IT Sicherheit: IT-Sicherheitsmanagement · Vorgehensmodelle, zB: ISO-Standards 27001 und 27002, IT-Grundschutz des BSI I Vorgehensmodelle beschreiben den Aufbau eines IT-Sicherheitskonzeptes

IT Sicherheit:IT-Sicherheitsmanagement

Dr. Christian Rathgeb

Hochschule Darmstadt, CASED, da/sec Security Group

03.12.2015

Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 1/63

Einfuhrung

IT-Sicherheitsmanagementsystem I

I Technologie allein kann NICHT alle IT-Sicherheitsproblemeeiner Institution losen!

I Es mussen auch (1) organisatorische, (2) personelle, und (3)infrastrukturelle Maßnahmen getroffen/ berucksichtigt werden

I Beispiele:(1) Festlegung von Verantwortlichkeiten, Schlusselmanagement,(2) Schulung, Einweisung, Sensibilisierung von Mitarbeitern,(3) Gebaudesicherung

Ein IT-Sicherheitsmanagementsystem (engl. Information SecurityManagement System (ISMS)) ist eine Sammlung vonVorgehensweisen und Vorschriften, um einen IT-Sicherheitsprozesszu etablieren und im laufenden Betrieb aufrechtzuerhalten


Einfuhrung

IT-Sicherheitsmanagementsystem I

I Technologie allein kann NICHT alle IT-Sicherheitsproblemeeiner Institution losen!

I Es mussen auch (1) organisatorische, (2) personelle, und (3)infrastrukturelle Maßnahmen getroffen/ berucksichtigt werden

I Beispiele:(1) Festlegung von Verantwortlichkeiten, Schlusselmanagement,(2) Schulung, Einweisung, Sensibilisierung von Mitarbeitern,(3) Gebaudesicherung

Ein IT-Sicherheitsmanagementsystem (engl. Information SecurityManagement System (ISMS)) ist eine Sammlung vonVorgehensweisen und Vorschriften, um einen IT-Sicherheitsprozesszu etablieren und im laufenden Betrieb aufrechtzuerhalten


Einfuhrung

IT-Sicherheitsmanagementsystem IIDimensionen des IT-Sicherheitsmanagements:

I Technologie, z.B.I Kryptographische VerfahrenI SchlusselverteilungI Zugriffskontrolle

I Prozesse, z.B.I Festlegung von VerantwortlichkeitenI Etablierung des IT-SicherheitsmanagementsI Aufrechterhaltung im laufenden Betrieb

I Menschen, z.B.I Schulung und QualifikationI Sensibilisierung


Einfuhrung

Informationssicherheitsaspekte mussen bei allen Projektenfruhzeitig und ausreichend berucksichtigt werden

I Programmvielfalt mit hoher Funktionalitat, bequemeBedienung, niedrige Anschaffungs- und Betriebskosten sowieInformationssicherheit stehen fast immer in Konkurrenzzueinander

I Es empfiehlt sich aber unbedingt,Informationssicherheitsaspekte schon zu Beginn eines Projektes(z. B. bei der Anschaffung neuer Software oder bei der Planungvon Geschaftsprozessen) zu berucksichtigen

I Der Mut, Abstriche beim Komfort zu machen oder auf einebestimmte Funktionalitat zu verzichten, kann hohe Kostendurch Sicherheitsvorfalle verhindern


Einfuhrung

Die Informationssicherheitsziele mussen festgelegt werden,damit angemessene Maßnahmen definiert werden konnen

I Der erste Schritt bei der Beschaftigung mitInformationssicherheit ist die Bestandsaufnahme:

I Welche Rahmenbedingungen gibt es (Gesetze, Vertrage,Kunden-anforderungen, Konkurrenzsituation)?

I Welche Rolle spielen IT und Informationssicherheit fur dasUnternehmen bzw. die Behorde?

I Welche Werte sind zu schutzen (Know-how,Betriebsgeheimnisse, personenbezogene Daten, IT-Systeme)?Was sind mogliche Schadensfalle?

I Die “Schutzbedarfsfeststellung” ist notwendiger Bestandteiljeder Sicherheitsanalyse!


Einfuhrung

Zu jedem vorhandenen Sicherheitsziel sollten geeigneteRegelungen getroffen werden

I”Informationssicherheit ist ein dauerhafter Prozess“

I Die meisten mit Informationssicherheit assoziierten Aufgabenmussen regelmaßig wiederholt und neu durchlaufen werden

I Jede identifizierte Maßnahme sollte dahingehend untersuchtwerden, ob sie nur ein einziges Mal oder regelmaßig ausgefuhrtwerden muss

I Beispiel: regelmaßiges Update des Viren-Schutzprogramms unddessen Viren-Signaturen


Einfuhrung

Zustandigkeiten mussen festgelegt werden

I Fur jede identifizierte Aufgabe muss festgelegt werden, wer furdie Durchfuhrung verantwortlich ist

I Ebenso sollte fur alle allgemein formulierteSicherheitsrichtlinien genau dargelegt werden, fur welchenPersonenkreis diese verbindlich sind:

I Betreffen diese nur festangestellte Mitarbeiter, eine bestimmteAbteilung oder alle?

I Jeder Verantwortliche braucht einen Stellvertreter; Wichtig ist,dass der Vertreter auch in der Lage ist, seine Aufgabenwahrzunehmen.

I Wurde er in seine Aufgaben eingewiesen?I Sind notwendige Passworter fur den Notfall hinterlegt?I Benotigt er Dokumentationen?


