Michael Vogler Thomas Strabler Dominic wurzer Florian Mold Sicherheitskonzept Michael Vogler Thomas Strabler Dominic wurzer Florian Mold
Überblick Definition Grundlagen Anforderungen Ziele strukturierte Vorgehensweise Gefährdungen Sicherheitskonzepte im Alltag
Definition stellt Analyse möglicher Angriffs- und Schadensszenarien dar Aufgabe: definiertes Schutzniveau erreichen Sicherheitskonzept = eine Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen gewünschte Schutzwirkung durch Kombination je nach Schutzobjekt: bauliche technische organisatorische versicherungstechnische Maßnahmen
Die Idee ... Typische Abläufe und IT-Komponenten überall ähnlich Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet
Grundlagen wichtig ist: drei Säulen der Sicherheit: Mechanischer Grundschutz Elektronische Überwachungseinrichtung Organisation der Alarmverfolgung des Auftragsgebers Anforderungen des Auftraggebers örtlichen Gegebenheiten vom Auftraggeber zur Verfügung gestellte Mittel wichtig ist: Sicherheitskonzept regelmäßig prüfen an neue Gegebenheiten anpassen
Anforderungen optimales Sicherheitskonzept - folgende Anforderungen: Homogenität der Maßnahmen (keine gefährliche Lücken) Vollständigkeit Wirksamkeit rund um die Uhr und bei allen Betriebszuständen Verhältnismäßigkeit von Kosten und Nutzen (auf der Basis einer Risikoanalyse)
Ziel des Sicherheitskonzepts Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.
Datensicherheit: Datenschutz: Datenintegrität: Daten gegen Verlust sichern Datenschutz: Daten gegen Diebstahl sichern Datenintegrität: Daten gegen Manipulation schützen
strukturierte Vorgehensweise strukturierte Vorgehensweise eines Sicherheitskonzepts: Bestimmung des Objekts/Schutzziele Analyse der Bedrohungen/Gefahren Eintrittswahrscheinlichkeit bzw. potentielle Schadenserwartung Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit/Schadenshöhe Schadensbekämpfung/-eindämmung Versicherung des Restrisikos
Gefährdungen höhere Gewalt: Feuer, Wasser, Blitzschlag, ... organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ... menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" technisches Versagen: Systemabsturz, Plattencrash, ... vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...
Bedeutung der Gefahrenbereiche Quelle: KES-Studie 2006
Irrtum und Nachlässigkeit meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1): 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall 90% davon erklären dies durch einfache Anwenderfehler 1) Quelle: Broadcasters Res. International Information Security
Unzureichende Software-Tests Beispiel: British Airways Beispiel für fehlendes/lückenhaftes Sicherheitskonzept Chaos bei British Airways Ein Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.
Schutz von Informationen … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation … sollten deshalb - unabhängig von ihrer Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung
Sicherheitskonzepte im Alltag Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“ Sicherheit Bequemlichkeit Kosten
Erreichbares Sicherheitsniveau normaler Schutzbedarf Sicherheitsaspekte
Typische Probleme in der Praxis Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, IT-Benutzer werden vergessen
Stellenwert der Sicherheit „Sicherheit ist Chefsache“
Vorteile arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit
Nachteile sehr Zeitaufwändig erfordert Fachkenntnisse oft schwierig zu implementieren
Methodik für ein Sicherheitskonzept? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?
Fragen? ? ? ? ? ? ? ?
Vielen Dank für Ihre Aufmerksamkeit!