Elemente im IT-Grundschutz - HAMTEC Hammer Technologie

1 / 30 

Datensicherheit - Lautlose Attacken von 

innen und außen 

Wie kann sich Ihr Unternehmen 

gegen virtuelle Angriffe 

schützen?

2 / 30 

Headlines 

� Computervirus soll iranische Netzwerke ausgespäht haben (FAZ; 20.06.2011); 

� Nato kämpft gegen Flut von Cyber-Attacken (SPON; 24.04.2012); 

� US-Geheimdienst will chinesische Hacker identifiziert haben (Wall Street 

Journal; 13.12.2011); 

� Lieferheld gegen Lieferando - DoS-Attacken im Konkurrenzkampf zwischen 

Pizzaplattformen (SPON; 23.04.2012); 

� DDoS-Attacke gegen israelische Börse und Fluglinie (Golem; 16.01.2012); 

� AutoCAD-Wurm schickt Dateien nach China (Golem; 25.06.2012);

3 / 30 

Agenda 

� Grundlagen 

� Felder der IT Sicherheit 

� Physik 

� Basisschutz auf jeder IT-Schicht 

� Datenabflusskanäle 

� Cloud Computing 

� Stabile Schritte

4 / 30 

Unterschied Datenschutz und Datensicherheit 

Datenschutz: Schutz der informationellen Selbstbestimmung von Personen 

Datensicherheit: Verhinderung von Datenverlust, Datendiebstahl und 

Datenverfälschung 

Datenschutz setzt ein funktionierende Datensicherheit voraus. Datenschutz und 

Datensicherheit stehen jedoch in einem systematischen Spannungsverhältnis 

Datenschutz: Jede Organisation ist ein möglicher Angreifer! (Sicherheitsbehörden, 

Verwaltungen, Versicherung, SocialNetwork-Provider…) 

⇒ Folge: Die Organisation muss (jederzeit) prüffähig nachweisen (können), dass 

sie kein Angreifer ist, sich an die Regeln hält und die dazugehörigen Verfahren 

und Prozesse beherrscht. 

Datensicherheit: Jede Person ist ein möglicher Angreifer! (Hacker, Kunden, 

Mitbewerber, (ehemalige) Mitarbeiter… ) 

=> Folge: Die Person muss nachweisen, dass sie kein Angreifer ist und dass sie ggf. 

mit Zugriff auf/über ihre Person rechnen muss.

Grundwerte der IT-Sicherheit 

5 / 30 

Verfügbarkeit 

IT-Service ist verfügbar wenn benötigt 

Vertraulichkeit 

Schutz vor Preisgabe von Informationen 

an unbefugte Personen oder Systeme 

Integrität 

Schutz vor unbefugter Veränderung 

oder Löschung von Informationen

Kosten-Risiko-Bewertung 

6 / 30 

Kosten der Absicherung 

Niedrig Hoch 

Risiko 

akzeptieren 

(nicht einfach) 

Niedrigste 

Priorität 

Schwierige 

Fälle! 

Sofort 

absichern 

Akzeptabel Inakzeptabel 

Risiko („downside risk“) 

Quelle: nach Dan Geer, The Evolution of Security, 

ACM Queue, April 2007, S. 30– 35. 

� Massiv in Sicherheitsmaßnahmen 

investieren? 

� Versicherung kaufen? 

� Geschäftsstrategie/ -Ziele ändern? 

„Security is a set of 

tradeoffs“: 

Bewusste Entscheidung, 

gegen welche Risiken man 

sich zu welchen Kosten 

absichert

Sicherheit als ökonomisches 

Optimierungsproblem 

7 / 30 

Kosten 

Gesamtkosten 

Optimum 

Quelle: nach Dan Geer, The Evolution of Security, 

ACM Queue, April 2007, S. 30– 35. 

Erwartete Kosten des Versagens 

Sicherheitsniveau

Beispiel: Verfügbarkeit einer Web-Applikation 

8 / 30 

Die Bereitstellung einer Web-Applikation wird von mehreren Komponenten 

gemeinsam erbracht und müssen alle gleichzeitig verfügbar sein. 

