SicherheitskonzeptMICHAEL VOGLERTHOMAS STRABLERDOMINIC WURZERFLORIAN MOLD
Überblick• Definition
• Grundlagen
• Anforderungen
• Ziele
• strukturierte Vorgehensweise
• Gefährdungen
• Sicherheitskonzepte im Alltag
Definition• stellt Analyse möglicher Angriffs- und Schadensszenarien dar
• Aufgabe: definiertes Schutzniveau erreichen
• Sicherheitskonzept = eine Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen
• gewünschte Schutzwirkung durch Kombination
• je nach Schutzobjekt: o baulicheo technischeo organisatorischeo versicherungstechnische
Maßnahmen
• Typische Abläufe und IT-Komponenten überall ähnlich
• Wichtig:◦ Wiederverwendbarkeit◦ Anpassbarkeit◦ Erweiterbarkeit
• Typische Gefährdungen, Schwachstellen und Risiken
• Typische Geschäftsprozesse und Anwendungen
• Typische IT-Komponenten
• Gerüst für das IT-Sicherheitsmanagement wird gebildet
Die Idee ...
Grundlagendrei Säulen der Sicherheit:
• Mechanischer Grundschutz• Elektronische Überwachungseinrichtung• Organisation der Alarmverfolgung des Auftragsgebers
• Anforderungen des Auftraggebers• örtlichen Gegebenheiten• vom Auftraggeber zur Verfügung gestellte Mittel
wichtig ist:• Sicherheitskonzept regelmäßig prüfen• an neue Gegebenheiten anpassen
Anforderungen optimales Sicherheitskonzept - folgende Anforderungen:
• Homogenität der Maßnahmen(keine gefährliche Lücken)
• Vollständigkeit
• Wirksamkeit rund um die Uhr und bei allen Betriebszuständen
• Verhältnismäßigkeit von Kosten und Nutzen(auf der Basis einer Risikoanalyse)
Ziel des SicherheitskonzeptsDurch infrastrukturelle, organisatorische, personelle undtechnische
Standard-Sicherheitsmaßnahmenein
Standard-Sicherheitsniveauaufbauen, das auch für sensiblereBereiche
ausbaufähigist.
• Datensicherheit: • Daten gegen Verlust sichern
• Datenschutz:• Daten gegen Diebstahl sichern
• Datenintegrität:• Daten gegen Manipulation schützen
strukturierte Vorgehensweisestrukturierte Vorgehensweise eines Sicherheitskonzepts:
• Bestimmung des Objekts/Schutzziele• Analyse der Bedrohungen/Gefahren• Eintrittswahrscheinlichkeit bzw. potentielle Schadenserwartung• Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit/Schadenshöhe• Schadensbekämpfung/-eindämmung• Versicherung des Restrisikos
Gefährdungen• höhere Gewalt: Feuer, Wasser, Blitzschlag, ...
• organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ...
• menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur"
• technisches Versagen: Systemabsturz, Plattencrash, ...
• vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...
Bedeutung der Gefahrenbereiche
Quelle: KES-Studie 2006
Irrtum und Nachlässigkeit• meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit
• Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1):◦ 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von
wichtigen Daten höher ein als durch Virenbefall◦ 90% davon erklären dies durch einfache Anwenderfehler
1) Quelle: Broadcasters Res. International Information Security
Unzureichende Software-TestsBeispiel: British Airways
Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.
• Beispiel für fehlendes/lückenhaftes Sicherheitskonzept
Informationen…
… sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation
… sollten deshalb - unabhängig von ihrer Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.
Quelle: ISO/IEC 17799:2005, Einleitung
Schutz von Informationen
Sicherheitskonzepte im Alltag
Sicherheit
KostenBequemlichkeit
Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“
Erreichbares SicherheitsniveauSi
cher
heits
nive
au
Sicherheitsaspekte
normalerSchutzbedarf
Typische Probleme in der Praxis• Fatalismus und Verdrängung
• Kommunikationsprobleme
• Sicherheit wird als technisches Problem mit technischen Lösungen gesehen
• Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten
• unsystematisches Vorgehen bzw. falsche Methodik
• Management: fehlendes Interesse, schlechtes Vorbild
• Sicherheitskonzepte richten sich an Experten, IT-Benutzer werden vergessen
Stellenwert der Sicherheit „Sicherheit ist Chefsache“
Vorteile• arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich
• kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle
• praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit
• Erweiterbarkeit und Aktualisierbarkeit
Nachteile• sehr Zeitaufwändig
• erfordert Fachkenntnisse
• oft schwierig zu implementieren
Methodik für ein Sicherheitskonzept?
Viele Wege führen zur IT-Sicherheit...
Welcher Weg ist der effektivste?
Fragen?
?
?
???
?
?
Vielen Dank für Ihre Aufmerksamkeit!