christian rian flo...intro duction to y securit ws20 | rische organisato sicherheit t echnische vs....

INSO � Industrial Software

Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien

Introdu tion to Se urity � VO 7:

Organisatoris he Si herheit/Si herheitsmanagement

Christian Brem, Florian Fankhauser

Introdu tion to Se urity WS20 | Organisatoris he Si herheit

Agenda

2 / 43

Einleitung

Beispiele Organisatoris her Si herheitsmaÿnahmen

Si herheitsmanagementprozess

(Se urity) Poli ies

PDCA-Modell

Standards und Normen zu IT-Si herheit

Si herheitskonzepte

Literatur


Te hnis he vs. organisatoris he Si herheit

3 / 43

■ Bestimmte Herausforderungen lassen si h besser bzw. nur dur h

organisatoris he Maÿnahmen lösen.

■ �If you think te hnology an solve your se urity problems, then you

don't understand the problems and you don't understand the

te hnology.� (B. S hneier)

■ Breiter Bogen unters hiedli her Aspekte


Beispiele für te hnis he Si herheitsmaÿnahmen

4 / 43

■ Usernamen/Passwörter

■ Firewall, Virens anner

■ Kryptographie

■ Vers hlüsselung

■ Elektronis he Signaturen

■ Hashes

■ Absi herung (drahtloser) Kommunikationswege (LAN, WLAN, et .)

mittels VPN/TLS

■ Si herheits-Pat hes und Systemhärtung (siehe Vorlesung zu

Betriebssystemsi herheit)

■ Sandbox-Systeme (siehe Vorlesung zu Betriebssystemsi herheit)


Organisatoris he Si herheitsaspekte

5 / 43

■ Primär der Aufbau des IT-Si herheits-Managements

(Si herheitsplanung)

■ GF: Formulierung einer IT-Si herheitsleitlinie (strategis he Aussagen)

■ Typis he Aufgaben sind z.B.

■ Eindeutige De�nition von Verantwortli hkeiten inklusive

Vertretungsregelungen sowie Kommunikationswege

■ IT-BenutzerInnen s hulen und für Si herheit sensibilisieren

■ Alle Maÿnahmen und Veränderungen dokumentieren

■ Regelmäÿige Audits

■ IT-Si herheit muss vom Management, den AdministratorInnen und

den IT-BenutzerInnen als fortlaufender Prozess verstanden und gelebt

werden!


Beispiele Organisatoris her

Si herheitsmaÿnahmen

6 / 43


S hulung von MitarbeiterInnen

7 / 43

■ MitarbeiterInnen brau hen eine ausrei hende Einführung und S hulung

■ Ziel ist Etablierung eines Si herheitsbewusstseins

■ Betri�t sowohl den si heren Umgang mit IT-Systemen, als au h

Unternehmensdaten

■ Regelmäÿige S hulungen und Si herheitssensibilisierungen

■ Re htzeitige Unterri htung der MitarbeiterInnen über Bedrohungen


Si herung von Daten

8 / 43

■ Verlust von Daten kann zu Eins hränkungen im Betrieb und

wirts haftli hen S häden führen

■ Daher: aktive Datensi herung (Ba kup)

■ Dur hführung regelmäÿiger Ba kups na h einem Ba kup-Plan

■ Bei wi htigen Daten evtl. au h Si herungskopien auÿerhalb des

Unternehmens

■ Regelmäÿige Kontrolle der Ba kups/Test der Wiederherstellung

gesi herter Daten (Restore)


Si heres Lös hen von Daten

9 / 43

■ Besonderer S hutz für sensible Daten

■ Lös hen na h Ende von Aufbewahrungsfristen, Hardwaretaus h et .

■ Häu�ger Fall: ausrangierte HDDs enthalten interne Zahlen,

KundInneninformationen, Zugangsdaten,. . .

