1 © HiSolutions 2012 | Workshop Normen und Zertifikate WORKSHOP BERLIN 27.09.2012 Ronny Frankenstein NORMEN UND ZERTIFIKATE ALS NACHWEIS DER INFORMATIONSSICHERHEIT (BEI SAP)
1© HiSolutions 2012 | Workshop Normen und Zertifikate
WORKSHOP BERLIN 27.09.2012
Ronny Frankenstein
NORMEN UND ZERTIFIKATE ALS NACHWEIS DERINFORMATIONSSICHERHEIT (BEI SAP)
2
AGENDA
1 IT-Grundschutz2 ISO 270013 Warum Zertifizierung?4 Was ist SAP Sicherheit?5 SAP im IT-Grundschutz6 Zertifikat vs. Realität7 Fazit
© HiSolutions 2012 | Workshop Normen und Zertifikate
© HiSolutions 2012 | Workshop Normen und Zertifikate3
Ronny Frankenstein
Vorstellung
Jahrgang 1968IT-Branche
Informations-sicherheit
seit 1986
seit 1997
BeruflicherHintergrund
Administrator, Programmierer, IT-Leiter, Geschäftsführer
Qualifikationen Dipl.-Wirtschaftsinformatiker (FH)BSI-lizenzierter Auditteamleiter für ISO 27001auf der Basis von IT-Grundschutz und IS-RevisionZertifizierter DatenschutzbeauftragterIT-Governance ManagerPrince2 Foundation (ProjektmanagementZertifizierter Lead Auditor BS 25999-2 (Business ContinuityManagement)
Verantwortlichbei HiSolutions
Beratungsprodukt ISO 27001 auf der Basis von BSI IT-Grundschutz
Beratungs-schwerpunkte
Coaching von IT-Sicherheitsbeauftragten,Konformitätsprüfung bzgl. Datenschutz undSicherheitsmanagementZertifizierungsvorbereitung ISO 27001 auf der Basis von BSIIT-GrundschutzPublic-Key-Infrastrukturen / Verschlüsselung / IndentityManagement
© HiSolutions 2012 | Workshop Normen und Zertifikate4
Sicherheit
Wirksamkeit, Angemessenheit, Vergleichbarkeit? Standards!
6
BSI IT-GRUNDSCHUTZ
(C) http://www.bsi.bund.de/
© HiSolutions 2012 | Workshop Normen und Zertifikate
Risikoanalyse nötig:Bei erhöhtemSchutzbedarfBei besonderemEinsatzszenarioBei fehlendenBausteinenIn der Regel für ca.20% der Ressourcen
7
DIE PRAXIS: VORGEHENSWEISE GEMÄSSBSI STANDARD 100-2 / 100-3
Standard-Sicherheit Risikoanalyse
Definition Informationsverbund
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
Ergänzende Sicherheitsanalyse
Basissicherheitscheck
Risikoanalyse
Realisierung
Gefährdungsübersicht
Zusätzliche Gefährdungen
Gefährdungsbewertung
Behandlung von Risiken
Konsolidierung
IdeeGesamtsystem enthält typische Komponenten(z.B. Server und Clients, Betriebssysteme)Pauschalisierte Gefährdungen und EintrittswahrscheinlichkeitenEmpfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen (fürnormalen Schutzbedarf)Konkrete Umsetzungshinweise für Maßnahmen
VorteileArbeitsökonomische Anwendungsweise durch Soll-Ist-VergleichKompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (=Maßnahmen in den IT-GS-Katalogen)Praxiserprobte Maßnahmen mit hoher WirksamkeitErweiterbarkeit und Aktualisierbarkeit
8
DIE PRAXIS: DER GRUNDGEDANKE DES IT-GRUNDSCHUTZ
… Geschäftsprozess, Organisationseinheit, Fachverfahren.
10
DIE DEFINITION UND DOKUMENTATION DESANWENDUNGSBEREICHS
Der InformationsverbundSchritt 1Definition des Anwendungsbereichs und derGrenzen des ISMS unter Berücksichtigung
der Eigenschaften des Geschäfts: des Prozesses,der Fachaufgabe oder des Verfahrensder Organisationsstruktur,der Standorte,der nötigen IT- und Infrastrukturressourcen
Anwendungen
IT-Systeme
Netze
Räumen/Gebäuden
benötigt
sind installiert auf
sind angeschlossen an
sind eingebaut inDiese Elementebetrachtet BSI IT-Grundschutz
Prozess
…nötige organisatorische und technische Ressourcen
11
DIE AUFNAHME ALLER RESSOURCEN IMGELTUNGSBEREICH
Strukturanalyse -RessourcenSchritt 2
Die Inventarisierung aller im Geltungsbereich desISMS eingesetzten Ressourcen.Erfassung der Abhängigkeiten der Ressourcenuntereinander.Die Gruppierung gleichartiger Ressourcen gemäßden Vorschriften des BSI Standards 100-2Ermitteln der Ressourcen-verantwortlichen fürspätere Interviews.
