[PDF] Systemverwaltung IT-Security SoSe2008 v02.key

View - Download Systemverwaltung IT-Security SoSe2008 v02.key

Previous PDF

Next PDF

08/12/081

Blockkurs "Systemverwaltung"

Sommersemester 2008

IT-Security

Ingmar Camphausen - Rechnerbetrieb

08/12/08

IT-Security in 2:30h

Ziele 㱺 Ideen, wo/wie man sich selbst bei Bedarf weiter informieren kann 㱺 Erfahrungen aus der Praxis des

Rechnerbetriebs vermitteln

2 12

08/12/08

Struktur des Vortrags

IT-Sicherheit - Ausgangssituation

Grundlagen

Der IT-Sicherheitsprozess an der FU

Empfehlungen

Informationsquellen

Erfahrungen aus der Praxis des

Rechnerbetriebs

Ansprechpartner

3

08/12/08

IT-Security - Ausgangssituation

... alles andere als rosig: "Mean time to compromise < 5 min" für ein ungepatchtes System, das ungeschützt online gebracht wird 4 34

08/12/08

Problem der IT-Sicherheit

Messbarkeit?

gefühlt "nur Kostenfaktor"

Durchsetzbarkeit von Eingriffen/

Sanktionen

㱺 gegenüber Nutzern 㱺 gegenüber Chefs •Verfügbarkeit/business continuity hat oft 5

08/12/08

Problem der IT-Sicherheit (2)

• Automatisierung • zunehmende Vernetzung 㱺 schnelle(re) Weiterverbreitung, kürzere Vorwarnzeiten immer weniger Knowhow für erfolgreiche Angriffe erforderlich: •"skript kiddies", "Virus Construction Set" 6 56

08/12/08

Problem der IT-Sicherheit (3)

Trend zu "ubiquous computing"

㱺 Beispiel Mobiltelefon/PDA:

Zugriff

-"jederzeit" -"von überall" -"auf alles"

Leitungsebene/"Entscheider"! :-}

7

08/12/08

Situation wie die eines Torwarts?

Eine kleine Unachtsamkeit

entscheidet das Spiel zum Nachteil der eigenen Mannschaft... mehr...

Aber: Die Situation ist nicht gar so

hoffnungslos, denn... 8 78

08/12/08

Hoffnung (1)

"St. Florians-Prinzip" 㱺 "Oh heiliger Sankt Florian, verschon' mein Haus, zünd' andre an!" (oder so zu wirken), so dass ein Angreifer es lieber dort versucht

Sicherheitsniveau des Gesamtsystems

㱺 an der richtigen Stelle erreicht man durch

Gesamt-Sicherheitsniveaus

㱺 Es ist nicht sinnvoll, hohen Sicherheitsaufwand an 'ungünstigeren' Stellen zu betreiben 9

08/12/08

Hoffnung (2)

Wir fangen nicht bei null an!

Rückgriff auf Vorarbeiten von anderen und

Sicherheitsmaßnahmen sind nicht

geheim :-) 10 910

08/12/08

Grundlagen

Die 4 Schutzziele

Kryptographie hilft!

Rechtlicher Rahmen

BSI-Grundschutz-Empfehlungen

Zonen-Modell

Risiko-Analyse

Nutzer-Akzeptanz

11

08/12/08

Schutzziele

Die 4 "Grundpfeiler" der IT-Sicherheit

»bzw. negiert entsprechend die 4 Haupt-

Bedrohungen

㱺 Vertraulichkeit 㱺 Verfügbarkeit

»gelegentlich auch Nicht-Abstreitbarkeit...

12 1112

08/12/08

Kryptografie - oder: "Mathe hilft!" ;-)

Kryptografische Verfahren

㱺 helfen, mind. 3 der 4 Schutzziele zu erreichen: • Verschlüsselung (Vertraulichkeit)

Nicht-Abstreitbarkeit)

㱺 sind Grundlage für diverse

Sicherheitsmechanismen

13

08/12/08

Krypto - "Risiken und Nebenwirkungen"

und Geheimhaltung der verwendeten kryptografischen Schlüssel, und nicht aus der

Geheimhaltung des Verfahrens

㱺 Der Algorithmus kann offengelegt und von Fachleuten untersucht werden, ohne dass die

Sicherheit des Verfahrens leidet

Schlüsselmanagement...