■ Einfa hes Lös hen ni ht ausrei hend � Daten können oft

wiederhergestellt werden

■ Verwendung von spezieller Soft- und/oder Hardware zur Zerstörung,

z.B. thermis h, aktives Übers hreiben

■ Auslagerung an spezialisierte Unternehmen

■ Dur hgehende Anwendung von Vers hlüsselung

■ Berü ksi htigung von Ausdru ken/Papier-Unterlagen


Updates

10 / 43

■ Ständige Weiterentwi klung von S hadprogrammen, tw. mit sehr

hohem Gefährdungsgrad

■ Aufkommen neuer Te hnologien, die Angri�e ermögli hen oder die

Angri�swahrs heinli hkeit erhöhen

■ Laufende Updates der Risiko- und Bedrohungsanalysen

■ Zeitnahe Installation von Si herheitsupdates

■ Wartung eingesetzter Soft- und Hardware

■ → Prozesse


Dokumentation

11 / 43

■ Soft- und Hardware, Daten, Prozesse

■ Stetig aktuelle Dokumentation bildet oft Grundlage für Aufgaben

■ Einzuhaltende Si herheitsanforderungen

■ Kon�gurationen der (wi htigsten) Systeme

■ Servi enummern der (wi htigsten) IT-Lieferanten und IT-Dienstleister

■ Vertragli he Vereinbarungen, SLAs

■ Prozesse (Onboarding, O�boarding,. . . )

■ Bere htigungen

■ Mögli hst hoher Automatisierungsgrad


Überprüfung der Wirksamkeit von (organisatoris hen)


12 / 43

■ (Organisatoris he) Si herheitsmaÿnahmen und Vorgaben sind

regelmäÿig auf Einhaltung und Wirksamkeit zu überprüfen

■ → Dokumentation

■ Aktualität von Software/IT-Systemen

■ Einhaltung von Ri htlinien seitens der MitarbeiterInnen

■ Aktualität der Notfallpläne und Dokumentationen

■ Test dur h externe Dienstleister, z.B. Penetrationstests

■ Besteht die Erfordernis, müssen entspre hende Anpassungen

vorgenommen werden


Use Che klists

13 / 43

(Verglei he s hienestrasseluft.de, West Pharma euti al Servi es, In ., Tesla

Fa tory, Fremont (Maurizio Pes e), Curimedia)



14 / 43


Festlegung der IT-Si herheitsverantwortli hen-Rollen

15 / 43

■ Klare Regelung von Verantwortli hkeiten und Zuständigkeiten

■ Festlegung IT-Si herheitsverantwortli her (CISO) (und Vertretung)

dur h Management

■ Anspre hpartnerIn bei auftretenden Si herheitsproblemen

■ Typis he Rollen sind beispielsweise

■ Information Se urity Manager (Zentrale Koordination und

Anspre hperson für das Thema Si herheit)

■ Information Risk Manager (Erkennung, Bewertung, Management

von Risiken)

■ IT-Si herheitsbeauftragter (Umsetzung von

Si herheitsmaÿnahmen)

■ Datens hutzbeauftragter (S hutz personenbezogener Daten)


Se urity Poli ies

16 / 43

�Die Si herheitsri htlinie (engl. se urity poli y) eines Systems oder einer

organisatoris hen Einheit legt die Menge von te hnis hen und organisatori-

s hen Regeln, Verhaltensri htlinien, Verantwortli hkeiten und Rollen sowie

Maÿnahmen fest, um die angestrebten S hutzziele zu errei hen.�

�Jede Organisation ist frei, die für ihren ges häftli hen Kontext als

relevant era hteten Ziele individuell festzulegen. Diese Ziele sind zu

dokumentieren, was meist im Überbli k in einer Se urity Poli y erfolgt �

im Deuts hen meist als Si herheitsleitlinie bezei hnet.�

(Verglei he E kert, IT-Si herheit; Kersten, IT-Si herheitsmanagement na h der

neuen ISO 27001)


