Informationssicherheit für KMU by BPX

2007/08

Fredy Schwyter Andreas Wisler

In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht. Die Autoren Fredy Schwyter und Andreas Wisler sind ausgewiesene Sicherheits-Experten. Anhand von Beispielen und Checklisten zeigen sie die Eckpunkte für ein modernes Sicherheitskonzept: Schritt für Schritt. Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk. «Informationssicherheit muss so selbstverständlich werden wie das Tragen des Sicherheitsgurts im Strassenverkehr.» Prof. Carlos Rieder, HSW Luzern, InfoSurance.

Rheinfelden/Schweiz BPX-Edition 2007 www.bpx.ch 30 CHF / 20 € Editionspartner:

ISBN 10 3-905413-72-8 ISBN 13 978-3-905413-72-4

www.bpx.ch

Informationssicherheit für KMU – Sicherheitskonzept & praktische Umsetzung

Was ist Informationssicherheit? Wie setzt ein KMU Sicherheitskonzepte um? Welche Gesetze sind zu beachten? Welche Verantwortung trägt das Management? Welche Begriffe muss man kennen? Wann lohnt sich Outsourcing? Was sind Managed Security Services? Wie rechnet sich Informationssicherheit?

ageern! n a M Waisssen müss w

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung

Editionspartner:

Gesetze & Verantwortung Grundschutz für KMU Praxis der Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing & Managed Security Services Praxisbeispiele Checklisten Trends

www.bpx.ch

Fredy Schwyter Andreas Wisler

Informationssicherheit f端r KMU Sicherheitskonzepte & praktische Umsetzung

BPX-Edition Rheinfelden/Schweiz

BPX E-Mail Internet

Best Practice Xperts edition@bpx.ch www.bpx.ch

Fredy Schwyter / Andreas Wisler

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung Vorwort von Prof. Dr. Bernhard Hämmerli Rheinfelden/Schweiz, BPX-Edition 2007 ISBN-10 ISBN-13

3-905413-72-8 978-3-905413-72-4

© 2007 BPX-Edition Rheinfelden Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein. Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind vorbehalten. Kein Teil des Buches darf ohne schriftliche Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden. Herstellung: BPX-Edition, Rheinfelden/Schweiz Druck und Verarbeitung: Druckerei Flawil AG 2

Vorwort von Prof. Dr. Bernhard Hämmerli

Management Summary

2 2.1 2.2 2.3 2.4 2.5

Managementverantwortung Managed Security Services IT-Security und Informationssicherheit IS – eine Managementherausforderung Kostenoptimierung Organisatorische IS-Massnahmen

7 8 11 14 15 16

3 3.1 3.2 3.3

Grundschutz für KMU InfoSurance: 10-Punkte-Programm Grundschutz nach BSI ISO 17799/ISO 27001

18 19 19 20

4 4.1 4.2 4.3 4.4 4.5 4.6 4.7

Praxis der Informationssicherheit Bedrohungsszenarien Risk Assessment/Risk Management Massnahmen gegen bekannte Gefahren Security-Konzepte Katastrophen-Vorsorgeplan (KVP) Schutzmassnahmen versus Operabilität Die Bedeutung der Mitarbeiterschulung

22 22 27 30 30 32 33 34

5 5.1 5.2 5.3 5.4 5.5 5.6

Technologie E-Mail und Spam Firewall und Proxy Personal Firewall Backup/Restore Intrusion Detection Analyseverfahren bei IDS-Netzwerksicherheit

35 35 43 47 49 55 56

6 6.1 6.2 6.3 6.4 6.5 6.6

Informationssicherheit umsetzen Projektmanagement Projektmanagement Prozessgruppen Security-Management Akzeptanz von Sicherheitsmassnahmen Make or Buy Zertifizierungen

61 61 62 65 66 67 68

7 7.1 7.2 7.3 7.4

Trends Zombie-Netzwerke, Spyware Phishing Mobiler Zugriff Social Engineering

69 69 70 70 71

Ausblick

Literatur & Webadressen

Stichwortverzeichnis

Profile der Editionspartner

Autorenteam & BPX

Management Summary

Vorwort Das Geheimnis hinter effektiver Informationssicherheit heisst: Sie muss gelebt werden! Diese Aussage aus dem AwarenessFilm von Sun Microsystems wurde in vorliegendem Booklet von den zwei Autoren speziell für KMU treffend umgesetzt. Informationssicherheit beginnt beim Management. Da besteht aus meiner Erfahrung gesehen noch viel Nachholbedarf. Es scheint mir wichtig, dass die Geschäftsführung sich mit diesem Thema zuerst ausführlich befasst, die richtigen Massnahmen plant und anschliessend Kontrollprozesse zur Prüfung einsetzt. Es ist wie bei einem Hausbau: Der Besitzer muss Vorgaben machen und danach die Ausführung kontrollieren. Damit lässt sich viel Ärger vermeiden. Die Erfahrung zeigt, wie Katastrophen-Vorsorge das Überleben sichert. Auch KMU sind heutzutage vom funktionierenden Informationsfluss zunehmend abhängig. Viele Beispiele belegen: Wer bei einer Katastrophe einen durchdachten Vorsorgeplan umsetzen kann, hat gute Chancen zu überleben. Wer diese Möglichkeit nicht hat, meldet Konkurs an. Den beiden Autoren ist es bestens gelungen, den sinnvollen Einsatz von Standards aufzuzeigen. Nicht jeder muss das Rad neu erfinden. Es sind die wichtigsten Standards beschrieben, fürs Management ISO/IEC 27001, für die Technik die Grundschutztools vom deutschen Bundesamt für Sicherheit in der Informatik und für exportorientierte Firmen mit Lieferung in die USA die Common Criteria. Dabei wurde auch an verschiedenen Stellen auf das praktische, kostenlose 10-PunkteProgramm von InfoSurance verwiesen, das für viele KMU ausreichende Informationssicherheit garantiert. Für die interessierten Leser findet sich auch eine gute Ausführung über State-of-the-Art Technology im Sicherheitsbereich. Die ist für KMU vor allem wertvoll, um Ausfallkosten bei der IT zu sparen. Viele praktische Hinweise helfen Informationssicherheit zu realisieren und zu leben. Solche Sicherheit ist nicht nur auf IT beschränkt: Auch Betriebsprozesse von Information, Gesetze und Mitarbeitende sind von höchster Wichtigkeit für das Unternehmen. Lesen Sie dazu ins Booklet hinein!

Prof. Dr. Bernhard Hämmerli HSW Luzern

Management Summary

Informationssicherheit steht heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen. Oder haben Sie schon einen General gesehen, welcher seine Soldaten schutzlos in den Krieg schickt? Der Vergleich mit Krieg ist insofern zulässig, als jeder Computer am Internet von überall in der Welt her angegriffen werden kann. Und die Angriffsszenarien werden immer ausgefeilter. Dazu kommt, dass nur ausgebildetes Personal die wichtigen Informationen sicher handhaben kann. Von nicht ausgebildetem Personal richtige Entscheidungen zu erwarten, ist sinnlos. Vier wichtige Punkte möchten wir besonders hervorheben:

Informationssicherheit (IS) ist eine Managementaufgabe Ein Katastrophen-Vorsorgeplan hilft im Worst Case zu überleben Für IS und deren Unterhalt muss Budget bereitgestellt werden Zuverlässiges Personal gibt es nur mit Ausbildung Kleinere KMU haben meist die personellen Ressourcen nicht, um einen eigenen Information Security Officer einzustellen. In diesen Fällen ist es sinnvoll, diese Aufgaben an ein spezialisiertes Unternehmen auszulagern. Doch auch beim Outsourcing von IS bleibt die Verantwortung dafür bei der Unternehmensführung. Gelebte IS bringt auch eine Reihe von Vorteilen, z.B.:

Das Vertrauen der Kunden steigt Kredite werden günstiger Mit Vorausdenken lässt sich viel Geld sparen Weniger Ärger wegen nicht zuzuordnenden Fehlern Es gibt weniger Kundenklagen Gut ausgebildetes Personal unterstützt Sie Ihr Unternehmen ist für den Notfall vorbereitet und kann überleben

In diesem Booklet erfahren Sie: 5

Worauf zu achten ist bei der Entwicklung von Informationssicherheit Wie die Gesetzeslage aussieht Welche Standards Ihnen helfen Wo die heutigen Gefahren liegen Wie Sie Risiken in den Griff bekommen können

Management Summary

Welche Technologien Ihnen zur Verfügung stehen Wie Sie IS nach State-of-the-Art umsetzen können

Das Geheimnis von guter Informationssicherheit liegt darin, dass sie gelebt wird! Das 10-Punkte-Programm von InfoSurance auf S.30 zeigt Ihnen, wie das gemacht werden kann.

