Vortrag Secure Point - Quadus GmbH
Vortrag Secure Point - Quadus GmbH
Vortrag Secure Point - Quadus GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Secure</strong>point 10<br />
Neue Trends, neue Techniken, neue Vorteile
Unternehmensübersicht <strong>Secure</strong>point<br />
- Gründung 1997<br />
- Hauptsitz Lüneburg, Geschäftsstelle in Potsdam<br />
- 37 hochqualifizierte Mitarbeiter<br />
- Entwicklung/Support durch eigene Security-Software-Spezialisten<br />
- Unabhängigkeit am Markt durch eigenes Research- und Testcenter<br />
- 1.100 aktive Fachhandelspartner<br />
- 8500 Kunden: Unternehmen aller Branchen, Regierungen, Behörden,<br />
Bildungsträger, Versicherungen, Banken etc.<br />
- Internationale Ausrichtung durch weltweite Vertriebswege<br />
und strategische Partnerschaften (Wortmann AG, Comteam)<br />
- Unabhängigkeit durch 100% Eigenkapitalisierung
Auszug aus der Kundenliste<br />
Ministerien, Behörden, Industrie und Handel, Bildungseinrichtungen, Kliniken, Banken,<br />
Ärzte, Rechtsanwälte, Handwerk u.v.a.
<strong>Secure</strong>point Übersicht: UTM-Funktionen<br />
- Firewall (Deep Stateful Packet Inspektion)<br />
- AntiVirus-Filtering (Email und Web)<br />
- Web-Content-Filtering<br />
- Spam-Filter und AntiPhishing (POP3, SMTP)<br />
- VPN-Gateway (IPSec, L2TP/PPTP, SSL VPN): Windows 7-Ready (IKEv2)<br />
- Intrusion Detection System<br />
- Authentisierung (Lokal, Directory/LDAP, Radius, NTLM – Single sign-on)<br />
- X509-Zertifikatsserver<br />
- Proxies für HTTP, FTP (over http), SMTP, POP3, VNC, VoIP/SIP/RDP<br />
- Traffic Shaping (Quality of Service)<br />
- Hochverfügbarkeit, Cluster, Bonding/Trunking, Multipath Routing<br />
- SNMP-Unterstützung<br />
- Automatische Updates
<strong>Secure</strong>point Übersicht: Bedienung<br />
Weboberfläche: Cockpit, Einrichtungsassistenten<br />
(Wissen was läuft und schnelle Konfiguration mit Wizards)<br />
Security Manager: max. 65.535 UTMs<br />
(Alle UTMs in einem Manager verwalten)
Router war gestern – UTM ist heute<br />
TERRA Black Dwarf UTM-Gateway:<br />
- Der Zwerg, der mehr kann: Leistungsfähiger,<br />
preiswerter als Router und VPN-Gateways<br />
(z. B. Lancom, Bintec etc.)<br />
- Leistung: Volle UTM-Funktionalität mit<br />
10 mal mehr Performance als Router<br />
- inkl. alle Features und Subscription<br />
- Preiswert: Volle UTM-Funktionalität für nur 396,- Euro (EVP)<br />
NEU: TERRA Black Dwarf VPN-Gateway:<br />
- Beliebig viele VPN-Kanäle ohne Zusatzkosten<br />
- Sichere Anbindung für Filialen und Standorte<br />
- Keine UTM-Funktionen – daher ohne Folgekosten<br />
- UTM-Funktion per Lizenzkey einfach nachrüstbar<br />
- Preiswert: Nur 499,- Euro (EVP)<br />
Mehr als 3.000 verkaufte Geräte in nur 10 Monaten seit Markteinführung!
Security für Kleinbetriebe bis Konzerne<br />
Einfach aufsteigen und wachsen!
NEU: <strong>Secure</strong>point SSL VPN Client 10<br />
Der Easy-<strong>Secure</strong>point VPN-Client:<br />
- sehr einfache Konfiguration durch<br />
den Administrator<br />
- Download der fertig-konfigurierten<br />
VPN-Clients vom UTM-User-<br />
Webinterface durch den Anwender<br />
- VPN-Client unter Windows<br />
starten und einloggen<br />
- FERTIG: Das VPN steht!
