Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren.
Video auf youtube:
https://youtu.be/Sfs-plMfB1s
Blogbeitrag:
https://cbrell.de/blog/informationssicherheitsmanagement/
Prof. Dr. Claus Brell
2. Warum Informationssicherheitsmanagement? 2
Kein Problem. Wir brauchen einfach
eine Firewall, dann verbieten wir den
Mitarbeitern das Internet und kaufen
die Überwachungssoftware
“totsicherSuite“ …
Was läuft hier falsch?
Wir müssen IRGEND ETWAS tun. Man
liest ja immer von Hackern und
Datenschutzproblemen …
Aber wir haben doch gar keine PCs …
Brauchen wir das trotzdem?
Die unsichere Geschäftsführerin Der IT-Spezialist
3. Warum Informationssicherheitsmanagement
Gesetzliche Verpflichtung:
• Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt
veröffentlicht.
• Am 2.5.2016 wurde die Verordnung zur Bestimmung kritischer Infrastrukturen
nach dem BSI-Gesetz (BSI-KritisV) im Bundesgesetzblatt (BGBl. I Nr. 20, S.
958ff.) veröffentlicht.
• Anwendungsgebiet: Kritische Infrastrukturen. Kritische Infrastrukturen
(KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für
das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
(Versorgungsunternehmen, Krankenhäuser ... )
Selbstschutz in Unternehmen:
Daten sind das Rückgrat der meisten Unternehmen:
• Verfügbarkeit
• Vertraulichkeit
• Integrität (Korrektheit)
Informationssicherheitsmanagement, um Risiken in Unternehmen zu
mindern.
3
4. Begriffe
Informationssicherheit
hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft.
- Informationen auf Papier
- Informationen in Rechnersystemen
- Informationen in den Köpfen der Menschen.
IT-Sicherheit beschäftigt sich mit dem Schutz elektronisch
gespeicherter Informationen und deren Verarbeitung.
Informationssicherheit umfasst die IT-Sicherheit.
4
6. Warum nicht nur eine Firewall kaufen?
Informationen:
- Sind wichtige Werte für Unternehmen.
- müssen angemessen geschützt werden.
- Viele Informationen werden mit Informationstechnik (IT) erstellt,
gespeichert, transportiert oder weiterverarbeitet.
- Optimierung des Informationssicherheitsmanagements ist
effektiver als Investitionen in Sicherheitstechnik.
6
7. Wo liegen „kritische“ Informationen - Einfallstore
Speicherorte Wissen:
Informationen
und
BewertungenDaten
und Metadaten:
Informationen
Social
Engineering
Hacking,
Phishing,
…
„Einfallstor Maschine“
„Einfallstor Mensch“
„Einfallstor Räume und Dinge“
Drei Einfallstore:
7
8. Was ist Social Engineering?
Social Engineering
zwischenmenschliche Beeinflussungen
Ziel: Bei Personen bestimmte Verhalten hervorzurufen:
• Preisgabe von vertraulichen Informationen
• Kauf eines Produktes
• Freigabe von Finanzmitteln.
Social Engineers:
spionieren das persönliche Umfeld ihres Opfers aus
täuschen Identitäten vor
nutzen Verhaltensweisen wie Autoritätshörigkeit aus.
Ziel: geheime Informationen oder unbezahlte Dienstleistungen erlangen.
Social Engineering als Vorbereitung (Social Hacking):
Ziel: Eindringen in ein fremdes Computersystem
8
9. Drei Methoden des Social Engineering
Computer Based Social Engineering
Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit
technischen Hilfsmitteln beschafft (Manipulierte Internetseiten, Mailanhänge oder
Popup-Fenster mit Eingabefeldern)
Human Based Social Engineering
Beim „Human-Based Social Engineering“ werden die Informationen auf nicht-
technischem Weg über die soziale Annäherung an Personen beschafft.
Beispiel: Der Angreifer gibt sich als Supportmitarbeiter aus und hinterlässt für
Probleme seine Kontaktdaten. Danach sorgt er für ein Problem mit dem Ziel, dass
das Opfer ihn kontaktiert.
Reverse Social Engineering
Anwender wird dazu gebracht, Informationen freiwillig und aktiv an den Angreifer
zu übermitteln.
9
10. Mensch als Risikofaktor
Passwörter sind wie Unterhosen:
• Wechseln Sie sie oft
• Teilen Sie sie nicht mit anderen
• Je länger desto besser
• Lassen Sie sie nicht herumliegen
10
Gefahrenpunkt „neue Kultur der Smartphonenutzung“
Attraktive Apps fordern Berechtigungen, die für das Funktionieren offensichtlich
nicht erforderlich sind.
z.B.: Kontaktverzeichnis wird ausgelesen und auf einen Server hochgeladen.
Berechtigungen werden vom Anwender trotz Kenntnis der Bedrohung gegeben.
Rechte Dritter werden damit verletzt.
Prominente Beispiele / Apps:
• Angry Birds
• Whats App
• Taschenlampe
11. Wie bekommt ein Angreifer Zugriff auf Ihr Ebay-Konto?
Ist das die richtige Frage?
Wie bekommt ein Angreifer Zugriff auf viele beliebige Ebay-Konten?
1. Man nehme ein paar Passwörter aus der Hitliste beliebter Passwörter.
Z.B. „Sommer04“, „Schatzi“, …
2. Man besorge sich über ein Script ein paar tausend Ebay-Nutzernamen
z.B. über die Bewertungen…
3. Man versuche, sich auf jedem mit den Passworten einzuloggen.
Maßnahme, damit man nicht zu den Betroffenen gehört: gutes Passwort.