Inhalte von (Se urity) Poli ies

17 / 43

■ Angestrebte IT-Si herheitsziele

■ Verfolgte IT-Si herheitsstrategie

■ Anspru h und Aussage zuglei h, dass das IT-Si herheitsniveau auf

allen Ebenen der Organisation errei ht werden soll

■ Die Verantwortung für die Se urity Poli y unterliegt der

Unternehmens-/Behörden/. . . -leitung

■ Eine Poli y muss von der GF verabs hiedet und vorgelebt werden


Anforderungen an Poli ies

18 / 43

■ Vollständigkeit der Poli ies

■ Bekanntheit der Poli ies

■ Verständnis und aktives �Leben� der Poli ies

■ Laufende Überprüfung der Einhaltung von Poli ies


Si herheitsri htlinien für MitarbeiterInnen

19 / 43

■ Eines der gröÿten Risiken ist Fehlverhalten von MitarbeiterInnen

■ Poli ies enthalten Vorgaben, um diesem Risiko entgegenzuwirken,

bzw. dieses zu mindern

■ Bes hreibung wie si her und korrekt mit IT und deren Komponenten

umgegangen wird

■ Fortwährende Anpassung und Ergänzung aufgrund aktueller

Entwi klungen wi htig (z.B. Smartphones, BYOD)


Konkrete Beispiel-Poli ies: TU Wien

20 / 43

■ Betriebs- und Benutzungsordnung des Zentralen Informatikdienstes

(ZID) der TU Wien

■ Die Se urity Poli y der TU Wien

■ Benützungsregelung für die Servi es von TUNET

■ https://www.it.tuwien.a .at/student/a ounteinri htung/

https://www.it.tuwien.ac.at/student/accounteinrichtung/


Weitere Beispiele für mögli he Poli ies

21 / 43

■ Nutzung der IT und des Internets am Arbeitsplatz

■ Datens hutz

■ Zutritts-, Zugangs- und Zugri�ss hutz

■ Anlage/Deaktivierung bzw. Lös hung von A ounts

■ Verwendung von USB-Sti ks

■ Private Verwendung von Notebooks

■ Vers hlüsselung von Daten auf mobilen Clients

■ Externe Besu herInnen in Firmenräumen

■ Passwort-Poli y



22 / 43

■ Darstellung z.B. als PDCA-Modell

(Verglei he BSI-Standard 100-1: IT-Grunds hutz-Vorgehensweise)


Planung (Plan)

23 / 43

■ Planung und Installation eines Si herheitsmanagements anhand

Risiko-, Si herheits- und Unternehmenspolitik, der betriebli hen

Anforderungen sowie der gesetzli hen Vorgaben

■ De�nition Vorgehensmodell zu Si herheits-, Kontinuitäts- und

Risikopolitik

■ Erhebung der Si herheits- und Kontinuitätsanforderungen

■ Erstellung von Si herheits- und Kontinuitätsri htlinien

■ Entwi klung von Si herheitskonzepten

■ Planung der Dur hführung von Maÿnahmen


Betreiben (Do)

24 / 43

■ Einführung, Betrieb und Monitoring des Si herheitsmanagements

■ S hulung und Sensibilisierung von MitarbeiterInnen

■ Betrieb unter Berü ksi htigung der eingeführten Si herheits- und

Kontinuitätskonzepte

■ Messung und Überwa hung den Anforderungen entspre hend

(Erkennung & Alarmierung)

■ Sammlung von Controlling-Daten, Dur hführung von Ist-Soll

Verglei hen


Prüfung (Che k)

25 / 43

■ Prüfung des Si herheitsmanagements in regelmäÿigen Abständen

■ Tests

■ Audits

■ Übungen

■ Si herheitsprüfungen

■ Dokumentation, Analyse/Auswertung und Beri ht der Ergebnisse


Verbesserung (A t)

26 / 43

■ Weiterentwi klung des Si herheitsmanagements

■ Identi�zierung von Potenzial bzw. Änderungsbedarf

■ Adaptierung beispielsweise auf Grund

■ neuer Erkenntnisse

■ neuer Gesetze

■ Veränderungen der Umwelt

■ Priorisierung von Bedarfen und Erstellung einer Roadmap/eines

Projektplans zur Verbesserung


27 / 43

Wie s ha�en wir Vertrauen in die

IT-Si herheit einer

Organisation/eines Produkts?


