Nicht-technische Aspekte der IT -Sicherheit 1K03 XX/07 global capability. personal accountability....
-
Upload
hoangkhanh -
Category
Documents
-
view
218 -
download
1
Transcript of Nicht-technische Aspekte der IT -Sicherheit 1K03 XX/07 global capability. personal accountability....
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 1
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
NichtNicht--technische Aspekte der technische Aspekte der ITIT--SicherheitSicherheit
1K03
Andreas Aurand Sales Engineer17. April 2007
2
Verizon Communications Inc.Verizon Communications Inc.
Revenue• 2006 Revenue: $88.1 billion(+26.8% compared to 2005)
• World’s second biggest telecommunications provider*
• 50th on Fortune Global 500
Profit• One of the world’s most profitable telecommunications providers*
• 36th on Fortune Global 500
* Source: Fortune Global 500, CNN Money, 2006
About Verizon
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 2
3
Verizon BusinessVerizon Business
• Customers include 94% of the Fortune 500
• Over 30,000 employees
• Operations in 75 countries
• Customers in 2,700 cities in 152 countries
• Most expansive IP network worldwide (based upon PoPs)
• Most connected backbone according to TeleGeography
About Verizon
4
Verizon BusinessVerizon Business’’ PortfolioPortfolio
Managed Network Services
WAN Management
Professional Services
LAN Management Managed Telephony
CPE
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 3
5
AgendaAgenda
• IT-Sicherheit als Teil der Unternehmensführung
•Gesetzliche Vorgaben und Haftungsrisiken
• Information Security Management System (ISMS)
•Betrieb eines öffentlichen WLANs
In dieser Präsentation werden die angesprochenen Inhalte lediglich im Überblick behandelt. Sie beinhaltet keine umfassende Darstellung der rechtlichen oder technischen Fragestellungen und stellt keine Rechtsberatung dar. Bevor Entscheidungen im Hinblick auf die Inhalte dieser Präsentation getroffen werden, sollte unabhängiger Rechtsrat eingeholt werden. Trotz sorgfältiger Erstellung kann Verizon eine Gewähr für die Richtigkeit nicht übernehmen.
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
ITIT--SicherheitSicherheit alsals TeilTeil derderUnternehmensfUnternehmensfüührunghrung
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 4
7
Corporate und Corporate und ITIT--GovernanceGovernance
• Corporate Governance– Bezeichnet eine "gute Unternehmensführung und -kontrolle".
• IT-Governance– Regelt innerhalb der Corporate Governancedie Steuerung der unternehmenskritischen IT
Corporate Governance• ISO 9000 QM• Corporate Risk Management• Sarbanes-Oxley Act (SOX)• KonTraG• Basel II
IT Governance• ITIL (ISO 20000)• Audit: COBIT, IDW PS 330• CMMI, SPICE• Risikomanagement: FIRM
IT-Security• ISMS: ISO 2700,ISF• Risikomanagement: FIRM• Maßnahmen: GSHB• Technisch: CC, TCSEC
OECD-GrundsätzeDie Corporate Governance liefert auch den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle.