Einfuhrung

Richtlinien/ Zustandigkeiten mussen bekannt sein

I Bei Mitarbeiterbefragungen in Unternehmen fallt beim ThemaInformationssicherheit oft auf, dass bestehende Richtliniennicht oder nur in Teilen bekannt sind, gelegentlich ist derenExistenz schlicht unbekannt

I Deshalb muss sichergestellt sein, dass alle Betroffenen dieUnternehmensrichtlinien – in ihrer aktuellen Fassung – kennen

I Alle Mitarbeiter sollten ihre internen und externenAnsprechpartner und deren Kompetenzen kennen

I Dies verhindert, dass sich Mitarbeiter durch Uberredungskunstoder Einschuchterung dazu verleiten lassen, vertraulicheInformationen (Passworter etc.) an Unberechtigteweiterzugeben


Einfuhrung

Mitarbeiter mussen regelmaßig geschult werden

I Viele Fehler entstehen aus Unkenntnis oder aus mangelndemSicherheitsbewusstsein, “Security Awareness”

I Oft ist es ein Leichtes, Mitarbeiter dazu zu bringen,Sicherheitscodes zu verraten

I Wichtig ist Mitarbeiter daruber zu informieren, in welcher Formeine Kommunikation mit Geschaftspartnern moglich ist:

I Wer sind die Ansprechpartner?I Welche Kompetenzen haben sie?I Wie findet eine Autorisierung statt?I Welche Informationen durfen an Externe weitergegeben werden?

I Maßnahmen: Seminare, Kauf guter Fachliteratur, etc.Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 9/63

Einfuhrung

Notfallplane sollten erstellt werden und jedem Mitarbeiterbekannt sein

I Wenn das Burogebaude abbrennt, ein erheblicher Teil derMitarbeiter durch eine Grippewelle ausfallt, ein Zulieferer oderDienstleister infolge einer Insolvenz ausfallt etc. sollte jederMitarbeiter wissen, was zu tun ist

I Denkbare Szenarien sollten durchgespielt undGegenmaßnahmen entworfen werden

I Fur die Wiederherstellung von Systemen sollten Vorkehrungengetroffen werden und auf einer Liste Verantwortliche und Tel.Nummern notiert werden

I Wo konnen Ersatzarbeitsplatze geschaffen werden? Wie wirdder Notbetrieb gestartet? Wie wird ein Backup zuruckgespielt?


Einfuhrung

Gut gewahlte Passworter sollten eingesetzt werden

I Um sich gegen Hackerwerkzeuge zu schutzen, dievollautomatisch alle moglichen Zeichenkombinationenausprobieren oder ganze Worterbucher einschließlich gangigerKombinationen aus Worten und angefugten Zahlen testen,muss ein Passwort bestimmten Qualitatsanforderungen genugen

I Es sollte langer als sieben Zeichen sein, nicht in Worterbuchernvorkommen, nicht aus Namen bestehen und auchSonderzeichen oder Ziffern enthalten (Voreingestellte oder leerePassworter sollten geandert werden)

I Jedes Passwort sollte in regelmaßigen Zeitabstanden geandertwerden!


Einfuhrung

Mechanismen sollten sorgfaltig ausgesucht werden

I Viele Hersteller haben bereits optional Sicherheitsmechanismenwie Passwortschutz oder Verschlusselung in ihre Produkteintegriert

I Produktentwickler, die sich nicht viele Jahre intensiv damitbefasst haben, konnen unmoglich sichere Verfahren entwickeln;Trotzdem wird oft selbstentwickelte Verschlusselung angeboten,die in der Regel unsicher ist

I Man sollte hinterfragen welche Verfahren der Hersteller einsetztI Nach Moglichkeit sollte es sich um standardisierte, allgemein

anerkannte Algorithmen handeln


Einfuhrung

Vorhandene Schutzmechanismen sollten genutzt werden

I Viele Programme, die in einem gewohnlichenClient-Server-basierten Netz zur Burokommunikation genutztwerden, verfugen inzwischen uber eine Vielzahl hervorragenderSchutzmechanismen

I Fast immer resultieren Schwachstellen aus falscherKonfiguration oder aus Unkenntnis der vorhandenenMoglichkeiten zur Absicherung

I Die vom Hersteller implementierten Sicherheitsfunktionen und-mechanismen sollten daher analysiert, verstanden undeingesetzt werden

I Sicherheitsanforderungen konnen technisch erzwungen werden!


Einfuhrung

Einwurf: “Why Johnny can’t encrypt”

I Oft werden Sicherheitsmechanismen wie Verschlusselung voneMails nicht genutzt weil das User-Interface-Design schlecht ist

I Paper “Why Johnny Can’t Encrypt: A Usability Evaluation ofPGP 5.0” aus dem Jahre 2005 untersuchte obNicht-Informatiker es schaffen in 90 Minuten eine Nachricht zuverschlusseln/signieren

I Probanden hatten kein Vorwissen uber das Konzept derasymmetrischen Kryptographie

I Ein Viertel der Teilnehmer verschickten irrtumlichen ihrenPrivate Key mit der Nachricht

I Uber die Halfte der Teilnehmer verschlusselten Nachrichten mitdem eigenen Public Key


Einfuhrung

Einwurf: “Why Johnny can’t encrypt”

I Oft werden Sicherheitsmechanismen wie Verschlusselung voneMails nicht genutzt weil das User-Interface-Design schlecht ist

