IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 1

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

NichtNicht--technische Aspekte der technische Aspekte der ITIT--SicherheitSicherheit

1K03

Andreas Aurand Sales Engineer17. April 2007

2

Verizon Communications Inc.Verizon Communications Inc.

Revenue• 2006 Revenue: $88.1 billion(+26.8% compared to 2005)

• World’s second biggest telecommunications provider*

• 50th on Fortune Global 500

Profit• One of the world’s most profitable telecommunications providers*

• 36th on Fortune Global 500

* Source: Fortune Global 500, CNN Money, 2006

About Verizon

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 2

3

Verizon BusinessVerizon Business

• Customers include 94% of the Fortune 500

• Over 30,000 employees

• Operations in 75 countries

• Customers in 2,700 cities in 152 countries

• Most expansive IP network worldwide (based upon PoPs)

• Most connected backbone according to TeleGeography

About Verizon

4

Verizon BusinessVerizon Business’’ PortfolioPortfolio

Managed Network Services

WAN Management

Professional Services

LAN Management Managed Telephony

CPE

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 3

5

AgendaAgenda

• IT-Sicherheit als Teil der Unternehmensführung

•Gesetzliche Vorgaben und Haftungsrisiken

• Information Security Management System (ISMS)

•Betrieb eines öffentlichen WLANs

In dieser Präsentation werden die angesprochenen Inhalte lediglich im Überblick behandelt. Sie beinhaltet keine umfassende Darstellung der rechtlichen oder technischen Fragestellungen und stellt keine Rechtsberatung dar. Bevor Entscheidungen im Hinblick auf die Inhalte dieser Präsentation getroffen werden, sollte unabhängiger Rechtsrat eingeholt werden. Trotz sorgfältiger Erstellung kann Verizon eine Gewähr für die Richtigkeit nicht übernehmen.

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

ITIT--SicherheitSicherheit alsals TeilTeil derderUnternehmensfUnternehmensfüührunghrung

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 4

7

Corporate und Corporate und ITIT--GovernanceGovernance

• Corporate Governance– Bezeichnet eine "gute Unternehmensführung und -kontrolle".

• IT-Governance– Regelt innerhalb der Corporate Governancedie Steuerung der unternehmenskritischen IT

Corporate Governance• ISO 9000 QM• Corporate Risk Management• Sarbanes-Oxley Act (SOX)• KonTraG• Basel II

IT Governance• ITIL (ISO 20000)• Audit: COBIT, IDW PS 330• CMMI, SPICE• Risikomanagement: FIRM

IT-Security• ISMS: ISO 2700,ISF• Risikomanagement: FIRM• Maßnahmen: GSHB• Technisch: CC, TCSEC

OECD-GrundsätzeDie Corporate Governance liefert auch den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle.

Vier Hauptziele• Unterstützung der Unternehmensziele• Prozessoptimierung• Kennzahlensysteme (Metriken)• Risikomanagement

8

ITIT--GovernanceGovernance und ITund IT--SicherheitSicherheit

Die IT ist ausgerichtet auf die Geschäftstätigkeit, ermöglicht

diese und maximiert dabei den Nutzen– IT-bezogene Risiken werden angemessen “gemanaged”

»Einsatz eines Risiko- und Sicherheitsmanagement-Systems

– IT-Ressourcen werden vernünftig (wirtschaftlich) verwendet

» Investitionsamortisations (Nutzen > Kosten)

IT-Sicherheit ist daher kein Selbstzweck, sondern muss der

Geschäftstätigkeit nutzen

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 5

9

Für den Erfolgausschlaggebend

ITIT--SicherheitSicherheit

• Die verschiedenen Ebenen der IT-Sicherheit

Ebene 1Information Security Policy and Standards

Ebene 2Information Security Architecture and Processes

Ebene 3Information Security Awareness and Training

Ebene 4Information Security Technologies and Products

Ebene 5Auditing, Monitoring and Investigating

Ebene 6Validation

Gartner Group

„Sicherheit ist kein Produkt; sie ist ein Prozess. Sie hat mit vorbeugenden Technologien, aber auch mit Erkennungs- und Reaktionsprozessen zu tun.“(Bruce Schneier)

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

GesetzlicheGesetzliche VorgabenVorgabenund und HaftungsrisikenHaftungsrisiken

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 6

11

Haftung (GeschHaftung (Geschääftsleitung)ftsleitung)

• BGB § 831 verpflichtet den Unternehmer, die Organisations-

verantwortung zu übernehmen:– Kontrollpflicht: Überwachung der Durchführung

– Auswahlpflicht: Geeignetes Personal zur Durchführung auswählen

– Anweisungspflicht: Vorgaben zur Durchführung der Unter-nehmenszwecke

festlegen

• Bei Nichtbeachten droht persönliche Haftung wegen

Organisationsverschulden– Kaufmännische Sorgfaltspflicht

Die Verantwortung für die IT-Sicherheit trägt immer die Unternehmensleitung, sie kann auch nicht an andere

delegiert werden.

