Vollbildmodus: Seiteninhalt ohne Menus

Security

Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. (Quelle: BSI)

Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, es hilft ihm nicht dabei schneller ins Haus bzw. schneller an seine Daten zu kommen. Dagegen merkt ein Angreifer den Mehrwert für den Benutzer deutlich, er hat es nämlich schwerer einen Angriff erfolgreich durchführen zu können.

Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss.

Spezielle Aspekte sind Linux-Security und Windows Sicherheit.
Siehe auch Wlan-Security und Verschlüsselung.

Firewall Logo| VPN | IPSec

Notfallplan erstellt? (Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer) Mitarbeiter informiert? Beseitigungsfristen für einen Störfall? siehe BSI: 100-4 Notfallmanagement (ab Sommer 07).

Gefahren

Größte Gefahren sind

  • mangelnde Sensibilisierung des Managements
  • fehlende Prozessanalysen und
  • ungenügende Krisen- und Notfallpläne.

Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von Bruce Schneier).

Ziele von Computer-Sicherheit

Die Vermeidung von

  • Verlust
  • fehlerhafte Erstellung
  • Veränderung
  • unerlaubte Verbreitung

von gespeicherten Daten.

Gegen den Verlust hilft ein Backupkonzept, alles andere muss systematisch geschützt werden. Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein.

Sicherheit ist eine Kette

Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit.

Teile der Kette:

  1. Die Benutzerumgebung (Betriebssystem: Update/Patchmanagement, gespeicherte Passwörter, …)
  2. die Übertragung durch Netze (LAN, Internet; Verschlüsselung?)
  3. die Serversicherheit (Update/Patchmanagement, Dienste und Betriebssytemabsicherung)
  4. Softwaresicherheit (Sicherheitslücken und Update/Patchmanagement)
  5. Softwarekonfiguration (Funktionalität gegen Restriktivität; Konfigurationsfehler)

Passwörter

Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter

  • die zu einfach aufgebaut sind (zu kurz, Wörter aus dem Wörterbuch, leicht erratbar, keine Passwortkomplexität die dem Namen gerecht wird)
  • simple Kombinationen aus Wörtern mit leicht aussprechbaren Kombinationen Präfixen oder (häufiger) Suffixen wie „abc“ und „123“
  • die irgendwelche persönliche Daten beeinhalten (Namen, Geburtsdaten, …)
  • Wörter bei denen lediglich Buchstaben durch Sonderzeichen ersetzt wurden (a mit @, i mit 1 usw.)
  • die irgendwo aufgeschrieben sind (Glück für den Finder)
  • die mit anderen Personen geteilt werden.
  • die bei vielen Zugängen benutzt werden (hat man eins hat man alle)
  • die selten oder nie geändert werden
  • die nie geändert wurden, Standardpasswörter des Hersteller (siehe auch: Default Password List)

Laut einer Studie von McAfee (Quelle: Lascher Umgang mit Passwörtern) sieht die Top10 so aus:

  1. Name eines Haustiers
  2. Ein Hobby
  3. Mädchenname der Mutter
  4. Geburtsdatum eines Familienmitglieds
  5. Eigenes Geburtsdatum
  6. Name des Partners
  7. Eigener Name
  8. Lieblingsfußballmannschaft
  9. Lieblingsfarbe
  10. Erste Schule

:!: Passwortchecker (eigene Passwörter auf Sicherheit überprüfen):

Häufigkeitsverteilung der Angriffe

  1. interne Angriffe (z.B. unzufriedene und gekündigte Mitarbeiter)
  2. Fehler bei der Administration (hohes Schadenspotential)
  3. Sicherheitsprobleme:
    1. Würmer und Trojaner
    2. Hacker

Systemsicherheit

  • zeitnahes pachten
  • beschränkter Benutzerzugriff
  • minimale Dienste
  • Firewall auf dem Rechner
  • Ereignisüberwachung
  • Prozessüberwachung
  • Integritätsüberwachung

Sicherheitsmodelle

  • Discretionary Access Control (von den meisten Betriebssystemen benutzt): Benutzer haben Kontrolle (Discretion) über ihre Daten, der Superuser (root, admin, ..) hat Kontrolle über alles. Ziel ist also Superuser zu werden, wenn man es geschafft hat, hat man das ganze System und alle Daten. D.h. man braucht lediglich einen Exploit in einem Dienst oder Prozeß der mit root-Rechten läuft. Für die Daten des Benutzers reicht natürlich einen Prozess anzugreifen der dem Benutzer gehört (z.B. Webbrowser).

