© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
IT-Compliance
Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und
kostengünstiger bewältigen
Alexander W. KöhlerDiplom-Mathematiker
Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK)
8. IIR-Bankenkongress, 19.-20.3.2013, Wien
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Agenda
• Zeit: 30 Minuten
• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen
• Gegebenheiten: Finanzen, Technik, Nutzer
• Vorgehensweise, Optionen
• Problemlösung
• Vergleichende Kennzahlen
• Security-by-Design, Trust-by-Design, Compliance-by-Design, Privacy-by-Design
• Fallbeispiel 1: PCI DSS
• Fallbeispiel 2: Daten auf Mobilen Endgeräten
• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)
• Sichere Infrastrukturen (SecaaS; Soziale Netze)
• Wave Systems, das Unternehmen
• Konsequenzen und Zusammenfassung
2
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013
Informationssicherheit
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl steigt– Vernetzung wächst weiter
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense)
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend („Consumerization“, ByoD)
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften– Bankenintern (Richtlinien, Eigenverantwortung)
3
Maginot-Linie
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013 - Motivationen
Das “Warum” und die Antworten• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:
Es lohnt sich
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl nimmt zu: Die Benutzer/innen wollen es so– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense): Trend: Mobilität
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend: Die Benutzer/innen wollen es so
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns
4
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Gegebenheiten
• Hoher Schutz = hohe Kosten
• Hoher Schutz = hohe Investitionssicherheit
• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers
• Hoher Schutz = hoher Administrationsaufwand
• Aufwändigere Kontrollmechanismen = bessere Regelkonformität– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,
mehr Appliances, etc.
5
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Von der “Gegebenheit” zum Ideal
6
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Vorgehensweise
Optionen
• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch– Verlangt nach weiteren, inkrementellen Verbesserungen– usw., usw., …– Keine Änderungen an den Randbedingungen (IT-Umfeld)
7
• Änderungen der Randbedingungen– Architektur
– Trusted Computing (Trusted Computing Group)– “Security-by-Design”
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung
8
• Änderungen der Randbedingungen– Architektur
– Trusted Computing (Trusted Computing Group)– “Security-by-Design”
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
aus ... wird:
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung, messbar mit “Vergleichenden Kennzahlen”
9
• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu bewerten:
• RoSI: Return on Security Investment
• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)
• RoCI: Return on (Security Controls) for Compliance Investment
Das RoCI ist hier ↑ deutlich geringer als …. hier ↑
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1Security by Design
Security by Design
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
(SSD) Self Encrypting Drive (SED)
OPAL
&
FIPS
Security by Design
Trusted Software Stack (TSS)
Trusted Network Connect (TNC)
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
2Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted PlatformModule (TPM))
Self EncryptingDrive (SED)
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
Trust by Design
600,000,000 TPMs
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
Encryption
3Compliance by
Design
Audit & Compliance
Inspector DataLoss Prevention
Protector RemovableMedia, Port Control,
Wi-Fi, Bridging
2Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted PlatformModule (TPM)
Self EncryptingDrive (SED)
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
Privacy by Design
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
4Privacy by Design
SW Encryption
3Compliance by
Design
Proof of Compliance
Inspector DataLoss Prevention
Protector RemovableMedia, Port Control,
Wi-Fi, Bridging
2Trust by Design
Direct AccessSeamless Integration
Next generation VPN
Virtual Smart Card
Key Storage Provider
Pre-Boot Authentication
Single Sign On / Windows password sync
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
User Plug-inFree for life
EnterpriseGroup Management
DLPReporting
File Encryption
PKI Key Management
Privacy by Design – Files-in-cloud, Data & Social Media Security
BIOS Integrity
Token integration
NAC
Zero touch
Audit, Reporting& Compliance
MS Bitlocker mngt
MS XP-Win 7-8OS support
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität
PCI DSS
Wave Systems Protection Suite • Daten klassifizieren, lokalisieren
