IT-Sicherheit in der Praxis
IT-Sicherheit in der Praxis
IT-Sicherheit in der Praxis
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Praxis</strong><br />
Michael Mehrhoff<br />
Bundesamt für <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik<br />
ARNW-Workshop Bommerholz, 18. Mai 2004
<strong>IT</strong>-<strong>Sicherheit</strong> ist notwendig...<br />
Schadensbilanz<br />
r Anzahl <strong>der</strong> <strong>Sicherheit</strong>svorfälle steigt stetig:<br />
r 75 % aller Unternehmen hatten im letzten Jahr Vorfälle<br />
mit geschäftsschädigenden Auswirkungen.<br />
r Schadenshöhe e<strong>in</strong>es E<strong>in</strong>zelschadens:<br />
r Maximum: hohe zweistellige Mio-Beträge<br />
r Durchschnitt: 5-6-stellige Beträge<br />
r Art <strong>der</strong> Schäden:<br />
r größtes E<strong>in</strong>zelproblem: Computerviren<br />
r überwiegend ist <strong>der</strong> Grundwert Verfügbarkeit betroffen.<br />
r Überwiegende Mehrheit aller Vorfälle ist ke<strong>in</strong> gezielter<br />
Angriff.<br />
r Rangfolge <strong>der</strong> Ursachen: Mensch, Technik, Umwelt<br />
M. Mehrhoff 18.05.2004 Folie 2
Typische Probleme <strong>in</strong> <strong>der</strong> <strong>Praxis</strong><br />
r Resignation, Fatalismus und Verdrängung<br />
r Kommunikationsprobleme<br />
r <strong>Sicherheit</strong> wird als technisches Problem mit technischen<br />
Lösungen gesehen<br />
r Zielkonflikte: <strong>Sicherheit</strong>, Bequemlichkeit, Kosten<br />
r unsystematisches Vorgehen bzw. falsche Methodik<br />
r Management: fehlendes Interesse, schlechtes Vorbild<br />
r <strong>Sicherheit</strong>skonzepte richten sich an Experten, <strong>der</strong> <strong>IT</strong>-<br />
Benutzer wird vergessen.<br />
M. Mehrhoff 18.05.2004 Folie 3
Konsequenzen fehlen<strong>der</strong> Regelungen<br />
...o<strong>der</strong>: Je<strong>der</strong> tut, was er will!<br />
r Konfusion im Notfall<br />
r Was ist zu tun? Wer hilft?<br />
r lückenhafte Datensicherung<br />
r Notebooks, Heimarbeitsplätze, lokale Datenhaltung<br />
r fehlende Klassifizierung von Informationen<br />
r Verschlüsselung, Weitergabe und Austausch von<br />
Informationen<br />
r gefährliche Internetnutzung<br />
r Was alle machen kann doch nicht unsicher se<strong>in</strong>...?<br />
r Diszipl<strong>in</strong>losigkeit<br />
r Ignoranz und Arroganz statt geregelter Prozesse<br />
r Konsequenzen bleiben aus, s<strong>in</strong>d zu hart, s<strong>in</strong>d willkürlich<br />
M. Mehrhoff 18.05.2004 Folie 4
Erfolgsfaktoren bei <strong>der</strong> Erstellung<br />
e<strong>in</strong>es <strong>Sicherheit</strong>skonzeptes<br />
r Managementunterstützung<br />
r <strong>Praxis</strong>tauglichkeit: Beteiligung aller Betroffenen<br />
r zielgruppengerechte Vermittlung von Inhalten<br />
r Richtl<strong>in</strong>ien für <strong>IT</strong>-Benutzer, Adm<strong>in</strong>istrator, Management<br />
r Schulung, Sensibilisierung<br />
r Viele kle<strong>in</strong>e Schritte s<strong>in</strong>d besser als e<strong>in</strong> großer!<br />
r <strong>Sicherheit</strong> als Prozess, nicht als Projekt verstehen<br />
