Wie viel IT-Sicherheit braucht mein Unternehmen? Dipl.-Ing., Dipl.-Inform. Gerhard Bülow 28.04.2014 Verein zur Förderung der Gladbecker Wirtschaft e.V. 28.04.2014 1 IT-Sicherheit ist Chefsache Nach den Enthüllungen um die NSA steigt die Bedeutung des Datenschutzes. Mobile Endgeräte und das Internet stellen immer höhere Anforderungen an die Sicherheit im Bereich der IT. Unternehmen sind zudem mehr denn je von funktionierenden IT-Infrastrukturen abhängig. Informationssicherheit ist daher ein besonders wichtiges Interesse von Vorständen, Geschäftsführern und IT-Entscheidern um Verlust von Daten und Datendiebstahl zu vermeiden. Hilfreiche Fragegestellungen: Welche schützenswerten Daten habe ich im Unternehmen? Wie muss das organisatorische Umfeld gestaltet sein? Wie schafft man ein Sicherheitsbewusstsein im Unternehmen? Welche Maßnahmen müssen ergriffen werden? 28.04.2014 2 "Wie sicher ist sicher genug?" Mit der Beantwortung dieser Frage ringen Unternehmen in aller Welt. Medienberichte beunruhigen die IT-Verantwortlichen: Staatsanwaltschaft Verden bestätigt 18-millionenfachen Datenklau Heartbleed Bug" Sicherheitslücke (OpenSSL) macht verschlüsselte Verbindung unter Umständen angreifbar. Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck Virenmail tarnt sich als Bahn-Buchungsbestätigung Sparkassen-Website manipuliert Nutzer-Rechner Massenhafter Raub von Kundendaten Australien: Hackerangriffe auf die Zentralbank Cyber-Bankräuber erbeuten Millionen von deutschen Konten Nur strukturiertes Vorgehen hilft den Sicherheitsverantwortlichen weiter. 28.04.2014 3 Sicherung des Unternehmensstandortes: Gebäude (Zaun, Alarmanlage, Videoüberwachung) Server-Räume (Zutritt) Unterbrechungsfreier Betrieb (USV, Notstrom) Umgebungsbedingungen (Klima) Brandschutz 28.04.2014 4 Risikofaktor Netzwerk [LAN / WAN] PC-Arbeitsplätze File-Server (RAID, Berechtigungen) Datensicherung (BAND / SAN) Virenschutz (Server / PC) Netzwerk WLAN Notebook Sichere Datenvernichtung / PC-Entsorgung Eine Studie der Gardner Group besagt, dass 70 Prozent aller unberechtigten Zugriffe auf EDV-Systeme durch autorisierte Benutzer erfolgen und sogar 95 % aller Angriffe, die zu einem finanziellen Verlust führen. 28.04.2014 5 Risikofaktor PC-Arbeitsplatz PC-Systeme verfügen heute häufig über CD / DVD Brenner USB-Schnittstelle Internet-Zugang Damit ergibt sich das potentielle Risiko, dass interne Daten auf CD / DVD gebrannt und mitgenommen werden auf einen USB-Stick gespeichert und mitgenommen werden per E-Mail verschickt werden oder Viren, Trojaner etc. eingeschleust werden. Abhilfe: Terminalserver mit Thin-Clients (USB abgeschaltet) Datenschutzrichtlinie 28.04.2014 6 Risikofaktor File-Server (Windows, Samba [Linux] etc.) Sichere Datenhaltung der Firmendaten RAID (Redundant Array of Independant Disks) beschreibt die Methode, aus mehreren ungesicherten Festplatten einen Verbund aufzubauen. Ziel ist es, bestimmte Eigenschaften wie Datensicherheit oder Geschwindigkeit zu verbessern. Berechtigungsstrukturen (Verzeichnisebene) Gruppenrichtlinien Benutzer-Zugangskennung Benutzer-Zugangs-Passwort Jeder Benutzer erhält nur Zugang zu Daten, die er tatsächlich benötigt. 28.04.2014 7 Risikofaktor File-Server Datensicherung (Maßnahmen gegen Datenverlust) Generelle Klärung: Was?, Wann?, Wie viel?, Wie schnell? Wo?: Regelmäßige Sicherung der Server-Daten auf Bändern Wo?: Kombination aus Plattenspeicher und Bänder Datenbestände wachsen rasant schnell Sicherung der Daten auf Bändern benötigt immer mehr Zeit Eine Wiederherstellung der Daten vom Band dauert lange Daher oft zweistufiges Konzept: Tägliche Sicherung auf SAN / NAS Bänder dienen der Langzeitaufbewahrung 28.04.2014 8 Risikofaktor File-Server Disaster Recovery / Notfall-Pläne Fehlerursachen für Datenverluste sind vielfältig: Hardwareausfälle [Festplatten, Netzteil etc.