Security

Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. (Quelle: BSI)

Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, es hilft ihm nicht dabei schneller ins Haus bzw. schneller an seine Daten zu kommen. Dagegen merkt ein Angreifer den Mehrwert für den Benutzer deutlich, er hat es nämlich schwerer einen Angriff erfolgreich durchführen zu können.

Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss.

Spezielle Aspekte sind Linux-Security und Windows Sicherheit.
Siehe auch Wlan-Security und Verschlüsselung.

• Security-tools

| VPN | IPSec

• Angriffsmethoden und Gegenmaßnahmen
• Angriffe auf Webapplikationen

• Integritätschecker
• Intrusion Detection Systems

Notfallplan erstellt? (Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer) Mitarbeiter informiert? Beseitigungsfristen für einen Störfall? siehe BSI: 100-4 Notfallmanagement (ab Sommer 07).

Größte Gefahren sind

• mangelnde Sensibilisierung des Managements
• fehlende Prozessanalysen und
• ungenügende Krisen- und Notfallpläne.

Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von Bruce Schneier).

Die Vermeidung von

• Verlust
• fehlerhafte Erstellung
• Veränderung
• unerlaubte Verbreitung

von gespeicherten Daten.

Gegen den Verlust hilft ein Backupkonzept, alles andere muss systematisch geschützt werden. Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein.

Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit.

Teile der Kette:

1. Die Benutzerumgebung (Betriebssystem: Update/Patchmanagement, gespeicherte Passwörter, …)
2. die Übertragung durch Netze (LAN, Internet; Verschlüsselung?)
3. die Serversicherheit (Update/Patchmanagement, Dienste und Betriebssytemabsicherung)
4. Softwaresicherheit (Sicherheitslücken und Update/Patchmanagement)
5. Softwarekonfiguration (Funktionalität gegen Restriktivität; Konfigurationsfehler)

Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter

• die zu einfach aufgebaut sind (zu kurz, Wörter aus dem Wörterbuch, leicht erratbar, keine Passwortkomplexität die dem Namen gerecht wird)

• simple Kombinationen aus Wörtern mit leicht aussprechbaren Kombinationen Präfixen oder (häufiger) Suffixen wie „abc“ und „123“
• die irgendwelche persönliche Daten beeinhalten (Namen, Geburtsdaten, …)
• Wörter bei denen lediglich Buchstaben durch Sonderzeichen ersetzt wurden (a mit @, i mit 1 usw.)
• die irgendwo aufgeschrieben sind (Glück für den Finder)
• die mit anderen Personen geteilt werden.
• die bei vielen Zugängen benutzt werden (hat man eins hat man alle)
• die selten oder nie geändert werden
• die nie geändert wurden, Standardpasswörter des Hersteller (siehe auch: Default Password List)

Laut einer Studie von McAfee (Quelle: Lascher Umgang mit Passwörtern) sieht die Top10 so aus:

1. Name eines Haustiers
2. Ein Hobby
3. Mädchenname der Mutter
4. Geburtsdatum eines Familienmitglieds
5. Eigenes Geburtsdatum
6. Name des Partners
7. Eigener Name
8. Lieblingsfußballmannschaft
9. Lieblingsfarbe
10. Erste Schule

Passwortchecker (eigene Passwörter auf Sicherheit überprüfen):

• Password Strength Checker from TGP - sagt die voraussichtliche Knackdauer vorraus, passender Heise-Artikel
• Passwort-Check des Datenschutzbeauftragten des Kantons Zürich
• Checker von Microsoft.

• Tips for Your Users: Passwords You Can Live With
• Passwords are not broken, but how we choose them sure is
• Secure Passwords Keep You Safer

1. interne Angriffe (z.B. unzufriedene und gekündigte Mitarbeiter)
2. Fehler bei der Administration (hohes Schadenspotential)
3. Sicherheitsprobleme:
   1. Würmer und Trojaner
   2. Hacker

• zeitnahes pachten
• beschränkter Benutzerzugriff
• minimale Dienste
• Firewall auf dem Rechner
• Sicherheitsmaßnahmen von Linux
• Ereignisüberwachung
• Prozessüberwachung
• Integritätsüberwachung

• Discretionary Access Control (von den meisten Betriebssystemen benutzt): Benutzer haben Kontrolle (Discretion) über ihre Daten, der Superuser (root, admin, ..) hat Kontrolle über alles. Ziel ist also Superuser zu werden, wenn man es geschafft hat, hat man das ganze System und alle Daten. D.h. man braucht lediglich einen Exploit in einem Dienst oder Prozeß der mit root-Rechten läuft. Für die Daten des Benutzers reicht natürlich einen Prozess anzugreifen der dem Benutzer gehört (z.B. Webbrowser).
• Mandatory Access Control
• Role Based Access Control

Netzwerksicherheit

• Netzwerk Firewall
• Netzwerk überwachung (monitoring)
• Einbruchserkennung (Intrusion detection, IDS)
• Listenpunkt
• Web intrusion detection
• Demilitarisierte Zonen (DMZs)
• Zentrales Logging
• Überwachung der Sicherheit durch dritte

