IT-Sicherheit

• IT hat eine wachsende Bedeutung für Unternehmen dadurch ergibt sich ein größes Schadensrisiko wenn IT-Systeme nicht vor Angriffen geschützt sind

• Angriffe auf IT lassen sich auf viele unterschiedliche Wege begehen und können die gesamte Unternehmensexistenz gefährden

• IT-Sicherheit ist ein Komplexes Konstruktur aus Wirkungszusammenhängen, Analysen und Maßnahmenpakten auf technischer, organisatorischer und physischer Ebene

• IT-Sicherheit sollte ganzheitlich betrachtet werden —> IT Sicherheitsmanagement inkl. Prozesse

• IT-Risikmanagement ist der Teil des Gesamtenrisikomanagements der sich mit IT-spezifischen Risiken beschäftigt

• Aufgaben sind

  • IT Security Management integrieren

  • IT-Governance unterstützen,forcierne und beachten

  • Organisation des IT-Risikomanagement

  • Prozess des IT-Risikomanagements definieren und etablieren

  • Auswirkungen des IT-Risikomanagements auf andere Prozesse berücksichtigen

    
    

• Corporate Governance ist das System mit welchem Geschäftsgesellschaften geführt und kontrolliert werden. Die Corporate Governace Struktur spezifiziert die Verteilung von Rechten und Verantwortlichkeiten unter den verschiedenen Mitgliedern im Unternehmen, wie #aufsichtsrat, Geschäftsleitung. Anteilseigner und Anspruchsgruppen und drückt die Regeln Verfahren aus um Entscheidungen in Unternehmensangelegenheiten zu fällen. Daneben stellt sie strukturen zur Verfügung um die Unternehmensziele zu bestimmen sowie die Mittel um diese zu erreichen

• Befolgen von Gesetzen / vorschriften

• Einhalten anerkannter Standards und Umsetzen zugehöriger Empfehlungen

• Entwickeln und Befolgen eigener Unternehmensleitlinien

• Erarbeiten und Implementieren definierter Leitungs- und Kontrollstrukturen

• Für bestand von Organisation müssen die wichtigen Geschäftsaktivitäten auch bei Beeinträchtigung fortgeführt werden können

• business Continuity bezeichnet Aufgabe das herzustellen, ist mit IT-Risikomanagement und Corporate Governance verbunden

• Ablauf der Geschäftsaktivitäten heute stark von IT ab und somit ist bei IT-Ausfällen auch die Business Conitnuity betroffen

• Business Continuity Planning um Risiken bei Ausfall zu begegnen

• Festelegung von Zielen fürs risikomanagement auf Basis von Unternehmenszielen / Stratgien

• Bestimmung relevanter Aspekte und kritischer Erfolgsfaktoren

• Festlegen risikomanagementstrategie

• Sepzifikation Risikomanagementprozess

• Identifikation Bedrohungen und Ableitung Risiken

• Bewertung risiken

• Bewältigung Risiken durch definieren und umsetzen von Maßnahmen

• Überwachung Durchführung und Wirksamkeit von Maßnahmen

• Nachweis Wirksamkeit der Maßnahmen / Reporting

• ständige Beobachtung Steuerung der Bedrohungslage

• Risikomanagement dient der Absicherung wichter Geschäftsaktivitäten

• Kennzeichen für gute Corporate Goverance

  • funktionsfähige Unternehmensleitung

  • Interesse der relevanten gruppen sind gewahrt

  • zielgerichtete Zusammenarbeit der Unternehemensleitung die wirksam überwacht wird

  • Unternehmenskommunikation mit größer Transparenz

  • wirksames Risikomanagement

  • Managemententscheidungen sind auf langfristige Wertschöpfung ausgerichtet

• Beitrag des IT-Risikomanagement zum wirksamen Risikomanagement

• Corporate governance wird allgemein durch die IT gestützt. deren funktiuonsfähigkeit auch vom Management der IT-Risiken abhängt

• Planung des IT-Riskomanagements und Business Continuity integriert sein

• Die unterschiedlichen Planungsebenen der Business Continuity haben bezug zum IT-Risikomanagement

• Business Continuity Plan: alle für nachhaltigen Geschäftsbetrieb und dessen aufrechterhaltung notwendigen plannung

• Operations Continuity Plan: fokus auf aufrechterhaltung des Betriebs

• Disaster Recovery Plan: Maßnahmen nach einem katastrophalen Ereignis zur wiederaufnahme des Betriebs

• Vulnerability and Incident Response Plan: Planum Fääle von Softwarefversage oder Sicherheitsangriffen zu begegnen

• IT Contingency Plan: Maßnahmen bei IT-Störungen IT wieder verfügbar zu machen

• Business Recovery Plan wie Geschäfts an einem anderen ort wieder hergestellt werden kann

