Vortrag im Rahmen des Seminars : Sicherheit in vernetzten Systemen.

Slides:



Advertisements
Ähnliche Präsentationen
Datenschutz im IT-Grundschutz
Advertisements

Risiko-Management im Projekt
Surfen im Internet.
Agenda Einleitung Risiken und Gefahren Vorbeugung
Modell der Verfahrensdokumentation für die E-Buchführung
Controlling, Analyse und Verbesserung (Teil 2)
Firewalls.
Vorlesung Gesamtbanksteuerung Operationelle Risiken
Möglichkeiten und Grenzen von Firewall-Systemen
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive
Schwachstellenanalyse in Netzen
Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.
Computerkriminalität, Datenschutz, Datensicherheit
Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.
Controlling, Analyse und Verbesserung (Teil 1)
Einsatzbedingungen des Dokuments im Rahmen des S-O-S-Ansatzes
Software Risk Evaluation Method (SRE)
Baustein RM-21: Risiko-Management planen
Aufgaben eines IT-Koordinators
Beurteilung der Arbeitsbedingungen
Datenschutz? Unwissenheit schützt vor Strafe nicht!
Grundschutztools
Phase 1 Phase 2 Prozessmanagement
Fritz Gempel Personalmonitoring Sozialwissenschaftliche Methoden zur Unterstützung der Personalentwicklung.
Spezifikation von Anforderungen
Software Engineering SS 2009
Sicherheit Quelle: Aus einem Referat der ASTALAVISTA Group
Synergieeffekte durch softwaregestützte Prozessmodelle
Die Umsetzung der ISO/IEC 17020
Gliederung Einleitung eID-Infrastruktur und Komponenten
Informationsveranstaltung „Erweitertes Sicherheitskonzept für die Fachhochschule Dortmund“ am
Datenschutz und Datensicherheit
Datenschutz?!?!.
Die EDV und damit verbundene Gefahren
EBAV® (Experience Based Asset Valuation)
Gefahren und Sicherheitsmaßnahmen Vortragsteil von Franzi ;-)
Technische und organisatorische Aspekte bei der Einführung und dem Betrieb einer universitätsweiten Lernplattform: Herbert STAPPLER Zentraler Informatikdienst.
1 Hugo Straumann, CT-SSM 17. Juni 2002 Security Risk Radar Hugo Straumann Methode Pilot Positionierung.
Kostenelemente aus der REACH - Verordnung Dr. ErwinTomschik Vorsitzender der Arbeitsgruppe Chemikalienpolitik/FCIO.
Datenbanken und Datenmodellierung
Wilhelm Klein, März 2010 Entwickeln mit Methode Projekt Manager Projektplanung Steuerung und Kontrolle Bereitstellung (Hardware und Software) Qualitätssicherung.
Vorgehen Einführung einer Kostenrechnung (Phasen)
Präsentation von Lukas Sulzer
SPODAT - Blick nach vorn
Datenschutz und Datensicherheit
Datenschutz und Datensicherheit
Datensicherheit.
Datenschutz und Datensicherheit
Die Professionalität maximieren Modul 6. Inhalt Die Aufgaben Die Rollen Die Kollaboration zwischen Mitarbeitern Die Kommunikation zwischen den Mitarbeitern.
Content Management System
xRM1 Pilot Implementierung
Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.
Leseförderung als Element von Schulentwicklung  zwei miteinander verknüpfte Probleme Implementation von Leseförderung an Schulen (PPM) Implementation.
Mathematisch-Statistische Verfahren des Risikomanagements - SS Weitere Methoden Interne Daten reichen als einzige Datenquelle nicht aus Andere Modelle.
Michael Vogler Thomas Strabler Dominic wurzer Florian Mold
als Controlling-Instrument für das Projektmanagement:
ISO in der betrieblichen Praxis
Müller Christoph1 Projektmanagement und MS Project Pädagogisches Institut.
SICHERHEIT – Abwehrmaßnahmen Mehmet Ş ükün & Fâtih Yildirim.
Organisation und betriebliche Informationssysteme
© Rau 2010.
Herzlich Willkommen! Betriebliches Gesundheitsmanagement –
Excel-Tool: Beschwerdeanalyse  Folie 1 von Bitte Makros aktivieren Das Excel-Tool funktioniert nur mit eingeschalteten Makros. Eventuell erhalten.
© Handwerkskammer des Saarlandes, Hohenzollernstraße 47-49, Saarbrücken IT-Sicherheit im Handwerksunternehmen Gefahr erkannt – Gefahr gebannt! IT.
Umweltinspektion Dr. Barbara Reiter-Tlapek. Entwicklungen auf EU Ebene 1997 Entschließungen des Europäischen Parlamentes bzw. des Rates 2001Empfehlung.
5-1 Informations- und Kommunikationssystemarchitektur Sicherheitsarchitektur IT-Sicherheit, Informationssicherheit ISO-Standards
Datenschutz u. -sicherheit. Datenschutz Die Datenschutzrichtlinien der Europäi- schen Gesellschaft beschäftigt sich mit personenbezogenen Daten. Mit diesen.
Meldung von unsicheren Situationen
 Präsentation transkript:

Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen des Seminars 18.415: Sicherheit in vernetzten Systemen. Vortragende: Jörg Ziemann, Fabian Müller Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Gliederung Teil I Teil II Teil III Konzepte und Theorien Einführung Bedrohungs- und Schwachstellenanalyse Risikoanalyse Sicherheitspolitik Teil II Vorgehensmodell für die Erstellung eines IT-Sicherheitskonzepts (nach BSI) Teil III Vorstellung des IT-Grundschutztools Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Begriffsklärung 1 Bedrohungs- und Schwachstellenanalyse Bedrohungen/Schwachstellen des Systems/Projekts Werte Daten, Dokumentation, Ansehen, Hard-/Software Schwachstellen Passworteingabe, unsichere Software Bedrohungen Diebstahl, unbefugter Zugriff, Zerstörung, Blockade der Diensterbringung Ziel: Daten für Risikoanalyse liefern Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Begriffsklärung 2 Risikoanalyse Risiko = Wahrscheinlichkeit des Eintreffens eines gefährdenden Ereignisses innerhalb eines bestimmten Zeitraumes und der damit verbundene potentielle Schaden Ziel: durch genaue Kenntnis des Risikos adäquate Abwehrmaßnahmen ergreifen können Risiko : Möglichkeit des Erleidens eines Schadens > Eintrittswahrscheinlichkeit schwer zu schätzen wenig Statistiken (Ausnahme: Versicherungen) Statistiken in modifiziertem Kontext schwer nutzbar Bis 1980er: subjektive Bewertungen unstrukturierte Schwachstellenbekämpfung -> unadäquate Gegenmaßnahmen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Begriffsklärung 3 Sicherheitspolitik Niederlegung von Zielen, Konzepten und Methoden in allgemeiner, nicht-technischer Weise Ziel: effektive Umsetzung von Sicherheit + Kontrolle der Umsetzung Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Motivation Risiko- Analyse Werte (Assets) Bedrohungen (Threats) Schwachstellen (Vulnerabilities) Risiken Risiko- manage- ment Systematische Gegenmaßnahmen (Sicherheitspolitik, Vorfalls-Bearbeitung, Notfall-Plan) Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Zusammenhang der 3 Bereiche Sicherheitspolitik Risikoanalyse Bedrohungs- und Schwachstellen- analyse Bei dem Erstellen einer Sicherheitspolitik: Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

„vorsätzliche“ Bedrohungen (deliberate threats) System Infiltration Zugriffsversuch um Existenz, Integrität, Vertraulichkeit oder Zugreifbarkeit von Daten zu zerstören Ressourcen Missbrauch (Misuse of resources) z.B. für Privatzwecke, mit Nebeneffekt dass autorisierte Dienste keine Kapazitäten mehr bekommen Vorsätzliche Beschädigung Z.B. physische Zerstörung, Brandstiftung Diebstahl Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

