Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen

Veröffentlicht von:Kirsa Nanninga Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen"—  Präsentation transkript:

1 Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen
Dr. Marcus Pattloch (DFN) 5. Tagung der DFN-Nutzergruppe Hochschulverwaltung Februar 2001

2 Gliederung Lösungsmöglichkeiten im Sicherheitsbereich Motivation
Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen Teil 2: Neue Lösungsansätze im Sicherheitsbereich Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich Zusammenfassung

3 Motivation (1) 1993 Merseburg, 1995 Kaiserslautern
zentrale Frage: braucht man getrennte Hochschul- und Verwaltungsnetze ? Ergebnis: Integration beider Netze aus diversen Gründen sinnvoll Maßnahmen zur Absicherung wurden ergriffen Sicherheitskonzepte Firewalls Einsatz kryptographischer Software Sicherheit entwickelt sich dynamisch und ist zeitabhängig !

4 Motivation (2) Leipzig 1999, Kassel 2001 neue Anforderungen
neue Anforderungen an die Hochschulverwaltung neue Bedrohungen der Sicherheit neue Anforderungen sichere Vernetzung dezentrale Standorte Nutzung spezieller Anwendungen über Firewalls rechtliche Rahmenbedingungen (Signaturgesetz / EU-Richtlinie) neue Bedrohungen Bedrohung von Innen Distributed Denial of Service (DDOS) Viren in Mail-Attachments

5 Anforderungen und Lösungen
Anforderungen / Probleme DDOS spektakuläre Hackerangriffe (Yahoo, Amazon, Microsoft) Viren (Melissa, Kournikova) Bedrohung von Innen sichere Authentifikation transparente Sicherheit Sicherheit mobiler Endgeräte dezentrale Standorte Signaturgesetz-konform (neue) Lösungen VPN IPsec PKI LDAP SmartCards virtuelle Trustcenter biometrische Verfahren dezentrale Firewalls zentrale Mail-Gateways

6 Bedeutung „klassischer“ Sicherheitsmaßnahmen
Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen

7 Einspielen von Software-Patches
Ziel: Schutz vor Ausspähen eigener System Ausspähen, Verändern und Löschen eigener Daten Missbrauch eigener Ressourcen als Ausgangspunkt für neue Angriffe (DDOS) standardmäßig Verwendung zahlreicher Software-Pakete regelmäßige Entdeckung neuer Sicherheitslücken Unix (z.B. sendmail) Windows regelmäßige (unentgeltliche) Bereitstellung von Patches Informationen z.B. vom DFN-CERT auf der Liste Einspielen der Patches ist nicht sehr aufwendig

8 Fallbeispiel (1) Problem: Spamming Gegenmittel: Mail Spam-Filter
Spamming ist ein zunehmendes Problem Nutzer erhalten ungefragt nicht gewünschte Inhalte (z.B. Reklame) nicht gewünschte Inhalte verschwenden personelle und technische Ressourcen Gegenmittel: Mail Spam-Filter Kontrolle der Mail an einem zentralen Mail-Gateway Filterung der Mails Nicht-Zustellung potentieller Spam-Mail an Nutzer Mögliche Konsequenz angenommene Mail muss zugestellt werden Nutzer klagen gegen Nicht-Zustellung

9 Fallbeispiel (2) Problem: Aufzeichnung und Auswertung von Daten
Massive Angriffe auf eine Einrichtung Schäden für die Einrichtung entstanden Durchführung von Logging, Monitoring, Auditing mit erheblichem Aufwand kann der Angreifer identifiziert werden Aufgezeichnete Daten sollen als Beweismittel verwendet werden Rechtliche Situation war unberücksichtigt Datenschutzbeauftragter untersagt Nutzung der aufgezeichneten Daten Sperrung des Nutzers / Angreifers nicht zulässig Angreifer klagt gegen die Einrichtung

10 Strukturen schaffen Ziel: Schutz vor Problemen bei
Auswertung von Log-Dateien (z.B. Firewall) Angriffen von Innen frühzeitiges Einbinden aller Beteiligten in einer Arbeitsgruppe Hochschulleitung Datenschützer Betriebs-, Personalrat IT- oder RZ-Leiter Hauptaufgaben der Arbeitsgruppe alle Beteiligten in das Sicherheitskonzept einbinden gemeinsames Tragen der Konzepte und Entscheidungen (vor der Umsetzung !)

11 Schulung von Nutzern Ziel: Sicherheitskompetenz der Nutzer erhöhen
80-90 % aller Angriffe erfolgen von Innen, viele davon durch Unwissenheit Viren - trotz ständiger (medienwirksamer) Warnungen Dateien werden ohne Kontrolle geöffnet Programme werden ohne Kontrolle gestartet Mail Attachments werden automatisch geöffnet bzw. gestartet Konfiguration von Browsern Fehlverhalten aufgrund mangelnder Kenntnisse Sicherheitsoptionen sind standardmäßig abgeschaltet Zulassung aktiver Inhalte (Java, JavaScript, AktiveX, Cookies) dezentrale Firewalls immer höhere (implizite) Anforderungen an Nutzer

12 Zusammenfassung klassischer Maßnahmen
Klassische Maßnahmen, z.B. Schaffung interner Strukturen Einspielen von Patches Schulung von Nutzern Vorteile relativ geringer Personalaufwand relativ geringer finanzieller Aufwand es kann eine solide Basissicherheit gewährleistet werden Aber: wie alle Sicherheitsmaßnahmen müssen auch diese regelmäßig durchgeführt werden!