r <strong>Sicherheit</strong>saspekte bei jedem Projekt frühzeitig e<strong>in</strong>planen<br />
r Kontrolle, Messung und stetige Verbesserung<br />
r Konsequenzen bei bewussten Verstößen<br />
r Orientierung an Vorbil<strong>der</strong>n: Das Rad nicht selbst erf<strong>in</strong>den!<br />
M. Mehrhoff 18.05.2004 Folie 5
Struktur e<strong>in</strong>es <strong>Sicherheit</strong>skonzeptes<br />
Detaillierungsgrad<br />
niedrig<br />
Leitl<strong>in</strong>ie<br />
allgeme<strong>in</strong>e<br />
<strong>Sicherheit</strong>sziele<br />
Än<strong>der</strong>ungen<br />
selten<br />
hoch<br />
allgeme<strong>in</strong>e <strong>Sicherheit</strong>skonzeption<br />
• ausführliche Anfor<strong>der</strong>ungen<br />
• zugehörige Maßnahmen<br />
detaillierte Regelungen<br />
• konkrete Produkte<strong>in</strong>stellungen<br />
• verwendete Mechanismen<br />
häufig<br />
M. Mehrhoff 18.05.2004 Folie 6
Die wichtigsten Richtl<strong>in</strong>ien<br />
(unvollständiges Beispiel)<br />
Strategie<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
übergreifende<br />
Anweisungen<br />
<strong>Sicherheit</strong>srichtl<strong>in</strong>ie zur <strong>IT</strong>-Nutzung<br />
Richtl<strong>in</strong>ien für<br />
e<strong>in</strong>zelne Aspekte<br />
Datensicherung<br />
Outsourc<strong>in</strong>g<br />
Virenschutz<br />
Internetnutzung<br />
und E-Mail<br />
Notfallvorsorge<br />
...<br />
Zusammenf. für<br />
Zielgruppen<br />
H<strong>in</strong>weise für<br />
Adm<strong>in</strong>istratoren<br />
H<strong>in</strong>weise für<br />
<strong>IT</strong>-Benutzer<br />
technische<br />
Anweisungen<br />
Virenschutz Firewall<br />
...<br />
M. Mehrhoff 18.05.2004 Folie 7
<strong>IT</strong>-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie (Policy)<br />
Die <strong>IT</strong>-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie sollte m<strong>in</strong>destens enthalten:<br />
r Stellenwert <strong>der</strong> <strong>IT</strong> <strong>Sicherheit</strong><br />
r Bedeutung <strong>der</strong> <strong>IT</strong> für die Aufgabenerfüllung<br />
r Begr.: Gesetze, Kundenanfor<strong>der</strong>g., Konkurrenzsituation<br />
r <strong>Sicherheit</strong>sziele und <strong>Sicherheit</strong>sstrategie<br />
r Beschreibung <strong>der</strong> Organisationsstruktur für die<br />
Umsetzung des <strong>IT</strong>-<strong>Sicherheit</strong>sprozesses<br />
r Zusicherung, dass die <strong>IT</strong> <strong>Sicherheit</strong>sleitl<strong>in</strong>ie von <strong>der</strong><br />
Leitungsebene durchgesetzt wird:<br />
<strong>Sicherheit</strong> ist Chefsache<br />
M. Mehrhoff 18.05.2004 Folie 8
Richtl<strong>in</strong>ie zur <strong>IT</strong>-Nutzung<br />
Inhalte<br />
r Festlegung von Informationseigentümern, Pflicht zur<br />
Klassifizierung von Informationen<br />
r <strong>Sicherheit</strong>sorganisation, Beschreibung wichtiger Rollen<br />
r Personalmaßnahmen:<br />
Schulung, Pflicht zur E<strong>in</strong>richtung von Vertretungsregeln<br />
r Anfor<strong>der</strong>ungen an die Verwaltung von <strong>IT</strong>:<br />
Beschaffung, E<strong>in</strong>satz, Wartung, Revision, Entsorgung<br />
r grundlegende <strong>Sicherheit</strong>smaßnahmen:<br />
