Security
Die drei klassischen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Schutzziele gelten jeweils für konkrete Objekte oder Werte und zwischen den einzelnen Zielen kann es Abhängigkeiten geben. (Quelle: BSI)
Das Problem von Sicherheit ist, dass sie für den berechtigten Benutzer keinen Mehrwert bringt. Oft sogar das Gegenteil: Sie hält den Benutzer von seiner Arbeit ab. Ein Beispiel: Eine verschlossene Haustür (oder eine Passworteingabe) bringt dem Hauseigentümer an sich keinen Mehrwert. Er muss seinen Schlüssel dabei haben und beim Verlust evtl. Schlösser austauschen, es hilft ihm nicht dabei schneller ins Haus bzw. schneller an seine Daten zu kommen. Dagegen merkt ein Angreifer den Mehrwert für den Benutzer deutlich, er hat es nämlich schwerer einen Angriff erfolgreich durchführen zu können.
Computer wurden gebaut damit Leute effizienter arbeiten können. Wenn also der Benutzer Software installieren will, hilft ihm das effizienter zu sein, allerdings oft nicht der Sicherheit. Daher ist Sicherheit immer ein Kompromiss.
Spezielle Aspekte sind Linux-Security und Windows Sicherheit.
Siehe auch Wlan-Security und Verschlüsselung.
Notfallplan erstellt? (Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer) Mitarbeiter informiert? Beseitigungsfristen für einen Störfall? siehe BSI: 100-4 Notfallmanagement (ab Sommer 07).
Gefahren
Größte Gefahren sind
- mangelnde Sensibilisierung des Managements
- fehlende Prozessanalysen und
- ungenügende Krisen- und Notfallpläne.
Denn Sicherheit ist kein Produkt (und auch nicht eine Kombination) sondern ein Prozess (das hat man garantiert schon mal gehört, stammt von Bruce Schneier).
Ziele von Computer-Sicherheit
Die Vermeidung von
- Verlust
- fehlerhafte Erstellung
- Veränderung
- unerlaubte Verbreitung
von gespeicherten Daten.
Gegen den Verlust hilft ein Backupkonzept, alles andere muss systematisch geschützt werden. Ziel soll immer die Schadens- und Häufigkeitsbegrenzung sein.
Sicherheit ist eine Kette
Sicherheit wird wie eine Kette betrachtet, das schwächste Glied bestimmt das Maß der Gesammtsicherheit.
Teile der Kette:
- Die Benutzerumgebung (Betriebssystem: Update/Patchmanagement, gespeicherte Passwörter, …)
- die Übertragung durch Netze (LAN, Internet; Verschlüsselung?)
- die Serversicherheit (Update/Patchmanagement, Dienste und Betriebssytemabsicherung)
- Softwaresicherheit (Sicherheitslücken und Update/Patchmanagement)
- Softwarekonfiguration (Funktionalität gegen Restriktivität; Konfigurationsfehler)
Passwörter
Da Zugänge meist nicht mit Zertifikaten sondern über Passwörter geregelt werden, kommt diesen auch eine große Bedeutung zu. Hauptprobleme sind Passwörter
- die zu einfach aufgebaut sind (zu kurz, Wörter aus dem Wörterbuch, leicht erratbar, keine Passwortkomplexität die dem Namen gerecht wird)
- simple Kombinationen aus Wörtern mit leicht aussprechbaren Kombinationen Präfixen oder (häufiger) Suffixen wie „abc“ und „123“
- die irgendwelche persönliche Daten beeinhalten (Namen, Geburtsdaten, …)
- Wörter bei denen lediglich Buchstaben durch Sonderzeichen ersetzt wurden (a mit @, i mit 1 usw.)
- die irgendwo aufgeschrieben sind (Glück für den Finder)
- die mit anderen Personen geteilt werden.
