Vortrag Secure Point - Quadus GmbH

Securepoint 10
Neue Trends, neue Techniken, neue Vorteile

Unternehmensübersicht Securepoint
- Gründung 1997
- Hauptsitz Lüneburg, Geschäftsstelle in Potsdam
- 37 hochqualifizierte Mitarbeiter
- Entwicklung/Support durch eigene Security-Software-Spezialisten
- Unabhängigkeit am Markt durch eigenes Research- und Testcenter
- 1.100 aktive Fachhandelspartner
- 8500 Kunden: Unternehmen aller Branchen, Regierungen, Behörden,
Bildungsträger, Versicherungen, Banken etc.
- Internationale Ausrichtung durch weltweite Vertriebswege
und strategische Partnerschaften (Wortmann AG, Comteam)
- Unabhängigkeit durch 100% Eigenkapitalisierung

Auszug aus der Kundenliste
Ministerien, Behörden, Industrie und Handel, Bildungseinrichtungen, Kliniken, Banken,
Ärzte, Rechtsanwälte, Handwerk u.v.a.

Securepoint Übersicht: UTM-Funktionen
- Firewall (Deep Stateful Packet Inspektion)
- AntiVirus-Filtering (Email und Web)
- Web-Content-Filtering
- Spam-Filter und AntiPhishing (POP3, SMTP)
- VPN-Gateway (IPSec, L2TP/PPTP, SSL VPN): Windows 7-Ready (IKEv2)
- Intrusion Detection System
- Authentisierung (Lokal, Directory/LDAP, Radius, NTLM – Single sign-on)
- X509-Zertifikatsserver
- Proxies für HTTP, FTP (over http), SMTP, POP3, VNC, VoIP/SIP/RDP
- Traffic Shaping (Quality of Service)
- Hochverfügbarkeit, Cluster, Bonding/Trunking, Multipath Routing
- SNMP-Unterstützung
- Automatische Updates

Securepoint Übersicht: Bedienung
Weboberfläche: Cockpit, Einrichtungsassistenten
(Wissen was läuft und schnelle Konfiguration mit Wizards)
Security Manager: max. 65.535 UTMs
(Alle UTMs in einem Manager verwalten)

Router war gestern – UTM ist heute
TERRA Black Dwarf UTM-Gateway:
- Der Zwerg, der mehr kann: Leistungsfähiger,
preiswerter als Router und VPN-Gateways
(z. B. Lancom, Bintec etc.)
- Leistung: Volle UTM-Funktionalität mit
10 mal mehr Performance als Router
- inkl. alle Features und Subscription
- Preiswert: Volle UTM-Funktionalität für nur 396,- Euro (EVP)
NEU: TERRA Black Dwarf VPN-Gateway:
- Beliebig viele VPN-Kanäle ohne Zusatzkosten
- Sichere Anbindung für Filialen und Standorte
- Keine UTM-Funktionen – daher ohne Folgekosten
- UTM-Funktion per Lizenzkey einfach nachrüstbar
- Preiswert: Nur 499,- Euro (EVP)
Mehr als 3.000 verkaufte Geräte in nur 10 Monaten seit Markteinführung!

Security für Kleinbetriebe bis Konzerne
Einfach aufsteigen und wachsen!

NEU: Securepoint SSL VPN Client 10
Der Easy-Securepoint VPN-Client:
- sehr einfache Konfiguration durch
den Administrator
- Download der fertig-konfigurierten
VPN-Clients vom UTM-User-
Webinterface durch den Anwender
- VPN-Client unter Windows
starten und einloggen
- FERTIG: Das VPN steht!