„zufällige“ Bedrohungen (accidental threats) Natürliche Ereignisse Feuer, Wasser, Wetter, Personalausfälle Menschliche Fehler Programmierer, Administratoren, Benutzer, Ingenieure (Maintenance) Fehlfunktion von Ausrüstung und Software CPU-, Speicher-, I/O, Netzwerkkomponenten-, Softwarefehlfunktionen bzw.-Ausfall Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Schwachstellen 1 Schwachstelle = Verwundbarkeit = Vulnerability Stelle an der sich eine Bedrohung realisieren könnte Wird ausgenutzt durch accidental oder deliberate threats Boundary = Grenze innerhalb der die Schwachstellen analysiert werden; soll alle schutzbedürftigen Werte einschließen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Schwachstellen 2 Vorraussetzung für Schadens-Auftritt: bei deliberate Threat: Aktionsauslöser (Motivation, Ressource, Fähigkeit, Gelegenheit, Attraktivität des Assets) Ereignis innerhalb oder außerhalb des Boundaries Schwachstelle welche durch das Ereignis ausgenutzt werden kann Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Risikoanalyse-Ansätze (1) 1. Grundschutz-Ansatz Pauschale Auswahl von Standart-Sicherheitsmechanismen Wenig Aufwand, keine detaillierte Risikoanalyse, BSI-Grundschutzhandbuch 2. Informale Risikoanalyse Erfahrene Berater zeigen subjektiv Schwachstellen, Risiken und Gegenmaßnahmen auf Kein Aufwand durch formale Verfahren Keine Garantie für Vollständigkeit, Updates schwierig Mögliche Auswirkungen auf Daten und Software-Werte: Unautorisierte Veröffentlichung Unautorisierte Modizfizierung (mutwillig oder nicht) (Vorübergehende) Nicht-Zugreifbarkeit Zerstörung Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Risikoanalyse-Ansätze (2) 3. Detaillierte Risikoanalyse alle Werte auf Schwachstellen und Gefahren untersuchen Hoher Aufwand/Kosten; 2 Ausprägungen: A) Quantitative Risikoanalyse Risiko wird in Zahlen ausgedrückt B) Semi-quantitative Risikoanalyse Klassen für Schadenshöhe und Eintrittswahrscheinlichkeit Risiko = Eintrittshäufigkeitsklasse verknüpft mit Schadenskategorie Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Risikoanalyse-Ansätze (3) 4. Kombinierter Ansatz zur Risikoanalyse Zuerst: informale Voranalyse IT System in Teilsysteme kategorisieren A) Teilsysteme mit gängigen Risiken Grundschutzkonzept: pauschale Maßnahmen gegen gängige Risiken B) Teilsysteme mit größeren Risiken Detaillierte Risikoanalyse mit spezifischen Gegenmaßnahmen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Schritte bei der quantitativen Risikoanalyse Werteermittlung Bedrohungsermittlung Schwachstellenermittlung Risikoermittlung - durch Zuordnung der Gefahren zu bedrohten Werten Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Beispiel für Risikoermittlung Ist Authentisierung per Chip-Karte nötig? Asset: Forschungsergebnisse, Wert 1mio. Euro Bedrohung: PWD Spionage oder unabsichtliche Preisgabe 50 Nutzer à 2%  63,6% Auftrittswahrscheinlichkeit des Threat Schwachstelle: Passwort-Eingabe (ist Aufgrund der hohen Auftrittswahrscheinlichkeit brisant) Kosten die durch dieses Risiko entstehen: 636.000 Euro Zu ermittelnde Daten: Assets und ihr Wert Bedrohungen und die Wahrscheinlichkeit ihres Auftretens, basierend auf: Früheren Vorkommnissen, auffällige aktuelle Entwicklungen (z.B. Hacker Aktivitäten), Wahrscheinlichkeit von Naturereignissen Schwächen; wie brisant sind Schwächen in Anbetracht der aktuellen Bedrohungen? Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Nutzen der Risikoanalyse Identifizierung aller Werte und Schwächen Bessere Entscheidungen bezüglich der Schutzmaßnahmen Gesteigertes Sicherheits-Bewusstsein unter Angestellten Rechtfertigung für Sicherheitsausgaben Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Sicherheitspolitik Gesamt(sicherheits)konzept; Niederlegung von Zielen, Konzepten und Methoden in allgemeiner, nicht-technischer Weise Ziel der Policy: effektive Umsetzung von Sicherheit + Kontrolle der Umsetzung Was (Assets) ist wie (Vorgehen) zu schützen, wer ist verantwortlich? Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Sicherheitspolitik Arten Grundrichtungen: Erlaubnispolitik: Alles verboten was nicht erlaubt Verbotspolitik: Alles erlaubt was nicht verboten Arten: Allgemeine Policies, für alle Vorgänge Evtl. zu komplex, unhandlich Spezial-Policies für bestimmte Bereiche Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Beispiele für Spezial-Policies Audit-Policy: Welche Audit-Daten werden gesammelt? Wie werde sie aufbereitet und gespeichert? Backup-Policy: Welche Daten werden wann gesichert? Wer sichert und verwaltet die Daten? Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Erstellen einer Sicherheitspolitik 1 1. Autorisierung der Erstellung Von höchster Stelle um Umsetzung zu gewährleisten 2. Informationsbeschaffung und Koordination Ist-Zustand Analyse: tägliches Geschäft in alle Abteilungen, Probleme, bestehende Dokumente sichten Personengruppen die einbezogen werden müssen: Mitarbeiter  detaillierte Auskünfte Betriebsrat+Datenschützer  Mitarbeiterrecht wahren bzw. Rechte und Pflichten aktualisieren Sicherheitsdienst  bestehende Konzepte einbinden, Machbarkeit von neuen Regelungen Jurist, Datenschützer Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Erstellen einer Sicherheitspolitik 2 3. Risiko- und Schwachstellenanalyse 4. Erstellung der Politik selbst Welche Risiken sollen durch Policy vermieden werden? Verbleibende Risiken müssen durch Vorfallsbearbeitung erfasst werden! Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Sicherheitspolitik und Vorfallsbearbeitung Risiken die durch Vorfallsbearbeitung abgefangen werden Alle in der Schwachstellen-analyse ermittelten Risiken Risiken die durch Policy verhindert werden Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Vorgehensmodell für die Erstellung eines IT-Sicherheitskonzepts (nach BSI) 1. Abgrenzung der Einrichtung 2. Einsetzung eines Sicherheitsteams 3. Bestimmung der IT-Sicherheitsziele 4. Feststellung der Schutzbedürftigkeit 5. Individuelle Analyse nach IT-Sicherheitshandbuch 5.1 Bedrohungs- und Schwachstellenanalyse 5.2 Risikoanalyse 6. Risikobewertung 7. Maßnahmenkatalog Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