…nötige organisatorische und technische Ressourcen
12
DIE AUFNAHME ALLER RESSOURCEN IMGELTUNGSBEREICH
Strukturanalyse -NetzplanSchritt 2
Die graphische Übersicht über die im betrachtetenBereich der Informations- undKommunikationstechnik eingesetzten Komponentenund deren Vernetzung.Komplexitätsreduktion durch Gruppenbildung, wenndie Komponenten alle
vom gleichen Typ sind,gleich oder nahezu gleich konfiguriert sind,den gleichen administrativen und infrastrukturellenRahmenbedingungen unterliegen unddie gleichen Anwendungen bedienen.
…nach ihrer Relevanz für die Aufgabenerfüllung und das Geschäft
13
DIE BEWERTUNG ALLER GESCHÄFTSPROZESSE UNDFACHVERFAHREN
Schutzbedarfs-feststellungSchritt 3
Die Festlegung von Einstufungsskalen undSchadensszenarien.Durchführen von Interviews mit Prozess- undFachverantwortlichen zur Einstufung derGeschäftsprozesse und Fachverfahren.Hierarchische Weitergabe des Schutzbedarfes überdie ermittelten Abhängigkeiten an die nötigenRessourcen.Berücksichtigen von Kumulations- undVerteilungseffekten.Qualitätssicherung und Interpretation derGesamtschutzbedarfe.
… welche Maßnahmen sind für die jeweilige Ressource umzusetzen.
14
AUSWAHL DER ZUTREFFENDEN SICHERHEITSMODULEAUS IT-GRUNDSCHUTZ
ModellierungSchritt 4Zuordnen der Bausteine ausden IT-Grundschutzkatalogengemäß Vorgaben des BSIStandards 100-2.
Schicht 1: übergreifendeAspekte
Schicht 2: Infrastruktur
Schicht 3: IT-Systeme
Schicht 4: Netze
Schicht 5: Anwendungen
…unter Berücksichtigung der Eigenheiten der Organisation
15
UMSETZUNG VON ORGANISATORISCHEN UNDTECHNISCHEN MASSNAHMEN
BasissicherheitscheckSchritt 5Durchführen des Soll-Ist-Vergleiches bezogenauf die in den IT-Grundschutzbausteinenvorgeschlagenen Maßnahmen.Erfassen des Umsetzungsgrades und derNachweise für die Umsetzung.Festlegen der nötigen Tätigkeiten zur Erfüllungder Defizite.
…Konzentration auf das Wichtigste!
16
DIE ERGÄNZENDE SICHERHEITSANALYSE
Die ergänzendeSicherheitsanalyseSchritt 6
Entscheidungsprozess, aus dem sich ergibt, für welche Zielobjekteweitergehende Untersuchungen erforderlich sind und für welche nicht.Es hat sich gezeigt, dass für einzelne Zielobjekte die IT-Grundschutz-Maßnahmen unter Umständen keine hinreichende Sicherheit bieten, weil...
... es einen hohen oder sehr hohen Bedarf für das Zielobjekt gibt,
... es keinen hinreichend geeigneten IT-Grundschutz-Baustein gibt oder
... das Zielobjekt in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder Einsatzumgebung betriebenwird.
Sicherheitsanalyse kann zum Ergebnis führen, dass die IT-Grundschutz-Maßnahmen auch für hohes Niveau ausreichen.
…für den angemessenen Hochschutz Ihrer „Kronjuwelen“
17
DIE ZUSÄTZLICHE RISIKOANALYSE
Die zusätzlicheRisikoanalyseSchritt 7
Es besteht ein Bedarf an zusätzlichen oderhöherwertigen Maßnahmen.Zahlreiche Varianten, viele fordern sehrspezielles Expertenwissen.Vorgehen nach der ISO 27005 Methode.In Anlehnung an das IT-Grundschutz Vorgehenwird eine Methode im BSI Standard 100-3empfohlen!
