Netzwerksicherheit - Eine Einführung

6.257 Aufrufe

Veröffentlicht am

Warum Netzwerksicherheit?
Welche Gefahren sind zu erwarten?
Was ist ein Sicherheitskonzept?
Welche Leitfäden oder Richtlinien kann ich nutzen?

Die Anworten finden Sie in dieser Präsentation.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
6.257
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4.233
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Netzwerksicherheit - Eine Einführung

  1. 1. Netzwerksicherheit – Eine Einführung 1/30copyright © 2015 by schlager communications services GmbH Netzwerksicherheit – Eine Einführung ronaldschlager.com © Ronald Schlager
  2. 2. Netzwerksicherheit – Eine Einführung 2/30copyright © 2015 by schlager communications services GmbH Übersicht  Zitate, Studien, Veröffentlichungen  Warum Sicherheit?  Gefahren  Sicherheitskonzept  Ronald Schlager´s Resources
  3. 3. Netzwerksicherheit – Eine Einführung 3/30copyright © 2015 by schlager communications services GmbH Zitate, Studien, Veröffentlichungen Es gibt keine 100%-ige Sicherheit, man kann lediglich die Gefahren minimieren!
  4. 4. Netzwerksicherheit – Eine Einführung 4/30copyright © 2015 by schlager communications services GmbH Zitate, Studien, Veröffentlichungen - Trends 
  5. 5. Netzwerksicherheit – Eine Einführung 5/30copyright © 2015 by schlager communications services GmbH Zitate, Studien, Veröffentlichungen – IT SecCity  Neue Themen:  Speichervirtualisierung  Cloud-Computing  Social Engineering-Attacken  E-Mail-Sicherheit  Datenmißbrauch auf Kollaborations-Plattformen  Mobile Endgeräte  Datenbackup  Privatsphäre in sozialen Netzen  Uva.
  6. 6. Netzwerksicherheit – Eine Einführung 6/30copyright © 2015 by schlager communications services GmbH Zitate, Studien, Veröffentlichungen – Trends 2014  Wichtige Security-Themen für 2014 lt. www.cio.de der IDG Business Media GmbH: Qualität der Cloud Bring your own everything Strengere Compliance Internet der Dinge Industrie 4.0 Sicherheit kritischer Infrastrukturen
  7. 7. Netzwerksicherheit – Eine Einführung 7/30copyright © 2015 by schlager communications services GmbH Zitate, Studien, Veröffentlichungen – Trends 2015  Wichtige Security-Themen für 2015 lt. www.cio.de der IDG Business Media GmbH: Botnets als professionelle Dienstleistung Industrie 4.0 und Internet der Dinge Sabotage Angriffe aus der Lieferkette Smartphones und mobile Endgeräte
  8. 8. Netzwerksicherheit – Eine Einführung 8/30copyright © 2015 by schlager communications services GmbH Warum Sicherheit?  Unternehmen, Behörden, Institute und manche Privatpersonen sind in immer größerem Maße von der IT abhängig  Kurzzeitiger Totalausfall der IT kann längerfristig zum Konkurs führen  Rekonstruktion von verlorenen Datenbeständen verursacht immense Kosten
  9. 9. Netzwerksicherheit – Eine Einführung 9/30copyright © 2015 by schlager communications services GmbH Warum Sicherheit?  Sicherheit wird oft vernachlässigt:  Kostet Geld  Kostet administrative Zeit  Behindert eigentliche Arbeit  Ziel:  Kompromiss zwischen Sicherheit und Behinderung  Abschätzung der Gefahren und der möglichen Schäden (Kosten!?)
  10. 10. Netzwerksicherheit – Eine Einführung 10/30copyright © 2015 by schlager communications services GmbH Warum Sicherheit?  Sicherheit ist Chefsache: Der Geschäftsführer/Unternehmer haftet für Schäden, die er abwenden hätte können Es sind geeignete Maßnahmen zu ergreifen, die Schäden vom Unternehmen abwenden
  11. 11. Netzwerksicherheit – Eine Einführung 11/30copyright © 2015 by schlager communications services GmbH Warum Sicherheit?  Sicherheit ist Chefsache - Begründung (Beispiele):
