Wie sicher sind Ihre Unternehmensdaten?
Wie stellen Sie Veränderungen an Dokumenten fest? Welchen Zugriffsschutz haben Computer in Ihrem Unternehmen? Wie aufwendig ist die Zuteilung von Berechtigungen? Wird Infor- mationssicherheit in Ihren Business-Pro- zessen berücksichtigt? All das sind Fragen, die im Rahmen einer Sicherheitslösung in Unternehmen betrachtet werden.
Informationssicherheit ist Managementaufgabe!
Jedes Unternehmen sollte über ISO-konforme Konzepte für die Handhabung von Daten und Informationen verfügen. Regelmässige Security- Checks gehören heute zum Management- Standard.
Aber wie baut man ein Sicherheitskonzept auf, wie finde ich die richtigen Marktpartner und was darf Informationssicherheit kosten?
In diesem Booklet finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen.
Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.
Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk.
Rheinfelden/Schweiz BPX-Edition, 2003/2004 www.bpx.ch
30 CHF, 20 € ISBN 3-905413-37-X
Information Security – Sicherheitsstrategien aus der Praxis
Ulrich Moser
Information Security Was Manager wissen müssen!
Sicherheitsstrategien aus der Praxis
Managementverantwortung Grundlagen IT-Sicherheit Business Continuity Service Continuity Branchenstandards Krisenmanagement Kosten/Nutzen Praxisbeispiele Checklisten Trends Tipps
Editionspartner
2003/04
Editionspartner
Ulrich Moser
Information Security
Was Manager wissen müssen!
Sicherheitsstrategien aus der Praxis
BPX-Edition www.bpx.ch
Rheinfelden/Schweiz
BPX Best Practice Xperts Internet www.bpx.ch E-Mail info@bpx.ch
Moser, Ulrich:
Information Security
Was Manager wissen müssen!
Sicherheitsstrategien aus der Praxis Vorwort von
Prof. Dr. Carlheinrich Heiland, Universität Hamburg
Rechtliche Betrachtungen im Kapitel 9 von Dr. Didier Sangiorgio und Dr. Jürg Schneider, ww&p
Rheinfelden/Schweiz, BPX-Edition, 2003/2004 ISBN 3-905413-37-X
© 2003/2004 BPX-Edition Rheinfelden
Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind vorbehalten. Kein Teil des Buches darf ohne schriftliche Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden.
Herstellung: BPX-Edition, Rheinfelden/Schweiz Druck und Verarbeitung: Druckerei Flawil AG
3
Inhalt
Vorwort 5
1 Praxisbeispiele 7
1.1 Biz-Case: SwissLos/SwissLotto 7 1.2 Biz-Case: St.Galler Kantonalbank 10 1.3 Biz-Case: AGI-Kooperationsbanken 13
1.4 Business Insights 15
2 Editionspartner 16
2.1 Profil: Swisscom IT Services 16 2.2 Profil: Nokia Internet Communications 17
2.3 Profil: Check Point 18
2.4 Profil: Walder Wyss & Partner 19
1 Einleitung 21
2 Informationssicherheit oder IT Security? 22 2.1 Von der IT Security
zur Informationssicherheit 22 2.2 Informationssicherheit – eine Aufgabe
für alle 25
2.3 Risiko-Analyse & Risiko-Management 32
2.4 Der Faktor Mensch 35
2.5 Rechtliche Rahmenbedingungen 37 2.6 Checkliste zur Informationssicherheit 39 3 IT Security – Eckpfeiler der
Informationssicherheit 41 3.1 Business-Anforderungen und ihre
Auswirkungen auf die IT Security 41
3.2 Die Rolle der Architektur 43
3.3 Applikatorische Sicherheit 44 3.4 Technologie-Verträglichkeit 47
3.5 Checkliste 48
4 Organisatorische Sicherheit 49
4.1 Personalmutationen und ihre Bedeutung
für die Sicherheit 49
4.2 Rollenkonzept und RBAC 49
4.3 Access Control und Provisioning 50 4.4 Betriebsorganisatorische Regelungen 53
4.5 Checkliste 54
5 Schutzmassnahmen 55
5.1 Schwachstellen und Angriffe 55