«Auch mittelständische Unternehmen werden zunehmend von IT-Sicherheitsvorfällen bedroht – Beispiele sind der Verlust von geistigem Eigentum oder die Nichtverfügbarkeit der angebotenen Kerndienstleistung. Im Gegensatz zu Grossfirmen sind kleine und mittelständische Unternehmen jedoch oft nicht in der Lage, die entsprechenden Aufwände zum Schutz der Informatikmittel und der darauf basierenden Abläufe zu leisten – eine mögliche Lösung kann hier in der Nutzung seriöser «Managed Security Services» liegen.» Dr. Hannes Lubich, Privatdozent

Managementverantwortung

Die Geschäftsleitung hat die Verpflichtung, Massnahmen zur Gewährleistung von Informationssicherheit im Unternehmen umzusetzen. Folgende gesetzliche Bestimmungen enthalten Forderungen dazu:

Buchführungsvorschriften: Buchführungsrecht, Revisionsgesetz (neue Version 2007) mit Kontrolle des internen Kontrollsystems inklusive Risikobeurteilung. Aufbewahrungspflicht: Normalerweise 10 Jahre. Diese Zeitspanne kann zwecks Beweispflicht aber auch länger sein. Öffentlich-rechtliche Vorschriften, z.B. bezüglich Auskunftspflicht, Berufsgeheimnisse usw. Strafrecht, z.B: Unbefugtes Eindringen in ein Datenverarbeitungssystem oder Datenbeschädigung kann nur geahndet werden bei Nachweis von speziellen Schutzmassnahmen. Aktienrecht: definiert die Organhaftung von Verwaltungsrat und Geschäftsleitung. Sie kann neu bis zur Haftung mit dem persönlichen Eigentum gehen. Vertragsrecht: Gewährleistung der angebotenen Leistungen, Schadenersatz. Branchenspezifische Rechtsvorschriften: beispielsweise in der Pharmabranche, bei Banken, Versicherungen, im Gesundheitswesen oder in der Nahrungsmittelverarbeitung. Datenschutzgesetz: Gesetz über den Schutz von Personendaten auf kantonaler und eidgenössischer Ebene. Persönlichkeitsrecht: Überwachung, Genugtuung, Schadenersatz. Fernmeldegesetz, sobald ein eigener DHCP-, Mailund/oder Proxy-Server vorhanden ist. Aufgrund dieser Aufzählung könnte manch einer auf die Idee kommen, gesetzliche Vorschriften seien der Hauptgrund zum Einsatz von Sicherheitsmassnahmen. Tatsache ist jedoch, dass Gesetze meist erst dann erlassen werden, wenn deren Einhaltung bereits gängige Praxis ist – oder zur Vermeidung von grösserem Schaden. Die Durchsetzung von Compliance mit bestehenden Gesetzen liegt in der Verantwortung des Verwaltungsrats und der Geschäftsleitung. Der Einsatz heutiger Informations-Sicherheits-Management-Systeme erleichtert und unterstützt diese Aufgabe wesentlich. Eine einfache Form davon sind die gratis erhältlichen 10-Punkte-Checklisten von InfoSurance. 7

Managementverantwortung

2.1

Managed Security Services

Vergibt ein Unternehmen Teile seiner Informationsverarbeitung an ein externes Unternehmen in Form von Outsourcing, dann müssen zusätzliche Kriterien beachtet werden. Wichtige Punkte dabei sind:

Die Verantwortung bleibt beim Auftraggeber Überprüfbare Service Level Agreements (SLA) Gemeinsames Sicherheitskonzept Einhaltung der Lizenzbedingungen Umsetzung branchenspezifischer Vorschriften Datenschutzgesetze, v.a. bei grenzüberschreitenden Transaktionen

Praxisfall: Mit Sicherheit Qualität – IT-Outsourcing Traditionell haben Energieversorgungsunternehmen sehr hohe Sicherheitsansprüche an die Technik. Alle wichtigen Komponenten sind redundant ausgelegt – im Kraftwerk ebenso wie bei den Verteilsystemen. Doch bei der IT sind die Ansprüche teilweise erstaunlich gering. IT-Sicherheit ist allerdings kein Luxus, sondern Pflicht. Der zunehmende Wettbewerbsdruck zwingt Energieversorger, ihre Kosteneffizienz zu verbessern – bei immer komplexeren Prozessen und Aufgaben. Die Konzentration aufs Kerngeschäft wird nicht nur zur absoluten Notwendigkeit, sondern eröffnet grosse Chancen. Mit dem Outsourcing der IT wachsen die operativen Freiräume und es können grundlegende Verbesserungen bei der IT-Struktur umgesetzt werden. Denn die übliche Forderung nach beispielweise räumlich getrennten Serversystemen können kleine und mittlere Versorger kaum in Eigenregie realisieren. Mit einem qualifizierten und branchenerfahrenen Dienstleister wie rku.it ist Sicherheit der Standard in der IT. Daten immer im Griff rku.it betreibt zwei vollständig redundante Rechenzentren, die durch ein performantes Glasfasernetz miteinander verbunden sind. Dies dient als Basis für eine parallele und synchrone Datenhaltung und ermöglicht stets eine stabile IT-Funktionalität. Die Standorte sind jeweils mit hochvirtualisierten Rechnern, physischen sowie virtuellen Bandarchiven und klassischen Plattenspeichern versehen. Ein Standard, der für ein einzelnes Unternehmen zu wirtschaftlichen Kosten nicht realisierbar ist. Ein wichtiger Gesichtspunkt ist die hohe Verfügbarkeit der Rechenzentren, die rku.it durch Cluster-Lösungen sicherstellt. Zur Minimierung des «Single Point of Failure» – also der Vermeidung einer Situation, in der 8

Managementverantwortung

ein einziger Fehler ein komplexes Gesamtsystem negativ beeinflusst – ist die gesamte IT-Infrastruktur redundant ausgelegt und auf verschiedene Lokationen verteilt. Die Gebäude der Rechenzentren befinden sich dabei in einer dem IT-Sicherheitskonzept entsprechenden Entfernung. Die redundante Ausführung der Storage-Systeme, der Datensicherung sowie der SAN- und der LAN-Komponenten dient dem gleichen Ziel. Des Weiteren sind die Produktivsysteme durch Stand-byRechner in der zweiten Lokation abgesichert. Ausser der strategischen Instandhaltung von Hardware und Software ist auch die permanente Aus- und Weiterbildung der Mitarbeiter ein wichtiger Aspekt. Die sicherheitsorientierte IT-Ausstattung im Rechenzentrum von rku.it und die langjährigen Erfahrungen mit den notwendigen Abläufen sind das Fundament für eine hohe Verfügbarkeit der Anwendungssysteme. Diese wird durch proaktive als auch mit reaktiven Massnahmen sichergestellt. Die Kunden profitieren hierbei unmittelbar von dem Know-how eines grossen, modernen Rechenzentrums. Hierzu gehören zum Beispiel eigene Systemspezialisten, die im Supportfall ein schnelles Eingreifen ermöglichen. Ausserdem stellen ein automatisierter Betrieb und die Überwachung der Dienste eine zeitnahe Einleitung von Massnahmen zur Stabilisierung der Systeme sicher. Automatische Meldungen per E-Mail und SMS beschleunigen die Reaktionszeit. rku.it versteht IT-Sicherheit als permanenten Prozess. Eine eigenständige, für IT-Sicherheit und Datenschutz verantwortliche Stabsstelle entwickelt die Strategie ständig weiter und achtet auf die Einhaltung existierender IT-Sicherheitsrichtlinien. Ändern sich die Rahmenbedingungen, passt rku.it sein IT-Sicherheitskonzept an. Dies gilt sowohl für die Hard- und Software als auch für organisatorische und rechtliche Anforderungen. Ein solches Leistungsspektrum können kleine und mittlere Energieversorger schon aus wirtschaftlicher Sicht nicht abdecken. Im Outsourcing ist dies problemlos möglich. Lösungspartner: rku.it GmbH, Firmenprofil auf Seite 80