Die Risiken:
- Datenveränderung, -beschädigung und -verlust
- Spionage (Kundendaten, Unternehmensdaten...)
- Widerrechtliche Nutzung der eigenen Ressourcen (Email, Musik, Sex...)
- Betriebsunterbrechung
- zivil-/strafrechtliche Haftungsrisiken
Dies kann aus folgenden Bereichen initiiert werden:
- Externe: Kunden, Hacker, Software/Systeme (Viren, Trojaner , Bot´s etc.)...
- Interne: Mitarbeiter (Innen-/Außendienst), direkt angeschlossene Kunden
Vorrangige Probleme sind hierbei:
- Systemschwächen/Unzureichende Maßnahmen
- Unwissenheit/Uneindeutigkeit
- Desorganisation

Die betroffene Unternehmen und Personengruppen sind:
- die, die gesetzlich der Vertraulichkeits- und Schweigepflicht unterliegen
(Behörden, Banken, Ärzte, Anwälte, Steuerberater, Wirtschaftsprüfer...)
- die Anbieter von Datenaustausch, -diensten, -banken, Internetzugängen sind
(Online-Banking, Shopsysteme...)
- die Websites, Supportsysteme, Diskussionsforen, Gästebüchern, schwarzen
Brettern, Toplisten, Linklisten... anbieten
Also in jedem Fall Sie !

Ebay-Beispiel

Online-Banking-Beispiel

Beispiel Hacking
Ein leitender Entwicklungsingenieur eines großen deutschen Unternehmens für Präzisions-
Fräzteile entdeckte bei einem konkurrierenden Aussteller eine hochkomplexe Komponente
aus Aluminium, die ihm ausgesprochen bekannt vorkam. Der entscheidenden Nachteil: Es
war eine exakte Konstruktionskopie. Und zwar nicht von einem Produkt aus laufender
Fertigung, sondern aus dem Prototypenbau.
Nach intensiven Recherchen stellte sich schließlich heraus: Die Konkurrenz hatte sich
Zugriff auf die CNC-Daten der Fräzmaschine beschafft. Nicht per aufwändiger
Industriespionage, sondern durch simples Anzapfen eines PCs in der Werkshalle, der ohne
Wissen der hauseigenen IT-Abteilung über ein Telefon-Modem ans Internet
angeschlossen. Unverschlüsselt und damit für jeden lesbar gingen die hochsensiblen
Daten durchs Netz.

Wer bedroht uns? Typisierung:
- Kriminelle aus wirtschaftlichen Gründen
(Externe Täter, interne Mitarbeiter...)
- Terroristen, um unser System zu zerstören
- Script-Kids aus Spaß / sich beweisen wollen

Angriffe und Haftung
Angriffe von außen
Ihr Unternehmen/Ihres Kunden
Eigene
Risiken
Haftung ggü.
Dritten
Angriffe aus Ihrem
Unternehmen heraus „von
innen“
Haftung des Unternehmens / des Geschäftsführers / Arbeitnehmers etc.

§ 43 GmbHG
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt
eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft
solidarisch für den entstandenen Schaden.
(3/4) …
LG Frankfurt, Az. 11 U 15/01 „Haftung ohne Kentnnis“
OLG Hamburg, Az. 5 U 200/04 „Geschäftsführerhaftung für Markenverletzung“
(auch auf § 31 BGB gestützt)
(widersprüchlich: LG München I, Urteil vom 4. 10. 2007 7 O 2827/07)

Schaden
- ein Schaden muss entstanden sein
- der ursächliche Zusammenhang zwischen Pflichtverletzung
und dem Schaden besteht
- eine Pflichtverletzung muss vorliegen

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Vorschrift zwingt Unternehmensleitungen dazu, ein unternehmensweites
Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu
betreiben.
Das KonTraG betrifft
- Aktiengesellschaften
- KGaA (Kommanditgesellschaft auf Aktien)
- GmbH (mitbestimmter oder fakultativer Aufsichtsrat existiert)
NICHT kleine AG weitgehend von der Einhaltung der durch das KonTraG neu
eingeführten Vorschriften befreit.

Aktuell !!! WLAN Anschluss Betreiberhaftung
Das OLG Düsseldorf hat am 27.12.2007 in einer Entscheidung die Grundsätze der
Haftung beim Betreiben eines ungesicherten WLAN-Anschlusses präzisiert (Az. I-20 W
157/07). So muss der Betreiber – unabhängig davon, ob der WLAN-Anschluss nur privat
genutzt oder der Allgemeinheit zur Verfügung gestellt wird (etwa in einem Service Point
oder Cafe) – zumindest diejenigen Mittel zur Sicherung des Netzes nutzen, die ihm
Standardsoftware zur Verfügung stellt.
Landgericht Frankfurt a.M. (2-03 O 771 06, Urteil vom 22.02.2007) „Hämer Fall -
Sommer unseres Lebens“
OLG Köln vom 08.05.2007, Az.: 6 U 244/06 Betreiber eines WLAN-Anschlusses haftet
grundsätzlich als Störer nach § 1004 BGB („Wenn nun Dritte über diesen Internetzugang
Rechtsverletzungen im Internet begingen, so sei die Einrichtung des ungesicherten
WLAN-Anschlusses kausal für die Rechtsverletzung.“)

