Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

23
Sicherheitskonze pt MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD

Transcript of Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Page 1: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

SicherheitskonzeptMICHAEL VOGLERTHOMAS STRABLERDOMINIC WURZERFLORIAN MOLD

Page 2: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Überblick• Definition

• Grundlagen

• Anforderungen

• Ziele

• strukturierte Vorgehensweise

• Gefährdungen

• Sicherheitskonzepte im Alltag

Page 3: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Definition• stellt Analyse möglicher Angriffs- und Schadensszenarien dar

• Aufgabe: definiertes Schutzniveau erreichen

• Sicherheitskonzept = eine Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen

• gewünschte Schutzwirkung durch Kombination

• je nach Schutzobjekt: o baulicheo technischeo organisatorischeo versicherungstechnische

Maßnahmen

Page 4: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

• Typische Abläufe und IT-Komponenten überall ähnlich

• Wichtig:◦ Wiederverwendbarkeit◦ Anpassbarkeit◦ Erweiterbarkeit

• Typische Gefährdungen, Schwachstellen und Risiken

• Typische Geschäftsprozesse und Anwendungen

• Typische IT-Komponenten

• Gerüst für das IT-Sicherheitsmanagement wird gebildet

Die Idee ...

Page 5: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Grundlagendrei Säulen der Sicherheit:

• Mechanischer Grundschutz• Elektronische Überwachungseinrichtung• Organisation der Alarmverfolgung des Auftragsgebers

• Anforderungen des Auftraggebers• örtlichen Gegebenheiten• vom Auftraggeber zur Verfügung gestellte Mittel

wichtig ist:• Sicherheitskonzept regelmäßig prüfen• an neue Gegebenheiten anpassen

Page 6: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Anforderungen optimales Sicherheitskonzept - folgende Anforderungen:

• Homogenität der Maßnahmen(keine gefährliche Lücken)

• Vollständigkeit

• Wirksamkeit rund um die Uhr und bei allen Betriebszuständen

• Verhältnismäßigkeit von Kosten und Nutzen(auf der Basis einer Risikoanalyse)

Page 7: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Ziel des SicherheitskonzeptsDurch infrastrukturelle, organisatorische, personelle undtechnische

Standard-Sicherheitsmaßnahmenein

Standard-Sicherheitsniveauaufbauen, das auch für sensiblereBereiche

ausbaufähigist.

Page 8: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

• Datensicherheit: • Daten gegen Verlust sichern

• Datenschutz:• Daten gegen Diebstahl sichern

• Datenintegrität:• Daten gegen Manipulation schützen

Page 9: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

strukturierte Vorgehensweisestrukturierte Vorgehensweise eines Sicherheitskonzepts:

• Bestimmung des Objekts/Schutzziele• Analyse der Bedrohungen/Gefahren• Eintrittswahrscheinlichkeit bzw. potentielle Schadenserwartung• Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit/Schadenshöhe• Schadensbekämpfung/-eindämmung• Versicherung des Restrisikos

Page 10: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Gefährdungen• höhere Gewalt: Feuer, Wasser, Blitzschlag, ...

• organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ...

• menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur"

• technisches Versagen: Systemabsturz, Plattencrash, ...

• vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

Page 11: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Bedeutung der Gefahrenbereiche

Quelle: KES-Studie 2006

Page 12: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Irrtum und Nachlässigkeit• meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit

• Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1):◦ 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von

wichtigen Daten höher ein als durch Virenbefall◦ 90% davon erklären dies durch einfache Anwenderfehler

1) Quelle: Broadcasters Res. International Information Security

Page 13: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Unzureichende Software-TestsBeispiel: British Airways

Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

• Beispiel für fehlendes/lückenhaftes Sicherheitskonzept

Page 14: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Informationen…

… sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation

… sollten deshalb - unabhängig von ihrer Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.

Quelle: ISO/IEC 17799:2005, Einleitung

Schutz von Informationen

Page 15: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Sicherheitskonzepte im Alltag

Sicherheit

KostenBequemlichkeit

Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“

Page 16: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Erreichbares SicherheitsniveauSi

cher

heits

nive

au

Sicherheitsaspekte

normalerSchutzbedarf

Page 17: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Typische Probleme in der Praxis• Fatalismus und Verdrängung

• Kommunikationsprobleme

• Sicherheit wird als technisches Problem mit technischen Lösungen gesehen

• Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten

• unsystematisches Vorgehen bzw. falsche Methodik

• Management: fehlendes Interesse, schlechtes Vorbild

• Sicherheitskonzepte richten sich an Experten, IT-Benutzer werden vergessen

Page 18: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Stellenwert der Sicherheit „Sicherheit ist Chefsache“

Page 19: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Vorteile• arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich

• kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle

• praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit

• Erweiterbarkeit und Aktualisierbarkeit

Page 20: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Nachteile• sehr Zeitaufwändig

• erfordert Fachkenntnisse

• oft schwierig zu implementieren

Page 21: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Methodik für ein Sicherheitskonzept?

Viele Wege führen zur IT-Sicherheit...

Welcher Weg ist der effektivste?

Page 22: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Fragen?

?

?

???

?

?

Page 23: Sicherheitskonzept MICHAEL VOGLER THOMAS STRABLER DOMINIC WURZER FLORIAN MOLD.

Vielen Dank für Ihre Aufmerksamkeit!