Sicherheit von Informationssystemen

Sicherheit

Überblick

Computer-gestützte Informationssysteme bergen spezielle Sicherheitsrisiken.

Auch das Sicherheitssystem besteht aus den grundlegenden IT-Komponenten: Hardware, Datenbanken, Prozeduren und Berichte (Auswertungen).

Lernziele

1 Wie können Sicherheitsrisiken von IT-Systemen aufgedeckt werden.

2 Virulente und latente Sicherheitsrisiken.3 Wesentliche Kriterien eines IT-

Sicherheitssystems.4 Verfahren des Risiko-Managements.

Lernziel 1

Wie können Sicherheitsrisiken von

IT-Systemen

aufgedeckt werden?

Der Lebenszyklus des IT-Sicherheitssystems

Die Sicherheit von IT-Systemen wird in den Phasen Analyse, Design, Implementation, Operating, Evaluierung und Kontrolle berücksichtigt.

Der Lebenszyklus des IT-Sicherheitssystems

Phase im Lebenszyklus Zielsetzung

Systemanalyse Die Systemschwächen erheben, als Bedrohungs-potential mal möglicherSchadenshöhe

System-Design Berücksichtigung von Sicherheitsvorkehrungenund Ersatzsystemen

Der Lebenszyklus des IT-Sicherheitssystems

Phase im Lebenszyklus Zielsetzung

Systemimplementierung Umsetzung der Sicherheits-features der Design-Phase

Systembetrieb, Systembetrieb mit laufenderEvaluierung und Überprüfung von EffizienzKontrolle und Effektivität. Nötige

Änderungen vornehmen.

Der Lebenszyklus des IT-Sicherheitssystems

Für das Sicherheitssystem ist ein chief security officer (CSO) zuständig.

Der CSO sollte unmittelbar dem Vorstand unterstellt sein um seine Unabhängigkeit zu gewährleisten.

Die Sicherheitsberichte sollten jede Phase des System-Lebenszyklus umfassen.

Analyse von Sicherheitsrisiken

Es gibt zwei Möglichkeiten Systemrisiken zu analysieren:

1 Den quantitativen Ansatz der Risikoerkennung2 Den qualitativen Ansatz der Risikoerkennung

Analyse von Sicherheitsrisiken

Beim quantitativen Ansatz zur Risikofrüherkennung wird jeder mögliche Schadensfall mit seiner Eintrittswahrschein-lichkeit multipliziert.

Welche Schwierigkeiten bringt diese Vorgangsweise mit sich?

Analyse von Sicherheitsrisiken

1 Es kann kompliziert sein die Schäden und ihre Wahrscheinlichkeiten zu schätzen.

2 Um die Schadenswahrscheinlichkeiten abzuschätzen müssen Zukunftsprognosen erstellt werden unsicher.

Analyse von Sicherheitsrisiken

Beim qualitativen Ansatz zur Risikofrüherkennung werden die möglichen Risiken nach dem subjektiven geschätzten Beitrag zum Gesamtrisiko des Unternehmens gereiht.

Beide Methoden müssen zumindest folgende Risiken berücksichtigen:

Analyse von Sicherheitsrisiken

– Unterbrechung der Geschäftstätigkeit– Verlust von Software– Verlust von Daten– Verlust von Hardware– Verlust von Gebäuden– Verlust von Mitarbeitern

Lernziel 2

Virulente und latente Sicherheitsrisiken

Sicherheitslücken und Bedrohungen

Was ist ein Risikopotential (vulnerability)? … eine Systemschwäche. Was ist eine Bedrohung (threat)? Eine Bedrohung ist der Eintritt eines

Risikopotentials. Welche zwei Arten von Bedrohungen gibt es?

Sicherheitslücken und Bedrohungen

1 Virulente Bedrohungen (active threats)2 Latente Bedrohungen (passive threats) Virulente Bedrohungen umfassen

Computermanipulation (computer fraud) und Sabotage. Latente Bedrohungen beinhalten Systemfehler und

Naturkatastrophen. Systemfehler können auch Hardwarefehler sein.