I Paper “Why Johnny Can’t Encrypt: A Usability Evaluation ofPGP 5.0” aus dem Jahre 2005 untersuchte obNicht-Informatiker es schaffen in 90 Minuten eine Nachricht zuverschlusseln/signieren

I Probanden hatten kein Vorwissen uber das Konzept derasymmetrischen Kryptographie

I Ein Viertel der Teilnehmer verschickten irrtumlichen ihrenPrivate Key mit der Nachricht

I Uber die Halfte der Teilnehmer verschlusselten Nachrichten mitdem eigenen Public Key


Einfuhrung

Besonders umstandliche Sicherheitsanforderungen solltenvermieden werden

I Es sollten moglichst nur solche Sicherheitsvorgaben gemachtwerden, deren Einhaltung praktikabel ist und die nicht voneinem Großteil der Betroffenen als schikanos erachtet werden

I Zur Umsetzung von Maßnahmen mussen auch die technischeund organisatorische Infrastruktur bereitgestellt werden

I Im Zweifelsfall sollten die Anforderungen eher etwasheruntergeschraubt werden und dafur strenger auf derenEinhaltung geachtet werden

I Es empfiehlt sich auch, alle Maßnahmen, die besonders tief indie gewohnte Arbeitsweise eingreifen, mit betroffenenAnwendern vorher zu besprechen (→ Schulung)


Einfuhrung

Informationssicherheit sollte regelmaßig uberpruft werden

I Das Niveau der Informationssicherheit sollte regelmaßigbewertet und kontrolliert werden

I Wenn ein ausreichendes Budget zur Verfugung steht, sollteuberlegt werden, einmal pro Jahr unabhangige Experten mitder Uberprufung von besonders kritischen Bereichen der IT zubeauftragen

I Gibt es neue Sicherheitsstandards oder neue, wichtigeTechniken?

I Haben sich die Erwartungen von Kunden undGeschaftspartnern geandert?


Einfuhrung

Maßnahmen zum Zutrittsschutz mussen umgesetzt werden

I Es gilt zu uberlegen, wo sich Besucher und Betriebsfremde inder Regel aufhalten und auf welche IT-Systeme sie dabeizugreifen konnten

I Besonders Server oder Rechner, mit denen auf sensitive Datenzugegriffen wird, sollten so aufgestellt sein, dass Fremde sichnicht unbemerkt an ihnen zu schaffen machen konnen

I Die Tatigkeit von Handwerkern, Servicetechnikern undReinigungspersonal sollte bewusst geplant und allenMitarbeitern bekannt gegeben werden

I Notebooks sollten nie unbeaufsichtigt zuruckgelassen werdenund ggf. auch im Buro nachts oder bei langerer Abwesenheiteingeschlossen werden


Einfuhrung

IT-Sicherheitskonzept

I Schutzmaßnahmen hangen von der konkreten Einsatzumgebungund vom Schutzbedarf der zu verarbeitenden Daten ab

I Alle Sicherheitsmaßnahmen mussen so aufeinander abgestimmtwerden, dass sich in der Gesamtheit ein fur die Institutionangemessenes Sicherheitsniveau ergibt

I Fur die Etablierung und Umsetzung derIT-Sicherheitsmaßnahmen gibt es standardisierteVorgehensmodelle, zB: ISO-Standards 27001 und 27002,IT-Grundschutz des BSI

I Vorgehensmodelle beschreiben den Aufbau einesIT-Sicherheitskonzeptes


Einfuhrung

ISO Standards

I ISO/IEC 27001: Information technology — Security techniques— Information security management systems — Requirements

I “This International Standard has been prepared to providerequirements for establishing, implementing, maintaining andcontinually improving an information security managementsystem.”

I ISO/IEC 27002: Information technology — Security techniques— Code of practice for information security controls

I “This International Standard is designed for organizations touse as a reference for selecting controls within the process ofimplementing an Information Security Management System(ISMS) based on ISO/IEC 27001.”


Einfuhrung

ISO/IEC 27001

I Der Standard ISO/IEC 27001 enhalt sieben wesentliche Kapitel:

1. Context of the organization

2. Leadership

3. Planning

4. Support

5. Operation

6. Performance evaluation

7. Improvement


Einfuhrung

ISO/IEC 27001: Uberblick


Einfuhrung

ISO/IEC 27001: Context of the organization

I Die Aufgabe der Organisation ist es eine Umgebungsanalysedurchzufuhren

I Welche internen/ externen Faktoren sind relevant fur dasIT-Sicherheitsmanagement?

I Das Ziel bzw. die Abgrenzung des IT-Sicherheitsmanagementmuss ermittelt werden

I Fur die gegebene Zielsetzung mussen entsprechendeAnforderungen definiert werden


Einfuhrung

ISO/IEC 27001: Leadership

I Diese Teil des Standards betrifft die Fuhrung (Management)der Organisation

I IT-Sicherheits-Richtlinien mussen durch die Fuhrung entwickeltund festgehalten werden

I Eine detailierte Dokumentation von IT-Sicherheits-Richtlinienmuss erstellt werden

I Das Vorhandensein der benotigten Ressourcen musssichergestellt werden

I Unterstutzung von Angestellten zur Umsetzung der RichtlinienI Zustandigkeiten mussen definiert werden


Einfuhrung

ISO/IEC 27001: Planning

I In der Planung wird ein Umsetzungsplan fur das benotigteIT-Sicherheitsmanagement entwickelt (Zeitplan, Arbeitsschritte,Zustandigkeiten etc.)