Umfang richtet sich nach den Vorgaben derZertifizierungsstelle des BSIHohe Vergleichbarkeit durch einheitlichesPrüfschemaAuditoren interpretieren Maßnahmen ähnlichAuditoren prüfen und erstellen nur den BerichtZertifizierungsstelle prüft Angaben und ist ggf.bereits beim Audit anwesend(Qualitätsgedanke)Einheitliche Ausbildung der Auditoren für dieDurchführung der Audits mit jährlicherWeiterbildung
IT-GRUNDSCHUTZ - ZERTIFIZIERUNGSAUDIT
Vorgehensweise:Orientiert sich an der Struktur der IT-RessourcenSehr konkret in den BSI Standards beschrieben
Risikoanalyseansatz:Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig fürhöheres Niveau
Definition der Anforderungen und Maßnahmen:Kaum AnforderungsmanagementDetaillierte, praxiserprobte Maßnahmenvorschläge
Zertifizierungsaudit:Einheitliche Prüfung, vergleichbare Ergebnisse
IT-GRUNDSCHUTZ - ZWISCHENFAZIT
20
ISO 27001 / 27002
© HiSolutions 2012 | Workshop Normen und Zertifikate
(C) http://www.iso.org/
Der „internationale“ Standard ISO/IEC 27001
Status: Erst-Veröffentlichung 10/2005
Titel: Information technology - Securitytechniques - Information securitymanagement systems Requirements
Ursprung: BS 7799 Teil 2
Inhalt: Allgemeine Aussagen über ein Information SecurityManagement System (ISMS)
Umfang des normativen Teils: ca. 30 Seiten(insges. 48 Seiten)
Scope: „Overall business risk“
Zertifizierung: durch akkreditierte Zertifizierungsunternehmenmöglich (aktuelle Liste ist auf derHomepage der TGA bzw. DGA)
Der „internationale“ Standard SIO/IEC 27002
Status: Erst-Veröffentlichung 2007
Titel: Information technology – Code of practicefor information security management
Ursprung: BS 7799-1:1999
Inhalt: Definition eines Rahmenwerks für dasIT-Sicherheitsmanagement
Umfang: 136 Seiten
Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technischeHinweise
Zertifizierung: Zertifizierung nach ISO/IEC 27002ist grundsätzlich nicht möglich
Der 1. Schritt: Festlegung des AnwendungsbereichsFestlegung des ISMS-Anwendungsbereich und dessen Umfang. Daraushervorgehend eine Dokumentation, aus der die Geschäftstätigkeit desUnternehmens, die Organisationsstruktur, die Wirtschaftsgüter, dieTechnologie usw. ersichtlich wird.
Der 2. Schritt: Inventarisieren der Werte (Assets)Aufbau oder Erweiterung eines Inventars unter Nutzung der vorhandenenDatensammlungen. Einbeziehen aller den ISMS-Anwendungsbereichbetreffenden Werte.
Der 3. Schritt: Analysieren und Behandeln von RisikenDefinition eines systematischen Ansatzes zur Risikoabschätzung, dessenVorgehensmodell der Geschäftstätigkeit des Unternehmens angepasst ist.Nennung von Regelungen und Zielen, die das ISMS enthält um die Risikenauf ein akzeptables Niveau zu senken, sowie Kriterien für die Akzeptanz vonRisiken festlegen.
Der 4. Schritt: Maßnahmen festlegen und umsetzenAuswahl der Control Objectives (Schutzziele) und der entsprechendenMaßnahmen, die implementiert werden sollen.
Der 5. Schritt: Aufbau des Statement of Applicability (SOA)Aufbau einer detaillierten Erläuterung, wie die Sicherheitsziele desAnwendungsbereichs erzielt wurden.
23
NOTWENDIGE UMSETZUNGSSCHRITTE
5 0 0 0 0 0
4 0 0 0 0 0
3 0 0 0 0 0
2 0 0 0 0 0
1 0 0 0 0 0
1 2 3 4 5
Scha
dens
höhe
Scope
Werte
Risiko
Maßnahmen
Anwendbarkeit
Dok
umen
tatio
n
KVP: Kontinuierlicher Verbesserungsprozess
KVP
24
SCHRITT 1: FESTLEGUNG DES ANWENDUNGSBEREICHS
Definition des Anwendungsbereichs und derGrenzen des ISMS unter Berücksichtigung
der Eigenschaften des Geschäfts,der Organisation,des Standortes,der Werte (Assets) undder Technologie,einschließlich der Details über undRechtfertigung von jeglichenAusschlüssen aus dem Gültigkeitsbereich