Personen als Risikopotential

Erfolgreiche Computer-Attacken setzen den Zugriff auf Hardware, Daten oder Software voraus.

Drei Personengruppen kommen für solche Angriffe in Frage:

1 EDV-Personal2 Anwender3 Eindringlinge

Personen als Risikopotential

Zum IT-Personal zählen:– Hardware-Wartungspersonal– Programmierer– Netzwerkadministratoren– Sonstige Systemadministratoren– Daten kontrollierende Mitarbeiter

Personen als Risikopotential

Anwender (User) bestehen aus heterogenen Gruppen von Mitarbeitern, deren funktionaler Aufgabenbereich nicht im Bereich Datenverarbeitung liegt.

Ein Eindrigling (intruder) ist jeder, der auf Geräte oder Daten ohne entsprechende Autorisierung zugreift.

Wer sind die Hacker (hackers)?

Personen als Risikopotential

Ein Hacker ist ein Eindringling, welcher das Eindringen in Systeme aus Spaß oder Selbstbestätigung betreibt.

Welche anderen Arten von Eindringlingen gibt es?– unbemerkte Eindringlinge– wiretappers (Abhören von Leitungen)– piggybackers (verwenden fremder Passwörter)– impersonating intruders (annehmen fremder Identitäten)– eavesdroppers (Abhören mittels Kameras, “Wanzen”,

Satelliten, …)

Virulente Gefahren

Für Computer-Mißbrauch gibt es unterschiedliche Möglichkeiten:

– Manipulation des Input– Änderung des Programmcodes– Änderung von Dateien– Datendiebstahl– Zeitdiebstahl (z.B. im wireless LAN)

Virulente Gefahren

– Sabotage– etc. Die häufigste Methode ist die Input-

Manipulation. Dazu werden die geringsten technischen

Fähigkeiten benötigt!

Virulente Gefahren

Programmcode-Änderung ist das am seltensten beobachtete Verfahren.

Dazu werden Programmierkenntnisse (und Zugriffsberechtigungen) benötigt, über die nur wenige Mitarbeiter im Unternehmen verfügen.

Was ist eine Hintertüre (trapdoor)?

Virulente Gefahren

Ein Teil eines Programmes, der es einem unberechtigten Benutzer gestattet, unter Umgehung der normalen Sicherheitsprüfungen dieses zu verwenden.

Eine direkte Datei-Änderung kann dann stattfinden, wenn es Benutzern möglich ist, die Daten auch mit anderen Werkzeugen (als dem normalen Programm inklusive seiner Sicherheitsprüfungen) zu bearbeiten.

Virulente Gefahren

Datendiebstahl ist heute ein ernsthaftes Problem geworden.

In vielen stark dem Wettbewerb ausgesetzten Branchen werden permanent sowohl qualitative als auch quantitative Daten über Mitbewerber gesucht (Business Intelligence).

Sabotage stellt eine starke Bedrohung für alle IT-Bereiche dar.

Virulente Gefahren

Verärgerte, entlassene Mitarbeiter sind in der Praxis die häufigsten Saboteure.

Welche Sabotage-Methoden sind üblich?– Logische Bomben– Trojanische Pferde– Viren

Virulente Gefahren

Was ist ein Wurm? Dabei handelt es sich um ein Programm, das

sich eigenständig durch ein Netzwerk verbreitet (ohne andere, ausführbare Programme zu infizieren = Virus).

Um Computer-Mißbrauch handelt es sich, wenn Mitarbeiter Computer für eigene

(private) Zwecke verwenden.

Lernziel 3

Wesentliche Kriterien eines IT-Sicherheitssystems

Das IT-Sicherheitssystem

Das Controlling von IT-Bedrohungen wird durch Sicherheitsmaßnahmen und Notfallmaßnahmen bewältigt.

Sicherheitsmaßnahmen konzentrieren sich auf Vorbeugung und Aufdeckung von Bedrohungen.

Notfallpläne sollen die eingetretenen Schäden beheben.

Das Kontroll-Umfeld

Das Kontroll-Umfeld (control environment) ist für die Effektivität des Kontrollsystems von zentraler Bedeutung.

