Sie sind auf Seite 1von 19

S e i t e

|

1

IT-Grundschutz modellieren (166)

IT-Grundschutzhandbuch

Ziel des IT-Grundschutzes ist es, durch standardisierte Sicherheitsmassnahmen ein standardisiertes Sicherheitsniveau für IT-Systeme aufzubauen, das für sensible Bereiche weiter ausbaufähig ist. Das IT-Grundschutzhandbuch behandelt Sicherheitsbestimmungen, die ein mittleres bis hohes Mass an Schutz gewährleisten.

Kataloge mit Sicherheitsmassnahmen:

Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation, Notfallvorsorge

Empfohlene Vorgehensweise für Aufbau des IT-Grundschutz

1. IT-Strukturanalyse

2. Feststellung des Schutzbedarfs

3. Modellierung des Grundschutzes

4. Basis-Sicherheitscheck 5. Ergänzende Sicherheitsanalyse 6. Realisierung von IT-Sicherheitsmassnahmen

ISO/IEC 17799

Eine umfassende Sammlung von Massnahmen, die dem „Best-Practice-Ansatz“ der Informationssicherheit genügen

Betrachtet werden folgende Aspekte:

Sicherheitspolitik Organisation der Sicherheit Einstufung Kontrolle der Werte Personelle Sicherheit Physisches und umgebungsbezogene Sicherheit

Management der Kommunikation und des Betriebs Zugangskontrollen Systementwicklung und Wartung

Management des kontinuierlichen Geschäftsbetriebs Einhaltung von Verpflichtungen

Datenschutzgesetz (DSG)

Der Grundgedanke des Datenschutzes liegt im Schutz des Persönlichkeitsrechts.

Überall dort, wo nach Personen erschlossene oder erschliessbare Datensammlungen geschäftlich gespeichert oder bearbeitet werden, sind die Regeln des DSG zu beachten. Dabei bezieht sich das DSG auf alle Personendaten, unabhängig von ihrem Speichermedium (elektronisch, auf Papier).

Datensammlung Der Begriff wird vom DSG als Bestand von Personendaten definiert, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind.

Informationen einer Datensammlung Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten Gesundheit Intimsphäre Rassenzugehörigkeit Massnahmen der sozialen Hilfe Administrative oder strafrechtliche Verfolgung

Anmeldung einer Datensammlung Der Eidgenössische Datenschutzbeauftragte führt ein Register der Datensammlungen. Private Personen oder Unternehmen, die entsprechende Daten benutzen, müssen Datensammlungen anmelden. Bundesorgane müssen sämtliche Bestände anmelden. Die Datensammlung muss nicht angemeldet werden, wenn die Betroffenen angefragt wurden, ob die Informationen verwendet werden dürfen.

S e i t e

| 2

Datenverarbeitung Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Datenbeschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

Rechte des Betroffenen Jeder Betroffene hat das Recht, seine Daten anzusehen, auch wenn diese nicht angemeldet werden mussten. Weiter kann er eine Korrektur falscher Daten verlangen.

Schutz der Daten

Zugangskontrolle Unbefugten Personen ist der Zugang zu verwehren.

Datenträgerkontrolle Unbefugten Personen ist das Lesen, Kopieren, Verändern und Entfernen zu verunmöglichen

Transportkontrolle Bei Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden.

Bekanntgabekontrolle Datenempfänger müssen identifiziert werden können.

Speicherkontrolle Unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderungen oder Löschung gespeicherter Daten ist zu verhindern.

Benutzerkontrolle Die Benutzung von automatisierten Datenverarbeitungssystemen durch unbefugte Personen ist zu verhindern.

Zugriffskontrolle Zugriff ist nur auf diejenigen Personendaten zu beschränken, die berechtigte Personen zur Erfüllung ihrer Aufgabe benötigen.

Eingabekontrolle In automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.

Strafgesetzbuch

Damit eine strafrechtliche Verfolgung eingeleitet werden kann, muss der Geschädigte meist nachweisen können, dass er Schutzmassnahmen angewendet hat und dass er die Sorgfaltspflicht wahrgenommen hat.

Weiterhin gibt das Strafgesetzbuch auch Hinweise auf die rechtliche Verantwortung bei der Verarbeitung und Aufbewahrung von Informationen (Beweisführung).

Merkmale der IT-Sicherheit

Vertraulichkeit Nur berechtigte Personen haben Zugriff auf vertrauliche Daten. Gilt auch für prozessbezogene Informationen, wie sie z.B. in der Logdatei vorhanden sind.

Verfügbarkeit Beispielsweise die Wartezeit auf eine Systemfunktion oder die Verarbeitungsgeschwindigkeit.

Integrität Integrität bedeutet, dass eine Information vollständig, unverfälscht und korrekt ist. Das heisst, dass man der Information trauen kann.

Aktualität der Daten

S e i t e

| 3

Authentizität Daten kommen von der Person, von der ich sie erwarte.

Integrität von Programmen und Funktionen Programm macht das, was ich von ihm erwarte. Bsp. Besteht die Gefahr, dass im Hintergrund eine Funktion ausgeführt wird, die nicht erwartet wird (z.B. Trojaner).

Verbindlichkeit Beide Parteien müssen sich an die Abmachung halten.

Verbindlichkeit umfasst folgende Aspekte:

Einhaltung gesetzlicher und vertraglicher Bedingungen

Problem der Anerkennung des Empfangs von Informationen

Nachweisbarkeit von Kommunikationsvorgängen

Juristische Akzeptanz von Rechtsgeschäften, die mittels EDV-Systemen zustande gekommen sind

Weitere Begriffe rund um IT-Sicherheit

Bedrohung

Menschliches Versagen, menschliche Fehler oder Irrtümer:

Falsche Parametrierung, Fallenlassen von Werkzeugen etc.

Vorsätzliche Handlung:

Bewusste Handlungen durch unbefugte Dritte oder interne Mitarbeiter

Technisches Versagen:

Mängel an den Verarbeitungsmitteln (Hardware, Software, Netzwerk, Datenträger)

Höhere Gewalt:

Einflüsse der Umwelt oder Elementarereignisse

Organisatorische Mängel:

Fehlende Konzepte, fehlende Verantwortung => Menschliches Versagen

Verletzbarkeit Mangel an Objekt oder Anfälligkeit.