• Planungsebenen sind verknüpft

• 1995 veröffentlichung der British Standards BS 7799-1 von der Britiishen nationalen Normenorganisation --> enthielt Hinweise, Maßnahmen und Best-Practices zur Informationssicherheit, update 1998 v2 mit Modell zum ISMS, weitere Versionen die später in interationale ISO umbenannt wurden

• Familie der Normen ISO /IEC 2700x umfassen methodisch / inhaltlich Modell zum ISMS und Vorgaben zu definieren

• ISO /IEC 27000 ISMS Überblick und Vokabeln

• ISO / IEC 27001 ISMS Anforderungen

• ISO / IEC 27002 Code of practice IS controls

• ISO / IEC 27003 ISMS Implementierungs Guide

• ISO / IEC 27004 ISMS Measurement

• 27005 Information Security Risk management

• 27006 Requirements for bodies prodividing audit and certification of ISMS

• 27007 Guidelines for ISMS auditing

• weiter Normen in Ausarbeitung , insbesondere zu konkreten technischen Aspekten Bereich 30-44

• Die Organisation muss ein dokumentiertes ISMS im Kontext ihrer allgemeinen Geschäftsaktivitäten und der Risiken der sie sich gegenübersieht festlegen, umsetzen, durchführen,überwachen, überprüfen, instand halten und verbessern. Für diese internationale Norm basiert der angewandete Prozess auf dem PDCA-Modell

• Beschreibt die Anforderderungen für ein ISMS

• Anforderungen sind generisch damit sie auf alle Organisation passen

• Dadurch müssen Zwischenschritte zur Anpassung auf das eigene Unternehmen bei der Umsetzung erfolgen

• Dabei kann z.B. die Grundschutzvorgehensweise des BSI 100-3 unterstützen

• Norm orientierzt sich am PDCA Zyklus --> pro Schritte initialie und kontiniierliche Schritte mit Teilanforderungen

• 1. Festlegen des ISMS Plan 2. Umsetzen und Durchführen des ISMS, 3. Überwachen und Überprüfen des ISMS 4. Instandhalten und Verbessern des ISMS

• Norm unterscheidet nicht den Aufwand der Schritte

• Kapitel 4 ist Kernkapitel

• Festlegen auf weile Teile der Organisation das ISMS angewendet werden soll, Grundlage für die weiteren Schritte

• Aufteilung kann auf unterschiedlichen Ebenen ( Prozess, räumlich, organisatorisch) erfolgen

• ISMS sollte umfassend angwendet werden u.a auf Eigenschaften des Geschäfts, der Organisation, Standorts, Werte und Technologien

• Für Bereiche die es nicht anwenden müssen Begründungen vorliegen

• Der Prozess der Risikoeinschätzung soll über die Organisation hinweg einheitlich erfolgen und ist daher zu definieren

• So sollen Risikoeinschätzungen vergleichbar und reporduzierbar sein

• Teil der ISMS Leitlinie oder als Unterdokument

• Methode zur Einschätzung der IT-Risiken wird festgelegen unte Berücksichtigung der Unternehmensziele für IS + Gesetziche Anforderungen

• Kriterien zu Risikoakzeptanz und Identifzierung von akzeptalen Risikoniveaus definieren

• ISO gibt keine Methodik vor verweis auf Beispiele wie ISO / IEC TR 13335-3, andere Methoden möglich

• ISMS Leitline muss folgende inhalt haben

• Rahmen für Zielsetzung, generelle grunsätze für Aktion mit IS bezug

• geschäftsliche, gesetzliche / Amtliche Anforderungen, vertragliche Sicherheitsverpflichtungen

• strategisches Risikomanagementkontext der Organisation ist abgestimmt und wo darin das ISMS angesiedelt ist

• Kriterien festlegen wie Risiken bewertet werden

• ISMS Leitlinie muss vom Management genehmigt werden

• ISMS Leitlinie entspricht begrifflich der Security Policy aus LE 3

• Maßnahmen zur Senkung des Risikos definieren und anwenden (verringerung der Eintrittswahrscheinlichkeit oder des Schadenspotenzials)

• Bewusste objekte Akzeptanz der Risiken die als tragbar eingestuft sind

• Vermeidung von Risken indem z.B. die Schwachstelle durch die Risiko entsteht geschlossen wird

• Übertragung der Geschäftsrisiken auf andere z.B. durch Versicherung, Lieferanten, IT Risken auf Dienstleister übertragen durch Outsourcing. Häufig in Form eines Vertrages, mit Prüfungen ob das Vereinbarte Niveau gehalten wird ( Audit)

• Hier werden pro identifizierte Bedrohung der ptoenzielle Schaden und die Eintrittswahrscheinlichkeit identifiziert

