24.8.2005
11:25 Uhr
Seite 1
2005/06
DallaVec_UG_Inf_512853.qxp
Ulrich Moser
Wie sicher sind Ihre Unternehmensdaten? Welche Schutzmassnahmen brauchen Sie? Sind Dokumente veränderungsgeschützt? Wer hat Zugang zu Daten und Anlagen? Was darf Informationssicherheit kosten? Wird Informationssicherheit in Ihrer Firma gelebt?
Information Security
In diesem Booklet finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.
Was Manager wissen müssen !
Sicherheitskonzepte für Unternehmen Information Security – Sicherheitskonzepte für Unternehmen
Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk.
Rheinfelden/Schweiz BPX-Edition 2005/2006 www.bpx.ch 30 CHF / 20 € ISBN 3-905413-38-8
www.bpx.ch
Management Summary Informationssicherheit und IT-Security Business Continuity Organisatorische Sicherheit Schutzmassnahmen Anwendungsprofile Banken, Versicherungen, KMU Kosten/Nutzen Praxisbeispiele Checklisten Trends Tipps
www.bpx.ch
Ulrich Moser
Information Security Sicherheitskonzepte f端r Unternehmen Was Manager wissen m端ssen!
BPX-Edition Rheinfelden/Schweiz
BPX E-Mail Internet
Best Practice Xperts info@bpx.ch www.bpx.ch
Moser, Ulrich: Information Security Sicherheitskonzepte für Unternehmen Was Manager wissen müssen! Vorwort von Hans-Peter Königs Rheinfelden/Schweiz, BPX-Edition, 2005/06 ISBN 3-905413-38-8
© 2005/2006 BPX-Edition Rheinfelden Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein. Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind vorbehalten. Kein Teil des Buches darf ohne schriftliche Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden. Herstellung: BPX-Edition, Rheinfelden/Schweiz Druck und Verarbeitung: Druckerei Flawil AG
2
Inhalt
3
Vorwort von Hans-Peter Königs
5
1
Management Summary
6
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12
Informationssicherheit oder IT Security? PAIN – Sachziele Informationssicherheit Informations- und IT-Sicherheit Rechtliche Rahmenbedingungen Chefsache Informationssicherheit Standards und Richtlinien Schutzbedarfsbestimmung Risikoanalyse und Risikomanagement Informationssicherheit überprüfen Informationssicherheit leben Sicherheitsbewusstsein Sicherheitsverantwortung Checklisten zur Informationssicherheit
7 7 8 8 9 13 14 17 20 20 21 22 22
3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
IT Security – Eckpfeiler der Informationssicherheit Business-Anforderungen Die Rolle der Architektur Applikatorische Sicherheit Technologie-Verträglichkeit Sicherheit in mobilen Anwendungen Wireless Security IP-Telefonie Checkliste IT Security
24 24 26 27 29 29 31 32 33
4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8
Organisatorische Sicherheit Gefahrenquelle Personalmutationen Rollenkonzept und RBAC Access Control und Provisioning Betriebsorganisatorische Regelungen Change Management Security-Training und Marketing Social Engineering Checkliste: Organisatorische Sicherheit
35 35 35 37 39 41 41 42 43
5 5.1 5.2 5.3 5.4 5.5
44 44 46 50 51
5.13 5.14
Schutzmassnahmen Geografie und Netzwerktopologie Firewalls, Filter und Proxies Intrusion-Detection-Systeme Netzüberwachung Schutz vor bösartiger Software und unerwünschten Inhalten (Spam) Verschlüsselung und ihre Anwendungen Input- und Output-Management Archivierung Business Continuity und Disaster Recovery Systemsicherheit Physische Sicherheit der IT-Infrastruktur Die White Hats kommen – Angriffssimulationen IT-Security-Outsourcing Checkliste
6 6.1 6.2 6.3 6.4 6.5 6.6 6.7
Typische Anwendungsprofile Banken Kreditkarten-Zahlungssysteme Versicherungen Industrie KMU Handel Öffentlicher Sektor
68 68 68 69 70 70 71 71
7
ROSI – Kosten und Nutzen der Security 73
8
Was erwartet uns?
74
9
Referenzen
75
10
Stichwortverzeichnis
76
11
Editionspartner
77
12
Autor und BPX-Team
80
5.6 5.7 5.8 5.9 5.10 5.11 5.12
4
53 55 58 60 61 63 63 65 66 67
Vorwort
Vorwort Unsere Sicherheiten dürfen nichts Starres werden, sonst brechen sie. Dieses Zitat von Robert Walser findet treffenden Niederschlag in der zweiten, erweiterten Auflage des vorliegenden Booklets. Mit ganzheitlichem Augenmerk werden aus den neuen und immer komplexer werdenden Anforderungen an unsere Firmen die resultierenden Informationssicherheits-Vorkehrungen hergeleitet. Dabei ist es dem Verfasser hervorragend gelungen, einen kompakten State-of-the-Art-Leitfaden über IT Security zu schaffen. Kompakt ist dabei nicht nur die Präsentation der wesentlichen Themen, sondern auch die handliche Aufmachung des Booklets. Die klare Gliederung, die knapp und gut verständlich gehaltenen Textabschnitte und Illustrationen bereiten dem Leser Freude, sei es beim Durchlesen des Booklets von vorne bis hinten oder beim Nachschlagen des gerade interessierenden Themenblocks. Die inhaltliche Qualität widerspiegelt den reichen Erfahrungsschatz des Autors in Systementwicklung, Lösungsarchitektur, Beratung und als Lehrbeauftragter der Fachhochschule Konstanz. Das Booklet ist an Manager gerichtet. Dabei verfolgt es das Ziel, den Verantwortlichen von Unternehmen unterschiedlicher Branche und Grösse zu helfen, schmerzhafte Risiken der Informationstechnologie zu lindern oder zu vermeiden sowie die gesetzlichen und regulatorischen Anforderungen zu erfüllen. Speziell wertvoll ist das Booklet für alle Manager und Fachpersonen, die mit Entwicklung, Betrieb und Überwachung von IT-Prozessen und -Systemen beauftragt sind. Wie das vom gleichen Autor erschienene Booklet «IT-ErnstfallKatastrophenvorsorge» wird auch dieses Booklet seinen festen Platz in meiner Schreibtischschublade einnehmen, um bei entsprechenden Fragestellungen sofort zur Verfügung zu stehen. Hans-Peter Königs, Corporate Security Officer Telekurs Group, Zürich
5
Management Summary
1
Management Summary
Nachdem in der IT-Branche, aber auch bei vielen Anwendern ein Konsolidierungsprozess stattgefunden hat, sehen sich viele Firmen mit neuen Herausforderungen konfrontiert, die auch starke Auswirkungen auf die Informationssicherheit haben. Die wichtigsten Themenbereiche sind in diesem Zusammenhang: die zunehmende Mobilisierung der Benutzer die starke Aufgabenteilung zwischen Unternehmen mit damit einhergehender Umgestaltung von Geschäftsprozessen weiterhin verkürzte Lebenszyklen der Geschäfts prozesse Reorganisationen im Zuge der Konsolidierung Post-Merger-Integrationsaufgaben Infrastrukturkonsolidierung (Server, Drucker usw.) Um die daraus entstehenden Risiken effektiv und effizient managen zu können, ist ein durchgängiges Informationssicherheitskonzept unabdingbar. Im weiteren Verlauf dieses Booklets werden Sie erfahren, welche Aspekte die Informationssicherheit umfasst, was ein ganzheitliches Sicherheitskonzept beinhaltet, welchen Gefährdungen Unternehmen heute gegenüberstehen, wie Risiken erkannt und bewertet werden können, welche Rolle die IT Security spielt, wie sich Kosten und Nutzen von Informationssicherheit abschätzen lassen. Ein zentraler Aspekt ist die nichtteilbare Verantwortung des Managements in Fragen der Informationssicherheit. Informationssicherheit ist Chefsache. Wichtige Kennzahlen für das Management sind demzufolge: Wie lange kann das Unternehmen auf IT-Unterstützung verzichten? Welche Daten und Prozesse sind geschäftskritisch? Liegen für alle Geschäftsbereiche aktuelle Sicherheitskonzepte vor?
6
Informationssicherheit oder IT Security?
2 2.1
Informationssicherheit oder IT Security? PAIN – Sachziele Informationssicherheit
Was ist PAIN? Zunächst natürlich einmal das englische Wort für Schmerzen und darum auch eine gute Gedankenbrücke zu den Sachzielen der Informationssicherheit. Wenn man diese Ziele nämlich nicht konsequent verfolgt, kann das in der Folge zu mehr oder weniger starken Kopfschmerzen im Management führen. Aufgelöst bedeutet das Akronym PAIN: Privacy Vertraulichkeit unternehmenskritischer Daten und Abläufe Availability Verfügbarkeit der Daten und Prozesse zur richtigen Zeit am richtigen Ort für die richtigen Personen Integrity Unverfälschtheit der Daten Non-repudiation Nachweisbarkeit von Datenerfassungen, -veränderungen und -löschungen
Privacy
Availability
Integrity
Non-repudiation Informationssicherheit verfolgt als ganzheitliches Konzept die Gewährleistung dieser Ziele. Der Hauptfokus liegt dabei auf der sicheren Abwicklung aller Geschäftsprozesse. Organisatorische, betriebliche und informationstechnische Sicherheitsmassnahmen müssen dazu sinnvoll zusammenwirken. Mit diesem ganzheitlichen Bewusstsein von Sicherheit rücken dann auch weitere Bereiche ins Licht, z.B. die mobilen Endgeräte, multifunktionale Ein- und Ausgabegeräte, internationale Vernetzung … Haben Sie z.B. klare Regelungen, wie mit Kundendaten auf Notebooks, PDAs und Mobiltelefonen oder den neuen integrierten Smartphones umzugehen ist? 7
Informationssicherheit oder IT Security?