Die Risiken:<br />
- Datenveränderung, -beschädigung und -verlust<br />
- Spionage (Kundendaten, Unternehmensdaten...)<br />
- Widerrechtliche Nutzung der eigenen Ressourcen (Email, Musik, Sex...)<br />
- Betriebsunterbrechung<br />
- zivil-/strafrechtliche Haftungsrisiken<br />
Dies kann aus folgenden Bereichen initiiert werden:<br />
- Externe: Kunden, Hacker, Software/Systeme (Viren, Trojaner , Bot´s etc.)...<br />
- Interne: Mitarbeiter (Innen-/Außendienst), direkt angeschlossene Kunden<br />
Vorrangige Probleme sind hierbei:<br />
- Systemschwächen/Unzureichende Maßnahmen<br />
- Unwissenheit/Uneindeutigkeit<br />
- Desorganisation
Die betroffene Unternehmen und Personengruppen sind:<br />
- die, die gesetzlich der Vertraulichkeits- und Schweigepflicht unterliegen<br />
(Behörden, Banken, Ärzte, Anwälte, Steuerberater, Wirtschaftsprüfer...)<br />
- die Anbieter von Datenaustausch, -diensten, -banken, Internetzugängen sind<br />
(Online-Banking, Shopsysteme...)<br />
- die Websites, Supportsysteme, Diskussionsforen, Gästebüchern, schwarzen<br />
Brettern, Toplisten, Linklisten... anbieten<br />
Also in jedem Fall Sie !
Ebay-Beispiel
Online-Banking-Beispiel
Beispiel Hacking<br />
Ein leitender Entwicklungsingenieur eines großen deutschen Unternehmens für Präzisions-<br />
Fräzteile entdeckte bei einem konkurrierenden Aussteller eine hochkomplexe Komponente<br />
aus Aluminium, die ihm ausgesprochen bekannt vorkam. Der entscheidenden Nachteil: Es<br />
war eine exakte Konstruktionskopie. Und zwar nicht von einem Produkt aus laufender<br />
Fertigung, sondern aus dem Prototypenbau.<br />
Nach intensiven Recherchen stellte sich schließlich heraus: Die Konkurrenz hatte sich<br />
Zugriff auf die CNC-Daten der Fräzmaschine beschafft. Nicht per aufwändiger<br />
Industriespionage, sondern durch simples Anzapfen eines PCs in der Werkshalle, der ohne<br />
Wissen der hauseigenen IT-Abteilung über ein Telefon-Modem ans Internet<br />
angeschlossen. Unverschlüsselt und damit für jeden lesbar gingen die hochsensiblen<br />
Daten durchs Netz.
Wer bedroht uns? Typisierung:<br />
- Kriminelle aus wirtschaftlichen Gründen<br />
(Externe Täter, interne Mitarbeiter...)<br />
- Terroristen, um unser System zu zerstören<br />
- Script-Kids aus Spaß / sich beweisen wollen
Angriffe und Haftung<br />
Angriffe von außen<br />
Ihr Unternehmen/Ihres Kunden<br />
Eigene<br />
Risiken<br />
Haftung ggü.<br />
Dritten<br />
Angriffe aus Ihrem<br />
Unternehmen heraus „von<br />
innen“<br />
Haftung des Unternehmens / des Geschäftsführers / Arbeitnehmers etc.
§ 43 <strong>GmbH</strong>G<br />
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt<br />
eines ordentlichen Geschäftsmannes anzuwenden.<br />
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft<br />
solidarisch für den entstandenen Schaden.<br />
(3/4) …<br />
LG Frankfurt, Az. 11 U 15/01 „Haftung ohne Kentnnis“<br />
OLG Hamburg, Az. 5 U 200/04 „Geschäftsführerhaftung für Markenverletzung“<br />
(auch auf § 31 BGB gestützt)<br />
(widersprüchlich: LG München I, Urteil vom 4. 10. 2007 7 O 2827/07)
Schaden<br />
- ein Schaden muss entstanden sein<br />
- der ursächliche Zusammenhang zwischen Pflichtverletzung<br />
und dem Schaden besteht<br />
- eine Pflichtverletzung muss vorliegen
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich<br />
Vorschrift zwingt Unternehmensleitungen dazu, ein unternehmensweites<br />
Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu<br />
betreiben.<br />
Das KonTraG betrifft<br />
- Aktiengesellschaften<br />
- KGaA (Kommanditgesellschaft auf Aktien)<br />
- <strong>GmbH</strong> (mitbestimmter oder fakultativer Aufsichtsrat existiert)<br />
NICHT kleine AG weitgehend von der Einhaltung der durch das KonTraG neu<br />
eingeführten Vorschriften befreit.
