Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen

Slides:



Advertisements
Ähnliche Präsentationen
Security Lösungen, die Ihnen echten Schutz bieten!
Advertisements

Datenschutz im IT-Grundschutz
Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 12. September.
Thin Clients und SmartCards an der HU
G-WiN – Kommission 3. Arbeitstreffen 27. und Berlin
für das Schulnetz der BS Roth
- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen TU Wien/Ausseninstitut.
Systemverwaltung wie es Ihnen gefällt.
Firewalls.
Seminar Internet-Dienste
Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)
Vizepräsident für Personal und Finanzen
Analyse von Voice-over-IP-Software im Vergleich zu Hardwarelösungen und Integration in ein bestehendes, heterogenes VoIP-Netz Auswertung und Empfehlung.
Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Computerkriminalität, Datenschutz, Datensicherheit
Microsoft Windows 2000 Terminal Services
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
IKS – Informations und Kommunikations-systeme
Sicherheit in Rechnernetzen- Denial of Service- Attacken
Aufgaben eines IT-Koordinators
Notebook University an der Uni Duisburg BMBF-Förderung Vorleistungen eCampus Lehr/Lernszenarien bei mobiler Nutzung Vorteile aus Sicht des HRZ.
Virtual Private Networks
Einführung von Groupware
Sicherheit von mobilem Code Hauptseminar: Sicherheit in vernetzten Systemen Sicherheit von mobilem Code Oliver Grassow.
Datenschutz? Unwissenheit schützt vor Strafe nicht!
6. Tagung Nutzergruppe Hochschulverwaltung Potsdam Seite 1 Fachhochschule Heilbronn University of Applied Sciences Hochschule für Technik und Wirtschaft.
Aufbau einer Sicherheitsinfrastruktur an der HU Berlin
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Public-Key-Infrastruktur
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
Elektronische Signatur
SSL - Verfahren Secure Socket Layer.
Anonymität contra Straftatverfolgung im Internet
Problematik von Großprojekten
Synergieeffekte durch softwaregestützte Prozessmodelle
Konkrete Entwicklungen Wiederverwendung von XÖV-Bausteinen Mirco Kuhlmann | LAVA-Unternehmensberatung 6. November 2013 | 6. XÖV-Anwenderkonferenz | Bremen.
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum
SSV-Manager Internetpräsenz und Vereinsdatenbank für Stadtsportverbände.
Weltweite Kommunikation mit Exchange Server über das Internet
Gliederung Einleitung eID-Infrastruktur und Komponenten
Präsentation von: Tamara Nadine Elisa
Der führende Anbieter von SecureZIP Lösungen 20. July, 2004.
Thats IT!. Titelmasterformat durch Klicken bearbeiten Über uns Mit uns bekommen Sie: Beratung – Doing - Betreuung langjährige Erfahrung umfassende Beratung.
MDM Systeme im Test Udo Bredemeier
Schützen, aber wie ? Firewalls wie wir sie kennen.
IT_FULL SERVICE CENTER
Datenschutz und Datensicherheit
Proof of Concept (POC) oder DeskTop Virtualisierung mit XenApp von Citrix Erziehungsdepartement Th. Anliker.
Das integrierte Lösungsportfolio
Sicherheit im Internet
„Medienentwicklungsplanung für Schulen“
Datenschutz und Datensicherheit
Internetsicherheit Referenten: Christian Schnidrig, David Gundi.
VPN – Virtual Private Network
Aloaha Software – Martin Wrocklage 05451/943522) Aloaha Mobile Smartcard Connector (CSP)
Fernzugriff auf Unternehmensnetze in Zeiten von Windows 7 Möglichkeiten und Grenzen der verschiedenen Windows-Bordmittel für Remote-Access Jürgen Höfling,
Datenschutz im betrieblichen Kontext – Ein praxisorientierter Ansatz in einem multinationalem Unternehmen Bachelorarbeit MIS.
Christos Mavridis ‌ WG13 ‌‌‌ Köln, Update und Patch-Management.
Deutsches Forschungsnetz. IT-Sicherheit in Hochschulrechenzentren - Aktuelle Neuigkeiten & Blick in die (nahe) Zukunft - Marcus Pattloch
ISO in der betrieblichen Praxis
PC-Sicherheit Generationen Netz Müllheim
Schutz vor Viren und Würmern Von David und Michael.
RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt.
Folie Nr. Stand Jänner 2008 RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt RSA ist ein asymmetrisches Kryptosystem 
SICHERHEIT – Abwehrmaßnahmen Mehmet Ş ükün & Fâtih Yildirim.
Rechen- und Kommunikationszentrum (RZ) TSM vs. inSync Seminarvortrag am von Nicole Temminghoff Betreut von: Prof. Dr. Andreas Terstegge Dr.
Mainframe und WebServices bei der W. KAPFERER KG Einfache Internet-Lösungen in Verbindung mit vorhandenen Host-Programm-Strukturen.
 Präsentation transkript:

Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen Dr. Marcus Pattloch (DFN) pattloch@dfn.de 5. Tagung der DFN-Nutzergruppe Hochschulverwaltung 19.-21. Februar 2001

Gliederung Lösungsmöglichkeiten im Sicherheitsbereich Motivation Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen Teil 2: Neue Lösungsansätze im Sicherheitsbereich Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich Zusammenfassung

Motivation (1) 1993 Merseburg, 1995 Kaiserslautern zentrale Frage: braucht man getrennte Hochschul- und Verwaltungsnetze ? Ergebnis: Integration beider Netze aus diversen Gründen sinnvoll Maßnahmen zur Absicherung wurden ergriffen Sicherheitskonzepte Firewalls Einsatz kryptographischer Software Sicherheit entwickelt sich dynamisch und ist zeitabhängig !

Motivation (2) Leipzig 1999, Kassel 2001 neue Anforderungen neue Anforderungen an die Hochschulverwaltung neue Bedrohungen der Sicherheit neue Anforderungen sichere Vernetzung dezentrale Standorte Nutzung spezieller Anwendungen über Firewalls rechtliche Rahmenbedingungen (Signaturgesetz / EU-Richtlinie) neue Bedrohungen Bedrohung von Innen Distributed Denial of Service (DDOS) Viren in Mail-Attachments

Anforderungen und Lösungen Anforderungen / Probleme DDOS spektakuläre Hackerangriffe (Yahoo, Amazon, Microsoft) Viren (Melissa, Kournikova) Bedrohung von Innen sichere Authentifikation transparente Sicherheit Sicherheit mobiler Endgeräte dezentrale Standorte Signaturgesetz-konform (neue) Lösungen VPN IPsec PKI LDAP SmartCards virtuelle Trustcenter biometrische Verfahren dezentrale Firewalls zentrale Mail-Gateways

Bedeutung „klassischer“ Sicherheitsmaßnahmen Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen

Einspielen von Software-Patches Ziel: Schutz vor Ausspähen eigener System Ausspähen, Verändern und Löschen eigener Daten Missbrauch eigener Ressourcen als Ausgangspunkt für neue Angriffe (DDOS) standardmäßig Verwendung zahlreicher Software-Pakete regelmäßige Entdeckung neuer Sicherheitslücken Unix (z.B. sendmail) Windows regelmäßige (unentgeltliche) Bereitstellung von Patches Informationen z.B. vom DFN-CERT auf der Liste win-sec@cert.dfn.de Einspielen der Patches ist nicht sehr aufwendig

Fallbeispiel (1) Problem: Spamming Gegenmittel: Mail Spam-Filter Spamming ist ein zunehmendes Problem Nutzer erhalten ungefragt nicht gewünschte Inhalte (z.B. Reklame) nicht gewünschte Inhalte verschwenden personelle und technische Ressourcen Gegenmittel: Mail Spam-Filter Kontrolle der Mail an einem zentralen Mail-Gateway Filterung der Mails Nicht-Zustellung potentieller Spam-Mail an Nutzer Mögliche Konsequenz angenommene Mail muss zugestellt werden Nutzer klagen gegen Nicht-Zustellung

Fallbeispiel (2) Problem: Aufzeichnung und Auswertung von Daten Massive Angriffe auf eine Einrichtung Schäden für die Einrichtung entstanden Durchführung von Logging, Monitoring, Auditing mit erheblichem Aufwand kann der Angreifer identifiziert werden Aufgezeichnete Daten sollen als Beweismittel verwendet werden Rechtliche Situation war unberücksichtigt Datenschutzbeauftragter untersagt Nutzung der aufgezeichneten Daten Sperrung des Nutzers / Angreifers nicht zulässig Angreifer klagt gegen die Einrichtung

Strukturen schaffen Ziel: Schutz vor Problemen bei Auswertung von Log-Dateien (z.B. Firewall) Angriffen von Innen frühzeitiges Einbinden aller Beteiligten in einer Arbeitsgruppe Hochschulleitung Datenschützer Betriebs-, Personalrat IT- oder RZ-Leiter Hauptaufgaben der Arbeitsgruppe alle Beteiligten in das Sicherheitskonzept einbinden gemeinsames Tragen der Konzepte und Entscheidungen (vor der Umsetzung !)

Schulung von Nutzern Ziel: Sicherheitskompetenz der Nutzer erhöhen 80-90 % aller Angriffe erfolgen von Innen, viele davon durch Unwissenheit Viren - trotz ständiger (medienwirksamer) Warnungen Dateien werden ohne Kontrolle geöffnet Programme werden ohne Kontrolle gestartet Mail Attachments werden automatisch geöffnet bzw. gestartet Konfiguration von Browsern Fehlverhalten aufgrund mangelnder Kenntnisse Sicherheitsoptionen sind standardmäßig abgeschaltet Zulassung aktiver Inhalte (Java, JavaScript, AktiveX, Cookies) dezentrale Firewalls immer höhere (implizite) Anforderungen an Nutzer

Zusammenfassung klassischer Maßnahmen Klassische Maßnahmen, z.B. Schaffung interner Strukturen Einspielen von Patches Schulung von Nutzern Vorteile relativ geringer Personalaufwand relativ geringer finanzieller Aufwand es kann eine solide Basissicherheit gewährleistet werden Aber: wie alle Sicherheitsmaßnahmen müssen auch diese regelmäßig durchgeführt werden!