2.2
Informations- und IT-Sicherheit
Informationssicherheit ist nach dem bisher Gesagten ein ganzheitliches Konzept auf organisatorischer, betrieblicher und technischer Ebene. IT Security liefert ein Bündel von Technologien und Systems-Management-Methodiken zur Umsetzung von Sicherheitsmassnahmen, die in ein ganzheitliches Konzept zur Informationssicherheit eingebettet werden müssen und nur so effektiv werden können. Geschäftsprozess
Informationssicherheit
IT-Security IT Applikationen Prozessschritte mit IT-Unterstützung Prozessschritte ohne IT-Unterstützung
Abbildung 1: Das Verhältnis von Informationssicherheit und IT Security
2.3
Rechtliche Rahmenbedingungen
Informationssicherheit ist grundsätzlich eine Aufgabe der Geschäftsleitung. Entsprechende Grundsätze lassen sich im gesamten deutschsprachigen Raum aus den entsprechenden Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Neben diesen Rechtsgrundlagen, gibt es für das Management weitere gesetzliche Rahmenbedingungen zu beachten, insbesondere solche aus dem Privatrecht. Ein wesentlicher Aspekt hierbei ist, die Urheberschaft von Rechtsgeschäften nachweisen zu können, also der Aspekt der Verbindlichkeit und Zurechenbarkeit oder Nachweisbarkeit (Non-repudiation). Dabei wird in der Regel nicht direkt auf die Verantwortung zur Beachtung der Informationssicherheit eingegangen, vielmehr ergibt sich diese Verantwortung aus den Regeln der ordnungsgemässen Geschäftsführung.
8
Informationssicherheit oder IT Security?
Als wesentliche rechtliche Aspekte im Zusammenhang mit Informationssicherheit sind zu nennen Verantwortung für die Informationssicherheit Nachweispflicht von rechtswirksamen Transaktionen Auskunftspflicht Datenschutz Geheimhaltung Rechtliche Aspekte des Outsourcings Nachweispflicht
Vertraulichkeit
Auskunftspflicht
Verfügbarkeit
Datenschutz
Integrität
Geheimhaltung
Nachweisbarkeit
rechtliche Aspekte
Sicherheitsaspekte
Abbildung 2:
Einfluss der rechtlichen Aspekte auf die Informationssicherheit
Einen besonderen Fall aus rechtlicher Sicht stellen die verschiedenen Formen des Outsourcings dar. Zunächst gilt auch hier, dass die letztendliche Verantwortung beim Auftraggeber verbleibt. Alle Delegationen müssen im Rahmen der Service Level Agreements (SLA) detailliert spezifiziert werden. In jedem Fall ist es sinnvoll, je nach Anwendungsfall, Rechtslage oder Branche gegebenenfalls sogar vorgeschrieben, dass ein gemeinsames Sicherheitsdispositiv entwickelt wird. Dieses muss zudem der geplanten Outsourcing-Form angepasst sein. So kommen z.B. im Fall des Application Service Provisioning (ASP) auch noch lizenzrechtliche Fragen ins Spiel. [EUG1]
2.4
Chefsache Informationssicherheit
Wie aus den rechtlichen Rahmenbedingungen klar hervorgeht, ist die Informationssicherheit eindeutig Chefsache. Trotzdem wurde und wird Sicherheit in vielen Organisationen ausschliesslich als IT Security von der IT verfolgt. Vom Rest der Organisation wird dieses Bemühen dazu noch häufig als notwendiges Übel, Bremser oder gar Verhinderer von Geschäftsideen gesehen. Dabei kann sich das Management nicht aus der 9
Informationssicherheit oder IT Security?
Verantwortung ziehen, denn die Verantwortung für Informationssicherheit entspringt direkt den Grundsätzen der ordnungsgemässen Geschäftsführung. Beim Aufbau eines Sicherheitskonzepts empfiehlt sich die Orientierung an gängigen internationalen Standards. Eine gute Grundlage dazu bildet die Norm ISO/IEC 17799, die in vielen Ländern auch zum nationalen Standard erhoben wurde. Daneben können für Teilbereiche oder die technische Detaillierung auch andere Standards wie z.B. das Grundschutzhandbuch (GSHB) des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) herangezogen werden. Klare Führung – kompetent und konsistent Der Anfang aller Bemühungen um ein durchgängiges Konzept für Informationssicherheit ist die Etablierung einer Security Policy. Dabei handelt es sich um eine Sammlung von Dokumenten, die verschiedene Themenbereiche abdecken, und nicht, wie man annehmen könnte, um ein einzelnes Dokument. Durch diese Aufteilung können die Weisungen einfach, überschaubar und anwendungsorientiert formuliert werden. Das SANS Institute (www.sans.org) stellt auf seiner Website eine sehr umfangreiche Sammlung von Policy-Beispielen bereit. Beispiele für Policy-Teile Passwort-Regelungen Weisung über den zulässigen Gebrauch der firmeneigenen
Infrastruktur und Geräte Weisung für die Benutzung von E-Mail und Internet Weisungen für Remote-User Weisung für die Nutzung von mobilen Endgeräten Richtlinien für den Betrieb von Extranet-Verbindungen Richtlinien zum Virenschutz Telefonie-Richtlinien Weisung für die Vergabe von Berechtigungen Zeichnungsberechtigungen Weisung für die Verwendung von Verschlüsselungsverfahren
Die Verabschiedung der Weisungen ist Aufgabe der Geschäftsleitung. Sie unterstreicht damit die Wichtigkeit der Informationssicherheit für das Unternehmen. Andererseits ist klar, dass die Geschäftsleitung in der Regel nicht selbst die Policies ausarbeitet. Aus diesem Grund sollte ein Information Security Officer (Corporate Security Officer, CSO) oder eine Information-SecurityManagement-Gruppe eingesetzt werden. Sie ist für die 10
Informationssicherheit oder IT Security?
Formulierung der Policies, deren Umsetzung und die Entwicklung der Informationssicherheit in der Organisation verantwortlich und direkt der Geschäftsleitung unterstellt. Als Unterstützung bei der Policy-Entwicklung bieten sich neben den schon erwähnten Vorlagen des SANS Institute eine Reihe von Tools an. Geschäftsleitung Information Security Management Fachabteilung 1
Fachabteilung 2
IT
Abbildung 3: Eingliederung des Information-SecurityManagements in die Organisation
Praxisfall: Von der Policy bis zum Betrieb Perimeter-Sicherheit – Desco von Schulthess Desco von Schulthess ist ein internationaler Export- und Importdienstleister mit weltweit 560 Mitarbeitern. Aufgrund der Globalisierung und der Zunahme des internationalen Warenaustausches ist Desco bestrebt sicherzustellen, dass alle Prozesse und Kommunikationen elektronisch effizient und sicher abgewickelt werden können. Infolge des Aus- und Aufbaus ihres internationalen Vertriebsnetzes, der Zunahme der internen und externen Kommunikation mit Kunden sowie der Zunahme von weltweiten Sicherheitsattacken wollte Desco ihren aktuellen Sicherheitsstandard überprüfen. Dabei konnte die folgende Ausgangslage ermittelt werden: Fehlen von eindeutigen Security-Richtlinien Bestehen von kostenintensiven WAN-Verbindungen Mehrere Internet-Zugänge Fehlende Ressourcen für den Betrieb Mangelnde Sicherheitsüberwachung Kein Reporting Aufgrund der festgestellten Mängel wurden Ziele festgelegt, die Desco von Schulthess zusammen mit einem ICT-Dienstleister mit internationaler Security-Kompetenz erreichen wollte: Leistungsfähige, sichere, hochverfügbare und konsolidierte Internet-Zugänge Sichere und kostengünstigere Anbindung der Aussenstellen Weltweiter VPN-Zugang für mobile Mitarbeiter Zentrales Management und Monitoring 11
Informationssicherheit oder IT Security?
Security Policy Basis-Policy
Applikationen Perimeter-Beschreibung
Systeminformationen Protokollauflistung Assets Zonenkonzept Kommunikationsmatrix
Firewall Policy (Interlaken) Policy Management Monitoring
VirusWall Policy Gründe für Virenschutz am Gateway Risiken am Gateway Geltungsbereich Policies: E-Mail, Http/FTP
Internet URL Filtering Policy Gründe für Internet URL Filtering Risiken Policy
Struktur der Security Policy für das Perimeter-Umfeld
Desco entschied sich für den ICT-Dienstleister Getronics (Schweiz) AG, der folgende Vorgehensweise einbrachte: Das Security-Team erstellte ein Grobkonzept, das die Kundenanforderungen, eine grobe Ist-Analyse sowie mögliche Lösungsansätze beinhaltete. Der Kunde entschied sich für eine der vorgeschlagenen Lösungsvarianten. Aufgrund der Nachvollziehbarkeit wurden die Entscheidungskriterien festgehalten (siehe oben stehendes Detailkonzept). Der nächste Schritt umfasste das Erarbeiten einer Security Policy für die Perimeter-Umgebung, welche durch die Geschäftsleitung abgenommen wurde. Auf Basis dieser genehmigten Security Policy wurde ein eingehendes Detailkonzept erarbeitet, welches unter anderem ein ausführliches Lösungsdesign enthielt. Technische Umsetzung der Lösung. Einbindung in den managed Firewall-Service. Nach erfolgreicher Umsetzung des Projektes ist Desco von Schulthess für zukünftige Anforderungen an die Sicherheit ihrer ICT-Infrastruktur bestens aufgestellt. Folgende Vorteile zieht der Kunde aus der gemeinsamen Arbeit mit Getronics: Aufgrund der Richtlinien, die durch die Security Policy vorgegeben werden, ist auch zukünftig ein strukturiertes und sicheres Wachstum im Perimeter-Bereich möglich. Erhöhung des Security Levels durch eine permanente Überwachung der Firewall in Form eines gemanagten Firewall-Services. Kostenreduktion durch Ablösung der bestehenden WANUmgebung. Lösungspartner: Getronics (Firmenprofil Seite 78)
12
Informationssicherheit oder IT Security?
Es muss ausdrücklich darauf hingewiesen werden, dass das Management der Informationssicherheit keine Zusatzaufgabe sein kann, sondern hauptverantwortlich betrieben werden muss. Anderseits ist klar, dass dies in kleineren Organisationen oft nicht möglich ist, da das erforderliche Know-how nicht vorhanden ist oder ein entsprechend ausgebildeter Mitarbeiter nicht ausgelastet werden kann. In solchen Fällen bietet sich das Outsourcing dieses Prozesses an. Während ein Mitglied der Geschäftsleitung verantwortlich ist für die Informationssicherheit, wird der eigentliche Prozess als Managed Service an eine spezialisierte Sicherheitsberatung übergeben.