Aktuell !!! WLAN Anschluss Betreiberhaftung
Zunächst stellt es fest, dass der Betreiber eines WLAN-Anschlusses eine objektive
Gefahrenquelle geschaffen hat, für die er entsprechende Sicherungsmaßnahmen
ergreifen müsse. So müsse der Betreiber des WLAN-Anschlusses wenigstens die
Möglichkeiten von Standardsoftware nutzen. Beispielsweise könne er ohne Weiteres
verschiedene, passwortgeschützte Benutzerkonten für die vorgesehenen Nutzer
einrichten und so die Anonymisierung aufheben, hinter der sich potentielle
Rechtsverletzer verstecken könnten. Zudem könne er den WLAN-Anschluss ohne
größeren Aufwand nach außen hin gegen fremde Dritte sichern, indem er eine
standardmäßig vorgesehene Verschlüsselung einführt.

Gesetzliche Haftungsrisiken:
Die Haftung bzw. Mitverantwortlichkeit der Unternehmensführung/der leitenden Mitarbeiter in
arbeits-/zivil- und strafrechtlicher Hinsicht ist möglich!
Warum?
Eine Prüfung auf Mittäterschaft, Beihilfe und Fahrlässigkeit kann erfolgen!
- strafrechtlich relevant: Schwerpunkt der Vorwerfbarkeit (Tun und Lassen) und Prüfung
ob Garantenpflicht obliegt (Zuständigkeit, Aufgaben, Aufsicht...)
- zivilrechtlich relevant: Schaffung der Gefahrenquelle ist eine ausreichende
Mitverantwortung und führt zur Haftung!
- arbeitsrechtlich relevant: Notwendig ist die Erfolgsverhinderung von Taten! (d. h. bei
Kenntnis sofortige arbeitsrechtliche Maßnahmen treffen).
Beispiel Internetnutzung:
Untersagung private Nutzung: Abmahnung -> ordentliche Kündigung
Gestattung private Nutzung: Differenzierung -> sonst Abmahnung, ord. Kündigung
Strafrechtliche Nutzung: Außerordentliche Kündigung (Kinderpornografie...)

Grundsatzurteil
Grundsatzurteil BAG aus dem Jahr 2005 - die Benutzung betrieblicher
Kommunikationseinrichtungen zu privaten Zwecken ist unzulässig – aber … !!!
Arbeitsrechtliche und Datenschutzprobleme
Exkurs: Archivierungspflicht
Gemäß § 147 Abgabenordnung sind die als Handels- oder Geschäftsbriefe einzustufende
E-Mails sechs Jahre aufzubewahren.
Sollten die E-Mails dagegen Buchungsbelege, Rechnungen, Bilanzen, Jahresabschlüsse
oder auch Lageberichte enthalten, betragen die Aufbewahrungsfristen 10 Jahre.

Zivilrechtliche Haftungsrisiken
- Haftung für unterlassene Sicherungsmaßnahmen zum Schutz von Rechtsgütern
des Nutzers/Kunden/Mandanten/Patienten (Haftung für eigenes Handeln,
Menschliches Fehlversagen...)
- Haftung für die Verletzung von immateriellen Rechten Dritter
(Urheberrechtsverletzungen, Markeneigentum, Kennzeichenrechten...)
Vorgehensweise bei zivilrechtlichen Aspekten am Beispiel:
- Sie werden gespammt: Unterlassungsanspruch -> Abmahnung Dritter
- Sie spammen absichtlich oder unabsichtlich mittels Viren/Trojaner...:
- Vorsätzlich bedeutet volle Haftung
- Fahrlässig bedeutet volle Haftung abhängig von Ihren Maßnahmen