Prozessorientierter Aufbau desAnwendungsbereichs
25
SCHRITT 2: INVENTARISIEREN DER WERTE
Die Inventarisierung und Bewertung aller imAnwendungsbereichs des ISMSeingesetzten Werte (Aktivposten,Vermögen), unabhängig
von der Dauer des Einsatzes,von der Höhe der Anschaffungskostenvom Einsatzbereich
Die Verknüpfung der primären mit dennotwendigen unterstützenden Assets
StandorteSoftware Organisation
Unterstützende Werte
PersonalHardware Netzwerk
Klassifikation der Werte
Betriebswirt-schaftlicheEinschätzung
• Vertraulichkeit• Verfügbarkeit• Integrität
Primäre Werte
InformationenGeschäftsprozesse
Vererbung Vererbung
26
SCHRITT 3: ANALYSIEREN UND BEHANDELN VON RISIKEN
Erfassung konkreter IT-Risiken auf Basistatsächlicher SchutzanforderungenKombination von „Bauchgefühl“ undlangjähriger ErfahrungBestimmung eines Risikoakzeptanz-NiveausKontrolle und Überwachung derausgewählten MaßnahmenImplementierung von Prozessen zurVerbesserung der Transparenz undVerantwortungsübernahmeIntegration von detaillierten IT-Risiken
27
SCHRITT 4: MASSNAHMEN FESTLEGEN UND UMSETZEN
Auswahl oder Definition von Maßnahmen, umidentifizierte und bewertete Risiken auf einakzeptables (Risiko-) Niveau senken zu könnenUmsetzung von Maßnahmen nach Kosten-Nutzen-AnalyseGenerische Vorschläge aus den ISO Standards27001 und 27002Erweiterung durch ausgearbeitete technischeMaßnahmen der IT-Grund-schutz-Kataloge(Bundesamt für Sicherheit in derInformationstechnik)Berücksichtigung des „Standard of GoodPractice for Information Security“ des ISF(Information Security Forum)
Nebeneffekte:Kontinuierlicher Verbesserungsprozessdurch regelmäßige Überprüfung.Effizienzsteigerung.Grundlage zur Kennzahlenerhebung.
DOACT
Check
Plan
28
SCHRITT 5: STATEMENT OF APPLICABILITY (SOA)
Erläuterung, auf welche Weise dieSicherheitsanforderungen erfüllt wurden.Es wird dazu eine Darstellung vorgenommen,durch welche Maßnahmen die durch denStandard geforderten Controls umgesetztwerden
29
DOKUMENTATIONSANFORDERUNGEN IM ISMS
Aus dem Standard abgeleitete notwendigeDokumentation (zwingend notwendig alsVoraussetzung zur Zertifizierung)Ausarbeitung und Festlegung derAufzeichnungen und auch Hilfsmittel.Definition von Dokumenten- undAufzeichnungslenkung
…
Vorgehensweise:Die individuelle Ausprägung lässt dem implementierenden Unternehmen einenbreiten Gestaltungsspielraum.
Risikoanalyseansatz:Geforderter Risikoanalyseansatz auf Basis der tatsächlichenSicherheitsanforderungen der Schutzobjekte.
Definition der Anforderungen und Maßnahmen:Der normative Teil des Standards hat diverse Anforderungen, die aber wederim Annex A noch in der ISO 27002 konkretisiert werden.Umsetzung nach Anforderungsmanagement - keine Maßnahmen!Keine Maßnahme vor Risikoanalyse!
Zertifizierungsaudit:Vorgehen beim Audit abhängig von der Zertifizierungs-gesellschaftunterschiedlich und nicht öffentlich
© 2010, HiSolutions AG | ISO 27001 mit oder ohne IT-Grundschutz? 30
ISO 27001 - Zwischenfazit
Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern undextern)
Für Behörden gegenüber Bürgern oder UnternehmenFür Unternehmen gegenüber Kunden, Geschäftspartner, Geldgeber(z. B. Basel II), Aufsichtsorganen
Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohenSicherheitsanforderungen
Gesetzliche oder vertragliche AnforderungenIdentifikation von Mitarbeitern und Unternehmensleitung mit SicherheitszielenOptimierung der internen Prozesse:
geordneter effektiver IT-Betriebmittelfristige Kosteneinsparungen
Vermeidung von Imageschäden
32
WARUM ISO 27001-ZERTIFIZIERUNG?