Um die wichtigste Ressource in heutigen Unternehmen zu sichern, ist es unabdingbar, dass das oberste Management sich diese Aufgabe zuoberst auf die Prioritätenliste setzt. Mitarbeitende richten sich automatisch auf die Vorgaben der Geschäftsleitung aus. Fehlen diese Vorgaben oder haben sie eine niedere Priorität, dann kann nicht von Informationssicherheit gesprochen werden. Beispiel: Bekommt eine Sekretärin von ihrem Chef den Auftrag, mit seinem Passwort die Verträge kurz auszudrucken, zu denen sie mit ihrem Passwort keinen Zutritt hat, 9

Managementverantwortung

dann zeugt das zwar von grossem Vertrauen seitens des Chefs, aber diese Sekretärin wird alle anderen Sicherheitsvorschriften nur als lästiges Übel empfinden. Sie wird versuchen, wo immer es geht, diese zu umgehen. (Z.B.: Anstatt die Verträge der Geschäftspartnerin verschlüsselt zuzustellen, werden diese unverschlüsselt übertragen.) Und was für die Chefsekretärin gut ist, wird von allen anderen Mitarbeitenden in Kürze nachgeahmt. Damit sind alle Aufwendungen für die Informationssicherheit eigentlich zum Fenster hinausgeworfenes Geld. Oft ist es noch schlimmer, da man sich der Gewissheit hingibt, «wir tun ja etwas für die Informationssicherheit», z.B. durch regelmässige Back-ups. Da diese aber mangels Manpower nie durch Restore (zurückspielen und auf Funktionstüchtigkeit testen) überprüft wurden und auch nicht in feuersicheren Behältern ausserhalb des Betriebes lagern, werden sie im Falle einer Feuersbrunst oder bei Wasserschaden im Serverraum nicht mehr zu gebrauchen sein. Das heisst: Viel Aufwand umsonst. Dazu kommt, dass gerade grössere Schäden dort vorkommen, wo das Personal denkt: Das kann bei uns nie passieren. Als Beispiel mag dazu das Unglück mit dem Transrapid gelten, welcher am 23.9.2006 in Emsland auf ein Reinigungsfahrzeug auffuhr. Der Transrapid als Magnetschwebebahn galt bis dahin als absolut sicher, weil er beispielweise nicht entgleisen kann. Das Sicherheitskonzept ging aber davon aus, dass sich kein anderes Fahrzeug auf der Schiene befindet. Zudem war das Reinigungsfahrzeug auch nicht in das Kommunikationsund Sicherheitssystem des Transrapid eingebunden. Resultat: 23 Tote und 10 Schwerverletzte; ein Fall von nicht auf Konsistenz überprüften Betriebsprozessen.

Abbildung 1: Zugunglück in Norddeutschland

Large gehandhabte Informationssicherheit aufgrund fehlenden Managementsupports ist schlimmer als keine!

Managementverantwortung

2.2

IT-Security und Informationssicherheit

IT-Sicherheit ist ein wichtiger Teil von Informationssicherheit. Damit lassen sich vor allem die Risiken der Informationsverarbeitungs- und -übertragungsanlagen stark reduzieren. Bei gesamtheitlicher Betrachtung eines Unternehmens bestehen jedoch zusätzlich viele andere Risiken, z.B. in der Organisation, beim Personal, bei den nicht ITunterstützten Betriebsprozessen, beim Informationsaustausch zwischen Unternehmen und seinem weltweiten Umfeld und bei den erweiterten Gesetzesvorschriften.

Zusammenhänge in der Informationssicherheit Organisation

Geschäftsprozess IT-Applikationen Teil-Prozesse mit IT-Unterstützung Teil-Prozesse ohne IT-Unterstützung

Aufbewahrungspflicht

Öffentlichrechtliche Vorschriften

Buchführungsvorschriften

Datenschutz

Vorschriften und Gesetze

Informationen

Menschen

Informationssicherheit

Unternehmen

Weltweites Umfeld

Abbildung 2: Zusammenhänge in der Informationssicherheit

Beispiel: Ein Unternehmen mit zirka 150 Personen im schweizerischen Mittelland fabriziert chemische Zwischenprodukte zur Herstellung von Medikamenten, welche auch in die USA exportiert werden. Damit unterliegt es auch den Vorschriften der amerikanischen Food-and Drug-Administration (FDA), welche teilweise auch vor Ort Kontrollen durchführt. Die Informationen, welche dieses Unternehmen anderen Unternehmen weltweit zur Verfügung stellt, unterliegen vielfältigen Gesetzesbestimmungen anderer Länder wie auch denen der Schweiz. Werden dabei z.B. den Kunden interaktive, verschlüsselte Verbindungen zum Datenaustausch zur Verfügung gestellt, sind detaillierte juristische Abklärungen dringend empfohlen. Sonst kann es passieren, dass der CEO des Unternehmens beispielsweise zu einem Prozess in Singapur vorgeladen wird, weil die Übertragung von Kundendaten in diesen Staat auch über verschlüsselte Verbindungen unzulässig ist.

Managementverantwortung

Abhängigkeiten in den Griff bekommen Üblicherweise wollen Unternehmerinnen und Unternehmer Erfolg haben, sprich: Gewinn erwirtschaften. Da heutzutage die meisten Betriebsprozesse immer mehr von Informations- und Telekommunikationstechnologien (ICT) unterstützt werden, sind sie davon auch immer mehr abhängig. Wie gross die Abhängigkeit ist, ist eine Frage der Betriebsprozesse. Wenn beispielsweise Zugänge zu Fahrzeugen via SMS freigeschaltet werden, dann ist die Abhängigkeit von mobiler Telefonie sehr hoch. Versierte Security-Beauftragte finden jedoch auch bei solchen Problemen Möglichkeiten zur Reduktion der Abhängigkeit. Wichtig ist, dass diese erkannt und analysiert werden. Die Abhängigkeit von ICT steigt an. Informationen werden zunehmend businesskritischer. Diese Abhängigkeiten können Sie mit geeigneten Massnahmen reduzieren (siehe Security-Konzepte). Grundbausteine von Informationssicherheit Der Hauptzweck der Informationssicherheit ist, dass die Informationen eines Unternehmens zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen. Dies wird erreicht, indem die Verfügbarkeit, die Integrität, die Vertraulichkeit und die Belegbarkeit sichergestellt werden. Diese vier Begriffe werden im Folgenden erläutert: Verfügbarkeit (Availability) Die Verfügbarkeit eines Systems wird umschrieben mit der Eigenschaft eines Systems, sämtliche Daten und Funktionen zu einem bestimmten Zeitpunkt zur Verfügung stellen zu können. Denial-of-Service-Attacken (totale Verweigerung des Dienstes) zum Beispiel führen zu Verlusten der Verfügbarkeit, da die Kommunikationsinfrastrukturen dadurch den Unternehmen für die Abwicklung der Tagesgeschäfte nicht mehr zur Verfügung stehen. Die Verfügbarkeit eines (Informations-)Systems wird definiert durch den Grad des Zuganges und der Funktionalität in Abhängigkeit zur vereinbarten Servicezeit. Wertmässig investieren Unternehmen in diesem Bereich der Sicherheit am meisten Geld. Integrität (Integrity, Unversehrtheit) Lässt ein System unbefugte oder unbeabsichtigte Veränderungen an Daten oder an der Software zu, so ist deren Integrität verletzt. Es kann somit nicht mehr garantiert werden, dass alle sicherheitsrelevanten Objekte vollständig, unverfälscht und korrekt sind. Viren können Daten und Programme derart verändern, dass die Integrität verletzt 12

