzepten, die nach bestimmten Ordnungsprinzipien gestaltet ist. In diesem Zusammenhang verstehen wir IT Objekte, die zu einer bestimmten Kategorie innerhalb der Vertraulichkeits-, Integritäts-, Verfügbarkeits- oder anderer Abstufungen, gehören.

Zielsetzungen Klassifikation (ISO 17799) Ziel ist die Sicherstellung eines angemessenen Schutzniveaus für Informationswerte. Informationen sollten eingestuft werden, um Bedarf, Prioritäten und Umfang des Schutzes angeben zu können. Zur Definition eines angemessenen Schutzniveaus und zur Vermittlung der Notwendigkeit besonderer Behandlungsmassnahmen sollte ein System für die Klassifizierung von Informationen verwendet werden.

Beispiel einer solchen Systematik Vertraulichkeit Integrität Verfügbarkeit Stufe SEHR HOCH Streng vertraulich Absolut richtig, gültig, korrekt Kein Ausfall erlaubt (non-stop) Stufe HOCH Vertraulich Wenige, kurze Ausfälle toleriert (< 1 Std) Klassifikations- Abstufung Stufe MITTEL Nur für internen Gebrauch Normale Integrität Ausfälle sind toleriert (max. 1 Tag) Stufe TIEF Öffentlich zugänglich Ausfälle sind toleriert (> 1 Tag)

Klassifikation von Applikationen Haupt-Applikation Sicherheitsziele Vertraulichkeit Verfügbarkeit Integrität DSG Katastrophen-Vorsorge Einwohnerkontrolle Mittlerer Schutzgrad, da Ausfall des Informatiksystems oder der -anwendung oder der Verlust oder das unbefugte Bearbeiten von Daten zu grösseren, aber überblickbaren Schäden führt, Persönlichkeitsrechte gefährdet sind, …. Ja Nein, da ein Ausfall von 3-5 Tagen in Kauf genommen werden kann. Max. Datenverlust von 1 Tag ist tolerierbar. Grundbuch Abrechnung Stromverbrauch Das Inventar der bewerteten Applikationen zeigt die erforderlichen Sicherheitsziele bzw. die Sicherheits-Anforderungen an die Informatik. Sie geben Hinweise bez. Backup-Konzept, Schutz der Daten vor Einsicht, Parallelsysteme, Netzverschlüsselung, Katastrophenvorsorge, Auskunftsverhalten, Schulung, etc.

Problemlösungsprozess Business-Anforderungen Klassifizierung Systeme Netze Applikationen Räume / Infrastruktur Bedrohungen Höhere Gewalt Technologie Menschliche Fehler Organisation Vorsätzliche Handlung Realisierung der Sicherheit Massnahmen Infrastruktur Massnahmen Organisation Massnahmen Personal Massnahmen Hardware / Software Massnahmen Kommunikation Massnahmen Notfallvorsorge

Zusammenfassung zur Klassifikation Einordnung (Schubladisierung nach WENN - DANN) Business Anforderung an seine Applikationen Vererbung an die Datenbanken, Daten, Systemen, Räume Keine Schadens-Ableitung möglich

„Normen“ der IT Sicherheit ISO Normen (27xxx), weitere NIST, IEEE, weitere „Normen“ der IT Sicherheit

Norm zum Aufbau und zur Auditierung eines ISMS ISO Normen ISO 27001 Norm zum Aufbau und zur Auditierung eines ISMS Q-Elemente analog ISO 9001 Si-Elemente analog ISO 27002 ISO 27002 Norm zum Aubau der IT Sicherheit in einem Betrieb 11 Bereiche Allgemein einsetzbar

ISO Norm 27002

Das Grundschutz-Handbuch Standard 102 IT Grundschutz Vorgehensweise Das Grundschutz-Handbuch Copyright by Richard Roth

IT Sicherheitsprozess Initiierung des IT Sicherheitsprozesses Verantwortung der Leitungsebene Konzeption und Planung Aufbau IT Sicherheitsorganisation Erstellung IT Sicherheitspolicy Bereitstellung von Ressourcen für IT Sicherheit IT Sicherheitskonzeption Aufrechterhaltung und Verbesserung

