Bei Informationssicherheit denken viele FileMaker Entwickler in erster Linie an Passwörter, Zugriffsberechtigungen und erweiterte Zugriffsrechte.
Informationssicherheit ist aber viel mehr, mehr als nur IT-Sicherheit In diesem Vortrag erfahren Sie um was es wirklich geht.
Das CIA Modell
IT-Grundschutz
Risikoanalyse
Notallmanagement (BCM)
In diesen Vortrag geht es nicht um technische Massnahmen wie SSL, VPN oder Verschlüsselung, sondern um begleitende Massnahmen
FMK2019 FileMaker Data API mit Node.js nutzen by Adam Augustin
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
1. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Informationssicherheit &
Risikomanagement
In diesem Vortrag geht es nicht um technische Massnahmen wie SSL, VPN,
Verschlüsselung etc.
2. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Über mich…
• Patrick Risch, 47
• FileMaker Entwickler seit Version 2
• Zertifizierter FileMaker Entwickler seit Version 8-13 und bald14
• CAS Informationssicherheit & Risikomanagement (CompTIA security+ und bald
CISSP, BSI-Sicherheitsbeauftragter*)
• CAS Lebensmittelrecht Schweiz / EU
• FileMaker Lösung für die Produktkennzeichnung nach der
Lebensmittelverordnung (EU Richtlinie 1169/2012)
• Co-Organisator der FileMaker Konferenz
* bis Dezember 2015
3. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Warum Informationssicherheit…
* bis Dezember 2015
Informations-Einbrüchen betreffen zu 90% KMUs!
Die Durchschnittskosten eines Informations-Einbruchs betragen 36.000
$.
31% der Kunden wechseln zu einem anderen Anbieter, wenn der
Informations-Einbruch Kundendaten betrifft.
43% der Unternehmen wurden schon mal Ziel eines Angriffes
4. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Wer möchte Schutz?
Mein UnternehmenKunden
Gesetzgeber
Geschäftspartner
Mit-
arbeiter
Datenschutzgesetz,
Strafgesetz,
Urheberrecht, etc.
interne und externe Vorgaben
5. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Was gilt es zu Schützen?
Informationen
elektronisch
Papier
Gesprochen
Ziel aller Schutzmassnahmen
ist es Schadensereignisse
in Häufigkeit und Auswirkung
angemessen zu reduzieren.
Personen (Hacker, Mitarbeiter)
Schadsoftware (Viren, Malware,
etc)
Organisation (Systeme, BYOD,
Gefahren von Aussen
7. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Grundregel 1
Bildquelle: https://de.wikipedia.org/wiki/Demingkreis
Informationssicherheit ist ein laufender Prozess
Plan: Planen und Konzeption
Do: Umsetzung
Check: Erfolgskontrolle
Act: Optimierung
8. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Grundregel 2
Bildquelle: https://de.wikipedia.org/wiki/Demingkreis
Informationssicherheit ist Chefsache!
Management muss dahinter stehen
Ressourcen müssen vorhanden sein
Mitarbeiter müssen regelmässig geschult werden
9. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Grundregel 3
100% Sicherheit gibt es nicht
0
25
50
75
100
Grundschutz erhöht maximal
Grundschutz: Minimieren von
Risiken durch grundlegende
Schutzmassnahmen
Erhöhter Schutz: Spezielle
Massnahmen für ein
bestimmtes Risiko
Maximal: Wenn Kosten-Nutzen
von Massnahmen nicht mehr
gegeben, Notfallmassnahmen
setzen
10. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Top 10 Massnahmen
1. Datensicherung
2. Nutzungs- und Überwachungsreglement erstellen
3. Alle Mitarbeiter in Informationssicherheit schulen
4. Keine Administratorenrechte beim Arbeiten an Computern
5. Passwörter mindestens 12 Zeichen lang (und komplex)
6. Raschen und regelmässige Updates aller Software und Hardware
7. Virenschutzlösung mit proaktiven Schutzelementen
8. Professionell eingerichtete Firewalls verwenden
9. Computeranlagen auf physisch schützen
10. Vertrauliche Daten verschlüsseln (vor allem bei mobilen Geräten)
11. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Gefahren für die IT verändern sich
teilgezielte Angriffe
Gezielte Angriffe
ungezielte Angriffe
Advanced Persistent Threads
Anti-
virus
Firewall
IPS
KostenfürSchutzmassnahmen
IT-
Grund-
schutz
erhöhte
Mass-
nahmen
Notfall
12. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Vorgehen nach BSI
Standardisiertes Vorgehensmodell „Best Practice“
Basiert auf Grundschutz-Katalogen
Bausteine
Gefährdungskataloge
Massnahmenkataloge
13. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Standards
• ISO 27001 / 27002
Definiert ein Informations-Sicherheits- Management-System ISMS. Kernstück ist der kontinuierliche Verbesserungs- prozess und
die 134 Kontrollpunkte zur Steuerung der Informationssicherheit. Eher für grössere Betriebe, welche eine Zertifizierung
benötigen.