Komponente 1 

98% verfügbar 

Komponente 2 


Komponente 3 


Komponente 4 


Service-Verfügbarkeit: 0,98 5 = 0,90 

Komponente 5 


Storage Datenbank Applikation Webserver Netzwerk 

… und mit nur 5 Komponenten läuft heute kaum eine reale Web-Applikation 

OK

9 / 30 

IT-Grundschutz Schichtenmodell 

7. Anwendungen incl. Anwendungsobjekte 

6. Plattformen (z.B. Datenbankserver) 

5. User-Informationen 

4. Betriebssysteme 

3. Hardware 

2. Netzwerkstruktur und –Komponenten 

1. Facilities (Gebäude, Rechenzentren, ...)

10 / 30 

Agenda 



� Physik 



� Cloud Computing (Schatten IT) 


11 / 30 

Physikalische Sicherheit

12 / 30 

Raumbedingungen bestimmen das erreichbare 

physikalische Schutzniveau 

Typische Raumsituationen: 

• Kein eigener Raum 

• „Besenkammer“ 

• Serverraum 

• RZ Stufe 1…4 

• Arbeitsplätze Büro/mobil/zu Hause 

Elementare Gerfährdungen: 

• Feuer, Wasser, Klima, Staub 

• Strom 

1. Facilities (Gebäude, Rechenzentren, ...) 

• Zutritt / Zugang 

• Netzwerk-, Leitungstechnik

13 / 30 

Grundschutz

14 / 30 

IT-Grundschutz 

2. Netzwerkstruktur und –Komponenten 

� Firewall 

� Switche, Router 

� Speichersysteme (NAS, SAN); Datensicherung 

3. Hardware 

� Hardware Maintenance (Ersatzteilversorgung / Reaktionszeit) 

� Redundante Komponenten (Festplatten, RAID) 

� Recovery-Test 


� Software Update und Patchmanagement 

� Laufende Überwachung von Diensten, Protokollen und Speichermedien 

� Virenscanner

15 / 30 

Datenabflusskanäle

16 / 30 

Zahlreiche Möglichkeiten

17 / 30 

aktueller Trend: dienstliche Nutzung privater 

Endgeräte 

Engl.: Bring-your-own-device (BOYD), consumerization of IT 

� Früher: strikte Trennung Unternehmens IT – private IT 

� Zukünftig: Mitarbeiter (digital natives) wollen z. B. Smart-Phones 

und Tablet-PC‘s auch betrieblich nutzen. 

Aber: 

� Privates und dienstliches wird vermischt 

� geltende Sicherheitsstandards werden „schleichend“ unterlaufen

18 / 30 

IT-Organisatorische Vorüberlegungen 

� Ist Wahlfreiheit von Endgeräten ein Anreiz? 

� Welche Personen dürfen das? 

� Sind Betrieb und Wartung der Geräte geregelt? 

� Zugang / Zugriffe in das Firmennetz, d.h. 

Gruppenrichtlinien, Berechtigungen in der 

Verzeichnisdiensten bestimmt? 

� Gesicherte Kommunikation über Verschlüsselung, 

Authentifizierung, Virenschutz hergestellt? 

� Datenschutz: Backup ggf. mit privaten Daten 

abgestimmt? 

� Lizenzfragen geklärt? 

� Betriebsvereinbarung zur Nutzung geschlossen?

19 / 30 

Maßnahmen 

Organisatorische 

Maßnahme 

Prävention Schadensbegrenzung 

Vertragsvereinbarung, 

Organisationsanweisung 

Passiver Schutz Logging, 

Videoaufzeichnung 

Aktiver Schutz 

Sperren Recovery 

Notfallhandbuch 

PR/Kommunikationsplan 

Juristische Verfolgung, 

Schadenersatz

20 / 30 

Cloud Computing

21 / 30 

Cloud Computing - Risiken 

Typische Aussage: Cloud Computing ist nicht sicher! 

Im Vergleich zum Ausgangsniveau des KMU ist die Datensicherheit beim 

Cloud Anbieter i.d.R. deutlich höher. Sicherheit ist zentraler Bestandteil 

des Geschäftsmodells. 

