Ziel erfaßt Die Schutzziele der IT-Sicherheit

Transkript

1 Mitglied der Helmholtz-Gemeinschaft Ziel erfaßt Die Schutzziele der IT-Sicherheit 8. Oktober 2013 gon Grünter

2 Inhalt Warum Sicherheit? Was ist Sicherheit? Bedrohungen Schutzziele Schutzmaßnahmen Fragen Links 2

3 3

4 Quelle: 4

5 Dokumentierte Vorfälle des FZJ-CRT Anzahl Vorfälle

6 Was ist Sicherheit? Sicherheit, 1) Zivilrecht: Bürgschaft, Pfand oder jeder Vermögenswert, der zur Sicherheitsleistung gebracht wird. 2) objektiv das Nichtvorhandensein von Gefahr, subjektiv die Gewissheit, vor möglichen Gefahren geschützt zu sein. 6

7 Was ist Sicherheit? Sicherheit, 1) Zivilrecht: Bürgschaft, Pfand oder jeder Vermögenswert, der zur Sicherheitsleistung gebracht wird. 2) objektiv das Nichtvorhandensein von Bedrohungen, subjektiv die Gewissheit, vor möglichen Bedrohungen geschützt zu sein. 7

8 Schutzziele Vertraulichkeit Daten sind nur für befugte Personen zugänglich Integrität Daten sind korrekt und unverändert Authentizität Daten stammen vom vorgeblichen rzeuger Verfügbarkeit Daten können von befugten Personen genutzt werden 8

9 Angriffsziele INTRNT 9

10 INTRNT Angriffe auf Kommunikationswege 10

11 Quelle: 11

12 Angriffsziele Angriffe auf Computer INTRNT Angriffe auf Kommunikationswege 12

13 Angriffsziele Angriffe auf Computer INTRNT Angriffe auf Kommunikationswege Angriffe auf Daten 13

14 Systematik der Bedrohungen unabsichtlich absichtlich nicht-technisch aktiv passiv technisch 14

15 Systematik der Bedrohungen unabsichtlich absichtlich nicht-technisch aktiv passiv technisch 15

16 Beispiele Ausfall der Stromversorgung durch Witterungseinflüsse technisch unabsichtlich aktiv 16

17 Beispiele Unerlaubte Überweisung von einem Girokonto auf ein anderes über das Internet nicht-technisch absichtlich aktiv 17

18 Klassische Bedrohungen S N D R M P Ä N G R Ungestörter Datenaustausch 18

19 Unbefugter Informationsgewinn S N D R M P Ä N G R Dritter Angriff auf die Vertraulichkeit: passiv absichtlich o. unabsichtlich technisch o. nicht technisch Gegenmaßnahmen: Verschlüsselung, Zugriffskontrolle 19

20 Unbefugte Modifikation S N D R Dritter M P Ä N G R Angriff auf die Integrität: aktiv absichtlich o. unabsichtlich technisch Gegenmaßnahmen: Prüfsummen, Verschlüsselung, Zugriffskontrolle 20

21 Unbefugte rzeugung S N D R Dritter M P Ä N G R Angriff auf die Authentizität: aktiv absichtlich (in der Regel) technisch o. nicht-technisch Gegenmaßnahmen: insatz von digitalen Zertifikaten 21

22 Unbefugte Unterbrechung S N D R Dritter M P Ä N G R Angriff auf die Verfügbarkeit: aktiv absichtlich technisch Gegenmaßnahmen: Hochverfügbarkeit, Back Up 22

23 Schutzziele Vertraulichkeit Daten sind nur für befugte Personen zugänglich Integrität Daten sind korrekt und unverändert Authentizität Daten stammen vom vorgeblichen rzeuger Verfügbarkeit Daten können von befugten Personen genutzt werden 23

24 Schutzmaßnahmen 24

25 Der Kontext zählt! 25

26 Der Kontext zählt! 26

27 Schutzmaßnahmen JuNet Zentrale Schutzmaßnahmen Dezentrale Schutzmaßnahmen JuNet-Firewall insatz lokaler Firewalls HTTP-Proxy (demnächst) Kaspersky Virenscanner X.509 Zertifikate und RA im Rahmen der DFN-PKI Virenschutz (-Mail, Kaspersky) Passwort Policy Festplattenverschlüsselung Dokumentation sicherheitsrelevanter Aspekte Angriffserkennung, Forensik Bewertung von -Mails bezogen auf Authentizität Nutzung persönlicher X.509- Zertifikate 27

28 Fazit IT-Sicherheit ist wichtig Bedrohungen analysieren und Schäden quantifizieren Schutzziele: Vertraulichkeit Integrität Authentizität Verfügbarkeit JSC TKIs als Information u. mpfehlung zu IT-Sicherheit 28

29 Fragen? Sure, we re paranoid. But are we paranoid enough? 29

30 Links Open Source Vulnerability Database Submarine Cable Map Technische Kurzinformationen des JSC Technische Warnungen Bürger-CRT