Technologie

Praxisfall: Medien: «Basler Zeitung» Rund 15 Terabyte Daten lagern auf den rund 80 Servern der «Basler Zeitung Medien». Täglich wollen etwa 800 Anwender darauf zugreifen – und zwar schnell. Denn wenn Journalisten oder Redakteure ihre Deadline verpassen, ist die Nachricht Schnee von gestern. Das erfordert eine effiziente, leistungsfähige und vor allen Dingen schnelle IT-Infrastruktur. «Wir wollen mehr Sicherheit und Effizienz im Umgang mit unseren Daten.» Das Ziel der «Basler Zeitung Medien» war klar formuliert und die Anforderungen sehr konkret: Bei Datenverlust oder Systemausfall muss eine rasche und zuverlässige Wiederherstellung möglich sein. Der Betreuungsaufwand für die Backups – bislang drei Stunden täglich – soll reduziert werden. Und die Datenarchivierung muss effizienter werden. Gefragt war zudem eine Lösung für die Archivierung der E-Mails. Denn bei wachsendem E-Mail-Aufkommen mit immer grösseren Anhängen wurden die Speicherkosten zu einem immer grösseren Problem. Gesucht: Qualität aus einer Hand Um allen Anforderungen wirklich gerecht zu werden, zumal in einer heterogenen IT-Umgebung mit PCs und Mac, suchte die «Basler Zeitung Medien» eine Lösung aus einer Hand. Die Wahl fiel auf Symantec: Veritas Storage Foundation zur Speicherverwaltung wurde von der «Basler Zeitung» bereits eingesetzt, und die Lösung hatte überzeugt. Nun sollten Symantec-Lösungen zur Datensicherung, zur Wiederherstellung und zur E-MailArchivierung folgen. Sicher: Rund um die Uhr So etwa Veritas NetBackup zur Datensicherung: Für die Daten auf den Intel- und SUN-basierten Servern gibt es wöchentliche Voll-Backups und tägliche inkrementelle Sicherungen. Dabei werden die Daten von Microsoft Exchange 2003, Microsoft SQL und diversen File-Servern sowie Oracle-Datenbanken auf zwei Bandrobotern gespeichert, die sich an verschiedenen Standorten befinden. Unternehmenskritische Daten sind so rund um die Uhr gesichert und auch beim Ausfall eines Speichers jederzeit wiederherstellbar. «Um ein bis zwei Stunden pro Tag konnte der Verwaltungsaufwand für die Backups reduziert werden», schätzt IT-Leiter Frank Schilling und freut sich:«Das schafft Zeit für andere wichtige Tätigkeiten. Ausserdem können wir mit der neuen Lösung die vereinbarten Restore-Zeiten einhalten.» Günstig: Ältere Daten verschieben Gelöst wurde auch die Frage der Speicherkapazität, und zwar durch eine Zusatzfunktion für die bestehende Veritas Storage Foundation. Mittels QoSS (Quality of Stora53

Technologie

ge Service) können ältere Dateien nun automatisch auf billigere Speicher verschoben werden. Damit können die Hardware effizienter genutzt und Kosten gespart werden. Endlich: Ordnung für E-Mails Last but not least vereinfachte man die Datenarbeit rund um die elektronische Post. Dafür wurde im Januar 2006 in einer dritten Etappe die Archivierungslösung Enterprise Vault eingeführt. Sie ist einfach zu handhaben und sorgt zuverlässig für die effiziente Verwaltung, Sicherung und Wiederherstellung von E-Mail-Dateien. «Jetzt kann wirklich jeder gesuchte E-Mail-Inhalt schnell gefunden werden», gibt sich IT-Leiter Schilling zufrieden, «und wir haben rundum Ordnung im System.» Hauptsache Drucksache Die «Basler Zeitung Medien» gehört zu einem der erfolgreich multimedial aktiven Medienhäuser in der Schweiz. Zeitschriften und Druckereiprodukte kommen ebenso aus dem Haus wie Film-, Funk- und Fernsehproduktionen. Nach wie vor gilt als Zugpferd das traditionsreiche Verlagsprodukt, die «Basler Zeitung». Im Raum Basel ist sie führend. Lösungspartner: Symantec Switzerland AG, Firmenprofil auf Seite 80

5.4.4

Kontrollen

Mit dem Durchführen des Backups alleine ist es jedoch nicht getan. Nach jeder Sicherung sollte das Ergebnis kontrolliert werden. Meistens genügt ein Blick in die Logdatei des entsprechenden Programms. Wurden alle Daten gesichert? Sind Störungen aufgetreten (Daten gesperrt, zu wenig Platz auf dem eingelegten Medium oder Ähnliches)? Wie sieht der Zustand des Bandes aus? Welches Medium muss als nächstes eingelegt werden? Dies sind Fragen, die jeden Tag beantwortet werden müssen. Diese Kontrollen und das Ersetzen eines Mediums sollte schriftlich festgehalten werden. Mit der optimalen Vorbereitung und der korrekten Umsetzung kann jederzeit auf die Daten zurückgegriffen und diese verlustfrei wiederhergestellt werden. Windows-Backup In Microsoft Windows wurde ein sehr gutes BackupTool integriert. Es befindet sich unter Start – Programme – Zubehör – Systemprogramme – Sicherung.

Technologie

Je nach Version stehen folgende Möglichkeiten zur Verfügung:

Dateien und Verzeichnisse der Harddisk sichern. Dateien und Verzeichnisse zurückspielen (Restore). Notfalldisketten erstellen. Systemstatusdateien und Active Directory sichern. Regelmässige Sicherungen automatisieren.

Abbildung 29: Sicherungsprogramm

5.5

Intrusion Detection

Intrusion Detection System (IDS) überwacht und protokolliert den gesamten Datenverkehr des Netzwerkes in Echtzeit. Es erlaubt, Unregelmässigkeiten zu erkennen und abzuwehren und unterstützt somit eine Firewall, welche nicht zwischen «Gut» und «Böse» unterscheiden kann, sondern Datenpakete anhand des Zielportes und eventuell der Ziel-IP passieren lässt. Angreifer könnten somit problemlos Zugriff auf lokale Ressourcen erhalten, Informationen manipulieren, vertrauliche Daten einsehen und auch Datenbestände löschen. Zu bedenken ist auch, dass Angriffsversuche häufig auch aus dem lokalen Netzwerk heraus gestartet werden, welche Firewallsysteme – sofern überhaupt möglich – nicht überwachen.