Risiko Ein Risiko ist eine Kombination aus Bedrohung und Verletzbarkeit.

Schaden

Direkte Schäden:

Maschinen, Programme, Datenträger, Daten

Indirekte Schäden:

Kosten für Rekonstruktion von Daten oder Programmen, Backup-Anlage, Ersatzbeschaffung, Personalaufwand.

Folgekosten:

Ausfall von Forderungen, Entgangene Gewinne infolge Betriebsunterbruch und Produktionsausfall, Schadenersatzansprüche Dritter wegen Nichterfüllung von Verträgen

Eintrittswahrscheinlichkeiten

Objektive, messbare und kalkulierbare Wahrscheinlichkeit:

z.B. Ausgang eines Münzwurfs

Subjektive, nicht messbare und geschätzte Wahrscheinlichkeit:

z.B. Eintritt einer Krankheit aufgrund der Diagnose von Symptomen.

Objektive Unmöglichkeit, eine Wahrscheinlichkeit zu ermitteln

S e i t e

| 4

Sicherheitsmassnahmen Sicherheitsmassnahmen dienen zur Abwehr und Minderung eines möglichen Schadens. Sicherheitsmassnahmen kosten jedoch sehr viel Geld und müssen daher dem Risiko bzw. dessen Eintrittswahrscheinlichkeit angepasst werden.

Bedrohung durch Computerkriminalität

Computerkriminalität Jede Straftat bei welcher der Computer das Werkzeug oder das Ziel der Tat ist. Meistens Vermögensverletzungen bei denen Daten verändert, zerstört, erlangt oder verwertet oder zusammen mit Hardware genutzt werden.

Computerbetrug Als Computerbetrug versteht man das unbefugte Beeinflussen des Ergebnisses eines Datenverarbeitungsvorganges.

Computerspionage Unberechtigte Aneignung oder Verwendung von Daten und Programmen.

Computersabotage Vorsätzliche Beeinträchtigung oder Zerstörung eines Datenverarbeitungs-Systems oder Teilen davon.

Computermissbrauch: Erschleichen einer Leistung Unbefugte Nutzung von Systemen (Hardware, Software, Netzwerke) mit der Absicht, sich oder einen Dritten einen Vermögensvorteil zu verschaffen.

Bestimmungen aus dem Strafrecht

Urkundenfälschung StGB 251

Unbefugte Datenbeschaffung / Datenspionage StGB 143 / Datendiebstahl, Datenspionage

Unbefugtes Eindringen in ein Datenverarbeitungssystem StGB 143 / Hacking

Datenbeschädigung StGB 144 / Sachbeschädigung, Viren

Betrügerischer Missbrauch einer Datenverarbeitungsanlage StGB 147 / Computerbetrug, Computermanipulation

Erschleichen einer Leistung StGB 150 / Unerlaubte Nutzung eines DV-Systems für eigene Zwecke

Grundprinzip einer Risikoanalyse

 

Systemabgrenzung (alle Komponenten)

Organisation

Systeme

Personen

Netzwerke

Applikationen

Bestimmung des Datenbestandes innerhalb der Systemgrenze

Bedrohungsform

Verletzbarkeit

Menschliches Versagen

Verfügbarkeit

Vorsätzliche Handlung

Vertraulichkeit

Technisches Versagen

Integrität

Elementarereignisse (Höhere Gewalt)

Organisatorische Mängel

Risiko

Schaden pro Ereignisfall

Eintrittswahrscheinlichkeit

Schaden (CHF) x Wahrscheinlichkeit (%) = Schadenausmass

Relevante Komponenten für das Risiko

 

Massnahmen

S e i t e

| 5

Systemabgrenzung

Als erstes wird das gesamte IT-System in einzelne Bereiche unterteilt und deren Komponenten beschrieben. Grund für die Aufteilung ist die Reduktion der Komplexität und der evt. unterschiedlichen sicherheitsrelevanten Aspekte.

Definition des Datenbestandes

Innerhalb des untersuchten Bereichs sind Datenbestände vorhanden. Die Risikoanalyse betrachtet vorwiegend die Gefährdung dieser Bestände.

Definition der Verletzbarkeit

Die Datenbestände werden den Grundbedrohungen der Informatik gegenübergestellt. Überall wo Verletzbarkeiten entstehen, werden diese markiert und nummeriert.

Daten /

Mitarbeiterdaten

Geschäftszahlen

Kundendaten

Grundbedrohungen

Vertraulichkeit

Verletzbarkeit 1

Keine Verletzbarkeit

Verletzbarkeit 2

Verfügbarkeit

Keine Verletzbarkeit

Verletzbarkeit 3

Verletzbarkeit 4

Integrität

Keine Verletzbarkeit

Verletzbarkeit 5

Verletzbarkeit 6

Verbindlichkeit

Keine Verletzbarkeit

Keine Verletzbarkeit

Keine Verletzbarkeit

Definition der Bedrohungen

Es wird ein Bedrohungskatalog erstellt, der auf den abgegrenzten Informatikbereich einwirkt. Als mögliche Bedrohungen können z.B. Stromausfall, Festplattenausfall, Hackerangriff etc. genannt werden.

Risikoanalyse

Überall dort wo eine Bedrohung auf eine Verletzbarkeit trifft, entsteht ein Risiko.

Verletzbarkeit

Bedrohung

Nr.

Stromausfall

Festplattenausfall

Hackerangriff

Verletzbarkeit 1

Kein Risiko

Kein Risiko

Risiko A

Verletzbarkeit 2

Kein Risiko

Kein Risiko

Risiko B

Verletzbarkeit 3

Risiko C

Risiko D

Risiko E

Schadenausmass und Eintrittswahrscheinlichkeit

Das wahrscheinliche Schadenausmass pro Jahr gibt Aufschluss über die Höhe der Sicherheitsmassnahmen. Wenn kein Frankenbetrag genannt werden kann, kann auch eine qualitative Aussage gemacht werden (z.B. niedrig, mittel, hoch, existenzbedrohend).