2.5
Standards und Richtlinien
Bei der Erstellung und Umsetzung eines Informationssicherheitskonzeptes sollte man sich an vorhandenen Standards orientieren. In den letzten Jahren hat hier vor allem der ISO-Standard 17799:2005, der auf dem British Standard 7799:1999 basiert, starke Verbreitung gefunden. Dieser Standard bildet einen praktikablen Rahmen für die Vorgehensweise. Im Bereich der technischen Sicherheitsmassnahmen lässt sich die ISO-Norm sinnvoll durch das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik1 ergänzen. Daneben ist es erforderlich, insbesondere bei der Planung und Umsetzung der Section 12 (ISO 17799) die jeweiligen nationalen rechtlichen Rahmenbedingungen und Datenschutzgesetze heranzuziehen. Management 3 4 5
10
11
fachliche und organisatorische Ebene 12
8
technische und betriebliche Ebene
6
9 7
Abbildung 4: Verantwortungsbereiche im Rahmen der Informationssicherheit
1
Bundesamt für Sicherheit in der Informationstechnik (BSI), http://www.bsi.bund.de/ 13
Organisatorische Sicherheit
4.7
Social Engineering
Einer der wichtigsten Aspekte beim Sicherheitstraining ist die Bewusstmachung der Gefahren des Social Engineering. Unter Social Engineering fasst man alle Aktivitäten von Angreifern zusammen, die darauf basieren, Daten aus dem Umfeld einer Person zu erhalten oder Personen geschickt auszufragen, um so an mögliche Sicherheitsmerkmale (Passwörter, PINs, …) zu gelangen. Ein einfaches Beispiel ist das Feststellen der Vornamen der Familienmitglieder und Freunde von Mitarbeitern. Praxisfall: Social Engineering Technische Schutzmassnahmen einfach umgehen Die Methoden des Social Engineering werden bei unerwünschten Eindringlingen zunehmend beliebter. Denn es ist oft der einfachste Weg, vertrauliche Informationen eines Unternehmens zu erhalten. Mathias Engel, Head of Risk Management bei CASSARiUS AG, formuliert es so: «Die Gesamtsicherheit einer Organisation ist immer nur so stark wie ihr schwächstes Glied. In der Praxis zeigt sich, dass gerade der Mensch und sein Verhalten oft diesen Schwachpunkt darstellen.» Der Kunde* – ein Unternehmen mit rund 300 Mitarbeitenden – hat in den letzten Jahren massiv in technische Schutzmassnahmen seiner IT investiert. Im Rahmen eines Sicherheitsaudits zeigte sich denn auch, dass ein Eindringen mit klassischen Hacker-Methoden kaum möglich war. Mithilfe von «Social Engineering» aber ging es erschreckend einfach: Auf ein Phishing-Mail, welches an 80 PC-Benutzer der Firma mit der Aufforderung verschickt wurde, einen Passwort-Check durchzuführen, gaben innerhalb weniger Stunden ein Viertel aller Benutzer ihr Passwort bekannt. Auch bei telefonischen Anfragen wurde bereitwillig Auskunft gegeben. Als schliesslich ein Social Engineer vor Ort ging und sich als Servicetechniker tarnte (der Zutrittsschutz war so rasch umgangen), hatte er bald kompletten Zugang zum Firmennetz. «Wir stellen es bei den meisten Audits fest und es kann nicht genug betont werden: Technische Massnahmen allein bieten in der Regel keinen genügenden Schutz», so Mathias Engel. Eine Sofortmassnahme war daher: Schulung sämtlicher Mitarbeiter im Umgang mit elektronischen Medien sowie Definition von Verhaltensregeln bei telefonischen Anfragen und gegenüber Unbekannten. Die Methoden des Social Engineering sind heute so dreist, dass Betroffene meist gar keinen Verdacht schöpfen. Darum gilt: Mitarbeiter informieren, sensibilisieren und klare, einfache Regeln aufstellen. (* aus Gründen der Vertraulichkeit wird kein Name genannt).
Lösungspartner: CASSARiUS (Firmenprofil Seite 78) 42
Organisatorische Sicherheit
Obwohl hinlänglich bekannt ist, dass diese nicht als Passwörter geeignet sind, werden sie doch immer noch in grosser Anzahl benutzt. Aber Social Engineering beschränkt sich nicht nur auf die Datensammlung im Sinne von Namen, Geburtsdaten usw. auch Informationen über Gewohnheiten, regelmässige Aktivitäten und Vorlieben (z.B. indisches Essen) werden gesammelt. Das Ziel ist dabei meistens, Angriffspunkte für Korruption zu finden oder Möglichkeiten für den unbeobachteten Zugriff auf Zugangsinformationen, Sicherheitsmerkmale, Zutrittssysteme u.ä. zu erlangen.
4.8
43
Checkliste: Organisatorische Sicherheit Werden alle Personalmutationen korrekt in den Berechtigungsregeln reflektiert? Gibt es in Ihrer Organisation zu jedem Arbeitsplatz eine vollständige Funktionsbeschreibung mit dem entsprechenden Sicherheitsbezug? Haben Sie ein Rollenmodell und wird es für die Vergabe von Berechtigungen herangezogen? Können Berechtigungen zentral administriert werden? Existiert ein zentrales Rechtemanagement? Sind alle Systeme und Ressourcen in das zentrale Rechtemanagement mit einbezogen? Gibt es zu jeder Applikation ein vollständiges Betriebshandbuch? Existiert für den Betrieb ein Change-ManagementProzess? Werden Mitarbeiter regelmässig auf die Gefahren für die Informationssicherheit hingewiesen? Wissen die Mitarbeiter, wie sie im Fall von Sicherheitsproblemen reagieren müssen? Sind alle Mitarbeiter hinsichtlich der teilweise sehr ausgeklügelten Methoden des Social Engineering sensibilisiert?
Schutzmassnahmen
5
Schutzmassnahmen
Das folgende Kapitel enthält zunächst eine Übersicht über die möglichen Bedrohungen und Risiken und im Anschluss daran eine Reihe von Gegenmassnahmen in unterschiedlichen Bereichen. Dies wird ergänzt durch einige Praxisbeispiele.
5.1
Geografie und Netzwerktopologie
Grundsätzlich unterscheidet man zwischen Unternehmen mit einem Standort und solchen, die über mehrere Standorte geografisch verteilt sind. Unternehmen mit einem Standort sind streng genommen nur solche, deren gesamte IT-Infrastruktur in zusammenhängenden eigengenutzten Räumlichkeiten bzw. einem eigenen Gebäudekomplex untergebracht ist, zu dem Dritte keinen Zutritt haben. Geht das Netzwerk aber von angemieteten Büroräumen in einem Bürogebäude über mehrere Stockwerke, die von Dritten genutzt werden, hinunter in einen Serverraum im Keller, dann ist genau genommen schon von zwei Standorten auszugehen. In allen Fällen also, in denen Netzwerkstrecken über nicht selbst kontrolliertes Gelände führen, ist von mehreren Standorten auszugehen. Unternehmen mit einem Standort Was die interne Netzwerksicherheit betrifft, sind solche Unternehmen häufig unkritisch. Aber auch die geografische Konzentration auf einen Standort birgt Gefahren, wie ein Beispiel aus dem Bodenseeraum zeigt. Real-Life-Story Bei Bauarbeiten an einer Strasse hat ein Bagger das einzige Versorgungsstrasse eines ausserhalb gelegenen Ortsteils mit Gewerbegebiet durchtrennt. Daraufhin waren der Ortsteil und damit auch das Gewerbegebiet für drei Tage von Telefonnetz und Internet abgeschnitten. In diesem Fall waren also die internen Netze nicht betroffen, aber die betroffenen Firmen konnten keine E-Mails empfangen, Bestellungen beim Lieferanten via Internet waren nicht möglich, und die Mobilnetze waren wegen des Festnetzausfalls völlig überlastet.
An diesem Beispiel sieht man, dass bei einem Standort verstärkt auf Abhängigkeiten von der Umgebung geachtet werden muss. Unternehmen mit mehreren Standorten Da die öffentlichen Strecken nicht kontrollierbar sind, müssen alle Übergänge zwischen dem öffentlichen 44
Schutzmassnahmen
Netz und den einzelnen Standortnetzen mit Firewalls gesichert werden. Diese sollten unabhängig sein von der Firewall, über welche der Internet-Zugang bereitgestellt wird. Die folgende Abbildung zeigt eine solche Anordnung. InternetFirewall
Internet ExtranetFirewall verschlüsselte Verbindung
Standort A
ExtranetFirewall
Standort B
Abbildung 14: Verbindung geografisch getrennter Standorte
Netzwerktopologie – wie ist ein Netz aufgebaut? Neben den geografischen Aspekten spielt auch die Topologie eines Netzwerks eine wichtige Rolle für die Sicherheit. Ein Netz ist typischerweise nicht ein homogenes Gebilde, sondern besteht aus mehreren Teilnetzen, die miteinander verbunden sind. Zwischen dem internen Netz und dem Internet befindet sich in vielen Fällen eine abgesicherte Trennschicht, in der die Server stehen, die den Verkehr nach aussen und von aussen erledigen. Man spricht hier in der Regel von der demilitarisierten Zone, kurz DMZ. Je nachdem, welches Angebot auf dem Internet präsentiert werden soll, werden auch zwei solcher Netze hintereinander geschaltet. Dies ist besonders dann zu empfehlen, wenn Online-Dienste wie Banking, Shopping o.ä. angeboten werden. In diesen Fällen werden applikatorische Funktionen auf dem Internet bereitgestellt. Werden diese Systeme kompromittiert, ist mit ungleich höheren Schäden zu rechnen, als wenn «lediglich» ein statischer Webserver angegriffen wird und gegebenenfalls falsche Inhalte zeigt. Dies ist in der Regel in kurzer Zeit behebbar, während falsch in eine Online-Applikation eingeschleuste Daten eventuell längere Zeit unentdeckt bleiben.