Vorteile der ZertifizierungZertifizierung dient als vertrauenswürdiger Nachweis, dass Maßnahmen nachden IT-Grundschutzkatalogen realisiert wurdenZusicherung eines Mindest-Grades von IT-Sicherheit für Geschäftspartner,Kunden und sonstige AnspruchsgruppenKeine untragbaren Risiken bei zertifizierten IT-Dienstleistern, die anbestehende Netzstrukturen angekoppelt werdenVerdeutlichung der Bemühungen um eine ausreichende IT-Sicherheit durchUnternehmen und Behörden gegenüber Kunden und Bürgern
Akkreditierte Prüfer können beim BSI online eingesehen werdenhttps://www.bsi.bund.de/cln_134/ContentBSI/grundschutz/zert/veroeffentl/ISO27001Auditoren/auditoren27001.html
33
IT-GRUNDSCHUTZ / ISO 27001 ZERTIFIZIERUNG
„ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist sowohl fürkleine Unternehmen als auch für große Rechenzentren geeignet!“
Umsetzung IT-Grundschutz: 12 - 36 MonateAufwand des Auditors: ca. 15 - 35 Tage, je nach Größe und Komplexität desUntersuchungsgegenstandes
ErfolgsfaktorenUnterstützung durch die GeschäftsleitungVerständnis, Kooperationsbereitschaft und aktiveUnterstützung durch alle Verantwortlichenkonsequente GruppenbildungTool-Unterstützung
34
ERFAHRUNGEN MIT DER ZERTIFIZIERUNG
Eine BSI-Zertifizierungumfasst sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutzbeinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlichaussagekräftiger als eine reine ISO-Zertifizierung
Vom BSI lizenzierte Auditoren…erfüllen alle Anforderungen, die die ISO anAuditoren für ein ISMS stellt (EA-7/03)
35
ISO 27001 ZERTIFIKAT AUF DER BASIS VON IT-GRUNDSCHUTZ
SAP wird oft außerhalb der Standard-Administrationsprozesse betriebenSystemeinführung erfolgt oft unter großem ProjektdruckDas Vorhandensein von Standardkomponenten wird „vergessen“Abhängigkeit von Verfügbarkeit und Integrität der gespeicherten Daten steigtzunehmendVertraulichkeitsgrad der gespeicherten Daten steigtVerdichtungsgrad der Daten steigt z.B. durch BWArchitekturfehler der ersten Stunde werden nicht behoben„non-SAP“-Schnittstellen erhöhen Angriffswahrscheinlichkeitschlichte Masse: 50.000 Transaktionscodes, 20.000 Tabellen!Und natürlich sind „Wir“ im Internet!
39
SAP R/3 - das vergessene Risiko
41
Application-Level Gateway für SAP-Dienste
SAProuter
Telnet, SQLNet
DIAG
DIAG
Als alleiniges Sicherungssystem aber nicht ausreichend!
Nach Installation die Fähigkeiten der Standard-Benutzer überprüfenSAP*, DDIC, SAPCPIC, EARLYWATCH
Benutzer-Informationssystem (im AIS) verwendenzur Überprüfung der existierenden Benutzerund ihrer Berechtigungen
Regeln für die Standard-Anmeldung definierenPasswörterFehlversuche
42
Userverwaltung und Anmeldung
Das Security-Audit-Log ermöglicht einen langfristigen Zugriff auf Daten.
Im Security-Audit-Log können folgende Informationen aufgezeichnet werden:erfolgreiche und erfolglose Anmeldeversuche im Dialogerfolgreiche und erfolglose Anmeldeversuche per RFCRFC-Aufrufe von FunktionsbausteinenÄnderungen an Benutzerstammsätzenerfolgreiche und erfolglose TransaktionsstartsÄnderungen an der Audit-Konfiguration
Einschalten via rsau/enable 1 (mit SM19 Auditprofil anlegen und aktivieren)
43
Prüfung und Protokollierung
44
Profilparameter für BenutzerkennungenLogin/fails_to_sessions_end Anzahl fehlerhafter Anmeldeversuche
Login/fails_to_user_lock Anzahl fehlerhafter Anmeldeversuche nach denen der User für einen Tag gesperrt wird
Login/failed_user_auto_unlock Sperrung der standardmäßig am Folgetag eintretenden automatischen Freigabe einer durch fehlerhafte Anmeldung gesperrten
Benutzerkennung..
Login/password_expiration_time Gültigkeitsdauer von Kennwörtern in Tagen an.
Login/min_password_lng Mindestlänge des Passworts
Login/no_automatic_user_sapstar Bei Werten größer Null wird eine erneute Anmeldung unter der Kennung SAP* nach versehentlicher Löschung des
Benutzerstammsatzes unmöglich.
Login/disable_multi_gui_login verhindert mehrfache Dialoganmeldungen des gleichen Users im gleichen Mandanten
Login/min_password_digits Mindestanzahl von Ziffern im Passwort, ab Release 6.10
Login/min_password_letters Mindestanzahl von Buchstaben im Passwort , ab Release 6.10
Login/min_password_specials Mindestanzahl von Sonderzeichen im Passwort , ab Release 6.10
[...]