Technologie

Abbildung 30: Intrusion Detection System

Probleme beim Einsatz von IDS Der Einsatz von IDS erfordert ein genaues Planen, z.B. welche Angriffsziele geschützt werden sollen. Signaturen für den Einsatz von Windows müssen in einer UNIXUmgebung nicht aktiviert werden. Der Einsatz von PortScannern oder anderen Tools gibt Auskunft darüber, welche Systeme potenzielle Ziele sind. Je nachdem, wie diese Ergebnisse ausfallen und welche Bedrohungsszenarien erkannt werden, wird sich auch die einzusetzende IDSSoftware und -Hardware herausbilden. Speziell für NIDS gilt, dass nicht nur eine Paket-Analyse betrieben wird, sondern auch eine Serie von Paketen beobachtet wird. Fragmentierte Pakete müssen erst wieder zusammengesetzt werden, bevor sie ihr wahres Erscheinungsbild zeigen. Das erfordert grosse und schnelle Puffer wie auch leistungsfähige Maschinen. Werden Load Balancer eingesetzt, so muss gewährleistet sein, dass alle Pakete zu einer IDS-Maschine geleitet werden, damit die Überprüfung vollständig gewährleistet wird. Alle definierten Regeln sollten so wenig wie möglich Fehlalarme (False Positive) erzeugen. Denn viele Fehlalarme blenden vor der eigentlichen Gefahr und veranlassen den Administrator zu einer oberflächlichen Kontrolle.

5.6

Analyseverfahren bei IDS-Netzwerksicherheit

Neben den Clients ist auch der Schutz des gesamten Netzwerkes ein wichtiges Thema. Netzwerksicherheit ist dabei kein einzelner feststehender Begriff, sondern umfasst alle Massnahmen zur Planung, Ausführung und 56

Technologie

Überwachung der Sicherheit in Netzwerken. Diese Massnahmen sind keinesfalls nur technischer Natur, sondern beinhalten auch organisatorische Fragestellungen (z.B. Policies, in denen geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), betriebliche Fragestellungen (Wie kann ich Sicherheit im Netzwerk in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und enden nicht zuletzt mit rechtlichen Fragestellungen (Was für Massnahmen dürfen eingesetzt werden?). Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von aussen geschützt werden kann (z.B. mittels einer Firewall). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer anschliessenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im Netzwerk erkannt werden kann, werden Rechner oft überwacht (Stichwort IDS). Potenzieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder Altersverschleiss der Hardware wird durch eine Datensicherung verhindert (Stichwort Backup). Sicherheitslücken in Software können durch das rechtzeitige Einspielen von Software-Updates geschlossen werden. Nicht freigegebene Software kann (und sollte) verboten werden. Durch Schulung der Anwender kann ein Sicherheitsbedürfnis oder Problembewusstsein entstehen und dabei das Verständnis geweckt werden, dass die Daten eines Netzwerkes sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Massnahmen aufbringen und diese nicht unterlaufen, indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schliesslich kann der physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden. Netzwerküberwachung, Alarmierung Die Überwachung und Alarmierung stellt sicherlich ein wichtiges Instrument zur Kontrolle des Netzwerkes dar. Es stehen dabei sehr viele kommerzielle wie aber auch kostenlose Programme zur Auswahl. Auf der kommerziellen Seite finden sich zum Beispiel HP OpenView, IPswitch What's Up und weitere. Die Alarmierung kann per E-Mail, SMS, Pager oder Popup erfolgen. Als Variablen können die Systeme mit den ausgewählten Diensten sowie der Tag und die Zeit verändert werden. So ist eine bis aufs letzte Detail angepasste Alarmierung möglich. Zusätzlich stehen im Internet Dutzende von Erweiterungen zur Auswahl. So ist es möglich, die USV zu überwachen, SQL-Server auf Herz und Nieren zu kontrollieren usw.

Technologie

Intelligente Switches Ein weiteres Sicherheitsmerkmal sind Switches. Immer mehr Funktionen werden an diese Geräte ausgegliedert (bzw. integriert). Diese Switches arbeiten auf den Layern 3 und höher und verfügen in der Regel über Managementfunktionen; neben den grundlegenden Switch-Funktionen verfügen sie zusätzlich über Steuer- und Überwachungsfunktionen wie z.B. IP-Filterung, VLAN, Priorisierung für Quality of Service, Routing und weitere, oft herstellerabhängige Funktionen. VLAN Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich somit auch für standortübergreifende Vernetzungen. Wichtig ist jedoch zu wissen, dass sich zwar die angeschlossenen Rechner nicht sehen, ein Hacker im Netzwerk jedoch trotzdem den Datenverkehr der VLANs abhören kann. Dies wird bei Sicherheitsüberlegungen oft vergessen. Patchen Allmonatlich erscheint von Microsoft die Aufforderung, die neuesten Patches einzuspielen. Jedoch ist nicht nur Microsoft davon betroffen. Praktisch für jede Software erscheinen in unregelmässigen Abständen Flickwerke, die es gilt zu installieren. Einfach installieren ist dabei oft nicht möglich. Ziemlich viele Administratoren haben schon die Erfahrung gemacht, dass ein Patch anschliessend Probleme bereitet. Eine Testumgebung können sich aber nur wenige Firmen leisten, und da ist jeder Patch eine Herausforderung. Daher warten viele einfach mal ab, was andere berichten. Wenn es keine Probleme gibt, dann wird der Patch (vielleicht) auch installiert. Statistiken zeigen auf der anderen Seite, dass neue Schwachstellen immer schneller ausgenutzt werden. Inzwischen sind wir bei den vor einiger Zeit angekündigten Zero-Day-Attacken angelangt, das heisst, es sind schon am gleichen Tag Programme verfügbar, die die neu bekannt gewordene Lücke ausnutzen. Ganz auf einen Patch zu verzichten, ist daher ein gefährliches Spiel mit dem Feuer. Beispiele von schlecht gewarteten Systemen trifft man immer wieder an. Vielen ist sicher noch der SQL-Slammer-Zwischenfall der Schweizerischen Post in Erinnerung oder der Virenausbruch beim MigrosGenossenschafts-Bund. SQL Slammer hat 75000 Server in wenigen Stunden befallen und 55 Millionen IP-Adressen pro Sekunde gescannt. Da bleibt nur wenig Zeit, bei Ausbruch oder Bekanntwerden der Attacke zu reagieren. Nichtsdestotrotz bleibt der dringende Rat, Patches möglichst schnell nach Bekanntmachung zu installieren. Als Erleichterung sind hier sicherlich die automatischen Upda58

Technologie

tes für die Clients (für Server nicht zu empfehlen) oder in einem Microsoft-Umfeld der kostenlose Windows-SystemUpdate-Service (WSUS, unter http://www.microsoft.com/ WSUS), der Patches herunterlädt und wahlweise automatisch oder manuell freigibt, installiert. Logfile-Kontrolle Ein mühsames Thema ist die Kontrolle der anfallenden Daten(-Berge). Niemand wälzt sich gerne durch die vielen Zeilen. Doch genau hier liegt ein enormes Potenzial, Fehler frühzeitig zu erkennen und notwendige Massnahmen einzuleiten. Es muss ein täglicher Job für sehr wichtige Systeme und ein wöchentlicher für alle anderen Server und Dienste sein, sich mit den Logs auseinanderzusetzen. Für den Administrator muss dies ein Bestandteil seiner Pflichten sein und darf auf keinen Fall infolge anderer «wichtigerer» Arbeiten verschoben werden. Praxisbeispiel: Sichere Kommunikations- und Verwaltungsplattform Effiziente Kommunikation und Datenaustausch für die Stadtzürcher Schulen Die Herausforderungen Mit dem Projekt «KITS für Kids» sind die Volksschulen der Stadt Zürich mit modernen Kommunikations- und Informationstechnologien (KITS) ausgerüstet worden. Das vom Stadtzürcher IT-Kompetenzzentrum OIZ gemeinsam mit Microsoft und Partnern realisierte Projekt hat das geschützte Stadtzürcher Bildungsnetz (KITSNetz) geschaffen, das alle Schulhäuser und die pädagogische sowie die technische Supportstelle miteinander verbindet. Unvernetzt und ohne Zugang zum städtischen Verwaltungsnetz (ZüriNetz) waren bis anhin die in den Schulen vorhandenen Verwaltungsarbeitsplätze. Die Trennung von KITS-Netz und ZüriNetz erwies sich mehr und mehr als Hemmschuh. Darüber hinaus existierte keine eigentliche E-Mail-Plattform. Die Anforderungen 2006 lancierte die OIZ das Projekt «SAV – Schulen ans Verwaltungsnetz». Es baut auf dem zu 100 Prozent Microsoft-nativen KITS-Netz auf und umfasst folgende Teilprojekte: E-Mail-Plattform für die Lehrpersonen sowie für Kindergärtnerinnen und Kindergärtner, Hortnerinnen und Hortner und Hausdienste Geschützte Dateiablage auf Schulhaus-Servern Zusätzliche IT-Infrastruktur (Hardware, Verkabelung) Sicherer Gateway zwischen KITS-Netz und ZüriNetz Anwenderschulung 59