• Einschätzung des geschäftlichen Schadens für die Organisation ( berücksichtigung Folgen Verlust von Integrität, Vertaulichkeit und Verfügbarkeit)

• Einschätzung der realistischen Eintrittswahrscheinlichkeit ( berücksichtigung existieriender Bedrohungen & Schwachstellen, bestehenden Maßnahmen

• Einschätzung des Risikoniveaus

• Bestimmung ob Risiken akzeptabel sind oder durch Maßnahmen behandelt werden müssen

• Norm stellt hier Bezug zwischen Risiken und zu schützenden wErten (Assets)

• Norm erweitert Risiko Begriff aus Modul darum das auch die Möglichkeit zum Verlust oder zur Beschädigung eines materiellen oder immaterielen Wertes und die Kombination mit dem damit verbundenen Auswirkungen ein Risiko ist

• Zuerst müssen die Assests im Anwendungsbereich des ISMS und ihre Eigentümer identifiziert werden --> Standard verfolgt die Strategie der Sicherheit durch Eigentümerschaft

• Identifizierung der Bedrohungen für die Assets ---> das sind Ereignisse die zum Verlust / Beschädigung eines materielen / immateriellen Wertes der Organisation führen können

• Identifzierung der Schwachstellen die durch die Bedrohungen ausgenutzt werden können

• Identifizierung der Auswirkungen die der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit auf die Assests haben können

• Norm unterscheidet sich in Terminologie von unserer im Modul

• In diesem Schritt werden Maßnahmenziele und Maßnahmen definiert

• die Maßnahmenziele sind ein übergeordnetes Ziel einer Gruppe von Maßnahmen

• Maßnahmen sind abstrakt formuliert und entsorechen eher anforderungen die durch mehere konkretere Einzelmaßnahmen abgedeckt werden soll

• Beispiel

• Sicherheitsziel_ Schutz vor unerlaubten Zutritt

• Maßnahme Sicherheitszonen über Zutrittskarten für Zugänge oder Pförtner müssen existieren

• Aus der maßnahme leiten sich konkrete standortspezifische untermaßnahmen ab, die aufeinander abgestimmt sein müssen

• Anhang A kann als Ausgangspunkt verwendet werden

• Am Ende dieses Schrittes sollte eine aufstellung der relevanten Risiken der Organisation vorliegen unterteilt in akzeptable und nicht akzeptale Risken mit den entsprechenden Maßnahmen

• Zustimmung des Managements zu den Restrisiken muss erfolgen

• Entscheidung durh die Organisationsebene die auch Entscheidungen zu weiteren Risikoreduktion und damit verbunden Maßnahmen inklusive Finanzierung treffen kann / verantworten muss

• Restrisikoabschätzung dient als Entscheidungsvorlage

• Genehmigung des Managements für die Umsetzung und Durchführung des ISMS

• Start der Einführung des ISMS mit Auftrag durch Management

• Dabei sollten Aufwände und auch Kosten fürs ISMS festgelegt werden und durch das Management beschlossen werden

• Dokumentation der Ergebnisse der vorherigen Schritte bei der Festlegung des ISMS um die weiteren Schritte durchzuführen und dabei einen Rückbezug möglich zu machen

• Dazu gehört:

• Aufstellung der Maßnahmenziele und Maßnahmen mit Begründung

• Liste der aktuell umgesetzten Maßnahmenziele und Maßnahmen

• Aufstellung der ausgeschlossenen Maßnahmenziele und Maßnahmen aus Anhang A mit Begründung

• Hier müssen für den Plan geeignete Aktion des Managements, Ressourcen, Verantwortlichkeiten und Prioritäten für das Management der IS-risiken identifiziert werden

• Nach Norm müssen folgende Aktionen durchgeführt werden

  • Festlegung und Verabschiedung ISMS Leitlinie

  • Aufgaben und verantwortlichkeiten für Informationssicherheit bestimmen

  • Bedeutung der Informationssicherheitziele und der einhaltung der ISMS Leitline deutlich machen

  • Bereitstlelung Ressourcen für Erstellung und Betrieb ISMS

  • Bestimmung Kriterien für Risikoakzeptanz und akzeptable Risikniveuas

  • regelmäßige interne ISMS Audits sowie Managementbewertung des ISMS festlegen

  • Für Do Phase muss all das vom management beschlossen werden

• Umsetzung des Risikobehandlungsplan um die Maßnahmenziele zu erriechen

• Der Plan umfasst die Managementaktivitäten unter einschätzung des zeitlilichen ablaufs sind die umsetzung des Risikobehandlungsplans und der Maßnahmen zeitlich nicht streng hintereinandern sondern parallel und teilweise mit einander gekoppelt

