Wie viel IT-Sicherheit braucht mein Unternehmen? - VGW - Verein

Wie viel IT-Sicherheit braucht mein Unternehmen?
Dipl.-Ing., Dipl.-Inform. Gerhard Bülow
28.04.2014 Verein zur Förderung der Gladbecker Wirtschaft e.V.
28.04.2014
1
IT-Sicherheit ist Chefsache
Nach den Enthüllungen um die NSA steigt die Bedeutung des Datenschutzes.
Mobile Endgeräte und das Internet stellen immer höhere Anforderungen an die
Sicherheit im Bereich der IT. Unternehmen sind zudem mehr denn je von
funktionierenden IT-Infrastrukturen abhängig.
Informationssicherheit ist daher ein besonders wichtiges Interesse von Vorständen,
Geschäftsführern und IT-Entscheidern um Verlust von Daten und Datendiebstahl zu
vermeiden.
Hilfreiche Fragegestellungen:
Welche schützenswerten Daten habe ich im Unternehmen?
Wie muss das organisatorische Umfeld gestaltet sein?
Wie schafft man ein Sicherheitsbewusstsein im Unternehmen?
Welche Maßnahmen müssen ergriffen werden?
28.04.2014
2
"Wie sicher ist sicher genug?"
Mit der Beantwortung dieser Frage ringen Unternehmen in aller Welt.
Medienberichte beunruhigen die IT-Verantwortlichen:
Staatsanwaltschaft Verden bestätigt 18-millionenfachen Datenklau
Heartbleed Bug" Sicherheitslücke (OpenSSL) macht verschlüsselte
Verbindung unter Umständen angreifbar.
Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck
Virenmail tarnt sich als Bahn-Buchungsbestätigung
Sparkassen-Website manipuliert Nutzer-Rechner
Massenhafter Raub von Kundendaten
Australien: Hackerangriffe auf die Zentralbank
Cyber-Bankräuber erbeuten Millionen von deutschen Konten
Nur strukturiertes Vorgehen hilft den Sicherheitsverantwortlichen weiter.
28.04.2014
3
Sicherung des Unternehmensstandortes:
Gebäude (Zaun, Alarmanlage, Videoüberwachung)
Server-Räume (Zutritt)
Unterbrechungsfreier Betrieb (USV, Notstrom)
Umgebungsbedingungen (Klima)
Brandschutz
28.04.2014
4
Risikofaktor Netzwerk [LAN / WAN]
PC-Arbeitsplätze
File-Server (RAID, Berechtigungen)
Datensicherung (BAND / SAN)
Virenschutz (Server / PC)
Netzwerk WLAN
Notebook
Sichere Datenvernichtung / PC-Entsorgung
Eine Studie der Gardner Group besagt, dass 70 Prozent aller unberechtigten
Zugriffe auf EDV-Systeme durch autorisierte Benutzer erfolgen und sogar 95 %
aller Angriffe, die zu einem finanziellen Verlust führen.
28.04.2014
5
Risikofaktor PC-Arbeitsplatz
PC-Systeme verfügen heute häufig über
CD / DVD Brenner
USB-Schnittstelle
Internet-Zugang
Damit ergibt sich das potentielle Risiko, dass interne Daten
auf CD / DVD gebrannt und mitgenommen werden
auf einen USB-Stick gespeichert und mitgenommen werden
per E-Mail verschickt werden
oder Viren, Trojaner etc. eingeschleust werden.
Abhilfe:
Terminalserver mit Thin-Clients (USB abgeschaltet)
Datenschutzrichtlinie
28.04.2014
6
Risikofaktor File-Server (Windows, Samba [Linux] etc.)
Sichere Datenhaltung der Firmendaten
RAID (Redundant Array of Independant Disks) beschreibt die Methode, aus
mehreren ungesicherten Festplatten einen Verbund aufzubauen. Ziel ist es,
bestimmte Eigenschaften wie Datensicherheit oder Geschwindigkeit zu
verbessern.
