IT Sicherheit: IT-Sicherheitsmanagement · Vorgehensmodelle, zB: ISO-Standards 27001 und 27002,...
Transcript of IT Sicherheit: IT-Sicherheitsmanagement · Vorgehensmodelle, zB: ISO-Standards 27001 und 27002,...
IT Sicherheit:IT-Sicherheitsmanagement
Dr. Christian Rathgeb
Hochschule Darmstadt, CASED, da/sec Security Group
03.12.2015
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 1/63
Einfuhrung
IT-Sicherheitsmanagementsystem I
I Technologie allein kann NICHT alle IT-Sicherheitsproblemeeiner Institution losen!
I Es mussen auch (1) organisatorische, (2) personelle, und (3)infrastrukturelle Maßnahmen getroffen/ berucksichtigt werden
I Beispiele:(1) Festlegung von Verantwortlichkeiten, Schlusselmanagement,(2) Schulung, Einweisung, Sensibilisierung von Mitarbeitern,(3) Gebaudesicherung
Ein IT-Sicherheitsmanagementsystem (engl. Information SecurityManagement System (ISMS)) ist eine Sammlung vonVorgehensweisen und Vorschriften, um einen IT-Sicherheitsprozesszu etablieren und im laufenden Betrieb aufrechtzuerhalten
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 2/63
Einfuhrung
IT-Sicherheitsmanagementsystem I
I Technologie allein kann NICHT alle IT-Sicherheitsproblemeeiner Institution losen!
I Es mussen auch (1) organisatorische, (2) personelle, und (3)infrastrukturelle Maßnahmen getroffen/ berucksichtigt werden
I Beispiele:(1) Festlegung von Verantwortlichkeiten, Schlusselmanagement,(2) Schulung, Einweisung, Sensibilisierung von Mitarbeitern,(3) Gebaudesicherung
Ein IT-Sicherheitsmanagementsystem (engl. Information SecurityManagement System (ISMS)) ist eine Sammlung vonVorgehensweisen und Vorschriften, um einen IT-Sicherheitsprozesszu etablieren und im laufenden Betrieb aufrechtzuerhalten
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 2/63
Einfuhrung
IT-Sicherheitsmanagementsystem IIDimensionen des IT-Sicherheitsmanagements:
I Technologie, z.B.I Kryptographische VerfahrenI SchlusselverteilungI Zugriffskontrolle
I Prozesse, z.B.I Festlegung von VerantwortlichkeitenI Etablierung des IT-SicherheitsmanagementsI Aufrechterhaltung im laufenden Betrieb
I Menschen, z.B.I Schulung und QualifikationI Sensibilisierung
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 3/63
Einfuhrung
Informationssicherheitsaspekte mussen bei allen Projektenfruhzeitig und ausreichend berucksichtigt werden
I Programmvielfalt mit hoher Funktionalitat, bequemeBedienung, niedrige Anschaffungs- und Betriebskosten sowieInformationssicherheit stehen fast immer in Konkurrenzzueinander
I Es empfiehlt sich aber unbedingt,Informationssicherheitsaspekte schon zu Beginn eines Projektes(z. B. bei der Anschaffung neuer Software oder bei der Planungvon Geschaftsprozessen) zu berucksichtigen
I Der Mut, Abstriche beim Komfort zu machen oder auf einebestimmte Funktionalitat zu verzichten, kann hohe Kostendurch Sicherheitsvorfalle verhindern
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 4/63
Einfuhrung
Die Informationssicherheitsziele mussen festgelegt werden,damit angemessene Maßnahmen definiert werden konnen
I Der erste Schritt bei der Beschaftigung mitInformationssicherheit ist die Bestandsaufnahme:
I Welche Rahmenbedingungen gibt es (Gesetze, Vertrage,Kunden-anforderungen, Konkurrenzsituation)?
I Welche Rolle spielen IT und Informationssicherheit fur dasUnternehmen bzw. die Behorde?
I Welche Werte sind zu schutzen (Know-how,Betriebsgeheimnisse, personenbezogene Daten, IT-Systeme)?Was sind mogliche Schadensfalle?
I Die “Schutzbedarfsfeststellung” ist notwendiger Bestandteiljeder Sicherheitsanalyse!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 5/63
Einfuhrung
Zu jedem vorhandenen Sicherheitsziel sollten geeigneteRegelungen getroffen werden
I”Informationssicherheit ist ein dauerhafter Prozess“
I Die meisten mit Informationssicherheit assoziierten Aufgabenmussen regelmaßig wiederholt und neu durchlaufen werden
I Jede identifizierte Maßnahme sollte dahingehend untersuchtwerden, ob sie nur ein einziges Mal oder regelmaßig ausgefuhrtwerden muss
I Beispiel: regelmaßiges Update des Viren-Schutzprogramms unddessen Viren-Signaturen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 6/63
Einfuhrung
Zustandigkeiten mussen festgelegt werden
I Fur jede identifizierte Aufgabe muss festgelegt werden, wer furdie Durchfuhrung verantwortlich ist
I Ebenso sollte fur alle allgemein formulierteSicherheitsrichtlinien genau dargelegt werden, fur welchenPersonenkreis diese verbindlich sind:
I Betreffen diese nur festangestellte Mitarbeiter, eine bestimmteAbteilung oder alle?
I Jeder Verantwortliche braucht einen Stellvertreter; Wichtig ist,dass der Vertreter auch in der Lage ist, seine Aufgabenwahrzunehmen.
I Wurde er in seine Aufgaben eingewiesen?I Sind notwendige Passworter fur den Notfall hinterlegt?I Benotigt er Dokumentationen?
