© 2013 Wave Systems Corp. Confidential. All Rights Reserved.IT-ComplianceAnforderungen an den Finanzsektor mitneuen Sicher...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Agenda• Zeit: 30 Minuten• Ausgangslage: Fokus und gemeinsames ...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013Informationssicherheit• Bedrohungen, die ...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013 - MotivationenDas “Warum” und die Antwor...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitGegebenheiten• Hoher Schutz = hohe Koste...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitVon der “Gegebenheit” zum Ideal60246810I...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.VorgehensweiseOptionen• Weitere technische Maßnahmen (Produkte...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlösung8• Änderungen der Randbedingungen– Architektur– T...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlösung, messbar mit “Vergleichenden Kennzahlen”9• Ander...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.1Security by DesignSecurity by Design
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule ...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMsEncryption3Compliance byDesignAudit & Complian...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMs4Privacy by DesignSW Encryption3Compliance byD...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Praxis: Produkt zur Umsetzung von PCI DSS RegelkonformitätPCI ...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Wave Systems Protection Suite16Für PCI DSS relevan...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite17
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite18
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Mobilen EndgerätenDaten auf Notebo...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Mobilen EndgerätenDaten auf Notebo...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlüsselung, Fortschritt für die Anwender21...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlüsselung mit SEDs22Festplattenvollversch...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Endgeräten– Security-by-Design:» T...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Endgeräten24Daten auf Tablets und ...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Sichere Infrastrukturen ohne “Lost in Complexity”25Cloud Compu...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Konsequenzen und Zusammenfassung• Die neuen Anforderungen an d...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wave Systems – führend in Mobilen Infrastrukturen27Gegründet 1...
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wir danken für Ihre Aufmerksamkeit.Wir stehen für Sie zur Verf...
Nächste SlideShare
Wird geladen in …5
×

Regelkonformität durch neue Architekturen

1.536 Aufrufe

Veröffentlicht am

Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt.
Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.536
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Anyway, the Trusted Computing Group standards has technology such as a Trust Platform Module and Self Encrypting Drive. OPAL and TIPS certified. And that’s the base for a Security by Design concept. Why Security by Design? Because past security architectures have not been successful in securing our current day landscapes.
  • So Security by Design, as like cars – you don’t send out a car to a shop and then go to another shop and buy yourself an airbag, buy yourself a brig(?) and myself yourself a steering wheel – it’s already built in. That is the vision of what we need to do with IT. Secure ourselves and protect ourselves against current day threats. Trust by Design gives them all the additional application features that you can pull into this silicone based security architecture and then on top you can manage that with homemade solutions.
  • Wave Systems traditionally have these two pillars in their portfolio. We acquired a company called Safend and we are building Scramblis Enterprise which delivers the fourth pillar of our strategy which is Privacy by Design. Privacy by Design extends these capabilities that covers against today’s mundane advanced system threats and adds, expands the security of data communication and policies in the social media infrastructure.
  • So there’s a lot of additional value in this new positioning that is up and coming; this one is right there, it’s in a lounge(?) and has won all those awards and this one is now being built.
  • Regelkonformität durch neue Architekturen

