D R. R EIMANN Projektmanagement GmbH 1 IT-Sicherheit Dr. Grit Reimann DR. REIMANN Projektmanagement...

DR. REIMANN Projektmanagement GmbH 1

IT-Sicherheit

Dr. Grit Reimann

DR. REIMANN Projektmanagement GmbH

IT-Sicherheit


IT-Sicherheit

Daten sind Ausgangspunkt und Ziel jeder IT-Lösung

Programmfehler führen zu falschen Systemausfälle verhindern Zugriff auf Hackerangriffe richten sich gegen

Grundprinzip der IT-Sicherheit:

Sicherheit einer IT-Lösung=

Sicherheit Ihrer Daten

Daten


IT-Sicherheit

VertraulichkeitDaten können nur durch Befugte genutzt werden.

Datenintegrität Daten können nicht unbefugt geändert werden.

VerfügbarkeitDaten werden zu den festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt.

Authentizität Die Identität der Datenherkunft ist sichergestellt.

Bestandteile der IT-Sicherheit:


IT-Sicherheit

gefälschte Bilanzen, Arbeitsergebnisse, Revisionsberichte, Pläne und andere Festlegungen

Programme sind nicht oder nicht im erforderlichen Umfang nutzbar

Testergebnisse nicht auswertbar

fehlerhafte Leistungsnachweise und andere Dokumente

Mögliche Folgen mangelnder Datenintegrität:


IT-Sicherheit

Arbeitsausfälle durch fehlende Zugriffsmöglichkeit auf Daten

hohe Kosten für Wiederherstellung zerstörter Datenbestände

Programme können nicht zum erforderlichen Zeitpunkt genutzt werden

Bilanzdaten stehen nicht rechtzeitig zur Verfügung

Mögliche Folgen mangelnder Verfügbarkeit:


IT-Sicherheit

Rufschädigung durch zweifelhafte Veröffentlichungen im Namen des Unternehmens oder einzelner Personen

Störungen des Arbeitsablaufes durch angeblich von der Unternehmensleitung stammende Festlegungen und Pläne

falsche Forschungsergebnisse werden versendet

Diskriminierung / Schädigung von Personen durch Emails mit deren Absender

Mögliche Folgen mangelnder Authentizität:


IT-Sicherheit

höhere GewaltKatastrophen, Feuer, Wasser, …

organisatorische Mängelfehlende / nicht eingehaltene Regelungen

menschliche FehlhandlungenBenutzer / Administratoren

technisches VersagenFehler in Hardware und Software

vorsätzliche HandlungenSabotage, Spionage, Hacker, ...

Sicherheitsbedrohungen:


IT-Sicherheit

Raten von Passwortenmeist erfolgreich, wenn Informationen über die Zielperson vorliegen

Ausspionieren von Passworten offene Augen im Büro Mitteilung durch die Eigentümer selbst unverschlüsselte Passworte aus den Datenpaketen

Systematisches Knacken durch eine Brute Force AttackePasswortknackersystematische Wörterbücher

Phishing„Fischen“ des Passwortes u.a. über gefälschte Webseiten

Angriffe auf Passworte:

Ein verantwortlicher Umgang mit Paßwörtern

erhöht die Sicherheit des Netzes erheblich.


IT-SicherheitProvozieren von Laufzeitfehlern:

Immer die aktuellen Programmversionen

und Patches verwenden!

Programme sind IMMER mit Fehlern behaftet

Kenntnisse über neu entdeckte Programmfehler werden in der Hackerszene schnell verbreitet.

Durch provozierte Laufzeitfehler können Hacker auf den Zielrechnern eigene Programme starten.

Besonderes Ziel solcher Angriffe sind Programme mit Systemrechten.


IT-SicherheitSniffing (= IP-Pakete abfangen und analysieren)

Abfangen ALLER Informationen, die durch das Netz laufen v.a. vertrauliche Informationen (z.B. Paßwörter)

im lokalen Netz sehr einfach, wenn keine Verschlüsselung vorhanden

an der Schnittstelle eines Firmennetzes zum Internet mittels Angriffen auf Router möglich

besonders unkompliziert in Wireless LANs (Funknetzen)


IT-SicherheitSpoofing (= Vortäuschen einer falschen Identität)

IP-SpoofingVorspiegeln einer falschen IP-Adresse

MAC-SpoofingÜbermitteln einer falschen MAC-Adresse

DNS-SpoofingÄnderung der Zuordnung Hostname - IP-Adresse im Cache des Nameservers


IT-SicherheitDenial of Service (= Außerbetriebsetzen von IT-Komponenten)

Überlasten von ServernBlockade während des Angriffs / völliger Absturz z.B. durch

Überlasten anderer Netzkomponenten (z.B. Access Points)z.B. durch Auslastung der gesamten Bandbreite

Erzeugen von Buffer Overflows(nicht nur für DoS, auch für Start destruktiver Programme)

Ausnutzen spezieller Schwachstellenz.B. Ping Of Death, Search DoS, STAT Crash

Starten immer neuer Programme SynFlooding-Attacken


IT-Sicherheit

systematisches Aushorchen von Mitarbeitern

Informationen vom Systemadministrator erschleichen

Informationen vom Benutzerservice erschleichen

Social Engineering

Regelmäßige Sensibilisierungen und Schulungen der Mitarbeiter sind das effektivste Mittel zur Gewährleistung der IT-Sicherheit!