Neue Lösungsansätze im Sicherheitsbereich Teil 2: Neue Lösungsansätze im Sicherheitsbereich

PKI (1) Ziele von Public Key Infrastrukturen (PKI) Betrieb einer PKI Aufbau einer Basis für authentische Kommunikation geeignet in offenen Netzen mit vielen Teilnehmern (Skalierbarkeit) technische & organisatorische Infrastruktur für Schlüssel und Zertifikate Grundkonzept asymmetrische Verschlüsselung Betrieb einer PKI Generierung von Zertifikaten und/oder Schlüsseln Bereitstellung aktueller "Schwarzer Listen (CRL)" Directory Infrastruktur zur Verteilung öff. Schlüssel und Zertifikate DFN-PCA als PKI im Wissenschaftsbereich

PKI (2) Betrieb einer Signaturgesetz-konformen PKI hohe Anforderungen an bauliche Maßnahmen hohe technische Anforderungen (z.B. SmartCards) Umfangreiche Prozedur zur Anerkennung als SigG-konforme Zertifizierungsstelle Alternative: virtuelles Trustcenter Beispiel "VIRTUALTRUST" der Deutschen Post Betrieb einer Zertifizierungsstelle für einen Dritten in dessen Namen nach Außen hin nur als Zertifizierungsstelle des Dritten erkennbar eigener Personalaufwand kann erheblich reduziert werden

PKI (3) Kosten virtuelles Trustcenter (am Beispiel VIRTUALTRUST) Einmalkosten: mehrere 100TDM laufende Kosten: 50-100 TDM / Jahr Kosten für SmartCards: ca. 50 DM / Jahr / Stück unterstützte Anwendungen z.B. VIRTUALTRUST für Mail: Lotus & Outlook eigene Anwendungen müssen aufwendig zertifiziert werden teuer zeitaufwendig weitere Anwendungen in Vorbereitung

IPsec Ziel: Realisierung von Sicherheit auf Netz-/Transportebene Vorteil Verfahren sind für die Nutzer transparent sein Nachteile keine nutzerspezifische Authentifizierung alle an der Kommunikation beteiligten Systeme müssen IPsec unterstützen hohe finanzielle Investitionen in die Infrastruktur erforderlich Ferguson / Schneier: "A cryptographic evaluation of IPsec" IPsec is far better than any IP security protocol so far ... we do not believe that it will ever result in a secure operational system. It is far too complex ...

biometrische Verfahren Ziel: vereinfachte bzw. sicherere Authentifikation von Personen verschiedene praktische Realisierungen Handfläche Finger Auge Stimme Vorteile kein Merken komplizierter Passwörter Identifikationsmedium trägt man immer bei sich Nachteil Fehlertoleranz der Systeme nicht für alle Anwendungen geeignet

SmartCards Ziel: sehr sichere Speicherung geheimer Schlüssel SmartCard Chipkarte mit integriertem Mikroprozessor keine einfache Speicherkarte Vorteile sehr hohe Sicherheit, da geheime Informationen die Karte nicht verlassen können kein Merken komplizierter Passwörter Nachteile noch häufige Kompatibilitätsprobleme noch aufwendige Integration in bestehende Arbeitsumgebungen aufwendige Infrastruktur zwischen den Lesegeräten erforderlich

Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich

Einordnung der Lösungsansätze 10.000 100.000 1.000.000 Fachpersonal für Thema Sicherheit DM/a für Investitionen in Sicherheit IPsec virtuelles Trustcenter SmartCards inkl. Infrastruktur biometr. Verfahren inkl. Infrastruktur eigenes Trustcenter Patches Nutzerschulung Strukturen schaffen bis zu einem ein bis drei mehr als drei

Zusammenfassung es existieren neue Anforderungen im Sicherheitsbereich neue Lösungsansätze sind vorhanden oder in der Entwicklung klassische Maßnahmen verlieren dadurch jedoch keinesfalls an Bedeutung stufenweises Vorgehen abhängig von Ressourcen erst klassische Maßnahmen wenn zusätzliche Ressourcen frei sind: Analyse der weiteren Anforderungen dann Implementierung neuer Lösungsansätze neue Lösungsansätze können Sicherheitsniveau verbessern, aber Bereitstellung von eigenem Fachpersonal und finanziellen Ressourcen nötig Folge-/Pflegeaufwand bedenken (Sicherheit ist zeitabhängig!) Ohne ausreichende personelle und finanzielle Ressourcen gibt es auf Dauer keine Sicherheit !

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.