Ein geeignetes Kontroll-Umfeld kann durch folgende Maßnahmen sichergestellt werden:

1 Management-Philosophie und Arbeitsstil Wichtigster Aspekt eines Kontroll-Umfeld sind

hohe moralische Standards im Unternehmen.

Das Kontroll-Umfeld

Laufende Fortbildung (bei Sicherheit des Arbeitsplatzes) wirkt beruhigend und motivierend.

Sicherheitsregeln sollten überwacht werden.2 Organisationsstrukturen In vielen Unternehmen werden die Bereiche

Rechnungswesen, EDV und operatives Management alle einem einzelnen Chief Information Officer (CIO) unterstellt.

Das Kontroll-Umfeld

Für die Entscheidungen betreffend Accounting-Software und Abläufe im Rechnungswesen sollten klar abgegrenzte Linien-Kompetenzen existieren.

3 Der Aufsichtsrat und seine Ausschüsse (Committees)

Der Aufsichtsrat sollte einen Prüfungs-Ausschuß (audit committee) einrichten.

Das Kontroll-Umfeld

Dieser Ausschuß muß einen Innenrevisor bestimmen.

4 Übertragung von Autorität und Verantwortung Die Verantwortlichkeiten aller Positionen im

Unternehmen sollten klar dokumentiert sein (z.B. mittels Organigramm, Verfahrenshandbuch, Stellenbeschreibungen etc.).

Das Kontroll-Umfeld

5 Management Controls Sämtliche IT-Ressourcen und –

Verantwortlichkeiten sollten genau dokumentiert und überwacht werden.

Budgets sollten für folgende Bereiche erstellt werden:– Beschaffung von Hard- und Software,

Das Kontroll-Umfeld

– Kosten des laufenden Betriebs– Wartung und Updates.

In allen Bereichen sollten die Ist-Zahlen mit den Budget-Zahlen verglichen werden.

Die Ursachen für signifikante Abweichungen sollten ergründet werden.

Das Kontroll-Umfeld

6 Innenrevision (Internal Audit Function) Die IT-Sicherheitssysteme müssen permanent

überprüft und an sich ändernde Bedingungen angepaßt werden.

Alle Änderungen der IT-Sicherheitssysteme sollten nur in Übereinstimmung mit der Sicherheitspolitik des Unternehmens vorgenommen werden.

Das Kontroll-Umfeld

7 Personalpolitik Die Aufteilung von Verantwortlichkeiten (4-Augen-

Prinzip), adäquate Überwachung (monitoring), Job Rotation, verpflichtende Freistellungen (forced vacations) und doppelte Überprüfungen (double checks) zählen zu den wichtigsten Methoden im Personalbereich.

8 Externe Einflüsse Das IT-System des Unternehmens muß allen

gesetzlichen Regeln und sonstigen relevanten Standards entsprechen.

Kontrollen virulenter Gefahren

Die wichtigste Strategie zur Abwehr virulenter Gefahren durch Betrug und Sabotage besteht in der Implementierung mehrerer Schichten von Zugriffskontrollen.

Wobei handelt es sich bei diesen Schichten?1 Kontrollen des Site-Zugriffs2 Kontrollen des System-Zugriffs3 Kontrollen des Datei-Zugriffs

Kontrollen virulenter Gefahren

1 Site-Zugriffskontrollen Hauptziel der Site-Zugriffskontrollen ist die

Verwehrung des physischen Zutritts unautorisierter Personen zu den IT-Ressourcen des Unternehmens.

Diese Kontrollen gelten für Hardware, Dateneingabe-Bereiche, Datenausgabe-Bereiche, Datenbestände und Kommunikationskanäle.

Kontrollen virulenter Gefahren

Alle Anwender sollten Identifikations-Marken (mit Fotos) tragen.

Rechenzentren sollten in separaten Gebäuden, die durch Zäune etc. gesichert sind, untergebracht sein.

Der Zugang zu diesen Gebäuden sollte streng limitiert (Türen z.B. stets versperrt) sein.