Aktuell !!! WLAN Anschluss Betreiberhaftung<br />
Das OLG Düsseldorf hat am 27.12.2007 in einer Entscheidung die Grundsätze der<br />
Haftung beim Betreiben eines ungesicherten WLAN-Anschlusses präzisiert (Az. I-20 W<br />
157/07). So muss der Betreiber – unabhängig davon, ob der WLAN-Anschluss nur privat<br />
genutzt oder der Allgemeinheit zur Verfügung gestellt wird (etwa in einem Service <strong>Point</strong><br />
oder Cafe) – zumindest diejenigen Mittel zur Sicherung des Netzes nutzen, die ihm<br />
Standardsoftware zur Verfügung stellt.<br />
Landgericht Frankfurt a.M. (2-03 O 771 06, Urteil vom 22.02.2007) „Hämer Fall -<br />
Sommer unseres Lebens“<br />
OLG Köln vom 08.05.2007, Az.: 6 U 244/06 Betreiber eines WLAN-Anschlusses haftet<br />
grundsätzlich als Störer nach § 1004 BGB („Wenn nun Dritte über diesen Internetzugang<br />
Rechtsverletzungen im Internet begingen, so sei die Einrichtung des ungesicherten<br />
WLAN-Anschlusses kausal für die Rechtsverletzung.“)
Aktuell !!! WLAN Anschluss Betreiberhaftung<br />
Zunächst stellt es fest, dass der Betreiber eines WLAN-Anschlusses eine objektive<br />
Gefahrenquelle geschaffen hat, für die er entsprechende Sicherungsmaßnahmen<br />
ergreifen müsse. So müsse der Betreiber des WLAN-Anschlusses wenigstens die<br />
Möglichkeiten von Standardsoftware nutzen. Beispielsweise könne er ohne Weiteres<br />
verschiedene, passwortgeschützte Benutzerkonten für die vorgesehenen Nutzer<br />
einrichten und so die Anonymisierung aufheben, hinter der sich potentielle<br />
Rechtsverletzer verstecken könnten. Zudem könne er den WLAN-Anschluss ohne<br />
größeren Aufwand nach außen hin gegen fremde Dritte sichern, indem er eine<br />
standardmäßig vorgesehene Verschlüsselung einführt.
Gesetzliche Haftungsrisiken:<br />
Die Haftung bzw. Mitverantwortlichkeit der Unternehmensführung/der leitenden Mitarbeiter in<br />
arbeits-/zivil- und strafrechtlicher Hinsicht ist möglich!<br />
Warum?<br />
Eine Prüfung auf Mittäterschaft, Beihilfe und Fahrlässigkeit kann erfolgen!<br />
- strafrechtlich relevant: Schwerpunkt der Vorwerfbarkeit (Tun und Lassen) und Prüfung<br />
ob Garantenpflicht obliegt (Zuständigkeit, Aufgaben, Aufsicht...)<br />
- zivilrechtlich relevant: Schaffung der Gefahrenquelle ist eine ausreichende<br />
Mitverantwortung und führt zur Haftung!<br />
- arbeitsrechtlich relevant: Notwendig ist die Erfolgsverhinderung von Taten! (d. h. bei<br />
Kenntnis sofortige arbeitsrechtliche Maßnahmen treffen).<br />
Beispiel Internetnutzung:<br />
Untersagung private Nutzung: Abmahnung -> ordentliche Kündigung<br />
Gestattung private Nutzung: Differenzierung -> sonst Abmahnung, ord. Kündigung<br />
Strafrechtliche Nutzung: Außerordentliche Kündigung (Kinderpornografie...)
Grundsatzurteil<br />
Grundsatzurteil BAG aus dem Jahr 2005 - die Benutzung betrieblicher<br />
Kommunikationseinrichtungen zu privaten Zwecken ist unzulässig – aber … !!!<br />
Arbeitsrechtliche und Datenschutzprobleme<br />
Exkurs: Archivierungspflicht<br />
Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufende<br />
E-Mails sechs Jahre aufzubewahren.<br />
Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse<br />
oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre.