Netzwerksicherheit

Netzwerksicherheit

  • Netzwerk Firewall
  • Netzwerk überwachung (monitoring)
  • Einbruchserkennung (Intrusion detection, IDS)
  • Listenpunkt
  • Web intrusion detection
  • Demilitarisierte Zonen (DMZs)
  • Zentrales Logging
  • Überwachung der Sicherheit durch dritte

Links

Malware / Exploits

BSI

Methodik

Dokumente

Bücher

Konferenzen

siehe Events

Standards

  • Bewerten des Sicherheitsniveaus auf Basis von BS7799,BSI-GSHB, ISO13335
  • ISO 27001 (war: BS 7799-2)
  • ONR 17700 in Österreich
  • Bewerten von Geschäftsprozessen (insbesondere bei Outsourcingnehmern) nach ITIL ITIL books
  • CC

gesetzl. Vorgaben

FIXME

  • Sarbanes-Oxley
  • HIPAA
  • Basel-II
  • GLBA

Anforderungen an Sicherheitsexperten

  • Sehr gute Netzwerkkenntnisse
  • Abgeschlossenes Studium im Bereich Informatik/Telco oder vergleichbare Ausbildung
  • (Berufserfahrung)
  • Sehr gute Kenntnisse in den Bereichen
    • Betriebsysteme: Microsoft, Unix, Linux, Solaris, MacOS
    • Applikationen: Webserver, Applikationsserver, Datenbanken
  • Netzwerkmanagement und Monitoring (Opensource-Produkte):
    • TCP/IP, IPSec, WLAN, WAN, VPN, RAS, LDAP FIXME (Links)
    • Security Policies + Sicherheitskonzepte
  • (aktive) Netzwerkkomponenten
  • Kryptographie
  • Security-Auditierung
  • Firewall
  • Loadbalancer
  • Intrusion Detection/Prevention
  • Content-Security
  • E-Mailverschlüsselung
  • Authentifizierung/Autorisierung
  • PKI-Infrastruktur (public-key-Infrastrukturen)
  • Webapplikationen und Netzwerke
  • Gute Produktkenntnisse von Lösungsanbietern
  • Checkpoint, Nokia, Juniper, Cisco, PGP, RSA Security u.a.

Zertifikate

  • Certified Information System Security Professional [CISSP]
  • Certified Information System Auditor [CISA]
  • Certified Information System Manager [CISM]

Herstellerspezifische Security Zertifizierungen

z.B. Cisco, Checkpoint, Symantec, Microsoft:

  • Checkpoint Certified Security Engineer
  • CISCO Certified Network Professional
  • Sun Certified Network Administrator
  • MCSE Security

soft skills

  • überdurchschnittliches Engagement
  • hohe Motivation zur autodidaktischen Weiterbildung
  • sehr gutes bis gutes Englisch
  • Verhandlungs-, Kommunikationsstärke sowie Durchsetzungsvermögen
  • sehr gute Belastbarkeit
  • projektbezogene Mobilität – auch für kurze Einsätze im Ausland
  • die Fähigkeit zur professionellen Präsentation
    • von Lösungen
    • Leistungen
    • Projektergebnissen
  • Hohe Kundenorientierung
  • (Umfangreiches und aktives Kontaktnetzwerk bei Vertrieb)
  • Starke vertriebliche und technische Ausprägung

Firmen

 
security/security.txt · Zuletzt geändert: 2010/07/14 18:50 von st
 
Backlinks: [[security:security]]