Fehler bei der Implementierung von eigentlich

starken Krypto-Algorithmen

Fortschritte in der Krypt-Analyse

14 1314

08/12/08

IT - kein rechtsfreier Raum (1)

IT-Sicherheit, Vertraulichkeit:

㱺BVerfG-Urteil vom 27.02.2008 gegen Online-Durchsuchung: 㱺Fernmeldegeheimnis (Art. 10 GG)

Datenschutz:

㱺BDSG, Landesdatenschutzgesetze,

Mediendienstestaatsvertrag

15

08/12/08

IT - kein rechtsfreier Raum (2)

Mitbestimmung:

㱺PersVG

Digitale Signaturen:

㱺SigG, SigV, Gesetz zur 'elektronischen Form', VerwVerfÄndG, UStG

Aufbewahrungsfristen:

㱺BGB, AO u.v.a.m. (unter anderem div. spezialgesetzliche Regelungen und

Verordnungen)

16 http: ww w.b verf g.de pres sem itteil ung en/ bvg 08- 022
15Ges etz zur 'ele ktro nisc hen For m': http: ww w.d ud.d e/ dud/ doc ume nts/ form vors chrif ten- 010 713.
16

08/12/08

Zonen-Modell

Identifizieren von Bereichen mit

vergleichbaren

Sicherheitsanforderungen

Sicherheitsniveau

• aber: was ist mit Angreifern "von innen"?! 17

08/12/08

IT-Grundschutz

Grundschutzmaßnahmen,

Grundschutz-Kataloge des BSI:

http://www.bsi.bund.de/gshb/index.htm 18 1718

08/12/08

Risikoanalyse

Basis: Schutzbedarfsanalyse ("worst case-

Szenario")

Schadensumfangs ohne Berücksichtigung von

Schutzmaßnahmen

darauf aufbauend: Bedrohungs- und daraus abgeleitet: Maßnahmen zur

Risikoreduzierung

19

08/12/08

Continuity Management

20

Auswirkungs-

analyse (Business Impact)

Risiko-

analyse

IT Service Continuity Management Strategie

Massnahmen

zur Risiko- reduktion

Wiederher-

Stellungs-

optionen Beis piel/ Vor geh ens wei se der an der FU Berl in gew en Vari ante uter t in der IT- Sich erh eits- 1920

08/12/08

Continuity Management

21geringmittelhochgeringmittelhoch

EintrittswahrscheinlichkeitAuswirkungen

Kurzfristiger

Strom-

Menschliches

versagen

Akzeptiertes

Risiko

Diebstahl

Langfristiger

Stromausfall

Feuer,

Wasser

Ausfall

Telefonanlage

ServerausfallViren

08/12/08

Nutzerakzeptanz

Sensibilisierung der Nutzer für IT-

Sicherheitsfragen

㱺 wichtig, weil sich manche Dinge rein technisch nicht verhindern lassen: •Browser-Schwachstellen -z.B. sog. "zero-day exploits" •"Social Engineering" klare Regelungen zum sicheren Umgang mit IT konkrete Hinweise/Vorgaben

Überschaubare Regelungen

22
2122

08/12/08

Der IT-Sicherheitsprozess an der FU

Organisatorische Verankerung von Maßnahmen zur

㱺 Etablierung von ausdrücklichen IT-Ansprechpartnern in allen

FU-Bereichen und eines zentralen "Quasi-IT-

Sicherheitsbeauftragten"

㱺 Erfüllung der gesetzlichen Mitbestimmungsanforderungen 㱺 Dokumentation aller IT-Verfahren an der FU (auch für

Datenschutz [Verfahrensverzeichnis!])

㱺zentrale IT-Steuerung; IT-Überblick für FU-Leitung (u.a. durch

Dokumentation!)

㱺 IT-Sicherheitsrichtlinie (seit 2005, ab Sommer 2008 für gesamte FU) 23

08/12/08

Die IT-Sicherheitsrichtlinie der FU

Idee: Alle wichtigen Aspekte in einem Zentraldokument richtet sich sowohl an IT-Personal als auch reine IT-Anwender orientiert sich an den GS-Katalogen des BSI und an dessen

Methodik

㱺angepasst/reduziert auf die Situation an der FU konkrete Maßnahmen für IT-Personal und für Anwender Anleitung und Beispiel für Schutzbedarfsanalyse Anleitung und Beispiel für Risiko- und Schadensanalyse Seit Version 2.0/Sommer 2008 für den gesamten IT-Einsatz in 24
2324

08/12/08

Empfehlungen & Tipps

Betrieb eines Rechners

Werkzeuge (Auswahl/Beispiele)

Routine? - Routine! (oder ...?)

homogene IT

Dokumentation

Kommunikation

Eskalation

25

08/12/08

Fachlich auf dem Laufenden bleiben

Schwachstellen sind oft altbekannt und

es existieren oftmals sogar bereits

Patches/Updates dagegen - also...?!