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 7/63
Einfuhrung
Richtlinien/ Zustandigkeiten mussen bekannt sein
I Bei Mitarbeiterbefragungen in Unternehmen fallt beim ThemaInformationssicherheit oft auf, dass bestehende Richtliniennicht oder nur in Teilen bekannt sind, gelegentlich ist derenExistenz schlicht unbekannt
I Deshalb muss sichergestellt sein, dass alle Betroffenen dieUnternehmensrichtlinien – in ihrer aktuellen Fassung – kennen
I Alle Mitarbeiter sollten ihre internen und externenAnsprechpartner und deren Kompetenzen kennen
I Dies verhindert, dass sich Mitarbeiter durch Uberredungskunstoder Einschuchterung dazu verleiten lassen, vertraulicheInformationen (Passworter etc.) an Unberechtigteweiterzugeben
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 8/63
Einfuhrung
Mitarbeiter mussen regelmaßig geschult werden
I Viele Fehler entstehen aus Unkenntnis oder aus mangelndemSicherheitsbewusstsein, “Security Awareness”
I Oft ist es ein Leichtes, Mitarbeiter dazu zu bringen,Sicherheitscodes zu verraten
I Wichtig ist Mitarbeiter daruber zu informieren, in welcher Formeine Kommunikation mit Geschaftspartnern moglich ist:
I Wer sind die Ansprechpartner?I Welche Kompetenzen haben sie?I Wie findet eine Autorisierung statt?I Welche Informationen durfen an Externe weitergegeben werden?
I Maßnahmen: Seminare, Kauf guter Fachliteratur, etc.Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 9/63
Einfuhrung
Notfallplane sollten erstellt werden und jedem Mitarbeiterbekannt sein
I Wenn das Burogebaude abbrennt, ein erheblicher Teil derMitarbeiter durch eine Grippewelle ausfallt, ein Zulieferer oderDienstleister infolge einer Insolvenz ausfallt etc. sollte jederMitarbeiter wissen, was zu tun ist
I Denkbare Szenarien sollten durchgespielt undGegenmaßnahmen entworfen werden
I Fur die Wiederherstellung von Systemen sollten Vorkehrungengetroffen werden und auf einer Liste Verantwortliche und Tel.Nummern notiert werden
I Wo konnen Ersatzarbeitsplatze geschaffen werden? Wie wirdder Notbetrieb gestartet? Wie wird ein Backup zuruckgespielt?
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 10/63
Einfuhrung
Gut gewahlte Passworter sollten eingesetzt werden
I Um sich gegen Hackerwerkzeuge zu schutzen, dievollautomatisch alle moglichen Zeichenkombinationenausprobieren oder ganze Worterbucher einschließlich gangigerKombinationen aus Worten und angefugten Zahlen testen,muss ein Passwort bestimmten Qualitatsanforderungen genugen
I Es sollte langer als sieben Zeichen sein, nicht in Worterbuchernvorkommen, nicht aus Namen bestehen und auchSonderzeichen oder Ziffern enthalten (Voreingestellte oder leerePassworter sollten geandert werden)
I Jedes Passwort sollte in regelmaßigen Zeitabstanden geandertwerden!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 11/63
Einfuhrung
Mechanismen sollten sorgfaltig ausgesucht werden
I Viele Hersteller haben bereits optional Sicherheitsmechanismenwie Passwortschutz oder Verschlusselung in ihre Produkteintegriert
I Produktentwickler, die sich nicht viele Jahre intensiv damitbefasst haben, konnen unmoglich sichere Verfahren entwickeln;Trotzdem wird oft selbstentwickelte Verschlusselung angeboten,die in der Regel unsicher ist
I Man sollte hinterfragen welche Verfahren der Hersteller einsetztI Nach Moglichkeit sollte es sich um standardisierte, allgemein
anerkannte Algorithmen handeln
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 12/63
Einfuhrung
Vorhandene Schutzmechanismen sollten genutzt werden
I Viele Programme, die in einem gewohnlichenClient-Server-basierten Netz zur Burokommunikation genutztwerden, verfugen inzwischen uber eine Vielzahl hervorragenderSchutzmechanismen
I Fast immer resultieren Schwachstellen aus falscherKonfiguration oder aus Unkenntnis der vorhandenenMoglichkeiten zur Absicherung
I Die vom Hersteller implementierten Sicherheitsfunktionen und-mechanismen sollten daher analysiert, verstanden undeingesetzt werden
I Sicherheitsanforderungen konnen technisch erzwungen werden!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 13/63
Einfuhrung
Einwurf: “Why Johnny can’t encrypt”
I Oft werden Sicherheitsmechanismen wie Verschlusselung voneMails nicht genutzt weil das User-Interface-Design schlecht ist
I Paper “Why Johnny Can’t Encrypt: A Usability Evaluation ofPGP 5.0” aus dem Jahre 2005 untersuchte obNicht-Informatiker es schaffen in 90 Minuten eine Nachricht zuverschlusseln/signieren
I Probanden hatten kein Vorwissen uber das Konzept derasymmetrischen Kryptographie
I Ein Viertel der Teilnehmer verschickten irrtumlichen ihrenPrivate Key mit der Nachricht
I Uber die Halfte der Teilnehmer verschlusselten Nachrichten mitdem eigenen Public Key
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 14/63
Einfuhrung
Einwurf: “Why Johnny can’t encrypt”
I Oft werden Sicherheitsmechanismen wie Verschlusselung voneMails nicht genutzt weil das User-Interface-Design schlecht ist
I Paper “Why Johnny Can’t Encrypt: A Usability Evaluation ofPGP 5.0” aus dem Jahre 2005 untersuchte obNicht-Informatiker es schaffen in 90 Minuten eine Nachricht zuverschlusseln/signieren
