Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen‐IT Kongress, Frankfurt/Main
Hans‐Joachim Giegerich ‐ Giegerich & Partner GmbH Christian Schülke ‐ schuelke.net ‐ internet.security.consulting
25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
1
Wer redet denn hier überhaupt?
9 0 0 ich IT‐Sicherheit seit 1993 2 s er Konzeption, Implementation, Sicherheitswartung, Security as a Service s g e Produkte r e g Gi n o & Christian Schülke K e T Netzwerk‐, Internet‐ und IT‐Sicherheit seit 1989 I k - ül n Strategieberatung, Konzeption, technische Dienstleistungen, Service, e h s c Aufklärung/Awareness s 9S e H 00 Expertengruppe IT‐Sicherheit im Arbeitskreis Forum Hessen‐IT 2 Fokus: Informationssicherheit, IT‐Sicherheit, Datenschutz, IT‐Compliance © Hans‐Joachim Giegerich
bildet exakt den Bedarf Schutz, Sicherheit und Regelkonformität in den IT‐gestützten Prozessen heutiger Unternehmungen ab 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
2
Infrastruktur und Sicherheit im Wandel Cloud Computing, SaaS, Social networks Collaboration, Web 2.0
9 0 0 ich 2 s er s g e r e g Gi n o & K e T I k - ül n e h s c s 9S e H 00 2 © 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
3
Infrastruktur und Sicherheit im Wandel
9 0 h – Mehr Nutzer, mehr Daten, mehr Funktion, 20 c i s er mehr Interaktion in Web 2.0 s g e r e g Gi Social Engineering n o & K – Der Benutzer als „größte Bedrohung“ e T I k - ül n Private Nutzung sozialer Netzwerke e h s c s 9S – Twitter, Youtube, Wer‐kennt‐wen, Second life, World of Warcraft e H 0 0 – Folgen für die Sicherheit (nebst rechtlichen Themen und Kosten) 2 © Geschäftliche Nutzung von Web 2.0
• Intelligente, vielschichtige Bedrohungen
• •
•
– SaaS, Cloud Computing, Collaboration, Webbase Applications – Folgen für die Sicherheit (nebst rechtlichen Themen und Kosten) 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
4
Vom Bewusstsein…
9 0 0 ich 2 • Was ist in meinem Unternehmen wirklich wichtig? s er s g e • Wie definiere ich meine Schutzbedürfnisse? r e g Gi n o & • Auswahl der Sicherheitsanforderungen K e T I k - ül • Welche Rolle kommt meinen Mitarbeitern zu? n e h s c s 9S e H 00 2 … zur Lösung © Æ Vorgehensweise zur Umsetzung • Kann ich es selber machen?
25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
5
Die Definition Ihres Schutzbedürfnisses … • Welche Daten müssen aus betrieblicher Sicht geschützt werden? 9 0 h • Mögliche Formen von Missbrauch? 20 c i r s e s • Mögliche Konsequenzen durch Manipulation/Missbrauch? g e r e g Gi • Auswirkungen von Störungen oder Ausfall einzelner oder n o & K mehrerer Systeme e T I k - ül • Wie lange können Sie überleben, wenn Ihnen wichtige n e h Systeme ausfallen? s c s
S e 9 H 0 Besondere Beachtung verdienen: 20 • Personenbezogene Daten/ (Arbeitnehmer) Datenschutz © • (Steuer‐) gesetzliche Vorschriften 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
6
… begründet die Sicherheitspolicy • Legt grundsätzliche Richtlinien und Zielsetzungen fest 9 • • •
•
0 h 0 c 2 Definiert schutzwürdige Objekte i r s e s g e Bestimmt personelle und r e i g G n organisatorische Zuständigkeiten o & K e T I Erstellung von Leitlinien k - ül n e h für den Umgang mit s c s S e Hard‐/Software und Daten H 009 2 Fortwährende Aktualisierung erforderlich ©
© BSI IT-GSHB
25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
7
Sicherheitskreislauf
1 2 3
9 0 0 ich 2 s er s g e r e g Gi n 1 o & K e 2 T I k - ül n 3 e h s c Sicherheitskonzept 4 s 9S e H 00 2 Ersteinweisung © durch GL und IT
der Mitarbeiter
Kontinuierlicher Prozess zur Aufrechterhaltung der Sicherheit Umsetzung durch IT 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