Technologie

Die Lösung Kern der Lösung sind ein Exchange-Cluster und die Datenspeicherung auf einem dedizierten SAN-System (Storage Area Network). Die Sicherheitslösung Microsoft Forefront schützt die Mailboxen vor Virenbefall. Und auch auf den Gateways befindet sich ein Viren- und Antispamschutz. Ein Exchange-Server und ein InternetSecurity-and-Acceleration(ISA)-Server 2006 in einer DeMilitarized Zone (DMZ) erlauben es, via Browser und Outlook Web Access auf die Postfächer zuzugreifen. Für die einfachere Administration der Umgebung sind Microsoft-Systems-Management-Server (SMS) und Microsoft-Operations-Manager (MOM) im Einsatz. Die Integration von Forefront in MOM erlaubt es, den Virenschutz-Server direkt von der zentralen Konsole aus zu kontrollieren. Einschränkungen der Zugriffsrechte schützen nun besonders sensitive Informationen. Waren vorher Passwörter frei wählbar, sind heute für die Lehrpersonen starke Passwörter zwingend, die alle 90 Tage verfallen. Nur die Schülerinnen und Schüler dürfen weiterhin ihre einfachen Passwörter frei wählen. Der Nutzen Der neue Gateway zwischen KITS-Netz und ZüriNetz ist die Voraussetzung für zukünftige Anwendungsentwicklungen für Schule und Verwaltung auf Basis von HTTP oder FTP. «Den weitaus besten Schutz bietet die Kaskade aller verwendeten Sicherheitsprodukte», sagt Felix Jetzer, Projektleiter SAV bei der OIZ. «Die redundante, ausfallsichere Architektur erfüllt unsere hohen Anforderungen perfekt.» Sein Fazit: «Der Aufwand hat sich auf jeden Fall gelohnt, die Kosten sind attraktiv und wir profitierten von der relativ frühen Einführung der teilweise noch sehr jungen Produkte, die unsere Vorreiterrolle in diesem Bereich unterstreicht.»

Informationssicherheit umsetzen

6.1

Projektmanagement

Unter Projektmanagement versteht man die Gesamtheit von Führungsaufgaben, -organisation, -techniken und -mitteln für die Abwicklung eines Projektes (Definition nach DIN-Norm 69901). Als Hauptelement steht der Prozess, welcher eine sachlogisch zusammenhängende Reihe von zielgerichteten Tätigkeiten zur Erreichung eines definierten Ergebnisses und dabei Kosten durch den Verbrauch von Ressourcen verursacht. Die Merkmale eines Prozesses sind: Ziel, Aktivität (Tätigkeiten), Bedingungen (soziales Umfeld), Input (Auslöser), Output (Ergebnis) und die Qualität (Leistungsindikatoren).

Abbildung 31: Projektmanagement

Als wichtige Normen seien hier ITIL, CObIT, PRINCE2 und BSI 5000 (bzw. neu ISO 20000) genannt. ITIL ITIL ist eine herstellerunabhängige Sammlung von Best Practices, mit denen es IT-Organisationen über einen prozessorientierten, skalierbaren Ansatz ermöglicht wird, Effizienzsteigerungen innerhalb ihrer IT-Prozesse zu erzielen. ITIL steht als Abkürzung für «Information Technology Infrastructure Library». CObIT Das CObIT-Modell (Control Objectives for Information and related Technology) wurde von Revisoren aus der Industrie und dem Berufsstand (ISACA – Information Systems and Control Association) auf Basis bestehender Revisionsrichtlinien, von Kontrollmodellen und branchenspezifischen Regularien und Richtlinien entwickelt. Bei der Entwicklung von CObIT galt es, dem Anspruch eines IT-spezifischen 61

Trends

Praxisfall: Informationssicherheit setzt bei den eigenen Mitarbeitern an! Informationssicherheit wird allzu oft noch als reine technische Disziplin verstanden. Auch einer unserer Kunden* war dieser Überzeugung. Im Rahmen einer Sicherheitsüberprüfung zeigte sich, dass ein Systemangriff mit Hilfe üblicher Hacker-Methoden kaum möglich erschien. Jedoch gelang es uns aber, durch Social Engineering problemlos Zugangsdaten von rund 40% der Belegschaft zu bekommen! Dazu haben wir eine Phishing-Mail an die PC-Benutzer verschickt und diese aufgefordert, auf unserer – gefälschten! – Website einen Passwort-Check durchzuführen. Innerhalb weniger Stunden erhielten wir so die Zugangsdaten und stellten dabei fest, dass die Passwörter bei vielen Mitarbeitern von «ungenügender bis schlechter Qualität», schlicht zu einfach waren. Dieses Ergebnis ist bestimmt kein Einzelfall, wie wir aus Erfahrung wissen. Zahlreiche Schutzmassnahmen werden durch Nachlässigkeit, Unwissenheit und oft auch durch Bequemlichkeit der eigenen Mitarbeiter unwirksam. Basierend auf diesen Ergebnissen hat unser Kunde umgehend gehandelt und mit uns eine AwarenessKampagne zügig in Angriff genommen. Nachdem Ziele und Inhalte abgestimmt waren, haben wir in enger Zusammenarbeit mit den Sicherheits- und Kommunikationsverantwortlichen unseres Kunden ein gezieltes Sensibilisierungsprogramm in anschaulicher und verständlicher Form erarbeitet und schrittweise umgesetzt. Ziel der sechs Monate dauernden Kampagne war es, den Mitarbeitern aufzuzeigen, wie wichtig und entscheidend ihr persönliches Engagement ist. Viele unterschätzen ihren eigenen Beitrag zur Informationssicherheit, erachten Richtlinien eher als Hindernis und handeln deshalb meist unkorrekt. Für den Erfolg der Kampagne war es von grossem Vorteil, dass sich das Management bereits zu Beginn hinter unsere Kampagne gestellt und diese auch offensichtlich getragen hatte. Die Ergebnisse aus dem Social-Engineering-Audit haben uns dabei sicher geholfen. Fehlte diese Unterstützung hingegen, würden sich die Mitarbeiter zu Recht fragen, weshalb sie sich an interne Richtlinien halten sollen. Zu Beginn der Kampagne lenkten wir mit kurzen «Hacking»-Veranstaltungen und einer CD mit Hilfsmitteln und Tipps für den privaten PC die Aufmerksamkeit der Mitarbeiter auf das Thema. Dabei demonstrierten wir live, wie einfach ein Hacker – mit Werkzeugen aus dem Internet – an vertrauliche Informationen gelangen kann. Des Weiteren vermittelten wir mit dedizierten Workshops, einer originell gestalteten Informationsbroschüre und ergänzenden Informationen auf dem Intranet 72