• Umsetzung der Maßnahmen durch konkrete nicht management Aktivitäten

• Maß definieren um die Wirksamkeit von Maßnahmen über die Organisation hinweg vergleichbar und reporduzierbar zu machen

• Allerdings ist die Definition eines Maß mit Herausforderungen verbunden und bleibt in der Praxis eher schwierig

• Umsetzung von Programmen für Schulung und Bewusstseinesbildung der Mitarbeiter

• Werden auch als Security Awarness Programme bezeichnet

• Sind teil der konkreten Umsetzungsmaßnahmen, werden wegen der Bedeutsamkeit gesonder aufgeführt

• Schritt supsummiert vorherige Schritte

• Dient dazu die bisher nicht aufgeführten Aktionen, die ggf. auch organisationsspezifisch sind zu benennen

• Ziel die notwendigen Ressourcen tatsächlich bereitzustellen und einzusetzen ( die im Risikobehandlungsplan geplant wurden)

• Ressourceneinsatz soll kontrolliert und gesteuert werden

• Ausführung von Verfahren zur Überwachung und Überprüfung und anderer Maßnahmen

• Fehler bei Ablauf / Durchführung des ISM Prozesses sollen sfort erkannt werden z.B. dadurch das Kompetenzen zur Überwachung und Kontrolle der ISMS Aktivitäten an einer Stelle gegeben werden

• Identifizierung von versuchten oder erfolgreichen Sicherheitsverstößen / Vorfällen

• Überprüfbarkeit ob sicherheitsaktivitäten korrekt ausgeführt werden herstellen für Managementebene --> Vergleich ob Umsetzungsprozess entsprechend der Dokumentation erfolgt sonst steuerung durch gegenmaßnahmen

• Entdeckung von Sicherheitsereignissen durch Indikationren um Sicherheitsvorfälle zu verhindern

• Bestimmen ob Beheben von Sicherheitsverstößen wirksam waren

• Messung der Wirksamkeit von Maßnahmen um zu bestätigen das die Sicherheitsanforderungen erfüllt werden

• Konkretisierung auf Maßnahmen

• Regelmäißge Überprüfungen der Wirksamkeit des ISMS und Einhaltung der ISMS Richtlinie

• Berücksichtigung der Ergebnisse von Audits, Sicherheitsvorfälle, Ergebnisse von Wirksamkeitsmaßen und Feedback

• Definieren von Kriterien an denen die Wirksamkeit gemessen wird

• Hauptkriterium ist ob die Anforderungen aus der ISMS Leitlinie erfüllt werden

• Dokumentation soll spätere Prüfung der Wirksamkeit unterstützen

• Entwurf und Umsetzung Verfahren zur Erkennung von Sicherheitsereignissen inlusive Reaktion auf solche

• Sicherheitsvorfall ist Ereignis was die Sicherheitsziele verletzt

• Erkennung erfolgt meist über MA die betroffenes IT-system nutzen / betreuuen z.B. Betriebsverantwortliche oder Nutzer

• Technische Verfahren zur Erkennung derzeit nur in einzelfällen z.B. intrusion detection auf Netzebene

• Ziel des Plans ist das die Reaktion auf incidents angemessen und zielgerichtet erfolgt

• Ziel einer gut definierten Security Incidents Response ist es neben schneller rückkehr in den normal Betrieb auch Beweissicherung, Analyse der Ursache und Verfolgung und Identifikation eines Täters

• Welche Priorität die einzelnen Ziele haben hängt vom Unternehmen und der Art und Schwere des Vorfalls ab

• Zum Security incidents response management gibt es auch Beziehungen zum Notfallmanagement und BCM

• interne ISMS Audits in regelmäßigen Abständen

• Ziel zu prüfen ob ISMS der Anforderungen der Norm und den relevanten gesetlichen Vorschriften erfüllt, weitere Anforderungen an die Informatinssicherheit erfüllt, wirksam umgesetzt und instand gehalten wird und den Erwartungen entspricht

• interne Audits werden von der Organisation selbst durchgeführt, oft in vorbereitung auf erforderliche externe Audits

• Vorgehen anhand eines Auditplans der Auditumfang, Auditoren, Audtitierungstiefe, Kritieren, Methode, Verantwortlichkeiten, Dokumentation der Durchführung und Ergebnisse sowie Häufigkeit und Zeitpunkte enthält

• Festlegung der Punkte anhand der Bedeutung der Prozesse und Bereiche die auditiert werden, sowie vorherige Auditergebnisse

• Bei Abweichungen muss das Managements des Bereich schnellsmöglich Maßnahmen ergreifen

• regelmäßige Überprüfung der Restrisiken und akzeptalen risikoniveaus auf Änderungen

• Änderungen sind u.a veränderungen an organisationsstruktur, technologien, geschäftszielen, rozessen, bedrohungslage, externe ereignise z.B. gesetzlich