Kontrollen virulenter Gefahren

TV Monitor

Telephone

Locked Door(entrance)

Locked Door(opened frominside vault)

Intercomto vault

LOBBY

Locked Door

ServiceWindow

DataArchives

INNER VAULT

ScannerMagnetDetector

Kontrollen virulenter Gefahren

2 Kontrollen des System-Zugriffs Dabei handelt es sich um Software-Kontrollen,

welche unberechtigte Anwender an der System-Nutzung hindern sollen.

Instrumente dazu sind z.B. user IDs, Passwöter, IP-Adressen und Hardware-Komponenten (z.B. Kartenleser).

Kontrollen virulenter Gefahren

3 Kontrollen des Datei-Zugriffs Datei-Zugriffskontrollen verhindern sowohl

unberechtigten Daten- als auch Programmdateizugriff.

Das grundlegende Element für Datei-Zugriffskontrollen stellen Zugriffs-Berechtigungsregeln für Änderung und Abfrage von Dateien dar (Betriebssystemebene).

Kontrollen latenter Gefahren

Latente Gefahren stellen z.B. Hardwarefehler oder Stromausfälle dar.

Kontrollen dafür können entweder präventiv oder korrigierend sein.

1 Präventive Kontrollen Fehler-tolerante Systeme werden durch

Redundanz erzielt.

Kontrollen latenter Gefahren

Falls ein Teil eines Systems ausfällt, übernimmt seine Aufgabe sofort eine redundante Komponente, ohne dass die Verarbeitung merklich verzögert wird.

2 Korrigierende Kontrollen Eine einfache Möglichkeit für korrigierende

Kontrollen besteht im Datei-Backup.

Kontrollen latenter Gefahren

Es gibt drei Arten von Backups:1 Full backups2 Incremental backups3 Differential backups

Sicherheit im Internet

Das Internet bedroht die Systemsicherheit in fünf Bereichen:

1 Funktion bzw. Konfiguration des Betriebssystems2 Funktion bzw. Konfiguration des Webservers3 Funktion bzw. Konfiguration des Private Networks4 Einzelne Server-Programme5 Allgemeine Sicherheitsregeln

Sicherheit im Internet

Der Webserver stellt funktional eine Erweiterung des Betriebssystems dar.

Webserver gleichen dem Betriebssystem insofern, als ebenfalls permanent Informationen betreffend Sicherheits-Updates verfolgt werde müssen.

Spezielle Risiken treten dann auf, wenn ein Webserver auf einem Host installiert ist, der außerdem auch noch anderen Usern (als Host) zur Verfügung steht.

Lernziel 4

Verfahren des Risikomanagements

Disaster Risk Management

Disaster risk management besteht in der Aufrechthaltung des laufenden Geschäftsbetriebs im Katastrophenfall.

Disaster risk management besteht aus Vorbeugung und Notfallplänen.

Disaster-Vorbeugung (prevention) ist der erste Schritt im Disaster Risk Management.

Disaster Risk Management

Studien zeigen folgende Häufigkeiten für Katastrophen auf:

Naturkatastrophen 30% Anschläge 45% Fehlleistungen 25%

Daraus folgt, dass ein hoher Prozentsatz dieser Bedrohungen vermieden werden kann!

Disaster Risk Management

Ein Notfalls-Wiederaufbauplan (disaster recovery plan) muss im Unternehmen von der höchsten Instanz eingesetzt werden.

Als erster Schritt sollte dazu das Commitment des Top-Managements und die Einsetzung eines Kommittees erfolgen.

Disaster Risk Management

Dieser Plan sollte aus drei Elementen bestehen:

1 Kritische Unternehmens-Ressourcen erheben;2 Prioritäten für den Wiederaufbau festlegen;3 Strategien und Methoden für den

Wiederaufbau definieren.

Disaster Risk Management

Die Wiederaufbau-Strategien sollten u.a. folgendes berücksichtigen:

– eine Notfall-Auskunftszentrale– Ausweich-Verarbeitungsmöglichkeiten– Ersatzpersonal und Ersatz-Hardware– Daten- und Programmrettung sowie die

Wiederaufnahme (und den Test) des regulären Betriebs