Trends

das erforderliche Wissen für den Geschäftsalltag. Dazu haben wir die geltenden Regelungen ansprechend verpackt, um die Mitarbeiter zu motivieren, auch diese Informationen zu lesen. Das dabei erlangte Sicherheitsverständnis musste nun natürlich längerfristig bestehen bleiben. Das haben wir mit einem internen SecurityNewsletter, einem Bildschirmschoner und mit themenspezifischen Informationsplakaten effektiv erreicht. Um die Wirksamkeit dieses «Lern-Programms» auch belegen zu können, haben wir nach einigen Monaten erneut einen Social-Engineering-Audit durchgeführt. Bei dieser Überprüfung haben wir aber bewusst andere Angriffsmethoden eingesetzt. So versuchten wir vor Ort in geschützte Unternehmensbereiche zu gelangen und über das Telefon Zugangsinformationen zu erschleichen. Sehr zur Freude unseres Kunden konnte dabei eine wesentliche Verbesserung des Sicherheitsverhaltens festgestellt werden. Den Mitarbeitern wurde deutlich bewusst, dass sie der Schlüssel zur Informationssicherheit sind. * Dienstleistungsunternehmen mit rund 100 Mitarbeitern; aus Gründen der Vertraulichkeit wird kein Firmenname genannt. Lösungsanbieter: InfoGuard AG, Zug, Firmenprofil auf Seite 79

Ausblick

Zunahme der Abhängigkeit kritischer Geschäftsprozesse von der Verfügbarkeit und Qualität von Telekommunikation Viele KMU machten sich bisher keine grossen Gedanken um die Telefonanschlüsse. Man verliess sich einfach darauf, dass diese Anschlüsse funktionierten. Im Zuge der Liberalisierung stellten schon einige Betriebe ihre Telekommunikation (Telefonie und Daten) auf alternative Dienstleister um und waren sehr erstaunt, wenn einmal deren Betrieb ausfiel. Praxisbeispiel: Eine versierte Beraterin in der Region Oberwinterthur wechselte ihre Telekom-Anschlüsse zu einem günstigeren Dienstanbieter. Ihre tägliche Arbeit besteht darin, mit anderen Beratungs- und Handelsunternehmen rund um die Welt Angebote verschiedenster Art via E-Mail auszutauschen, Offerten telefonisch via Voice-over-IP (VoIP) zu besprechen, bei gegenseitigem Übereinkommen Verträge zu unterzeichnen und diese eingescannt und verschlüsselt via E-Mail-Attachment dem Geschäftspartner zuzustellen. Diese Beraterin staunte nun nicht schlecht, als in ihrer Region die Telekom-Dienste für einen halben Tag ausfielen, just zu einem Zeitpunkt, als sie endlich ein Millionengeschäft hätte abschliessen können. In den folgenden zwei Wochen blieb der Anschluss noch einige Male tot. Zwar hatte sie noch ihr Handy zur Verfügung, konnte damit aber weder E-Mails empfangen noch Dokumente versenden. Stundenlange Telefongespräche mit dem Dienstanbieter nützten auch nichts. Als sie am nächsten Tag auf ihren E-Mail-Account zugreifen konnte, war das Geschäft bereits zugunsten eines anderen Partners gelaufen. Das Durchlesen des Vertrages ergab, dass die Internetdienste nach Best Effort verfügbar sind (keine Qualitätsgarantie) und dass 98%ige Verfügbarkeit im krassesten Fall bedeuten kann, dass der Dienst für über 7 Tage ausfallen kann. Abhilfe: Für den Fall eines Dienstausfalls des TelekomAnbieters eine Kooperation mit einer befreundeten KMU vereinbaren, welche die Telekom-Dienste bei einem anderen Provider bezieht, oder eine eigene, redundante Leitung eines anderen Telekom-Anbieters (kostspielig!) abonnieren. Ein anderer Fall in Deutschland bei einem der grössten Hersteller von Windenergie-Anlagen legte einen anderen Schwachpunkt beim grössten Telekom-Anbieter Deutschlands offen. Beim Versuch, auf den amerikanischen Markt zu gelangen, wurde ihm der Zutritt von Gesetzes Seite her 74

Ausblick

verboten. Ein amerikanisches Unternehmen hatte die neuen Anlagen bereits patentiert. Grund: Die Forschungsresultate des deutschen Unternehmens wurden via Telefonnetz übermittelt, welches trotz kurzer Distanz über unverschlüsselte Richtfunkstrecken verlief. Diese wurden von NSA-Satelliten abgehört und die Informationen an amerikanische Unternehmen weitergegeben. Schaden: über 100 Mio. Euro. Quelle: ARD, Plusminus. Abhilfe: Sensible Daten vor der Übertragung verschlüsseln Unsichere VoIP-Verbindungen Abhörmöglichkeiten, Spam, ENUM Abhilfe: Bei der Auswahl von neuen KommunikationsDienstleistern die Vertragsbedingungen genau analysieren und vergleichen. Dabei soll v.a. auf QoSBedingungen und hohe Verfügbarkeit (grösser 99,9%) geachtet werden. So ist es zwar richtig, dass es Aufgabe der VoIP-Anbieter sein muss, ihre VoIP-Server entsprechend zu sichern. Man macht es sich aber zu einfach, es dabei zu belassen. Denkbar sind nämlich «lokale» Angriffe auf den Computer des Endanwenders, etwa durch Pharming (nicht zu verwechseln mit Phishing, bei dem der Nutzer über einen entsprechend gestalteten Link – typischerweise in einer EMail – auf eine präparierte und der «Original-Seite» täuschend ähnliche Seite geleitet wird, wo er zur Eingabe z.B. seiner Bankdaten aufgefordert wird). Pharming, das früher mehr oder weniger nur «Sicherheitsexperten» ein Begriff war, tauchte erstmals im Frühjahr 2005 auch in den bekannten VoIP-Foren auf. Unter Pharming versteht man (grob gesagt), dass Gespräche unbemerkt und ohne weitere Interaktion des Nutzers (wie etwa das Klicken auf einen Link in einer E-Mail) über einen Fremdserver geleitet werden. Dabei können Gespräche abgehört (es sei denn, die Gespräche sind verschlüsselt; siehe unten) oder VoIP-Passwörter abgefangen werden. Translumina Networks AG führt eine Checkliste über Vorsichtsmassnahmen beim Wechsel auf VoIP: http://www.translumina.net/markt-technik.htm Versorgungssicherheit mit Elektrizität Voraussetzung für das Funktionieren von ICT-Anlagen ist elektrischer Strom. Das Beobachten von Strom-Ausfällen während der letzten 5 Jahre hat gezeigt, dass die Pannen nicht abnahmen, sondern im Zunehmen begriffen sind. Gemäss ETH-Klimatologen werden auch in unseren Breitengraden eher vermehrt grössere Unwetter erwartet. 75

Ausblick

Abhilfe: Für heiklere und/oder businesskritische Komponenten unterbrechungsfreie Stromversorgungen (USV) mit genügender Kapazität installieren. Wegen zunehmender Komplexität der Sicherheitsanforderungen im Informationsbereich sind im Weiteren folgende Massnahmen sehr empfehlenswert: Einsatz eines Sicherheitsbeauftragten oder Outsourcing dieser Funktion.

Vorsichtigere Auswahl von Mitarbeitenden an kritischen Infrastrukturen oder beim Zugang zu sensiblen Geschäfts-Informationen.13 Vermehrte Ausbildung des Personals zwecks Training unter Einsatz von E-Learning (Plattform wählen mit gutem Kosten-Nutzen-Verhältnis). Ohne Geld keine Leistung. Wir empfehlen dringend entsprechende Budget-Bereitstellung für IS so früh wie möglich! Sowohl Angriffs- wie Verteidigungsmethoden machen Fortschritte. Die Methoden und Computer zum Brechen von Verschlüsselungsalgorithmen (Krypto-Analyse) werden immer leistungsfähiger. Doch auch die Gegenseite macht Fortschritte. In einigen Jahren werden Verschlüsselungsverfahren auf den Markt kommen, welche absolut sicher sind (sein sollen). Die Rede ist von Quanten-Kryptografie.