Nr.

Definition der

Schadengrösse

Wahrscheinlichkeit

Schaden

Risiken

A

Risiko A

Mittel

Klein

Klein

B

Risiko B

Gross

Gross

Gross

C

Risiko C

Klein

Gross

Klein

S e i t e

| 6

Sicherheitsmassnahmen

Zum Schluss werden die einzelnen Komponenten ermittelt, die beim entsprechenden Risiko eine Rolle spielen.

Risiko Nr.

Schaden

Komponente

Definition der Sicherheitsmassnahmen

A

Klein

Applikation 1

Benutzer-ID und PW

 

Server 1

Passwortschutz

Router 1

Physischer Zugriffsschutz

B

Gross

Server 2

Firewall

Allgemeine Gefährdungen (Bedrohungen)

Höhere Gewalt Alle Gefährdungen die nicht oder nur bedingt beeinflusst werden können. Im Vordergrund stehen hier Naturkatastrophen. Massnahmen in den meisten Fällen im Infrastrukturbereich.

Menschliches Versagen Hauptursachen für menschliches Versagen sind Unwissenheit, Unachtsamkeit und zu grosse Komplexität. Es wird davon ausgegangen, dass keine vorsätzliche Absicht hinter der Fehlhandlung steht.

Technisches Versagen Gefährdungen, die im Zusammenhang mit dem unerwarteten Ausfalls eines gesamten Systems oder Systemkomponenten stehen.

Vorsätzliche Handlung Das bewusste Zuführen von Schaden an einem System.

Organisatorische Mängel Wenn Tätigkeiten oder Aufgaben in einem Unternehmen zu verrichten sind, diese aber keiner Organisation zugeordnet sind, spricht man von organisatorischen Mängeln. Ebenso wenn Aufgaben und Tätigkeiten zwar definiert, aber nicht wahrgenommen oder kontrolliert werden. Hinter einer organisatorischen Mangel steht immer menschliches Versagen.

Sicherheitsmassnahmen im Überblick

Infrastruktur Bauliche Massnahmen, Zutrittsschutz, Überwachung.

Personal Schulung und Weisungen.

Organisation Strategien, Abläufe und Konzepte.

Hardware und Software Zugriffsverfahren, Rechtvergabe Redundanz, Betrieb.

Kommunikation Protokolle, Kryptographie, Netzwerkdienste.

S e i t e

| 7

IT-Grundschutz-Bausteine

 

Schichtenmodell

Übergreifende Aspekte

Infrastruktur

IT-Systeme

Netze

IT-Anwedungen

IT-Sicherheitsmanagement

Gebäude

DOS-PC (ein

Heterogene Netze

Datenträgeraustausch

 

Benutzer)

Organisation

Verkabelung

UNIX-System

Netz- und Systemmanagement

E-Mail

Personal

Büroraum

Tragbarer PC

Modem

WWW-Server

Notfallvorsorgekonzept

Serverraum

PC mit

Firewall

Lotus-Notes

 

wechselnden

Benutzern

Datensicherungskonzept

Datenträgerarchiv

PC unter

Remote Access

Fax-Server

 

Windows NT

Computervirenschutzkonzept

Raum für

PC mit Windows

LAN-Anbindung

Datenbanken

technische

95

eines IT-Systems

Infrastruktur

über ISDN

Kryptokonzept

Schutzschränke

Allgemeines

 

nicht vernetztes

IT-System

Behandlung von Sicherheitsvorfällen

Häuslicher

Servergestütztes

Arbeitsplatz

Netz

Hard- und Softwaremanagement

Rechenzentrum

UNIX-Netz

Standartsoftware

Peer-To-Peer-

Netz

 

Windows-NT-

Netz

 

Novell Netware

3.x

 

Novell Netware

4.x

 

TK-Anlage

 

Faxgerät

 

Anrufbeantworter

 

Mobiltelefon

 

Telearbeit

Schicht 1: Übergreifende Aspekte Umfasst alle übergreifenden IT-Sicherheitsaspekte, die für ein Unternehmen einheitlich geregelt werden müssen.

Schicht 2: Infrastruktur Befasst sich mit örtlichen baulichen Gegebenheiten.

Schicht 3: IT-Systeme Betrifft einzelne IT-Systeme der Infrastruktur.

Schicht 4: Netze Betrachtet die Vernetzung der IT-Systeme.

Schicht 5: IT-Anwendungen Die eigentlichen IT-Anwendungen. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

S e i t e

| 8

Sicherheitsprozess

Initialisierung des Prozesses

 

Gefährdungsanalyse

 

Leitlinien (Policy)

 

IT-Strukturanalyse

 

Schutzbedarfsfeststellung

Modellierung

Sicherheitskonzept

Ergänzende Sicherheitsanalyse

Basis-Sicherheitscheck

Realisierungsplan

 

Realisierung

 

Sicherheitsstellung im Betrieb (Monitoring)

 

Definition der Verantwortlichkeiten

Bevor ein Sicherheitskonzept eingeführt werden kann, muss eine Person nominiert werden, die sich um die Sicherheit innerhalb der Informatik kümmert. Dieser IT-Sicherheitsbeauftragte ist

Verantwortlich für die Wahrnehmung aller Belange punkto IT-Sicherheit innerhalb einer Organisation

Koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallkonzepts etc.

Erstellt den Realisierungsplan für IT-Sicherheitsmassnahmen

Prüft die Realisierung

Stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher

Gefährdungsanalyse und Leitlinien

Zunächst wird das für ein Unternehmen notwendige „IT-Sicherheitsniveau“ bestimmt.

Vom Gesetz her werden für kritische Datensammlungen spezielle Sicherheitsmassnahmen verlangt. Das Ergebnis wird in einer Sicherheitslinie festgelegt (Security Police).