IT-Sicherheit

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Verfügbarkeitskontrolle

Eingabekontrolle

Weitergabekontrolle

Auftragskontrolle

Gewährleistung getrennter Verarbeitung

Anforderungen des BDSG


IT-Sicherheit

Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen verwehrt,

mit denen personenbezogene Daten verarbeitet oder genutzt werden.

Zutrittskontrolle

Das Betreten von Räumen wird kontrolliert, in denen sich Datenverarbeitungsanlagen befinden.

Unbefugte sollen keine Möglichkeit bekommen, sich in Räumen aufzuhalten, in denen sich Datenverarbeitungsanlagen befinden.

Es soll nachvollziehbar sein, wer sich wann in welchem Raum mit Datenverarbeitungsanlagen aufgehalten hat.


IT-Sicherheit

Es wird verhindert, dass Datenverarbeitungssysteme von Unbefugten

genutzt werden können.

Zugangskontrolle

Die Benutzung von Datenverarbeitungssystemen wird kontrolliert.

Unbefugte befinden sich zwar in einem Raum mit Datenverarbeitungssystemen, können diese aber nicht benutzen.

Es soll nachvollziehbar sein, wer welches Datenverarbeitungssystem wann benutzt hat.


IT-Sicherheit

Zugriffskontrolle

Es wird gewährleistet, dass die Berechtigten ausschließlich auf die

Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen,

und dass personenbezogene Daten bei der Verarbeitung, Nutzung und

nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder

entfernt werden können.


IT-SicherheitZugriffskontrolle

Der Zugriff auf konkrete Daten wird kontrolliert.

Befugte benutzen eine Datenverarbeitungsanlage, können aber nicht auf alle Daten zugreifen.

Es soll nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.


IT-SicherheitZugriffskontrolle

Personenbezogene Daten sollen nicht unbefugt gelesen, kopiert, verändert oder entfernt

werden können.


IT-SicherheitVerfügbarkeitskontrolle

Personenbezogene Daten sollen nicht unbefugt zu den festgelegten Zeiten im festgelegten Umfang

zur Verfügung gestellt werden.

Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust geschützt.

Die Verfügbarkeit entspricht den rechtlichen und betrieblichen Erfordernissen.


IT-SicherheitEingabekontrolle

setzt eine wirksame Zugangskontrolle und Zugriffskontrolle voraus

Es kann nachträglich überprüft und festgestellt werden, ob und von wempersonenbezogene Daten in Datenverarbeitungssysteme eingegeben,verändert oder entfernt worden sind.

funktioniert nur mit einer zuverlässigen Organisation von Kontrolle und Auswertung

erfordert technische Lösungen in den Anwendungssystemen selbst, und / oder in Zusatz-Systemen zu den Anwendungen


IT-Sicherheit

Personenbezogene Daten können bei der elektronischen Übertragung oder

während ihres Transports oder ihrer Speicherung auf Datenträger nicht

unbefugt gelesen, kopiert, verändert oder entfernt werden und es kann

festgestellt werden, an welchen Stellen eine Übermittlung personen-

bezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Weitergabekontrolle


IT-SicherheitWeitergabekontrolle

In der Praxis besonders kritisch bei

• Versand von Emails

• Nutzung von Wireless LANs

• Transport von Backup-Datenträgern

• Umgang mit Ausdrucken


IT-SicherheitWeitergabekontrolle

In der Praxis besonders schwierig festzustellen bei

• Remote-Wartungszugängen (auch für TK-Anlagen)

• Backup-Datenleitungen (WAN / ISDN / Modem)

• Nutzung von Wireless LANs, Infrarot und Bluetooth

• Nutzung von Mobilfunknetzen


IT-Sicherheit

Es wird gewährleistet, das personenbezogen Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Auftragskontrolle

setzt besonders gut aufeinander abgestimmte technische und organisatorische Maßnahmen sowohl beim Auftraggeber als auch

beim Auftragnehmer voraus

die Lösung des Auftraggebers und des Auftragnehmers müssen sich zu einer Gesamtlösung ergänzen

beinhaltet auch Maßnahmen zur Gewährleistung der Kontrollrechte des Auftraggebers


IT-SicherheitGewährleistung getrennter Verarbeitung

In der Praxis z.B. von Bedeutung für

Zusatzerhebungen bei bestehenden Kunden für Zwecke der Werbung oder Marktforschung

Verarbeitung von Daten derselben Person in verschiedenen Anwendungen durch ein Rechenzentrum

mehrfache Datenerhebungen bei einer Person für verschieden Forschungszwecke

Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene

Daten getrennt verarbeitet werden können.

D R. R EIMANN Projektmanagement GmbH 1 IT-Sicherheit Dr. Grit Reimann DR. REIMANN Projektmanagement...

Documents

Transcript of D R. R EIMANN Projektmanagement GmbH 1 IT-Sicherheit Dr. Grit Reimann DR. REIMANN Projektmanagement...