Vier Hauptziele• Unterstützung der Unternehmensziele• Prozessoptimierung• Kennzahlensysteme (Metriken)• Risikomanagement
8
ITIT--GovernanceGovernance und ITund IT--SicherheitSicherheit
Die IT ist ausgerichtet auf die Geschäftstätigkeit, ermöglicht
diese und maximiert dabei den Nutzen– IT-bezogene Risiken werden angemessen “gemanaged”
»Einsatz eines Risiko- und Sicherheitsmanagement-Systems
– IT-Ressourcen werden vernünftig (wirtschaftlich) verwendet
» Investitionsamortisations (Nutzen > Kosten)
IT-Sicherheit ist daher kein Selbstzweck, sondern muss der
Geschäftstätigkeit nutzen
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 5
9
Für den Erfolgausschlaggebend
ITIT--SicherheitSicherheit
• Die verschiedenen Ebenen der IT-Sicherheit
Ebene 1Information Security Policy and Standards
Ebene 2Information Security Architecture and Processes
Ebene 3Information Security Awareness and Training
Ebene 4Information Security Technologies and Products
Ebene 5Auditing, Monitoring and Investigating
Ebene 6Validation
Gartner Group
„Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit vorbeugenden Technologien, aber auch mit Erkennungs- und Reaktionsprozessen zu tun.“(Bruce Schneier)
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
GesetzlicheGesetzliche VorgabenVorgabenund und HaftungsrisikenHaftungsrisiken
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 6
11
Haftung (GeschHaftung (Geschääftsleitung)ftsleitung)
• BGB § 831 verpflichtet den Unternehmer, die Organisations-
verantwortung zu übernehmen:– Kontrollpflicht: Überwachung der Durchführung
– Auswahlpflicht: Geeignetes Personal zur Durchführung auswählen
– Anweisungspflicht: Vorgaben zur Durchführung der Unter-nehmenszwecke
festlegen
• Bei Nichtbeachten droht persönliche Haftung wegen
Organisationsverschulden– Kaufmännische Sorgfaltspflicht
Die Verantwortung für die IT-Sicherheit trägt immer die Unternehmensleitung, sie kann auch nicht an andere
delegiert werden.
12
Haftung (ITHaftung (IT--Leiter)Leiter)
–Auch IT-Leiter können persönlich haftbar für Schäden
im Zusammenhang mit der Unternehmens-IT sein.
–Keine Haftung besteht bei
»Leicht fahrlässigem Verhalten
»Wenn Geschäftsführung auf Mängel in der IT-Sicherheit
hingewiesen wurde und diese nicht reagiert hat
– !!!!!! Vorschlag und Ablehnung protokollieren !!!!!!
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 7
13
Haftung (ITHaftung (IT--Administratoren)Administratoren)
• Allgemeine Haftung von Mitarbeitern– Schlechterfüllung arbeitsvertraglicher Pflichten (BGB §280)
– Verletzung von Schutz-, Mitwirkungs-, und Aufklärungspflichten
• Wie kann man sich dagegen schützen ?– Übertragene Aufgaben gewissenhaft ausführen
– Unternehmensleitung über mögliche Risiken informieren,
– Vorschläge für die Beseitigung von Sicherheitsrisiken erstellen
• Was tun, wenn die Unternehmensleitung Vorschläge zur
Verbesserung der IT-Sicherheit ablehnt ?– Die Risiken erneut aufzeigen
– !!!!!! Vorschlag und Ablehnung protokollieren !!!!!!
14
Haftung (Urheberrechtsverletzung)Haftung (Urheberrechtsverletzung)
• Unternehmensleitung verletzt Organisationspflicht und verstößt
gegen Urheberrecht (§106 UrhG), wenn sie
– das Herunterladen und Verbreiten kopiergeschützter Musik und Filme
– den Einsatz nicht-lizensierte Software
• duldet und keine Maßnahmen ergreift, dies zu unterbinden.