Zivilrechtliche Haftungsrisiken<br />
- Haftung für unterlassene Sicherungsmaßnahmen zum Schutz von Rechtsgütern<br />
des Nutzers/Kunden/Mandanten/Patienten (Haftung für eigenes Handeln,<br />
Menschliches Fehlversagen...)<br />
- Haftung für die Verletzung von immateriellen Rechten Dritter<br />
(Urheberrechtsverletzungen, Markeneigentum, Kennzeichenrechten...)<br />
Vorgehensweise bei zivilrechtlichen Aspekten am Beispiel:<br />
- Sie werden gespammt: Unterlassungsanspruch -> Abmahnung Dritter<br />
- Sie spammen absichtlich oder unabsichtlich mittels Viren/Trojaner...:<br />
- Vorsätzlich bedeutet volle Haftung<br />
- Fahrlässig bedeutet volle Haftung abhängig von Ihren Maßnahmen
Strafrechtliche Haftungsrisiken<br />
Betroffen sind hierbei im wesentlichen das Datenschutzstraf-, Wettbewerbs-straf-,<br />
Telekommunikationsstraf- und das Urheberrecht:<br />
- Ausspähen von Daten: Wer sich (elekt.) Daten verschafft, die nicht für ihn<br />
bestimmt und gegen unberechtigten Zugang besonders gesichert sind, wird mit<br />
Freiheitsstrafe bis zu 3 Jahren oder mit Geldstrafe bestraft.<br />
- Computerbetrug: Wer sich einen rechtswidrigen Vermögensvorteil mittels einer<br />
Einwirkung auf die Datenverarbeitung verschafft, das das Vermögen eines Anderen<br />
beschädigt, wird mit Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft.<br />
- Datenveränderung: Wer sich rechtswidrig Daten löscht, unterdrückt, unbrauchbar<br />
macht oder verändert, wird mit Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe<br />
bestraft. Auch der Versuch ist strafbar.<br />
- Computersabotage: Wer eine Datenverarbeitung verändert, stört oder zerstört, die<br />
für einen Betrieb/Behörde von wesentlicher Bedeutung ist, wird mit einer<br />
Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft. Auch der Versuch ist<br />
strafbar.
Vorgehensweise bei strafrechtlichen Aspekten (Dritte gegen Sie):<br />
- Anzeige an die zuständige Staatsanwaltschaft<br />
- Log-Files der Firewall sichern<br />
- Schnelle Information des Providers zur Beweissicherung, da deren Log-Files<br />
nicht lange aufbewahrt werden
Risikosenkung: Was sollte getan werden !?<br />
- Sicherheitspolitik muss von der Geschäftsleitung gestützt werden !<br />
- Einheitliche, unternehmensweite Security-Policies einführen:<br />
- Arbeitsrichtlinien schaffen:<br />
Datenschutzbeauftragte/Verantwortlichkeiten, Arbeitsanweisungen...<br />
- System-/Administrationsrichtlinien schaffen:<br />
Passwort/Keys, Konfigurationen, Backups, Patches, Rollups....<br />
- Dokumentations-/Qualitätsrichtlinien schaffen<br />
- Risk-Management: interne Systeme und externe Systemabhängigkeiten<br />
- Anpassung der Security-Policy an neue Gegebenheiten<br />
- Moderne, aktuelle Netzwerk-Firewalls, -Virenscanner, IDS... einsetzen<br />
(Kommunikationsbegrenzung, Früherkennung und Logging...) und als<br />
weiteren Schutz Arbeitsplätze mit Desktop-Security-Systemen ansichern!<br />
- EDV-Leuten Weiterbildung gewähren und Freiräume geben, d. h. auch im<br />
täglichen Geschäft entlasten!
1. Schritt: Zunächst müssen im Rahmen einer Risikoanalyse alle Risiken im Zusammenhang<br />
mit dem Einsatz von unternehmenseigenen IT-Systemen ermittelt und analysiert werden,<br />
um dadurch in die Lage versetzt zu werden, das Gesamtrisiko für das Unternehmen<br />
einschätzen zu können.<br />
2. Schritt: Anschließend gilt es, ein Sicherheitskonzept zu erstellen, um das ermittelte<br />
Risiko basierend auf einer wirksamen Risikoprävention zu reduzieren. Dabei wäre tatsächlich<br />
schon viel gewonnen, wenn sich das jeweilige Unternehmen zunächst einmal zum Ziel<br />
setzen würde, die Grundwerte der IT-Sicherheit (Verfügbarkeit, Unversehrtheit,<br />
Vertraulichkeit der Daten) sicher zu stellen. Dazu gehört insbesondere eine regelmäßig wie<br />
auch häufige Datensicherung, ein wirksamer Sabotage- und Ausfallschutz und natürlich auch<br />
der Schutz vor missbräuchlicher IT-Nutzung (durch Mitarbeiter oder Dritte).<br />
3. Schritt: Dieses Sicherheitskonzept ist dann auch in die Praxis umzusetzen und vor allem<br />
penibel einzuhalten.
Vielen Dank!<br />
Schreiben Sie uns an:<br />
Dirk.Riebe@<strong>Secure</strong>point.de<br />
Besuchen Sie unsere Website:<br />
www.securepoint.de<br />
Sprechen Sie mit uns persönlich:<br />
Telefon: 0 41 31 / 24 01-0<br />
Wir freuen uns auf Sie!<br />
Dirk Riebe, <strong>Secure</strong>point <strong>GmbH</strong>