I Ein wichtiger Teil der Planung ist das Identifizieren vonMoglichen Risiken

I Eine Risikoanlyse wird durchgefuhrt (Information security riskassessment) in welcher identifizierte Risiken bewertet werden

I Weiters mussen entsprechende Maßnahmen definiert werden(Information security risk treatment) welche beim Eintrittentsprechender Risiken durchgefuht werden


Einfuhrung

ISO/IEC 27001: Support

I In diesem Punkt mussen benotigte unterstutzende Faktorendefiniert werden

I Dies beinhaltet benotigte Ressourcen sowie entsprechendeKompetenzen

I Weiters muss dokumentierte Information welche fur dasIT-Sicherheitsmanagement benotigt wird definiert werden

I Auch die Definition der benotigten internen/ externenKommunikation fur das IT-Sicherheitsmanagement fallt unterdiesen Punkt


Einfuhrung

ISO/IEC 27001: Operation

I Unter diesen Punkt fallt die operative Planung und KontrolleI Der im Punkt Planning definierte Umsetzungsplan fur das

benotigte IT-Sicherheitsmanagement wird implementiert undkontrolliert

I Dies beinhaltet eine wiederholte Durchfuhrung einerRisikobewertung und entsprechender Maßnahmen

I Risikobewertung und entsprechender Maßnahmen sollten inentsprechenden Berichten dokumentiert werden


Einfuhrung

ISO/IEC 27001: Performance evaluation

I Die Organisation muss die Effektivitat des eingefuhrtenIT-Sicherheitsmanagement analysieren und evaluieren

I Dazu muss definiert werden wann eine solche Evaluierungdurchgefuhrt wird und von wem

I Weiters muss definiert werden welche Aspekte/ Prozesse/Personen analysiert werden mussen

I Die Methoden der Messung mussen eine Wiederholung derMessung mit gleichen Ergebnissen erlauben (Reproducibility)


Einfuhrung

ISO/IEC 27001: Improvement

I Die sich aus der Evaluierung ergebenden (potentiellen) Fehlermussen identifiziert und korregiert werden

I Das korrigierte System muss im nachsten Schritt erneutevaluiert werden

I Das Ergebnis der Verbesserung muss dokumentiert werdenI Ensprechende Verbesserungen sollten bei Bedarf wiederholt

durchgefuhrt werden

Die in ISO/IEC 27001 definierten Schritte sowie geeigenteMechanismen zur Umsetzung werden in ISO/IEC 27002detailierter beschrieben.


Einfuhrung

Der IT-Grundschutz des BSI I

I Die Methode des IT-Grundschutzes basiert auf zwei Werken:

1. Dem BSI-Standard 100-2, der die IT-Grundschutz-Vorgehensweise beschreibt,

2. und den IT-Grundschutz-Katalogen, welche die Baustein-,Gefahrdungs- und Maßnahmenkataloge enthalten.

I Der IT-Grundschutz nutzt die Tatsache, dass ein Großteil der inder Praxis vorhandenen IT-Systeme und Anwendungen von denAnwendern ahnlich und in vergleichbaren Einsatzumgebungenbetrieben wird.

I Beispiele: Server unter Unix, Client-PCs unter Windows oderDatenbankanwendungen.


Einfuhrung

Der IT-Grundschutz des BSI II

I Durch den Einsatz dieser typischen Komponenten ergeben sichimmer wieder ahnliche Gefahrdungen fur den IT-Betrieb. Wennnicht besondere Sicherheitsanforderungen vorliegen, sind dieseGefahrdungen weitgehend unabhangig vom Nutzungsszenario.

I Hieraus ergeben sich zwei Ideen fur die Herangehensweise:1. Eine umfassende Risikoanalyse ist nicht immer notwendig: Die

Gefahrdungen fur den IT-Betrieb und die Wahrscheinlichkeit furSchaden, die sich aus diesen Gefahrdungen ergeben, lassen sichunter bestimmten Voraussetzungen pauschalisieren.

2. Es ist nicht immer notwendig, Sicherheitsmaßnahmen fur jedenAnwendungsfall neu zu entwickeln: Es lassen sich Bundel vonStandard- Sicherheitsmaßnahmen ableiten, die bei normalenSicherheitsanforderungen einen angemessenen undausreichenden Schutz vor diesen Gefahrdungen bieten.


Einfuhrung

Der IT-Grundschutz des BSI III

I Auf Basis dieser Annahmen schlagt IT-Grundschutz eineVorgehensweise zur Erstellung und Prufung vonSicherheitskonzepten vor.

I Im BSI-Standard 1002 zur IT-Grundschutz-Vorgehensweise istSchritt fur Schritt beschrieben, wie einInformationssicherheitsmanagement in der Praxis aufgebautund betrieben werden kann.

I IT-Grundschutz interpretiert damit die sehr allgemeingehaltenen Anforderungen der ISO-Standards 27001 und 27002und hilft Anwendern in der Praxis bei der Umsetzung mit vielenHinweisen, Hintergrundwissen und Beispielen.


Einfuhrung

Der IT-Grundschutz des BSI IV

I Eines der wichtigsten Ziele des IT-Grundschutzes ist es, denAufwand im Informationssicherheitsprozess zu reduzieren,indem bekannte Vorgehensweisen zur Verbesserung derInformationssicherheit gebundelt und zur Wiederverwendungangeboten werden.

I So enthalten die IT-Grundschutz- KatalogeStandard-Gefahrdungen und -Sicherheitsmaßnahmen furtypische IT-Systeme, die nach Bedarf im Unternehmeneingesetzt werden konnen.