5.2 Netzwerksicherheit und Datenwege 62 5.3 Schutz vor bösartiger Software und
unerwünschten Inhalten 70
5.4 Verschlüsselung und ihre Anwendungen 71 5.5 Business Continuity und Disaster Recovery 74 5.6 Rechenzentren-Schutzmechanismen 75
5.7 Systemsicherheit 76
5.8 Physische Sicherheit der IT-Infrastruktur 77 5.9 Die White Hats kommen –
Angriffssimulationen 78 5.10 «IT Security outsourcen» –
Was geht und was ist zu beachten? 79
6 Typische Anwendungsprofile 81
6.1 Banken 81
6.2 Versicherungen 81
6.3 Industrie 82
6.4 KMU 83
6.5 Handel 83
6.6 Öffentlicher Sektor 84
7 Kosten- und Nutzen-Überlegungen 85
8 Was erwartet uns? 88
9 Rechtliche Grundlagen 90
10 Referenzen 103
10.1 Bücher und Internet-Quellen 103 10.2 Werkzeuge für Informationssicherheit 104
11 Autor und BPX-Team 105
Vorwort
5
Vorwort
Was bedeutet Sicherheit im IT-Bereich? Gibt es überhaupt Sicherheit? Wie unterscheidet sich eine
«sichere» von einer «unsicheren» IT-Konstruktion?
Das Sicherheitsbedürfnis ist urmenschlich:
Ohne Sicherheit kein Überleben!
Der Schriftsteller Emil Oesch erkannte schon vor vielen Jahren: «Die einzige Sicherheit, die ein Mensch haben kann, ist die Erkenntnis seiner inneren Kraft und Beru- fung auf eine starke Reserve an Wissen, Erfahrung und Können.» Aber wie ist im Internet-Zeitalter diese starke Reserve an Wissen, Erfahrung und Können zu definieren?
Die Sicherheit von Computern, Netzwerken und Daten ist für Unternehmen jeder Grösse ein zentrales Thema.
Aber das Verständnis von Sicherheit hat sich gewandelt:
Die Kommunikationstechnologie befindet sich im Um- bruch; Prozesse beschleunigen sich; die Vernetzung verdichtet sich rasant. Wir befinden uns in einem Zeit- alter der Informationsüberflutung. Der ursprüngliche Sicherheitsbegriff bezieht sich auf die Stabilität von Systemen, Umwelt und Ereignissen. Die Sicherheit der IT-Systeme muss aber auch in Zuständen der Insta- bilität gewährleistet sein und einer immer grösseren Komplexität gerecht werden.
Andererseits gibt es nirgendwo so viel technologisches Flickwerk wie bei der Netzwerksicherheit – diese erscheint wie ein grosses Puzzle. Ursache: Netzwerke bestehen aus komplexen und heterogenen Systemen und sind schwer zu überblicken. Ständig kommen neue Technologien dazu. Der Wettbewerbsdruck zwingt die Unternehmen, die Aktualisierung ihrer IT-Umgebung als Dauerprozess zu sehen. Als Nebenwirkungen dieser Veränderungsprozesse entstehen fortlaufend neue Sicherheitslücken. Jeder IT-Fortschritt erfordert daher Anpassungen in der Sicherheitsstrategie.
Neben dem Risiko der Systemsicherheit von Hard- und Software sind zusätzliche Gefährdungen zu nennen.
Diese bestehen einmal im Verlust an Vertraulichkeit:
Ein Angreifer verschafft sich Zugang zu vertraulichen Daten. Eine nächste Kategorie ist der Verlust der Integ- rität: Daten werden durch Dritte manipuliert, gelöscht, zerstört oder unbrauchbar gemacht. Die weitere Gefähr- dungskategorie wäre der Verlust der Verfügbarkeit:
Diese werden durch ungültige Netzwerkanfragen, schädliche Software-Würmer oder verteilte Angriffe von mehreren, vorher infizierten Computersystemen
Vorwort
hervorgerufen. Der Verlust an Verfügbarkeit ist die am schnellsten wachsende Bedrohung im Internet. Da E-Commerce-Portale oder Internet-Shops für viele Unternehmen zur Existenzgrundlage geworden sind, entstehen Schäden in Millionenhöhe, wenn diese nicht erreichbar sind.
