SicherheitskonzeptMICHAEL VOGLERTHOMAS STRABLERDOMINIC WURZERFLORIAN MOLD

Überblick• Definition

• Grundlagen

• Anforderungen

• Ziele

• strukturierte Vorgehensweise

• Gefährdungen

• Sicherheitskonzepte im Alltag

Definition• stellt Analyse möglicher Angriffs- und Schadensszenarien dar

• Aufgabe: definiertes Schutzniveau erreichen

• Sicherheitskonzept = eine Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen

• gewünschte Schutzwirkung durch Kombination

• je nach Schutzobjekt: o baulicheo technischeo organisatorischeo versicherungstechnische

Maßnahmen

• Typische Abläufe und IT-Komponenten überall ähnlich

• Wichtig:◦ Wiederverwendbarkeit◦ Anpassbarkeit◦ Erweiterbarkeit

• Typische Gefährdungen, Schwachstellen und Risiken

• Typische Geschäftsprozesse und Anwendungen

• Typische IT-Komponenten

• Gerüst für das IT-Sicherheitsmanagement wird gebildet

Die Idee ...

Grundlagendrei Säulen der Sicherheit:

• Mechanischer Grundschutz• Elektronische Überwachungseinrichtung• Organisation der Alarmverfolgung des Auftragsgebers

• Anforderungen des Auftraggebers• örtlichen Gegebenheiten• vom Auftraggeber zur Verfügung gestellte Mittel

wichtig ist:• Sicherheitskonzept regelmäßig prüfen• an neue Gegebenheiten anpassen

Anforderungen optimales Sicherheitskonzept - folgende Anforderungen:

• Homogenität der Maßnahmen(keine gefährliche Lücken)

• Vollständigkeit

• Wirksamkeit rund um die Uhr und bei allen Betriebszuständen

• Verhältnismäßigkeit von Kosten und Nutzen(auf der Basis einer Risikoanalyse)

Ziel des SicherheitskonzeptsDurch infrastrukturelle, organisatorische, personelle undtechnische

Standard-Sicherheitsmaßnahmenein

Standard-Sicherheitsniveauaufbauen, das auch für sensiblereBereiche

ausbaufähigist.

• Datensicherheit: • Daten gegen Verlust sichern

• Datenschutz:• Daten gegen Diebstahl sichern

• Datenintegrität:• Daten gegen Manipulation schützen

strukturierte Vorgehensweisestrukturierte Vorgehensweise eines Sicherheitskonzepts:

• Bestimmung des Objekts/Schutzziele• Analyse der Bedrohungen/Gefahren• Eintrittswahrscheinlichkeit bzw. potentielle Schadenserwartung• Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit/Schadenshöhe• Schadensbekämpfung/-eindämmung• Versicherung des Restrisikos

Gefährdungen• höhere Gewalt: Feuer, Wasser, Blitzschlag, ...

• organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ...

• menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur"

• technisches Versagen: Systemabsturz, Plattencrash, ...

• vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

Bedeutung der Gefahrenbereiche

Quelle: KES-Studie 2006

Irrtum und Nachlässigkeit• meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit

• Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1):◦ 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von

wichtigen Daten höher ein als durch Virenbefall◦ 90% davon erklären dies durch einfache Anwenderfehler

1) Quelle: Broadcasters Res. International Information Security

Unzureichende Software-TestsBeispiel: British Airways

Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

• Beispiel für fehlendes/lückenhaftes Sicherheitskonzept

Informationen…

… sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation

… sollten deshalb - unabhängig von ihrer Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.

Quelle: ISO/IEC 17799:2005, Einleitung

Schutz von Informationen

Sicherheitskonzepte im Alltag

Sicherheit

KostenBequemlichkeit

Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“

Erreichbares SicherheitsniveauSi

cher

heits

nive

au

Sicherheitsaspekte

normalerSchutzbedarf

Typische Probleme in der Praxis• Fatalismus und Verdrängung

• Kommunikationsprobleme

• Sicherheit wird als technisches Problem mit technischen Lösungen gesehen

• Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten

• unsystematisches Vorgehen bzw. falsche Methodik

• Management: fehlendes Interesse, schlechtes Vorbild

• Sicherheitskonzepte richten sich an Experten, IT-Benutzer werden vergessen

Stellenwert der Sicherheit „Sicherheit ist Chefsache“

Vorteile• arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich

• kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle

• praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit

• Erweiterbarkeit und Aktualisierbarkeit

Nachteile• sehr Zeitaufwändig

• erfordert Fachkenntnisse

• oft schwierig zu implementieren

Methodik für ein Sicherheitskonzept?

Viele Wege führen zur IT-Sicherheit...

Welcher Weg ist der effektivste?

Fragen?

?

?

???

?

?

Vielen Dank für Ihre Aufmerksamkeit!