Sicherheit von Informationssystemen

Überblick Computer-gestützte Informationssysteme bergen spezielle Sicherheitsrisiken. Auch das Sicherheitssystem besteht aus den grundlegenden IT-Komponenten: Hardware, Datenbanken, Prozeduren und Berichte (Auswertungen).

Lernziele Wie können Sicherheitsrisiken von IT-Systemen aufgedeckt werden. Virulente und latente Sicherheitsrisiken. Wesentliche Kriterien eines IT-Sicherheitssystems. Verfahren des Risiko-Managements.

Wie können Sicherheitsrisiken von Lernziel 1 Wie können Sicherheitsrisiken von IT-Systemen aufgedeckt werden?

Der Lebenszyklus des IT-Sicherheitssystems Die Sicherheit von IT-Systemen wird in den Phasen Analyse, Design, Implementation, Operating, Evaluierung und Kontrolle berücksichtigt.

Der Lebenszyklus des IT-Sicherheitssystems Phase im Lebenszyklus Zielsetzung Systemanalyse Die Systemschwächen erheben, als Bedrohungs- potential mal möglicher Schadenshöhe System-Design Berücksichtigung von Sicherheitsvorkehrungen und Ersatzsystemen

Der Lebenszyklus des IT-Sicherheitssystems Phase im Lebenszyklus Zielsetzung Systemimplementierung Umsetzung der Sicherheits- features der Design-Phase Systembetrieb, Systembetrieb mit laufender Evaluierung und Überprüfung von Effizienz Kontrolle und Effektivität. Nötige Änderungen vornehmen.

Der Lebenszyklus des IT-Sicherheitssystems Für das Sicherheitssystem ist ein chief security officer (CSO) zuständig. Der CSO sollte unmittelbar dem Vorstand unterstellt sein um seine Unabhängigkeit zu gewährleisten. Die Sicherheitsberichte sollten jede Phase des System-Lebenszyklus umfassen.

Analyse von Sicherheitsrisiken Es gibt zwei Möglichkeiten Systemrisiken zu analysieren: Den quantitativen Ansatz der Risikoerkennung Den qualitativen Ansatz der Risikoerkennung

Analyse von Sicherheitsrisiken Beim quantitativen Ansatz zur Risikofrüherkennung wird jeder mögliche Schadensfall mit seiner Eintrittswahrschein-lichkeit multipliziert. Welche Schwierigkeiten bringt diese Vorgangsweise mit sich?

Analyse von Sicherheitsrisiken Es kann kompliziert sein die Schäden und ihre Wahrscheinlichkeiten zu schätzen. Um die Schadenswahrscheinlichkeiten abzuschätzen müssen Zukunftsprognosen erstellt werden  unsicher.

Analyse von Sicherheitsrisiken Beim qualitativen Ansatz zur Risikofrüherkennung werden die möglichen Risiken nach dem subjektiven geschätzten Beitrag zum Gesamtrisiko des Unternehmens gereiht. Beide Methoden müssen zumindest folgende Risiken berücksichtigen:

Analyse von Sicherheitsrisiken Unterbrechung der Geschäftstätigkeit Verlust von Software Verlust von Daten Verlust von Hardware Verlust von Gebäuden Verlust von Mitarbeitern

Virulente und latente Sicherheitsrisiken Lernziel 2 Virulente und latente Sicherheitsrisiken

Sicherheitslücken und Bedrohungen Was ist ein Risikopotential (vulnerability)? … eine Systemschwäche. Was ist eine Bedrohung (threat)? Eine Bedrohung ist der Eintritt eines Risikopotentials. Welche zwei Arten von Bedrohungen gibt es?

Sicherheitslücken und Bedrohungen Virulente Bedrohungen (active threats) Latente Bedrohungen (passive threats) Virulente Bedrohungen umfassen Computermanipulation (computer fraud) und Sabotage. Latente Bedrohungen beinhalten Systemfehler und Naturkatastrophen. Systemfehler können auch Hardwarefehler sein.