    1. 1. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.IT-ComplianceAnforderungen an den Finanzsektor mitneuen Sicherheitstechnologien einfacherund kostengünstiger bewältigenAlexander W. KöhlerDiplom-MathematikerCertified Information Systems Security Professional (CISSP)Certified Cloud Security Expert (CCSK)8. IIR-Bankenkongress, 19.-20.3.2013, Wien
    2. 2. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Agenda• Zeit: 30 Minuten• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen• Gegebenheiten: Finanzen, Technik, Nutzer• Vorgehensweise, Optionen• Problemlösung• Vergleichende Kennzahlen• Security-by-Design, Trust-by-Design, Compliance-by-Design,Privacy-by-Design• Fallbeispiel 1: PCI DSS• Fallbeispiel 2: Daten auf Mobilen Endgeräten• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)• Sichere Infrastrukturen (SecaaS; Soziale Netze)• Wave Systems, das Unternehmen• Konsequenzen und Zusammenfassung2
    3. 3. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013Informationssicherheit• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl steigt– Vernetzung wächst weiter• Endgeräte befinden sich überwiegendaußerhalb des Firewall-Perimeters(„Maginot-Linie“, Perimeter Defense)• Die Grenze zwischen privaten und geschäftlichgenutzten Endgeräten verwischt zunehmend(„Consumerization“, ByoD)• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften– Bankenintern (Richtlinien, Eigenverantwortung)3Maginot-Linie
    4. 4. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013 - MotivationenDas “Warum” und die Antworten• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:Es lohnt sich• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl nimmt zu: Die Benutzer/innen wollen es so– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters(„Maginot-Linie“, Perimeter Defense): Trend: Mobilität• Die Grenze zwischen privaten und geschäftlich genutzten Endgerätenverwischt zunehmend: Die Benutzer/innen wollen es so• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns4
    5. 5. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitGegebenheiten• Hoher Schutz = hohe Kosten• Hoher Schutz = hohe Investitionssicherheit• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers• Hoher Schutz = hoher Administrationsaufwand• Aufwändigere Kontrollmechanismen = bessere Regelkonformität– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,mehr Appliances, etc.50246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
    6. 6. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitVon der “Gegebenheit” zum Ideal60246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
    7. 7. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.VorgehensweiseOptionen• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch– Verlangt nach weiteren, inkrementellen Verbesserungen– usw., usw., …– Keine Änderungen an den Randbedingungen (IT-Umfeld)7• Änderungen der Randbedingungen– Architektur– Trusted Computing (Trusted Computing Group)– “Security-by-Design”
    8. 8. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlösung8• Änderungen der Randbedingungen– Architektur– Trusted Computing (Trusted Computing Group)– “Security-by-Design”0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonformaus ... wird:
    9. 9. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlösung, messbar mit “Vergleichenden Kennzahlen”9• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zubewerten:• RoSI: Return on Security Investment• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)• RoCI: Return on (Security Controls) for Compliance InvestmentDas RoCI ist hier ↑ deutlich geringer als …. hier ↑0510InvestSichKosten(neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform0510InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform
    10. 10. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.1Security by DesignSecurity by Design
    11. 11. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)(SSD) Self Encrypting Drive(SED)OPAL&FIPSSecurity by DesignTrusted Software Stack (TSS)Trusted Network Connect (TNC)
    12. 12. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM))Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSTrust by Design600,000,000 TPMs
    13. 13. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMsEncryption3Compliance byDesignAudit & ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM)Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSPrivacy by Design
    14. 14. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMs4Privacy by DesignSW Encryption3Compliance byDesignProof of ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignDirect AccessSeamless IntegrationNext generation VPNVirtual Smart CardKey Storage ProviderPre-Boot AuthenticationSingle Sign On /Windows password syncSecurity by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSUser Plug-inFree for lifeEnterpriseGroup ManagementDLPReportingFile EncryptionPKI Key ManagementPrivacy by Design –Files-in-cloud, Data & Social Media SecurityBIOS IntegrityToken integrationNACZero touchAudit, Reporting& ComplianceMS Bitlocker mngtMS XP-Win 7-8OS support
    15. 15. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Praxis: Produkt zur Umsetzung von PCI DSS RegelkonformitätPCI DSSWave Systems Protection Suite• Daten klassifizieren, lokalisieren• Datenfluss kontrollieren– Verbindungen: LAN, WiFi, G3/LTE; USB, BT– Inhalte: Dateien, eMails, Web, FTP– Geräte: Flash Drives, Externe HDDs,Smartphones, Kameras, Drucker, Brenner• Automatisierte Verschlüsselung• Berichtswesen zur Bewertung von Regelkonformität• Granulare Kontrolle• Richtlinienbasiert15