26
2526

08/12/08

Betrieb eines Rechners

Betriebssystem aktuell halten

㱺 Version nutzen, für die es noch Sicherheits-Support vom Hersteller gibt

Woche)

Woche)

Virendefinitionen aktualisieren lassen

㱺Das Betriebssystem und die übrige Software lassen sich meist (wenn auch ggf. mit einigem Aufwand) restaurieren oder neu beschaffen normales Arbeiten mit dem Rechner nur unter einem nicht- privilegierten Account 27

08/12/08

Software-Werkzeuge

Beispielhaft, ohne Anspruch auf

㱺 nmap 㱺 tcpdump oder tshark (ggf. auch WLAN-Sniffer) 㱺 OpenSSL 㱺 SHA-1 㱺 die Textkonsole! :-) (auch unter Windows und

Mac OS X!)

28
2728

08/12/08

Routine! - Routine?

Übung und Erfahrung helfen

㱺 besonders in Stress-Situationen, in denen unter hohem Druck schnell gearbeitet werden muss (Incidents)

Kehrseiten:

㱺 fehlende Aufmerksamkeit, Desinteresse 㱺 Monotonie 29

08/12/08

Homogene IT-Landschaft

Vorteile:

㱺 bessere Wartbarkeit 㱺 Einheitlichkeit 㱺 besser automatisierbar 㱺 SSO etc. 30
2930

08/12/08

Nachteile einer IT- "Monokultur"

ggf. alle Systeme von einer Schwachstelle betroffen

Einheitlichkeit macht es (auch) für einen

Angreifer leichter

㱺 aber: ist "security by obscurity" wirklich besser?

IT-Landschaft?

㱺"single point of failure"?! 31

08/12/08

Dokumentation

ungeliebt (vor allem bei Admins) meist kein unmittelbarer Nutzen für die

Anwender ("vertane Zeit") - aber!

Arbeitszeit dafür einplanen

32
3132

08/12/08

Kommunikation

Was will man beim Adressaten erreichen?

㱺 Beherzigen von Hinweisen 㱺 intern ggü. Admin-Kollegen und/oder Chefs 㱺 gegenüber Nutzern 㱺ggf. gegenüber Externen

Vorbereiten

㱺Verteiler 㱺Textbausteine 33

08/12/08

Eskalation

Alarmierungsplan

㱺 Wer kann ggf. helfen? 㱺 Wer muss informiert/einbezogen werden?

Kontakt-Infos

㱺 Notfall-Telefonnummern 㱺 auch in nicht-elektronischer Form! 34
3334

08/12/08

Informationsquellen

moderierte/redaktionell bearbeitete bevorzugen 㱺 besser strukturiert 㱺 eher nach eigenen Bedürfnissen konfigurier- oder filterbar 㱺 meist Gegenmaßnahmen und/oder eine Bewertung zu Schwachstellen oder Exploits mitgeliefert 㱺Nachteil: sind meist etwas langsamer auch nicht-elektronische Quellen/Foren/Kontakte wahrnehmen bzw. nutzen (Kontaktpflege, Vertrauensnetz)! 㱺Betriebstagungen, Stammtische, Konferenzen 35

08/12/08

BSIquotesdbs_dbs9.pdfusesText_15

[PDF] It-sicherheit . It security . sécurité It

[PDF] IT-Systemadministrator (m/w) – Schwerpunkt Virtualisierung / Storage

[PDF] IT-Systemberater/in für den Bereich Car Multimedia

[PDF] IT-USB/KEY - Italie

[PDF] IT.Can Newsletter/Bulletin, November 4, 2010/4 novembre 2010

[PDF] IT.Can Newsletter/Bulletin, October 18, 2007/18 octobre 2007 - France

[PDF] it.x-press vous permet d`i - Anciens Et Réunions

[PDF] IT/GB-4 Bureau 1

[PDF] IT2635 - De Dietrich

[PDF] IT2643 - De Dietrich

[PDF] IT27 Rev.4 - Mexique Et Amérique Centrale

[PDF] ïT:ri-Fi + GSM Fa ut

[PDF] ita - Pontificio Consiglio Giustizia e Pace

[PDF] ITA member nations of 2006

[PDF] Ita Ombrie.indd - Société des Amis du Louvre - Architecture