Berechtigungsstrukturen (Verzeichnisebene)
Gruppenrichtlinien
Benutzer-Zugangskennung
Benutzer-Zugangs-Passwort
Jeder Benutzer erhält nur Zugang zu Daten, die er tatsächlich benötigt.
28.04.2014
7
Risikofaktor File-Server
Datensicherung (Maßnahmen gegen Datenverlust)
Generelle Klärung: Was?, Wann?, Wie viel?, Wie schnell?
Wo?: Regelmäßige Sicherung der Server-Daten auf Bändern
Wo?: Kombination aus Plattenspeicher und Bänder
Datenbestände wachsen rasant schnell
Sicherung der Daten auf Bändern benötigt immer mehr Zeit
Eine Wiederherstellung der Daten vom Band dauert lange
Daher oft zweistufiges Konzept:
Tägliche Sicherung auf SAN / NAS
Bänder dienen der Langzeitaufbewahrung
28.04.2014
8
Risikofaktor File-Server
Disaster Recovery / Notfall-Pläne
Fehlerursachen für Datenverluste sind vielfältig:
Hardwareausfälle [Festplatten, Netzteil etc.…]
Softwareausfälle [Probleme durch Updates]
Sicherheitsbedrohungen [Viren, Trojaner]
Stromausfall
Fehlverhalten von Mitarbeitern
Notfall-Pläne müssen regelmäßig überprüft / getestet werden.
Im Ernstfall sollte innerhalb von X Stunden der Normalbetrieb wieder laufen
Ein Störfall, der nicht innerhalb der erwarteten Zeit behoben wird, kann zu
erheblichen geschäftlichen Konsequenzen führen.
28.04.2014
9
Risikofaktor Viren
Viren, Würmer, Trojaner und andere Computer-Schädlinge werden eingeschleust
durch
E-Mails
USB-Sticks
CD-ROMS
DVDs
Anti-Viren-Software auf Server und PCs schaffen Abhilfe
Regelmäßige Patternupdates sind notwendig
Größte Gefahr durch E-Mails.
28.04.2014
10
Risikofaktor Viren
Aktuelle Meldungen
Entwicklung der IT-Bedrohungen im 1. Quartal 2014
http://www.viruslist.com/de/analysis?pubid=200883851
weitere:
Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck
Virenmail tarnt sich als Bahn-Buchungsbestätigung
Sparkassen-Website manipuliert Nutzer-Rechner
Cyber-Bankräuber erbeuteten Millionen von deutschen Konten
Australien: Hackerangriffe auf die Zentralbank
Sicherheitsstudie: Die unsichersten Android-Apps
28.04.2014
11
Risikofaktor WLAN
WLAN Verschlüsselung
Durch Verschlüsselungstechnologien wird die Verbindung selbst gesichert und
alle Daten im WLAN verschlüsselt. [Leider oft nicht eingeschaltet]
[WEP, WPA, WAP2]
Zugangskontrolle zu WLAN Netzen [NAC]
Vordefinierte MAC-Adressen
Radius-Authentisierung
WLAN IPS
Überwachung, wer baut eine WLAN-Verbindung auf
Sicherheitsregeln entscheiden über Freigabe oder Sperrung
28.04.2014
12
Risikofaktor Notebook (USB-Stick, externe Festplatten, DVDs)
Notebooks etc. gehen verloren oder werden gestohlen
Zugangskontrolle über ‚Fingerprint-Reader‘
Verschlüsselung der Festplatte (z.B. G DATA TopSecret verschlüsselt die Daten
in Echtzeit)
Generell unternehmensweite Sicherheitsanforderungen für mobile Geräte
Aktuelle Diskussion BYOD
Bring Your Own Device ist eine Organisationsrichtlinie, die regeln soll, auf
welche Weise Mitarbeiter ihre eigenen elektronischen Bürogeräte
(Smartphones, Notebooks, Tablets) zu dienstlichen Zwecken nutzen dürfen.