I Hier finden sich praxiserprobte Standard-Sicherheitsmaßnahmenfur typische IT-Systeme, die nach dem aktuellen Stand derTechnik umzusetzen sind, um ein angemessenesSicherheitsniveau zu erreichen.


Einfuhrung

Der IT-Grundschutz des BSI V

I Erst bei einem signifikant hoheren Schutzbedarf oder furIT-Systeme, die nicht in den IT-Grundschutz-Katalogenbehandelt werden, muss eine erganzende Sicherheitsanalysedurchgefuhrt werden.

I Zusammenfassend ergeben sich folgende Vorteile durch eineOrientierung am IT-Grundschutz:

I Standard-Sicherheitsmaßnahmen werden konkret und detailliertbeschrieben

I Die resultierenden Sicherheitskonzepte sind erweiterbar,aktualisierbar und kompakt, da sie auf eine existierendeReferenzquelle verweisen

I Die umzusetzenden Sicherheitsmaßnahmen sind praxiserprobtund so ausgewahlt, dass ihre Umsetzung moglichstkostengunstig moglich istDr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 33/63

Einfuhrung

IT-Sicherheitskonzept (BSI) I

I Erarbeitung eines IT-Sicherheitskonzeptes erfolgt in mehrerenSchritten:

1. IT-Strukturanalyse in der alle Bestandteile des IT-Verbundder Institution beschrieben werden

2. Schutzbedarfsanalyse ermittelt an Hand von moglichenSchadensszenarien den Schutzbedarf der Daten, IT-Systemeund Raumlichkeiten

3. Gefahrdungsanalyse in der mogliche Gefahrdungen, dieSchaden verursachen konnen, ermittelt werden


Einfuhrung

IT-Sicherheitskonzept (BSI) II

4. Risikoanalyse bewertet die Gefahrdungen an Hand derEintrittswahrscheinlichkeit und den moglichen Schaden(ermittelt in der Schutzbedarfsanalyse), die durch dieermittelten Gefahrdungen entstehen konnen.

5. Schutzmaßnahmen werden an Hand der Risikoanalyse furjede Gefahrdung ausgewahlt

6. Evaluierung geschieht extern oder intern und uberpruft, ob dieausgewahlten Schutzmaßnahmen wirksam und ausreichendsind, um den IT-Verbund in seiner Gesamtheit zu schutzen

I Die einzelnen Umsetzungspunkte, insbesondere Bedrohungs-und Risikoanalyse erfordern fundierte Kenntnisse uberSicherheitsprobleme und Schwachstellen!


Einfuhrung

IT-Sicherheit als Querschnittsaufgabe

I Im Anschluss mussen die Schutzmaßnahmen umgesetzt und imlaufenden Betrieb aufrechterhalten werden

I Dies erfordert die Uberwachung der Einhaltung derSchutzmaßnahmen und Anpassungen am Sicherheitskonzept

I Beispiel: bei Sicherheitsvorfallen oder Anderungen derBewertung eingesetzter kryptographischer Verfahren

I Ressourcen mussen bereitgestellt werden und klareVerantwortlichkeiten mussen benannt werden

I IT-Sicherheit ist eine Querschnittsaufgabe, die alle Bereicheeiner Institution betreffen und muss daher imVerantwortungsbereich der Fuhrung liegen!


Einfuhrung

Ebenen eines IT-Sicherheitsmanagementsystem (BSI)Initiierung des IT-Sicherheitsprozesses- Erstellung einer Sicherheitsleitlinie- Einrichtung des IT-Sicherheitsmanagements

+ Aufbau einer IT-Sicherheitsorganisation+ Bereitstellung von Ressourcen+ Einbindung aller Mitarbeiter

↓Erstellung eines IT-Sicherheitskonzepts- IT-Strukturanalyse- Schutzbedarfsfeststellung- Gefahrdungsanalyse- Risikoanalyse- Auswahl von Schutzmaßnahmen- Validierung und Evaluation

↓Umsetzung der Schutzmaßnahmen- technische Maßnahmen- organisatorische Maßnahmen- personelle Maßnahme- infrastrukturelle Maßnahmen

↓Aufrechterhaltung im laufenden Betrieb

strategische Ebene(Leitungsaufgabe)

taktische Ebene

operative Ebene



IT-Sicherheitskonzept nach IT-Grundgesetz I

I Fur Standardkomponenten eines IT-Verbundes, fur die sich einnormaler Schutzbedarf ergibt, wurden vom BSI bereitsGefahrdungs- und Risikoanalysen durchgefuhrt undSchutzmaßnahmen vorgeschlagen (beschrieben in denIT-Grundschutzkatalogen1)

I Vorgehen umfasst: Strukturanalyse, Schutzbedarfsfestellung,Modellierung des IT-Verbundes (Formulierung der Bestandteiledes IT-Verbundes), Auswahl von Maßnahmen undBasis-Sicherheitscheck, bei normalem Schutzbedarf

I Fur IT-Systeme, mit hohem bis sehr hohem Schutzbedarf (bzw.die im Grundschutz nicht vorgesehen sind), mussen zusatzlichGefahrdungs- und Risikoanalysen durchgefuhrt werden

1https://www.bsi.bund.de/DE/Themen/ITGrundschutz/StartseiteITGrundschutz/Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 38/63


IT-Sicherheitskonzept nach IT-Grundgesetz IIIT-Strukturanalyse- Erfassung der Raumlichkeiten, Netze, IT-Systeme und IT-Anwendungen- Gruppenbildung