12

Haftung (ITHaftung (IT--Leiter)Leiter)

–Auch IT-Leiter können persönlich haftbar für Schäden

im Zusammenhang mit der Unternehmens-IT sein.

–Keine Haftung besteht bei

»Leicht fahrlässigem Verhalten

»Wenn Geschäftsführung auf Mängel in der IT-Sicherheit

hingewiesen wurde und diese nicht reagiert hat

– !!!!!! Vorschlag und Ablehnung protokollieren !!!!!!

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 7

13

Haftung (ITHaftung (IT--Administratoren)Administratoren)

• Allgemeine Haftung von Mitarbeitern– Schlechterfüllung arbeitsvertraglicher Pflichten (BGB §280)

– Verletzung von Schutz-, Mitwirkungs-, und Aufklärungspflichten

• Wie kann man sich dagegen schützen ?– Übertragene Aufgaben gewissenhaft ausführen

– Unternehmensleitung über mögliche Risiken informieren,

– Vorschläge für die Beseitigung von Sicherheitsrisiken erstellen

• Was tun, wenn die Unternehmensleitung Vorschläge zur

Verbesserung der IT-Sicherheit ablehnt ?– Die Risiken erneut aufzeigen

– !!!!!! Vorschlag und Ablehnung protokollieren !!!!!!

14

Haftung (Urheberrechtsverletzung)Haftung (Urheberrechtsverletzung)

• Unternehmensleitung verletzt Organisationspflicht und verstößt

gegen Urheberrecht (§106 UrhG), wenn sie

– das Herunterladen und Verbreiten kopiergeschützter Musik und Filme

– den Einsatz nicht-lizensierte Software

• duldet und keine Maßnahmen ergreift, dies zu unterbinden.

– Eine Verbreitung im Internet liegt immer vor, wenn die Datei auf dem Rechner

des Internetnutzers angekommen ist

• Lösung: Definition einer entsprechenden Sicherheitsrichtlinie für die

Internet- und Softwarenutzung

– Kontrolle dieser Richtlinie ist notwendig

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 8

15

Gesetz zur Kontrolle und Transparenz im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)Unternehmensbereich (KonTraG)

• Verantwortung für den Fortbestand des Unternehmens liegt bei der

Unternehmensführung

– Sie muss den Sicherheitsprozess initiieren, steuern und überwachen

• Von der Unternehmensführung sollten folgende Aktivitäten

ausgehen

– Initiative fur die Informationssicherheit

– Übernahme der Verantwortung fur die Informationssicherheit

– Die notwendigen Ressourcen (Leute, Zeit, Geld) bereitstellen

– Die Informationssicherheit aktiv unterstützen

• Lösungsansatz: Aufbau eines Information Security Management Systems

(ISMS)

16

EE--Mails und FernmeldegeheimnisMails und Fernmeldegeheimnis

• E-Mails unterliegen dem Fernmeldegeheimnis (§206 StGB). – Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder

Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens

bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt,

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

• Erbringung „geschäftsmäßiger Telekommunikationsdienste“ gilt auch für

Unternehmen, die Mitarbeitern die private Nutzung des Internet erlauben

oder diese dulden. – Straftatbestand kann beim Überprüfen des E-Mail-Verkehrs ohne Einwilligung

oder auch beim ungenehmigten Löschen von Spam-Mails erfüllt sein.

• Zusätzlich verbietet § 303a StGB das Unterdrücken von Spam-Mails– Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird

mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

• Lösungsansatz: Erstellung einer BV oder Sicherheitsleitlinie, die private E-Mail-

Nutzung sowie Mail-Filtering rechtskonform regelt.

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 9

17

Archivierungspflichten fArchivierungspflichten füür Er E--MailsMails

• E-Mails als Handelsbriefe gem. § 257 HGB:

– Sämtliche Schriftstücke, die zur Vorbereitung, Durchführung und dem

Abschluss oder der Rückgängigmachung eines Geschäfts dienen.

» Keine Unterscheidung zwischen Brief, Fax oder E-Mail

– Archivierungsdauer: 10 Jahre

• E-Mails nach §147 AO (Abgabenordnung):

– Unterlagen, die für die Besteuerung von Bedeutung sind

» Müssen nach den Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

(GDPdU) für Betriebsprüfung bereit gestellt werden.

– Archivierungsdauer: 6 Jahre

• Lösungsansatz: Die Unternehmensleitung muss die rechtskonforme

Archivierung der Mails organisieren.