  12. 12. Netzwerksicherheit – Eine Einführung 12/30copyright © 2015 by schlager communications services GmbH Gefahren  Ein Teil der Schäden wird durch internes, berechtigtes Personal verursacht:  Zerstörung, Manipulationen, Spionage  Weiters sind diverse andere Ursachen für Datenverluste verantwortlich:  Defekte  Feuer, Wasser, Blitzschlag, ...  Abhilfe: organisatorische und menschliche Maßnahmen  Restlichen Schäden und Manipulationen erfolgen von innen und außen
  13. 13. Netzwerksicherheit – Eine Einführung 13/30copyright © 2015 by schlager communications services GmbH Gefahren - Beispiele
  14. 14. Netzwerksicherheit – Eine Einführung 14/30copyright © 2015 by schlager communications services GmbH Gefahren - Schwachstellen (lt. SANS Institute) Netzwerk OS Transport OS Libraries Applications NumberofVulnerabilities
  15. 15. Netzwerksicherheit – Eine Einführung 15/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept  Sicherheitskonzept definiert (allgmein):  Personelle Maßnahmen und Regeln:  Mitarbeiter, System- und Netzwerkbenutzer, Gäste  Aufnahme, Kündigung, Entlassung  Technische Maßnahmen:  Authentifizierung, Verschlüsselung,…  Hardware (z.B.: Firewalls, ...), Software (Antiviren)  Organisatorische Maßnahmen:  Schulungen, Verhaltensregeln, Berichtwesen,…
  16. 16. Netzwerksicherheit – Eine Einführung 16/30 Connectivity Performance Transparenz Zuverlässigk. Vertraulichk. Integrität copyright © 2015 by schlager communications services GmbH Sicherheitskonzept  Sicherheitskonzepte müssen ausgewogen sein:
  17. 17. Netzwerksicherheit – Eine Einführung 17/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept  Ist in schriftlicher Form festzuhalten  Ist für jeden Mitarbeiter verbindlich (auch Chefetage?), zugänglich, zu lesen und zu berücksichtigen  Sollte auch Checklisten enthalten  Für Systeme (Server, Arbeitsplatzrechner, Smartphones, Internet-Zugang, Notebooks, ...)  Beim Einstellen/Ausscheiden eines Mitarbeiters  usw.  Sicherheitskonzept ist mit Organisation, Resourcen und Technik umzusetzen  Umsetzung ist laufend zu kontrollieren!
  18. 18. Netzwerksicherheit – Eine Einführung 18/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Diverse RFCs (Beispiele):  Internet Service Provider Security Services and Procedures, RFC 3013  IP Security Policy (IPSP) Requirements, RFC 3586  Security Framework for Provider-Provisioned Virtual Private Networks (PPVPNs), RFC 4111  Security Architecture for the Internet Protocol, RFC 4301  IPv6 Transition/Co-existence Security Considerations, RFC 4942  Internet Security Glossary, Version 2, RFC 4949  Security Issues and Solutions in Peer-to-Peer Systems for Realtime Communications, RFC 5765  Security Concerns with IP Tunneling, RFC 6169  Security Assessment of the IPv4, RFC 6274
  19. 19. Netzwerksicherheit – Eine Einführung 19/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  NIST: Information Security Handbook: A Guide for Managers  Information Security Standards der ISO: ISO 27000 ff  IT Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI)  Österreichisches Informationssicherheitshandbuch (für die öffentliche Verwaltung, aber nicht nur!)  In Auftrag des Bundeskanzleramts (BKA)  Datenschutzgesetz 2010 (DSG 2010)
  20. 20. Netzwerksicherheit – Eine Einführung 20/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Beispiel: ISO 27001  Inhalt:  Management Responsibility  Internal Audits  ISMS Improvement  Annex A - Control objectives and controls  Annex B - OECD principles and this international standard  Annex C - Correspondence between ISO 9001, ISO 14001 and this standard
  21. 21. Netzwerksicherheit – Eine Einführung 21/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Beispiel: ISO 27002  Inhalt:  Structure  Risk Assessment and Treatment  Security Policy  Organization of Information Security  Asset Management  Human Resources Security  Physical Security