Sicherheits-Prozess Struktur-Analyse (IST-Aufnahme) Netz IT-Systeme IT-Applikationen IT-Räume Schutzbedarfs-feststellung (Klassifizierung) IT-Applikationen IT-Systeme Netz IT-Räume Aufbau IT Grundschutz Modellierung Basis-Sicherheits-check Ergänzende Sicherheits-A. Erhöhter Schutzbedarf Realisierung

Netz-Plan IT Systeme Applikationen Struktur-Analyse Netz-Plan IT Systeme Applikationen Copyright by Richard Roth

Muster Netzplan mit den Systemen

Strukturanalyse: Erhebung IT-Systeme Nr. Beschreibung Plattform Anz. Ort Status Anwender/ Admin. S1 Server für Personal- verwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb referat S2 Primärer Domänen- Controller R 3.10 alle IT-Anwender C6 Gruppe der Laptops für den Standort Berlin Laptop unter Windows 95 2 Berlin, R 2.0 in Berlin N1 Router zum Internet-Zugang Router R 3.09 T1 TK-Anlage für Bonn ISDN-TK- Anlage B.02 alle Mitarb. in Bonn

IT-Strukturanalyse: Erfassung der IT-Anwendungen Beschreibung der IT-Anwendungen IT-Systeme Anw.- Nr. IT-Anwendung/ Informationen Pers.- bez. Daten S1 S2 S3 S4 S5 S6 S7 A1 Personaldaten- verarbeitung X A4 Benutzer- Authentisierung A5 Systemmanagement A7 zentrale Dokumentenverwaltung

Schutzbedarfs-Feststellung IT Anwendungen IT Systeme Kommunikation IT Räume Copyright by Richard Roth

Schutzbedarfs-Feststellung [Security Requirements] Struktur-Analyse (IST-Aufnahme) Netz IT-Systeme IT-Applikationen IT-Räume Schutzbedarfs-feststellung (Klassifizierung) IT-Applikationen IT-Systeme Netz IT-Räume

Schutzbedarfs-Feststellung Die Schutzbedarfs-Feststellung klassifiziert die Objekte aus der Struktur-Analyse (IST-Aufnahme). Sie legt die Sicherheits-Bedürfnisse bzw. den Schutzbedarf fest.

Schutzbedarfs-Feststellung IT-Anwendungen Schritt 1 Definition der Schutzbedarfs-Kategorien Schritt 2 Betrachtung von Schadens-Szenarien Was wäre, wenn .....? Schritt 3 Dokumentation der Ergebnisse

Schutzbedarfs-Feststellung Schutzbedarfs-Kategorien Das IT-Grundschutzhandbuch unterscheidet drei Schutzbedarfskategorien anhand der maximalen Schäden und Folgeschäden bei Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit: niedrig bis mittel begrenzte und überschaubare Schäden hoch beträchtliche Schäden möglich sehr hoch existentiell bedrohliche, katastrophale Schäden möglich

Schutzbedarfskategorien Auswirkungen GSHB Variante 1 Variante 2 Variante 3 Existenziell bedrohlich Sehr hoch 3 C Hoch Beträchtliche Schäden hoch 2 B Mittel Begrenzte Schäden Niedrig bis mittel 1 A Tief

Schutzbedarfs-Feststellung WAS WÄRE WENN ..... Schadens-Szenarien Gesetze / Vorschriften / Verträge Informationelle Selbstbestimmung Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Aussenwirkungen Finanzielle Auswirkungen

Schutzbedarfs-Feststellung: Applikationen / Dokumentation IT-Anwendung Schutzbedarfs-Feststellung Nr. Bezeichnung pers. Dat. Grund-wert Schutz-bedarf Begründung A1 Personaldaten-verarbeitung X Vertrau-lichkeit hoch Personaldaten sind besonders schutz-bedürftige personenbezogene Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen können. Integrität mittel Der Schutzbedarf ist nur mittel, da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können. Verfüg-barkeit Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. A2 Beihilfeabwicklung Beihilfedaten sind besonders schutz-bedürftige personenbezogene Daten, die z. T. auch Hinweise auf Erkrankungen und ärztliche Befunde enthalten. Ein Bekannt werden kann die Betroffenen erheblich beeinträchtigen.