45
Schutzmassnahmen
Webserver
DMZ-2 Ext. Mailserver
DB-Server
DMZ-1 Appl.-Server
Intranet
Internet
Abbildung 15: Beispiel einer mehrstufigen Netzwerk-Topologie
Wie in Abbildung 15 zu sehen ist, wird der statische Webserver wie vorher auch in der äusseren DMZ (DMZ-1) platziert. Dort steht auch der externe Mailserver. Zwischen internem Netz und äusserer DMZ ist nun eine zweite DMZ eingefügt worden, welche die «aktiven» Server der Web-Applikation enthält. Der Übergang zwischen DMZ-2 und Intranet kann wahlweise mit einer weiteren Firewall oder einem filternden Router realisiert werden. Tipps und Hinweise Jedes Unternehmen muss sich mit den geografischen Risiken auseinander setzen. Unternehmen mit mehreren Standorten müssen dies in der Netzwerktopologie berücksichtigen. Standorte müssen sicher verbunden werden (siehe 5.2 und 5.6.2). Die Verbindung zwischen Standorten muss je nach Anwendungsfall gegebenenfalls ausfallsicher sein. Bei Bedarf muss der Telekommunikationspartner die entsprechende Servicequalität sicherstellen. Bei einem einzelnen Standort ist es sinnvoll und anzuraten, die Daten zusätzlich extern zu sichern und gegebenenfalls einen Ausweicharbeitsplatz einzurichten (siehe Beispiel oben).
5.2
Firewalls, Filter und Proxies
Es handelt sich hierbei um drei unterschiedliche Schutzmechanismen. In heutigen Systemen kann man aber normalerweise alle drei Elemente innerhalb eines 46
Schutzmassnahmen
Geräts integrieren. Dazu muss man zunächst die prinzipielle Funktionsweise einer Firewall verstehen. Web-Anfrage www.ihre-domain.com
WebServer
klaus.muster@ihre -domain.com
Intranet Regelwerk
ihre-domain.com 234.123.4.67 MailServer
Abbildung 16: Funktionsweise einer Firewall
Eine Firewall ist vereinfacht gesagt eine Kiste, in der mehrere Netzwerkkarten (weisse Kreise im Bild) stecken, zwischen denen aber a priori keine Verbindung besteht. Ein Regelwerk sorgt dann dafür, dass für bestimmte Regeln Verbindungen zwischen einzelnen Schnittstellen geschaffen werden. Die nach aussen sichtbare Schnittstelle wird über die öffentliche IPAdresse Ihres Netzes angesprochen. Wenn also, wie in Abbildung 16, eine Anfrage an den Webserver eingeht, dann wird eine Verbindung von der externen Schnittstelle zu der Schnittstelle hergestellt, an die der Webserver angeschlossen ist. Analog wird – bei einer eintreffenden Mail - eine Verbindung zwischen der externen Schnittstelle und dem Mailserver aufgebaut. Wenn man nun sichergehen will, dass über einen definierten Service auch nur Datenpakete der zugehörigen Art kommen, kann man zusätzliche Filter dazwischenschalten. HTTPFilter Web-Anfrage www.ihre-domain.com
WebServer
klaus.muster@ihre -domain.com
Intranet Regelwerk
ihre-domain.com 234.123.4.67 MailServer Mail/SMTPFilter
Abbildung 17: Firewall mit Filtern 47
Schutzmassnahmen
Proxies werden genau in der umgekehrten Richtung eingesetzt. Die bekanntesten dürften die http-Proxies sein. Eine Anfrage vom internen Netz an eine Website wird nicht direkt an diese Website geschickt, sondern vom Proxy angenommen. Dieser stellt dann als Stellvertreter (Proxy) die Anfrage an die Website und gibt anschliessend die Antwort an den ursprünglichen Auftraggeber weiter. In der Regel können diese Proxies auch Seiten zwischenspeichern, sodass man evtl. die Antwort auf eine Anfrage direkt vom Proxy bekommt. Ein solcher Proxy geht nur dann auf die Originalquelle, wenn die gespeicherte Seite nicht mehr aktuell genug ist. Firewalls in der Praxis In der Praxis findet man folgende Firewall-Konfigurationen: Firewalls auf Basis von Servern unter Windows NT/2000/XP, Unix oder Linux; auf einem entsprechenden Basissystem, das in seinen Funktionen für die Verwendung als Firewall konfiguriert ist (siehe auch 5.10), wird eine FirewallSoftware installiert und konfiguriert Firewall-Appliances; auf einer speziell für die Verwendung als Firewall zusammengestellten Hardware mit einem minimalen Betriebssystem wird eine Firewall-Software vorinstalliert und so als Komplettsystem angeboten. Firewalls auf Server-Basis bieten sehr viele Freiheiten bei der Konfiguration, müssen dafür aber seitens der Systemsicherheit professionell administriert werden. Firewall-Appliances bieten hier den Vorteil, dass sie aus Sicht der Systemsicherheit schon optimal abgestimmt sind, allerdings kann die Ausstattung nicht in dem Masse frei bestimmt werden wie bei serverbasierten Firewalls. Der Entscheid, welche Art von Firewall sinnvoll ist, wird stark beeinflusst vom Anwendungsfall, der Netzwerk-Topologie, dem erwarteten Datenverkehr und der geforderten Verfügbarkeit der gesamten FirewallInfrastruktur. Tipps und Hinweise Jedes Unternehmen benötigt mindestens eine Firewall zum Schutz des internen Netzes. Wird zusätzlich ein Web-Angebot selbst betrieben, dann sind weitere Firewalls und dadurch abgetrennte Sicherheitszonen erforderlich. Grundsätzlich sind nahezu alle am Markt erhältlichen Firewalls dazu geeignet, das eigene Netz 48
Schutzmassnahmen
hinreichend abzusichern. Die Sicherheit der Firewalls hängt in erster Linie von der Kompetenz der Administratoren ab. Firewalls müssen, um wirksam zu sein, in so genannter positiver Logik konfiguriert werden, d.h., zunächst einmal werden alle Verbindungen untersagt und dann werden explizit die Verbindungen erlaubt, die auch gewollt sind und benötigt werden. Auch Verbindungen zu anderen Unternehmensteilen und Partnern müssen durch eine Firewall abgesichert werden (Extranet). Mit zunehmender Verbreitung von Breitbandanschlüssen sind vermehrt auch kleinere Organisationen bedroht. Dank dieser Technik kommt es häufig zu quasi permanenten Verbindungen, aber entsprechende Sicherheitsmechanismen wie Firewall und Filter fehlen.
Praxisfall: Gesundheitswesen / Spital eSafe im Einsatz im Universitätsspital Basel Das Universitätsspital Basel gehört zu den führenden medizinischen Institutionen der Schweiz und beschloss im Jahr 1999, die Internet-Nutzung für die Mitarbeiter einzuführen. Natürlich war die nächstliegende Frage: Wie schützt man sich vor den Gefahren aus dem Internet? Diese kamen damals vielleicht noch nicht so häufig vor, aber im März 1999 gab es z.B. den E-Mail-Virus Melissa, der sich schneller als alle anderen bis zu diesem Zeitpunkt bekannten Computerviren ausbreitete. Man suchte eine Lösung, mit der man am Gateway den FTPund SMTP-Verkehr überprüfen konnte. Auf den Desktops sollte aus Sicherheitsgründen ein anderer Hersteller implementiert werden. Ein Consultant eines IT-Dienstleisters in Kloten empfahl eSafe Gateway, und dies wurde zusammen mit dem Desktop-Virenscanner von McAfee installiert. Die Projektphase dauerte ab Anfang 1999 sechs Monate, die Installation von eSafe lediglich drei Tage. Für die Installation von eSafe waren Techniker des IT-Dienstleisters vor Ort, um das Universitätsspital Basel zu unterstützen. Die Verwaltung mit 100 Mitarbeitern wurde zuerst an das Internet und somit auch an eSafe angegliedert. Nach und nach wurden weitere Mitarbeiter der Verwaltung sowie Ärzte, Pfleger und Krankenschwestern hinzugefügt. Die Anzahl der Angestellten des Universitätsspitals Basel mit Internet-Zugang stieg jährlich um etwa 500 Personen. Mittlerweile sind dort 4500 Mitarbeiter beschäftigt, wovon 3000 über einen Internetanschluss verfügen. Mit der steigenden Mitarbeiterzahl taten sich Probleme auf, wie die steigende Mailflut, Performance-Einbussen und vermehrte Virenattacken. Die allgemeine Zunahme von Spam-E-Mails tat ihr Übriges und erforderte ein Überdenken der bisherigen Implementierung. 49
Schutzmassnahmen
Um der zunehmenden Anforderungen Herr zu werden, wurde im Juni 2004 die Umstellung von eSafe Gateway CVP auf eSafe Gateway Stand Alone plus zwei getrennte Mail Relays beschlossen. Um ein einfaches und generisches Failover bzw. Load Balancing System für die E-Mails zu erreichen, wurden am DNS die MX-Records auf die zwei eSafe-Mail-Maschinen abgeändert. Der sendende SMTP-Server versucht nun, die EMails an das erste Mail Relay zu schicken. Kommt auf diesen Versuch keine Antwort, so wird die E-Mail an das zweite Mail Relay gesendet. Die zusätzliche eSafe-Gateway-Maschine scannt den FTPVerkehr auf schädlichen und nicht produktiven Inhalt. So kann z.B. File Type Spoofing verhindert werden, d.h., es werden Dateien geblockt, deren Endung nicht mit der internen Struktur der Datei übereinstimmt. Ebenso können zip-Dateien bis in eine definierbare Tiefe geöffnet und deren Inhalte gescannt werden. Der Produktivstart der Lösung Anfang September 2004 verlief völlig reibungslos und ohne dass er von den Mitarbeitern bemerkt wurde. Somit ist das Universitätsspital Basel nun mit proaktiven Technologien vor neuen bösartigen Codes, Würmern und Trojanern geschützt, bevor diese in das Firmennetzwerk eindringen können. Lösungspartner: Aladdin (Firmenprofil Seite 77)
5.3
Intrusion-Detection-Systeme
Mit Firewalls und Intrusion-Detection-(IDS-)Systemen verhält es sich wie mit der Sicherung von Gebäuden. Zunächst macht man das Gebäude so weit als möglich einbruchsicher, indem man Gitter, bruchfestes Glas, Mehrfachschliessvorrichtungen und ähnliche Sicherungsmassnahmen einbaut. Aber man weiss, dass es trotz solcher Massnahmen zu Einbrüchen kommt. Also ergänzt man diese präventiv wirkende PerimeterSicherung durch Alarmanlagen, Kameras und einen Wachdienst, der das Gebäude (un-)regelmässig inspiziert. Man führt also zusätzlich interventionsorientierte Sicherungen ein. Während Firewalls präventive Sicherungsmassnahmen sind, sind IDS interventionsorientiert. IDS überwachen dazu den Datenverkehr vom Internet, innerhalb der DMZ und des Intranets und häufiger auch den ausgehenden Datenverkehr. Sobald Unregelmässigkeiten festgestellt werden, wird ein Alarm ausgelöst, der beim System-Monitoring eingeht und gegebenenfalls zusätzlich über Pager, Mobiltelefon und E-Mail an die verantwortlichen Personen geleitet wird. Teilweise werden auch aufgrund eines Alarms automatisiert Gegenmassnahmen ergriffen. In diesem Fall 50
Schutzmassnahmen
spricht man von Intrusion-Reaction-Systemen (IRS) oder Intrusion-Prevention-Systemen (IPS). Die Schwierigkeit bei IDS ist es, die Sensoren so einzustellen, dass möglichst wenige Fehlalarme gegeben werden (false positives), aber auch möglichst keine echten Verstösse übersehen werden (false negatives). Tipps und Hinweise Aufgrund der heutigen Bedrohungen und Angriffstechniken sollte eigentlich jedes Netz durch ein Intrusion-Detection-System geschützt werden. Der Betrieb von IDS verursacht einen relativ grossen betrieblichen und organisatorischen Aufwand, weshalb viele Anwender dazu tendieren, diesen Service an ihren Internet-Service-Provider zu delegieren.
