© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
IT-Compliance
Anforderungen an den Finanzsektor mit
neuen Sicherheitstechnologien einfacher
und kostengünstiger bewältigen
Alexander W. Köhler
Diplom-Mathematiker
Certified Information Systems Security Professional (CISSP)
Certified Cloud Security Expert (CCSK)
8. IIR-Bankenkongress, 19.-20.3.2013, Wien

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Agenda
• Zeit: 30 Minuten
• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen
• Gegebenheiten: Finanzen, Technik, Nutzer
• Vorgehensweise, Optionen
• Problemlösung
• Vergleichende Kennzahlen
• Security-by-Design, Trust-by-Design, Compliance-by-Design,
Privacy-by-Design
• Fallbeispiel 1: PCI DSS
• Fallbeispiel 2: Daten auf Mobilen Endgeräten
• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)
• Sichere Infrastrukturen (SecaaS; Soziale Netze)
• Wave Systems, das Unternehmen
• Konsequenzen und Zusammenfassung
2

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013
Informationssicherheit
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art
– Anzahl steigt
– Vernetzung wächst weiter
• Endgeräte befinden sich überwiegend
außerhalb des Firewall-Perimeters
(„Maginot-Linie“, Perimeter Defense)
• Die Grenze zwischen privaten und geschäftlich
genutzten Endgeräten verwischt zunehmend
(„Consumerization“, ByoD)
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität
– Gesetze und Vorschriften
– Bankenintern (Richtlinien, Eigenverantwortung)
3
Maginot-Linie

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013 - Motivationen
Das “Warum” und die Antworten
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:
Es lohnt sich
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art
– Anzahl nimmt zu: Die Benutzer/innen wollen es so
– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters
(„Maginot-Linie“, Perimeter Defense): Trend: Mobilität
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten
verwischt zunehmend: Die Benutzer/innen wollen es so
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität
– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren
– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns
4

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Gegebenheiten
• Hoher Schutz = hohe Kosten
• Hoher Schutz = hohe Investitionssicherheit
• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers
• Hoher Schutz = hoher Administrationsaufwand
• Aufwändigere Kontrollmechanismen = bessere Regelkonformität
– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk
– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,
mehr Appliances, etc.
5
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Von der “Gegebenheit” zum Ideal
6
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Vorgehensweise
Optionen
• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen
– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch
– Verlangt nach weiteren, inkrementellen Verbesserungen
– usw., usw., …
– Keine Änderungen an den Randbedingungen (IT-Umfeld)
7
• Änderungen der Randbedingungen
– Architektur
– Trusted Computing (Trusted Computing Group)
– “Security-by-Design”

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung
8
• Änderungen der Randbedingungen
– Architektur
– Trusted Computing (Trusted Computing Group)
– “Security-by-Design”
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform
aus ... wird:

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung, messbar mit “Vergleichenden Kennzahlen”
9
• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu
bewerten:
• RoSI: Return on Security Investment
• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)
• RoCI: Return on (Security Controls) for Compliance Investment
Das RoCI ist hier ↑ deutlich geringer als …. hier ↑
0
5
10
InvestSich
Kosten
(neg.)
Schutz
ArbeitsUmgB
eein (neg.)
AdminAufw
(neg.)
Regelkonfor
m
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeei
n (neg.)
AdminAufw
(neg.)
Regelkonform

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1
Security by Design
Security by Design

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
(SSD) Self Encrypting Drive
(SED)
O
P
A
L
&
F
I
P
S
Security by Design
Trusted Software Stack (TSS)
Trusted Network Connect (TNC)

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
2
Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted Platform
Module (TPM))
Self Encrypting
Drive (SED)
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
Trust by Design
600,000,000 TPMs

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
Encryption
3
Compliance by
Design
Audit & Compliance
Inspector Data
Loss Prevention
Protector Removable
Media, Port Control,
Wi-Fi, Bridging
2
Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted Platform
Module (TPM)
Self Encrypting
Drive (SED)
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
Privacy by Design

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
4
Privacy by Design
SW Encryption
3
Compliance by
Design
Proof of Compliance
Inspector Data
Loss Prevention
Protector Removable
Media, Port Control,
Wi-Fi, Bridging
2
Trust by Design
Direct Access
Seamless Integration
Next generation VPN
Virtual Smart Card
Key Storage Provider
Pre-Boot Authentication
Single Sign On /
Windows password sync
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
User Plug-in
Free for life
Enterprise
Group Management
DLP
Reporting
File Encryption
PKI Key Management
Privacy by Design –
Files-in-cloud, Data & Social Media Security
BIOS Integrity
Token integration
NAC
Zero touch
Audit, Reporting
& Compliance
MS Bitlocker mngt
MS XP-Win 7-8OS support

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität
PCI DSS
Wave Systems Protection Suite
• Daten klassifizieren, lokalisieren
• Datenfluss kontrollieren
– Verbindungen: LAN, WiFi, G3/LTE; USB, BT
– Inhalte: Dateien, eMails, Web, FTP
– Geräte: Flash Drives, Externe HDDs,
Smartphones, Kameras, Drucker, Brenner
• Automatisierte Verschlüsselung
• Berichtswesen zur Bewertung von Regelkonformität
• Granulare Kontrolle
• Richtlinienbasiert
15