11
12. Schutzziele der Informationssicherheit –
Vertraulichkeit, Integrität, Verfügbarkeit
eine bestimmte
Information
dem zuständigen
Anwender
Schutz der
Vertraulichkeit
Unversehrtheit
und
Korrektheit
der Daten
Schutz der
Integrität
zur rechten Zeit
am
rechten Ort
Schutz der
Verfügbarkeit
Informationssicherheit
12
13. Aufwand und Sicherheitszuwachs
Wichtig ist: Mit Informationssicherheit überhaupt anfangen.
Der größte Zuwachs an Sicherheit wird am Anfang erzielt.
100 % Sicherheit
ist prinzipiell
nicht erreichbar.
Das Risiko
kann lediglich
auf ein
definiertes Maß
gesenkt werden.
BSI Grundschutzkataloge
13
15. Was ist Risiko?
Risiko = Schadenshöhe x Schadenseintrittswahrscheinlichkeit
Schritte bei der Risikobewertung:
• Schätzung der Schadenshöhe
• Schätzung Schadenseintrittswahrscheinlichkeit
• Bewertung der Risiken in €
Achtung: immaterielle Risiken (Ansehensverlust…) mitbewerten.
15
16. Risikominimierung 16
Zwei Möglichkeiten der Risikominimierung:
1. Senkung der Schadenshöhe
2. Senkung der Schadenseintrittswahrscheinlichkeit
Reduktion des Risikos auf Null ist nicht möglich.
Ausgaben für Risikominimierung < Risiko (Return of Invest)
Beispiel:
Schaden für einmalige Korrumpierung der Webseite: etwa 10.000 Euro
Auftretenswahrscheinlichkeit einmal pro 2 Jahre.
Jahreskosten für Maßnahmen < 10.000 Euro *0,5 pro Jahr
Letzter Schritt: Risikominimierung durch Sicherheitsmaßnahmen.
17. Schritte zum Informationssicherheitsmanagement 17
Erfassung des Informationsverbundes
(Topologie, Verfahren und Module)
Feststellung des Schutzbedarfes
Erstellung der Sicherheitsleitlinie
bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/ISMS/Um
setzungshinweise_zum_Baustein_ISMS_1_Sicherheitsmanagement.html
Maßnahmen Planung
Maßnahmen Implementierung
Überprüfung der Wirksamkeit Initiierung:Projekt
Betrieb:Kontinuierlicher
Verbesserungsprozess
19. Übungsaufgabe
Problembeschreibung:
Frau Tausendschön, Sachbearbeiterin der kleinen Partnervermittlungsagentur
„Ewige Treue GmbH“ muss einmal im Quartal alle Kundendaten (gut situierte
Personen auf Partnersuche) zum Dienstleister Bermuda-Data-GbR für die
automatisierte Abrechnung schicken. Der Dienstleister möchte die Daten gerne via
Mail bekommen. Bisher hat Frau Tausendschön die Daten als Excel-Datei mit
Namen Kundendaten-Partnervermittlung-ewige-Treue.xls als Mail-Anhang über
ihren privaten Webmail-Account an den Dienstleister verschickt. Der
Firmengründerin von Ewige-Treue-GmbH kommen nun Zweifel, ob Ihren Kunden
das gefällt und bittet Sie (als Berater/in), einmal mit Frau Tausendschön zu
sprechen.
Aufgabe:
Diskutieren Sie:
1.Frage: Wie bewerten Sie das Vorgehen von Frau Tausendschön. Kann mit den
Daten etwas passieren?
2.Frage: Wie würden Sie das Risiko, wenn es eins gibt, abschätzen? (Spekulieren
Sie und machen Sie Annahmen.)
3. Frage: Was schlagen Sie Frau Tausendschön als Maßnahme vor, was sie
zukünftig tun soll?
19
20. Verständnisfragen
1. Welche drei Schutzziele hat Informationssicherheit?
2. Welche drei sicherheitskritischen "Einfallstore" für Angreifer hinsichtlich
der Informationssicherheit gibt es?
3. In welchen Schritten gelangt man zu
Informationssicherheitsmanagement?
4. Was hat Informationssicherheitsmanagement mit PDCA zu tun?
5. Was ist „Risiko“?
6. Wie kann man die sinnvolle Größenordnung von Investitionen in
Informationssicherheit abschätzen?
20
21. Literatur und Links 21
[1] Abts/Mülder (2011) Grundkurs Wirtschaftsinformatik . 7. Auflage 2011,
S. 465-467, 471-472, 481-482, 488-489
[2] Hansen, Mendling & Neumann (2019) Wirtschaftsinformatik. De
Gruyter, Berlin. 12. Auflage. S. 381 -436
[3] www.bsi.bund.de, insbesondere
„BSI-Standard 100-1: Managementsysteme für Informationssicherheit
(ISMS)“
[4] Kritische Infrastrukturen
https://www.bbk.bund.de/DE/AufgabenundAusstattung/KritischeInfrastrukt
uren/kritischeinfrastrukturen_node.html
[5] Uwe Baumann, Klaus Schimmer, Andreas Fendel (2005): SAP
Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum
Firewalls nichts nützen“.
22. 22
Prof. Dr. rer. nat. Claus Brell
http://claus-brell.de
https://twitter.com/clausbrell
claus.brell@hs-niederrrhein.de
Texte zur diesen Folien:
https://cbrell.de/blog/informationssicherheitsmanagement/