5.4
Netzüberwachung
Die Überwachung eines Netzwerks hat mehrere Aspekte. Verfügbarkeit der Netzwerkressourcen Erkennen von Störungen Entdeckung von Anomalien Erkennung von Angriffsversuchen Feststellen unkontrollierter Änderungen; z.B. unangemeldetes Einbringen von Systemen ins Netz Dabei liegt ein besonderes Augenmerk auf den DMZ und den externen Verbindungen (Firewalls, Router, Authentisierungssysteme, …). Im Fall der Überwachung der DMZ empfiehlt es sich, ein separates Administrations- und Monitoring-Netz zu nutzen, um nicht ungewollt einen Umweg in das interne Netz zu öffnen.
51
Schutzmassnahmen
Webserver
DMZ-2 Ext. Mailserver
DB-Server
DMZ-1 Appl.-Server
Intranet
Internet
Administrationsnetz AdministrationsArbeitsplatz
Abbildung 18: Netzüberwachung über unabhängiges Administrationsnetzwerk
Tipps und Hinweise Um den normalen Betrieb eines Netzwerks sicherzustellen, ist eine regelmässige Netzwerküberwachung erforderlich. Die Netzüberwachung muss aus zwei Gründen vom eigentlichen Netz unabhängig sein. Erstens können nur so Störungen im Netz zuverlässig erkannt werden. Zweitens werden auf dem Administrationsnetz zusätzliche Dienste benötigt, die das eigentliche Netz unsicherer machen würden. Die Netzwerküberwachung wird vom eigenen ITBetrieb durchgeführt, kann aber auch an einen externen Dienstleister ausgelagert werden. Spezialisierte Dienstleister bieten in der Regel voll betreutes 7x24-Stunden-Monitoring, da das Personal ohnehin vor Ort ist. Netzwerküberwachung bietet an sich einen zusätzlichen Schutz gegen Eindringlinge und erhält in der Regel auch die Ereignisse eines IntrusionDetection-Systems.
52
Schutzmassnahmen
5.5
Schutz vor bösartiger Software und unerwünschten Inhalten (Spam) HTTPFilter
Web-Anfrage www.ihre-domain.com
WebServer
klaus.muster@ihre -domain.com
Intranet Virenscanner
ihre-domain.com 234.123.4.67
Regelwerk MailServer Mail/SMTPFilter
Abbildung 19: Front Line Virus Protection
So wie die Firewall die erste Verteidigungslinie gegen Eindringlinge ist, muss sie auch die Frontlinie bei der Verteidigung gegen Malware6 sein. Alle eingehenden Datenpakete werden auf Viren und ähnliches «Getier» in elektronischer Form geprüft, bevor sie weitergeleitet werden. So kann nahezu jeder Versuch, Malware in das Netz zu schleusen, verhindert werden. Was nicht abgewehrt werden kann, ist Malware in verschlüsselten Daten; mehr dazu in Abschnitt 5.6.1. Neben diesem Schutz vor Malware wird auch die so genannte Spam-Mail zunehmend zu einem Problem. So ist es nicht verwunderlich, dass Analysten wie z.B. die Gartner Group die Spam-Abwehr zu den Aufgaben der IT Security zählen7. Um wirkungsvoll Spam abzuwehren, werden Content-Filter innerhalb der Firewall-Infrastruktur eingesetzt. Wichtig ist hierbei die richtige Konfiguration. Zum einen können viele dieser Filter die auf dem Internet vorhandenen Spam-Blacklists auswerten und damit Mails von bekannten Spam-Adressen sperren. Andererseits reagieren sie auf Schlüsselwörter und Muster im Inhalt der Mails. Bei dieser Funktion ist die Feinabstimmung besonders wichtig, da sonst eventuell 6
Malware ist der zusammenfassende Begriff für alle bösartige Software in Form von Viren, Würmern und Trojanern in jedweder Form, ob in Form von (infizierten) Programmen oder als Makros oder Skripts. 7
Vigil, Benjamin: Interview mit Maurene Grey, Enterprise Messaging Research Director bei Gartner, http://searchsecurity.techtarget.com/qna/0,289202,sid14_gci91 3901,00.html 53
Schutzmassnahmen
erwünschte Mails ebenfalls unterdrückt werden. Ein bekannter Fall für eine Falschabstimmung war die Unterdrückung von Mails mit dem Wort «breast» als vermeintliche Sex-Mail in den USA. Als Folge davon konnten die Mitglieder eines verteilten Forschungsteams für Brustkrebs (breast cancer) nicht mehr per Mail miteinander korrespondieren. Tipps und Hinweise Viren und Würmer sind permanent unterwegs. Nahezu täglich entstehen neue, da es mittlerweile auf dem Internet regelrechte Baukästen dafür gibt. Firmen, die keinen eigenen Mailserver betreiben, sollten bei der Auswahl des Providers die Unterstützung bei der Malware- und Spam-Abwehr als Kriterium mit berücksichtigen. Es sollte regelmässig auf die Gefahren durch Malware und Spam hingewiesen werden. Entsprechende Elemente müssen in das SecurityAwareness-Programm aufgenommen werden. Praxisfall: Spam- und Virenschutz für KMU Ein Mittelständler wehrt sich Die Entwicklung der Sicherheitsrisiken in der IT-Landschaft machte Anfang 2005 für den Mittelständler S. Siedle & Söhne eine Anpassung der Sicherheitsarchitektur zwingend notwendig. Die Wartungsverträge der bisherigen Virenschutzlösung liefen aus, und dies nahmen die Furtwanger zum Anlass, sich zusammen mit dem Systemhaus Datadirect aus Freiburg nach möglichen Alternativen umzusehen. IT-Leiter Bernhard Späth legte vor allem Wert auf Virenschutz- und Antispam-Funktionalität. Zwar gab es noch keinerlei Ausfälle durch Virenangriffe, doch er wollte lieber vorbeugen, als im Ernstfall reagieren zu müssen, zumal Siedles Niederlassungen in Österreich, Holland, Dänemark und Belgien in das Datennetz integriert werden sollten – ebenso wie die bundesweit sieben Schulungszentren und ein Werk im Nachbarort. Zwei Töchter mit eigenem Netzwerk sollten ebenfalls eingebunden werden. Späth: «Aufgrund des PreisLeistungs-Verhältnisses fiel die Entscheidung schliesslich auf Symantec. Wir hatten gegen Viren eine Lösung von Trend Micro in Betrieb, gegen Spam war bisher jedoch gar keine Abwehr im Einsatz. Da wir bereits mehrere Jahre das Intrusion Detection System Symantec Network Security (ehemals Symantec ManHunt) nutzen, lag eine Lösung von Symantec nahe. Im Test stellte sich heraus, dass die Reaktionen von Symantec bei Viren einfach schneller waren.» Der zweiwöchige Test der Symantec Mail Security 8200 Appliance-Serie hatte zudem eine Überraschung für den ITLeiter parat. «Wir haben festgestellt, dass bei uns, der wir ja ein Mittelständler sind, jeden Monat im Schnitt 35 000 SpamMails eingehen. Das ist uns vor dem Test nie aufgefallen», 54
Schutzmassnahmen
erklärt er. Mit dieser relativ hohen Zahl steht Siedle aber nicht alleine. Im Mai 2005 konnte Symantec hochrechnen, dass weltweit 60 Prozent der versendeten E-Mails Spam waren. Ermittelt hat Symantec dies mittels des so genannten «Probe Network», das aus mehr als zwei Millionen «Honeypot»-EMail-Konten in mehr als zwanzig Ländern besteht. Alle EMails, die diese Konten erreichen, werden durch Symantec Security Response im ehemaligen BLOC (Brightmail Logistics and Operation Center) protokolliert und analysiert. Neu identifizierte Spam-Varianten werden auf schnellstem Wege in der Spam-Datenbank gespeichert, und etwa alle zehn Minuten erhält der Kunde eine Aktualisierung. Neben den Mail-Appliances wacht bei Siedle & Söhne noch die Intrusion-Detection-Lösung Symantec Network Security über die IT-Sicherheit. Die IDS-Lösung überprüft bis zu zwei Gigabit Netzwerkdaten pro Sekunde, um mögliche Angriffe zu erkennen. «Der Datenverkehr lässt sich mit Symantec Network Security sehr gut auswerten. Allerdings ist das Werkzeug recht arbeitsaufwendig. Das könnte automatischer gehen», erklärt Späth. Späth hat von seiner acht Mann starken Crew einen Mitarbeiter für die Auswertung der Protokolle und den Virenschutz abgestellt. «Aber den Aufwand ist es mir wirklich wert», erklärt er und fügt hinzu: «Betriebsspionage ist bei einem Mittelständler wie uns ein brenzliges Thema. Da darf man keine Risiken eingehen. Und bislang hatten wir glücklicherweise keinen Vorfall.» Lösungspartner: Symantec (Firmenprofil Seite 79)
5.6
Verschlüsselung und ihre Anwendungen
Hier soll nicht im Detail auf kryptografische Verfahren eingegangen werden. Interessierte seien auf den entsprechenden Artikel im Internet verwiesen, z.B. «Das hybride Verschlüsselungsverfahren und seine Anwendung» [UM2]. Grundsätzlich unterscheidet man drei verschiedene Verschlüsselungsverfahren (symmetrisch, asymmetrisch, hybrid), wobei das dritte eine Kombination der ersten beiden ist. In der Praxis wird heute in den meisten Fällen das hybride Verfahren eingesetzt, da es sowohl aus Sicht der Anwendung als auch aus der Sicherheitsperspektive das beste Verfahren ist. Das symmetrische Verfahren wird umso unsicherer, je mehr Teilnehmer miteinander kommunizieren müssen, da alle denselben Schlüssel verwenden. Das asymmetrische Verfahren ist für Nutzdaten zu langsam, da die Ver- und Entschlüsselung ca. 1000-mal so lang dauert wie beim symmetrischen. 55
Schutzmassnahmen