• Datenfluss kontrollieren– Verbindungen: LAN, WiFi, G3/LTE; USB, BT– Inhalte: Dateien, eMails, Web, FTP– Geräte: Flash Drives, Externe HDDs,
Smartphones, Kameras, Drucker, Brenner
• Automatisierte Verschlüsselung
• Berichtswesen zur Bewertung von Regelkonformität
• Granulare Kontrolle
• Richtlinienbasiert
15
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Wave Systems Protection Suite
16
Für PCI DSS relevante Schutzmechanismen
• Verhindert “Network Bridging”
• Zugelassene/nicht zugelassene WiFi-Verbindungen
• Zugelassene/nicht zugelassene, angeschlossene Geräte
• Initialeinstellungen auf abgeschaltete Ports
• Lokalisieren von zu schützenden Daten auf dem Endgerät
• Folgeaktionen aus Analyse: automatische Verschlüsselung der Lokalität
• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen Medien
• “Tagged CDs/DVD”
• Erzwingt Verschlüsselung des Datentransfers
• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
17
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
18
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
19
–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
20
–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung, Fortschritt für die Anwender
21
Festplattenvollverschlüsselung, neue Methode*– Vorteile:
– Industriestandard TCG, Opal– Deutliche Kostenreduktion
– Komplexität und Aufwand Produkt– Wegfall von Kostenblöcken (Verwertung)– Prozesse von Stunden auf Sekunden verkürzt
– Schutz nur mit hohem Aufwand umgehbar– Keine Beeinträchtigung der Arbeitsumgebung– Reduzierter Administrationsaufwand– Regelkonformität durch Design gegeben– Beweisbarkeit vollautomatisiert sichergestellt
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung mit SEDs
22
Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
aus... wird:
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
– Security-by-Design:» TPM (Trusted Platform Module) : “power-on”-Schutz» “Root of Trust”: Absolute Notwendigkeit zum
effizienten Schutz von Mobilen Endgeräten» Die perfekte Waffe gegen APTs » Kontrolle über die Integrität
der Plattform (“Trust-by-Design”)» Virtuelle Smartcard macht physikalische
Smartcard überflüssig» Auf über 600 Millionen Plattformen ohne
Zusatzkosten bereits verfügbar !!!» Die Infrastruktur:
» Die Infrastruktur
23
Auguste KerckhoffsNuth, Niederlande, 1835-1903Daten auf PCs, Tablets etc.
• Informationssicherheits-Prinzip– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit
nur von der Geheimhaltung des Schlüssels abhängen”
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
24
Daten auf Tablets und anderen Plattformen• Mit moderner Authentifizierung den Benutzerkomfort eines
Smartphones und Sicherheit eines Enterprise-PCs vereinen– SSO; Hardware gesichert, keine Kennwörter mehr nötig
• Mehr denn je die Notwendigkeit für– Security-by-Design– Trusted Computing– Compliance-by-Design– Mobile Infrastruktur: Die Komplettlösung von Wave Systems
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Sichere Infrastrukturen ohne “Lost in Complexity”
25
Cloud Computing• Bereitstellung von Managed Services (SecaaS)
– Vollständige zentrale Kontrolle ohne eigene Installation
• Kontrollierte und sichere Nutzung von Public Cloud Plattformen (Storage-aaS, Soziale Netze)– Dropbox– Facebook usw.– www.scrambls.com
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Konsequenzen und Zusammenfassung
• Die neuen Anforderungen an die IT und TK (Cloud, ByoD (Gerätevielfalt), SOA, Outsourcing) können mit Trusted Computingund Security-by-Design bewältigt werden
• Bisher gültige Sachzwänge werden reduziertbis aufgelöst
• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit muss bereits in “P” einfliessen um die Vorteile nutzen zu können
• Vergleichende Kennzahlen machen Investitionen messbar
26
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wave Systems – führend in Mobilen Infrastrukturen
27
Gegründet 1988, Zentrale in Lee (Massachusetts)• Portfolio: Mobile Infrastrukturen
• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit
• Weltweit die meisten Installationen und die größten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000 Clients
• In der Industrie bekanntes Expertenteam• Dr. Thibadeau, der Erfinder der SEDs
• Brian Berger, Exec VP und permanenter Direktor im Board von TCG
• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP
• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers
• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA, Autor bei “Platform Information Security” und “All-About-Security”
• Alexander Koehler, Certified Information Systems Security Professional, zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)
• … und weitere Kollegen in den jeweiligen Spezialgebieten
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wir danken für Ihre Aufmerksamkeit.
Wir stehen für Sie zur Verfügung:
28
• Kontakt Österreich:
• Erich Kronfuss Geschäftsstellenleiter ProSoft Software Vertriebs GmbH - Office AustriaJeneweingasse 6 | A-1210 Wien
• +43 1 27 27 27 -100
• Kontakt Wave Systems:
• Alexander W. Koehler
• Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt
• Tel. +49 69 95932393
Top Related