4
Kontinuierliche Information über aktuellen Status für Mitarbeiter
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
© 2006 Andreas Fritz
8
Vom Zonenmodell… • Zonenmodell definiert verschiedene Sicherheits‐Bereiche 9
•
•
0 0 h – Innerhalb einer Zone bestehen gleiche Anforderungen c 2 i s er s – Sicherheitsanforderungen werden von Zone zu Zone strenger g e r e g Gi – Zonen erlauben klare Abgrenzung von Bedürfnissen, Zuständigkeiten und n o & Regeln K e T I k Zugangs‐Zone: - ül n e h – Äußerer Bereich, stellt grundlegende Verbindungen für Kommunikation und s c s 9S e Benutzer‐Authentifizierung bereit H 00 Anwendungs‐Zone: 2 © – Zugang zu Applikationen, Benutzerinteraktion
• Daten‐Zone: – Innerer Bereich, Speicherort für kritische Daten, strengste Sicherheitsregeln 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
9
… über ‚Jericho‘… • • • •
9 Der „Perimeter“ verschwindet zusehends. 0 0 ich 2 Man spricht vom „Boundaryless Information Flow“® s er s g e r e g Gi Lösung mittels „deperimeterisierter“ Absicherung n o & K Vier Elemente für jede (Daten‐)Kommunikation: IT ke
- ül n – Verschlüsselungse h c s 9S e – Sichere Protokolle (z.B. SSL/TLS) H 00 2 – Sichere Systeme © – Authentifizierung und Autorisierung auf Datenebene (z.B. DRM ähnliche Mechanismen)
25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
10
… über ‚Jericho‘…
9 0 0 ich 2 s er s g e r e g Gi n o & K e T I k - ül n e h s c s 9S e H 00 2 © 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
11
… zum Beziehungsmodell
9 0 0 h c 2 i – Übergeordnete Bedeutung s er s g e r – nicht technisch denken, betriebliche Anforderungen sind e g Gi n das Maß! o & K e T I k - ül Beispiele: n e h s c s 9S – Wer darf welche Daten sehen/bearbeiten/löschen können? e H 00 – Wer muss mit wem kommunizieren können? 2 © – Wer benötigt welche Anwendungen?
• Generell:
•
– Wie kann das entsprechend kontrolliert werden? 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
12
Der Mensch – unsere wichtigste ‚Firewall‘ • Der Benutzer ist wesentlichster Bestandteil jedes 9 0 Sicherheitskonzeptes 20 ich
r s e s • Akzeptanz als Sicherheitsfaktor nicht unterschätzen! g e r e i g G n • Erhöhung des Sicherheitsniveaus durch Erhöhung des o & K e Sicherheitsbewußtseins IT k - ül n e h • Technik soll Benutzer unterstützen, nicht behindern s c s 9S e H 00 2 „Beweis“: Siehe nächste Folie! © 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
13
Verantwortlichkeiten
9 0 0 ich 2 s er s g e r e g Gi n o & K e T I k - ül n e h s c s 9S e H 00 2 © 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
14
Zusammenfassung • Der Sicherheitsanspruch hängt unmittelbar vom 9 0 Geschäftsmodell und den Prozessen ab. 20 ich • • • •
r s e s Klare Anforderungen und Definitionen von (Geschäfts‐) g e r e g Gi Beziehungen und Regeln. n o & K e Auf das Notwendige beschränken. T I k - ül n e h Sicherheitskonzepte und Regelwerke sind dynamisch und s c s S e müssen permanent überdacht und angepasst werden. H 009 2 Mitarbeiter (auch externe) sind ein elementarer Bestandteil © des Sicherheitskonzeptes.
• Sicherheit ist kein technisches Problem, richtiger Einsatz der Technik ist jedoch Teil der Lösung. 25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
15
Vielen Dank für Ihre Aufmerksamkeit! schuelke.net – internet.security.consulting Konrad‐Adenauer‐Straße 41 63225 Langen www.schuelke.net | 06103‐5715571 Giegerich & Partner GmbH Daimlerstraße 1h 63303 Dreieich www.giepa.de | 06103‐5881‐0 Arbeitskreis Forum Hessen‐IT https://www.xing.com/net/hessen_it/
25.11.2009 ‐ Hessen‐IT Kongress 06.11.2009
Vom Bewusstsein zur Lösung Sicherheits-Bewusstsein schaffen
16