Personen als Risikopotential Erfolgreiche Computer-Attacken setzen den Zugriff auf Hardware, Daten oder Software voraus. Drei Personengruppen kommen für solche Angriffe in Frage: EDV-Personal Anwender Eindringlinge

Personen als Risikopotential Zum IT-Personal zählen: Hardware-Wartungspersonal Programmierer Netzwerkadministratoren Sonstige Systemadministratoren Daten kontrollierende Mitarbeiter

Personen als Risikopotential Anwender (User) bestehen aus heterogenen Gruppen von Mitarbeitern, deren funktionaler Aufgabenbereich nicht im Bereich Datenverarbeitung liegt. Ein Eindrigling (intruder) ist jeder, der auf Geräte oder Daten ohne entsprechende Autorisierung zugreift. Wer sind die Hacker (hackers)?

Personen als Risikopotential Ein Hacker ist ein Eindringling, welcher das Eindringen in Systeme aus Spaß oder Selbstbestätigung betreibt. Welche anderen Arten von Eindringlingen gibt es? unbemerkte Eindringlinge wiretappers (Abhören von Leitungen) piggybackers (verwenden fremder Passwörter) impersonating intruders (annehmen fremder Identitäten) eavesdroppers (Abhören mittels Kameras, “Wanzen”, Satelliten, …)

Virulente Gefahren Für Computer-Mißbrauch gibt es unterschiedliche Möglichkeiten: Manipulation des Input Änderung des Programmcodes Änderung von Dateien Datendiebstahl Zeitdiebstahl (z.B. im wireless LAN)

Virulente Gefahren Sabotage etc. Die häufigste Methode ist die Input-Manipulation. Dazu werden die geringsten technischen Fähigkeiten benötigt!

Virulente Gefahren Programmcode-Änderung ist das am seltensten beobachtete Verfahren. Dazu werden Programmierkenntnisse (und Zugriffsberechtigungen) benötigt, über die nur wenige Mitarbeiter im Unternehmen verfügen. Was ist eine Hintertüre (trapdoor)?

Virulente Gefahren Ein Teil eines Programmes, der es einem unberechtigten Benutzer gestattet, unter Umgehung der normalen Sicherheitsprüfungen dieses zu verwenden. Eine direkte Datei-Änderung kann dann stattfinden, wenn es Benutzern möglich ist, die Daten auch mit anderen Werkzeugen (als dem normalen Programm inklusive seiner Sicherheitsprüfungen) zu bearbeiten.

Virulente Gefahren Datendiebstahl ist heute ein ernsthaftes Problem geworden. In vielen stark dem Wettbewerb ausgesetzten Branchen werden permanent sowohl qualitative als auch quantitative Daten über Mitbewerber gesucht (Business Intelligence). Sabotage stellt eine starke Bedrohung für alle IT-Bereiche dar.

Virulente Gefahren Verärgerte, entlassene Mitarbeiter sind in der Praxis die häufigsten Saboteure. Welche Sabotage-Methoden sind üblich? Logische Bomben Trojanische Pferde Viren

Virulente Gefahren Was ist ein Wurm? Dabei handelt es sich um ein Programm, das sich eigenständig durch ein Netzwerk verbreitet (ohne andere, ausführbare Programme zu infizieren = Virus). Um Computer-Mißbrauch handelt es sich, wenn Mitarbeiter Computer für eigene (private) Zwecke verwenden.

Wesentliche Kriterien eines IT-Sicherheitssystems Lernziel 3 Wesentliche Kriterien eines IT-Sicherheitssystems

Das IT-Sicherheitssystem Das Controlling von IT-Bedrohungen wird durch Sicherheitsmaßnahmen und Notfallmaßnahmen bewältigt. Sicherheitsmaßnahmen konzentrieren sich auf Vorbeugung und Aufdeckung von Bedrohungen. Notfallpläne sollen die eingetretenen Schäden beheben.