    16. 16. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Wave Systems Protection Suite16Für PCI DSS relevante Schutzmechanismen• Verhindert “Network Bridging”• Zugelassene/nicht zugelassene WiFi-Verbindungen• Zugelassene/nicht zugelassene, angeschlossene Geräte• Initialeinstellungen auf abgeschaltete Ports• Lokalisieren von zu schützenden Daten auf dem Endgerät• Folgeaktionen aus Analyse: automatische Verschlüsselungder Lokalität• Verhindert Extrahieren von schützenswerten Daten mittels beweglichenMedien• “Tagged CDs/DVD”• Erzwingt Verschlüsselung des Datentransfers• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern
    17. 17. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite17
    18. 18. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite18
    19. 19. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Mobilen EndgerätenDaten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein19– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
    20. 20. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Mobilen EndgerätenDaten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein20– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw (neg.)Regelkonform
    21. 21. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlüsselung, Fortschritt für die Anwender21Festplattenvollverschlüsselung, neue Methode*– Vorteile:– Industriestandard TCG, Opal– Deutliche Kostenreduktion– Komplexität und Aufwand Produkt– Wegfall von Kostenblöcken (Verwertung)– Prozesse von Stunden auf Sekunden verkürzt– Schutz nur mit hohem Aufwand umgehbar– Keine Beeinträchtigung der Arbeitsumgebung– Reduzierter Administrationsaufwand– Regelkonformität durch Design gegeben– Beweisbarkeit vollautomatisiert sichergestellt* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung desDatenstroms durch Self Encrypting Drives (SEDs)
    22. 22. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlüsselung mit SEDs22Festplattenvollverschlüsselung mit Ver- undEntschlüsselung des Datenstromsdurch Self Encrypting Drives (SEDs)0510InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonform 0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw (neg.)Regelkonformaus... wird:
    23. 23. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Endgeräten– Security-by-Design:» TPM (Trusted Platform Module) : “power-on”-Schutz» “Root of Trust”: Absolute Notwendigkeit zumeffizienten Schutz von Mobilen Endgeräten» Die perfekte Waffe gegen APTs» Kontrolle über die Integritätder Plattform (“Trust-by-Design”)» Virtuelle Smartcard macht physikalischeSmartcard überflüssig» Auf über 600 Millionen Plattformen ohneZusatzkosten bereits verfügbar !!!» Die Infrastruktur:» Die Infrastruktur23Auguste KerckhoffsNuth, Niederlande,1835-1903Daten auf PCs, Tablets etc.• Informationssicherheits-Prinzip– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheitnur von der Geheimhaltung des Schlüssels abhängen”
    24. 24. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformität: Daten auf Endgeräten24Daten auf Tablets und anderen Plattformen• Mit moderner Authentifizierung den Benutzerkomfort einesSmartphones und Sicherheit eines Enterprise-PCs vereinen– SSO; Hardware gesichert, keine Kennwörter mehr nötig• Mehr denn je die Notwendigkeit für– Security-by-Design– Trusted Computing– Compliance-by-Design– Mobile Infrastruktur: Die Komplettlösung von Wave Systems
    25. 25. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Sichere Infrastrukturen ohne “Lost in Complexity”25Cloud Computing• Bereitstellung von Managed Services (SecaaS)– Vollständige zentrale Kontrolle ohne eigene Installation• Kontrollierte und sichere Nutzung von Public Cloud Plattformen(Storage-aaS, Soziale Netze)– Dropbox– Facebook usw.– www.scrambls.com
    26. 26. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Konsequenzen und Zusammenfassung• Die neuen Anforderungen an die IT undTK (Cloud, ByoD (Gerätevielfalt), SOA,Outsourcing) können mit Trusted Computingund Security-by-Design bewältigt werden• Bisher gültige Sachzwänge werden reduziertbis aufgelöst• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheitmuss bereits in “P” einfliessen um die Vorteile nutzen zu können• Vergleichende Kennzahlen machen Investitionen messbar26
    27. 27. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wave Systems – führend in Mobilen Infrastrukturen27Gegründet 1988, Zentrale in Lee (Massachusetts)• Portfolio: Mobile Infrastrukturen• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit• Weltweit die meisten Installationen und die größten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000Clients• In der Industrie bekanntes Expertenteam• Dr. Thibadeau, der Erfinder der SEDs• Brian Berger, Exec VP und permanenter Direktor im Board von TCG• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA,Autor bei “Platform Information Security” und “All-About-Security”• Alexander Koehler, Certified Information Systems Security Professional,zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor undVortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)• … und weitere Kollegen in den jeweiligen Spezialgebieten
    28. 28. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wir danken für Ihre Aufmerksamkeit.Wir stehen für Sie zur Verfügung:28• Kontakt Österreich:• Erich KronfussGeschäftsstellenleiterProSoft Software Vertriebs GmbH -Office AustriaJeneweingasse 6 | A-1210 Wien• +43 1 27 27 27 -100• erich.kronfuss@prosoft.at• Kontakt Wave Systems:• Alexander W. Koehler• Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt• akoehler@wave.com• Tel. +49 69 95932393

    ×