5.6.1 Secure E-Mail – Möglichkeiten und Probleme Für Secure E-Mail gibt es zwei Verschlüsselungsverfahren, die beide hybride Verschlüsselung benutzen. Der Unterschied liegt im Management der Schlüssel. Während bei PGP/GnuPG basierten Systemen die Verwaltung der Schlüssel dem Einzelnen überlassen wird, verwenden S/MIME-basierte Systeme SchlüsselZertifikate, die von öffentlichen Zertifizierungsstellen ausgegeben und verwaltet werden. Um verschlüsselte E-Mails miteinander austauschen zu können, müssen die Partner jeweils den öffentlichen Schlüssel des anderen haben. Damit können die E-MailInhalte, und nur die, verschlüsselt übermittelt werden. Details siehe [UM2]. Ein Problem dabei ist, dass verschlüsselte E-Mails nicht auf Viren oder Spam geprüft werden können Es gibt deshalb zwei Ansätze zum Einsatz von Secure E-Mail in Organisationen. Der erste geht davon aus, dass E-Mails nur verschlüsselt werden müssen, wenn sie das interne Netz verlassen. Dazu wird ein Mailserver mit Verschlüsselungsmöglichkeit eingesetzt, über den alle ausgehenden Mails geleitet werden. Auf diesem Mailserver sind alle öffentlichen Schlüssel von Korrespondenzpartnern gespeichert. Beim Mailausgang sucht das Kryptographiemodul im Mailserver den zur E-Mail-Adresse passenden Schlüssel und chiffriert die Mails. Die externen Partner haben nur den öffentlichen Schlüssel des Mailservers und können nur an ihn verschlüsseln, nicht an den effektiven Adressaten. Dadurch können eingehende Mails entschlüsselt und auf Viren und Spam geprüft werden, bevor sie ins interne Netz gelangen. Der zweite Ansatz geht davon aus, dass verschlüsselte Mails vom Absender bis zum Empfänger verschlüsselt sein sollen. In diesem Fall kann die Viren- und Spamprüfung erst beim Anwender auf dem Arbeitsplatz erfolgen. Daraus folgt, dass auf jedem Arbeitsplatz ein Sicherheitspaket (persönliche Firewall, Virenscanner und Spam-Filter) installiert und regelmässig aktualisiert werden muss. Da aber auch andere Sicherheitsprobleme, z.B. mit speziell aufbereiteten Websites, eine solche lokale Installation nahelegen, stellt das keine Einschränkung dar. Firewall, zentraler Virenscanner und Content-Filter können solche Angriffe nicht erkennen. Ein weiteres Problem ist die Archivierung verschlüsselter Mails. Es muss ein Konzept erstellt werden, mit dem 56
Schutzmassnahmen
sichergestellt werden kann, dass die Mails während der gesamten Aufbewahrungsdauer auch entschlüsselt werden können. Auch hierzu gibt es verschiedene Ansätze, die aber alle auch organisatorische Elemente enthalten. Hinterlegung aller privaten Schlüssel der Mitarbeiter; dies kann aber die Gefahr der Kompromittierung dieser Schlüssel erhöhen Nutzung eines «Generalschlüssels», dessen öffentlicher Teil allen öffentlichen Schlüsseln der Mitarbeiter hinzugefügt wird; Absender können nicht gezwungen werden, ihre Mails auch an diesen Schlüssel mitzuverschlüsseln Archivierung der Mails im Klartext; bedingt, dass die Mitarbeiter die ausgehenden Mails vor der Verschlüsselung und eingehende entschlüsselt speichern; kann gegebenenfalls durch speziell modifizierte E-Mail-Clients erzwungen werden Tipps und Hinweise Die Empfehlung muss lauten, dass alle E-Mails verschlüsselt werden; Briefe werden ja auch nicht offen versandt. Vor der Einführung einer Secure E-Mail-Lösung müssen die organisatorischen Probleme geklärt werden. Ein Problem für den Einsatz von Secure E-Mail ausserhalb der eigenen Unternehmung ist die noch fehlende Verbreitung von Zertifikaten (siehe auch 6.7, Thema «Elektronische Unterschrift»). 5.6.2 Virtual Private Networks – VPN Die andere wichtige Anwendung von Verschlüsselung ist der Aufbau von Virtual Private Networks (VPN). Man benutzt die hybride Verschlüsselung, um auf öffentlichen Netzen Daten sicher zwischen Standorten, mit Partnern oder mobilen Mitarbeitern austauschen zu können. Dabei ist der Datentransfer für den Anwender völlig transparent, da die Verschlüsselung auf der Transportebene vom System automatisch übernommen wird. Beim Verbindungsaufbau und zwischendurch in regelmässigen Abständen werden Session-Keys ausgetauscht. Dabei dient der Key-Wechsel dazu, Brute Force Attacks zu erschweren. Tipps und Hinweise Für Unternehmen mit Remote-Benutzern, mobilen Benutzern oder mehreren Standorten ist der Einsatz eines VPN dringend anzuraten. 57
Schutzmassnahmen
Sobald firmeninterne Daten über öffentliche Netze transportiert werden, können diese Daten mit einer VPN-Lösung wirkungsvoll geschützt werden, zumal die Technologie heute ohne grossen Aufwand einsetzbar ist. Es gibt mehrere VPN-Protokolle, die nur bedingt kompatibel sind. Grundsätzlich muss deshalb auf die Kompatibilität der VPN-Komponenten geachtet werden.
5.6.3 Sichere Dokumentenablage Besonders im mobilen Einsatz ist die Gefahr, dass Dokumente unberechtigten Dritten zur Kenntnis gelangen, besonders hoch. Aber auch im Inhouse-Einsatz kann es sinnvoll sein, bestimmte Dokumente nicht nur über Zugriffsschutzmechanismen gegen unbefugten Einblick zu sichern. Auch hier kann Verschlüsselung eingesetzt werden. Es muss allerdings bedacht werden, dass archivierungspflichtige Dokumente sinnvollerweise nicht verschlüsselt werden, da nicht sichergestellt werden kann, dass der Schlüssel auch nach Jahren noch zugreifbar ist. Man unterscheidet drei Formen der Verschlüsselung bei der Dokumentenablage: Dateiorientierte Verschlüsselung: jede einzelne Datei wird für sich verschlüsselt Laufwerksverschlüsselung: ein gesamtes physisches oder logisches Laufwerk (Windows: ein Laufwerksbuchstabe; Unix/Linux: ein Dateisystem) wird verschlüsselt Containerverschlüsselung: auf einem Laufwerk, Dateisystem oder logischen Volumen (logische, von der Laufwerksphysik abstrahierte Speichereinheit) wird ein verschlüsselter Container in Form einer Datei oder eines Verzeichnisses eingerichtet. Alle Dateien, die in diesem Container liegen, werden automatisch ver- und entschlüsselt
5.7
Input- und Output-Management
Das Input- und Output-Management wurde lange Zeit bei der Betrachtung der Informationssicherheit vernachlässigt. Dabei findet man im Papiermüll von Firmen häufig höchst interessante Informationen. Aber auch die Geräte für die Ein- und Ausgabe selbst sind zunehmend Speicher für Datenspuren. Viele grosse Drucker sind heute z.B. mit Festplatten ausgestattet, auf denen die Druckaufträge zwischengespeichert 58
Schutzmassnahmen
werden, um die Arbeitsplatzrechner und Server von der Druckansteuerung zu entkoppeln. Umgekehrt werden z.B. auch Scanner eingesetzt, welche die gescannten Seiten zwischenspeichern und dann einen ganzen Auftrag komplett an eine Zieladresse liefern. Auch Faxgeräte können heute in der Regel viele Seiten speichern. In solchen Geräten eingesetzte Speichermedien können wie alle anderen Festplatten ausfallen oder die Geräte selbst haben ihr Lebensende erreicht und werden ausgetauscht. Auf den Speichermedien befinden sich dann aber immer noch Daten, die gegebenenfalls äusserst kritisch und daher schützens-
wert sind. Werden Drucker zentral von mehreren Personen genutzt, dann passiert es häufig, dass Druckaufträge über längere Zeit auf oder neben dem Gerät liegen, bevor der Auftraggeber sie abholt. In dieser Zeit können andere, die den Drucker nutzen oder auch nur zufällig vorbeikommen, die gedruckten Informationen einsehen und eventuell am daneben stehenden Kopierer oder bei Multifunktionsgeräten am Gerät selbst kopieren. Im Normalfall wird niemand, der dies beobachtet, nachfragen, ob die Person berechtigt ist, die Seiten zu kopieren. Informationssicherheit im Input- und Output-Management muss diesen Problemen Rechnung tragen und klare Verhaltensregeln definieren, insbesondere auch hinsichtlich der Vernichtung von Datenträgern und Papier-Outputs. Praxisfall: Pharmaindustrie Datenspuren auf Drucksystemen Die Schweiz belegt einen internationalen Spitzenplatz im Bereich der pharmazeutischen Industrie – einer extrem forschungsintensiven Branche mit überaus hohen Sicherheitsanforderungen. Die Unternehmensnetzwerke sind gut abgeschirmt, und spezielle Vorkehrungen sichern die Vertraulichkeit so gut wie nur möglich. In den Forschungsabteilungen dieser Firmen muss jedoch auch gedruckt, kopiert und gefaxt werden. Vielerorts wurden die herkömmlichen Stand-alone-Geräte durch ökonomische, moderne multifunktionale Drucksysteme ersetzt, oder es sind leistungsfähige Netzwerkdrucker im Einsatz. Die modernen Geräte verfügen heute über Prozessoren und Schnittstellen, aber auch über Festplatten und RAM-Module. Vorgänge wie Drucken und Kopieren hinterlassen Datenspuren auf diesen Speichermedien, und somit können sie zum Sicherheitsrisiko werden! 59
Schutzmassnahmen
In einem bekannten Basler Unternehmen hat man diese Sicherheitslücke identifiziert und nach Lösungen gesucht. Man wollte nicht auf moderne Drucktechnologie verzichten, sondern diese Lücke sinnvoll schliessen. Der Kontakt zu Canon (Schweiz) AG kam zufällig auf einer Messe zustande. Als führende Anbieterin moderner Drucksysteme hat sich Canon frühzeitig mit den Risiken befasst und Lösungen entwickelt, um diese auf ein Minimum zu reduzieren. Nun wurde es konkret, und Canon konnte dem Pharmaunternehmen Lösungsvorschläge unterbreiten, wie insbesondere die sicherheitssensible Forschungsabteilung wirkungsvoll geschützt werden konnte.