Das Kontroll-Umfeld Das Kontroll-Umfeld (control environment) ist für die Effektivität des Kontrollsystems von zentraler Bedeutung. Ein geeignetes Kontroll-Umfeld kann durch folgende Maßnahmen sichergestellt werden: Management-Philosophie und Arbeitsstil Wichtigster Aspekt eines Kontroll-Umfeld sind hohe moralische Standards im Unternehmen.

Das Kontroll-Umfeld Laufende Fortbildung (bei Sicherheit des Arbeitsplatzes) wirkt beruhigend und motivierend. Sicherheitsregeln sollten überwacht werden. Organisationsstrukturen In vielen Unternehmen werden die Bereiche Rechnungswesen, EDV und operatives Management alle einem einzelnen Chief Information Officer (CIO) unterstellt.

Das Kontroll-Umfeld Für die Entscheidungen betreffend Accounting-Software und Abläufe im Rechnungswesen sollten klar abgegrenzte Linien-Kompetenzen existieren. Der Aufsichtsrat und seine Ausschüsse (Committees) Der Aufsichtsrat sollte einen Prüfungs-Ausschuß (audit committee) einrichten.

Das Kontroll-Umfeld Dieser Ausschuß muß einen Innenrevisor bestimmen. Übertragung von Autorität und Verantwortung Die Verantwortlichkeiten aller Positionen im Unternehmen sollten klar dokumentiert sein (z.B. mittels Organigramm, Verfahrenshandbuch, Stellenbeschreibungen etc.).

Das Kontroll-Umfeld Management Controls Sämtliche IT-Ressourcen und –Verantwortlichkeiten sollten genau dokumentiert und überwacht werden. Budgets sollten für folgende Bereiche erstellt werden: Beschaffung von Hard- und Software,

Das Kontroll-Umfeld Kosten des laufenden Betriebs Wartung und Updates. In allen Bereichen sollten die Ist-Zahlen mit den Budget-Zahlen verglichen werden. Die Ursachen für signifikante Abweichungen sollten ergründet werden.

Das Kontroll-Umfeld Innenrevision (Internal Audit Function) Die IT-Sicherheitssysteme müssen permanent überprüft und an sich ändernde Bedingungen angepaßt werden. Alle Änderungen der IT-Sicherheitssysteme sollten nur in Übereinstimmung mit der Sicherheitspolitik des Unternehmens vorgenommen werden.

Das Kontroll-Umfeld Personalpolitik Die Aufteilung von Verantwortlichkeiten (4-Augen-Prinzip), adäquate Überwachung (monitoring), Job Rotation, verpflichtende Freistellungen (forced vacations) und doppelte Überprüfungen (double checks) zählen zu den wichtigsten Methoden im Personalbereich. Externe Einflüsse Das IT-System des Unternehmens muß allen gesetzlichen Regeln und sonstigen relevanten Standards entsprechen.

Kontrollen virulenter Gefahren Die wichtigste Strategie zur Abwehr virulenter Gefahren durch Betrug und Sabotage besteht in der Implementierung mehrerer Schichten von Zugriffskontrollen. Wobei handelt es sich bei diesen Schichten? Kontrollen des Site-Zugriffs Kontrollen des System-Zugriffs Kontrollen des Datei-Zugriffs

Kontrollen virulenter Gefahren Site-Zugriffskontrollen Hauptziel der Site-Zugriffskontrollen ist die Verwehrung des physischen Zutritts unautorisierter Personen zu den IT-Ressourcen des Unternehmens. Diese Kontrollen gelten für Hardware, Dateneingabe-Bereiche, Datenausgabe-Bereiche, Datenbestände und Kommunikationskanäle.

Kontrollen virulenter Gefahren Alle Anwender sollten Identifikations-Marken (mit Fotos) tragen. Rechenzentren sollten in separaten Gebäuden, die durch Zäune etc. gesichert sind, untergebracht sein. Der Zugang zu diesen Gebäuden sollte streng limitiert (Türen z.B. stets versperrt) sein.