Zutritt, Zugang, Verschlüsselung, Virenschutz, Datensicherung,<br />
Notfallvorsorge<br />
r Regelungen für spezifische <strong>IT</strong>-Dienste:<br />
Datenübertragung, Internetnutzung<br />
M. Mehrhoff 18.05.2004 Folie 9
Virenschutzkonzept<br />
Glie<strong>der</strong>ung<br />
A SENSIBILISIERUNG<br />
1 Schadensszenarien<br />
2 Infektionswege<br />
B MAßNAHMEN<br />
1 Erfassung <strong>der</strong> bedrohten<br />
Systeme<br />
2 technische Maßnahmen<br />
C REGELUNGEN<br />
1 Berufung e<strong>in</strong>es Viren-<br />
Verantwortlichen<br />
2 Regeln zur Vorbeugung<br />
2.1 Adm<strong>in</strong>istrator<br />
2.2 <strong>IT</strong>-Benutzer<br />
3 Regeln im Schadensfall<br />
3.1 <strong>IT</strong>-Benutzer<br />
3.2 Viren-Verantwortl.<br />
4 Schulung<br />
4.1 Adm<strong>in</strong>istratoren<br />
4.2 <strong>IT</strong>-Benutzer<br />
5 Revision<br />
D GLOSSAR<br />
M. Mehrhoff 18.05.2004 Folie 10
Virenschutzkonzept<br />
E<strong>in</strong>stieg und technische Maßnahmen<br />
r Infektionswege:<br />
E-Mail, Internet, <strong>in</strong>ternes Netz (Laptops!), Datenträger<br />
r Erfassung <strong>der</strong> bedrohten Systeme:<br />
E-Mail-Server, vernetze Systeme, Laptops, Stand-Alone<br />
r technische <strong>Sicherheit</strong>smaßnahmen<br />
r Viren-Schutzprogramme (Server, Clients, Makroviren)<br />
r Internet (aktive Inhalte), zentrale E-Mail-Prüfung<br />
r Firewall<br />
r Dialerschutz<br />
r Programme<strong>in</strong>stellungen (z.B. automat. Ausführen etc.)<br />
r BIOS-E<strong>in</strong>stellungen (Boot-Reihenfolge, Passwortschutz)<br />
M. Mehrhoff 18.05.2004 Folie 11
Virenschutzkonzept<br />
Organisatorische Regelungen<br />
r Leitgedanken für <strong>IT</strong>-Benutzer:<br />
r Beachtung von Vorschriften<br />
(Software<strong>in</strong>stallation, private Hardware, Systeme<strong>in</strong>stellg.)<br />
r Verschleierung e<strong>in</strong>es Vorfalls: arbeitsrechtliche<br />
Konsequenzen<br />
r Ehrlichkeit: ke<strong>in</strong>e Bestrafung<br />
r Pflichten des Adm<strong>in</strong>istrators<br />
r sichere Konfiguration<br />
r restriktive Rechtevergabe<br />
r Updates, Patches<br />
r Vorbereitung des Notfalls<br />
r Unterstützung <strong>der</strong> <strong>IT</strong>-Benutzer<br />
M. Mehrhoff 18.05.2004 Folie 12
<strong>Sicherheit</strong>sh<strong>in</strong>weise für <strong>IT</strong>-Benutzer<br />
Inhalt<br />
r Verpflichtung auf die E<strong>in</strong>haltung <strong>der</strong> relevanten Gesetze<br />
r Teilnahme an Schulungen vor Programmnutzung<br />
r Nutzung privater Hard- und Software<br />
r Installation und Konfiguration von Anwendungen<br />
r Regeln für sichere Passwortgestaltung<br />
r Umgang mit vertraulichen Informationen<br />
r H<strong>in</strong>weise zur Nutzung von Viren-Schutzprogrammen<br />
r Datensicherung<br />
r Verhaltung bei <strong>Sicherheit</strong>svorfällen<br />
M. Mehrhoff 18.05.2004 Folie 13
Datensicherungskonzept<br />
Zentrale Fragen<br />
r Wo werden Daten gespeichert (zentral, lokal)?<br />
r Welche Verfügbarkeitsanfor<strong>der</strong>ungen gibt es?<br />
r Welche Daten werden gesichert?<br />