– Eine Verbreitung im Internet liegt immer vor, wenn die Datei auf dem Rechner
des Internetnutzers angekommen ist
• Lösung: Definition einer entsprechenden Sicherheitsrichtlinie für die
Internet- und Softwarenutzung
– Kontrolle dieser Richtlinie ist notwendig
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 8
15
Gesetz zur Kontrolle und Transparenz im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)Unternehmensbereich (KonTraG)
• Verantwortung für den Fortbestand des Unternehmens liegt bei der
Unternehmensführung
– Sie muss den Sicherheitsprozess initiieren, steuern und überwachen
• Von der Unternehmensführung sollten folgende Aktivitäten
ausgehen
– Initiative fur die Informationssicherheit
– Übernahme der Verantwortung fur die Informationssicherheit
– Die notwendigen Ressourcen (Leute, Zeit, Geld) bereitstellen
– Die Informationssicherheit aktiv unterstützen
• Lösungsansatz: Aufbau eines Information Security Management Systems
(ISMS)
16
EE--Mails und FernmeldegeheimnisMails und Fernmeldegeheimnis
• E-Mails unterliegen dem Fernmeldegeheimnis (§206 StGB). – Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder
Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens
bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
• Erbringung „geschäftsmäßiger Telekommunikationsdienste“ gilt auch für
Unternehmen, die Mitarbeitern die private Nutzung des Internet erlauben
oder diese dulden. – Straftatbestand kann beim Überprüfen des E-Mail-Verkehrs ohne Einwilligung
oder auch beim ungenehmigten Löschen von Spam-Mails erfüllt sein.
• Zusätzlich verbietet § 303a StGB das Unterdrücken von Spam-Mails– Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird
mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
• Lösungsansatz: Erstellung einer BV oder Sicherheitsleitlinie, die private E-Mail-
Nutzung sowie Mail-Filtering rechtskonform regelt.
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 9
17
Archivierungspflichten fArchivierungspflichten füür Er E--MailsMails
• E-Mails als Handelsbriefe gem. § 257 HGB:
– Sämtliche Schriftstücke, die zur Vorbereitung, Durchführung und dem
Abschluss oder der Rückgängigmachung eines Geschäfts dienen.
» Keine Unterscheidung zwischen Brief, Fax oder E-Mail
– Archivierungsdauer: 10 Jahre
• E-Mails nach §147 AO (Abgabenordnung):
– Unterlagen, die für die Besteuerung von Bedeutung sind
» Müssen nach den Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU) für Betriebsprüfung bereit gestellt werden.
– Archivierungsdauer: 6 Jahre
• Lösungsansatz: Die Unternehmensleitung muss die rechtskonforme
Archivierung der Mails organisieren.
18
Basel IIBasel II
• Ausschuss im internationalen Bankensystem, um einheitliche Wettbewerbsbedingungen zu schaffen– Banken müssen vor jeder Kreditentscheidung eine individuelle Einschätzung der Bonität des Kreditnehmers vorzunehmen. » Erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externes Rating.
» Markt- und Kreditrisiken als auch operationelle Risiken des kreditnehmendenUnternehmens spielen eine Rolle
» Zu operationellen Risiken zählen auch die Risiken, die sich aus dem Einsatz von Informationstechnologie in den Unternehmensprozessen ergeben.
– Gefordert ist aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit befasst.» Gut dokumentiertes IT Risk Management kann für günstigere Kreditkonditionen sorgen
» Anfällige IT-Infrastruktur kann daher auch für schlechtere Konditionen führen
• Lösungsansatz: Information Risk Management (IRM)– Sollte Teil des Information Security Management Systems sein
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 10
19
SarbanesSarbanes--OxleyOxley ActAct ((SoXSoX))
• Verbesserung der Rechnungslegung von Unternehmen, die den US-Kapitalmarkt in Anspruch nehmen– Unternehmen, die bei der amerikanischen Börsenaufsicht (SEC) registriert sind
– Tochtergesellschaften von SEC-registrierten Unternehmen
• Unternehmen müssen belegen, dass ihre Erfassungsmethoden und Arbeitsweisen für den Prozess der Finanzberichterstattung– korrekt sind– Prüfern offen stehen– weder Verfälschungen noch Manipulationen unterliegen
• Aufbau eines internen Kontrollsystems (IKS) notwendig– Im IT-Bereich muss gewährleistet sein, dass zur Rechnungslegung relevante Daten geschützt sind
• Im Rahmen eines SOX Audits werden diese internen Kontrollen dann überprüft und die Ergebnisse offengelegt
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
Information Security Information Security Management Systems Management Systems (ISMS)(ISMS)
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 11
21
Was ist ein ISMS ?Was ist ein ISMS ?