28.04.2014
13
Risikofaktor Notebook
Tipps zum Schutz vor Datenklau
Sicherheitsrichtlinien definieren
Sensibilisierung der Mitarbeiter
Schwer zu knackende Passwörter einrichten
Boot-Passwort einrichten
Passwortschutz durch Fingerprint-Reader
Ruhemodus absichern
USB-Schnittstellen kontrollieren – Export
USB-Schnittstellen kontrollieren – Import
Automatische Verschlüsselung
Selbst wenn Geräte verloren gehen oder gestohlen werden, haben Unbefugte dann
geringe Chancen, sensible Daten einzusehen.
28.04.2014
14
Sichere Datenvernichtung / Entsorgung
Tipps zur Daten(Träger)vernichtung
Software-Tools
Festplatte Daten schreddern (Eraser, CCleaner, AcronisDrive Cleanser )
Festplatte Daten wipen (Mehrfachlöschung)
Festplatte low level formatieren (HDD Guru)
Mechanische Zerstörung
CD / DVD schreddern (wie Aktenvernichter)
Festplatten
Magnetbänder
Drucker-‘Trommel‘
Teil 4 der ÖNORM S 2109 (Akten- und Datenvernichtung - Geräte und Geräteteile
mit Datenträgern)
28.04.2014
15
Risikofaktor Internet
Wahl des Internet-Zugangs
Netzwerk-Sicherheit (Firewall)
E-Mail-Sicherheit
Geschäftsmodell SPAM
Gefahren beim Surfen (aktive Inhalte)
28.04.2014
16
Wahl des Internet-Zugangs
Leitungs-Typ: A-DSL, S-DSL, SFV
Router / Modem
Qualität (UBR, VBR, CBR)
Bandbreite (symmetrisch, asymmetrisch)
Verfügbarkeit
Dynamische / Statische IP-Adresse
28.04.2014
17
Netzwerk-Sicherheit
Firewall:
Kontrolliert die Verbindungen zwischen internem und externem Netz und
entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete
durchgelassen werden oder nicht.
Firewall-Technologien:
Paketfilter
Stateful Inspection
Application Layer Firewall / Proxy Firewall
Contentfilter
Intrusion Detection und Intrusion Prevention Systeme
28.04.2014
18
Firewall
Quelle: de.wikipedia.org/wiki/firewall
28.04.2014
19
Risikofaktor E-Mail
Die elektronische Post entstand vor ca. 40 Jahren
Über missbräuchliche Nutzung machte sich damals noch niemand Gedanken
die Situation heute:
Internet ist ein offenes Netz
E-Mails sind zum unverzichtbaren Teil der Geschäftsabläufe geworden
Es werden Mail verschickt, die wertvolle Informationen enthalten
–
–
–
–
–
28.04.2014
Kundendaten
Verkaufszahlen,
Angebote
Bestellungen,
Konstruktionspläne
20
Risikofaktor E-Mail
Ohne zusätzliche Schutzmechanismen kann der Empfänger einer E-Mail weder
dem Absender noch dem Inhalt trauen.
Wer eine E-Mail verschickt, muss damit rechnen, dass seine Nachricht von Dritten
gelesen wird.
E-Mails können auf dem Weg durchs Internet kopiert werden.
Abhilfen:
Verschlüsselung des gesamten ausgehenden E-Mail-Verkehrs durch
Verschlüsselung auf Basis der Public Key Infrastructure (PKI).
Vertrauliche Daten werden in eine per Passwort verschlüsselte PDF-Datei
umgewandelt und als Anhang an eine normale E-Mail übermittelt.
28.04.2014
21
SPAM - Lukratives Geschäftsmodell
Die E-Mail-Kommunikation entstand bei dem Internet-Vorläufer 'ARPANET',
betrieben vom US-Verteidigungsunternehmen.
Die erste Werbemail (SPAM) datiert auf den 3. Mai 1978 mit dem Absender Gary
Thurek. Er wollte Produkte seines Arbeitgebers DEC anpreisen.
Heutzutage geht man von 100 Milliarden SPAM- oder Junk-E-Mails pro Jahr aus.
Das entspricht in etwa 80 bis 85 % des gesamten Mailverkehrs.