↓Schutzbedarfsfeststellung

normal ↙ ↘ hoch, sehr hochIT-Grundschutzanalyse- Modellierung- Auswahl von Maßnahmen- Basis-Sicherheitscheck

Gefahrdungsanalyse- Gefahrdungsubersicht- zusatzliche Gefahrdugen

↓Risikoanalyse- Gefahrdungsbewertung

↓Maßnahmen- Auswahl von Maßnahmen- Restrisikoanalyse

Realisierungsplanung- Konsolidierung der Maßnahmen- Umsetzungsplan



IT-Strukturanalyse I

I Ziel der Strukturanalyse ist die Darstellung aller Bestandteiledes IT-Verbundes und ihrer Beziehungen untereinander:

1. Geschaftsprozesse (z.B. Personalverwaltung, Entgegennahmevon Bestellungen),

2. Daten/Informationen (z.B. Personaldaten, Vertrage, aber auchtechnische Informationen wie Konfigurationsdateien),

3. Anwendungen (z.B. Betriebssysteme, Office-, E-Mail-,Backup-Programme),

4. IT-Systeme (z.B. Computer, Server, Router, USB-Sticks),

5. Kommunikationsnetze (z.B. Intranet, Internet),

6. Raumlichkeiten (z.B. Buros, Standorte).Dr. Christian Rathgeb IT-Sicherheit, Kapitel 9 / 03.12.2015 40/63


IT-Strukturanalyse II

I Die Erhebung muss strukturiert erfolgenI Ausgehend von den Geschaftsprozessen werden zunachst alle

relevanten Daten/Informationen erhoben, die fur dieGeschaftsprozesse benotigt werden

I Im nachsten Schritt werden dann alle Anwendungen, die dieerhobenen Daten/Informationen verarbeiten und darauf folgenddie IT-Systeme, auf denen die Anwendungen laufen, ermittelt

I Zum Abschluss werden die Raumlichkeiten ermittelt, in denenermittelte IT-Systeme stehen und die Kommunikationsnetze, andenen die IT-Systeme angeschlossen sind



IT-Strukturanalyse III

I Um die Komplexitat zu verringern, sollten ahnliche Objekte zuGruppen zusammengefasst werden, z.B., wenn sie

I vom gleichen Typ sind,I ahnlich konfiguriert sind,I ahnlich in das Netz eingebunden sind,I ahnlichen Rahmenbedingungen unterliegen,I ahnliche Anwendungen bedienen.

I Typischerweise konnen Arbeitsplatzrechner von Mitarbeitern,die ahnliche Aufgaben erledigen, zu einer Gruppezusammengefasst werden. Gleiches gilt fur Buroraume.



SchutzbedarfsfeststellungSchutzbedarfsanalyse gliedert sich in mehrere Schritte.

I Zunachst wird der Schutzbedarf der Informationen bestimmt.I Der Schutzbedarf der IT-Systeme und Kommunikationsnetze

richtet sich dann im Wesentlichen nach dem Schutzbedarf derin diesen Systemen zu verarbeitenden Informationen.

I Ahnlich wird der Schutzbedarf der Raume, in denen dieIT-Systeme untergebracht sind, bestimmt.

Ergebnis ist eine AuflistungI des Schutzbedarfs aller in der IT-Strukturanalyse aufgefuhrten

Teile hinsichtlich der Schutzziele Vertraulichkeit, Integritat undVerfugbarkeit



Modellierung IIdee des IT-Grundschutz: Beschreibung der Bestandteile (Prozesse,Anwendungen, IT-Systeme, Kommunikationsnetze, Raumlichkeiten)einer Institution als Bausteine

I nicht jeder Rechner wird einzeln betrachtet, sondern ahnlicheRechner mit ahnlichen Aufgaben zusammengefasst (Reduktionder Komplexitat

I Zu jedem Baustein finden sich in den IT-GrundschutzkatalogenGefahrdungen und entsprechende Maßnahmen gegen dieseGefahrdungen



Modellierung IIZiel der Modellierung: Beschreibung der Komponenten des in derStrukturanalyse bestimmten IT-Verbunds als BausteineLassen sich typischerweise den folgenden funf Schichten zuordnen:

I Schicht 1 umfasst die ubergreifenden Aspekte, d.h. Aspekte,die sich auf den gesamten IT-Verbund beziehen (z.B.Organisation des IT-Sicherheitsmanagementprozesses).

I Schicht 2 beschaftigt sich mit der baulich-technischenInfrastruktur (z.B.Gebaude, Buro- und Serverraume).

I Schicht 3 betrachtet die IT-Systeme (z.B. Client unter MacOS X, Server unter Unix).

I Schicht 4 erfasst die Kommunikationsnetze (z.B. WLAN,heterogene Netze).

I Schicht 5 schließlich beschaftigt sich mit den Anwendungen(z.B. E-Mail, Datenbanken).