• Ein Management-System, um Sicherheitszielsetzungen
und eine Sicherheitspolitik im Rahmen der
Geschäftsrisiken einer Organisation zu definieren und
umzusetzen.
– Definition nach BS7799 / ISO 17799
22
ISMS StandardsISMS Standards
• Übersicht über Sicherheits-Management-Systeme
ISO 27002 / ISO 17799 / BS 7799-1 - Code of PracticeISO 27002 / ISO 17799 / BS 7799-1 - Code of Practice
Common, Criteria, ITSEC, TCSECCommon, Criteria, ITSEC, TCSECTechnik
Management
ISO TR 13335 - GMITS (General Management Guidelinesfor Information Security)
ISO TR 13335 - GMITS (General Management Guidelinesfor Information Security)
ISO 27001:2005 / BS 7799-2:2002 - ISMSISO 27001:2005 / BS 7799-2:2002 - ISMS
ISO 27003 Implementation GuidanceISO 27003 Implementation Guidance
ISO 27004 - MeasurementsISO 27004 - Measurements
ISO 27005 - Risk ManagementISO 27005 - Risk Management
ISO 27000 Principles and VocabularyISO 27000 Principles and Vocabulary
ISFISF
BSI G
rundsch
utzh
andbuch
BSI G
rundsch
utzh
andbuch
BSI Std 100-3
BSI Std 100-2
BSI Std 100-1
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 12
23
ISO 27001 / BS 7799ISO 27001 / BS 7799--2 2
•Geschäfts- und Prozessorientierter Top-Down Ansatz
– Keine detaillierten Maßnahmen, sondern übergreifende
Anforderungen an Sicherheitsprozesse.
– Beschreibt die Anforderungen an die Umsetzung und
Dokumentation eines ISMS.
•Maßnahmen zur Umsetzung des ISMS
– ISO 17799 / BS 7799-1
– BSI Grundschutzhandbuch
24
ISO 17799 ISO 17799 -- Code of Code of PracticePractice
• Hervorgegangen aus BS 7799-1
– jetzt ISO 27002:2005 Standard
• Besteht aus ca. 130 Kapiteln, den sogenannten Controls
– Definition der Sicherheitsziele und eine Erklärung zur Umsetzung
(Implementation Guidance)
– Keine detaillierten Anweisungen zur eigentlichen Umsetzung
» Maßnahmenkatalog aus dem GSHB
» SANS Best Practices
» NIST SP800 Standards
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 13
25
BSI GrundschutzhandbuchBSI Grundschutzhandbuch
• Technik-orientierter Bottom-Up Ansatz aber kein
Management-Standard
– Enthält für typische IT-Systeme, Netze und Anwendungen
(sogenannte Komponenten)
»Kataloge möglicher Gefährdungen,
»Empfohlene Standard-Sicherheitsmaßnahmen
»Einschätzungshilfen zum Schutzbedarf bereit,
•Kann für IT-Bereiche mit geringem bis mittlerem
Schutzbedarf aufwändige Risikoanalysen ersparen.