r Wer sichert?<br />
r Wie werden mobile Systeme gesichert?<br />
r Wie lange werden Sicherungen aufgehoben?<br />
r Wie wird gesichert (Dokumentation!)?<br />
r Vollsicherung, <strong>in</strong>krementelle Sicherung<br />
r Sicherungsmedien, Aufbewahrungsort<br />
r Schutz <strong>der</strong> Sicherungsmedien (Vertaulichkeit, Integrität)<br />
r Test <strong>der</strong> Sicherungsdateien<br />
r Wie werden Daten rekonstruiert?<br />
M. Mehrhoff 18.05.2004 Folie 14
Richtl<strong>in</strong>ie zur Internetnutzung<br />
r Organisation<br />
r Zuständigkeiten, Internet-PC, Web-Mail, Auswahl ISP,<br />
Schulung etc.<br />
r Konfiguration<br />
r Internet-Browser, E-Mail-Client (aktive Inhalte, Cookies...)<br />
r Firewall<br />
r Revision, Protokollierung<br />
r Nutzung<br />
r private Nutzung, Downloads<br />
r E-Mail-Adressen, Newsgroups<br />
M. Mehrhoff 18.05.2004 Folie 15
Wichtige Schulungsthemen<br />
r Viren, Gefahren im Internet, E-Mail-Nutzung, Passwörter<br />
r Datensicherung<br />
r Verhalten im Notfall<br />
r Klassifizierung von Daten<br />
r Umgang mit schützenswerten Daten<br />
r Austausch<br />
r Verschlüsselung<br />
r Löschen, Ausson<strong>der</strong>n<br />
r Vorschriften und Gesetze<br />
r Zuständigkeiten, Prozesse, Vertretungsregeln<br />
r Social Engeneer<strong>in</strong>g<br />
r Verhalten bei Tele(heim)arbeit<br />
M. Mehrhoff 18.05.2004 Folie 16
<strong>IT</strong>-Grundschutzhandbuch<br />
Pr<strong>in</strong>zipien<br />
r Gesamtsystem enthält typische<br />
Komponenten<br />
(Server, Clients, Serverraum, E-Mail...)<br />
r Pauschalisierte Gefährdungen und<br />
E<strong>in</strong>trittswahrsche<strong>in</strong>lichkeiten, ke<strong>in</strong>e<br />
klassische Risikoanalyse<br />
r Empfehlung von Standard-<strong>Sicherheit</strong>smaßnahmen<br />
r konkrete Maßnahmenbeschreibung<br />
r kostenlose Verteilung<br />
www.bsi.bund.de/gshb<br />
M. Mehrhoff 18.05.2004 Folie 17
Ideen des <strong>IT</strong>-Grundschutzes<br />
Organisation<br />
Infrastruktur<br />
Personal<br />
Technik<br />
r Vorgehensweise zur Erstellung<br />
von <strong>IT</strong>-<strong>Sicherheit</strong>skonzepten<br />
(Methode für e<strong>in</strong><br />
„Information Security<br />
Management System“)<br />
r Sammlung von Standard-<br />
<strong>Sicherheit</strong>smaßnahmen für<br />
typische <strong>IT</strong>-Systeme<br />
r ganzheitlicher Ansatz<br />
r Nachschlagewerk<br />
r Referenz und Standard für<br />
<strong>IT</strong>-<strong>Sicherheit</strong><br />
M. Mehrhoff 18.05.2004 Folie 18
<strong>IT</strong>-Grundschutzhandbuch<br />
Bauste<strong>in</strong>e (Auswahl)<br />
Übergreifende Aspekte<br />
• <strong>Sicherheit</strong>smanagement<br />
• Organisation<br />
• Personal<br />
• Notfall-Vorsorgekonzept<br />
• Datensicherungskonzept<br />
• Virenschutzkonzept<br />
• Hard- und Software-<br />
Management<br />
• Outsourc<strong>in</strong>g<br />
Infrastruktur<br />
• Gebäude<br />
• Verkabelung<br />
• Büroraum<br />
• Serverraum<br />
• häuslicher<br />
Arbeitsplatz<br />
• Rechenzentr.<br />
<strong>IT</strong>-Systeme<br />
• Unix-Server<br />
• Novell Netw.<br />
• W<strong>in</strong>dows 2k<br />