18

Basel IIBasel II

• Ausschuss im internationalen Bankensystem, um einheitliche Wettbewerbsbedingungen zu schaffen– Banken müssen vor jeder Kreditentscheidung eine individuelle Einschätzung der Bonität des Kreditnehmers vorzunehmen. » Erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externes Rating.

» Markt- und Kreditrisiken als auch operationelle Risiken des kreditnehmendenUnternehmens spielen eine Rolle

» Zu operationellen Risiken zählen auch die Risiken, die sich aus dem Einsatz von Informationstechnologie in den Unternehmensprozessen ergeben.

– Gefordert ist aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit befasst.» Gut dokumentiertes IT Risk Management kann für günstigere Kreditkonditionen sorgen

» Anfällige IT-Infrastruktur kann daher auch für schlechtere Konditionen führen

• Lösungsansatz: Information Risk Management (IRM)– Sollte Teil des Information Security Management Systems sein

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 10

19

SarbanesSarbanes--OxleyOxley ActAct ((SoXSoX))

• Verbesserung der Rechnungslegung von Unternehmen, die den US-Kapitalmarkt in Anspruch nehmen– Unternehmen, die bei der amerikanischen Börsenaufsicht (SEC) registriert sind

– Tochtergesellschaften von SEC-registrierten Unternehmen

• Unternehmen müssen belegen, dass ihre Erfassungsmethoden und Arbeitsweisen für den Prozess der Finanzberichterstattung– korrekt sind– Prüfern offen stehen– weder Verfälschungen noch Manipulationen unterliegen

• Aufbau eines internen Kontrollsystems (IKS) notwendig– Im IT-Bereich muss gewährleistet sein, dass zur Rechnungslegung relevante Daten geschützt sind

• Im Rahmen eines SOX Audits werden diese internen Kontrollen dann überprüft und die Ergebnisse offengelegt

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

Information Security Information Security Management Systems Management Systems (ISMS)(ISMS)

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 11

21

Was ist ein ISMS ?Was ist ein ISMS ?

• Ein Management-System, um Sicherheitszielsetzungen

und eine Sicherheitspolitik im Rahmen der

Geschäftsrisiken einer Organisation zu definieren und

umzusetzen.

– Definition nach BS7799 / ISO 17799

22

ISMS StandardsISMS Standards

• Übersicht über Sicherheits-Management-Systeme

ISO 27002 / ISO 17799 / BS 7799-1 - Code of PracticeISO 27002 / ISO 17799 / BS 7799-1 - Code of Practice

Common, Criteria, ITSEC, TCSECCommon, Criteria, ITSEC, TCSECTechnik

Management

ISO TR 13335 - GMITS (General Management Guidelinesfor Information Security)

ISO TR 13335 - GMITS (General Management Guidelinesfor Information Security)

ISO 27001:2005 / BS 7799-2:2002 - ISMSISO 27001:2005 / BS 7799-2:2002 - ISMS

ISO 27003 Implementation GuidanceISO 27003 Implementation Guidance

ISO 27004 - MeasurementsISO 27004 - Measurements

ISO 27005 - Risk ManagementISO 27005 - Risk Management

ISO 27000 Principles and VocabularyISO 27000 Principles and Vocabulary

ISFISF

BSI G

rundsch

utzh

andbuch

BSI G

rundsch

utzh

andbuch

BSI Std 100-3

BSI Std 100-2

BSI Std 100-1

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 12

23

ISO 27001 / BS 7799ISO 27001 / BS 7799--2 2

•Geschäfts- und Prozessorientierter Top-Down Ansatz

– Keine detaillierten Maßnahmen, sondern übergreifende

Anforderungen an Sicherheitsprozesse.

– Beschreibt die Anforderungen an die Umsetzung und

Dokumentation eines ISMS.

•Maßnahmen zur Umsetzung des ISMS

– ISO 17799 / BS 7799-1

– BSI Grundschutzhandbuch

24

ISO 17799 ISO 17799 -- Code of Code of PracticePractice

• Hervorgegangen aus BS 7799-1

– jetzt ISO 27002:2005 Standard

• Besteht aus ca. 130 Kapiteln, den sogenannten Controls

– Definition der Sicherheitsziele und eine Erklärung zur Umsetzung

(Implementation Guidance)

– Keine detaillierten Anweisungen zur eigentlichen Umsetzung

» Maßnahmenkatalog aus dem GSHB

» SANS Best Practices

» NIST SP800 Standards

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 13

25

BSI GrundschutzhandbuchBSI Grundschutzhandbuch

• Technik-orientierter Bottom-Up Ansatz aber kein

Management-Standard

– Enthält für typische IT-Systeme, Netze und Anwendungen

(sogenannte Komponenten)

»Kataloge möglicher Gefährdungen,

»Empfohlene Standard-Sicherheitsmaßnahmen

»Einschätzungshilfen zum Schutzbedarf bereit,

•Kann für IT-Bereiche mit geringem bis mittlerem

Schutzbedarf aufwändige Risikoanalysen ersparen.