Kontrollen virulenter Gefahren Telephone TV Monitor Locked Door Locked Door (opened from inside vault) LOBBY Service Window Locked Door (entrance) Intercom to vault Data Archives Magnet Detector Scanner INNER VAULT

Kontrollen virulenter Gefahren Kontrollen des System-Zugriffs Dabei handelt es sich um Software-Kontrollen, welche unberechtigte Anwender an der System-Nutzung hindern sollen. Instrumente dazu sind z.B. user IDs, Passwöter, IP-Adressen und Hardware-Komponenten (z.B. Kartenleser).

Kontrollen virulenter Gefahren Kontrollen des Datei-Zugriffs Datei-Zugriffskontrollen verhindern sowohl unberechtigten Daten- als auch Programmdateizugriff. Das grundlegende Element für Datei-Zugriffskontrollen stellen Zugriffs-Berechtigungsregeln für Änderung und Abfrage von Dateien dar (Betriebssystemebene).

Kontrollen latenter Gefahren Latente Gefahren stellen z.B. Hardwarefehler oder Stromausfälle dar. Kontrollen dafür können entweder präventiv oder korrigierend sein. Präventive Kontrollen Fehler-tolerante Systeme werden durch Redundanz erzielt.

Kontrollen latenter Gefahren Falls ein Teil eines Systems ausfällt, übernimmt seine Aufgabe sofort eine redundante Komponente, ohne dass die Verarbeitung merklich verzögert wird. Korrigierende Kontrollen Eine einfache Möglichkeit für korrigierende Kontrollen besteht im Datei-Backup.

Kontrollen latenter Gefahren Es gibt drei Arten von Backups: Full backups Incremental backups Differential backups

Sicherheit im Internet Das Internet bedroht die Systemsicherheit in fünf Bereichen: Funktion bzw. Konfiguration des Betriebssystems Funktion bzw. Konfiguration des Webservers Funktion bzw. Konfiguration des Private Networks Einzelne Server-Programme Allgemeine Sicherheitsregeln

Sicherheit im Internet Der Webserver stellt funktional eine Erweiterung des Betriebssystems dar. Webserver gleichen dem Betriebssystem insofern, als ebenfalls permanent Informationen betreffend Sicherheits-Updates verfolgt werde müssen. Spezielle Risiken treten dann auf, wenn ein Webserver auf einem Host installiert ist, der außerdem auch noch anderen Usern (als Host) zur Verfügung steht.

Verfahren des Risikomanagements Lernziel 4 Verfahren des Risikomanagements

Disaster Risk Management Disaster risk management besteht in der Aufrechthaltung des laufenden Geschäftsbetriebs im Katastrophenfall. Disaster risk management besteht aus Vorbeugung und Notfallplänen. Disaster-Vorbeugung (prevention) ist der erste Schritt im Disaster Risk Management.

Disaster Risk Management Studien zeigen folgende Häufigkeiten für Katastrophen auf: Naturkatastrophen 30% Anschläge 45% Fehlleistungen 25% Daraus folgt, dass ein hoher Prozentsatz dieser Bedrohungen vermieden werden kann!

Disaster Risk Management Ein Notfalls-Wiederaufbauplan (disaster recovery plan) muss im Unternehmen von der höchsten Instanz eingesetzt werden. Als erster Schritt sollte dazu das Commitment des Top-Managements und die Einsetzung eines Kommittees erfolgen.

Disaster Risk Management Dieser Plan sollte aus drei Elementen bestehen: Kritische Unternehmens-Ressourcen erheben; Prioritäten für den Wiederaufbau festlegen; Strategien und Methoden für den Wiederaufbau definieren.

Disaster Risk Management Die Wiederaufbau-Strategien sollten u.a. folgendes berücksichtigen: eine Notfall-Auskunftszentrale Ausweich-Verarbeitungsmöglichkeiten Ersatzpersonal und Ersatz-Hardware Daten- und Programmrettung sowie die Wiederaufnahme (und den Test) des regulären Betriebs