I Probanden hatten kein Vorwissen uber das Konzept derasymmetrischen Kryptographie
I Ein Viertel der Teilnehmer verschickten irrtumlichen ihrenPrivate Key mit der Nachricht
I Uber die Halfte der Teilnehmer verschlusselten Nachrichten mitdem eigenen Public Key
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 14/63
Einfuhrung
Besonders umstandliche Sicherheitsanforderungen solltenvermieden werden
I Es sollten moglichst nur solche Sicherheitsvorgaben gemachtwerden, deren Einhaltung praktikabel ist und die nicht voneinem Großteil der Betroffenen als schikanos erachtet werden
I Zur Umsetzung von Maßnahmen mussen auch die technischeund organisatorische Infrastruktur bereitgestellt werden
I Im Zweifelsfall sollten die Anforderungen eher etwasheruntergeschraubt werden und dafur strenger auf derenEinhaltung geachtet werden
I Es empfiehlt sich auch, alle Maßnahmen, die besonders tief indie gewohnte Arbeitsweise eingreifen, mit betroffenenAnwendern vorher zu besprechen (→ Schulung)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 15/63
Einfuhrung
Informationssicherheit sollte regelmaßig uberpruft werden
I Das Niveau der Informationssicherheit sollte regelmaßigbewertet und kontrolliert werden
I Wenn ein ausreichendes Budget zur Verfugung steht, sollteuberlegt werden, einmal pro Jahr unabhangige Experten mitder Uberprufung von besonders kritischen Bereichen der IT zubeauftragen
I Gibt es neue Sicherheitsstandards oder neue, wichtigeTechniken?
I Haben sich die Erwartungen von Kunden undGeschaftspartnern geandert?
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 16/63
Einfuhrung
Maßnahmen zum Zutrittsschutz mussen umgesetzt werden
I Es gilt zu uberlegen, wo sich Besucher und Betriebsfremde inder Regel aufhalten und auf welche IT-Systeme sie dabeizugreifen konnten
I Besonders Server oder Rechner, mit denen auf sensitive Datenzugegriffen wird, sollten so aufgestellt sein, dass Fremde sichnicht unbemerkt an ihnen zu schaffen machen konnen
I Die Tatigkeit von Handwerkern, Servicetechnikern undReinigungspersonal sollte bewusst geplant und allenMitarbeitern bekannt gegeben werden
I Notebooks sollten nie unbeaufsichtigt zuruckgelassen werdenund ggf. auch im Buro nachts oder bei langerer Abwesenheiteingeschlossen werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 17/63
Einfuhrung
IT-Sicherheitskonzept
I Schutzmaßnahmen hangen von der konkreten Einsatzumgebungund vom Schutzbedarf der zu verarbeitenden Daten ab
I Alle Sicherheitsmaßnahmen mussen so aufeinander abgestimmtwerden, dass sich in der Gesamtheit ein fur die Institutionangemessenes Sicherheitsniveau ergibt
I Fur die Etablierung und Umsetzung derIT-Sicherheitsmaßnahmen gibt es standardisierteVorgehensmodelle, zB: ISO-Standards 27001 und 27002,IT-Grundschutz des BSI
I Vorgehensmodelle beschreiben den Aufbau einesIT-Sicherheitskonzeptes
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 18/63
Einfuhrung
ISO Standards
I ISO/IEC 27001: Information technology — Security techniques— Information security management systems — Requirements
I “This International Standard has been prepared to providerequirements for establishing, implementing, maintaining andcontinually improving an information security managementsystem.”
I ISO/IEC 27002: Information technology — Security techniques— Code of practice for information security controls
I “This International Standard is designed for organizations touse as a reference for selecting controls within the process ofimplementing an Information Security Management System(ISMS) based on ISO/IEC 27001.”
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 19/63
Einfuhrung
ISO/IEC 27001
I Der Standard ISO/IEC 27001 enhalt sieben wesentliche Kapitel:
1. Context of the organization
2. Leadership
3. Planning
4. Support
5. Operation
6. Performance evaluation
7. Improvement
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 20/63
Einfuhrung
ISO/IEC 27001: Uberblick
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 21/63
Einfuhrung
ISO/IEC 27001: Context of the organization
I Die Aufgabe der Organisation ist es eine Umgebungsanalysedurchzufuhren
I Welche internen/ externen Faktoren sind relevant fur dasIT-Sicherheitsmanagement?
I Das Ziel bzw. die Abgrenzung des IT-Sicherheitsmanagementmuss ermittelt werden
I Fur die gegebene Zielsetzung mussen entsprechendeAnforderungen definiert werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 22/63
Einfuhrung
ISO/IEC 27001: Leadership
I Diese Teil des Standards betrifft die Fuhrung (Management)der Organisation
I IT-Sicherheits-Richtlinien mussen durch die Fuhrung entwickeltund festgehalten werden
I Eine detailierte Dokumentation von IT-Sicherheits-Richtlinienmuss erstellt werden
I Das Vorhandensein der benotigten Ressourcen musssichergestellt werden
I Unterstutzung von Angestellten zur Umsetzung der RichtlinienI Zustandigkeiten mussen definiert werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 23/63
Einfuhrung
ISO/IEC 27001: Planning
I In der Planung wird ein Umsetzungsplan fur das benotigteIT-Sicherheitsmanagement entwickelt (Zeitplan, Arbeitsschritte,Zustandigkeiten etc.)