Dr. Bülow & Masiak hat laut eigenen Erfahrungen in dem gesamten EMailaufkommen einen SPAM-Anteil von ca. 95 % registriert.
28.04.2014
22
Zum Begriff SPAM
ungewollte E-Mails
Mails die Werbung enthalten
Phishing-Mails
mit denen Spamer versuchen an Benutzerkennungen, Passwörter, Bankkontooder Kreditkarten- oder Handy- Nummern zu kommen.
Mails die Viren enthalten
Mails die Links zu verseuchten Websites (Trojaner) enthalten
28.04.2014
23
Zum Begriff SPAM
SPAM hat sich vom banalen Ärgernis zum lukrativen Geschäftsmodell entwickelt.
Spamer versuchen mit zunehmend krimineller Energie, Internet-Nutzern
persönliche Informationen und Geld zu entlocken.
Jedes Unternehmen, das in irgendeiner Weise über Internet und E-Mail
kommuniziert ist automatisch auch von SPAM betroffen.
Allein in Deutschland ist die SPAM-Rate in den Jahren 2003 – 2008 um mehr als
10.000 Prozent gestiegen.
Versendet werden Spam-Mails in der Regel über sogenannte Bot-Netze.
Internet-Kriminelle installieren auf Computern, ohne dass der Anwender es merkt,
Schadsoftware, die es dem Kriminellen ermöglichen, den Computer fernzusteuern.
So wird der ahnungslose PC-Besitzer zum Spamer.
28.04.2014
24
Typische SPAM-Mail
We ship Worldwide! To all countries! To all destinations!
28.04.2014
25
Mail-Header-Informationen
Received: from mx01.dbmg.de (mx01.dbmg.de [80.241.192.22])
by bohr.dbmg.de (Scalix SMTP Relay 11.4.3.12339)
via ESMTP; Wed, 18 Feb 2009 20:29:36 +0100 (CET)
Received: from ferrari.gegnet.com.br ([200.174.43.5])
by mx01.dbmg.de with smtp (DBMG Mail 0.9 Wed, 18 Feb 2009 20:29:32 +0100)
(envelope-from <[email protected]>)
id 1LZs6s-0004fY-4A
for [email protected]; Wed, 18 Feb 2009 20:29:35 +0100
To: <[email protected]>
Subject: Sales Order from walmart.com
From: <[email protected]>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
X-ACL-Warn: Greylisting started
X-DBMG-Spam-Report: Software zur Erkennung von "Spam" auf dem Rechner
thomson.dbmg.de
hat die eingegangene E-mail als mögliche "Spam"-Nachricht identifiziert.
Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass
…
X-DBMG-Spam: (************) 12.3
X-Spam-Score: (************) 12.3
X-DBMG-Greylist: X-Greylist: greylist whitelisted
Message-Id: <6475.28531234985376.bohr.dbmg.de>
28.04.2014
26
Gefahren beim Surfen
Internet-Browser zeigen immer wieder Sicherheitslöcher
der Internet Explorer mit Abstand die meisten
‚AktiveX, Java, Javascript‘ erhöhen die Gefahren
Keine Speicherung von ‚Kennung/Passwort‘
Infektion durch Schadcode-präparierte Seiten (Grafiken, Fotos)
Gefahren durch Downloads (Musik, Videos, Software)
Gefahren durch Plug-Ins
Ohne Sicherheitsvorkehrungen dauert es meist nicht lange, bis Ihr PC infiziert ist.
28.04.2014
27
Nicht-technische Aspekte der IT-Sicherheit
IT-Sicherheit als Teil der Unternehmensführung
Gesetzliche Vorgaben und Haftungsrisiken
IT-Sicherheitsrichtlinie
28.04.2014
28
IT-Sicherheit als Teil der Unternehmensführung
„Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit vorbeugenden
Technologien, aber auch mit Erkennungs- und Reaktionsprozessen zu tun.“
[Bruce Schneier]
Unternehmen müssen heute durch ihr Verhalten, ihre Organisation, Prozesse und
Infrastruktur sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit der
Informationen gewährleistet sind.