Erstellung des IT-Sicherheitskonzeptes

1. IT-Strukturanalyse

 

2. Schutzbedarfsfeststellung

Schutzbedarf der einzelnen Komponenten

3. Modellierung

Benötigte Sicherheitsmassnahmen

4. Ergänzende Sicherheitsanalyse

5. Basis-Sicherheitscheck

 

6. Ausstehende Massnahmen = Realisierungsplan

IT-Strukturanalyse Hier werden alle Komponenten einer IT-Infrastruktur systematisch aufgeteilt. Weiter wird versucht Gruppen zu bilden.

Schutzbedarfsfeststellung Für jede vorhandene, unternehmensrelevante Applikation wird geprüft, wie wichtig sie für den Fortgang des Geschäftsprozesses ist. Dies definiert das Mass an benötigten Schutz.

Modellierung Die Vorhandenen Komponenten werden denjenigen aus dem Grundschutzhandbuch gegenübergestellt und die vorgeschlagenen Massnahmen festgehalten.

Sicherheitsanalyse Entspricht einer Risikoanalyse. Komponenten mit hohem Schutzbedarf, z.B. Server mit kritischen Daten, müssen einer separaten Sicherheitsanalyse unterworfen werden.

S e i t e

| 9

Basis-Sicherheitscheck Diese Modellierung nach IT-Grundschutz wird als Prüfplan benutzt, um anhand eines Soll/Ist- Vergleichs herauszufinden, welche Standardsicherheitsmassnahmen ausreichend oder nur unzureichend umgesetzt sind. Das Resultat ist ein Realisierungsplan.

Realisierungsplan Gleiche Tätigkeiten werden zusammengefasst.

Die Ergebnisse aus dem Basis-Sicherheitscheck, der allfälligen Sicherheitsanalyse und der Realisierungsplan sind das Kommunikationsmittel mit der Leitung und stellen das Sicherheitskonzept dar.

Umsetzung

Security Awareness – Sensibilisierung und Bekanntmachung sämtlicher Mitarbeiter mit den Sicherheitsvorschriften.

Strukturanalyse

Aufgabe der Strukturanalyse ist es, Informationen zu erheben, die für das IT-Sicherheitskonzept benötigt werden.

Netzplanerhebung

Erstellen einer gültigen grafischen Übersicht der betroffenen Komponenten

Gruppenbildung

Vereinfachen der Informationen durch Zusammenfassen gleicher Komponenten

Erhebung Komponenten

Ableiten der relevanten Komponenten

Erhebung Applikationen

Erfassen aller geschäftsrelevanten Applikationen

Erhebung Systeme pro Applikation

Übersicht, welche Komponenten für welche Applikation nötig sind

Netzplanerhebung Ein Netzplan stellt alle sicherheitsrelevanten Komponenten einer IT-Struktur in einer grafischen Übersicht dar.

Client- und Server-Computer, Netzkomponenten, Netzdrucker etc.

Netzverbindungen zwischen diesen Systemen, d.h. LAN-Verbindungen wie Ethernet, Weitstreckenverbindungen wie ATM etc.

Verbindungen des betrachteten Bereichs nach aussen

Zu jeder Komponente gehören folgende Informationen, die auch separat erfasst werden können:

Eine eindeutige Bezeichnung: Hostname oder eine Identifikationsnummer

Typ und Funktion: Datenbankserver für Anwendung X

Die zugrunde liegende Plattform: Hardware-Plattform und Betriebssystem

Der Standort: Gebäude- und Raumnummer

Der zuständige Administrator

Die Art der Netzanbindung und die Netzadresse

Gruppenbildung Gleichartige Komponenten zu einer Gruppe zusammenfassen. Komponenten können dann ein- und derselben Gruppe zugeordnet werden, wenn alle Komponenten…

vom gleichen Typ sind

gleich oder nahezu gleich konfiguriert sind

gleich oder nahezu gleich in das Netz eingebunden sind (z.B. am gleichen Switch)

den gleichen Rahmenbedingungen unterliegen und

die gleichen Anwendungen bedienen

S e i t e

| 10

Erhebung Komponenten Als nächster Schritt wird eine Liste der IT-Systeme in tabellarischer Form vom Netzplan abgeleitet. Der Begriff IT-System umfasst auch aktive Netzkomponenten, Netzdrucker etc. Zu erfassen sind die vernetzten als auch die nicht vernetzten IT-Systeme.

Nr.

Beschreibung

Plattform

Anz.

Ort

Status

Anwender/Admin

S1

Server 1

Windows

1 Bern

In Betrieb

Personalreferat

 

NT

S2

Server 2

Windows

1 Bern

In Betrieb

Alle IT-Anwender

 

NT

C6

Gruppe der

Windows

2 Zürich

In Betrieb

Alle IT-Anwender

Laptops für

95

den Standort

Zürich

Erhebung Applikationen Nun erfolgt die Erfassung der unternehmenswichtigen Applikationen. In der Regel werden folgende Anwendungen erfasst.

Anwendungen, deren Daten den höchstens Bedarf an Geheimhaltung besitzen

Anwendungen, deren Daten den höchsten Bedarf an Korrektheit und Unverfälschtheit besitzen

Anwendungen, welche die kürzeste tolerierbare Ausfallzeit haben

Anwendungsnummer

IT-Anwendung /

Personenbezogene Daten

Informationen

A1

Personaldatenverarbeitung

X

A4

Benutzer-Authentisierung

X

A5

Systemmanagement

Erhebung Komponenten pro Applikationen Sobald die geschäftsrelevanten Applikationen bestimmt sind, wird beschrieben, welche Applikation konkret auf welchen Systemen laufen.

Beschreibung der IT-Anwendungen

IT-Systeme

Anw.-Nr.

IT-Anwendung /

Personenbezogene

S1

S2

S3

S4

S5

S6

S7

Informationen

Daten

A1

Personaldatenverarbei

X

X

tung

A4

Benutzer-

X

X

X

Authentisierung

A5

Systemmanagement

X

A7

Zentrale

X

Dokumentenverwaltun

g

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung der in der Strukturanalyse erfassten IT-Struktur erfolgt in vier Schritten.