26
ZertifizierungenZertifizierungen
• BSI Grundschutzhandbuch– Selbst-Zertifizierung oder über akkreditierten Grundschutz-Auditor
» http://www.bsi.de/gshb/zert/auditor.htm
– Liste der zertifizierten Firmen» http://www.bsi.de/gshb/zert/t_zert.htm
• BS7799-2 / ISO 27001– Über Akkreditierte Zertifizierungsstellen
» Trägergemeinschaft für Akkreditierung GmbH
� http://www.tga-gmbh.de/
» Deutscher Akkreditierungsrat
� http://www.dar.bam.de/ast/index.html
– Liste der zertifizierten Firmen» http://www.xisec.com/
• ISO 17799 / BS7799-1 kann nicht zertifiziert werden
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 14
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
BetriebBetrieb eineseines ööffentlichenffentlichenWLANsWLANs
28
TelekommunikationsgesetzTelekommunikationsgesetz (TKG)(TKG)
•Beim Betrieb eines öffentlich zugänglichen WLANs tritt man als Telekommunikationsdienstleister auf– Provider muss in der Lage sein, den kompletten Verkehrsstrom aufzuzeichnen
– Provider muss in der Lage sein, Informationen zu blockieren
– Provider muss in der Lage sein, den Zugang von Benutzern zu blockieren
– Verpflichtung zur Weitergabe von Informationen an die
Strafverfolgungsbehörden
» Benutzerinformationen (z.B. Name, Adresse, statischen IP-Adresse)
» Verkehrsdaten (z.B. Beginn und Ende der Verbindung, besuchte Web-Seiten)
» In einigen Fällen auch den kompletten Verkehr inklusive der Benutzerdaten
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 15
29
TelekommunikationsgesetzTelekommunikationsgesetz (TKG)(TKG)
• EU Richtlinie 2006/24/EG – Vorratsspeicherung von Daten
– Verkehrs- und Standortdaten müssen gespeichert werden (6 Monate - 2 Jahre
oder länger)
• Für alle Maßnahmen ist zusätzliche Infrastruktur und sind spezielle
Geräte notwendig
– Maßnahmen sind voraussichtlich nicht erforderlich, wenn weniger als 1.000
Teilnehmer oder Nutzungsberechtigte angeschlossen sind (TKÜV)
– Bei kleinen Telekommunikationsanlagen mit weniger als 10.000 Teilnehmern
oder Nutzungsberechtigten sind Ausnahmen (TKÜV) zu erwarten.
30
Einsatz eines privaten Einsatz eines privaten WLANsWLANs
• Beim Betrieb eines privaten WLANs sind Sicherheitsmaßnahmen
zwingend erforderlich
– Urteil des Landgerichts Hamburg (Aktenzeichen 308 O 407 / 06):
• Schutz: Einsatz von Sicherheitsmechanismen eingesetzt werden, umFremden den Zugang zu verwehren.– WEP oder noch besser WPA bzw. WPA2 Verschlüsselung
– Nur bestimmte MAC-Adressen zulassen
– SSID nicht bekanntgeben
„Wer durch die Bereitstellung eines unverschlüsselten Funknetzes Dritten ermöglicht, den eigenen Internet-Zugang zu nutzen und dadurch Rechtsverletzungen zu begehen, kann für die entstehenden Schäden mithaftbar gemacht werden.“
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 16
© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07
global capability. personal accountability.
VzB Security PortfolioVzB Security Portfolio
32
VzB VzB SecuritySecurity PortfolioPortfolio
Managed Email Content
Network Attack Protection Services
DoS Attack
Detection
Managed Networking Services
Managed Firewall Services
ManagedIDS/ IPS
Security Assessment Scanning
Managed EndpointManaged Network Based Services
IPVPN
IDSFirewall
IPS
Public/Private Gateway
Identity Management
LAN/WAN
Head-quarters
SmallOffice
Branch OfficeGlobalEvents
Finium™
Carrier Enterprise
Professional Security Services
Public PrivateGW
AV AS IC
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 17
33
Thank Thank YouYou
FragenFragenFragen
34
Thank Thank YouYou
About Verizon Business Verizon Business, a unit of Verizon Communications (NYSE:VZ) is a leading provider of advanced communications and information technology (IT) solutions to large business and government customers worldwide. Combining unsurpassed global network reach with advanced technology and professional service capabilities, Verizon Business delivers innovative and seamless business solutions to customers around the world.
For more information, visit www.verizonbusiness.com
Global Capability. Personal Accountability.Global Capability. Personal Accountability.
IT-Symposium 2007 17.04.2007
www.it-symposium2007.de 18
35