Informationssicherheit für Juristen, Teil II, Ulrich Brügger (PDF) - ISSS
Informationssicherheit für Juristen, Teil II, Ulrich Brügger (PDF) - ISSS
Informationssicherheit für Juristen, Teil II, Ulrich Brügger (PDF) - ISSS
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Informationssicherheit</strong> <strong>für</strong> <strong>Juristen</strong>:<br />
vernachlässigter Prozess?<br />
<strong>Ulrich</strong> <strong>Brügger</strong><br />
Managing Security Consultant<br />
<strong>ISSS</strong> Vorstand, IBM Schweiz AG<br />
Security Lunch, 24. Juni 2009 Ueli <strong>Brügger</strong>
Es gibt gute Gründe Informationen zu schützen …<br />
Gefahren<br />
• Spionage<br />
• Datenanalyse<br />
• Sabotage, Betrug,<br />
• Zerstörung, etc.<br />
Behördliche Vorgaben<br />
• Gesetze,<br />
• politische Vorgaben<br />
• Vorschriften<br />
Information<br />
Best Practice<br />
• Security Governance<br />
• Standards<br />
• Guidelines<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Beispiel: Moderne Internetkriminalität heute<br />
Warchalking / Wardriving<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Beispiel<br />
Warchalking / Wardriving<br />
= Kennzeichnung von ungesicherten<br />
Wireless-LAN-<br />
Standorten in öffentlichen<br />
Bereichen<br />
Erstmalig in London<br />
aufgetreten!<br />
Explosionsartige<br />
Ausbreitung einer<br />
Subkultur<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Wardriving Zürich<br />
Kartenausschnitt<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Wardriving im Internet<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Embedded Systems<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Dunkelziffer unbekannt:<br />
Wirtschafts- und Industriespionage<br />
Internationaler<br />
Telekommunikationssatellit<br />
Abhöranlage <strong>für</strong> Intelsat und<br />
andere Satelliten<br />
Kontrollstation <strong>für</strong><br />
Aufklärungssatelliten<br />
(Signit-Satelliten)<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Beispiel:<br />
Nachrichtendienstliche Organisationen:<br />
Wirtschaftsspionage als Abfallprodukt?<br />
Abhörstation Bad Aibling, BRD<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Beispiel:<br />
Nachrichtendienstliche Organisationen:<br />
Wirtschaftsspionage als Abfallprodukt?<br />
1972: Ivy Bells"-Abhörvorrichtung <strong>für</strong> Unterseekabel<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Keine Visionen - Realität<br />
Warum kaufte Korea den TGV ?<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Was soll man tun? Einige Weisheiten zum Thema:<br />
Zitat von Bruce Schneier: (ein ‚Sicherheitspapst‘)<br />
„ The only secure Computer is one that’s turned off, locked in a safe, and<br />
buried 20 feet down in a secret location – and I’m not completely<br />
confident of that one either”<br />
Fazit: ist sowieso nichts zu machen, also Augen zu und durch?<br />
Nein, halten wir uns lieber an Erich Kästner:<br />
„ An allem Unfug, der passiert, sind nicht etwa nur die Schuld, die ihn tun,<br />
sondern auch die, die ihn nicht verhindern!“<br />
Fazit: wir sollten und wir können auch was tun, aber........<br />
Zitat von J. Ringelnatz:<br />
„ Sicher ist, dass nichts sicher ist. Selbst das ist nicht sicher.“<br />
Fazit: Perfekte Sicherheit ist nicht erreichbar, das ist ja normal<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Auslöser der <strong>Informationssicherheit</strong><br />
externe Auslöser<br />
Gesetzliche Vorschriften<br />
(z.B. Länder und EU-<br />
Vorschriften<br />
Viren, Würmer, Spam<br />
Neue Technologien<br />
Zunehmende Bedrohung<br />
durch Terrorismus,<br />
Umweltvorfälle<br />
Markterfordernisse<br />
(Globalisierung, Supply<br />
Chain Integration, etc.)<br />
Risikobeurteilung/<br />
Sicherheitsanforderungen<br />
interne Auslöser<br />
Strategische Neuausrichtung,<br />
(Business)<br />
Process Redesign<br />
IT-Konsolidierung<br />
Serviceoptimierung<br />
Einführung neuer<br />
Technologien<br />
Notfall<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Gefahren und Bedrohungen<br />
Faktor Faktor<br />
Mensch<br />
Online- Online-<br />
Betrüger<br />
Schmutzfinkfink<br />
Ihr Unternehmen<br />
Spammer<br />
Hacker Hacker<br />
Viren, Viren,<br />
Würmer &<br />
Co. Co.<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Populäre Bedrohungen und Angriffe<br />
Kreditkartendiebstahl<br />
Abhören von Emails<br />
Spionage<br />
Finanztransaktionen<br />
Web Defacing<br />
Integrität<br />
Vertraulichkeit<br />
Informationen<br />
Identitätsdiebstahl<br />