1. Definition der Schutzbedarfskategorien

2. Definition der Schadenszenario

3. Schutzbedarf der Komponenten ableiten

4. Schutzbedarf der Übertragungsstrecken und Räume

S e i t e

| 11

Schutzbedarfskategorien

Kategorie

Beschreibung

Niedrig bis mittel

Schadenauswirkungen sind begrenzt und überschaubar

Hoch

Schadenauswirkungen können beträchtlich sein

Sehr hoch

Schadenauswirkungen können ein existenziell bedrohliches, katastrophales Ausmass erreichen

Schutzbedarfsfeststellung für Anwendungen (IT-Applikationen)

IT-Anwendung

Schutzbedarfsfeststellung

Nr.

Bezeichnung

Pers.

Grundwert

Schutz

Begründung

 

Daten

bedarf

A1

Personaldatenverarbeitung

X

Vertraulichkeit

Hoch

Das bekanntwerden kann die Betroffenen erheblich beeinträchtigen.

   

Integrität

Mittel

Ein Fehler kann rasch erkannt und die Daten nachträglich korrigiert werden.

 

Verfügbarkeit

Mittel

A2

Sozialabgaben

X

Vertraulichkeit

Hoch

   

Integrität

Mittel

 

Verfügbarkeit

Mittel

Schutzbedarfsfeststellung für IT-Systeme

IT-System

Schutzbedarfsfeststellung

Nr.

Beschreibung

Grundwert

Schutzwert

Begründung

S1

Server

Vertraulichkeit

Hoch

Maximumprinzip

 

Integrität

Mittel

Maximumprinzip

Verfügbarkeit

Mittel

Maximumprinzip

S2

Domäne

Vertraulichkeit

Mittel

Maximumprinzip

 

Integrität

Hoch

Maximumprinzip

Verfügbarkeit

Mittel

Schutzbedarfsfeststellung für Kommunikationsverbindungen

Zur Identifikation der kritischen Verbindungen dient folge Betrachtungsweise:

Verbindungen, die Aussenverbindungen darstellen, d.h. Verbindungen, die über „unsicheren, öffentlichen Grund“ laufen.

Verbindungen mit hoch schutzbedürftigen Informationen

Zentrale Verbindung. Der Ausfall einer solchen Verbindung kann die Funktionsfähigkeit wesentlicher Teile der gesamten Informatik beeinträchtigen

Pro Kommunikationsverbindung werden folgende Informationen in einer Schlusstabelle eingetragen:

Verbindungsstrecke

Ob es sich um eine Aussenverbindung handelt

Ob der Schutzbedarf aus der Vertraulichkeit, Integrität oder Verfügbarkeit resultiert.

S e i t e

| 12

Kritisch aufgrund

Verbindung

1

2 hohe

3 hohe Integrität

4 hohe

Aussenverbindung

Vertraulichkeit

Verfügbarkeit

N1 – Internet

X

N5 – N6

x

S1 – N4

X

Schutzbedarfsfeststellung für Räume

Raum

 

IT

Schutzbedarf

Bezeichnung

Art

Lokatio

IT-

Vertraulichke

Integrität

Verfügba

 

n

Systeme/Datenträg

it

rkeit

 

er

R

U.02

Archiv

Bern

Backup-Daten-

Hoch

Hoch

Mittel

 

träger

R

1.01

Serverra

Bern

S1, N4

Hoch

Hoch

mittel

 

um

Interpretation der Ergebnisse

Kategorie

Beschreibung

Niedrig

Standard-Sicherheitsmassnahmen nach IT-Grundschutz sind im Allgemeinen ausreichend und angemessen.

Hoch

Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz, sind aber unter Umständen alleine nicht ausreichend. Weitergehende Massnahmen können auf Basis einer ergänzenden Sicherheitsanalyse ermittelt werden.

Sehr hoch

Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz, reichen aber alleine nicht aus.

Grundschutz-Modellierung

Jeder Baustein aus dem IT-Grundschutz wird einzeln betrachtet und entschieden, wann er für welche IT-Komponenten angewendet werden kann.

Sicherheitsanalyse

Bei der Sicherheitsanalyse werden IT-Komponenten mit hohem bis sehr hohem Schutzbedarf separat analysiert. Das Ergebnis der Sicherheitsanalyse sind besondere Bedrohungen und besondere Massnahmen. Diese werden als separater Baustein in das Grundschutzhandbuch bzw. Sicherheitskonzept eingefügt.

Basis-Sicherheitscheck

Der Basis-Sicherheitscheck überprüft die IT-Komponenten in Bezug auf die bereits vorhandenen Sicherheitsmassnahmen (Soll/Ist-Vergleich). Die Abweichungen gegenüber den empfohlenen Massnahmen werden in Realisierungsplan festgehalten.

Internet-Dienste

Die verschiedenen Internetdienste basieren auf dem Übertragungsprotokoll TCP/IP. Wenn man von TCP/IP spricht, ist nicht nur das Protokoll selbst gemeint. Es existieren Zusatzdienste wie SMTP (Simple Mail Transport Protocol) oder SNMP (Simple Network Management Protocol), die zusammen mit dem TCP/IP Protokoll die so genannte TCP/IP Protokollsuite bilden.

Web-Dienste: HTTP (Hypertext Transfer Protocol) Mail-Dienste: basierend auf SMTP

S e i t e

| 13

WWW-Server

WWW-Server dienen zum Publizieren von Informationen, basierend auf TCP/IP.

Festlegung einer WWW-Sicherheitsstrategie

Wer darf welche Informationen publizieren?

Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWW-Server publiziert werden?

Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden, das heisst, wer darf auf welche Informationen zugreifen

WWW-Sicherheitsstrategie für die WWW-Nutzung

Wer erhält WWW-Zugang?

Die Browser der Benutzer müssen so vorkonfiguriert sein, dass sie das grösste Mass an Sicherheit garantieren

Aus rechtlichen Gründen dürfen keine anstössigen Dateien publiziert, gespeichert oder nachgefragt werden. (White-List / Black-List)

Nach dem Download von Dateien sind diese explizit auf Computer-Viren zu überprüfen

Sicherer Betrieb eines WWW-Servers

Ein WWW-Server sollte keine unnötigen Netzdienste erhalten

Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden

Administration des WWW-Servers nur über eine sichere Verbindung

Bei der Konfiguration eines HTTP-Servers sollte die Option „Verzeichnisinhalt auflisten“ deaktiviert werden. Dies erlaubt dem Benutzer den ganzen Verzeichnisbaum mit Inhalt anzuzeigen.