Mindestlänge 3 Zeichenmaximale Länge 8 Zeichenkeine Unterscheidung zwischen Groß- und Kleinbuchstabendas erste Zeichen darf nicht ! oder ? seindie ersten drei Zeichen des Passwortes dürfen nicht identisch seindas Passwort darf nicht PASS oder SAP* lautendas Passwort darf nicht mit den letzten fünf Passwörtern des Benutzers identisch
sein
45
SAP Passwortkonventionen
Nach der Installation verfügt das System über 3 Mandanten:Mandant 000 für SAP-Customizing-StandardeinstellungenMandant 001 für kundeneigene StandardeinstellungenMandant 066 für Earlywatch
Jeder Mandant enthält 2 vordefinierte Benutzer:Benutzer SAP*
DER PoweruserAnfangskennwort 06071992
Benutzer DDICWird für das Transport- und Korrektursystem verwendetAnfangskennwort 19920706
46
Beispiele für kritische R/3-Benutzer
Erstellen eines eigenen Superuser-Accounts mit dem Profil SAP_ALL
Anlegen eines Benutzerstammsatzes SAP* (existiert noch nicht, da hartkodierterAccount)
Mitglied der Gruppe SUPERDadurch Schutz dieses Stammsatzes vor Modifikation
Löschen aller Profile für diesen AccountAccount kann keinen Schaden mehr anrichten
Passwort für SAP* ändernBenutzer SAP* nie löschenZugriff auf Benutzerstammsatz und Anmeldeversuche protokollieren
47
Empfehlungen für den User SAP*
Benutzerstammsatz für DDIC:
Alle Profile beibehaltenDDIC wird für Transport- und Korrekturwesen benötigt!
Mitglied der Gruppe SUPERDadurch Schutz dieses Stammsatzes vor Modifikation
regelmäßige Kennwortänderung
48
Empfehlungen für den User DDIC
49
Auswahl schützenswerter Profile:
P_BAS_ALLS_A.SYSTEMS_A.ADMINS_A.CUSTOMIZS_A.DEVELOPS_A.SHOWS_A.USER
S_SCD0_ALL
S_SCRP_ALL
S_SPOOL_ALL
S_SYST_ALL
S_TABU_ALL
S_TSKH_ALL
S_USER_ALL
SAP_ALL
SAP_ANWEND
SAP_NEW
S_WF_ALL
Z_ANWEND
S_ABAP_ALL
S_ADMI_ALL
S_BDC_ALL
S_BTCH_ALL
S_DDIC_ALL
S_DDIC_SU
S_NUMBER
Wird heute auf Grund der Konzentration auf das Workshop Thema nichtbehandelt!
50
Sicherheit von RFC, Betriebssystem und Datenbank
Werkzeug für Systemadministratoren und Revisoren
Übersicht über alle sicherheitsrelevanten Informationen
Sicherheitsüberprüfungen
Identifikation und Beseitigung von Sicherheitslücken
51
Audit Information System
Folgende Reports dienen der Analyse (teilweise im AIS enthalten)RSUSR003 Standardkennwörtern der Benutzer SAP* und DDICRSUSR005 Benutzer mit kritischen Berechtigungen (SAP-Sicht)RSUSR006 durch Passwortfehleingabe gesperrte Benutzer (autounlock!)RSUSR007 Benutzer mit unvollständigen AdressdatenRSUSR008 Benutzer mit kritischen Kombinationen aus Berechtigung und
TransaktionRSUSR009 Benutzer mit kritischen Berechtigungen (selbst definierbar)RSUSR100 Änderungen an den BenutzersicherheitseinstellungenRSUSR101 Änderungen an den ProfilenRSUSR102 Änderungen an den Berechtigungen
52
Prüfreports
53
Eine Auswahl schützenswerter Transaktionen:F040 ReorganisationF041 Archivierung BankstammdatenF042 Archivierung SachkontenF043 Archivierung DebitorenF044 Archivierung KreditorenF045 Archivierung BelegeF046 Archivierung VerkehrszahlenGCE2 ProfileGCE3 ObjektklassenKA10 Kostenstellen archivieren (gesamt)KA12 Kostenstellen archivieren (Plan)KA16 Kostenstellen archivieren(Einzelpositionen)KA18 Archivverwaltung: Umlage, Vert., …OY20 Berechtigungen Customizing
OY21 Benutzerprofile Customizing
OY22 Unterverwalter anlegen Customizing
OY27 Superuser anlegen Customizing
OY28 SAP* deaktivieren
OY29 Dokumentationsentwickler
OY30 Dokumentationsentwickler
SARA Archivadministration
SCC5 Mandanten löschen
SE06 Einrichten Transport Organizer
SE11 R/3-Data-Dictionary
SE16 Tabellenanzeige
SE38 ABAP-Editor
SME30 Pflege von USR40
SM49 Ausführen externer OS-Kommandos
SU12 Massenänderungen Benutzerstamm
[...]