1. Abgrenzung der Einrichtung z.B. Zentrale Einrichtungen am Fachbereich: Fachbereichs- Bibliothek Fachbereichs- Verwaltung Fachbereichs- Rechenzentrum Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

2. Einsetzung eines Sicherheitsteams Angehörige des Teams: ein Mitglied mit Expertenwissen im Bereich IT-Sicherheit sowie Erfahrung mit Organisation und Verwaltung der Sicherheitsbeauftragte ein Vertreter aus dem IT-Koordinierungsausschuß ein Vertreter der Nutzer Aufgaben IT-Sicherheitsziele festlegen und eine Politik entwickeln, diese Ziele zu erreichen Ressourcen (Personen, Geld, Wissen)festlegen Implementation und Effektivität überwachen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

3. Bestimmung der IT-Sicherheitsziele Durch Befragung (Interview mit Frau E.Criegee Leiterin der FB-Bib) sind folgende Ziele für die FB-Bib definiert wurden: Hoher Schutzbedarf besteht aufgrund der Sensitivität der Benutzerdaten, die eine hohe Vertraulichkeit erfordert, der Integrität des Bestandskatalogs und der Verfügbarkeit von Recherchemöglichkeiten, Bestandskatalog und Ausleihsystem. Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

4. Kategorien für die Ermittlung der Schutzbedürftigkeit (1) Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

4. Kategorien für die Ermittlung der Schutzbedürftigkeit (2) Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

4. Vorgehens-weise in Abhängigkeit der SBK Kategorie I: IT-Anwendungen/Informationen mit unbedeutendem Schutzbedarf, Wert 0 Bagatellschäden Kategorie II: IT-Anwendungen/Informationen mit geringem oder mittleren Schutzbedarf, Werte 1,2 Abrechnung von Reisekosten Kategorie III: IT-Anwendungen/Informationen mit hohem Schutzbedarf, Werte 3,4 kassenwirksame Informationssysteme Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