Die Option „Symbolische Links“ sollte ebenfalls deaktiviert werden, da über diese Links auf Dateien ausserhalb des freigegebenen Webverzeichnisses zugegriffen werden kann.

Schutz der WWW-Dateien

Eventuelle Programmfehler ermöglichen Skripten den Zugriff auf darunter liegende Dateien. Um grösstmöglichen Schutz zu bieten, sollte das Skript nicht als Administrator laufen.

Auf einem typischen WWW-Server ändern sich nur die Prototolldateien. Um sicherzustellen, dass nicht unbemerkt Änderungen vorgenommen werden, werden Prüfsummen gebildet. Hierfür gibt es Programme (Bsp. Tripwire)

Der Zugriff kann auf frei wählbare IP-Adressen, Teilnetze oder Domänen beschränkt werden, wobei nummerische IP-Adressen nicht den grössten Schutz bieten. Ein Angreifer kann mittels IP-Spoofing IP-Pakete fälschen, um vorzugeben, von einem anderen IT-System zu kommen. Mit einer Firewall kann dies jedoch verhindert werden.

Es können benutzerspezifische IDs und Passwörter vergeben werden. Diese Kennwörter werden ausserhalb des Webservers (docroot) in einer eigenen Datei abgelegt.

Sicherheit von WWW-Browsern

Laden von Dateien Viren, Makro-Viren und trojanische Pferde stecken überall. Der Browser ist so zu konfigurieren, dass bei Dateitypen, die Makroviren enthalten können, die zugehörigen Anwendungen nicht automatisch gestartet werden.

Plug-Ins und Zusatzprogramme Einige Dateiformate benötigen zusätzlich noch Plug-Ins. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z.B. DLL-Dateien), die ins Plug-In-Verzeichnis geladen werden. Es dürfen keine Plug-Ins installiert werden, denen man nicht unbedingt vertrauen kann.

S e i t e

| 14

Cookies In Cookie-Dateien werden auf dem Rechner des Benutzers Informationen über besuchte WWW- Seiten, Passwörter und Benutzerverhalten gespeichert. Um das Anlegen von Cookie-Dateien zu verhindern, kann lokal eine leere Cookie-Datei angelegt werden und mit einem Sicherheitsschutz versehen werden.

Datensammlungen Das WWW hinterlässt Spuren, die dem Datenschutzgesetz (DSG) unterliegen. Solche Dateien sind auf Proxy-Servern (Zwischenspeicher) besonders sensibel, da auf Proxy-Servern die externen WWW- Zugriff aller Mitarbeiter protokolliert werden, inkl. IP des Clients, der die Anfrage gestartet hat und der nachgefragten URL.

Zugriff auf Client-Festplatte Bei einigen Browsern wird die Möglichkeit gegeben, aktiv auf die Festplatte des Benutzers zuzugreifen.

Regelungen Jeder Benutzer sollte vor der Nutzung von Internet-Diensten durch entsprechende Anweisungen verpflichtet werden, die aufgeführten Sicherheitsrichtlinien zu beachten.

E-Mail

Sicherheitspolitik festlegen

Das E-Mail-Programm muss so konfiguriert sein, dass Maximale Sicherheit erreicht wird. Benutzer dürfen diese Einstellungen nicht ändern.

Vor Übermittlung der Daten, muss der Benutzer identifiziert werden.

Zur Identifikation des Absenders werden „Signatures“ am Ende einer E-Mail eingefügt.

Die Dateiübertragung wird meist zu Verrechnungs- und Revisionszwecken protokolliert. Dabei sind die Datenschutzbestimmunen einzuhalten.

Regeln für Benutzer

Wenn E-Mails an mehrere Empfänger verschickt werden, sollte nicht der „CC“-Eintrag benutzt werden, sondern Verteilerlisten oder der „BCC“-Eintrag damit der Empfänger die anderen Empfänger der Mail nicht sehen können.

BCC = Blind Carbon Copy (Blindkopie)

Die Eingabe des Betreffs sollte immer ausgefüllt werden. Dies ermöglicht eine bessere Abgrenzung zu Spam-Mails.

Für ein- bzw. ausgehende Dateien sollte ein Virenscanner eingesetzt werden.

E-Mail-Adressen, Alias-Dateien und Verteilerlisten

Es muss eine Namenskonvention von E-Mailadressen erstellt werden, damit die Empfänger eindeutig identifiziert werden können. Dies erleichtert die Adressierung, können aber erraten werden und für Spam-Attacken eingesetzt werden.

Verteilerlisten sollten regelmässig auf Korrektheit und Aktualität überprüft werden.

Schutz vor Attacken

Mailbomben sind E-Mails, die absichtlich eingebaute Schadfunktionen beinhalten. Beispielsweise kann eine als Attachment mitversandte, komprimierte Datei, enthalten sein, die nach dem Auspacken Schaden zufügt.

Archive (komprimierte Dateien) oder EXE-Dateien sollten niemals ohne Prüfung entpackt oder geöffnet werden, bevor sie nicht in einer sicheren Umgebung geprüft wurden.

Durch Überhäufung mit Werbe-Mails oder durch absichtliche Überlastung durch eingehende Mails, kann das Mail-System blockiert werden.

Massnahmen gegen ungewollte Werbe-Mails bzw. Spam.

Auf dem Mail-Server bzw. der Firewall sollten Filter eingesetzt werden.

Es sollte festgelegt werden, ob Mitarbeiter Artikel in Newsgruppen ablegen dürfen, da dort die E- Mail-Accounts publik werden.

S e i t e

| 15

Sicherer Betrieb eines Mail-Systems

Der Mail-Server muss sicherstellen, dass lokale Mails der angeschlossenen Benutzer nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können.

Nur der Eigentürmer der Mailbox darf Zugriff auf seine Mailbox haben.

Eingehende Mails sollten an der Firewall oder am Mail-Server auf Viren überprüft werden.