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Wave Systems Protection Suite
16
Für PCI DSS relevante Schutzmechanismen
• Verhindert “Network Bridging”
• Zugelassene/nicht zugelassene WiFi-Verbindungen
• Zugelassene/nicht zugelassene, angeschlossene Geräte
• Initialeinstellungen auf abgeschaltete Ports
• Lokalisieren von zu schützenden Daten auf dem Endgerät
• Folgeaktionen aus Analyse: automatische Verschlüsselung
der Lokalität
• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen
Medien
• “Tagged CDs/DVD”
• Erzwingt Verschlüsselung des Datentransfers
• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
17

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
18

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.
• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn
» Verschlüsselung (“power-off” Schutz)
» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
19
– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*
– Vorteile: bekannt
– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen
– Hohe Kosten über den Lebenszyklus
– Mit mittlerem Aufwand umgehbarer Schutz
– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)
– Hoher Administrationsaufwand
– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen
– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.
• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn
» Verschlüsselung (“power-off” Schutz)
» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
20
– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*
– Vorteile: bekannt
– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen
– Hohe Kosten über den Lebenszyklus
– Mit mittlerem Aufwand umgehbarer Schutz
– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)
– Hoher Administrationsaufwand
– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen
– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw (neg.)
Regelkonform

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung, Fortschritt für die Anwender
21
Festplattenvollverschlüsselung, neue Methode*
– Vorteile:
– Industriestandard TCG, Opal
– Deutliche Kostenreduktion
– Komplexität und Aufwand Produkt
– Wegfall von Kostenblöcken (Verwertung)
– Prozesse von Stunden auf Sekunden verkürzt
– Schutz nur mit hohem Aufwand umgehbar
– Keine Beeinträchtigung der Arbeitsumgebung
– Reduzierter Administrationsaufwand
– Regelkonformität durch Design gegeben
– Beweisbarkeit vollautomatisiert sichergestellt
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des
Datenstroms durch Self Encrypting Drives (SEDs)

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung mit SEDs
22
Festplattenvollverschlüsselung mit Ver- und
Entschlüsselung des Datenstroms
durch Self Encrypting Drives (SEDs)
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform 0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw (neg.)
Regelkonform
aus... wird:

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
– Security-by-Design:
» TPM (Trusted Platform Module) : “power-on”-Schutz
» “Root of Trust”: Absolute Notwendigkeit zum
effizienten Schutz von Mobilen Endgeräten
» Die perfekte Waffe gegen APTs
» Kontrolle über die Integrität
der Plattform (“Trust-by-Design”)
» Virtuelle Smartcard macht physikalische
Smartcard überflüssig
» Auf über 600 Millionen Plattformen ohne
Zusatzkosten bereits verfügbar !!!
» Die Infrastruktur:
» Die Infrastruktur
23
Auguste Kerckhoffs
Nuth, Niederlande,
1835-1903Daten auf PCs, Tablets etc.
• Informationssicherheits-Prinzip
– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit
nur von der Geheimhaltung des Schlüssels abhängen”

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
24
Daten auf Tablets und anderen Plattformen
• Mit moderner Authentifizierung den Benutzerkomfort eines
Smartphones und Sicherheit eines Enterprise-PCs vereinen
– SSO; Hardware gesichert, keine Kennwörter mehr nötig
• Mehr denn je die Notwendigkeit für
– Security-by-Design
– Trusted Computing
– Compliance-by-Design
– Mobile Infrastruktur: Die Komplettlösung von Wave Systems

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Sichere Infrastrukturen ohne “Lost in Complexity”
25
Cloud Computing
• Bereitstellung von Managed Services (SecaaS)
– Vollständige zentrale Kontrolle ohne eigene Installation
• Kontrollierte und sichere Nutzung von Public Cloud Plattformen
(Storage-aaS, Soziale Netze)
– Dropbox
– Facebook usw.
– www.scrambls.com

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Konsequenzen und Zusammenfassung
• Die neuen Anforderungen an die IT und
TK (Cloud, ByoD (Gerätevielfalt), SOA,
Outsourcing) können mit Trusted Computing
und Security-by-Design bewältigt werden
• Bisher gültige Sachzwänge werden reduziert
bis aufgelöst
• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit
muss bereits in “P” einfliessen um die Vorteile nutzen zu können
• Vergleichende Kennzahlen machen Investitionen messbar
26

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wave Systems – führend in Mobilen Infrastrukturen
27
Gegründet 1988, Zentrale in Lee (Massachusetts)
• Portfolio: Mobile Infrastrukturen
• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit
• Weltweit die meisten Installationen und die größten:
BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000
Clients
• In der Industrie bekanntes Expertenteam
• Dr. Thibadeau, der Erfinder der SEDs
• Brian Berger, Exec VP und permanenter Direktor im Board von TCG
• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP
• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers
• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA,
Autor bei “Platform Information Security” und “All-About-Security”
• Alexander Koehler, Certified Information Systems Security Professional,
zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und
Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)
• … und weitere Kollegen in den jeweiligen Spezialgebieten

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wir danken für Ihre Aufmerksamkeit.
Wir stehen für Sie zur Verfügung:
28
• Kontakt Österreich:
• Erich Kronfuss
Geschäftsstellenleiter
ProSoft Software Vertriebs GmbH -
Office Austria
Jeneweingasse 6 | A-1210 Wien
• +43 1 27 27 27 -100
• erich.kronfuss@prosoft.at
• Kontakt Wave Systems:
• Alexander W. Koehler
• Excellent Business Center
Westhafenplatz 1
D-60327 Frankfurt
• akoehler@wave.com
• Tel. +49 69 95932393