Strafrechtliche Haftungsrisiken
Betroffen sind hierbei im wesentlichen das Datenschutzstraf-, Wettbewerbs-straf-,
Telekommunikationsstraf- und das Urheberrecht:
- Ausspähen von Daten: Wer sich (elekt.) Daten verschafft, die nicht für ihn
bestimmt und gegen unberechtigten Zugang besonders gesichert sind, wird mit
Freiheitsstrafe bis zu 3 Jahren oder mit Geldstrafe bestraft.
- Computerbetrug: Wer sich einen rechtswidrigen Vermögensvorteil mittels einer
Einwirkung auf die Datenverarbeitung verschafft, das das Vermögen eines Anderen
beschädigt, wird mit Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft.
- Datenveränderung: Wer sich rechtswidrig Daten löscht, unterdrückt, unbrauchbar
macht oder verändert, wird mit Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe
bestraft. Auch der Versuch ist strafbar.
- Computersabotage: Wer eine Datenverarbeitung verändert, stört oder zerstört, die
für einen Betrieb/Behörde von wesentlicher Bedeutung ist, wird mit einer
Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft. Auch der Versuch ist
strafbar.

Vorgehensweise bei strafrechtlichen Aspekten (Dritte gegen Sie):
- Anzeige an die zuständige Staatsanwaltschaft
- Log-Files der Firewall sichern
- Schnelle Information des Providers zur Beweissicherung, da deren Log-Files
nicht lange aufbewahrt werden

Risikosenkung: Was sollte getan werden !?
- Sicherheitspolitik muss von der Geschäftsleitung gestützt werden !
- Einheitliche, unternehmensweite Security-Policies einführen:
- Arbeitsrichtlinien schaffen:
Datenschutzbeauftragte/Verantwortlichkeiten, Arbeitsanweisungen...
- System-/Administrationsrichtlinien schaffen:
Passwort/Keys, Konfigurationen, Backups, Patches, Rollups....
- Dokumentations-/Qualitätsrichtlinien schaffen
- Risk-Management: interne Systeme und externe Systemabhängigkeiten
- Anpassung der Security-Policy an neue Gegebenheiten
- Moderne, aktuelle Netzwerk-Firewalls, -Virenscanner, IDS... einsetzen
(Kommunikationsbegrenzung, Früherkennung und Logging...) und als
weiteren Schutz Arbeitsplätze mit Desktop-Security-Systemen ansichern!
- EDV-Leuten Weiterbildung gewähren und Freiräume geben, d. h. auch im
täglichen Geschäft entlasten!

1. Schritt: Zunächst müssen im Rahmen einer Risikoanalyse alle Risiken im Zusammenhang
mit dem Einsatz von unternehmenseigenen IT-Systemen ermittelt und analysiert werden,
um dadurch in die Lage versetzt zu werden, das Gesamtrisiko für das Unternehmen
einschätzen zu können.
2. Schritt: Anschließend gilt es, ein Sicherheitskonzept zu erstellen, um das ermittelte
Risiko basierend auf einer wirksamen Risikoprävention zu reduzieren. Dabei wäre tatsächlich
schon viel gewonnen, wenn sich das jeweilige Unternehmen zunächst einmal zum Ziel
setzen würde, die Grundwerte der IT-Sicherheit (Verfügbarkeit, Unversehrtheit,
Vertraulichkeit der Daten) sicher zu stellen. Dazu gehört insbesondere eine regelmäßig wie
auch häufige Datensicherung, ein wirksamer Sabotage- und Ausfallschutz und natürlich auch
der Schutz vor missbräuchlicher IT-Nutzung (durch Mitarbeiter oder Dritte).
3. Schritt: Dieses Sicherheitskonzept ist dann auch in die Praxis umzusetzen und vor allem
penibel einzuhalten.

Vielen Dank!
Schreiben Sie uns an:
Dirk.Riebe@Securepoint.de
Besuchen Sie unsere Website:
www.securepoint.de
Sprechen Sie mit uns persönlich:
Telefon: 0 41 31 / 24 01-0
Wir freuen uns auf Sie!
Dirk Riebe, Securepoint GmbH