Über Filterregeln können der Empfang oder die Weiterleitung bestimmter Mails verhindert werden.

Ein Mail-Server sollte davor geschützt sein, als Spam-Relay verwendet zu werden.

Die Benutzer sind darauf hinzuweisen, dass sie die Konfiguration nicht selbständig ändern dürfen.

Firewall

Die Firewall dient dazu, Dienste und Zugänge zu Netzwerken gegen Dritte zu schützen.

Es werden folgende Arten von Firewalls unterschieden:

Paket-Filter: Dies sind IT-Systeme mit spezieller Software, welche Informationen der unteren Schichten des OSI-Modells filtern und nach speziellen Regeln Pakete weiterleiten oder abfangen.

Application-Gateway: Der Application-Gateway schaut zusätzlich in die Pakete hinein und analysiert Nutzdaten.

Voraussetzungen für einen wirkungsvollen Schutz:

Jede Kommunikation muss ausnahmslos über die Firewall geführt werden

Die Firewall darf ausschliesslich als schützender Übergang zum internen Netz eingesetzt werden und auf der Firewall dürfen keine weiteren Dienste laufen (minimales Betriebssystem).

Die Administration erfolgt ausschliesslich über einen gesicherten Weg

Eine Firewall gestattet nur festgelegte Verbindungen.

Grenzen der Firewall:

Die Filterung von aktiven Inhalten (ActiveX-Controls, Java-Applets oder Scripting-Programmen) ist unter Umständen nur teilweise erfolgreich.

Sobald ein Benutzer eine Kommunikation über die Firewall herstellen darf, kann er über das verwendete Kommunikationsprotokoll beliebige andere Protokolle „tunneln“ (siehe Remote Access).

Filtersoftware ist häufig noch unausgereift.

Firewalls schützen nicht vor allen Denial-of-Service (DoS)-Attacken. DoS-Attacken haben zum Ziel, mit Überlastung oder falschen Protokolldaten ein System zu blockieren oder zum Absturz zu bringen und den Service zu verhindern.

Eine Firewall hat keinen Einfluss auf die Sicherheit der Kommunikation innerhalb eines Netzes.

Bestimmung der Sicherheitspolitik

Welche Informationen und Dienste dürfen durch die Firewall nach aussen hindurch bzw. nach innen hereingelassen werden.

Welche Informationen soll die Firewall verdecken.

Welche Authentisierungsverfahren sollen benutzt werden?

Welcher Datendurchsatz ist zu erwarten?

Organisatorische Regelungen

Es muss festgelegt werden, welche Informationen protokolliert werden und wer die Protokolle auswertet.

Benutzer müssen über ihre Rechte, insbesondere auch über den Umfang der Nutzdaten-Filterung umfassend informiert werden.

Angriffe auf die Firewall sollten nicht nur verhindert, sondern auch frühzeitig erkannt werden können.

Es ist zu klären, welche Aktionen bei einen Angriff gestartet werden

S e i t e

| 16

Filterregeln aufstellen

Die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.

Es müssen alle Rechner, die sich im inneren Netz befinden, berücksichtigt werden.

Es muss festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen.

Auswahl einer geeigneten Firewall-Architektur

Ausschliesslicher Einsatz eines Paket-Filters:

Diese Anordnung besteht aus einem Paket-Filter, die Informationen nach speziellen Regeln weiterleitet oder abweist.

nach speziellen Regeln weiterleitet oder abweist. • Dual-homed-Gateway: Besteht aus einem

Dual-homed-Gateway:

Besteht aus einem Application-Gateway, dass mit 2 Netz-Interface ausgerüstet ist und als alleiniger Übergang zwischen zwei Netzen eingesetzt wird.

alleiniger Übergang zwischen zwei Netzen eingesetzt wird. Problem: Wenn der Application-Gateway geknackt wird, steht

Problem: Wenn der Application-Gateway geknackt wird, steht das ganze Netz offen.

Screened-Subnet:

Beim Screened-Subnet handelt es sich um ein Teilnetz zwischen dem zu schützendem Netz und einem externen Netz, in dem Firewall-Komponenten für die Kontrolle der Verbindungen und Pakete sorgen.

Konfiguration 1

der Verbindungen und Pakete sorgen. Konfiguration 1 Konfiguration 2 Konfiguration 3 Vorteil von Konfiguration 1

Konfiguration 2

und Pakete sorgen. Konfiguration 1 Konfiguration 2 Konfiguration 3 Vorteil von Konfiguration 1 + 3 besteht

Konfiguration 3

sorgen. Konfiguration 1 Konfiguration 2 Konfiguration 3 Vorteil von Konfiguration 1 + 3 besteht darin, dass

Vorteil von Konfiguration 1 + 3 besteht darin, dass der Application-Gateway nicht ungeschützt im Netz steht. Bei Konfiguration 2 wird der Schutz durch einen nachgeschalteten Paket-Filter erhöht, wenn der Application-Gateway einem Angreifer zum Opfer fällt.

Kryptographie

Verschlüsselung Verschlüsselung dient dazu, eine Information so unkenntlich zu machen, dass diese von aussen nicht mehr eingesehen werden kann und auch keine Rückschlüsse auf deren Inhalt zulässt.

Dabei werden die einzelnen Zeichen eines Textes durch andere ausgetauscht (Substitution) und gleichzeitig bei guten Verfahren in der Reihenfolge vertauscht (Transposition).

S e i t e

| 17

Symmetrische Verschlüsselung Dabei besitzen sowohl der Absender wie auch der Empfänger den gleichen Schlüssel und sind so in der Lage eine Nachricht zu verschlüsseln und zu entschlüsseln. Dieses Verfahren ist extrem schnell und bietet eine gute Sicherheit.

Nachteil: Erhält ein Dritter Zugriff auf den Schlüssel kann er das Verfahren manipulieren.

Asymmetrische Verschlüsselung Dieses Verfahren besteht aus 2 verschiedenen Schlüsseln (A und B) die mit einem Schlüsselgenerator erstellt wurden und voneinander abhängig sind.