13 Neue Lösungsansätze im Sicherheitsbereich
Teil 2: Neue Lösungsansätze im Sicherheitsbereich

14 PKI (1) Ziele von Public Key Infrastrukturen (PKI) Betrieb einer PKI
Aufbau einer Basis für authentische Kommunikation geeignet in offenen Netzen mit vielen Teilnehmern (Skalierbarkeit) technische & organisatorische Infrastruktur für Schlüssel und Zertifikate Grundkonzept asymmetrische Verschlüsselung Betrieb einer PKI Generierung von Zertifikaten und/oder Schlüsseln Bereitstellung aktueller "Schwarzer Listen (CRL)" Directory Infrastruktur zur Verteilung öff. Schlüssel und Zertifikate DFN-PCA als PKI im Wissenschaftsbereich

15 PKI (2) Betrieb einer Signaturgesetz-konformen PKI
hohe Anforderungen an bauliche Maßnahmen hohe technische Anforderungen (z.B. SmartCards) Umfangreiche Prozedur zur Anerkennung als SigG-konforme Zertifizierungsstelle Alternative: virtuelles Trustcenter Beispiel "VIRTUALTRUST" der Deutschen Post Betrieb einer Zertifizierungsstelle für einen Dritten in dessen Namen nach Außen hin nur als Zertifizierungsstelle des Dritten erkennbar eigener Personalaufwand kann erheblich reduziert werden

16 PKI (3) Kosten virtuelles Trustcenter (am Beispiel VIRTUALTRUST)
Einmalkosten: mehrere 100TDM laufende Kosten: TDM / Jahr Kosten für SmartCards: ca. 50 DM / Jahr / Stück unterstützte Anwendungen z.B. VIRTUALTRUST für Mail: Lotus & Outlook eigene Anwendungen müssen aufwendig zertifiziert werden teuer zeitaufwendig weitere Anwendungen in Vorbereitung

17 IPsec Ziel: Realisierung von Sicherheit auf Netz-/Transportebene
Vorteil Verfahren sind für die Nutzer transparent sein Nachteile keine nutzerspezifische Authentifizierung alle an der Kommunikation beteiligten Systeme müssen IPsec unterstützen hohe finanzielle Investitionen in die Infrastruktur erforderlich Ferguson / Schneier: "A cryptographic evaluation of IPsec" IPsec is far better than any IP security protocol so far ... we do not believe that it will ever result in a secure operational system. It is far too complex ...

18 biometrische Verfahren
Ziel: vereinfachte bzw. sicherere Authentifikation von Personen verschiedene praktische Realisierungen Handfläche Finger Auge Stimme Vorteile kein Merken komplizierter Passwörter Identifikationsmedium trägt man immer bei sich Nachteil Fehlertoleranz der Systeme nicht für alle Anwendungen geeignet

19 SmartCards Ziel: sehr sichere Speicherung geheimer Schlüssel SmartCard
Chipkarte mit integriertem Mikroprozessor keine einfache Speicherkarte Vorteile sehr hohe Sicherheit, da geheime Informationen die Karte nicht verlassen können kein Merken komplizierter Passwörter Nachteile noch häufige Kompatibilitätsprobleme noch aufwendige Integration in bestehende Arbeitsumgebungen aufwendige Infrastruktur zwischen den Lesegeräten erforderlich

20 Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich

21 Einordnung der Lösungsansätze
10.000 Fachpersonal für Thema Sicherheit DM/a für Investitionen in Sicherheit IPsec virtuelles Trustcenter SmartCards inkl. Infrastruktur biometr. Verfahren inkl. Infrastruktur eigenes Trustcenter Patches Nutzerschulung Strukturen schaffen bis zu einem ein bis drei mehr als drei

22 Zusammenfassung es existieren neue Anforderungen im Sicherheitsbereich
neue Lösungsansätze sind vorhanden oder in der Entwicklung klassische Maßnahmen verlieren dadurch jedoch keinesfalls an Bedeutung stufenweises Vorgehen abhängig von Ressourcen erst klassische Maßnahmen wenn zusätzliche Ressourcen frei sind: Analyse der weiteren Anforderungen dann Implementierung neuer Lösungsansätze neue Lösungsansätze können Sicherheitsniveau verbessern, aber Bereitstellung von eigenem Fachpersonal und finanziellen Ressourcen nötig Folge-/Pflegeaufwand bedenken (Sicherheit ist zeitabhängig!) Ohne ausreichende personelle und finanzielle Ressourcen gibt es auf Dauer keine Sicherheit !

Herunterladen ppt "Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 12. September.

Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 12. September.
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
G-WiN – Kommission 3. Arbeitstreffen 27. und Berlin

G-WiN – Kommission 3. Arbeitstreffen 27. und Berlin
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen 22.-24.4.2004 TU Wien/Ausseninstitut.

- 0 - Sicherheit Copyright ©2001 Granitar Incorporated. All rights reserved. Architektur Moderner Internet Applikationen TU Wien/Ausseninstitut.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Seminar Internet-Dienste

Seminar Internet-Dienste
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Vizepräsident für Personal und Finanzen

Vizepräsident für Personal und Finanzen
Analyse von Voice-over-IP-Software im Vergleich zu Hardwarelösungen und Integration in ein bestehendes, heterogenes VoIP-Netz Auswertung und Empfehlung.

Analyse von Voice-over-IP-Software im Vergleich zu Hardwarelösungen und Integration in ein bestehendes, heterogenes VoIP-Netz Auswertung und Empfehlung.
Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Computerkriminalität, Datenschutz, Datensicherheit

Computerkriminalität, Datenschutz, Datensicherheit
Microsoft Windows 2000 Terminal Services

Microsoft Windows 2000 Terminal Services
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme

Ähnliche Präsentationen

Google-Anzeigen