• Dan Kaminsky - An interview with security expert and hacker Dan Kaminsk
• Grundlagen Sicherheit
• Kevin Mitnick Senate Testify
• Know-How: Sicherheit durch Identity Management
• 1a Security-Links
• Top-75 of Security-tools
• Vortrag IT-Security aus dem Nähkästchen - oder "Das könnte mir nicht passieren..."
• Encryption and Security-related Resources (Peter Gutmann)
• The World Wide Web Security FAQ
• Open Web Application Security Project (OWASP)
• IT-Security-jobs
• http://www.central-it.de/
• SECURITY Online Security Tools
• SECURITY Secure Instant Messaging
• Ein Haufen Risiko: Pufferüberläufe auf dem Heap und wie man sie ausnutzt
• Allgemeine Tools zur IT-Sicherheit
• Security im Überblick (Teil 1)

• Economics of Malware
• Öffentliche Auktionsplattform für Exploits gestartet

bmwa-sicherheitsforum IT-Grundschutzhandbuch Common Criteria IT-Sec Deutsche IT-Sicherheitskriterien

OISSG - ISSAF Guideline on Network Security Testing NIST IEEE Standard for Software Test CVE-Compatible Products and Services

• OpenBook: Sicherheit im Internet
• BSI Leitfaden IT-Sicherheit
• Sicherheitshandbuch des A-SIT (Österreich)
• Security im Überblick (Teil 1)
• IT-Sicherheit: Neue Pflichten für das Management

• Penetration Testing SANS
• An Overview of Network Security Analysis and Penetration Testing
• Demonstrating ROI for Penetration Testing
• Zehn mal zehn goldene IT-Regeln, Teil I
• Sicherheit in Server-Räumen
• SANS InfoSec Reading Room - GIAC Honors Papers

Penetration Tester's Open Source Toolkit InfoSec Career Hacking: Sell Your Skillz, Not Your Soul Penetration Testing and Network Defense Google Hacking for Penetration Testers Hack I.T. -- Security Through Penetration Testing

siehe Events

• BSI-Standards
• Bewerten des Sicherheitsniveaus auf Basis von BS7799,BSI-GSHB, ISO13335
• ISO 27001 (war: BS 7799-2)
• ONR 17700 in Österreich
• Bewerten von Geschäftsprozessen (insbesondere bei Outsourcingnehmern) nach ITIL ITIL books
• CC

• Sarbanes-Oxley
• HIPAA
• Basel-II
• GLBA

• Sehr gute Netzwerkkenntnisse

• Abgeschlossenes Studium im Bereich Informatik/Telco oder vergleichbare Ausbildung
• (Berufserfahrung)

• Sehr gute Kenntnisse in den Bereichen
  • Betriebsysteme: Microsoft, Unix, Linux, Solaris, MacOS
  • Applikationen: Webserver, Applikationsserver, Datenbanken

• Netzwerkmanagement und Monitoring (Opensource-Produkte):
  • TCP/IP, IPSec, WLAN, WAN, VPN, RAS, LDAP (Links)
  • Security Policies + Sicherheitskonzepte
• (aktive) Netzwerkkomponenten

• Kryptographie
• Security-Auditierung
• Firewall
• Loadbalancer
• Intrusion Detection/Prevention
• Content-Security
• E-Mailverschlüsselung
• Authentifizierung/Autorisierung
• PKI-Infrastruktur (public-key-Infrastrukturen)

• Webapplikationen und Netzwerke
• Gute Produktkenntnisse von Lösungsanbietern
• Checkpoint, Nokia, Juniper, Cisco, PGP, RSA Security u.a.

• BSI Grundschutz (lizenzierter Auditor) Liste von Auditoren mit Firmen
• Technology Consultant SAP NetWeaver
• SAP Security
• BS 7799/ISO-17799 (siehe auch Standards)

• Certified Information System Security Professional [CISSP]
• Certified Information System Auditor [CISA]
• Certified Information System Manager [CISM]

z.B. Cisco, Checkpoint, Symantec, Microsoft:

• Checkpoint Certified Security Engineer
• CISCO Certified Network Professional
• Sun Certified Network Administrator
• MCSE Security

• überdurchschnittliches Engagement
• hohe Motivation zur autodidaktischen Weiterbildung
• sehr gutes bis gutes Englisch
• Verhandlungs-, Kommunikationsstärke sowie Durchsetzungsvermögen
• sehr gute Belastbarkeit
• projektbezogene Mobilität – auch für kurze Einsätze im Ausland
• die Fähigkeit zur professionellen Präsentation
  • von Lösungen
  • Leistungen
  • Projektergebnissen
• Hohe Kundenorientierung
• (Umfangreiches und aktives Kontaktnetzwerk bei Vertrieb)
• Starke vertriebliche und technische Ausprägung

http://www.secunet.com/ http://www.secure-it-consult.com/ http://www.secaron.de