  22. 22. Netzwerksicherheit – Eine Einführung 22/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Beispiel: ISO 27002 (Fortsetzung)  Inhalt:  Communications and Ops Management  Access Control  Information Systems Acquisition, Development, Maintenance  Information Security Incident management  Business Continuity  Compliance
  23. 23. Netzwerksicherheit – Eine Einführung 23/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  IT-Grundschutz des BSI - Kataloge: Bausteine Übergreifende Aspekte Infrastruktur IT Systeme Netze Anwendungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware & Software Kommunikation Notfallsvorsorge Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen
  24. 24. Netzwerksicherheit – Eine Einführung 24/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Österreichisches Informationssicherheitshandbuch  Inhalt:  Einführung  Informationssicherheits-Management-System (ISMS)  Managementverantwortung und Aufgaben beim ISMS  Risikoanalyse  Informationssicherheits-Politik  Organisation  Vermögenswerte und Klassifizierung von Informationen  Personelle Sicherheit  Physische und umgebungsbezogene Sicherheit
  25. 25. Netzwerksicherheit – Eine Einführung 25/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Österreichisches Informationssicherheitshandbuch  Inhalt (Fortsetzung):  Sicherheitsmanagement in Kommunikation und Betrieb  Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung  Sicherheit in Entwicklung, Betrieb und Wartung eines IT- Systems  Sicherheitsvorfälle bzw. Informationssicherheits-Ereignisse (Incident Handling)  Disaster Recovery und Business Continuity  Security Compliance
  26. 26. Netzwerksicherheit – Eine Einführung 26/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Wichtige Security-Dokumente  Datenschutzgesetz 2000 / DSG 2010 - Inhalt:  Artikel 1 (Verfassungsbestimmung)  Artikel 2  1. Abschnitt: Allgemeines  2. Abschnitt: Verwendung von Daten  3. Abschnitt: Datensicherheit  4. Abschnitt: Publizität der Datenverarbeitungen  5. Abschnitt: Die Rechte des Betroffenen  6. Abschnitt: Rechtsschutz  7. Abschnitt: Kontrollorgane  8. Abschnitt: Besondere Verwendungszwecke von Daten  9. Abschnitt: Besondere Verwendungsarten von Daten  10. Abschnitt: Strafbestimmungen  11. Abschnitt: Übergangs- und Schlußbestimmungen
  27. 27. Netzwerksicherheit – Eine Einführung 27/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Betroffene Komponenten (Beispiele)
  28. 28. Netzwerksicherheit – Eine Einführung 28/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Technische Maßnahmen (Beispiele) Sicherheitspolitik, Sicherheitskonzept Updates Verschlüs- selung Filter Access Lists Authenti- fizierung Autho- risierung Proxies Firewalls Intrusion Detection/Prevention Systeme Network Forensic Systeme
  29. 29. Netzwerksicherheit – Eine Einführung 29/30copyright © 2015 by schlager communications services GmbH Sicherheitskonzept - Komponentenspezifische Probleme Sicherheitspolitik, Sicherheitskonzept Intrusion Detection/Prevention Systeme Network Forensic Systeme Authenti- fizierung Autho- risierung Proxies Firewalls Updates Verschlüs- selung Filter Access Lists
  30. 30. Netzwerksicherheit – Eine Einführung 30/30copyright © 2015 by schlager communications services GmbH Ronald Schlager´s Resources Vielen Dank für Ihren Besuch. Besuchen Sie Ronald Schlager´s Resources für mehr Informationen über Netzwerksicherheit: Seminar „Networking Security-Technologie – Teil I“ Seminar „Networking Security-Technologie – Teil II“ Web: Ronald Schlager´s Blog www.schlager-cs.co.at LinkedIn: https://at.linkedin.com/in/ronaldschlager/en

×