• Prüfen ob es Änderungen gab und ob die Risikoeinschätzung angepasst werden muss und ggf. neue Maßnahmen definiert und umgesetzt werden müssen

• Mindestens einmal jährlich zur Prüfung ob das ISMS geeignet, angemessen und wirksam ist

• Ziel überprüfung anwendungsbereich und verbesserungen / änderungen am ISMS zu identifizieren

• Prüfungsergebnisse sollen dokumentiert werden

• Sicherhheitspläne sollen aktualisiert werden unter bezug auf ergebnisse von Überwachungs und Überprüfungsaktivitäten

• Sicherheitsplan wird von Norm nicht definiert, wir verstehen darunter alle in vorherigen Schritten dokumentierten Planungen zum erhalt der Informationssicherheit

• Ziel Verbesserungspotenziale auf Dokumentationsebene finden

• Umsetzung von Korrekturmaßnahmen welche die Abweichungen von Soll Zuständen adressieren und beheben

• Norm fordert dokumentiertes Verfahren nach folgenden Schritten:

• Identifizierung Nichtonformitäten

• Ermittlung der Ursachen dieser

• beurteilung Handlungsbedarf das die nichtkonformität sich nicht wiederholt

• Bestimmung und Umsetzung Korrektur / Vorbeugungsmaßnahmen

• Dokumentieren Ergebnis ergriffener Maßnahmen

• Überprüfen der ergriffenen Maßnahmen auf wirksamkeit

• Betroffene relevante Personen sollen in regelmäßigen abständen / Umständen informiert werden über Maßnahmen und Verbesserungen

• Detailgrad und vorherige Abstimmung ist von Umständen abhängig

• Personen die von Änderungen betroffen sind sollen informiert werden um auch das Bewusstsein für IS aktiv zu halten

• Wird durch die Schritte der Check ( Überwachen und überprüfen des ISMS) erreicht

• Hier sollen die Ergebnisse der Act ( Instandhalten und verbessern des ISMS) schritte gereviewt werden

• umfangreiche Dokumentationsanforderungen um Entscheidungen / Aktivitäten rückverfolgen zu können u.a zur Leitlinie

• Folgende Dokumente werden gefordert

• Erklärung der ISMS Leitlinie und Ziele

• Anwendungsbereich ISMS

• Verfahren und Maßnahmen die ISMS unterstützen

• Beschreibung Methode Risikoeinschätzung

• Bericht Risikoeinschätzung

• Risikobehandlungsplan

• Verfahren zur wirksamen PDCA der IS- Prozesse inklusive Maßnahmen zur Wirksamkeitsmeessung

• Aufzeichungen die in den PDCA Schritten gefordert werden

• Erklärung zur Anwendbarkeit

• Dokumentation muss aktuell, qualitativ und verfügbar sein

• Nachweis der Konformität des ISMS zu Anforderungen durch erstellte & aktuelle Aufzeichnungen

• Unterscheidung in Norm zwischen Verbesserungen, Korrektumaßnahmen und Vorbeugungsmaßnahmen

• Hier umsetzung der erkannten Verbesserungen im ISMS

• Verbesserungen beziehen sich auf die Wirksamkeit des ISMS und wurden in vorherigen Schritten identifiziert

• Anforderungen und Maßnahmen der Norm auf sehr abstrakter ebene

• Für Umsetzung müssen maßnahmen konkretisiert werden auf die Organisation insb. Risikoidentifizierung, Maßnahmen definition

• IT-Grundschutz konretisiert die Norm da die IT-Infrastruktur und die Nutzungsszenarien ähnlich sind und damit auch Schadensszenarien und Bedrohungslagen und der sich daraus ergebende Schutzbedarf

• Norm formuliert Anforderungen, Grundschutz konkretisiert Bedrohungen und technische, organisatorische und physische Maßnahmen

• enthalten Standardbedrohungen mit Standardmaßnahmen die einzeln oder mit anderen Maßnahmen der Bedrohung begegnen

• Analyse von Standardszenarien kann schneller erfolgen, indem aus dem Katalog die relevanten Gefährdungen identifziert werden und der im Katalog identifzierte Schutzbedarf verwendet wird

• Soll - Ist Vergleich zwischen den Schutzbedarfen und den getroffenen Maßnahmen aktuell. Fehlende Maßnahmen aus Katalog identifzieren und umsetzen im Rahmen des IT-sicherheitskonzepts

• Durchs umsetzen erhält man ein Standardsicherheitsniveau

• Grundschutzmaßnahmen sind ausreichend und angemessen für Schutzbedarf normal

• Für höhere Schutzbedarfe müssen detailierte Risikobetrachtung und Maßnahmen definierung erfolgen

• Aber Grundschutzmaßnahmen sind guter erster schritt zur Absicherung um darauf aufzubauen