Mögliche Risiken sind: 

� Verlust der Verfügungsgewalt und Abhängigkeit vom Cloud Anbieter 

� Fehler bei Datenhaltung in mandantenfähigen Programmen (isolation failure) 

� Gesetzeskonformität kann nicht eingehalten werden 

� Administrations- bzw. Managementzugang wird kompromittiert 

� Sichere Datenspeicherung und Datenlöschung 

� Angriff durch böswillige Insider 

vgl. Fraunhofer SIT (2009); ENSIA (2009)

22 / 30 

Cloud Computing – Hinweise 

� Service Level Agreement passt zum Bedarf 

� Standort des Rechenzentrums ist auswählbar (z. B. Deutschland) 

� Zertifikate zu Datenschutz und Datensicherheit 

� DIN ISO 27001 (Informationssicherheits-Managementsystem) 

� TÜViT Level 3 

� TIER III Classfication – Uptime Institute 

� SAS 70 – Statement of Auditing Standards; Service Organizations; American Institute 

of Certified Public Accountants (AICPA)

23 / 30 

Stichwort „Schatten IT“ 

Schatten IT sind Anwendungen und Applikationen, die in den 

Fachabteilungen autonom eingeführt und genutzt werden, i.d. R. ohne 

Wissen, Zustimmung und Unterstützung der Unternehmensleitung 

und/oder IT Abteilung. 

� Soziale Software (z.B. Skype, Twitter, Doodle…) 

� Eigenentwicklungen auf Basis Excel, Access 

� Tools (WebMail; Dropbox, AnyDo,…) 

� Spezial Anwendungen als Software as a Service (SaaS) 

„Gelebte IT-Autonomie“ der Fachbereiche gegen „zentralistische IT 

Nutzungsrichtlinien“.

24 / 30 

Risiken der „Schatten IT“ 

Umgehung der Datensicherheit (Compliance), z. B. 

� Upload von Unternehmensdaten in eine Cloud Anwendung; 

� Verfügbarkeit nicht gesichert (fehlendes Service Level Agreement). 

Risikomanagement geschäftskritische Prozesse und Anwendungen, z. B. 

� Wichtige Kennzahlen werden mit selbstentwickelter Anwendung des Controllers erstellt. 

Die Datenabfrage legt (jedes Mal) Datenbankserver und Netzwerk lahm. 

� Bei Migration und Integration von Systemen kommt es zu „Überraschungen“. 

Ressourcenengpässe und Budgetrestriktionen der internen IT führen zur 

„Selbsthilfe“ und versteckten Kosten durch geringere Qualität und 

zweckfremder Aktivitäten in den Fachabteilungen.

25 / 30 

Chancen der „Schatten IT“ 

Hohe IT Innovationsrate 

Fachabteilungen setzen unmittelbar lösungsorientiert den Mehrnutzen 

durch IT im operativen Geschäft um. 

Fokussierung auf Prozesse 

Entwicklung von aufgabenorientierte Lösungen mit besonderer 

Ausrichtung auf die interne Organisation. 

Hohe Benutzerzufriedenheit 

Die Ausrichtung auf die Bedürfnisse der Benutzer macht der 

Lösungsauswahl Betroffene zu Beteiligten und führt zu einer schneller 

Akzeptanz der Anwendungen.

26 / 30 

Beispiel IBM 

� Wahlfreiheit bei Endgeräten 

� Verbot von bestimmten Diensten z.B. Dropbox und Spracherkennung 

Siri 

� Erlaubt sind Apps zur Selbstorganisation 

� Endgeräte von Führungskräften werden verschlüsselt 

� Mobile Device Management Software für 

� Trennung von Unternehmensdaten und Privatem 

� Sicheres Verwalten und Verteilen von Software und Daten 

� Überwachen und Kontrollieren vertraulicher Datenübertragung 

� Steuern und Verwaltung von Sicherheitszertifikaten 

Quelle: IT-Director 6/2012

27 / 30 

Agenda 



� Physik 



� Cloud Computing (Schatten IT) 


