1. Karl Lienbacher
Buntmetall Amstetten
Harald Fasching
KUERT Info Management
Die „Innere Sicherheit“ – Ein Praxisbericht zur
Erhöhung der Datensicherheit durch die Verwaltung
mobiler Endgeräte
2. KUERT Information Management GmbH, www.kuert.at, C 2006
Leitfaden
• Vorstellung der Unternehmen
KUERT Information Management GmbH
Buntmetall Amstetten GmbH
• Risiken in der IT sind „anders“
• Aufgabenstellung und Zielsetzung
• Die Lösung von KUERT: Data Defender
• Implementierung und Projektablauf
• Live-Demonstration der Funktionalität
3. KUERT Information Management GmbH, www.kuert.at, C 2006
Vorstellung KUERT
• 70 u. 80-er Jahre: Reparatur von magnetischen
Speichermedien
• 1989 Gründung des Unternehmens
durch Dr. Sándor Kürti, János Kürti
• 1993 Entwicklung der KUERT-eigenen
Rekonstruktionstechnologie
• 1998 Information Security Management –
Consulting mit dem Ziel der Prävention
von Datenverlust
4. KUERT Information Management GmbH, www.kuert.at, C 2006
Vorstellung KUERT
• Standorte: Ungarn / Budapest, Deutschland / Bochum
Österreich / Wien
• Mitarbeiter in der Gruppe: 80
30 Information-Security Consultants
15 Datenrettungsexperten
6 Softwareentwicklung,
Systemintegration
Sales, Business Development, Backoffice
• Erlösanteil Business- Bereiche
60% Informations-Sicherheit, 40% Datenrettung
5. KUERT Information Management GmbH, www.kuert.at, C 2006
KUERT Group Portfolio
• Datenrettung und Datenrekonstruktion
Über 35.000 erfolgreiche Datenrettungen
Ursachenanalyse und umfangreiche
Datenbank als Basis für den Erfolg
Festplatten, RAID-Systeme, CD/DVD,
Disketten, Flash-Karten, USB-Speicher,
Sicherungs-Bänder, uvm.
Unsere Erfolgsquote liegt bei über 80%
6. KUERT Information Management GmbH, www.kuert.at, C 2006
KUERT Group Portfolio
• Beratung Informationssicherheit
Über 240 Projekte in 15 Ländern
ISYS ® (KUERT-eigene Methoden und Verfahren)
IT Auditing & Standards (ISO, COBIT, IITIL, SOX, BASEL II)
Datensicherheit und Datenschutz
Risikoanalysen und
Risiko-Management
Security Awarness Test
Penetrationstests, legales Hacken
Business Continuity Management
7. KUERT Information Management GmbH, www.kuert.at, C 2006
KUERT Group Portfolio
• Sicherheitsprodukte und -dienstleistungen
Data Defender
Schnittstellen- und Geräteverwaltung, Software gegen
Datendiebstahl, Policy Enforcement
DocMan
Implementierung unternehmensweiter Regelungen –
SecurityPolicy Management
Log-Services
System Security Monitoring als permanente Dienstleistung
Professionelle Datenlöschung
…
9. KUERT Information Management GmbH, www.kuert.at, C 2006
Vorstellung
Preßwerk
Ziehwerk
Mitarbeiter: 369
Umsatz: ca. 140 Mio. €
buntmetall amstetten GmbH
Gießerei, Ziehwerk
Finalfertigung, Eisenbahntechnik
Mitarbeiter: 320
Umsatz: 46 Mio. €
Enzesfeld-Caro Metallwerke AG
Vienna
10. KUERT Information Management GmbH, www.kuert.at, C 2006
Vorstellung
buntmetall amstetten
GesmbH
Gründung: 1904
Geschäftsführer: Ing. Jürgens Wernicke
DWI (FH), Ing. Alfred Hintringer
Jahresproduktion: 40.000 Tonnen
Mitarbeiter: 369
Umsatz 2004/2005: ca. 140 Millionen €
Exportanteil: 90 Prozent
Exportländer: weltweit
12. KUERT Information Management GmbH, www.kuert.at, C 2006
Risiken in der IT sind „anders“
• Krisen in der IT müssen nicht kommuniziert werden
• Nur teilweise direkte Auswirkungen auf das Umfeld
• Lokale Krise (z.B. Rechenzentrum) beeinflusst gesamte
Organisation
13. KUERT Information Management GmbH, www.kuert.at, C 2006
Risiken in der IT sind „anders“
• IT-Krisen sind extern und „hausgemacht“
• In nahezu jedem Geschäftsprozess ist IT involviert.
• Neue Risiken – neue Wege des Schutzes
14. KUERT Information Management GmbH, www.kuert.at, C 2006
Risiken in der IT sind „anders“
• Naturkatastrophen Feuerlöscher, Auslagerung
von Backup-Daten...
• Technische Defekte Redundante Systeme...
• Sabotage (physisch), Wachpersonal, Video-
mutwillige Zerstörung überwachung, Schlösser,
Zäune...