Auswahl von Maßnahmen II Im Schritt Modellierung wurden alle Komponenten als

Bausteine formuliertI In den IT-Grundschutzkatalogen finden sich fur jeden Baustein:

I GefahrdungenI Schutzmaßnahmen

Gilt nur fur Bausteine mit Schutzbedarf normalDie Gefahrdungen werden werden im IT-Grundschutz wie folgtkategorisiert:

I Hohere GewaltI Organisatorische MangelI Menschliche FehlhandlungenI Technisches VersagenI Vorsatzliche Handlungen



Auswahl von Maßnahmen IIEntsprechende Schutzmaßnahmen finden sich in folgendenKategorien:

I Planung und KonzeptionI UmsetzungI BetriebI AussonderungI Notfallvorsorge



Auswahl von Maßnahmen IIIBei der Auswahl und Anpassung der Schutzmaßnahmen sollten diefolgende Aspekte berucksichtigt werden:

I Wirksamkeit: Sie mussen vor den moglichen Gefahrdungenwirksam schutzen

I Eignung: Sie mussen in der Praxis einsetzbar sein, d.h. keineOrganisationsablaufe behindern oder andere Schutzmaßnahmenaushebeln

I Praktikabilitat: Sie sollten leicht verstandlich, einfachanwendbar und wenig fehleranfallig sein

I Akzeptanz: Sie sollten barrierefrei sein und niemandendiskriminieren

I Wirtschaftlichkeit: Sie sollten das Risiko bestmoglichminimieren aber auch in einem geeigneten Verhaltnis zu den zuschutzenden Werten stehen



Basis-Sicherheitscheck

I Falls die IT-Grundschutz-Vorgehensweise auf einenexistierenden Informationsverbund angewandt wird, mussgepruft werden, welche Standard- Sicherheitsmaßnahmen, diein der Modellierung als

I erforderlich identifiziert wurden,I bereits umgesetzt sindI und wo noch Defizite bestehen

I Hierzu werden Interviews mit den Verantwortlichen undstichprobenartige Kontrollen durchgefuhrt

I Dieser Arbeitsschritt wird als Basis-Sicherheitscheck bezeichnet


Schadensszenarien

Schadensszenarien IStarke der eingesetzten Schutzmaßnahmen hangt ab vomSchutzbedarf der

I Geschaftsprozesse,I Informationen,I IT-Systeme,I Kommunikationsnetze,I Raumlichkeiten

hinsichtlich der SchutzzieleI Vertraulichkeit,I Integritat,I Authentizitat,I Nichtabstreitbarkeit,I Verfugbarkeit


Schadensszenarien

Schadensszenarien IITypische Schadensszenarien

I Verstoß gegen Gesetze, Vorschriften, VertrageI Beeintrachtigung des informationellen SelbstbestimmungsrechtsI Beeintrachtigung der personlichen UnversehrtheitI Beeintrachtigung der AufgabenerfullungI Negative Innen- oder AußenwirkungI Finanzielle Auswirkungen


Schadensszenarien

Schadensszenarien IIIVerstoß gegen Gesetze/Vorschriften/Vertrage:Die Schwere des Schadens ist abhangig von den rechtlichenKonsequenzen, die sich aus dem Nichterreichen der obenaufgefuhrten Ziele ergeben konnen.Beispiele fur in Deutschland relevante Gesetze, Vorschriften undVertrage sind:

I Gesetze: Grundgesetz, Burgerliches Gesetzbuch,Bundesdatenschutzgesetz und Datenschutzgesetze der Lander,Informations- und Kommunikationsdienstgesetz, Gesetz zurKontrolle und Transparenz im Unternehmen

I Vorschriften: Verschlusssachenanweisung.Verwaltungsvorschriften, Verordnungen und Diesntvorschriften

I Vertrage zur Wahrung von Betriebsgeeihmnissen,Dienstleistungsvertrage im Bereich Datenverarbeitung


Schadensszenarien

Schadensszenarien IVBeeintrachtigung des informationellenSelbstbestimmungsrechts:, z.B.

I Unzulassige Erhebung personenbezogener Daten ohneRechtsgrundlage oder Einwilligung,

I unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. derUbermittlung von personenbezogenen Daten,

I unbefugte Weitergabe personenbezogener Daten,I Nutzung von personenbezogenen Daten zu einem anderen, als

dem bei der Erhebung zulassigen Zweck,I Verfalschung von personenbezogenen Daten in IT-Systemen

oder bei der Ubertragung


Schadensszenarien

Schadensszenarien VBeeintrachtigung der personlichen Unversehrtheit:Fehlfunktionen von IT-Systemem konnen unmittelbar zugesundheitlichen Schaden (Verletzungen, Invaliditat oder Tod vonPersonen) fuhren.Beispiele hierfur sind

I medizinische Uberwachungsrechner,I medizinische Diagnosesysteme,I Flugkontrollrechner,I Verkehrsleitsysteme


Schadensszenarien

Schadensszenarien VIBeeintrachtigung der Aufgabenerfullung: Der Verlust der ZieleVerfugbarkeit oder Integritat von Daten kann die Aufgabenerfullungin einer Institution erheblich beeintrachtigen.Beispiele hierfur sind

I Fristversaumnisse durch verzogerte Bearbeitung vonVerwaltungsvorgangen,

I verspatete Lieferung aufgrund verzogerter Bearbeitung vonBestellungen,

I fehlerhafte Produktion aufgrund falscher Steuerungsdaten,I unzureichende Qualitatssicherung durch Ausfall eines

Testsystems


Schadensszenarien

Schadensszenarien VIINegative Innen- oder Außenwirkung: Durch den Verlust einerder Ziele Vertraulichkeit, Integritat oder Verfugbarkeit einerIT-Anwendung konnen verschiedenartige negative Innen- oderAußenwirkungen entstehen.Beispiele hierfur sind

I Ansehensverlust einer Institution,I Vertrauensverlust gegenuber einer Institution,I Demoralisierung der Mitarbeiter,I Beeintrachtigung der wirtschaftlichen Beziehungen

zusammenarbeitender Institutionen,I verlorenes Vertrauen in die Arbeitsqualitat einer Institution,I Einbuße der Konkurrenzfahigkeit