5. Individuelle Analyse nach IT-Sicherheitshandbuch 5.1 Bedrohungsanalyse 5.1.1 Erfassung der bedrohten Objekte 5.1.2 Bestimmung der Bedrohungen und Grundbedrohungen 5.2 Risikoanalyse Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

5.1 Bedrohungs- und Schwachstellenanalyse (1) 5.1.1 Erfassung der bedrohten Objekte Erfassung erfolgt anwendungsbezogen, d.h. es sind für jede Anwendung der Kategorie III die relevanten Objekte, strukturiert nach 8 Objektgruppen zu erfassen. 5.1.2 Bestimmung der Bedrohungen und Grundbedrohungen Erst wenn Bedrohungen und Wirkung vorhandener Schutzmaßnahmen bekannt sind können Schwachstellen erkannt werden. Zuordnung zu den Objekten mittels registrierter Schadensereignisse aus der Vergangenheit. Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

5.1 Bedrohungs- und Schwachstellenanalyse (2) Verlust der Integrität und Verfügbarkeit der Stromversorgung durch Stromausfall, einen Technischen Fehler oder Blitzschlag Verlust der Integrität der Gebäude und der Bibliotheksräume samt Infrastruktur durch unkontrollierten Zugang fremder Personen tagsüber und des Reinigungspersonals (frühmorgens) Verlust der Integrität der PICA-PCs, Barcodescanner und Ethernet-Netzwerk durch Manipulation Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

5.2 Risikoanalyse (1) 5.2.1 Bewertung der Objekte Schadenswert ergibt sich aus dem Wert der IT-Anwendung oder der zu verarbeitenden Information. Bsp: Die Vertraulichkeit der Benutzerdaten ist im Bundesdatenschutzgesetz gefordert. Bei Verstoß droht eine Höchstentschädigungssumme von 50.000 DM 5.2.2 Bestimmung der Häufigkeit von Schäden Für Bedrohungen, deren Schadenswert mit 4 oder höher bewertet wurde, relativiert sich die Bedrohung der Eintrittshäufigkeit. Bsp: Budget der Bücherei: 100.000 DM / Jahr 2 * Auftreten des Schadensfalls Vertraulichkeitsverletzung -> Bücherei muß Betrieb einstellen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

5.2 Risikoanalyse (2) Bibliotheks-Ausleihsystem Bewertung der IT-Anwendungen und Informationen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

6. Risikobewertung (1) Bibliotheks-Ausleihsystem Erfassung der Risikobereitschaft Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

6. Risikobewertung (2) - sehr hohes Risiko = Sofort-Maßnahmen unverzichtbar - hohes Risiko = auf Dauer untragbar, Maßnahmen baldmöglichst realisieren - mittleres Risiko = Reduzierung durch Maßnahmen des Grundschutzes angeraten - tragbares Risiko = keine Maßnahmen erforderlich Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

7. Maßnahmenkatalog (1) Kaufrichtlinien Richtlinien und Maßnahmen zum Schutz von Email und privaten Daten Monitoring, Log und Auditdaten Zugriffspolitik Zugriff auf Daten, Copyright, Telnet, FTP Authentifikation Paßwort-Restriktionen, remote-login Verfügbarkeit Definition von Backup-Recovery-Maßnahmen Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

7. Maßnahmenkatalog (2) Wartung und Pflege Fehlermeldung, Angriffserkennung was muß (wann) gemeldet werden? Notfallmaßnahmen Notfallerkennung, Zuständigkeiten, Beweissicherung Weitergehende, unterstützende Informationen gesetzl. Vorschriften, Handlungsanweisungen Bsp: Schutz der Virus Datenbank Einbruchschutz: Vorbeugung durch durchbruchhemmende Verglasung (Folie) und Einbau einer Stahltür zum AVTC-Raum. Entdeckung durch Bewegungsmelder und Alarmsensoren. Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.