• Angriffe von außen Firewalls, Virenschutz,
Passwörter...
• Mitarbeiter Gruppe 1 Schulung, Informationen
techn. Limitierung
Gruppe 2 ?
16. KUERT Information Management GmbH, www.kuert.at, C 2006
Datenmengen-Beispiel
• 128 MB Datenspeicher in mobilen Endgeräten
Das sind 6,4 Meter A4 Papier
oder
128 Ordner wertvoller
Unternehmensdaten
17. KUERT Information Management GmbH, www.kuert.at, C 2006
Aufgabenstellung
• Ca. 100 Mitarbeiter mit eigenem PC
plus 50 PC‘s in der Produktion, wechselnde User
30 Drucker
Installation mittels Software Verteilung (Virus, Updates, …)
• Windows NT: Keine USB Unterstützung
Zentrale Geräte-Installation durch IT
Wenige externe Geräte
• Windows XP mit Plug & Play Unterstützung für USB
Unzureichende Verwaltungsmöglichkeiten
Kein Überblick über angeschlossene Geräte
18. KUERT Information Management GmbH, www.kuert.at, C 2006
Aufgabenstellung
• Risiko für IT Sicherheit: USB Drives/Sticks
Praktisch jeder MA besitzt einen USB Stick
Welche Daten werden ausgetauscht?
• Konflikt IT – Fachabteilung:
Archivierung von LKW Fotos
Abschalten des USB Ports, keine Lösung
• Auftrag der Geschäftsführung
Software für die Verwaltung der PC-Schnittstellen beschaffen
Sicherheitsaspekt Einfachheit
Sicherheitsbewusstsein der Mitarbeiter steigern
19. KUERT Information Management GmbH, www.kuert.at, C 2006
Unsere Lösung : Data Defender
Data Defender ist eine Sicherheits-Software zur Erhöhung der
Datensicherheit.
Durch die Überwachung der lokalen Schnittstellen am Computer
können keine unerwünschten Programme oder Viren sondern nur
explizit gewünschte Daten kopiert werden.
DD erfasst alle Anschlussflächen der Firmen-Computer und
blockiert unerwünschte Datenbewegungen.
Risiken werden erkannt und die Maßnahmen können darauf
abgestimmt werden.
20. KUERT Information Management GmbH, www.kuert.at, C 2006
Data Defender: schützt vor
Ausfallzeiten durch die Infizierung mit Viren
und Ausführung von Malware
Identitätsdiebstahl durch das unerlaubte Entfernen
von persönlichen Daten
Gesetzliche Haftbarkeit für urheberrechtlich geschützte und
verdächtige Inhalte auf dem Netzwerk
Verlust von vertraulichen, unternehmenseigenen
Dateien und geistigem Eigentum
Haftung des Unternehmens für Computermissbrauch
durch seine Mitarbeiter
21. KUERT Information Management GmbH, www.kuert.at, C 2006
Überprüfung bestehender Richtlinien und Risiko-Prüfung
(Security Check nach ISO 17799)
Anpassung der Sicherheitsbestimmungen nach
individuellen Anforderungen
Abstimmung mit Arbeitnehmervertretern ( = de facto die
Prüfbarkeit bestehenden Richtlinien vereinbaren)
Erweiterung der Richtlinien (Policy) um die neue
Möglichkeiten durch den Data Defender
Implementierung, Projektablauf
22. KUERT Information Management GmbH, www.kuert.at, C 2006
Definition und Entwicklung der Rechtematrix
Implementierung, Projektablauf
23. KUERT Information Management GmbH, www.kuert.at, C 2006
Implementierung, Projektablauf
Neuanschaffungen Hardware: Keine
Testinstallation: Anbindung an bestehende Systemumgebung
(Active Directory, SQL-Datenbank, Mail-Server)
Online- und Offline-Sicherheit auf User(gruppen)-Basis definieren
Beschränkungen der Transferrechte auf Foto-Dateien (*.jpg)
Protokolleinträge über Datenbewegungen definieren
Benutzerinformation via Pop-ups oder
graphischer Anzeige auf den Desktops einstellen
24. KUERT Information Management GmbH, www.kuert.at, C 2006
Kommunikation und Information an das
Management Team und an die Mitarbeiter
Workshop zur Bewusstseinsbildung
Abschluss Testinstallation, Implementierung und Rollout zu
Clientrechnern
Laufend: Durchführung von Log File-Analysen und Überprüfungen
entfallen, da ausschließlich jpg-Dateien importiert werden können
Aktive Benachrichtigung der Administratoren auf Anforderung
Implementierung, Projektablauf
25. KUERT Information Management GmbH, www.kuert.at, C 2006
• Mag. Harald Fasching
• KUERT Information Management GmbH
harald.fasching@kuert.at
www.kuert.at
• Ing. Karl Lienbacher
• Buntmetall Amstetten GmbH
karl.lienbacher@buntmetall.at
www.buntmetall.at