…] Softwareausfälle [Probleme durch Updates] Sicherheitsbedrohungen [Viren, Trojaner] Stromausfall Fehlverhalten von Mitarbeitern Notfall-Pläne müssen regelmäßig überprüft / getestet werden. Im Ernstfall sollte innerhalb von X Stunden der Normalbetrieb wieder laufen Ein Störfall, der nicht innerhalb der erwarteten Zeit behoben wird, kann zu erheblichen geschäftlichen Konsequenzen führen. 28.04.2014 9 Risikofaktor Viren Viren, Würmer, Trojaner und andere Computer-Schädlinge werden eingeschleust durch E-Mails USB-Sticks CD-ROMS DVDs Anti-Viren-Software auf Server und PCs schaffen Abhilfe Regelmäßige Patternupdates sind notwendig Größte Gefahr durch E-Mails. 28.04.2014 10 Risikofaktor Viren Aktuelle Meldungen Entwicklung der IT-Bedrohungen im 1. Quartal 2014 http://www.viruslist.com/de/analysis?pubid=200883851 weitere: Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck Virenmail tarnt sich als Bahn-Buchungsbestätigung Sparkassen-Website manipuliert Nutzer-Rechner Cyber-Bankräuber erbeuteten Millionen von deutschen Konten Australien: Hackerangriffe auf die Zentralbank Sicherheitsstudie: Die unsichersten Android-Apps 28.04.2014 11 Risikofaktor WLAN WLAN Verschlüsselung Durch Verschlüsselungstechnologien wird die Verbindung selbst gesichert und alle Daten im WLAN verschlüsselt. [Leider oft nicht eingeschaltet] [WEP, WPA, WAP2] Zugangskontrolle zu WLAN Netzen [NAC] Vordefinierte MAC-Adressen Radius-Authentisierung WLAN IPS Überwachung, wer baut eine WLAN-Verbindung auf Sicherheitsregeln entscheiden über Freigabe oder Sperrung 28.04.2014 12 Risikofaktor Notebook (USB-Stick, externe Festplatten, DVDs) Notebooks etc. gehen verloren oder werden gestohlen Zugangskontrolle über ‚Fingerprint-Reader‘ Verschlüsselung der Festplatte (z.B. G DATA TopSecret verschlüsselt die Daten in Echtzeit) Generell unternehmensweite Sicherheitsanforderungen für mobile Geräte Aktuelle Diskussion BYOD Bring Your Own Device ist eine Organisationsrichtlinie, die regeln soll, auf welche Weise Mitarbeiter ihre eigenen elektronischen Bürogeräte (Smartphones, Notebooks, Tablets) zu dienstlichen Zwecken nutzen dürfen. 28.04.2014 13 Risikofaktor Notebook Tipps zum Schutz vor Datenklau Sicherheitsrichtlinien definieren Sensibilisierung der Mitarbeiter Schwer zu knackende Passwörter einrichten Boot-Passwort einrichten Passwortschutz durch Fingerprint-Reader Ruhemodus absichern USB-Schnittstellen kontrollieren – Export USB-Schnittstellen kontrollieren – Import Automatische Verschlüsselung Selbst wenn Geräte verloren gehen oder gestohlen werden, haben Unbefugte dann geringe Chancen, sensible Daten einzusehen. 28.04.2014 14 Sichere Datenvernichtung / Entsorgung Tipps zur Daten(Träger)vernichtung Software-Tools Festplatte Daten schreddern (Eraser, CCleaner, AcronisDrive Cleanser ) Festplatte Daten wipen (Mehrfachlöschung) Festplatte low level formatieren (HDD Guru) Mechanische Zerstörung CD / DVD schreddern (wie Aktenvernichter) Festplatten Magnetbänder Drucker-‘Trommel‘ Teil 4 der ÖNORM S 2109 (Akten- und Datenvernichtung - Geräte und Geräteteile mit Datenträgern) 28.04.2014 15 Risikofaktor Internet Wahl des Internet-Zugangs Netzwerk-Sicherheit (Firewall) E-Mail-Sicherheit Geschäftsmodell SPAM Gefahren beim Surfen (aktive Inhalte) 28.04.2014 16 Wahl des Internet-Zugangs Leitungs-Typ: A-DSL, S-DSL, SFV Router / Modem Qualität (UBR, VBR, CBR) Bandbreite (symmetrisch, asymmetrisch) Verfügbarkeit Dynamische / Statische IP-Adresse 28.04.2014 17 Netzwerk-Sicherheit Firewall: Kontrolliert die Verbindungen zwischen internem und externem Netz und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Firewall-Technologien: Paketfilter Stateful Inspection Application Layer Firewall / Proxy Firewall Contentfilter Intrusion Detection und Intrusion Prevention Systeme 28.04.2014 18 Firewall Quelle: de.wikipedia.org/wiki/firewall 28.04.2014 19 Risikofaktor E-Mail Die elektronische