Standards und Normen zu IT-Si herheit

28 / 43

■ Errei hung von Vertrauen in IT-Si herheit: Standards und Normen

■ Zerti�zierung

■ Na hweis eines bestimmten Levels an IT-Si herheit

■ Einmaliger Na hweis vs. regelmäÿiger erneuter Na hweis der

IT-Si herheit

■ Teilweise Grundlage für Vertragsbeziehungen

■ Fokus auf unters hiedli he Aspekte der IT-Si herheit

■ Betriebs-Prozesse, Entwi klungs-Prozesse, Fertigungs-Prozesse,

te hnis he Maÿnahmen

■ ISO 27k Reihe, IT-Grunds hutz, Common Criteria (CC), COBIT,

ITIL, PCI/DSS,. . .


Familie von Information Se urity Standards: ISO27k-Reihe

29 / 43

■ 27000: Übersi ht/Einführung ISO27k Standards inkl. verwendeter

Vokabeln

■ 27001: Information Se urity Management System (ISMS)

Anforderungen

■ 27005: Information Se urity Risk Management Standard

■ und viele weitere zu unters hiedli hsten Gebieten, teilweise no h in

Umsetzung


ISO 27001

30 / 43

■ Entwi kelt, um die Auswahl geeigneter und angemessener

Si herheitskontrollen dur hzuführen

■ Spezi�kation von Anforderungen an

Informationssi herheitsmanagementsysteme (ISMS)

■ Erri htung, Umsetzung, Betrieb, Überwa hung, Überprüfung,

Aufre hterhaltung und Verbesserung eines dokumentierten ISMS

■ Anwendbar auf Bedürfnisse von Organisationen jegli her Art, Gröÿe

oder Ausprägung oder Teile davon


Aspekte bei der Einführung eines ISMS na h ISO 27001

31 / 43

■ ISMS-Ri htlinie, die die Grundlagen des ISMS bes hreibt

■ Umfang des ISMS

■ Prozeduren und Maÿnahmen zur P�ege eines ISMS

■ Bes hreibung der Methoden zur Risikobewertung

■ Risikobewertung selbst

■ Plan zum Umgang mit Risiken

■ Dokumentation der Si herheitsmaÿnahmen und eine Bes hreibung

zum Na hweis der E�ektivität

■ Erklärung über die Anwendbarkeit der einzelnen


■ Evtl. weitere erforderli he Dokumente


IT-Grunds hutz: Idee und Konzeption

32 / 43

■ Herausgegeben vom BSI, Deuts hland

■ �Ko hbu h� für normales S hutzniveau

■ Praktikable Dur hführung von IT-Si herheitsanalysen

■ Kostene�ektive Erhöhung des IT-Si herheitsniveaus

■ S hnelle Identi�zierung von Si herheitsmaÿnahmen

■ S hnelle Umsetzung von Si herheitsmaÿnahmen

■ Angemessener S hutz dur h Kombination von organisatoris hen,

personellen, infrastrukturellen & te hnis hen Maÿnahmen

■ Verwendung eines Baukastenprinzips: Bausteine, Gefährdungen,

Maÿnahmen

■ Soll-Ist-Verglei h empfohlene und realisierte Maÿnahmen

■ Einfa he und arbeitsökonomis he Erstellung von

IT-Si herheitskonzepten


ITIL

33 / 43

■ Information Te hnology Infrastru ture Library

■ ITIL Si herheitsmanagement baut auf dem ISO 27001 Standard auf

■ Hinweise zu Best-Pra ti es

■ Ri htlinien was man wie umsetzen soll

■ Prozess-basiert

■ Optimierung des operativen Betriebs von IT-Servi es

■ Anwendung auf nahezu alle IT-Infrastrukturen mögli h

(Verglei he S. Weil: http://www.se urityfo us. om/info us/1815)

http://www.securityfocus.com/infocus/1815


Si herheitskonzepte

34 / 43


Inhalte eines IT-Si herheitskonzepts

35 / 43

■ Erforderli he Maÿnahmen zur

■ Realisierung und Aufre hterhaltung eines

■ angemessenen und de�nierten Si herheitsniveaus


Zu beantwortende Fragen in einem Si herheitskonzept

36 / 43

■ Was will i h s hützen?