• Einteilung in normal, hoch , sehr hoch

• Einteilung erfolgt für Eintschätzung des benötigten Sicherheitsniveau

• BSI Standard 100-1 : Managementsysteme für Informationssicherheit

• BSI-Standard-100-2: Vorgehensweise nach IT-Grundschutz

• BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz

• BSI Standard 100-4 Notfallmanagement

• - Zertifizierung nach ISO 27001 auf basis des IT-Grundschutzprüfschemas für Auditoren

• IT- Grundschutzkatalog

  • enthält die aktull gültige Fassung des Grundschutzhandbuchs

  • enthätl Baustein- Gefährdungs und Maßnahmenkatalog

• BSI 1 definiert allgemeine Afos an ISMS

• Eng an ISO Vorgaben aus 27001 und Empfehlungen von ISO 13335 und 17799 orientiert

• hier werden die ISO Standards und ziele dargestellt und so gegliedert das sie zur Grundschutzvorgehensweise passen

• Ziele und Rahmenbedingungen beeinflusen die IT-Sicherheitsstrategie

• IT- Sicherheitskonzept und IT Sicherheitsorganisation sind Hilfsmitel zur Umsetzung der Strategie

• IT-Sicherheitsleitlinie dokumentiert die wesentlichen Punkte und den Auftrag durchs Management

• IT Sicherheitsorganisation beinhaltet Regeln, Anweisungen, Prozesse und organisationsstruktur

• IT-Sicherheitskonzept enthält Beschreibung IT-Struktur, Risikobewertungen und Maßnahmen

• BSI Standard 100-2 beschreibt IT-Grundschutzvorgehensweise vom Aufbau zum Betrieb eines ISMS

• Kernthemen

• Aufgaben des IT-Sicherheitsmanagements

• Aufbau einer IT-Sicherheitsorganisation

• Erstellung IT-Sicherheitskonzept

• Aufrechterhaltung & Verbesserung der IT Sicherheit im laufenden Betrieb

• Initiierung des IT-Sicherheitsprozess dazu gehört

• Verantwrotung der Leitungsebene

• Konzeption und Planung des IT-Sicherheitsprozesses

• Auswahl und Etablierung einer Organisation für das IT Sicherheitsmanagement

• Erstellung der IT-Sicherheitskonzeption

• Umsetzungg der IT- sicherheitskonzept dazu gehören Realisierung der IT-Sicherheitshmaßnahmen und Schulung & Sensibilisierung

• Aufrechterhaltung der IT-Sicherheit im laufenden Betireb

• Geschäftsführung trägt Gesamtverantwortung für IT Sicherheit

• Für die operativ Arbeit und umsetzung sieht Grundschut einen IT-Sicherheitsbeauftragten vor

• Übernahme durch Leitungsebene muss erfolgen damit auch Ressourcen für die Umsetzung bereitgestellt werden und für Risikoakzeptanz

• Unternehmensführung startet Initative für IT-Sicherheit und unterstützt das Thema durch Ressourcen und Vorbildsfunktion

• Leitung muss integration der IT-Sicherheit in alle relevanten Geschäftsbereiche unterstützen z.B. durch Sicherheitsziele pro Bereich

• Erhebung der relevanten Geschäftsprozesse und ihr Bezug zur Informationsverarbeitung

• zu jedem Geschäftsprozess Informationseigentümer, welche Informationen verarbeitet werden, schützbedürftigkeit der verarbeiteten Informationen (auch mit Sicherheitsschutzziele bezug), kritikalität des Prozesses für Geschäft

• Ziel Übersicht über Prozesse und ihren IT Bezug bekommen, als Basis für spätere Schritte

• neben internen sollen auch externe Rahmenbedingungen wie Gesetze, Verträge, Anforderungen von Kunden / Lieferanten betrachtet werden

• Ergebnisse sind einheitlich zu dokumentieren

• Allgemeine IT-Sicherheitsziele abgeleitet aus Unternehmenszielen und Rahmenbedingungen, später verwendung in Sicherheitskonzept und IT-Sec Orga

• Beispiel aus BSI: hohe Verlässlichkeit im Handeln und Umgang mit Informationen, Ruf gewährleisten, Sicherung wichtiger Informationen

• Sicherheitsziele dienen auch der Festlegung des Sicherheitsniveau für Vertraulichkeit , Integrität und Verfügbarkeit

• Niveau sollte angemessen für das Unternehmen sein, zu niedrig wird Anforderungen nicht gerecht, zu hoch ist Kosten / Ressourcen intensiv