I Ein wichtiger Teil der Planung ist das Identifizieren vonMoglichen Risiken
I Eine Risikoanlyse wird durchgefuhrt (Information security riskassessment) in welcher identifizierte Risiken bewertet werden
I Weiters mussen entsprechende Maßnahmen definiert werden(Information security risk treatment) welche beim Eintrittentsprechender Risiken durchgefuht werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 24/63
Einfuhrung
ISO/IEC 27001: Support
I In diesem Punkt mussen benotigte unterstutzende Faktorendefiniert werden
I Dies beinhaltet benotigte Ressourcen sowie entsprechendeKompetenzen
I Weiters muss dokumentierte Information welche fur dasIT-Sicherheitsmanagement benotigt wird definiert werden
I Auch die Definition der benotigten internen/ externenKommunikation fur das IT-Sicherheitsmanagement fallt unterdiesen Punkt
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 25/63
Einfuhrung
ISO/IEC 27001: Operation
I Unter diesen Punkt fallt die operative Planung und KontrolleI Der im Punkt Planning definierte Umsetzungsplan fur das
benotigte IT-Sicherheitsmanagement wird implementiert undkontrolliert
I Dies beinhaltet eine wiederholte Durchfuhrung einerRisikobewertung und entsprechender Maßnahmen
I Risikobewertung und entsprechender Maßnahmen sollten inentsprechenden Berichten dokumentiert werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 26/63
Einfuhrung
ISO/IEC 27001: Performance evaluation
I Die Organisation muss die Effektivitat des eingefuhrtenIT-Sicherheitsmanagement analysieren und evaluieren
I Dazu muss definiert werden wann eine solche Evaluierungdurchgefuhrt wird und von wem
I Weiters muss definiert werden welche Aspekte/ Prozesse/Personen analysiert werden mussen
I Die Methoden der Messung mussen eine Wiederholung derMessung mit gleichen Ergebnissen erlauben (Reproducibility)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 27/63
Einfuhrung
ISO/IEC 27001: Improvement
I Die sich aus der Evaluierung ergebenden (potentiellen) Fehlermussen identifiziert und korregiert werden
I Das korrigierte System muss im nachsten Schritt erneutevaluiert werden
I Das Ergebnis der Verbesserung muss dokumentiert werdenI Ensprechende Verbesserungen sollten bei Bedarf wiederholt
durchgefuhrt werden
Die in ISO/IEC 27001 definierten Schritte sowie geeigenteMechanismen zur Umsetzung werden in ISO/IEC 27002detailierter beschrieben.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 28/63
Einfuhrung
Der IT-Grundschutz des BSI I
I Die Methode des IT-Grundschutzes basiert auf zwei Werken:
1. Dem BSI-Standard 100-2, der die IT-Grundschutz-Vorgehensweise beschreibt,
2. und den IT-Grundschutz-Katalogen, welche die Baustein-,Gefahrdungs- und Maßnahmenkataloge enthalten.
I Der IT-Grundschutz nutzt die Tatsache, dass ein Großteil der inder Praxis vorhandenen IT-Systeme und Anwendungen von denAnwendern ahnlich und in vergleichbaren Einsatzumgebungenbetrieben wird.
I Beispiele: Server unter Unix, Client-PCs unter Windows oderDatenbankanwendungen.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 29/63
Einfuhrung
Der IT-Grundschutz des BSI II
I Durch den Einsatz dieser typischen Komponenten ergeben sichimmer wieder ahnliche Gefahrdungen fur den IT-Betrieb. Wennnicht besondere Sicherheitsanforderungen vorliegen, sind dieseGefahrdungen weitgehend unabhangig vom Nutzungsszenario.
I Hieraus ergeben sich zwei Ideen fur die Herangehensweise:1. Eine umfassende Risikoanalyse ist nicht immer notwendig: Die
Gefahrdungen fur den IT-Betrieb und die Wahrscheinlichkeit furSchaden, die sich aus diesen Gefahrdungen ergeben, lassen sichunter bestimmten Voraussetzungen pauschalisieren.
2. Es ist nicht immer notwendig, Sicherheitsmaßnahmen fur jedenAnwendungsfall neu zu entwickeln: Es lassen sich Bundel vonStandard- Sicherheitsmaßnahmen ableiten, die bei normalenSicherheitsanforderungen einen angemessenen undausreichenden Schutz vor diesen Gefahrdungen bieten.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 30/63
Einfuhrung
Der IT-Grundschutz des BSI III
I Auf Basis dieser Annahmen schlagt IT-Grundschutz eineVorgehensweise zur Erstellung und Prufung vonSicherheitskonzepten vor.
I Im BSI-Standard 1002 zur IT-Grundschutz-Vorgehensweise istSchritt fur Schritt beschrieben, wie einInformationssicherheitsmanagement in der Praxis aufgebautund betrieben werden kann.
I IT-Grundschutz interpretiert damit die sehr allgemeingehaltenen Anforderungen der ISO-Standards 27001 und 27002und hilft Anwendern in der Praxis bei der Umsetzung mit vielenHinweisen, Hintergrundwissen und Beispielen.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 31/63
Einfuhrung
Der IT-Grundschutz des BSI IV
I Eines der wichtigsten Ziele des IT-Grundschutzes ist es, denAufwand im Informationssicherheitsprozess zu reduzieren,indem bekannte Vorgehensweisen zur Verbesserung derInformationssicherheit gebundelt und zur Wiederverwendungangeboten werden.
I So enthalten die IT-Grundschutz- KatalogeStandard-Gefahrdungen und -Sicherheitsmaßnahmen furtypische IT-Systeme, die nach Bedarf im Unternehmeneingesetzt werden konnen.
I Hier finden sich praxiserprobte Standard-Sicherheitsmaßnahmenfur typische IT-Systeme, die nach dem aktuellen Stand derTechnik umzusetzen sind, um ein angemessenesSicherheitsniveau zu erreichen.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 32/63
Einfuhrung
Der IT-Grundschutz des BSI V
I Erst bei einem signifikant hoheren Schutzbedarf oder furIT-Systeme, die nicht in den IT-Grundschutz-Katalogenbehandelt werden, muss eine erganzende Sicherheitsanalysedurchgefuhrt werden.
I Zusammenfassend ergeben sich folgende Vorteile durch eineOrientierung am IT-Grundschutz:
I Standard-Sicherheitsmaßnahmen werden konkret und detailliertbeschrieben
I Die resultierenden Sicherheitskonzepte sind erweiterbar,aktualisierbar und kompakt, da sie auf eine existierendeReferenzquelle verweisen
I Die umzusetzenden Sicherheitsmaßnahmen sind praxiserprobtund so ausgewahlt, dass ihre Umsetzung moglichstkostengunstig moglich istDr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 33/63
Einfuhrung
IT-Sicherheitskonzept (BSI) I
I Erarbeitung eines IT-Sicherheitskonzeptes erfolgt in mehrerenSchritten:
1. IT-Strukturanalyse in der alle Bestandteile des IT-Verbundder Institution beschrieben werden
2. Schutzbedarfsanalyse ermittelt an Hand von moglichenSchadensszenarien den Schutzbedarf der Daten, IT-Systemeund Raumlichkeiten
3. Gefahrdungsanalyse in der mogliche Gefahrdungen, dieSchaden verursachen konnen, ermittelt werden
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 34/63
Einfuhrung
IT-Sicherheitskonzept (BSI) II
4. Risikoanalyse bewertet die Gefahrdungen an Hand derEintrittswahrscheinlichkeit und den moglichen Schaden(ermittelt in der Schutzbedarfsanalyse), die durch dieermittelten Gefahrdungen entstehen konnen.
5. Schutzmaßnahmen werden an Hand der Risikoanalyse furjede Gefahrdung ausgewahlt
6. Evaluierung geschieht extern oder intern und uberpruft, ob dieausgewahlten Schutzmaßnahmen wirksam und ausreichendsind, um den IT-Verbund in seiner Gesamtheit zu schutzen
I Die einzelnen Umsetzungspunkte, insbesondere Bedrohungs-und Risikoanalyse erfordern fundierte Kenntnisse uberSicherheitsprobleme und Schwachstellen!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 35/63
Einfuhrung
IT-Sicherheit als Querschnittsaufgabe
I Im Anschluss mussen die Schutzmaßnahmen umgesetzt und imlaufenden Betrieb aufrechterhalten werden
I Dies erfordert die Uberwachung der Einhaltung derSchutzmaßnahmen und Anpassungen am Sicherheitskonzept
I Beispiel: bei Sicherheitsvorfallen oder Anderungen derBewertung eingesetzter kryptographischer Verfahren
I Ressourcen mussen bereitgestellt werden und klareVerantwortlichkeiten mussen benannt werden
I IT-Sicherheit ist eine Querschnittsaufgabe, die alle Bereicheeiner Institution betreffen und muss daher imVerantwortungsbereich der Fuhrung liegen!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 36/63
Einfuhrung
Ebenen eines IT-Sicherheitsmanagementsystem (BSI)Initiierung des IT-Sicherheitsprozesses- Erstellung einer Sicherheitsleitlinie- Einrichtung des IT-Sicherheitsmanagements
+ Aufbau einer IT-Sicherheitsorganisation+ Bereitstellung von Ressourcen+ Einbindung aller Mitarbeiter
↓Erstellung eines IT-Sicherheitskonzepts- IT-Strukturanalyse- Schutzbedarfsfeststellung- Gefahrdungsanalyse- Risikoanalyse- Auswahl von Schutzmaßnahmen- Validierung und Evaluation
↓Umsetzung der Schutzmaßnahmen- technische Maßnahmen- organisatorische Maßnahmen- personelle Maßnahme- infrastrukturelle Maßnahmen
↓Aufrechterhaltung im laufenden Betrieb
strategische Ebene(Leitungsaufgabe)
taktische Ebene
operative Ebene
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 37/63
IT-Sicherheitskonzept
IT-Sicherheitskonzept nach IT-Grundgesetz I
I Fur Standardkomponenten eines IT-Verbundes, fur die sich einnormaler Schutzbedarf ergibt, wurden vom BSI bereitsGefahrdungs- und Risikoanalysen durchgefuhrt undSchutzmaßnahmen vorgeschlagen (beschrieben in denIT-Grundschutzkatalogen1)
I Vorgehen umfasst: Strukturanalyse, Schutzbedarfsfestellung,Modellierung des IT-Verbundes (Formulierung der Bestandteiledes IT-Verbundes), Auswahl von Maßnahmen undBasis-Sicherheitscheck, bei normalem Schutzbedarf
I Fur IT-Systeme, mit hohem bis sehr hohem Schutzbedarf (bzw.die im Grundschutz nicht vorgesehen sind), mussen zusatzlichGefahrdungs- und Risikoanalysen durchgefuhrt werden
1https://www.bsi.bund.de/DE/Themen/ITGrundschutz/StartseiteITGrundschutz/Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 38/63
IT-Sicherheitskonzept
IT-Sicherheitskonzept nach IT-Grundgesetz IIIT-Strukturanalyse- Erfassung der Raumlichkeiten, Netze, IT-Systeme und IT-Anwendungen- Gruppenbildung
↓Schutzbedarfsfeststellung
normal ↙ ↘ hoch, sehr hochIT-Grundschutzanalyse- Modellierung- Auswahl von Maßnahmen- Basis-Sicherheitscheck
Gefahrdungsanalyse- Gefahrdungsubersicht- zusatzliche Gefahrdugen
↓Risikoanalyse- Gefahrdungsbewertung
↓Maßnahmen- Auswahl von Maßnahmen- Restrisikoanalyse
Realisierungsplanung- Konsolidierung der Maßnahmen- Umsetzungsplan
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 39/63
IT-Sicherheitskonzept
IT-Strukturanalyse I
I Ziel der Strukturanalyse ist die Darstellung aller Bestandteiledes IT-Verbundes und ihrer Beziehungen untereinander:
1. Geschaftsprozesse (z.B. Personalverwaltung, Entgegennahmevon Bestellungen),
2. Daten/Informationen (z.B. Personaldaten, Vertrage, aber auchtechnische Informationen wie Konfigurationsdateien),
3. Anwendungen (z.B. Betriebssysteme, Office-, E-Mail-,Backup-Programme),
4. IT-Systeme (z.B. Computer, Server, Router, USB-Sticks),
5. Kommunikationsnetze (z.B. Intranet, Internet),
6. Raumlichkeiten (z.B. Buros, Standorte).Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 40/63
IT-Sicherheitskonzept
IT-Strukturanalyse II
I Die Erhebung muss strukturiert erfolgenI Ausgehend von den Geschaftsprozessen werden zunachst alle
relevanten Daten/Informationen erhoben, die fur dieGeschaftsprozesse benotigt werden
I Im nachsten Schritt werden dann alle Anwendungen, die dieerhobenen Daten/Informationen verarbeiten und darauf folgenddie IT-Systeme, auf denen die Anwendungen laufen, ermittelt
I Zum Abschluss werden die Raumlichkeiten ermittelt, in denenermittelte IT-Systeme stehen und die Kommunikationsnetze, andenen die IT-Systeme angeschlossen sind
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 41/63
IT-Sicherheitskonzept
IT-Strukturanalyse III
I Um die Komplexitat zu verringern, sollten ahnliche Objekte zuGruppen zusammengefasst werden, z.B., wenn sie
I vom gleichen Typ sind,I ahnlich konfiguriert sind,I ahnlich in das Netz eingebunden sind,I ahnlichen Rahmenbedingungen unterliegen,I ahnliche Anwendungen bedienen.
I Typischerweise konnen Arbeitsplatzrechner von Mitarbeitern,die ahnliche Aufgaben erledigen, zu einer Gruppezusammengefasst werden. Gleiches gilt fur Buroraume.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 42/63
IT-Sicherheitskonzept
SchutzbedarfsfeststellungSchutzbedarfsanalyse gliedert sich in mehrere Schritte.
I Zunachst wird der Schutzbedarf der Informationen bestimmt.I Der Schutzbedarf der IT-Systeme und Kommunikationsnetze
richtet sich dann im Wesentlichen nach dem Schutzbedarf derin diesen Systemen zu verarbeitenden Informationen.
I Ahnlich wird der Schutzbedarf der Raume, in denen dieIT-Systeme untergebracht sind, bestimmt.
Ergebnis ist eine AuflistungI des Schutzbedarfs aller in der IT-Strukturanalyse aufgefuhrten
Teile hinsichtlich der Schutzziele Vertraulichkeit, Integritat undVerfugbarkeit
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 43/63
IT-Sicherheitskonzept
Modellierung IIdee des IT-Grundschutz: Beschreibung der Bestandteile (Prozesse,Anwendungen, IT-Systeme, Kommunikationsnetze, Raumlichkeiten)einer Institution als Bausteine
I nicht jeder Rechner wird einzeln betrachtet, sondern ahnlicheRechner mit ahnlichen Aufgaben zusammengefasst (Reduktionder Komplexitat
I Zu jedem Baustein finden sich in den IT-GrundschutzkatalogenGefahrdungen und entsprechende Maßnahmen gegen dieseGefahrdungen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 44/63
IT-Sicherheitskonzept
Modellierung IIZiel der Modellierung: Beschreibung der Komponenten des in derStrukturanalyse bestimmten IT-Verbunds als BausteineLassen sich typischerweise den folgenden funf Schichten zuordnen:
I Schicht 1 umfasst die ubergreifenden Aspekte, d.h. Aspekte,die sich auf den gesamten IT-Verbund beziehen (z.B.Organisation des IT-Sicherheitsmanagementprozesses).
I Schicht 2 beschaftigt sich mit der baulich-technischenInfrastruktur (z.B.Gebaude, Buro- und Serverraume).
I Schicht 3 betrachtet die IT-Systeme (z.B. Client unter MacOS X, Server unter Unix).
I Schicht 4 erfasst die Kommunikationsnetze (z.B. WLAN,heterogene Netze).
I Schicht 5 schließlich beschaftigt sich mit den Anwendungen(z.B. E-Mail, Datenbanken).