- die bei vielen Zugängen benutzt werden (hat man eins hat man alle)
- die selten oder nie geändert werden
- die nie geändert wurden, Standardpasswörter des Hersteller (siehe auch: Default Password List)
Laut einer Studie von McAfee (Quelle: Lascher Umgang mit Passwörtern) sieht die Top10 so aus:
- Name eines Haustiers
- Ein Hobby
- Mädchenname der Mutter
- Geburtsdatum eines Familienmitglieds
- Eigenes Geburtsdatum
- Name des Partners
- Eigener Name
- Lieblingsfußballmannschaft
- Lieblingsfarbe
- Erste Schule
Passwortchecker (eigene Passwörter auf Sicherheit überprüfen):
Häufigkeitsverteilung der Angriffe
- interne Angriffe (z.B. unzufriedene und gekündigte Mitarbeiter)
- Fehler bei der Administration (hohes Schadenspotential)
- Sicherheitsprobleme:
- Würmer und Trojaner
- Hacker
Systemsicherheit
- zeitnahes pachten
- beschränkter Benutzerzugriff
- minimale Dienste
- Firewall auf dem Rechner
- Ereignisüberwachung
- Prozessüberwachung
- Integritätsüberwachung
Sicherheitsmodelle
- Discretionary Access Control (von den meisten Betriebssystemen benutzt): Benutzer haben Kontrolle (Discretion) über ihre Daten, der Superuser (root, admin, ..) hat Kontrolle über alles. Ziel ist also Superuser zu werden, wenn man es geschafft hat, hat man das ganze System und alle Daten. D.h. man braucht lediglich einen Exploit in einem Dienst oder Prozeß der mit root-Rechten läuft. Für die Daten des Benutzers reicht natürlich einen Prozess anzugreifen der dem Benutzer gehört (z.B. Webbrowser).
Netzwerksicherheit
- Netzwerk Firewall
- Netzwerk überwachung (monitoring)
- Einbruchserkennung (Intrusion detection, IDS)
- Listenpunkt
- Web intrusion detection
- Demilitarisierte Zonen (DMZs)
- Zentrales Logging
- Überwachung der Sicherheit durch dritte
Links
Malware / Exploits
BSI
bmwa-sicherheitsforum IT-Grundschutzhandbuch Common Criteria IT-Sec Deutsche IT-Sicherheitskriterien
Methodik
OISSG - ISSAF Guideline on Network Security Testing NIST IEEE Standard for Software Test CVE-Compatible Products and Services
Dokumente
Bücher
Penetration Tester's Open Source Toolkit InfoSec Career Hacking: Sell Your Skillz, Not Your Soul Penetration Testing and Network Defense Google Hacking for Penetration Testers Hack I.T. -- Security Through Penetration Testing
Konferenzen
siehe Events
Standards
- Bewerten des Sicherheitsniveaus auf Basis von BS7799,BSI-GSHB, ISO13335
- ISO 27001 (war: BS 7799-2)
- ONR 17700 in Österreich
- Bewerten von Geschäftsprozessen (insbesondere bei Outsourcingnehmern) nach ITIL ITIL books
- CC
gesetzl. Vorgaben
- Sarbanes-Oxley
- HIPAA
- Basel-II
- GLBA
Anforderungen an Sicherheitsexperten
- Sehr gute Netzwerkkenntnisse
- Abgeschlossenes Studium im Bereich Informatik/Telco oder vergleichbare Ausbildung
- (Berufserfahrung)
- Sehr gute Kenntnisse in den Bereichen
- Betriebsysteme: Microsoft, Unix, Linux, Solaris, MacOS
- Applikationen: Webserver, Applikationsserver, Datenbanken
- Netzwerkmanagement und Monitoring (Opensource-Produkte):
- Security Policies + Sicherheitskonzepte
- (aktive) Netzwerkkomponenten
- Kryptographie
- Security-Auditierung
- Firewall
- Loadbalancer
- Intrusion Detection/Prevention
- Content-Security
- E-Mailverschlüsselung
- Authentifizierung/Autorisierung
- PKI-Infrastruktur (public-key-Infrastrukturen)
- Webapplikationen und Netzwerke
- Gute Produktkenntnisse von Lösungsanbietern
- Checkpoint, Nokia, Juniper, Cisco, PGP, RSA Security u.a.
Zertifikate
- Technology Consultant SAP NetWeaver
- SAP Security
- BS 7799/ISO-17799 (siehe auch Standards)
- Certified Information System Security Professional [CISSP]
- Certified Information System Auditor [CISA]
- Certified Information System Manager [CISM]
Herstellerspezifische Security Zertifizierungen
z.B. Cisco, Checkpoint, Symantec, Microsoft:
- Checkpoint Certified Security Engineer
- CISCO Certified Network Professional
- Sun Certified Network Administrator
- MCSE Security
soft skills
- überdurchschnittliches Engagement
- hohe Motivation zur autodidaktischen Weiterbildung
- sehr gutes bis gutes Englisch
- Verhandlungs-, Kommunikationsstärke sowie Durchsetzungsvermögen
- sehr gute Belastbarkeit
- projektbezogene Mobilität – auch für kurze Einsätze im Ausland
- die Fähigkeit zur professionellen Präsentation
- von Lösungen
- Leistungen
- Projektergebnissen
- Hohe Kundenorientierung
- (Umfangreiches und aktives Kontaktnetzwerk bei Vertrieb)
- Starke vertriebliche und technische Ausprägung