Eine Studie hierzu: http://harvardbusinessonline.hbsp.harvard.edu/ The Reign of Zero Tolerance

Profile der Editionspartner

InfoGuard AG Herr Reinhold Zurfluh Feldstrasse 1 6300 Zug Telefon +41 41 749 19 00 Fax +41 41 749 19 10

www.infoguard.com info@infoguard.com

Die InfoGuard AG ist die Spezialistin für eine umfassende Informationssicherheit in Unternehmen und öffentlichen Institutionen. Als Mitglied der schweizerischen «The Crypto Group», eines der grössten und namhaftesten ICT-Sicherheitsunternehmen Europas mit über 250 Mitarbeitern, profitieren die Kunden von über 50 Jahren Erfahrung und Kontinuität in der Informationssicherheit. Sowohl die Sensibilisierung, die strategische und technische Sicherheitsberatung und produktneutrale Ausbildung wie auch die Implementierung und der Betrieb technischer Sicherheitslösungen zählen zu den Kernkompetenzen der InfoGuard AG. Das Unternehmen entwickelt und produziert eigene ICT-Sicherheitslösungen und arbeitet ausserdem als wichtiger strategischer Partner mit den führenden Unternehmen Juniper Networks/NetScreen, Utimaco Safeware, Trend Micro, Aladdin und Ingrian zusammen. Zum Kundenkreis der InfoGuard AG zählen bedeutende Banken, Versicherungen, Chemie-, Telekommunikations- und Industrieunternehmen sowie öffentliche Verwaltungen und Institutionen. Sie schätzen die kompetente, effiziente und zuverlässige Leistung der InfoGuardSpezialisten und deren partnerschaftliche Zusammenarbeit. Praxisbeispiel Seite 72

Microsoft Schweiz GmbH Frau Andrea Müller Product Solutions Marketing Manager Richtistrasse 3 8304 Wallisellen Phone Fax

+41 (84) 822 44 88 +41 (43) 456 44 44

Web www.microsoftsecurity.ch E-Mail amueller@microsoft.com

Microsoft – Globales Unternehmen mit lokaler Verankerung Microsoft wurde am 4. April 1975 von Bill Gates und Paul G. Allen gegründet. Der Hauptsitz befindet sich in Redmond, Washington. Was mit einer Handvoll Enthusiasten begann, ist heute eines der grössten börsennotierten Unternehmen mit weltweit über 71 000 Angestellten. In der Schweiz ist Microsoft seit 1989 präsent. Heute beschäftigt Microsoft in Wallisellen, Bern, Basel und Genf über 400 Mitarbeiterinnen und Mitarbeiter. Als weltweit führender Softwarehersteller bietet Microsoft eine umfangreiche Palette von Produkten und Dienstleistungen für Computer und andere digitale Geräte jeglicher Grösse und Form an. Das Angebot umfasst die Betriebssysteme der Windows-Familie für PCs und Server, Server-Anwendungen wie BackOffice und SQL-Server, Werkzeuge wie Visual Basic für die Anwendungsentwicklung sowie Anwendungsprogramme wie Office für den privaten und geschäftlichen Einsatz, Spiele und interaktive Medienprogramme.

Profile der Editionspartner

rku.it GmbH Ulrich Klenke Westring 301 44629 Herne Phone Fax

+49 (0)23 23 592 517 +49 (0)23 23 592 463

www.rku-it.de kontakt@rku-it.de

Aus der Branche – für die Branche. 1961 als «Lochkartengemeinschaft kommunaler Unternehmen GmbH» gegründet, hat sich rku.it zu einem konzernunabhängigen IT-Dienstleister entwickelt. Heute beschäftigt rku.it rund 200 Mitarbeiter und unterstützt mehr als 120 Unternehmen aus den Branchen Ver- und Entsorgung, ÖPNV sowie Kommunalwirtschaft in ganz Deutschland. Mit Standardsoftware führender Hersteller und Systemen für Spezialgebiete deckt der IT-Spezialist alle Anforderungen ab. Für die zum Kundenkreis zählenden Energie- und Wasserversorger rechnet rku.it cirka 2,8 Millionen Privat- und Gewerbekundenverträge ab; über 4000 Anwender greifen auf die Server in Herne zu. Der ITDienstleister stellt Module der Standardsoftware der SAP AG, Walldorf, und der Schleupen AG, Moers, im Outsourcing bereit. Das Angebot von rku.it geht weit über reine Rechenzentrumsdienstleistungen hinaus: Von Software-Schulungen für SAP, Schleupen und Microsoft bis zu einem detaillierten Risikomanagement inklusive Katastrophenfallvorsorge reicht die Palette. Ausserdem bietet rku.it über die ConsultingTochter evu.it Beratungs-Know-how, unabhängig von den Rechenzentrumsdienstleistungen. Praxisbeispiel Seite 8

Symantec Switzerland AG Frau Cornelia Oberholzer Andreasstrasse 15 8050 Zürich Phone Fax

+41 44 305 72 00 +41 44 305 72 01

Web www.symantec.ch E-Mail infoline@symantec.com

Daten und Informationen zählen heutzutage zu den wichtigsten Werten. Unternehmen sind darauf angewiesen, dass Informationen überall und zu jedem Zeitpunkt zugänglich sind. Ebenso müssen sie davon ausgehen können, dass diese Informationen sicher und verlässlich sind, um geschäftliche Transaktionen durchführen und Entscheidungen treffen zu können. Diese Informationen sind zunehmend Risiken ausgesetzt, wie zum Beispiel durch Internetbedrohungen, Anwenderfehler und Systemausfälle, die die Sicherheit und Verfügbarkeit von entscheidenden Informationswerten in Gefahr bringen können. Symantec hilft Unternehmen mit innovativen Technologielösungen und -dienstleistungen, ihre digitalen Werte zu schützen und zu verwalten. Symantec bietet ein breites Lösungsspektrum, unter anderem in den Bereichen IT-Sicherheit, Datenmanagement, Applikations- und Infrastrukturmanagement, Sicherheitsmanagement, Speicher- und Servicemanagement, Reaktion und Managed Security Services. Symantec ist weltweit führender Anbieter von Lösungen, die helfen, die Sicherheit, Verfügbarkeit und Integrität ihrer Informationen sicherzustellen. Das Unternehmen hat seinen Hauptsitz in Cupertino, Kalifornien, und betreibt Niederlassungen in mehr als 40 Ländern. Praxisbeispiel Seite 53 80

Autorenteam & BPX

Autorenteam & BPX Fredy Schwyter Dipl. Ing. HTL/STV, CISA, CISM Senior Consultant und CEO von Cosit AG, Dozent an der HTA Luzern

Andreas Wisler Dipl. Ing. FH, CISSP Geschäftsführer und IT-SecuritySpezialist der GO OUT Production GmbH, Dozent an der FHNW Basel, Klubschule Migros (IT-Security Manager) und der STFW.

BPX steht für Best Practice Xperts Martin & Martina Dalla Vecchia Herausgeber der BPX-Booklets. Ziel von BPX ist es, komplexe Themen praxisgerecht für das Management aufzubereiten: kurz & prägnant. www.bpx.ch

Bestellung und Verlagsprogramm

Bestellung und Verlagsprogramm Das gesamte Verlagsprogramm von BPX finden Sie auf www.bpx.ch. Sie können die Bücher beim Verlag BPX bestellen oder beim jeweiligen Editionspartner (siehe ein paar Seiten weiter vorne). Diese freuen sich, mit Ihnen Kontakt aufnehmen zu können und geben die Bücher gelegentlich auch kostenlos ab.

Bestellen Sie hier

www.bpx.ch

2007/08

Fredy Schwyter Andreas Wisler

Rheinfelden/Schweiz BPX-Edition 2007 www.bpx.ch 30 CHF / 20 € Editionspartner:

ISBN 10 3-905413-72-8 ISBN 13 978-3-905413-72-4

www.bpx.ch

Informationssicherheit für KMU – Sicherheitskonzept & praktische Umsetzung

ageern! n a M Waisssen müss w

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung

Editionspartner: