Post on 05-Apr-2015
Sicherheit von Informationssystemen
Sicherheit
Überblick
Computer-gestützte Informationssysteme bergen spezielle Sicherheitsrisiken.
Auch das Sicherheitssystem besteht aus den grundlegenden IT-Komponenten: Hardware, Datenbanken, Prozeduren und Berichte (Auswertungen).
Lernziele
1 Wie können Sicherheitsrisiken von IT-Systemen aufgedeckt werden.
2 Virulente und latente Sicherheitsrisiken.3 Wesentliche Kriterien eines IT-
Sicherheitssystems.4 Verfahren des Risiko-Managements.
Lernziel 1
Wie können Sicherheitsrisiken von
IT-Systemen
aufgedeckt werden?
Der Lebenszyklus des IT-Sicherheitssystems
Die Sicherheit von IT-Systemen wird in den Phasen Analyse, Design, Implementation, Operating, Evaluierung und Kontrolle berücksichtigt.
Der Lebenszyklus des IT-Sicherheitssystems
Phase im Lebenszyklus Zielsetzung
Systemanalyse Die Systemschwächen erheben, als Bedrohungs-potential mal möglicherSchadenshöhe
System-Design Berücksichtigung von Sicherheitsvorkehrungenund Ersatzsystemen
Der Lebenszyklus des IT-Sicherheitssystems
Phase im Lebenszyklus Zielsetzung
Systemimplementierung Umsetzung der Sicherheits-features der Design-Phase
Systembetrieb, Systembetrieb mit laufenderEvaluierung und Überprüfung von EffizienzKontrolle und Effektivität. Nötige
Änderungen vornehmen.
Der Lebenszyklus des IT-Sicherheitssystems
Für das Sicherheitssystem ist ein chief security officer (CSO) zuständig.
Der CSO sollte unmittelbar dem Vorstand unterstellt sein um seine Unabhängigkeit zu gewährleisten.
Die Sicherheitsberichte sollten jede Phase des System-Lebenszyklus umfassen.
Analyse von Sicherheitsrisiken
Es gibt zwei Möglichkeiten Systemrisiken zu analysieren:
1 Den quantitativen Ansatz der Risikoerkennung2 Den qualitativen Ansatz der Risikoerkennung
Analyse von Sicherheitsrisiken
Beim quantitativen Ansatz zur Risikofrüherkennung wird jeder mögliche Schadensfall mit seiner Eintrittswahrschein-lichkeit multipliziert.
Welche Schwierigkeiten bringt diese Vorgangsweise mit sich?
Analyse von Sicherheitsrisiken
1 Es kann kompliziert sein die Schäden und ihre Wahrscheinlichkeiten zu schätzen.
2 Um die Schadenswahrscheinlichkeiten abzuschätzen müssen Zukunftsprognosen erstellt werden unsicher.
Analyse von Sicherheitsrisiken
Beim qualitativen Ansatz zur Risikofrüherkennung werden die möglichen Risiken nach dem subjektiven geschätzten Beitrag zum Gesamtrisiko des Unternehmens gereiht.
Beide Methoden müssen zumindest folgende Risiken berücksichtigen:
Analyse von Sicherheitsrisiken
– Unterbrechung der Geschäftstätigkeit– Verlust von Software– Verlust von Daten– Verlust von Hardware– Verlust von Gebäuden– Verlust von Mitarbeitern
Lernziel 2
Virulente und latente Sicherheitsrisiken
Sicherheitslücken und Bedrohungen
Was ist ein Risikopotential (vulnerability)? … eine Systemschwäche. Was ist eine Bedrohung (threat)? Eine Bedrohung ist der Eintritt eines
Risikopotentials. Welche zwei Arten von Bedrohungen gibt es?
Sicherheitslücken und Bedrohungen
1 Virulente Bedrohungen (active threats)2 Latente Bedrohungen (passive threats) Virulente Bedrohungen umfassen
Computermanipulation (computer fraud) und Sabotage. Latente Bedrohungen beinhalten Systemfehler und
Naturkatastrophen. Systemfehler können auch Hardwarefehler sein.
Personen als Risikopotential
Erfolgreiche Computer-Attacken setzen den Zugriff auf Hardware, Daten oder Software voraus.
Drei Personengruppen kommen für solche Angriffe in Frage:
1 EDV-Personal2 Anwender3 Eindringlinge
Personen als Risikopotential
Zum IT-Personal zählen:– Hardware-Wartungspersonal– Programmierer– Netzwerkadministratoren– Sonstige Systemadministratoren– Daten kontrollierende Mitarbeiter
Personen als Risikopotential
Anwender (User) bestehen aus heterogenen Gruppen von Mitarbeitern, deren funktionaler Aufgabenbereich nicht im Bereich Datenverarbeitung liegt.
Ein Eindrigling (intruder) ist jeder, der auf Geräte oder Daten ohne entsprechende Autorisierung zugreift.
Wer sind die Hacker (hackers)?
Personen als Risikopotential
Ein Hacker ist ein Eindringling, welcher das Eindringen in Systeme aus Spaß oder Selbstbestätigung betreibt.
Welche anderen Arten von Eindringlingen gibt es?– unbemerkte Eindringlinge– wiretappers (Abhören von Leitungen)– piggybackers (verwenden fremder Passwörter)– impersonating intruders (annehmen fremder Identitäten)– eavesdroppers (Abhören mittels Kameras, “Wanzen”,
Satelliten, …)
Virulente Gefahren
Für Computer-Mißbrauch gibt es unterschiedliche Möglichkeiten:
– Manipulation des Input– Änderung des Programmcodes– Änderung von Dateien– Datendiebstahl– Zeitdiebstahl (z.B. im wireless LAN)
Virulente Gefahren
– Sabotage– etc. Die häufigste Methode ist die Input-
Manipulation. Dazu werden die geringsten technischen
Fähigkeiten benötigt!
Virulente Gefahren
Programmcode-Änderung ist das am seltensten beobachtete Verfahren.
Dazu werden Programmierkenntnisse (und Zugriffsberechtigungen) benötigt, über die nur wenige Mitarbeiter im Unternehmen verfügen.
Was ist eine Hintertüre (trapdoor)?
Virulente Gefahren
Ein Teil eines Programmes, der es einem unberechtigten Benutzer gestattet, unter Umgehung der normalen Sicherheitsprüfungen dieses zu verwenden.
Eine direkte Datei-Änderung kann dann stattfinden, wenn es Benutzern möglich ist, die Daten auch mit anderen Werkzeugen (als dem normalen Programm inklusive seiner Sicherheitsprüfungen) zu bearbeiten.
Virulente Gefahren
Datendiebstahl ist heute ein ernsthaftes Problem geworden.
In vielen stark dem Wettbewerb ausgesetzten Branchen werden permanent sowohl qualitative als auch quantitative Daten über Mitbewerber gesucht (Business Intelligence).
Sabotage stellt eine starke Bedrohung für alle IT-Bereiche dar.
Virulente Gefahren
Verärgerte, entlassene Mitarbeiter sind in der Praxis die häufigsten Saboteure.
Welche Sabotage-Methoden sind üblich?– Logische Bomben– Trojanische Pferde– Viren
Virulente Gefahren
Was ist ein Wurm? Dabei handelt es sich um ein Programm, das
sich eigenständig durch ein Netzwerk verbreitet (ohne andere, ausführbare Programme zu infizieren = Virus).
Um Computer-Mißbrauch handelt es sich, wenn Mitarbeiter Computer für eigene
(private) Zwecke verwenden.
Lernziel 3
Wesentliche Kriterien eines IT-Sicherheitssystems
Das IT-Sicherheitssystem
Das Controlling von IT-Bedrohungen wird durch Sicherheitsmaßnahmen und Notfallmaßnahmen bewältigt.
Sicherheitsmaßnahmen konzentrieren sich auf Vorbeugung und Aufdeckung von Bedrohungen.
Notfallpläne sollen die eingetretenen Schäden beheben.
Das Kontroll-Umfeld
Das Kontroll-Umfeld (control environment) ist für die Effektivität des Kontrollsystems von zentraler Bedeutung.
Ein geeignetes Kontroll-Umfeld kann durch folgende Maßnahmen sichergestellt werden:
1 Management-Philosophie und Arbeitsstil Wichtigster Aspekt eines Kontroll-Umfeld sind
hohe moralische Standards im Unternehmen.
Das Kontroll-Umfeld
Laufende Fortbildung (bei Sicherheit des Arbeitsplatzes) wirkt beruhigend und motivierend.
Sicherheitsregeln sollten überwacht werden.2 Organisationsstrukturen In vielen Unternehmen werden die Bereiche
Rechnungswesen, EDV und operatives Management alle einem einzelnen Chief Information Officer (CIO) unterstellt.
Das Kontroll-Umfeld
Für die Entscheidungen betreffend Accounting-Software und Abläufe im Rechnungswesen sollten klar abgegrenzte Linien-Kompetenzen existieren.
3 Der Aufsichtsrat und seine Ausschüsse (Committees)
Der Aufsichtsrat sollte einen Prüfungs-Ausschuß (audit committee) einrichten.
Das Kontroll-Umfeld
Dieser Ausschuß muß einen Innenrevisor bestimmen.
4 Übertragung von Autorität und Verantwortung Die Verantwortlichkeiten aller Positionen im
Unternehmen sollten klar dokumentiert sein (z.B. mittels Organigramm, Verfahrenshandbuch, Stellenbeschreibungen etc.).
Das Kontroll-Umfeld
5 Management Controls Sämtliche IT-Ressourcen und –
Verantwortlichkeiten sollten genau dokumentiert und überwacht werden.
Budgets sollten für folgende Bereiche erstellt werden:– Beschaffung von Hard- und Software,
Das Kontroll-Umfeld
– Kosten des laufenden Betriebs– Wartung und Updates.
In allen Bereichen sollten die Ist-Zahlen mit den Budget-Zahlen verglichen werden.
Die Ursachen für signifikante Abweichungen sollten ergründet werden.
Das Kontroll-Umfeld
6 Innenrevision (Internal Audit Function) Die IT-Sicherheitssysteme müssen permanent
überprüft und an sich ändernde Bedingungen angepaßt werden.
Alle Änderungen der IT-Sicherheitssysteme sollten nur in Übereinstimmung mit der Sicherheitspolitik des Unternehmens vorgenommen werden.
Das Kontroll-Umfeld
7 Personalpolitik Die Aufteilung von Verantwortlichkeiten (4-Augen-
Prinzip), adäquate Überwachung (monitoring), Job Rotation, verpflichtende Freistellungen (forced vacations) und doppelte Überprüfungen (double checks) zählen zu den wichtigsten Methoden im Personalbereich.
8 Externe Einflüsse Das IT-System des Unternehmens muß allen
gesetzlichen Regeln und sonstigen relevanten Standards entsprechen.
Kontrollen virulenter Gefahren
Die wichtigste Strategie zur Abwehr virulenter Gefahren durch Betrug und Sabotage besteht in der Implementierung mehrerer Schichten von Zugriffskontrollen.
Wobei handelt es sich bei diesen Schichten?1 Kontrollen des Site-Zugriffs2 Kontrollen des System-Zugriffs3 Kontrollen des Datei-Zugriffs
Kontrollen virulenter Gefahren
1 Site-Zugriffskontrollen Hauptziel der Site-Zugriffskontrollen ist die
Verwehrung des physischen Zutritts unautorisierter Personen zu den IT-Ressourcen des Unternehmens.
Diese Kontrollen gelten für Hardware, Dateneingabe-Bereiche, Datenausgabe-Bereiche, Datenbestände und Kommunikationskanäle.
Kontrollen virulenter Gefahren
Alle Anwender sollten Identifikations-Marken (mit Fotos) tragen.
Rechenzentren sollten in separaten Gebäuden, die durch Zäune etc. gesichert sind, untergebracht sein.
Der Zugang zu diesen Gebäuden sollte streng limitiert (Türen z.B. stets versperrt) sein.