28 / 30 

Maßnahmen 

1. Analyse potenzielle Gefahren und Bewertung (von Elementar zur 

Einzelgefährdungen) 

2. Bestimmung der Sicherheitsziele 

3. Entwurf einer IT Sicherheitsrichtlinie 

4. Erstellung einer Übersicht über die Systemlandschaft 

5. Ermittlung des Schutzbedarfs (Verfügbarkeit, Vertraulichkeit, 

Integrität) 

6. Bestimmung und Planung der Maßnahmen 

7. Kommunikation der Sicherheitsregeln für Mitarbeitern 

8. Umsetzung und Kontrolle

29 / 30 

1. Unilab … in 30 Sek 

Zielgruppe: 

regionaler Mittelstand 

ITK Onsite VIP-Service 

ITK Remote VIP-Service 

Vertrieb/Handel ITK- 

Markenhersteller 

Zielgruppe: 

ISVs, bundesweit 

Infrastructure as a 

Service (IaaS) 

Software as a Service 

(SaaS) 

Forschungsförderung 

Zielgruppe: Kunden, 

bundesweit 

Trainings für Partner 

Campus, PTM, SPE 

Projektbetreuung 

(SAM, ITIL) 

IT Strategie Beratung 

ITK-Check, 

Zielgruppe: 

SME, Industriekunden 

Qualitätssicherung 

Hardware / Software 

Entwicklung 

Hardware / Software 

Marketing & SPP

30 / 30 

Kontakt 

� Dr. Lars Kemper 

unilab AG 

Technologiepark 34 

33100 Paderborn 

Tel.: (0 52 51) 16 56 - 0 

Fax: (0 52 51) 16 56 - 526 

Lars.Kemper@unilab.de

IT-Sicherheit 

51. Hammer Managementseminar 

04. Juli 2012 

Datensicherheit: Lautlose Attacken von innen und außen 

Christopher Brune 

unilab Systemhaus GmbH 

Geschäftsbereich: Training & Consulting

Agenda 

Elemente im IT- 

Grundschutz & 

Anbieterkompass 

Referenzprojekt 

„Endpoint- 

Security“ 

Quick-Check für 

Ihr 

Unternehmen

Elemente im IT-Grundschutz 

6. Plattformen 

(z.B. Middleware) 

5. User- 

Informationen 


3. Hardware 

2. Netzwerkstruktur 

und -komponenten 

• Mobile-Security 

• Endpoint-Security 

• Antivirus und Antispam 

• Backupsoftware inkl. Recoverytest 

• Firewall 

• Router und Switches


(Redundante) 

Anbindung 

von IT- 

Arbeitsplätzen 

Absicherung 

gegen 

unberechtigte 

Zugriffe (z.B. 

VLANs, NAC) 

Router 

und 

Switches 

Sichere 

Vernetzung 

zwischen 

Netzwerken


Sicherheit 

auf Port- 

und/oder 

Paketebene 

Absicherung 

gegenüber 

unautorisierten 

Externen 

Firewalls 

Einsatz als 

VPN- 

Gateway 

und Proxy- 

Server 

möglich


Schutz vor 

„schlechter“ 

Software bzw. 

Updates 

Disaster 

Recovery 

Backupsoftware 

Fortlaufende 

Sicherung der 

relevanten 

Daten


Zugriffschutz 

bei 

gefährlichen 

Webseiten 

Absicherung 

gegen 

Schadsoftware 

Antivirus/ 

Antispam 

Schutz vor 

Phishing- 

Attacken


Kontrolle der 

Schnittstellen 

Absicherung der 

IT-Arbeitsplätze, 

z.B. Festplattenverschlüsselung 

Endpoint- 

Security 

Gerichtsfeste 

Verfolgbarkeit 

der Benutzeraktivitäten


Absicherung 

mobiler 

Geräte 

Umsetzung 

von Richtlinien 

auch auf 

mobilen 

Geräten 

Mobile- 

Security 

Schutz vor 

ungewollten 

Zugriff

Anbieterkompass & IT-Grundschutz 



5. User- 

Informationen 


3. Hardware 


und -komponenten

Anbieterkompass & IT-Grundschutz 



5. User- 

Informationen 


3. Hardware 


und -komponenten

Agenda 





„Endpoint- 

Security“ 


Ihr 

Unternehmen

Referenzprojekt „Endpoint-Security“ 

Aber: Keine gerichtsfeste 

Verfolgbarkeit über die 

Benutzeraktivitäten, keine 

stichhaltigen Beweise 

Verdacht: Ehemalige 

Mitarbeiter haben Daten 

unbefugt außer Haus 

geschafft 

Hohe Fluktuation im 

mittleren Management 

(Maschinenbauer mit ca. 