Post entstand vor ca. 40 Jahren Über missbräuchliche Nutzung machte sich damals noch niemand Gedanken die Situation heute: Internet ist ein offenes Netz E-Mails sind zum unverzichtbaren Teil der Geschäftsabläufe geworden Es werden Mail verschickt, die wertvolle Informationen enthalten – – – – – 28.04.2014 Kundendaten Verkaufszahlen, Angebote Bestellungen, Konstruktionspläne 20 Risikofaktor E-Mail Ohne zusätzliche Schutzmechanismen kann der Empfänger einer E-Mail weder dem Absender noch dem Inhalt trauen. Wer eine E-Mail verschickt, muss damit rechnen, dass seine Nachricht von Dritten gelesen wird. E-Mails können auf dem Weg durchs Internet kopiert werden. Abhilfen: Verschlüsselung des gesamten ausgehenden E-Mail-Verkehrs durch Verschlüsselung auf Basis der Public Key Infrastructure (PKI). Vertrauliche Daten werden in eine per Passwort verschlüsselte PDF-Datei umgewandelt und als Anhang an eine normale E-Mail übermittelt. 28.04.2014 21 SPAM - Lukratives Geschäftsmodell Die E-Mail-Kommunikation entstand bei dem Internet-Vorläufer 'ARPANET', betrieben vom US-Verteidigungsunternehmen. Die erste Werbemail (SPAM) datiert auf den 3. Mai 1978 mit dem Absender Gary Thurek. Er wollte Produkte seines Arbeitgebers DEC anpreisen. Heutzutage geht man von 100 Milliarden SPAM- oder Junk-E-Mails pro Jahr aus. Das entspricht in etwa 80 bis 85 % des gesamten Mailverkehrs. Dr. Bülow & Masiak hat laut eigenen Erfahrungen in dem gesamten EMailaufkommen einen SPAM-Anteil von ca. 95 % registriert. 28.04.2014 22 Zum Begriff SPAM ungewollte E-Mails Mails die Werbung enthalten Phishing-Mails mit denen Spamer versuchen an Benutzerkennungen, Passwörter, Bankkontooder Kreditkarten- oder Handy- Nummern zu kommen. Mails die Viren enthalten Mails die Links zu verseuchten Websites (Trojaner) enthalten 28.04.2014 23 Zum Begriff SPAM SPAM hat sich vom banalen Ärgernis zum lukrativen Geschäftsmodell entwickelt. Spamer versuchen mit zunehmend krimineller Energie, Internet-Nutzern persönliche Informationen und Geld zu entlocken. Jedes Unternehmen, das in irgendeiner Weise über Internet und E-Mail kommuniziert ist automatisch auch von SPAM betroffen. Allein in Deutschland ist die SPAM-Rate in den Jahren 2003 – 2008 um mehr als 10.000 Prozent gestiegen. Versendet werden Spam-Mails in der Regel über sogenannte Bot-Netze. Internet-Kriminelle installieren auf Computern, ohne dass der Anwender es merkt, Schadsoftware, die es dem Kriminellen ermöglichen, den Computer fernzusteuern. So wird der ahnungslose PC-Besitzer zum Spamer. 28.04.2014 24 Typische SPAM-Mail We ship Worldwide! To all countries! To all destinations! 28.04.2014 25 Mail-Header-Informationen Received: from mx01.dbmg.de (mx01.dbmg.de [80.241.192.22]) by bohr.dbmg.de (Scalix SMTP Relay 11.4.3.12339) via ESMTP; Wed, 18 Feb 2009 20:29:36 +0100 (CET) Received: from ferrari.gegnet.com.br ([200.174.43.5]) by mx01.dbmg.de with smtp (DBMG Mail 0.9 Wed, 18 Feb 2009 20:29:32 +0100) (envelope-from <[email protected]>) id 1LZs6s-0004fY-4A for [email protected]; Wed, 18 Feb 2009 20:29:35 +0100 To: <[email protected]> Subject: Sales Order from walmart.com From: <[email protected]> MIME-Version: 1.0 Importance: High Content-Type: text/html X-ACL-Warn: Greylisting started X-DBMG-Spam-Report: Software zur Erkennung von "Spam" auf dem Rechner thomson.dbmg.de hat die eingegangene E-mail als mögliche "Spam"-Nachricht identifiziert. Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass … X-DBMG-Spam: (************) 12.3 X-Spam-Score: (************) 12.3 X-DBMG-Greylist: X-Greylist: greylist whitelisted Message-Id: <6475.28531234985376.bohr.dbmg.de> 28.04.2014 26 Gefahren beim Surfen Internet-Browser zeigen immer wieder Sicherheitslöcher der Internet Explorer mit Abstand die meisten ‚AktiveX, Java, Javascript‘ erhöhen die Gefahren Keine Speicherung von ‚Kennung/Passwort‘ Infektion durch Schadcode-präparierte Seiten (Grafiken, Fotos) Gefahren durch Downloads (Musik, Videos, Software) Gefahren durch Plug-Ins Ohne Sicherheitsvorkehrungen dauert es meist nicht lange, bis Ihr PC infiziert ist. 28.04.2014 27 Nicht-technische Aspekte der IT-Sicherheit IT-Sicherheit als Teil der Unternehmensführung Gesetzliche Vorgaben und Haftungsrisiken IT-Sicherheitsrichtlinie 28.04.2014 28 IT-Sicherheit als Teil der Unternehmensführung „Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit vorbeugenden Technologien, aber auch mit Erkennungs- und Reaktionsprozessen zu tun.“ [Bruce Schneier] Unternehmen müssen heute durch ihr Verhalten, ihre Organisation, Prozesse und Infrastruktur sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen gewährleistet sind. 28.04.2014 29 Gesetzliche Vorgaben und Haftungsrisiken Deutsches Gesetz über die Gesellschaften mit beschränkter Haftung GmbHG § 43 Haftung der Geschäftsführer vom 4. Juli 1980 verpflichtet den Geschäftsführer die Sorgfalt eines ordentlichen Kaufmanns anzuwenden. Geschäftsführer haften, wenn sie ihre Obliegenheiten verletzen. 28.04.2014 30 Gesetzliche Vorgaben und Haftungsrisiken Organisationsverantwortung BGB § 831 verpflichtet den Unternehmer, folgende Aufgaben wahrzunehmen: Anweisungspflicht: Präzise, verbindliche und vollständige Anweisungen geben Auswahlpflicht: Personen sorgfältig auswählen und Verantwortlichkeiten übertragen Kontrollpflicht: Die Durchführung angemessen überwachen Bei Nichtbeachtung droht die persönliche Haftung wegen Organisationsverschuldens. 28.04.2014 31 Gesetzliche Vorgaben und Haftungsrisiken Urheberrechtsverletzung Die Unternehmensleitung verletzt die Organisationspflicht und verstößt gegen §106 UrhG, wenn sie das Herunterladen und Verbreiten kopiergeschützter Musik / Filme den Einsatz nicht lizensierter Software duldet und keine Maßnahmen ergreift, dies zu unterbinden. 28.04.2014 32 Gesetzliche Vorgaben und Haftungsrisiken E-Mails und Fernmeldegeheimnis E-Mails unterliegen dem Fernmeldegeheimnis (§206 StGB) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigten eines Unternehmens bekannt geworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit einer Freiheitsstrafe bis zu 5 Jahren oder mit Geldstrafe bestraft. Ein Strafbestand ist beim Überprüfen des E-Mail-Verkehrs aber auch beim ungenehmigten Löschen von Spam-Mails erfüllt. Wer rechtswidrig Daten (§202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu 2 Jahren oder einer Geldstrafe bestraft. 28.04.2014 33 Gesetzliche Vorgaben und Haftungsrisiken Gesetzliche Vorgaben und Haftungsrisiken Weitere Vorgaben: Archivierungspflicht für E-Mails (§257 HGB) Bundesdatenschutzgesetz (BDSG) Basel II ….. Ohne eine definierte Sicherheitsrichtlinie ist keine IT-Sicherheit möglich! 28.04.2014 34 Sie legen fest, wie sicher Sie sein wollen Welches Sicherheitsniveau wird angestrebt? Mit welcher potentiellen Bedrohung können Sie leben? Wie lange kann ein kritisches System ausfallen? Wie schnell muss die Wiederherstellung erfolgen? Wie hoch schätzen Sie einen möglichen finanziellen Schaden ein? Wie hoch darf das entsprechende Sicherheitsbudget sein? Die Beantwortung dieser Fragen liefert Ihnen gute Anhaltspunkte für den Entwurf einer eigenen Sicherheitsrichtlinie. 28.04.2014 35 Veranstaltungshinweise Die Dr. Bülow & Masiak GmbH informiert gemeinsam mit ausgewählten Partnerunternehmen regelmäßig Kunden und Interessenten über aktuelle ITThemen und präsentiert mögliche Lösungsansätze. Business Frühstück am 26.06.2014 „Mobile Device Management & mehr - IT-Sicherheit mit Sophos" Business Frühstück am 28.08.2014 "Virtualisierung, Backup & Storagesysteme für den Mittelstand" Security Day 2014 am 23.10.2014 28.04.2014 36 Kontaktdaten Dr. Bülow & Masiak GmbH Victoriastr. 119 45772 Marl Tel. 02365 | 4146-0 Fax 02365 | 4146-58 www.buelow-masiak.de [email protected] 28.04.2014 37