■ Wogegen soll i h mi h s hützen?

■ Wie kann i h diesen S hutz erzielen?

■ Kann i h mir diesen S hutz leisten?


S hritte zur Erstellung eines Si herheitskonzeptes na h

IT-Grunds hutz

37 / 43

(Verglei he BSI-Standard 100-2: IT-Grunds hutz-Vorgehensweise)


Business Continuity (BC)

38 / 43

■ Mögli he und erforderli he Verfahren und Konzepte,

■ die bei Einwirkung existenzieller Bedrohungen

■ die Erhaltung der Ges häftstätigkeit ermögli hen.


Literatur und Web-Referenzen 1/3

39 / 43

■ Mutlaq Alotaibi, Steven Furnell, und Nathan Clarke. Information

se urity poli ies: A review of hallenges and in�uen ing fa tors. In

2016 11th International Conferen e for Internet Te hnology and

Se ured Transa tions (ICITST), Seiten 352�358, Dezember 2016.

doi: 10.1109/ICITST.2016.7856729

■ Claudia E kert. IT-Si herheit: Konzepte - Verfahren - Protokolle.

Oldenbourg, Mün hen, 9. Auflage, 2014. ISBN 978-3-486-77848-9

■ Hans-Peter Königs. IT-Risiko-Management mit System.

Vieweg+Teubner, Wiesbaden, 3. Auflage, 2009. ISBN

978-3-8348-0359-7



40 / 43

■ Heinri h Kersten, Gerhard Klett, Jürgen Reuter, und Klaus-Werner

S hröder. IT-Si herheitsmanagement na h der neuen ISO 27001.

Edition <kes>. Springer Vieweg, Wiesbaden. ISBN

978-3-658-14693-1

■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard

200-1: Managementsysteme für Informationssi herheit (ISMS), 2017a.

https://www.bsi.bund.de/grunds hutz

■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard

200-3: Risikoanalyse auf der Basis von IT-Grunds hutz, 2017b.

https://www.bsi.bund.de/grunds hutz

https://www.bsi.bund.de/grundschutz

https://www.bsi.bund.de/grundschutz



41 / 43

■ Matt Bishop. Introdu tion to Computer Se urity. Pearson Edu ation,

In , 2003. ISBN 0-321-24744-2

■ Ross Anderson. Se urity Engineering. A Guide to Building

Dependable Distributed Systems. Wiley Publishing, In ., 2. Auflage,

2008. ISBN 978-0-470-06852-6. http://www. l. am.a .uk/

~rja14/book.html

■ Gitlab. Postmortem of database outage of January 31, 2017.

https://about.gitlab. om/blog/2017/02/10/

postmortem-of-database-outage-of-january-31/

http://www.cl.cam.ac.uk/~rja14/book.html

http://www.cl.cam.ac.uk/~rja14/book.html

https://about.gitlab.com/blog/2017/02/10/postmortem-of-database-outage-of-january-31/

https://about.gitlab.com/blog/2017/02/10/postmortem-of-database-outage-of-january-31/


Zusammenfassung

42 / 43

■ Te hnis he vs. organisatoris he Si herheit

■ Beispiele für organisatoris he Si herheitsmaÿnahmen

■ Si herheitsmanagement und der dahinterliegende


■ (Se urity) Poli ies

■ Beispiele für Standards: ISO 27k, IT-Grunds hutz, ITIL

■ Si herheitskonzepte

■ Business Continuity

INSO � Industrial Software

Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien

Vielen Dank!

https://establishing-se urity.at/

https://establishing-security.at/

christian rian flo...intro duction to y securit ws20 | rische organisato sicherheit t echnische vs....

Documents