• TK-Anlage<br />
• Telearbeit<br />
Netze<br />
• Netz-,Systemmanagement<br />
• Firewall<br />
• Remote<br />
Access<br />
• Router u.<br />
Switches<br />
Anwendungen<br />
• E-Mail<br />
• WWW-Server<br />
• Datenbanken<br />
• IIS/ Apache<br />
• Exchange/<br />
Outlook<br />
• Archivierung<br />
<strong>IT</strong>-Verbund<br />
M. Mehrhoff 18.05.2004 Folie 19
Erreichbares <strong>Sicherheit</strong>sniveau<br />
<strong>Sicherheit</strong>sniveau<br />
mittlerer<br />
Schutzbedarf<br />
<strong>Sicherheit</strong>saspekte<br />
M. Mehrhoff 18.05.2004 Folie 20
Das <strong>IT</strong>-Grundschutzhandbuch im<br />
Wandel <strong>der</strong> Zeit<br />
GSHB 1995<br />
Zielgruppe: Behörden<br />
Schutzbedarfsfeststellung<br />
GSHB heute<br />
Zielgruppe: Behörden, Unternehmen<br />
Schutzbedarfsfeststellung<br />
GSHB<br />
GSHB<br />
SH<br />
M<br />
M<br />
M<br />
Ergänzung<br />
M<br />
Konsolidierung <strong>der</strong> M<br />
Konsolidierung <strong>der</strong> M<br />
GSHB = Grundschutzhandbuch<br />
= Komponenten mit mittlerem Schutzbedarf<br />
SH = <strong>IT</strong>-<strong>Sicherheit</strong>shandbuch = Komponenten mit hohem Schutzbedarf<br />
M = Maßnahmen = Komponenten mit sehr hohem Schutzbedarf<br />
M. Mehrhoff 18.05.2004 Folie 21
<strong>IT</strong>-Grundschutz bedeutet...<br />
Wissen<br />
ü Systeme, Anwendungen, Kommunikationsverb<strong>in</strong>dungen, Räume<br />
ü Schutzbedarf<br />
Management und Organisation<br />
ü <strong>Sicherheit</strong>smanagement<br />
ü <strong>Sicherheit</strong>skonzept<br />
ü Organisation<br />
ü Personal<br />
ü Notfallvorsorge<br />
Technik<br />
ü Sicherung <strong>der</strong> Infrastruktur<br />
ü Standardsicherheitsmaßnahmen für Standardkomponenten<br />
M. Mehrhoff 18.05.2004 Folie 22
Dienstleistungen rund um den <strong>IT</strong>-<br />
Grundschutz<br />
<strong>Sicherheit</strong>sbedarf,<br />
Anspruch<br />
Leitfaden<br />
<strong>IT</strong>-<strong>Sicherheit</strong><br />
geplant:<br />
-<br />
Webkurs<br />
Bsp. 1<br />
°<br />
GSTOOL<br />
GS-<br />
Zertifikat<br />
Bsp. 2<br />
Bsp.3<br />
+<br />
Risikoanalyse auf<br />
Basis des GSHB<br />
Kompendium<br />
Hochsicherheit<br />
CERT<br />
Viren<br />
Internet<br />
Zertifizierung<br />
E-Government<br />
Kryptographie<br />
Mobilfunk<br />
kritische<br />
Infrastrukturen<br />
Biometrie<br />
...<br />
M. Mehrhoff 18.05.2004 Folie 23
<strong>IT</strong>-Grundschutz-Informationen<br />
<strong>IT</strong>-Grundschutz-Hotl<strong>in</strong>e<br />
Telefon: 0228-9582-369<br />
E-Mail: gshb@bsi.bund.de<br />
<strong>IT</strong>-Grundschutz-Zertifikat<br />
E-Mail: gssiegel@bsi.bund.de<br />
<strong>IT</strong>-Grundschutz-Tool<br />
Telefon: 0228-9582-299<br />
E-Mail: gstool@bsi.bund.de<br />
http://www.bsi.bund.de<br />
M. Mehrhoff 18.05.2004 Folie 24
Kontakt<br />
Bundesamt für <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik (BSI)<br />
Michael Mehrhoff<br />
Postfach 200363<br />
53133 Bonn<br />
Tel: +49 (0)1888-9582-189<br />
Fax: +49 (0)1888-9582-90189<br />
michael.mehrhoff@bsi.bund.de<br />
www.bsi.bund.de<br />
www.bsi-fuer-buerger.de<br />
M. Mehrhoff 18.05.2004 Folie 25