Schadensszenarien

Schadensszenarien VIIIFinanzielle Auswirkungen: Finanzielle Schaden konnen durch denVerlust der Vertraulichkeit schutzbedurftiger Daten, die Veranderungvon Daten oder den Ausfall von IT-Anwendungen entstehen.Beispiele hierfur sind

I unerlaubte Weitergabe von Forschungs- undEntwicklungsergebnissen,

I Ausfall eines IT-gesteuerten Produktionssystems und dadurchbedingte Umsatzverluste,

I Einsichtnahme in Marketingstrategiepapiere oderUmsatzzahlen,

I Ausfall eines Buchungssystems einer Reisegesellschaft,I Zusammenbruch des Zahlungsverkehrs einer Bank,I Diebstahl oder Zerstorung von Hardware


Schadensszenarien

Schadensszenarien IXUblich ist die Einteilung in die folgenden drei Kategorien:

mittel Die Schadensauswirkungen sind begrenzt und uberschau-bar

hoch Die Schadensauswirkungen konnen betrachtlich seinsehr hoch Die Schadensauswirkungen konnen ein existentiell bedroh-

liches, katastrophales Ausmaß erreichen.

Tabelle: Schutzbedarfskategorien

Berucksichtigung der individuellen Gegebenheiten einer Institution:I Ein Verlust von 200.000 Euro ist fur einen großen Konzern

nicht bedrohlich,I kann bei ein kleines Unternehmen aber zur Insolvenz fuhren


Schadensszenarien

Beispiel: Baustein Client unter Mac OS X IFur diesen Baustein gibt der IT-Grundschutz Gefahrdungen an:

I Hohere Gewalt: Ausfall von IT-Systemen, Feuer, Wasser, Staub,Verschmutzung

I Organisatorische Mangel: Fehlende oder unzureichendeRegelungen, Mangelhafte Anpassung an Veranderungen beimIT-Einsatz, Unzureichendes Schlusselmanagement beiVerschlusselung

I Menschliche Fehlhandlungen: Fahrlassige Zerstorung von Geratoder Daten, Nichtbeachtung von Sicherheitsmaßnahmen,Gefahrdung durch Reinigungs- oder Fremdpersonal, FehlerhafteNutzung von IT-Systemen, Fehlerhafte Administration vonIT-Systemen, Fehlerhafte Konfiguration von Mac OS X,Unsachgemaßer Umgang mit FileVault-Verschlusselung


Schadensszenarien

Beispiel: Baustein Client unter Mac OS X II

I Technisches Versagen: Defekte DatentragerI Vorsatzliche Handlungen: Manipulation an Informationen oder

Software, Abhoren von Leitungen, Unberechtigte IT-Nutzung,Systematisches Ausprobieren von Passwortern, TrojanischePferde, Schadprogramme, Abhoren von Raumen mittelsRechner mit Mikrofon und Kamera, Vertraulichkeitsverlustschutzenswerter Informationen, Kompromittierungkryptographischer Schlussel, Integritatsverlust schutzenswerterInformationen


Schadensszenarien

Beispiel: Baustein Client unter Mac OS X IIISchutzmaßnahmen gegen diese Gefahrdungen finden sich ebenfallsin den IT-Grundschutzkatalogen:

I Planung und Konzeption: Planung des sicheren Einsatzes vonMac OS X, Planung der Sicherheitsrichtlinien von Mac OS X,Zugriffschutz der Benutzerkonten unter Mac OS X, Einsatz derSandbox-Funktion unter Mac OS X, Festlegung vonPasswortrichtlinien unter Mac OS X, Einschrankung derProgrammzugriffe unter Mac OS X, Secure Shell

I Umsetzung: Aktivieren der Systemprotokollierung,Konfiguration von Mac OS X Clients, Einsatz von FileVaultunter Mac OS X, Deaktivierung nicht benotigter Hardwareunter Mac OS X, Deaktivieren nicht benotigter Mac OSX-Netzdienste, Konfiguration der Mac OS X Personal Firewall,Sicherheit beim Fernzugriff unter Mac OS X


Schadensszenarien

Beispiel: Baustein Client unter Mac OS X IV

I Betrieb: Einsatz der Protokollierung im Unix-System,Regelmaßiger Sicherheitscheck des Unix-Systems, Uberprufungder Signaturen von Mac OS X Anwendungen, SichereDatenhaltung und sicherer Transport unter Mac OS X

I Aussonderung: Aussonderung eines Mac OS X SystemsI Notfallvorsorge: Einsatz von Apple-Software-Restore unter Mac

OS X, Verhaltensregeln nach Verlust der Systemintegritat,Datensicherung und Wiederherstellung von Mac OS X Clients,Wiederherstellung von Systemparametern beim Einsatz vonMac OS X


Schadensszenarien

Beispiel: Baustein Client unter Mac OS X VZu jeder Maßnahme finden sich detaillierte Beschreibungeninsbesondere dazu,

I wer fur diese Maßnahme verantwortlich ist(z.B. IT-Sicherheitsbeauftrager, Administrator, Anwender),

I wie die Maßnahme konkret umgesetzt werden sollte


Documents

IT Sicherheit: IT-Sicherheitsmanagement · Vorgehensmodelle, zB: ISO-Standards 27001 und 27002, IT-Grundschutz des BSI I Vorgehensmodelle beschreiben den Aufbau eines IT-Sicherheitskonzeptes