Die zentrale Herausforderung an das Management besteht darin, Sicherheitsmängel bei den IT-Produkten, Prozessen und Menschen so rechtzeitig zu erkennen, dass es nicht zum «Tsunami» kommt, jener gefürchteten Riesenwelle, die durch Verwerfungen am Meeresboden entsteht und ohne Vorwarnung ganze Küstenstriche verwüstet. Ziel dieses Buches ist es, die unterschied- lichen Aspekte dieses Sicherheitspuzzles zu analysieren und Abwehrstrategien aus der Praxis vorzustellen.
Dabei geht es nicht nur um neue IT-Technologien, sondern insbesondere um die strategische Einbindung des Managements in die IT-Infrastruktur. Dem Manage- ment muss der Spagat zwischen «Offenheit» und
«Sicherheit» gelingen!
Prof. Dr. Carlheinrich Heiland Universität Hamburg
Praxisbeispiele
7
1 Praxisbeispiele
1.1 Biz-Case: SwissLos/Swiss Lotto Thema: Integrierte Web- und Applikations- sicherheit
Die Swisslos Interkantonale Landeslotterie (www.swisslos.ch) ist ein Unternehmen mit 250 Mitarbeitenden und erzielte im Jahr 2002 einen Umsatz von CHF 261 Mio. Die zentrale Dienstleistung des Unternehmens ist Swiss Lotto (www.swisslotto.ch). Sie stellt das grösste und erfolgreichste eLottery-Angebot der Schweiz dar.
Ziel des eLottery-Projektes war, eine umfassende Lotterie-Lösung im Sinne einer B2C-Website zu realisieren. Dazu war die Entwicklung mehrerer Applikationen sowie deren nahtlose Integration notwendig. Besonders anspruchsvoll war dabei:
die sichere Kundengeldverwaltung und Authentisierung
die Kleingewinnübermittlung
die hohe Anzahl an Transaktionen. Bei hohen Jackpots werden über 600000 Scheine innerhalb von drei Tagen eingereicht
die automatische Gewinnbenachrichtigung Als Sicherheitsanforderungen ergeben sich daraus:
hohe Verfügbarkeit des Systems, da bei einem Ausfall sowohl ein hoher finanzieller Verlust als auch ein Imageschaden entstehen würde
Sicherheit der Transaktionen hinsichtlich Integrität, Volumen und Datenverlust sind zu gewährleisten
wirksamer Schutz vor Angriffen aller Art (Hacker) Daraus ergeben sich als technische Anforderungen an die gesamte Infrastruktur:
hohe Redundanz und zuverlässiger Notfallplan
Skalierbarkeit, um den sich verändernden Anforderungen effizient gerecht zu werden
hohe Fehlertoleranz (automatische Fail-over- Lösung)
Die Lösung für Swisslos beinhaltet folgende Sicherheitskomponenten:
Praxisbeispiele
ISP Internet
WAN backbone
Swisslos Corporate IT
Secure Access1-Tier front servers2-Tier application3-Tier databasecustomer Services management Secure storage and backup - full services monitoring
Active IDS
VPN
VPN Load balancer
Web servers farm
Swisslos Applications farm
High secure Database
Bandwidth management
Abbildung 1: Web-Architektur-Konzept
Alle Firewalls basieren auf Check-Point- und Nokia- Security-Plattformen.
Praxisbeispiele
9
Die eingesetzten Sicherheitskomponenten:
HTTPS-Verschlüsselung des Benutzerverkehrs über das Internet
Frontlinienschutz durch IDS und IPS (Intrusion Detection/Prevention System), welche noch vor der Firewall eingesetzt werden
hochkarätige 3-Tier-Sicherheitszonen-Architektur mit Load-balancing und hoher Redundanz
VPN-verschlüsseltes Extranet für Swisslos über ein WAN (Wide-Area-Netzwerk)
Active Systems Management, inklusive End to End Services Monitoring und Reporting
hochwertige Applikationssicherheit- und Datenschutz-Komponenten
ein umfassendes Sicherheitskonzept mit
gesamtheitlich abgestimmten Einzelkomponenten Kundennutzen und Vorteile
Die Realisierung und der Betrieb der Website von Swiss Lotto ist eine Erfolgsstory. Die Applikation läuft stabil auf einer hoch zuverlässigen Plattform. Ein Umsatzwachstum von über 20 % pro Jahr wurde erreicht, da über diesen innovativen Kanal neue Kundensegmente angesprochen werden konnten.