Schutzbedarfs-Feststellung IT-Systeme Unter IT-Systemen versteht man alle Komponenten aus der Struktur-Analyse „Erhebung der IT-Systeme“, wie Server Clients Netzknoten

Schutzbedarfs-Feststellung: IT-Systeme

Verbindungsanalyse

Schutzbedarfs-Feststellung IT-Räume Erstellen einer Übersicht über Server-Räume TK Anlagen Datenträger-Archiv Technikräume Heim-Arbeitsplatz Büros Schutzbedarf leitet sich von den installierten IT-Systemen ab Maximum-Prinzip Kumulationseffekt

Schutzbedarfsfeststellung für IT-Räume

Aufgabe Schutzbedarfs-Festlegung Beurteilung eines Dateninventars Erheben der Informationen Schutzbedarf definieren Arbeiten Sie zu zweit Lösung wird in der Klasse besprochen

Modellierung, Basis-Sicherheits-Check und Realisierungs-Planung Die Umsetzungsschritte Modellierung, Basis-Sicherheits-Check und Realisierungs-Planung Copyright by Richard Roth

Der Prozess Struktur-Analyse (IST-Aufnahme) Netz IT-Systeme IT-Applikationen IT-Räume Schutzbedarfs-feststellung (Klassifizierung) IT-Applikationen IT-Systeme Netz IT-Räume Modellierung Aufbau IT Grundschutz Basis- Sicherheits-check Ergänzende Sicherheits-A. Erhöhter Schutzbedarf Realisierung

Modellierung nach Schichten des IT-Grundschutzes Die Einteilung in diese Schichten hat folgende Vorteile: Die Komplexität der IT-Sicherheit wird reduziert Vermeidung von Redundanzen Aufteilung / Bündelung auf die Zuständigkeiten Leichtere Aktualisierung und Erweiterung

Modellierung eines IT-Verbundes Nr. Titel des Bausteins Zielobjekt/ Zielgruppe Ansprech- partner Hinweise 3.1 Organisation Standort Bonn   Der Baustein Organisation muss für die Standorte Bonn und Berlin separat bearbeitet werde, da in Berlin eigene organisatorische Regelungen gelten. Standort Berlin 3.2 Personal gesamtes BOV Die Personalverwaltung des BOV erfolgt zentral in Bonn. 4.3.3 Datenträger-archiv R U.02 (Bonn) In diesem Raum werden die Backup-Datenträger aufbewahrt 5.3 Tragbarer PC C5 Die Laptops in Bonn bzw. Berlin werden jeweils in eine Gruppe zusammengefasst. C6 7.5 WWW-Server S5 S5 dient als Server für das Intranet. 9.2 Datenbanken Auf dem Server S5 kommt eine Datenbank zum Einsatz

Basis-Sicherheitscheck Soll-/Ist-Vergleich

Risiko-AnalySe

Risk Management Übersicht

Begriffe Risiko Ein Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall Ein Risiko ist bezüglich Wahrscheinlichkeit und Schadensausmass bewertet. Risiko Management Systematischer Umgang / Bearbeitung von Risiken Risiko Identifikation Identifikation von Assets, deren Bedrohung und Schwachstellen Risiko Analyse Risiko Bewertung Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher Risiken Risk Assessment Risiko-Identifikation und –Analyse Risikobehandlung Massnahmen Risiko-Minderung durch Massnahmen Risiko-Transfer auf andere (outsourcing) Risiko-Akzeptanz (Restrisiko)

Risiko Identifikation Asset Identifikation Asset Identifikation von materiellen und immateriellen Vermögenswerten und sind Hardware Software Mitarbeitende Services Ansehen / Ruf Dokumentation Für die Wert-Einschätzung stellt sich die Frage „was kostet deren Ersatz“ und umfasst Beschaffungs- oder Erstellungs-Kosten Mögliche Haftungsschäden bei Kompromittierung Produktionskosten ohne Asset Was für einen Wert hat Asset für die Konkurrenz / Behörde? Wie kritisch ist das Asset und was bedeutet deren Verlust für die Firma?