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 45/63
IT-Sicherheitskonzept
Auswahl von Maßnahmen II Im Schritt Modellierung wurden alle Komponenten als
Bausteine formuliertI In den IT-Grundschutzkatalogen finden sich fur jeden Baustein:
I GefahrdungenI Schutzmaßnahmen
Gilt nur fur Bausteine mit Schutzbedarf normalDie Gefahrdungen werden werden im IT-Grundschutz wie folgtkategorisiert:
I Hohere GewaltI Organisatorische MangelI Menschliche FehlhandlungenI Technisches VersagenI Vorsatzliche Handlungen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 46/63
IT-Sicherheitskonzept
Auswahl von Maßnahmen IIEntsprechende Schutzmaßnahmen finden sich in folgendenKategorien:
I Planung und KonzeptionI UmsetzungI BetriebI AussonderungI Notfallvorsorge
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 47/63
IT-Sicherheitskonzept
Auswahl von Maßnahmen IIIBei der Auswahl und Anpassung der Schutzmaßnahmen sollten diefolgende Aspekte berucksichtigt werden:
I Wirksamkeit: Sie mussen vor den moglichen Gefahrdungenwirksam schutzen
I Eignung: Sie mussen in der Praxis einsetzbar sein, d.h. keineOrganisationsablaufe behindern oder andere Schutzmaßnahmenaushebeln
I Praktikabilitat: Sie sollten leicht verstandlich, einfachanwendbar und wenig fehleranfallig sein
I Akzeptanz: Sie sollten barrierefrei sein und niemandendiskriminieren
I Wirtschaftlichkeit: Sie sollten das Risiko bestmoglichminimieren aber auch in einem geeigneten Verhaltnis zu den zuschutzenden Werten stehen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 48/63
IT-Sicherheitskonzept
Basis-Sicherheitscheck
I Falls die IT-Grundschutz-Vorgehensweise auf einenexistierenden Informationsverbund angewandt wird, mussgepruft werden, welche Standard- Sicherheitsmaßnahmen, diein der Modellierung als
I erforderlich identifiziert wurden,I bereits umgesetzt sindI und wo noch Defizite bestehen
I Hierzu werden Interviews mit den Verantwortlichen undstichprobenartige Kontrollen durchgefuhrt
I Dieser Arbeitsschritt wird als Basis-Sicherheitscheck bezeichnet
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 49/63
Schadensszenarien
Schadensszenarien IStarke der eingesetzten Schutzmaßnahmen hangt ab vomSchutzbedarf der
I Geschaftsprozesse,I Informationen,I IT-Systeme,I Kommunikationsnetze,I Raumlichkeiten
hinsichtlich der SchutzzieleI Vertraulichkeit,I Integritat,I Authentizitat,I Nichtabstreitbarkeit,I Verfugbarkeit
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 50/63
Schadensszenarien
Schadensszenarien IITypische Schadensszenarien
I Verstoß gegen Gesetze, Vorschriften, VertrageI Beeintrachtigung des informationellen SelbstbestimmungsrechtsI Beeintrachtigung der personlichen UnversehrtheitI Beeintrachtigung der AufgabenerfullungI Negative Innen- oder AußenwirkungI Finanzielle Auswirkungen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 51/63
Schadensszenarien
Schadensszenarien IIIVerstoß gegen Gesetze/Vorschriften/Vertrage:Die Schwere des Schadens ist abhangig von den rechtlichenKonsequenzen, die sich aus dem Nichterreichen der obenaufgefuhrten Ziele ergeben konnen.Beispiele fur in Deutschland relevante Gesetze, Vorschriften undVertrage sind:
I Gesetze: Grundgesetz, Burgerliches Gesetzbuch,Bundesdatenschutzgesetz und Datenschutzgesetze der Lander,Informations- und Kommunikationsdienstgesetz, Gesetz zurKontrolle und Transparenz im Unternehmen
I Vorschriften: Verschlusssachenanweisung.Verwaltungsvorschriften, Verordnungen und Diesntvorschriften
I Vertrage zur Wahrung von Betriebsgeeihmnissen,Dienstleistungsvertrage im Bereich Datenverarbeitung
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 52/63
Schadensszenarien
Schadensszenarien IVBeeintrachtigung des informationellenSelbstbestimmungsrechts:, z.B.
I Unzulassige Erhebung personenbezogener Daten ohneRechtsgrundlage oder Einwilligung,
I unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. derUbermittlung von personen- bezogenen Daten,
I unbefugte Weitergabe personenbezogener Daten,I Nutzung von personenbezogenen Daten zu einem anderen, als
dem bei der Erhebung zulassigen Zweck,I Verfalschung von personenbezogenen Daten in IT-Systemen
oder bei der Ubertragung
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 53/63
Schadensszenarien
Schadensszenarien VBeeintrachtigung der personlichen Unversehrtheit:Fehlfunktionen von IT-Systemem konnen unmittelbar zugesundheitlichen Schaden (Verletzungen, Invaliditat oder Tod vonPersonen) fuhren.Beispiele hierfur sind
I medizinische Uberwachungsrechner,I medizinische Diagnosesysteme,I Flugkontrollrechner,I Verkehrsleitsysteme
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 54/63
Schadensszenarien
Schadensszenarien VIBeeintrachtigung der Aufgabenerfullung: Der Verlust der ZieleVerfugbarkeit oder Integritat von Daten kann die Aufgabenerfullungin einer Institution erheblich beeintrachtigen.Beispiele hierfur sind
I Fristversaumnisse durch verzogerte Bearbeitung vonVerwaltungsvorgangen,
I verspatete Lieferung aufgrund verzogerter Bearbeitung vonBestellungen,
I fehlerhafte Produktion aufgrund falscher Steuerungsdaten,I unzureichende Qualitatssicherung durch Ausfall eines
Testsystems
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 55/63
Schadensszenarien
Schadensszenarien VIINegative Innen- oder Außenwirkung: Durch den Verlust einerder Ziele Vertraulichkeit, Integritat oder Verfugbarkeit einerIT-Anwendung konnen verschiedenartige negative Innen- oderAußenwirkungen entstehen.Beispiele hierfur sind
I Ansehensverlust einer Institution,I Vertrauensverlust gegenuber einer Institution,I Demoralisierung der Mitarbeiter,I Beeintrachtigung der wirtschaftlichen Beziehungen
zusammenarbeitender Institutionen,I verlorenes Vertrauen in die Arbeitsqualitat einer Institution,I Einbuße der Konkurrenzfahigkeit
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 56/63
Schadensszenarien
Schadensszenarien VIIIFinanzielle Auswirkungen: Finanzielle Schaden konnen durch denVerlust der Vertraulichkeit schutzbedurftiger Daten, die Veranderungvon Daten oder den Ausfall von IT-Anwendungen entstehen.Beispiele hierfur sind
I unerlaubte Weitergabe von Forschungs- undEntwicklungsergebnissen,
I Ausfall eines IT-gesteuerten Produktionssystems und dadurchbedingte Umsatzverluste,
I Einsichtnahme in Marketingstrategiepapiere oderUmsatzzahlen,
I Ausfall eines Buchungssystems einer Reisegesellschaft,I Zusammenbruch des Zahlungsverkehrs einer Bank,I Diebstahl oder Zerstorung von Hardware
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 57/63
Schadensszenarien
Schadensszenarien IXUblich ist die Einteilung in die folgenden drei Kategorien:
mittel Die Schadensauswirkungen sind begrenzt und uberschau-bar
hoch Die Schadensauswirkungen konnen betrachtlich seinsehr hoch Die Schadensauswirkungen konnen ein existentiell bedroh-
liches, katastrophales Ausmaß erreichen.
