D R. R EIMANN Projektmanagement GmbH 1 IT-Sicherheit Dr. Grit Reimann DR. REIMANN Projektmanagement GmbH IT-Sicherheit

D R. R EIMANN Projektmanagement GmbH 2 IT-Sicherheit Daten sind Ausgangspunkt und Ziel jeder IT-Lösung  Programmfehler führen zu falschen  Systemausfälle verhindern Zugriff auf  Hackerangriffe richten sich gegen Grundprinzip der IT-Sicherheit: Sicherheit einer IT-Lösung = Sicherheit Ihrer Daten Daten

D R. R EIMANN Projektmanagement GmbH 3 IT-Sicherheit Vertraulichkeit Daten können nur durch Befugte genutzt werden. Datenintegrität Daten können nicht unbefugt geändert werden. Verfügbarkeit Daten werden zu den festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt. Authentizität Die Identität der Datenherkunft ist sichergestellt. Bestandteile der IT-Sicherheit:

D R. R EIMANN Projektmanagement GmbH 4 IT-Sicherheit  gefälschte Bilanzen, Arbeitsergebnisse, Revisionsberichte, Pläne und andere Festlegungen  Programme sind nicht oder nicht im erforderlichen Umfang nutzbar  Testergebnisse nicht auswertbar  fehlerhafte Leistungsnachweise und andere Dokumente Mögliche Folgen mangelnder Datenintegrität:

D R. R EIMANN Projektmanagement GmbH 5 IT-Sicherheit  Arbeitsausfälle durch fehlende Zugriffsmöglichkeit auf Daten  hohe Kosten für Wiederherstellung zerstörter Datenbestände  Programme können nicht zum erforderlichen Zeitpunkt genutzt werden  Bilanzdaten stehen nicht rechtzeitig zur Verfügung Mögliche Folgen mangelnder Verfügbarkeit:

D R. R EIMANN Projektmanagement GmbH 6 IT-Sicherheit  Rufschädigung durch zweifelhafte Veröffentlichungen im Namen des Unternehmens oder einzelner Personen  Störungen des Arbeitsablaufes durch angeblich von der Unternehmensleitung stammende Festlegungen und Pläne  falsche Forschungsergebnisse werden versendet  Diskriminierung / Schädigung von Personen durch s mit deren Absender Mögliche Folgen mangelnder Authentizität:

D R. R EIMANN Projektmanagement GmbH 7 IT-Sicherheit höhere Gewalt Katastrophen, Feuer, Wasser, … organisatorische Mängel fehlende / nicht eingehaltene Regelungen menschliche Fehlhandlungen Benutzer / Administratoren technisches Versagen Fehler in Hardware und Software vorsätzliche Handlungen Sabotage, Spionage, Hacker,... Sicherheitsbedrohungen:

D R. R EIMANN Projektmanagement GmbH 8 IT-Sicherheit  Raten von Passworten meist erfolgreich, wenn Informationen über die Zielperson vorliegen  Ausspionieren von Passworten  offene Augen im Büro  Mitteilung durch die Eigentümer selbst  unverschlüsselte Passworte aus den Datenpaketen  Systematisches Knacken durch eine Brute Force Attacke Passwortknacker systematische Wörterbücher  Phishing „Fischen“ des Passwortes u.a. über gefälschte Webseiten Angriffe auf Passworte: Ein verantwortlicher Umgang mit Paßwörtern erhöht die Sicherheit des Netzes erheblich.

D R. R EIMANN Projektmanagement GmbH 9 IT-Sicherheit Provozieren von Laufzeitfehlern: Immer die aktuellen Programmversionen und Patches verwenden!  Programme sind IMMER mit Fehlern behaftet  Kenntnisse über neu entdeckte Programmfehler werden in der Hackerszene schnell verbreitet.  Durch provozierte Laufzeitfehler können Hacker auf den Zielrechnern eigene Programme starten.  Besonderes Ziel solcher Angriffe sind Programme mit Systemrechten.

D R. R EIMANN Projektmanagement GmbH 10 IT-Sicherheit Sniffing (= IP-Pakete abfangen und analysieren)  Abfangen ALLER Informationen, die durch das Netz laufen v.a. vertrauliche Informationen (z.B. Paßwörter)  im lokalen Netz sehr einfach, wenn keine Verschlüsselung vorhanden  an der Schnittstelle eines Firmennetzes zum Internet mittels Angriffen auf Router möglich  besonders unkompliziert in Wireless LANs (Funknetzen)

D R. R EIMANN Projektmanagement GmbH 11 IT-Sicherheit Spoofing (= Vortäuschen einer falschen Identität)  IP-Spoofing Vorspiegeln einer falschen IP-Adresse  MAC-Spoofing Übermitteln einer falschen MAC-Adresse  DNS-Spoofing Änderung der Zuordnung Hostname - IP-Adresse im Cache des Nameservers

D R. R EIMANN Projektmanagement GmbH 12 IT-Sicherheit Denial of Service (= Außerbetriebsetzen von IT-Komponenten)  Überlasten von Servern Blockade während des Angriffs / völliger Absturz z.B. durch  Überlasten anderer Netzkomponenten (z.B. Access Points) z.B. durch Auslastung der gesamten Bandbreite  Erzeugen von Buffer Overflows (nicht nur für DoS, auch für Start destruktiver Programme)  Ausnutzen spezieller Schwachstellen z.B. Ping Of Death, Search DoS, STAT Crash  Starten immer neuer Programme  SynFlooding-Attacken

D R. R EIMANN Projektmanagement GmbH 13 IT-Sicherheit  systematisches Aushorchen von Mitarbeitern  Informationen vom Systemadministrator erschleichen  Informationen vom Benutzerservice erschleichen Social Engineering Regelmäßige Sensibilisierungen und Schulungen der Mitarbeiter sind das effektivste Mittel zur Gewährleistung der IT-Sicherheit!