110 IT-Usern)


Kontaktaufnahme zu einem Institut, das spezialisiert 

ist auf IT-Forensik 

Forensische Datensicherstellung und forensische 

Datenwiederherstellung von jeweils zwei 

Festplatten im Labor (4.000,00 Euro) 

Einhaltung der Beweiskette für ein mögliches 

Gerichtsverfahren


Systematische 

Analyse der im 

Unternehmen 

identifizierten 

Datenabflusswege 

Einstufung des 

gegenwärtigen 

Schutzniveaus 

Definition des 

notwendigen/ 

gewünschten 

Schutzniveaus

Referenzprojekt „Endpoint-Security“


Einführung einer Lösung für die „Endpoint- 

Security“ 

Implementierung einer hardwarebasierenden 

Lösung zur E-Mail-Archivierung 

Verstärktes Regelwerk für die Internetnutzung bzw. 

des eingesetzten Webfilters

Agenda 





„Endpoint- 

Security“ 


Ihr 

Unternehmen

Quick-Check 

Fragebogen mit Beispielfragen aus den 

Kernbereichen der IT-Sicherheit 

Schneller Überblick über den Reifegrad bzw. 

Dringlichkeit konkreter Maßnahmen 

Bewusstsein bei allen Beteiligten schaffen

Quick-Check Fragen 1/2 

Haben Sie ein vollständiges und ausgelagertes Backup der 

unternehmensrelevanten Daten? 

Wird die Rücksicherung der Backups in regelmäßigen Abständen getestet und 

dokumentiert? 

Können Sie gewährleisten, dass alle eingesetzten Betriebssysteme auf dem jeweils 

aktuellsten Stand sind und dass diese regelmäßig aktualisiert werden? 

Haben Sie Vorkehrungen gegen mögliche Katastrophen getroffen (z.B. durch 

einen Notfallplan)? 

Können Sie gewährleisten, dass Sie gegen Attacken auf Ihr Unternehmen 

ausreichend geschützt sind?

Quick-Check Fragen 2/2 

Existiert ein allen Mitarbeitern kommunizierter Prozess bei Verlust und/oder 

Diebstahl von mobilen Geräten? 

Können Sie im Zweifelsfall gerichtsfest nachweisen, ob ein unerlaubter 

Datenabfluss stattgefunden hat und wer diesen zu verantworten hat? 

Sind die mobilen Geräte (z.B. Smartphones und Notebooks) in das 

Sicherheitskonzept eingebunden (Virenscanner, Zugriffsschutz, etc.)? 

Ist in Ihrem Unternehmen ein Berechtigungskonzept für den Zugriff auf 

gemeinsam genutzte Daten vorhanden? 

Schließen Sie mit Ihren Dienstleistern Geheimhaltungsvereinbarungen ab?

Weitführende Informationen zu Quick-Checks 

http://www.hannoverit.de/itcheck.php 

http://www.it-compliance-check.ch/ 

https://www.datev.de/dosc/Start.jsp?zg=ext 

http://www.kmu-sicherheit.eu/login.cfm?step=show

Ihre Fragen? 

Herzlichen Dank 

für Ihre 

Aufmerksamkeit!

Kontakt 

Christopher Brune 

unilab Systemhaus GmbH 

Technologiepark 34 

33100 Paderborn 

Tel.: 05251 1656 - 117 

Fax: 05251 1656 - 127 

E-Mail: christopher.brune@unilab.de

Elemente im IT-Grundschutz - HAMTEC Hammer Technologie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?