• Verantwortung der Unternehmensleitung für IT-Sicherheitsleitlinie

• Festlegung des Geltungsbereichs der IT-Sicherheitsleitlinie

• Inhalte der Sicherheitsleitlinie

• Einberufung einer Entwicklungsgruppe für IT-Sicherheitleitlinie

• Bekanntgabe der IT-Sicherheitsleitlinue

• Aktualisierung der IT-Sicherheitsleitlinie

• expliziter Auftrag der Geschäftsführung zur Erstellung der Leitlinie

• Für möglichst große Akzeptanz der Leitlinie einbindung von IT-betrieb, Anwendung, Sicherheit, Personalabteilung, Revision, Rechtsabteilung, Betriebsrat

• Auf welche Bereiche die Leitlinie angewendet wird

• Typisch gesamte Organisation

• Falls nur Teilbereiche dann nur mit Begründung, auch bei Teilbereichen sollten die sicherheitskrtischen Geschäftsprozesse / Informationen abgedeckt sein

• Stellenwert der IT-Sicherheit und Bedeutung IT für die Aufgabenerfüllung

• Bezug der IT-Sicherheitsziele zu den Geschäftszielen und Aufgaben

• Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die IT

• Zusicherung das IT-Sicherheitsleitlinie durchgesetzt und kontrolliert wird

• Beschreibung der Umsetzung des IT-Sicherheitsorganisation

• Gruppe wird gebildet um die Leitlinie zu erstellen

• Gruppe sollte aus Vertretern der IT-Anwender, IT-betrieb und MA mit IT-Sec Hintergrund bestehen, idealerweise ein Mitglied der Geschäftsführung

• BSI Standard will das alle MA Inhalte der IT-Sicherheitsleitlinie kennen

• neue MA sollen Leitlinie erklärt bekommen vor Arbeit mit Informationen

• Geschäftsleitung soll formell Leitlinie verabschieden

• Leitlinie soll möglichst einfach zugänglich sein z.B. im Intranet

• Bereitstellung Ressourcen für IT-Betrieb um ordnungsgemäßen Betrieb sicherzustellen, danach Sicherheitsbetrachtungen

• Zugriff auf externe Ressourcen z.B. Experten für spezielle Fragestellungen

• Ressourcen für Sicherheitsmanagementteam um Steuerung und Kontrolle zu gewährleisten

• Ressourcen zur Überprüfung der IT-Sicherheit

• Bereitstellung der Ressourcen unter Beachtung von Wirtschaftlichkeit und Angemessenheit

• in regelmäßigen Abständen Leitlinie auf Aktualität überprüfen und anpassen

• Anpassung meist wenn Geltungsbereich, sicherheitsziele, Sicherheitsniveau oder Sicherheitsstrategie sich verändert haben

• Strukturanalyse der IT-Verbunds

• Schutzbedarfsfestellung

• IT-Grundschutzanalyse

• ggf. ergänzende Sicherheitsanalyse mit Risikoanalyse

• ggf. Konsolidierung der Maßnahmen

• Realisierung der Maßnahmen

• Kontinuierlicher Prozess

• IT-Verbund ist die Gesamtheit von ifnrastrukturellen, organisatorischen, personellen und technischen Komponenten die der Erfüllung der aufgaben in einem festgelegten Anwendungsbereich der Informationsverarbeitung dienen

• Der IT-verbund wird festgelegt für die weiteren Schritte der Sicherheitskonzepterstellung und ist der Geltungsbereich dieses

• IT-Verbund kann auch gesamte IT der Organisation umfassen oder nur Teile

• Netzplanerhebung

• Ergebung der IT-Systeme

• Erfassung der Anwendungen und der zugehörigen Informationen

• Erfassung der IT-Räume

• Kompleitätsreduktion durch Gruppenbildung

• grafischer Netzplan mit folgenden Systemen

• IT-Systeme z.B. Clients, Server, Router, Access Points

• Netzverbindungen zwischen Systmen z.B. LAN, WLAN

• externe Netzanbindungen z.B. Einwahlzugänge, Router, Leitungen zu entfernteren Standorten

• Netzplan sollte regelmäßig aktualisiert werden

• Für jedes IT-System müssen folgende Angaben gemacht werden

• eindeutige Bezeichnung

• Typ und funktion

• zugrundeliegende HW- und Betriebssystemplattform

• Standort

• zuständiger Administrator

• vorhandene Kommunikationsschnittstellen

• Art der Netzanbindung und die Netzadresse

• Überttragung der in Netzplan enthalten IT-Systeme in Tabellenform

• Prüfen ob es noch weitere nichti m Netzplan enthaltene system gibt

• gleichartige Systeme können zu Gruppen zusammengefasst werden

• folgende Angaben sind pro IT-System zu machen

• eindeutige Bezeichnung

• beschreibung ( Funktion und Typ)

• Plattform ( HW / betriebssystem)