Hinter www.swisslotto.ch steht eine ideale
Sicherheitslösung: das heisst, Risikominimierung auf höchstem Niveau zu optimalem Preis-Leistungs- Verhältnis. Das gesamte System wird von Swisscom IT Services als Outsourcing-Dienstleister betrieben.
Swisscom IT Services betreibt eine Vielzahl von Systemen für Security-sensible Kunden und kann dank Economies of Scale einen hoch professionellen Service zu einem günstigen Preis anbieten. Selbstverständlich sind alle Komponenten immer auf dem neusten Stand, beispielsweise der Virenschutz. Der Kunde spart dadurch die entsprechenden Kosten für teure Experten und Updates im eigenen Haus.
Breites Wissen und langjährige Erfahrung sind vor allem für Unternehmen wichtig, die eine hohe Anzahl Zugriffe auf ihre Websites haben. Dank der
massgeschneiderten Applikationsentwicklung und des zuverlässigen Hostings kann die Website hohe Besucherfrequenzen reibungslos bewältigen. Aufgrund der Herstellerunabhängigkeit von Swisscom IT Services konnte die beste Lösung zum besten Preis realisiert werden.
Praxisbeispiele
Sicherheit aus einer Hand: Durch die Integration von Applikationsentwicklung, Hosting und IT Security erhält der Kunde eine abgestimmte Komplettlösung. Die enge Zusammenarbeit unterschiedlichster Bereiche trägt massgeblich zur Sicherheit der Lösung bei. So entsteht keine Unsicherheit bezüglich Verantwortungsabgren- zung unter den Partnern. Hinzu kommt die Betreuung während 365 Tagen rund um die Uhr. Sie wird im Service Level Agreement (SLA) garantiert.
Die Lösung ermöglicht eine sofortige Skalierung sowie schnelle Anpassung der Applikation. Dieser Ansatz bietet den Unternehmen eine hohe Business-Flexibilität, unterstützt durch die persönliche Betreuung von Swisscom IT Services als langfristigem, zuverlässigem Partner.
1.2 Biz-Case: St.Galler Kantonalbank Thema: Effiziente Sicherheitsadministration Die St.Galler Kantonalbank SGKB gehört zu den Top Ten der Schweizer Banken.
Sicherheitsanforderungen: Wegen der gesetzlichen Vorschriften sowie aufgrund der Erwartungen der Kunden und des Bankenmanagements sind die Sicherheitsanforderungen sehr hoch. Natürlich ist eine Bank in jedem Sinn verpflichtet, die Sicherheit von Kundendaten zu schützen und ein hoch zuverlässiger Partner zu sein. Gleichzeitig muss die Bank auf Bedürfnisse von Geschäfts- und Privatkunden eingehen, die sowohl E-Banking als auch eine umfangreiche Vernetzung brauchen. Zudem ist es wichtig, den guten Ruf und das Image der Bank in der Öffentlichkeit und bei Kunden zu wahren. Als
Finanzdienstleister mit mehr als 1000 Mitarbeitenden und 39 Standorten sind die Ansprüche an Sicherheit und Betriebsbereitschaft somit anspruchsvoll.
Eines der Ziele des Projekts war, die Administration aller erforderlichen Autorisierungen für sämtliche Applikationen durch eine zentrale Managementlösung (Single Point of Administration, SPOA) zu vereinfachen und transparenter zu gestalten. Hieraus ergaben sich folgende Detailanforderungen an die Lösung:
flexible Einbettung in die bestehende Informatik- landschaft
Flexibilität und Skalierbarkeit