Der Entscheid fiel auf ein mehrstufiges Security-Paket. Die Mitarbeitenden müssen sich fortan an den Druckgeräten mit einem Badge identifizieren, bevor sie den Druck auslösen können – auf diese Weise wird verhindert, dass Dokumente mit vertraulichem Inhalt in falsche Hände geraten. Die ITAbteilung legt über eine datenbankgestützte Benutzeridentifikation fest, welche Mitarbeitenden zur Nutzung welcher Funktionen an den Systemen berechtigt sind. Auf den Systemen zwischengespeicherte Daten werden chiffriert und die Festplatten in regelmässigen Abständen mit Nulldaten überschrieben. Wenn Geräte ausgetauscht werden, bauen Techniker von Canon die Harddiscs vor Ort aus – so wird sichergestellt, dass keinerlei vertrauliche Informationen das Unternehmen auf diesem Weg verlassen. Die Verantwortlichen des Pharmaunternehmens zeigen sich mehr als zufrieden, denn sie sehen ihre Druckdaten bestmöglich geschützt. Lösungspartner: Canon (Firmenprofil Seite 77)
5.8
Archivierung
Archivierung ist zunächst eine Aufgabe, die sich aus den diversen Aufbewahrungspflichten für Geschäftsdokumente ergibt. Aus Sicht der Informationssicherheit 60
Schutzmassnahmen
müssen hier besonders Verfügbarkeit und Integrität beachtet werden. Da je nach Aufbewahrungsdauer nicht gewährleistet werden kann, dass zum Zeitpunkt eines möglichen Zugriffs die Applikation, mit der die Daten erzeugt wurden, noch einsatzbereit ist, müssen Daten in einer Form hinterlegt werden, die im Zweifelsfall auch ohne Aufbereitung lesbar ist. Ein mögliches Format für diesen Zweck stellt die Speicherung im XMLFormat dar, da es – wenn auch mit etwas Mühe – von Menschen lesbar ist. Ein zweiter Aspekt im Hinblick auf Verfügbarkeit ist die Lebensdauer der verwendeten Datenträger. Archivdatenträger müssen regelmässig überprüft werden, und es muss ein Prozess initialisiert werden, der eine rechtzeitige Umspeicherung sicherstellt. Dasselbe gilt auch für einen Technologiewechsel. Unter dem Aspekt der Integrität muss sichergestellt werden, dass die Daten weder im Archiv noch bei einer etwaigen Umspeicherung unerkannt verändert werden können. Dazu sind Signaturen der Dokumente mit integriertem Zeitstempel sinnvoll. Sie dokumentieren, wann das Dokument in der vorliegenden Form gespeichert wurde, und ermöglichen das Erkennen nachträglicher Änderungen.
5.9
Business Continuity und Disaster Recovery
Business Continuity und Disaster Recovery sind wesentliche Elemente der Informationssicherheit, wenn es darum geht, die wichtigsten informationsverarbeitenden Prozesse nach einem Notfall wiederaufzunehmen bzw. deren Unterbruch zu verhindern. Folglich hat dieser Bereich auch seine direkten Auswirkungen auf Massnahmen der IT Security. IT Security muss alle erforderlichen informations- und kommunikationstechnischen Voraussetzungen schaffen, damit IT-seitig ein unterbruchsfreier Betrieb oder eine zügige und zeitgerechte Wiederaufnahme des Betriebs möglich ist. Im Rahmen der ISO/IEC 17799 ist deshalb diesem Thema ein eigenes Kapitel gewidmet. Die Hintergründe zum Thema Business Continuity und Disaster Recovery finden sich in [UM1] und [KOE1]. Hier kann nur in aller Kürze das Wesentliche zusammengefasst werden. Um eine Ausfallsicherung aufzubauen, ist es wichtig, einerseits die verschiedenen Datengruppen sauber zu kategorisieren (siehe 2.6 Schutzbedarfsbestimmung) und die wirklich wesentlichen Geschäftsprozesse zu identifizieren, die nach einem Notfall schnellstmöglich 61
Referenzen
9
Referenzen
[TIP1]
Tipton, Harold F., Krause, Micki (Hrsg.): Information Security Management Handbook, 4th Edition, Boca Raton, 2000, Auerbach, ISBN 1-8493-9829-0
[ISO1]
The ISO17799 Newsletter, http://www.iso17799web.com/
[FIE1]
Fiedler, Andreas E.: On the necessity of management of information security, http://www.noweco.com/wp_iso17799e.htm
[CH1]
Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 in der Fassung vom 3. Oktober 2000, http://www.admin.ch/ch/d/sr/2/235.1.de.pdf
[BRD1]
Bundesdatenschutzgesetz (BDSG) vom 20. Dezember 1990 (BGBl. I, S. 2954) in der Fassung vom 18. Mai 2001, http://www.netlaw.de/gesetze/bdsg.htm
[AT1]
Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF. BGBl. I Nr. 136/2001, http://www.bka.gv.at/datenschutz/gesd.htm
[BSI1]
Bundesamt für Sicherheit in der Informationstechnik: Distributed Denial of Service (DDoS) – Analyse der Angriffs-Tools http://www.bsi.de/taskforce/literatur/toolsana.htm
[NIST1] Ferraiolo, David F., Cugini, Janet A., Kuhn, D. Richard: Role-Based Access Control (RBAC): Features and Motivations, http://hissa.ncsl.nist.gov/rbac/newpaper/rbac.html
75
[UM1]
Moser, Ulrich, Der IT-Ernstfall Katastrophenvorsorge, Business Continuity & Disaster Recovery, Edition BPX, Rheinfelden 2003, ISBN 3-905413-23-X
[UM2]
Moser, Ulrich, Das hybride Verschlüsselungsverfahren und seine Anwendung, Gottmadingen 2003, http://www.apis-security.com/…
[THP1]
The Honeynet Project, http://project.honeynet.org/
[BAE1]
Bächi, Markus & Hasen, Thomas: Honeynets, http://www.trivadis.com/publikationen/D/idshoneynet.pdf
[PCI1]
Payment Card Industry Security Standard, 2004, http://usa.visa.com/download/business/accepting_ visa/ops_risk_management/cisp_PCI_Data_Security Standard.pdf
[EUG1]
Eugster, Jörg et al., IT-Outsourcing, Managed Services, Application Service Providing, Edition BPX, Rheinfelden 2004, ISBN 3-905413-68-X
[KOE1]
Hans-Peter Königs: IT-Risiko-Management mit System, Verlag Vieweg 2005, ISBN 3 52805 875 7
Stichwortverzeichnis
10
Stichwortverzeichnis
Access Control 37, 38
Outsourcing 9
Archivierung 60
PDA 15, 29
Audit 20, 22
Perimeter 50
Aufbewahrungspflicht 25 Autorisierung 27
Personenbezogene Daten 14, 15
Availability 7
Phishing 41
Betriebshandbuch 39
Privacy 7
Business Requirements Engineering 24
Provisioning 37, 38
Change Management 41
RBAC 35
Corporate Security Officer 10
Richtlinien 21
CSO 10
Risikoanalyse 21
Datenintegrität 28 DMZ 45, 46, 50
Role-based Access Control 35
False negatives 51
Rolle 36
False positives 51
Rollenkonzept 35
Filter 46
ROSI 73
Firewall 46, 53
Secure E-Mail 56
Geschäftsprozesse 7, 26
Security Policy 10, 23
Grundschutzhandbuch 10
Security-Training 41
Home Office 31
Service Level Agreements 9
IDS 50
Serviceorientierte Architekturen 74
Information Security Officer 10
Sicherheitsbewusstsein 21
Integritätsanforderungen 25
Sicherheitskonzept 21, 30
Integritätsverletzungen 28
Sicherheitstraining 42
Integrity 7
Single Point of Administration 37
Intranet 50 Intrusion-Detection-System 50
SLA 9 Smartphone 15, 29
Intrusion-Prevention-System 51
SOA 74
IPS 51
Spam 53, 56
IP-Telefonie 32
Unternehmensdaten 14
ISO/IEC 17799 10, 13, 20, 22, 61, 74
Unverfälschtheit 7
Managed Service 13 Mobilität 29, 31 Mobiltelefon 15 Nachweisbarkeit 7, 8, 25 Non-repudiation 7, 8 Notebook 15, 29
76
Proxy 46
Social Engineering 42
Verfügbarkeit 7, 25 Verschlüsselung 56 Vertraulichkeit 7, 25 Virtual Private Networks 57 VPN 57 Weisungen 21
Editionspartner
11
Editionspartner
Aladdin Knowledge Systems Ansprechpartner: Gianni Caputo World Trade Center Leutschenbachstrasse 95 8050 Zürich Phone +41 (0)44 308 36 42 Fax +41 (0)44 308 35 00
E-Mail Web
gianni.caputo@aladdin.de www.aladdin.de
Aladdin Knowledge Systems zählt zu den weltweit führenden Anbietern im Bereich Enterprise Security und Software Digital Rights Management. Zu den von Aladdin entwickelten und vertriebenen Produkten und Komplettlösungen zählen: eSafe®, eine Palette integrierter Content-Security-Lösungen zum Schutz von Netzwerken vor Viren, Malicious Code und unerwünschten InternetInhalten. eTokenTM, eine «readerless» USB-Smartcard für starke Zwei-FaktorAuthentisierung, Passwort- und ID-Management, sicheren PC- und Web-Zugriffsschutz sowie eBusiness Security. HASP®, eine auf Hardware und Software basierte SW-DRMProduktpalette zum Schutz, zur Lizenzierung und zur Distribution von Software. Aladdin Knowledge Systems hat seinen Hauptsitz in Tel Aviv/Israel und ist an der New Yorker Hightech-Börse Nasdaq notiert (ALDN). Aladdin Knowledge Systems Ltd. unterhält zehn internationale Niederlassungen und ein Vertriebsnetz mit mehr als 50 Distributoren. Business-Case auf Seite 49