26

ZertifizierungenZertifizierungen

• BSI Grundschutzhandbuch– Selbst-Zertifizierung oder über akkreditierten Grundschutz-Auditor

» http://www.bsi.de/gshb/zert/auditor.htm

– Liste der zertifizierten Firmen» http://www.bsi.de/gshb/zert/t_zert.htm

• BS7799-2 / ISO 27001– Über Akkreditierte Zertifizierungsstellen

» Trägergemeinschaft für Akkreditierung GmbH

� http://www.tga-gmbh.de/

» Deutscher Akkreditierungsrat

� http://www.dar.bam.de/ast/index.html

– Liste der zertifizierten Firmen» http://www.xisec.com/

• ISO 17799 / BS7799-1 kann nicht zertifiziert werden

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 14

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

BetriebBetrieb eineseines ööffentlichenffentlichenWLANsWLANs

28

TelekommunikationsgesetzTelekommunikationsgesetz (TKG)(TKG)

•Beim Betrieb eines öffentlich zugänglichen WLANs tritt man als Telekommunikationsdienstleister auf– Provider muss in der Lage sein, den kompletten Verkehrsstrom aufzuzeichnen

– Provider muss in der Lage sein, Informationen zu blockieren

– Provider muss in der Lage sein, den Zugang von Benutzern zu blockieren

– Verpflichtung zur Weitergabe von Informationen an die

Strafverfolgungsbehörden

» Benutzerinformationen (z.B. Name, Adresse, statischen IP-Adresse)

» Verkehrsdaten (z.B. Beginn und Ende der Verbindung, besuchte Web-Seiten)

» In einigen Fällen auch den kompletten Verkehr inklusive der Benutzerdaten

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 15

29

TelekommunikationsgesetzTelekommunikationsgesetz (TKG)(TKG)

• EU Richtlinie 2006/24/EG – Vorratsspeicherung von Daten

– Verkehrs- und Standortdaten müssen gespeichert werden (6 Monate - 2 Jahre

oder länger)

• Für alle Maßnahmen ist zusätzliche Infrastruktur und sind spezielle

Geräte notwendig

– Maßnahmen sind voraussichtlich nicht erforderlich, wenn weniger als 1.000

Teilnehmer oder Nutzungsberechtigte angeschlossen sind (TKÜV)

– Bei kleinen Telekommunikationsanlagen mit weniger als 10.000 Teilnehmern

oder Nutzungsberechtigten sind Ausnahmen (TKÜV) zu erwarten.

30

Einsatz eines privaten Einsatz eines privaten WLANsWLANs

• Beim Betrieb eines privaten WLANs sind Sicherheitsmaßnahmen

zwingend erforderlich

– Urteil des Landgerichts Hamburg (Aktenzeichen 308 O 407 / 06):

• Schutz: Einsatz von Sicherheitsmechanismen eingesetzt werden, umFremden den Zugang zu verwehren.– WEP oder noch besser WPA bzw. WPA2 Verschlüsselung

– Nur bestimmte MAC-Adressen zulassen

– SSID nicht bekanntgeben

„Wer durch die Bereitstellung eines unverschlüsselten Funknetzes Dritten ermöglicht, den eigenen Internet-Zugang zu nutzen und dadurch Rechtsverletzungen zu begehen, kann für die entstehenden Schäden mithaftbar gemacht werden.“

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 16

© 2007 Verizon. All Rights Reserved. PTEXXXXX XX/07

global capability. personal accountability.

VzB Security PortfolioVzB Security Portfolio

32

VzB VzB SecuritySecurity PortfolioPortfolio

Managed Email Content

Network Attack Protection Services

DoS Attack

Detection

Managed Networking Services

Managed Firewall Services

ManagedIDS/ IPS

Security Assessment Scanning

Managed EndpointManaged Network Based Services

IPVPN

IDSFirewall

IPS

Public/Private Gateway

Identity Management

LAN/WAN

Head-quarters

SmallOffice

Branch OfficeGlobalEvents

Finium™

Carrier Enterprise

Professional Security Services

Public PrivateGW

AV AS IC

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 17

33

Thank Thank YouYou

FragenFragenFragen

34

Thank Thank YouYou

About Verizon Business Verizon Business, a unit of Verizon Communications (NYSE:VZ) is a leading provider of advanced communications and information technology (IT) solutions to large business and government customers worldwide. Combining unsurpassed global network reach with advanced technology and professional service capabilities, Verizon Business delivers innovative and seamless business solutions to customers around the world.

For more information, visit www.verizonbusiness.com

Global Capability. Personal Accountability.Global Capability. Personal Accountability.

IT-Symposium 2007 17.04.2007

www.it-symposium2007.de 18

35