IT-Grundschutz - Baustein SAP: Gefährdungen
Höhere Gewalt- G 1.1 PersonalausfallOrganisatorische Mängel- G 2.7 Unerlaubte Ausübung von Rechten- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen- G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen- G 2.108 Fehlende oder unzureichende Planung des SAP EinsatzesMenschliche Fehlhandlungen- G 3.8 Fehlerhafte Nutzung von IT-Systemen- G 3.9 Fehlerhafte Administration von IT-Systemen- G 3.16 Fehlerhafte Administration von Zugangs- und ZugriffsrechtenVorsätzliche Handlungen- G 5.2 Manipulation an Informationen oder Software- G 5.7 Abhören von Leitungen- G 5.9 Unberechtigte IT-Nutzung- G 5.21 Trojanische Pferde- G 5.23 Schadprogramme- G 5.128 Unberechtigter Zugriff auf Daten durch Einbringen von Code in ein SAP System
IT-Grundschutz - Baustein SAP: Maßnahmen (1/3)
Planung und Konzeption- M 2.341 (A) Planung des SAP Einsatzes- M 2.342 (A) Planung von SAP Berechtigungen- M 2.343 (C) Absicherung eines SAP Systems im Portal-Szenario- M 2.344 (C) Sicherer Betrieb von SAP Systemen im Internet- M 2.345 (C) Outsourcing eines SAP Systems- M 2.346 (A) Nutzung der SAP Dokumentation- M 3.52 (A) Schulung zu SAP Systemen- M 3.53 (Z) Einführung in SAP SystemeUmsetzung- M 4.256 (A) Sichere Installation von SAP Systemen- M 4.257 (A) Absicherung des SAP Installationsverzeichnisses auf Betriebssystemebene- M 4.258 (A) Sichere Konfiguration des SAP ABAP-Stacks- M 4.259 (A) Sicherer Einsatz der ABAP-Stack Benutzerverwaltung- M 4.260 (A) Berechtigungsverwaltung für SAP Systeme- M 4.261 (B) Sicherer Umgang mit kritischen SAP Berechtigungen
IT-Grundschutz - Baustein SAP: Maßnahmen (2/3)
Umsetzung (Fortsetzung)- M 4.262 (C) Konfiguration zusätzlicher SAP Berechtigungsprüfungen- M 4.263 (A) Absicherung von SAP Destinationen- M 4.264 (A) Einschränkung von direkten Tabellenveränderungen in SAP Systemen- M 4.265 (B) Sichere Konfiguration der Batch-Verarbeitung im SAP System- M 4.266 (A) Sichere Konfiguration des SAP Java-Stacks- M 4.267 (A) Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung- M 4.268 (A) Sichere Konfiguration der SAP Java-Stack Berechtigungen- M 4.269 (A) Sichere Konfiguration der SAP System Datenbank- M 5.125 (B) Absicherung der Kommunikation von und zu SAP Systemen- M 5.126 (A) Absicherung der SAP RFC-Schnittstelle- M 5.127 (B) Absicherung des SAP Internet Connection Framework (ICF)- M 5.128 (B) Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle- M 5.129 (C) Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen
IT-Grundschutz - Baustein SAP: Maßnahmen (3/3)
Betrieb- M 2.347 (B) Regelmäßige Sicherheitsprüfungen für SAP Systeme- M 2.348 (C) Sicherheit beim Customizing von SAP Systemen- M 2.349 (C) Sicherheit bei der Software-Entwicklung für SAP Systeme- M 4.270 (A) SAP Protokollierung- M 4.271 (C) Virenschutz für SAP Systeme- M 4.272 (A) Sichere Nutzung des SAP Transportsystems- M 4.273 (A) Sichere Nutzung der SAP Java-Stack Software-VerteilungAussonderung- M 2.350 (A) Aussonderung von SAP SystemenNotfallvorsorge- M 6.97 (A) Notfallvorsorge für SAP Systeme
Nach Prüfschema der jeweiligen Zertifizierungsstelle.
In der Regel zuerst ein Dokumentenaudit.
Danach Erstellung eines Prüfplanes (Stichproben) vor Ort.
Besuch der Orte und Prüfung.
Erstellung von Mängelberichten
Behebung von Mängeln & evtl. erneute vor Ort Prüfung
Erstellung des Berichtes für die Zertifizierungsstellen
Ggf. Prüfung des Berichtes durch die Zertifizierungsstellen (keine Pflicht!)
Erteilung des Zertifikates
Wie läuft ein Zertifizierungsaudit ab?
Das Audit Teil 1 Dokumentenprüfung:Sind die Sicherheitsrichtlinien vollständig, aktuelle und geeignet?Schutzbedarf des Geschäftes korrekt erhoben und an die Infrastruktur„vererbt“?Plausibilitätsprüfung: Inventar des IS-Verbundes im Netzplan? AngewendeteBausteine geeignet?Zustand der Sicherheit im IS-Verbund nahe an 100% der Forderungen der IT-Grundschutzkataloge?