Tabelle: Schutzbedarfskategorien
Berucksichtigung der individuellen Gegebenheiten einer Institution:I Ein Verlust von 200.000 Euro ist fur einen großen Konzern
nicht bedrohlich,I kann bei ein kleines Unternehmen aber zur Insolvenz fuhren
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 58/63
Schadensszenarien
Beispiel: Baustein Client unter Mac OS X IFur diesen Baustein gibt der IT-Grundschutz Gefahrdungen an:
I Hohere Gewalt: Ausfall von IT-Systemen, Feuer, Wasser, Staub,Verschmutzung
I Organisatorische Mangel: Fehlende oder unzureichendeRegelungen, Mangelhafte Anpassung an Veranderungen beimIT-Einsatz, Unzureichendes Schlusselmanagement beiVerschlusselung
I Menschliche Fehlhandlungen: Fahrlassige Zerstorung von Geratoder Daten, Nichtbeachtung von Sicherheitsmaßnahmen,Gefahrdung durch Reinigungs- oder Fremdpersonal, FehlerhafteNutzung von IT-Systemen, Fehlerhafte Administration vonIT-Systemen, Fehlerhafte Konfiguration von Mac OS X,Unsachgemaßer Umgang mit FileVault-Verschlusselung
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 59/63
Schadensszenarien
Beispiel: Baustein Client unter Mac OS X II
I Technisches Versagen: Defekte DatentragerI Vorsatzliche Handlungen: Manipulation an Informationen oder
Software, Abhoren von Leitungen, Unberechtigte IT-Nutzung,Systematisches Ausprobieren von Passwortern, TrojanischePferde, Schadprogramme, Abhoren von Raumen mittelsRechner mit Mikrofon und Kamera, Vertraulichkeitsverlustschutzenswerter Informationen, Kompromittierungkryptographischer Schlussel, Integritatsverlust schutzenswerterInformationen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 60/63
Schadensszenarien
Beispiel: Baustein Client unter Mac OS X IIISchutzmaßnahmen gegen diese Gefahrdungen finden sich ebenfallsin den IT-Grundschutzkatalogen:
I Planung und Konzeption: Planung des sicheren Einsatzes vonMac OS X, Planung der Sicherheitsrichtlinien von Mac OS X,Zugriffschutz der Benutzerkonten unter Mac OS X, Einsatz derSandbox-Funktion unter Mac OS X, Festlegung vonPasswortrichtlinien unter Mac OS X, Einschrankung derProgrammzugriffe unter Mac OS X, Secure Shell
I Umsetzung: Aktivieren der Systemprotokollierung,Konfiguration von Mac OS X Clients, Einsatz von FileVaultunter Mac OS X, Deaktivierung nicht benotigter Hardwareunter Mac OS X, Deaktivieren nicht benotigter Mac OSX-Netzdienste, Konfiguration der Mac OS X Personal Firewall,Sicherheit beim Fernzugriff unter Mac OS X
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 61/63
Schadensszenarien
Beispiel: Baustein Client unter Mac OS X IV
I Betrieb: Einsatz der Protokollierung im Unix-System,Regelmaßiger Sicherheitscheck des Unix-Systems, Uberprufungder Signaturen von Mac OS X Anwendungen, SichereDatenhaltung und sicherer Transport unter Mac OS X
I Aussonderung: Aussonderung eines Mac OS X SystemsI Notfallvorsorge: Einsatz von Apple-Software-Restore unter Mac
OS X, Verhaltensregeln nach Verlust der Systemintegritat,Datensicherung und Wiederherstellung von Mac OS X Clients,Wiederherstellung von Systemparametern beim Einsatz vonMac OS X
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 62/63
Schadensszenarien
Beispiel: Baustein Client unter Mac OS X VZu jeder Maßnahme finden sich detaillierte Beschreibungeninsbesondere dazu,
I wer fur diese Maßnahme verantwortlich ist(z.B. IT-Sicherheitsbeauftrager, Administrator, Anwender),
I wie die Maßnahme konkret umgesetzt werden sollte
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 63/63