Risiko Identifikation Quellen zur Erfragung von möglichen Risiken Zur Identifikation von Risiken können verschiedenste Quellen erfragt werden: Business Owner Rechtsberater Personal Leitung IS Auditor Netzwerk Administrator Security Administrator Operation CERT

Risiko Identifikation Bedrohungen und Schwachstellen Bedrohungen werden hervorgerufen durch Umwelt Technik Durch Personen Durch mangelnde Organisation Durch kriminelle Vorkommnisse Die Einflüsse erfolgen sowohl von innen wie aussen Definition der Bedrohungen auf diese Assets. Möglich sind dabei 1 Bedrohung auf 1 Asset N Bedrohungen auf 1 Asset N Bedrohungen auf N Assets Die 1:1 Beziehung ist die Aufwändigste aber auch die Genauste

Risiko Identifikation Bedrohungen und Schwachstellen In IT-Systemen sind Schwachstellen die Ursache für Sicherheitslücken. Im Normalfall sind Schwachstellen unbeabsichtigt (keine Sollbruchstelle). Definition der Schwachstellen Warum wird es möglich, dass die Bedrohung erfolgreich ist? Gib der Bedrohung eine Chance! Beispiele von Schwachstellen: Ungenügendes Wissen / Können Schwache / Falsche Sicherheitsmassnahmen Falsche Passwortwahl Ungetestete Technologie Netz-Übertragung bietet keine Verschlüsselung

Risiko Identifikation Konsequenzen Eine Bedrohung zusammen mit einer Schwachstelle führt zu Verlusten bezüglich Finanzieller Verlust Verlust von Ruf / Ansehen Gefährdung von Mitarbeitenden / Kunden Verlust von Business Vertrauensverlust Nichterfüllung von Gesetzen und Verträgen

Risiko-Analyse Quantitative Risikoanalyse Wahrscheinlichkeit Schadensausmass Tritt ein mindestens alle 3 Monate Tritt ein mindestens jährlich Tritt ein mindestens einmal pro 5 Jahre Tritt ein mindestens einmal pro 20 Jahre Tritt ein weniger als einmal pro 20 Jahre Diese Einstufung muss jede Firma für sich definieren, ebenso wie viele Stufen sie definieren will. Kritisch Konkursgefährdung Hoch Gewinngefährdung Mittel Budget-Gefährdung Tief Wird über eigenes Budget bezahlt Vernachlässigbar Kleiner Betrag

Risiko-Bewertung Risiko-Matrix Wahrscheinlichkeit * Schadenshöhe = Risiko-Level A sehr hoch 1 hoch B 2 5 2 C merklich Schaden Hoher Risiko-Level 1 15 6 D gering Mittlerer Risiko-Level 11 7 E Geringer Risiko-Level Geringer Risiko-Level sehr gering gering merklich hoch sehr hoch Eintrittswahrscheinlichkeit d c b a

Zusammenfassung

Aufgabe Risiko-Analyse Vgl. Aufgabenstellung im Script Weiterbearbeitung Schutzbedarfs-Aufgabe Bedrohungen vgl. Script im Anhang: Wählen Sie hier Bedrohungen, die im Kontext zur Aufgabenstellung stehen Wählen Sie min. 6 Bedrohungen Definieren Sie die Risiken Bewerten Sie die Risiken Beantworten Sie die Fragen

Sicherheits-Massnahmen

Übungsaufgabe Ein grosser Teil der IT Sicherheit befasst sich mit Sicherheits-Massnahmen Sie erhalten die Möglichkeit, selbständig ein Thema aufzuarbeiten Wählen Sie aus der Liste aus nach folgenden Kriterien NEU INTERESSANT Entscheiden Sie, ob Sie die Aufgabe alleine oder zu zweit machen wollen Resultate: Präsentation des Themas Abgabe eines kleinen Scripts zum Thema