Ergebnisse der Audits und Basissicherheitschecks nachvollziehbar?Zusätzliche Maßnahmen bei höheren Schutzerfordernissen erkannt undumgesetzt?Funktion der Prozesse besonders hinsichtlich Notfall undSicherheitsvorfall nachvollziehbar?
Wie läuft ein Zertifizierungsaudit ab?
Das Audit Teil 2 Inspektion vor Ort:
Hat der Auditor den Eindruck gewonnen, dass das Informationssicherheits-Managementsystem des IT-Verbundes wirksam und effizient ist und dieZiele der Leitlinien erreicht werden?
Besteht Übereinstimmung des Netzplanes mit der Realität und umgekehrt?
Sind die umgesetzten Maßnahmen und die zusätzlichen Maßnahmen fürhöheren Schutz wirklich umgesetzt? (Prüfung anhand von 10Stichproben).
Sind die entbehrlichen Maßnahmen stichhaltig begründet?
Wurden Risiken nachvollziehbar vermieden?
Wie läuft ein Zertifizierungsaudit ab?
Was heißt umgesetzt?Die Überprüfung der Maßnahmen umfasst nicht nur die Kontrollfragen,sondern die Umsetzung der Maßnahme ihrem Sinn und Zweck nach.
Aufgrund der Vielfalt der unterschiedlichen Einsatzszenarien undRealisierungsmöglichkeiten ist es nicht immer sinnvoll, die Maßnahmen derIT-Grundschutz-Kataloge wörtlich und ohne Anpassung an dasEinsatzumfeld umzusetzen.
Der Auditor hat zu prüfen und zu dokumentieren, ob die Umsetzungsinngemäß erfolgt ist.
Bei zusätzlichen Maßnahmen für höheren Schutz hat der Auditor zu prüfenund zu dokumentieren, ob die Umsetzung wirksam ist .d.h. den zusätzlichidentifizierten Gefährdungen tatsächlich ausreichend entgegen wirkt.
Prüfung der Umsetzung der Sicherheitsmaßnahmen
Bei uns bekommen Sie Ihr Zertifikat in 20 Tagen!
Der Umfang ist ja noch nicht bekannt!
Die ISO 27001 Umsetzung ist ja viel einfacher…
Der Aufwand für die ernsthafte ISO 27001 Umsetzung ist genausoumfangreich wie die Umsetzung nach BSI IT-Grundschutz!
Zertifizierungsstellen haben nur grobe Anforderungen an die Prüfschema der„Oberzertifizierungsbehörde“ TGA
Die ISO Anforderungen sind auch bei der Personenzertifizierungunspezifisch.
Deshalb besitzen die Auditoren nicht immer genügend Erfahrungen!
1. Problem: Unzureichende Standards bei denZertifizierungsstellen
2. Problem: Menge vs. Qualität / Tiefe der Prüfung
Beispiel T-Systems:
Scope: Produkt ICT Lösungen
Ist SAP da überhaupt mitdrin?
Alle Prozesse bzw.Teilprozesse
Verteilt über verschiedeneStandorte in Deutschland undweltweit
2. Problem: Menge vs. Qualität / Tiefe der Prüfung
Im Anhang zum Zertifikat folgen 4Seiten mit Standortadressen!
Darunter Brasilien, Russland, Mexico,Slowakei
An jedem Standort Gebäude, Räume,Mitarbeiter, Anwendungen, IT-Systeme, Netze, Speicher,Arbeitsplätze etc.
3. Problem: Aussage zur IT-Sicherheit evtl. nichtausreichend
Interessant wäre ja noch der ordnungsgemäße Ablauf von Prozessenrings um SAP.
Die Genehmigung bei der Verwendung der Daten in SAP.
„Excel vs. Word Problem“
Eine Prüfung aus anderem Blickwinkel und mit mehr Intensität lieferthier die Revision!
3. Problem: Aussage zur IT-Sicherheit evtl. nichtausreichend
Spannungsfeld Datenschutz vs. Informationssicherheit
72
FAZIT ZU ZERTIFIKATEN
© HiSolutions 2012 | Workshop Normen und Zertifikate
• Sicherheit grundsätzlich vorhanden
• Abgrenzung des Zertifikates hinterfragen
• Zusätzliche Unterlagen anfordern
• Prüffokus des Auditors abfragen
• Berichte der internen Revision
• Bericht des Datenschutzbeauftragten
© HiSolutions 2012 | Workshop Normen und Zertifikate
RONNY FRANKENSTEINBEDANKTSICH FÜR IHREAUFMERKSAMKEIT
HiSolutions AG
Bouchéstraße 1212435 [email protected]+49 30 533 289 0
73