D R. R EIMANN Projektmanagement GmbH 14 IT-Sicherheit  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Verfügbarkeitskontrolle  Eingabekontrolle  Weitergabekontrolle  Auftragskontrolle  Gewährleistung getrennter Verarbeitung Anforderungen des BDSG

D R. R EIMANN Projektmanagement GmbH 15 IT-Sicherheit Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen verwehrt, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Zutrittskontrolle Das Betreten von Räumen wird kontrolliert, in denen sich Datenverarbeitungsanlagen befinden. Unbefugte sollen keine Möglichkeit bekommen, sich in Räumen aufzuhalten, in denen sich Datenverarbeitungsanlagen befinden. Es soll nachvollziehbar sein, wer sich wann in welchem Raum mit Datenverarbeitungsanlagen aufgehalten hat.

D R. R EIMANN Projektmanagement GmbH 16 IT-Sicherheit Es wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zugangskontrolle Die Benutzung von Datenverarbeitungssystemen wird kontrolliert. Unbefugte befinden sich zwar in einem Raum mit Datenverarbeitungssystemen, können diese aber nicht benutzen. Es soll nachvollziehbar sein, wer welches Datenverarbeitungssystem wann benutzt hat.

D R. R EIMANN Projektmanagement GmbH 17 IT-Sicherheit Zugriffskontrolle Es wird gewährleistet, dass die Berechtigten ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

D R. R EIMANN Projektmanagement GmbH 18 IT-Sicherheit Zugriffskontrolle Der Zugriff auf konkrete Daten wird kontrolliert. Befugte benutzen eine Datenverarbeitungsanlage, können aber nicht auf alle Daten zugreifen. Es soll nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.

D R. R EIMANN Projektmanagement GmbH 19 IT-Sicherheit Zugriffskontrolle Personenbezogene Daten sollen nicht unbefugt  gelesen,  kopiert,  verändert oder  entfernt werden können.

D R. R EIMANN Projektmanagement GmbH 20 IT-Sicherheit Verfügbarkeitskontrolle Personenbezogene Daten sollen nicht unbefugt  zu den festgelegten Zeiten  im festgelegten Umfang zur Verfügung gestellt werden. Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust geschützt. Die Verfügbarkeit entspricht den rechtlichen und betrieblichen Erfordernissen.

D R. R EIMANN Projektmanagement GmbH 21 IT-Sicherheit Eingabekontrolle setzt eine wirksame Zugangskontrolle und Zugriffskontrolle voraus Es kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. funktioniert nur mit einer zuverlässigen Organisation von Kontrolle und Auswertung erfordert technische Lösungen  in den Anwendungssystemen selbst, und / oder  in Zusatz-Systemen zu den Anwendungen

D R. R EIMANN Projektmanagement GmbH 22 IT-Sicherheit Personenbezogene Daten können bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden und es kann festgestellt werden, an welchen Stellen eine Übermittlung personen- bezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Weitergabekontrolle

D R. R EIMANN Projektmanagement GmbH 23 IT-Sicherheit Weitergabekontrolle In der Praxis besonders kritisch bei Versand von s Nutzung von Wireless LANs Transport von Backup-Datenträgern Umgang mit Ausdrucken

D R. R EIMANN Projektmanagement GmbH 24 IT-Sicherheit Weitergabekontrolle In der Praxis besonders schwierig festzustellen bei Remote-Wartungszugängen (auch für TK-Anlagen) Backup-Datenleitungen (WAN / ISDN / Modem) Nutzung von Wireless LANs, Infrarot und Bluetooth Nutzung von Mobilfunknetzen

D R. R EIMANN Projektmanagement GmbH 25 IT-Sicherheit Es wird gewährleistet, das personenbezogen Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Auftragskontrolle setzt besonders gut aufeinander abgestimmte technische und organisatorische Maßnahmen sowohl beim Auftraggeber als auch beim Auftragnehmer voraus die Lösung des Auftraggebers und des Auftragnehmers müssen sich zu einer Gesamtlösung ergänzen beinhaltet auch Maßnahmen zur Gewährleistung der Kontrollrechte des Auftraggebers

D R. R EIMANN Projektmanagement GmbH 26 IT-Sicherheit Gewährleistung getrennter Verarbeitung In der Praxis z.B. von Bedeutung für  Zusatzerhebungen bei bestehenden Kunden für Zwecke der Werbung oder Marktforschung  Verarbeitung von Daten derselben Person in verschiedenen Anwendungen durch ein Rechenzentrum  mehrfache Datenerhebungen bei einer Person für verschieden Forschungszwecke Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.