Eine Nachricht kann mit Schlüssel A verschlüsselt und nur mit Schlüssel B entschlüsselt werden, dasselbe ist auch umgekehrt möglich.

Schlüssel A: Privater Schlüssel Schlüssel B: Öffentlicher Schlüssel

Nachteil: Das Verfahren ist um den Faktor 1000 langsamer als die symmetrische Verschlüsselung.

Kombiniertes Verfahren Um Sicherheit und Performance zu vereinen, wird mit dem asymmetrischen Verfahren ein „Sitzungsschlüssel“ ausgehandelt und dann auf das symmetrische verfahren gewechselt. So kann auf sichere weise, der kritische symmetrische Schlüssel gewechselt werden.

Authentifikation Bei der Authentifikation kommt ebenfalls das Prinzip der asymmetrischen Verschlüsselung zum Tragen.

Elektronische Unterschrift

Um eine Nachricht elektronisch zu unterschreiben, gibt es die sogenannte Hash-Funktion. Diese Funktion stellt eine Art von Prüfsumme (Hash-Wert) dar, die keinen Rückschluss auf den Inhalt der Nachricht zulässt. Es wird niemals möglich sein, dass zwei verschiedene Nachrichten den gleichen Hash-Wert ergeben.

Funktionsprinzip der elektronischen Unterschrift

1. Absender bildet eine Nachricht

2. Absender erzeugt den Hash-Wert

3. Absender verschlüsselt den Hash-Wert mit dem privaten Schlüssel

4. Absender verschickt die Nachricht mit dem verschlüsselten Hash-Wert als Anhang

5. Empfänger erhält die Nachricht

6. Empfänger entschlüsselt den Hash-Wert mit dem öffentlichen Schlüssel

7. Empfänger bildet den gleichen Hash-Wert zur Kontrolle

8. Stimmen die Werte überein, wurde die Nachricht nicht verändert

Zertifikate

Es gibt Zertifizierungsstellen (einige wenige Organisationen), die den eigenen öffentlichen Schlüssel veröffentlichen. Die Stellen geben Zertifikate aus, worauf der öffentliche Schlüssel des Partners enthalten ist und somit sicherstellen, dass es sich um den wirklichen Partner handelt. Das ganze Zertifikat wird von der Zertifizierungsstelle elektronisch unterschrieben.

Remote Access System (Fernzugriff)

Das Remote Access System (RAS) ermöglicht den gesicherten Fernzugriff auf Netzwerkteile von ausserhalb des Unternehmens. Dazu stehen prinzipiell folgende Möglichkeiten zur Verfügung:

Anbindung einzelner Rechner an ein LAN „Direct Dial-In“ (Direkte Einwahl). Die RAS-Software wird auf dem Rechner des entfernten Benutzers installiert und er wählt sich auf den RAS-Server ein.

S e i t e

| 18

Anbindung eines Rechners oder eines LAN über Internet Ein eigener RAS-Server ist im Ziel-LAN nicht erforderlich, jedoch eine Firewall und eine starke Verschlüsselung.

Anbindung eines Rechners oder eines LAN über einen Service Provider Als Erweiterung kann die Anbindung eines Rechners oder eines LAN auch über eine spezielle Zugangsnummer eines Service Providers erfolgen.

Anforderungen an ein RAS

Benutzerführung Einfache Installation und bereits aktivierte Sicherheitsmechanismen

Protokollierung und Alarmierung Das System muss Alarme bei Unregelmässigkeiten und Attacken auslösen können.

Verschlüsselung Unterstützung der gängigen Verschlüsselungsverfahren.

Authentifikation Unterstützung der gängigen Authentifizierungsverfahren.

Einsatz geeigneter Tunneling-Verfahren

Eine der gängigsten Varianten ist das so genannte Virtual Private Network (VPN). Im Rahmen des VPN wird das Tunneling-Verfahren eingesetzt. Tunneling bedeutet, dass ein Protokoll in ein anderes Protokoll verpackt wird.

Funktionsprinzip des Tunnelings

Normale Verschlüsselung

Funktionsprinzip des Tunnelings Normale Verschlüsselung Tunneling Dieser Abbildung kann man entnehmen, dass Router C

Tunneling

des Tunnelings Normale Verschlüsselung Tunneling Dieser Abbildung kann man entnehmen, dass Router C das

Dieser Abbildung kann man entnehmen, dass Router C das komplette Datenpaket von PC A verschlüsselt und übers Internet an Router D schickt. Dieser packt das Datenpaket wieder aus und sendet es unverschlüsselt an PC B. Von aussen wird sichtbar, dass Router C mit Router D kommuniziert, aber nicht worüber gesprochen wird. Die beiden Router bilden den so genannten „Tunnel“.

Tunneling bei

RAS

bilden den so genannten „Tunnel“. Tunneling bei RAS Dieser Abbildung kann man entnehmen, dass PC A

Dieser Abbildung kann man entnehmen, dass PC A das komplette Datenpaket von PC A verschlüsselt und übers Internet an den RAS-Server C schickt. Dieser packt das Datenpaket wieder aus und sendet es unverschlüsselt an PC B. Von aussen wird sichtbar, dass PC A über das Modem mit dem RAS- Server kommuniziert, aber nicht worüber gesprochen wird.

S e i t e

| 19

Telearbeit

Telearbeit umfasst betriebliche Tätigkeiten, die ausserhalb des Unternehmens (z.B. zu Hause) durgeführt werden. Besondere Sicherheitsmassnehmen die zu beachten sind, sind folgende:

Der Telearbeiter ist zu verpflichten, regelmässig eine Datensicherung durchzuführen.

Es muss festgelegt werden, welche Daten auf welchem Weg übertragen werden bzw. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. Dabei muss die Integrität, Verfügbarkeit, Vertraulichkeit und Verbindlichkeit nachgewiesen werden können.

Die Art und Absicherung des Aktentransports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln.

Zugriffsrechte: Eine besonders restriktive Handhabung gilt beim Zugriffsrecht auf Dateien.

Betriebsmittel, Akten, Backup-Datenträger etc. müssen im häuslichen Bereich verschlossenen aufbewahrt werden.