Verfügbarkeit<br />
Denial of Service<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Unpopuläre Bedrohungen<br />
Freundschaftsauskünfte<br />
Neugierde<br />
Fehlmanipulationen<br />
Missverständnisse<br />
Irrtümer<br />
Integrität<br />
Vertraulichkeit<br />
Informationen<br />
Nachlässigkeit<br />
Verfügbarkeit<br />
Nachlässigkeit<br />
Softwarefehler<br />
Hardwarefehler<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Spezielle Probleme: Mobile Geräte<br />
Mobile Endgeräte: Laptops, PDAs, Mobiltelefone<br />
Schwachstelle: Verlieren, vergessen, stehlen<br />
Klassische Antwort: „Das passiert mir doch nicht?“<br />
Wirklichkeit: Statistik: Londoner Taxen, erstes Halbjahr 2008<br />
3100 Laptops vergessen!<br />
1400 PDAs vergessen und<br />
63 000 Mobiltelefone vergessen!<br />
Problem: private und geschäftliche Daten auf mobilen Geräten!<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
In vielen Unternehmen finden sich häufig ähnliche, leicht zu<br />
identifizierende Sicherheitslücken.<br />
unzureichende Vorgaben, Richtlinien oder Anweisungen (Policies)<br />
ineffiziente/s Sicherheitsorganisation, -team oder –management<br />
Fehlende Prozesse (Benutzerregistrierung etc.)<br />
Keine durchgängige Informationsklassifizierung<br />
Keine durchgängige Systemklassifizierung<br />
mässige physische Sicherheitsvorkehrungen (Zutrittskontrollen)<br />
keine "Clean Desk" Vorgabe<br />
nachlässige Handhabung schutzwürdiger (Kunden-) Daten<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Spannungsverhältnisse die die Aufgaben erschweren<br />
Kostendruck<br />
Benutzer<br />
Anfoderungen<br />
Termine<br />
Produktivität<br />
Gesetze<br />
Workload<br />
Policies/<br />
Standards<br />
Öffentlichkeit<br />
IT Sicherheits-<br />
Programme<br />
Schutz des<br />
Betroffenen<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Ganzheitliche Betrachtung des Unternehmens auf mehreren Ebenen notwendig.<br />
Business<br />
IT<br />
Business<br />
IT<br />
Sicherheit Sicherheit<br />
Sicherheit Sicherheit<br />
Sicherheit Sicherheit<br />
Sicherheit Sicherheit<br />
Sicherheitskonzept<br />
IT Architektur<br />
Geschäftsprozesse<br />
Organisation<br />
Lösung<br />
Infrastruktur<br />
Diese Ebene repräsentiert alle <strong>für</strong><br />
das Erreichen der Geschäftsziele<br />
notwendigen und kritischen<br />
Businessprozesse<br />
Unterstützung der Businessprozesse<br />
durch Organisation mit<br />
Benutzergruppen, Rollen und<br />
Verantwortlichkeiten<br />
IT Elemente wie Anwendungen oder<br />
Systeme unterstützen als Lösungen<br />
die Benutzer und deren Aufgaben<br />
Die Infrastruktur wie Netzwerke,<br />
Basisdienste aber auch Gebäude<br />
werden als Elemente dieser Ebene<br />
abgebildet<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
1000 Mal gehört…<br />
IT-Sicherheit ist ein Prozess – also ein Kreis, der sich schliessen soll.<br />
Fragt sich nur, wo der Anfang ist.<br />
IT- Security- Betrieb<br />
• Administration<br />
• Monitoring<br />
• Auditing/Revision<br />
• Reporting<br />
Realisierung und<br />
Sensibilisierung<br />
• Technische Umsetzung<br />
• Integration der Komponenten<br />
• Services / Outsourcing<br />
• Mitarbeiterschulung<br />
IT- Security- Analyse<br />
• Schwachstellenerkennung<br />
• Schutzbedarf<br />
• Gefährdungslage<br />
• Risikoanalyse<br />
Feedback<br />
IT- Security- Policy<br />
• Grundsätze<br />
• Richtlinien & Standards<br />
• Produktbezogene Richtlinien<br />
• Hilfsmittel<br />
• Abgeleitete Policies<br />
IT- Sicherheitskonzept<br />
• IT- Sicherheitsmassnahmen<br />
personell, organisatorisch,<br />
infrastrukturel, technisch (SW?HW),<br />
Restrisiko<br />
• Soll- ist-Vergleich<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Sensibilisierung?<br />
Davon<br />
verstehe ich<br />
nichts...<br />
Kostet nur<br />
Geld und bringt<br />
nichts...<br />
Es ist ja<br />
noch nie was<br />
passiert...<br />
Geht mich nichts<br />
an, ist Sache der<br />
Spezialisten...<br />
Bitte nicht<br />
gerade<br />
jetzt...<br />
Das trifft<br />
sowieso nur<br />
die anderen...<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>
Es braucht Jahre um den Ruf<br />
eines sicheren Unternehmens<br />
zu schaffen, Sekunden ihn zu<br />
verlieren !!<br />
Thank you !<br />
<strong>Brügger</strong> <strong>Ulrich</strong><br />
Managing Security Consultant<br />
IBM Global Technology Services<br />
ubr@ch.ibm.com<br />
Security Lunch, 24. Juni 2009 <strong>ISSS</strong>2007X627993 Ueli <strong>Brügger</strong>