Kontrollen virulenter Gefahren
TV Monitor
Telephone
Locked Door(entrance)
Locked Door(opened frominside vault)
Intercomto vault
LOBBY
Locked Door
ServiceWindow
DataArchives
INNER VAULT
ScannerMagnetDetector
Kontrollen virulenter Gefahren
2 Kontrollen des System-Zugriffs Dabei handelt es sich um Software-Kontrollen,
welche unberechtigte Anwender an der System-Nutzung hindern sollen.
Instrumente dazu sind z.B. user IDs, Passwöter, IP-Adressen und Hardware-Komponenten (z.B. Kartenleser).
Kontrollen virulenter Gefahren
3 Kontrollen des Datei-Zugriffs Datei-Zugriffskontrollen verhindern sowohl
unberechtigten Daten- als auch Programmdateizugriff.
Das grundlegende Element für Datei-Zugriffskontrollen stellen Zugriffs-Berechtigungsregeln für Änderung und Abfrage von Dateien dar (Betriebssystemebene).
Kontrollen latenter Gefahren
Latente Gefahren stellen z.B. Hardwarefehler oder Stromausfälle dar.
Kontrollen dafür können entweder präventiv oder korrigierend sein.
1 Präventive Kontrollen Fehler-tolerante Systeme werden durch
Redundanz erzielt.
Kontrollen latenter Gefahren
Falls ein Teil eines Systems ausfällt, übernimmt seine Aufgabe sofort eine redundante Komponente, ohne dass die Verarbeitung merklich verzögert wird.
2 Korrigierende Kontrollen Eine einfache Möglichkeit für korrigierende
Kontrollen besteht im Datei-Backup.
Kontrollen latenter Gefahren
Es gibt drei Arten von Backups:1 Full backups2 Incremental backups3 Differential backups
Sicherheit im Internet
Das Internet bedroht die Systemsicherheit in fünf Bereichen:
1 Funktion bzw. Konfiguration des Betriebssystems2 Funktion bzw. Konfiguration des Webservers3 Funktion bzw. Konfiguration des Private Networks4 Einzelne Server-Programme5 Allgemeine Sicherheitsregeln
Sicherheit im Internet
Der Webserver stellt funktional eine Erweiterung des Betriebssystems dar.
Webserver gleichen dem Betriebssystem insofern, als ebenfalls permanent Informationen betreffend Sicherheits-Updates verfolgt werde müssen.
Spezielle Risiken treten dann auf, wenn ein Webserver auf einem Host installiert ist, der außerdem auch noch anderen Usern (als Host) zur Verfügung steht.
Lernziel 4
Verfahren des Risikomanagements
Disaster Risk Management
Disaster risk management besteht in der Aufrechthaltung des laufenden Geschäftsbetriebs im Katastrophenfall.
Disaster risk management besteht aus Vorbeugung und Notfallplänen.
Disaster-Vorbeugung (prevention) ist der erste Schritt im Disaster Risk Management.
Disaster Risk Management
Studien zeigen folgende Häufigkeiten für Katastrophen auf:
Naturkatastrophen 30% Anschläge 45% Fehlleistungen 25%
Daraus folgt, dass ein hoher Prozentsatz dieser Bedrohungen vermieden werden kann!
Disaster Risk Management
Ein Notfalls-Wiederaufbauplan (disaster recovery plan) muss im Unternehmen von der höchsten Instanz eingesetzt werden.
Als erster Schritt sollte dazu das Commitment des Top-Managements und die Einsetzung eines Kommittees erfolgen.
Disaster Risk Management
Dieser Plan sollte aus drei Elementen bestehen:
1 Kritische Unternehmens-Ressourcen erheben;2 Prioritäten für den Wiederaufbau festlegen;3 Strategien und Methoden für den
Wiederaufbau definieren.
Disaster Risk Management
Die Wiederaufbau-Strategien sollten u.a. folgendes berücksichtigen:
– eine Notfall-Auskunftszentrale– Ausweich-Verarbeitungsmöglichkeiten– Ersatzpersonal und Ersatz-Hardware– Daten- und Programmrettung sowie die
Wiederaufnahme (und den Test) des regulären Betriebs