Canon (Schweiz) AG Ansprechpartner: René Hofmann Industriestrasse 12 8305 Dietlikon Phone +41 (0)848 833 835 E-Mail info@canon.ch
Fax Web
+41 (0)44 835 64 68 www.canon.ch
Canon (Schweiz) AG mit Sitz in Dietlikon zählt zu den führenden Anbietern von Technologien im Home- und Office-Bereich. Hohe Qualität und modernes Design sind Kennzeichen der Canon-Geräte. Erfolgreiche Foto- und Videoprodukte gehören ebenso zur umfassende Palette wie Hightech-Office-Systeme, IT-Lösungen und -Dienstleistungen: Canon bietet Kameras und Camcorder, Broadcast Equipment, LCD-Projektoren, netzwerkfähige multifunktionale Systeme, digitale und analoge Kopierer, Drucker, Scanner, Archivierungssysteme und Faxgeräte sowie Preund Aftersales-Dienstleistungen und massgeschneiderte Komplettlösungen an. Im Vordergrund stehen Analyse und Optimierung von Arbeitsabläufen, Systemintegration, Dokumenten- und Output-Management. Die Canon Schweiz beschäftigt zurzeit 603 Mitarbeiter und erzielte im Jahr 2004 einen Umsatz von CHF 234 Mio. Canon bietet neben technologisch führenden Lösungen in den Bereichen «Office System Integration», «Printer Standardisation & Management» und «Professional Printing Solutions» auch entsprechende, modular auswählbare Dienstleistungen an. Canon ist mit 11 Standorten in der ganzen Schweiz vertreten und bietet durch rund 120 Spezialisten im Verkauf und 200 in der Service- und SupportOrganisation eine einzigartige und individuelle Kundenbetreuung. Business-Case auf Seite 59 77
Editionspartner
CASSARiUS AG Mathias Engel Head of Risk Management Steigerhubelstrasse 3 3008 Bern Phone +41 (0)31 384 05 11 Fax +41 (0)31 398 04 20
E-Mail Web
risk@cassarius.ch www.cassarius.ch
CASSARiUS AG wurde im März 1998 gegründet und beschäftigt heute ca. 30 Mitarbeiter. Hauptsitz ist Bern mit Niederlassungen in Schlieren und Sursee. Das Dienstleistungsunternehmen CASSARiUS AG verknüpft die beiden Kompetenzgebiete Informationssicherheit und Systemintegration zu ganzheitlichen Lösungen für ihre Kunden. Das Risk-Management-Team bietet herstellerunabhängige Dienstleistungen im Bereich der Informationssicherheit: Technische und prozessorientierte Konzepte und Audits, Begleitung zu Zertifizierungen (z.B. BS-7799), Risikoanalysen sowie Spezialgebiete wie Social Engineering, Awareness-Kampagnen und Schulungen. Business-Case auf Seite 42
Getronics (Schweiz) AG Security Practice Manager Industriestrasse 50a 8304 Wallisellen Phone +41 (0)44 839 16 11 Fax +41 (0)44 839 16 01
E-Mail swisscontact@getronics.com Web www.getronics.ch
Getronics: Mit 27 000 Mitarbeitern in über 30 Ländern und einem Umsatz von 3 Milliarden Euro gehört Getronics zu den weltweit führenden Anbietern von herstellerunabhängigen Lösungen und Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie (ICT). Getronics entwickelt, integriert und betreibt das Management von ICT-basierten Infrastrukturen und Geschäftslösungen für viele der weltgrössten global und lokal operierenden Unternehmen und Organisationen. Sie unterstützt diese beim Erreichen einer maximalen Wertschöpfung aus ihren IT-Investitionen. In der Schweiz ist Getronics mit Geschäftsstellen in Wallisellen, Niederwangen, Lonay und Pratteln für einen flächendeckenden ICTService präsent. Zu unseren Kernkompetenzen gehören insbesondere Security, Network & Desktop Outsourcing, Converged Communications, Enterprise Content Management sowie Storage, Server & Network Integration. Security: Getronics verfügt über eine komplette Sicherheitslösung inklusive Beratung, Implementierung und Managed Security Services. Diese umfasst Aspekte der Bereiche Identity Management, PerimeterSecurity, Audits, Content Security, Intrusion Detection/Prevention, Desktop-Security, System- und Netzwerk-Security sowie Security Reporting. Unser Security-Portfolio runden unsere hochmodernen Security Operation Centers ab, die eine 24x7-Überwachung und -Betreuung der Sicherheitslösungen anbieten und somit Kosten und Ressourcen für unsere Kunden sparen. Business-Case auf Seite 11
78
Editionspartner
Symantec Schweiz AG Ansprechpartner: Tiziana Furlani Grindelstrasse 6 8303 Bassersdorf Phone +41 (0)44 838 49 00 Fax +41 (0)44 838 49 01
E-Mail Web
infoline@symantec.com www.symantec.ch
Daten und Informationen zählen zu den wichtigsten Werten, die Unternehmen heute besitzen. Privatpersonen und Unternehmen sind darauf angewiesen, dass Informationen global verteilt und verwaltet werden, um Länder zu regieren, geschäftliche Transaktionen durchzuführen und private Entscheidungen zu treffen. Die Informationen, auf die wir uns verlassen, sind jedoch zunehmend Risiken ausgesetzt. Internetbedrohungen, Naturkatastrophen, Anwenderfehler und Systemausfälle können die Sicherheit und Verfügbarkeit von entscheidenden Informationswerten in Gefahr bringen. Symantec hilft Privatanwendern und Unternehmen mit innovativen Technologielösungen und -dienstleistungen, ihre digitalen Werte zu schützen und zu verwalten. Symantec bietet ein breites Lösungsspektrum, unter anderem in den Bereichen IT-Sicherheit für Unternehmen und Privatanwender, Datenmanagement, Applikationsund Infrastrukturmanagement, Sicherheitsmanagement, Speicher- und Servicemanagement, Reaktion und Managed Security Services. Symantec ist weltweit führender Anbieter von Lösungen, die Privatpersonen und Unternehmen helfen, die Sicherheit, Verfügbarkeit und Integrität ihrer Informationen sicherzustellen. Das Unternehmen hat seinen Hauptsitz in Cupertino, Kalifornien, und betreibt Niederlassungen in mehr als 40 Ländern. Business-Case auf Seite 54
79
Autor und BPX-Team
12 Autor und BPX-Team Autor: Ulrich Moser
Ulrich Moser Diplom-Mathematiker Senior Consultant Lehrbeauftragter für Informationssicherheit FH Konstanz Lösungsarchitekt der Telekurs Services AG info@apis-security.com
Erscheinungstermin auf Security-Zone’05 Dieses Booklet wird für die Messe Security Zone 2005 in Zürich verlegt. www.topsoft.ch
BPX: Best Practice Xperts Martin & Martina Dalla Vecchia, Herausgeber der BPX-Booklets Ziel von BPX ist es, komplexe Themen praxisgerecht für das Management aufzubereiten: kurz & prägnant. Dalla Vecchia GmbH verfügt über 15 Jahre Führungserfahrung und erbringt Services in Marketing und Vertrieb.
80
Bestellung und Verlagsprogramm
Bestellung und Verlagsprogramm Das gesamte Verlagsprogramm von BPX finden Sie auf www.bpx.ch. Sie können die Bücher beim Verlag BPX bestellen oder beim jeweiligen Editionspartner (siehe ein paar Seiten weiter vorne). Diese freuen sich, mit Ihnen Kontakt aufnehmen zu können und geben die Bücher gelegentlich auch kostenlos ab.
Bestellen Sie hier
www.bpx.ch
24.8.2005
11:25 Uhr
Seite 1
2005/06
DallaVec_UG_Inf_512853.qxp
Ulrich Moser
Wie sicher sind Ihre Unternehmensdaten? Welche Schutzmassnahmen brauchen Sie? Sind Dokumente veränderungsgeschützt? Wer hat Zugang zu Daten und Anlagen? Was darf Informationssicherheit kosten? Wird Informationssicherheit in Ihrer Firma gelebt?
Information Security
In diesem Booklet finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.
Was Manager wissen müssen !
Sicherheitskonzepte für Unternehmen Information Security – Sicherheitskonzepte für Unternehmen
Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk.
Rheinfelden/Schweiz BPX-Edition 2005/2006 www.bpx.ch 30 CHF / 20 € ISBN 3-905413-38-8
www.bpx.ch
Management Summary Informationssicherheit und IT-Security Business Continuity Organisatorische Sicherheit Schutzmassnahmen Anwendungsprofile Banken, Versicherungen, KMU Kosten/Nutzen Praxisbeispiele Checklisten Trends Tipps
www.bpx.ch