• BSI Grundschutz
Good Practices der IT- und Informationssicherheit, die im Bereich der Cyber- Security sinnvoll eingesetzt werden können.
• 10 Punkte Programm Insurance
Minimaler Schutz für KMUs bei vertretbaren Aufwand
15. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Kategorisieren der Daten
Rezeptdaten Produktions-
daten
Reinigungs-
daten
Liefer &
Kunden-
daten
Öffent-
lich
Öffent-
lich
GeheimGeheim
Rezeptdaten
sind zum Teil ein
Betriebsgeheimn
is und somit
vertraulich.
Die Integrität
von
Produktsiondate
n
muss gegeben
sein.
Die
Verfügbarkeit
und Integrität
muss gegeben
sein.
Die Offenlegung
von
Kundendaten
könnte einen
Vertrauensverlus
t zur Folge
haben.
16. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Vorgehen
1. Schutzbedarf für Daten festlegen
normal erhöht hoch Anwendung
Rezeptdaten X FileMaker
Reinigungsd. X Office
Personald. X FileMaker
normal erhöht hoch IT-System
FileMaker x X FileMaker Server
Office X File Server
2. Schutzbedarf für Anwendungen festlegen
17. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Vorgehen (Fortsetzung)
3. Schutzbedarf IT Systeme festlegen
normal erhöht hoch Raum
FileMaker
Server
X X Serverraum
Datei Server X Serverraum
normal erhöht hoch
Serverraum X X
4. Schutzbedarf für Räume festlegen
5. Schutzbedarf für Kommunikationsverbindungen festlegen
18. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Vorgehen IT-Grundschutz
Für Schutzobjekte mit dem Gefährdungspotential
‚normal‘ reichen Grundschutzmassnahmen.
Die entsprechende(n) Massnahme(n) im BSI-Grundschutzkatalog suchen und
umsetzen.
zum Beispiel (eine Auswahl):
Sicherer Serverraum: Link
Ein Dienst pro Server: Link
Bildschirmsperre: Link
Passwörter löschen: Link
19. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Vorgehen Risikoanalyse
Wenn etwas einen Schutzbedarf höher als ‚Normal‘ aufweist,
müssen spezielle Sicherheitsmassnahmen getroffen werden.
Risikoanalyse erstellen und Massnahmen abwägen:
Wahrscheinlichkeit des Risikos x Höhe des Schadens
= angemessene Risiko-Abfangkosten
Risiko Kosten Risikobewertung
Rezeptdaten nicht verfügbar /
Produktion steht still
2h Löhne / Umsatzausfall
/ evt. Kundenverlust
1 x in 5 Jahren für 2h 10 MA x 20€ = 200€
2000€ Umsatzausfall
Risiko X Kosten
0,2 € 2200 € 440
Nicht bewertet ist das Risiko des möglichen Kundenverlustes!
20. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Massnahmen Risikoabsicherung
Abwägung ob die Kosten der Risikominderung / -verminderung
im Verhältnis zum Risiko liegen.
Gesamtkosten Pro Jahr (bei 3 Jahre)
FileMaker Server € 1200
Server Hardware € 1000
Energiekosten € 100
€ 2300 € 767
Massnahme kostet 767€ pro Jahr, die ermittelten Risikokosten sind
440€.
Wird der mögliche Kundenverlust in Betracht gezogen, könnte die
Massnahme berechtigt sein.
21. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Wenn alle Stricke reissen
Für Risiken welche nicht in einem vertretbaren Rahmen mit Massnahmen
abgedeckt werden können, müssen Notfallpläne bestehen.
Geschäftsführung entscheidet ob bei einem Risiko auf Massnahmen verzichtet wird
Was machen, wenn:
- Das Gebäude der Firma nicht erreichbar ist / zur Verfügung steht
- Grossteil der Mitarbeiter ausfällt / nicht zur Verfügung steht
- Infrastruktur längerfristig ausfällt
CEO bestimmt, ab wann wir uns tot stellen.
Notfallpläne müssen erprobt sein und auch in einem Notfall
verfügbar sein!
22. Patrick Risch, zertifizierter FileMaker Entwickler
Informationssicherheit & Risikomanagement
FileMaker Konferenz 2015 Hamburg
www.filemaker-konferenz.com
Links
• 10 Punkte Programm für KMUs: Link
• Bundesamt für Sicherheit und Informationstechnik (BSI): Link
• Melani (Melde und Analysestelle): Link
• Heise Security: Link
• Schwachstellenampel: Link
• Sicherheitstacho: Link
• Schwachstellen CVE Bulletin: Link