28.04.2014
29
Gesetzliche Vorgaben und Haftungsrisiken
Deutsches Gesetz über die Gesellschaften mit beschränkter Haftung
GmbHG § 43 Haftung der Geschäftsführer vom 4. Juli 1980
verpflichtet den Geschäftsführer die Sorgfalt eines ordentlichen Kaufmanns
anzuwenden.
Geschäftsführer haften, wenn sie ihre Obliegenheiten verletzen.
28.04.2014
30
Gesetzliche Vorgaben und Haftungsrisiken
Organisationsverantwortung
BGB § 831
verpflichtet den Unternehmer, folgende Aufgaben wahrzunehmen:
Anweisungspflicht: Präzise, verbindliche und vollständige Anweisungen geben
Auswahlpflicht: Personen sorgfältig auswählen und Verantwortlichkeiten
übertragen
Kontrollpflicht: Die Durchführung angemessen überwachen
Bei Nichtbeachtung droht die persönliche Haftung wegen
Organisationsverschuldens.
28.04.2014
31
Gesetzliche Vorgaben und Haftungsrisiken
Urheberrechtsverletzung
Die Unternehmensleitung verletzt die Organisationspflicht und verstößt
gegen §106 UrhG, wenn sie
das Herunterladen und Verbreiten kopiergeschützter Musik / Filme
den Einsatz nicht lizensierter Software
duldet und keine Maßnahmen ergreift, dies zu unterbinden.
28.04.2014
32
Gesetzliche Vorgaben und Haftungsrisiken
E-Mails und Fernmeldegeheimnis
E-Mails unterliegen dem Fernmeldegeheimnis (§206 StGB)
Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die
dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder
Beschäftigten eines Unternehmens bekannt geworden sind, das
geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit einer
Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft.
Ein Strafbestand ist beim Überprüfen des E-Mail-Verkehrs aber auch beim
ungenehmigten Löschen von Spam-Mails erfüllt.
Wer rechtswidrig Daten (§202a Abs. 2) löscht, unterdrückt, unbrauchbar macht
oder verändert, wird mit Freiheitsstrafe bis zu 2 Jahren oder einer Geldstrafe
bestraft.
28.04.2014
33
Gesetzliche Vorgaben und Haftungsrisiken
Gesetzliche Vorgaben und Haftungsrisiken
Weitere Vorgaben:
Archivierungspflicht für E-Mails (§257 HGB)
Bundesdatenschutzgesetz (BDSG)
Basel II
…..
Ohne eine definierte Sicherheitsrichtlinie ist keine IT-Sicherheit möglich!
28.04.2014
34
Sie legen fest, wie sicher Sie sein wollen
Welches Sicherheitsniveau wird angestrebt?
Mit welcher potentiellen Bedrohung können Sie leben?
Wie lange kann ein kritisches System ausfallen?
Wie schnell muss die Wiederherstellung erfolgen?
Wie hoch schätzen Sie einen möglichen finanziellen Schaden ein?
Wie hoch darf das entsprechende Sicherheitsbudget sein?
Die Beantwortung dieser Fragen liefert Ihnen gute Anhaltspunkte für den
Entwurf einer eigenen Sicherheitsrichtlinie.
28.04.2014
35
Veranstaltungshinweise
Die Dr. Bülow & Masiak GmbH informiert gemeinsam mit ausgewählten
Partnerunternehmen regelmäßig Kunden und Interessenten über aktuelle ITThemen und präsentiert mögliche Lösungsansätze.
Business Frühstück am 26.06.2014
„Mobile Device Management & mehr - IT-Sicherheit mit Sophos"
Business Frühstück am 28.08.2014
"Virtualisierung, Backup & Storagesysteme für den Mittelstand"
Security Day 2014 am 23.10.2014
28.04.2014
36
Kontaktdaten
Dr. Bülow & Masiak GmbH
Victoriastr. 119
45772 Marl
Tel. 02365 | 4146-0
Fax 02365 | 4146-58
www.buelow-masiak.de
[email protected]
28.04.2014
37