• bei Gruppen Anzahl der zusammengefassten IT-Systeme

• Aufstellungsort des Systems

• Status des IT-Systems ( in Betrieb, im Test, in Planung)

• Anwender / Administrator

• erfassung der wichtigsten / geplanten Anwendungen pro IT-System

• Anwendungen werden IT-System zugeordnet auf dem sie ausgeführt werden

• Übersicht über die wichtigsten Anwendungen, auf welchen IT-System sie laufen und von welchen IT-Systemen sie genutzt werden

• erstellen Übersicht aller Räume in denen IT-System aufgestellt oder für IT-betrieb genutzt werden

• Räume in denen schutzbedürftige Informationen aufbewahrt werden

• IT-Grundschutzz addressiert auch physische Sicherheit

• gleichartige Komponenten werden zu Gruppen zusammengefasst nach folgenden Kriterien

• gleicher Typ

• gleich / nahzu gleich konfiguriert

• gleich / nahzu gleich im Netz eingebunden

• gliechen administrative und infratrukturelle Rahmenbedingungen

• gleiche Anwendungen bedienen

• gleichen Schutzbedarf

• Reduzierung der Komplexität durch Gruppenbildung bei gleichzeitiger Abdeckung

• Beispiel Clientrechner in Büros

• normal: Schadensauswirkungen sind begrenzt und überschaubar

• hoch: Schadensauswirkungen könen beträchtlich sein

• sehr hoch: Schadensauswirkungen können ein existenziell bedrohliches / katastrophales Ausmaß erreichen

• Schutzbedarfskateogiren und Schadenskateogorien werden kombiniert zur besseren Einschätzbarkeit

• Definition Schutzbedarfskategorien

• Schutzbedarfsfestellung der Geschäftsprozesse und der zugehörigen Anwendungen in typischen Schadensszenarien

• Ableitung des Schutzbedarf der IT-Systeme

• Ableitung des Schutzbedarfs der Übertragungsstrecken und der Räume

• Ergebnis Tabelle mit allen Objekten aus der Strukturanalyse und Schutzbedarf für Vertraulichkeit, integrität und Verfügbarkeit

• Verstoß gegen Gesetze / vorschriften / Verträge

• Beeinträchtigung der informationellen Selbstbestimmungsrechts

• Beeinträchtigung der persönlichen Unversehrtheit

• Beeinträchtigung der Aufgabenerfüllung

• negative innen / außenwirkung

• finanzielle Auswirkungen

• Schadenskategorien und Schutbedarfskateogrien werden kombiniert um Schutzbedarf besser zu ermitteln

• Ermittlung der Schadenshöhe pro Szenario in dem eine Schadenskateogire, ein Geschäftsprozess mit seiner Anwendung und den Informationen und dem verlust eines Grundwertes betrachtet wird ( einbeziehung der Anwendungsverantwortlichen und Anwender)

• Aus Schadenshöhe ergibt sich der Schutzbedarf der Anwendung

• Höhe des Schadesn aus direkten Schäden wie Sachschäden und indirekte Kosten z.B. Wiederherstellung zusammen

• BSI-Standard liefert Fragestellungen zu den einzelnen Schutzzielen und den Konsequenzen bei Verletzunng dieser zur unterstützung

• Schutzbedarf der IT-Systeme leitet sich aus den Anwendungen ab die auf dem IT-System laufen

• Beim Maximumprinzip bekommt das IT-System den Schutzbedarf der am höchsten bewerteten Anwendung

• Wenn eine schützbedürftige Anwendung A von einer weniger schutzbedürftigen Anwendung B abhängt so überträgt sich der Schutzbedarf von A auf B und damit auch auf das IT-System von A und B --> Kumulationseffekt

• Verteilungseffekt: wenn eine Anwendung mehrere IT-Systeme benötigt, kann der Schutzbedarf der einzelnen Systeme niedriger sein wenn es ein weniger bedeutender Teil der Anwendung ist

• Schutzbedarfsfestellung von IT-Systmen soll in Tabelle vermerkt werden für Vertraulichkeit, Integrität und Verfügbarkeit

• kann über Ableitung von Schutzbedarf der Geschäftsprozess und Anwendungen erfolgen oder

• Ausgangspunkt alle kritischen Systeme

• alle außenverbindungen z.B. ins Internet sind kritisch

• alle Verbindungen von einem hoch / sehr hoch bewerteten IT-System sind kritisch

• alle Verbindungen über die hochschutzbedürftige Informationen übertragen werden sind kritisch

• alle andernen Verbindungen sind weniger kritisch

• Ergebniss in Tabelle dokumentieren

• Schutzbedarf für Räume leitet sich aus Schutzbedarf der IT-Systeme ab nach dem Maximalprinzip, Kumulationseffekte sind ebenfalls zu beachten

• Beschreibung des Standardszenarien, betrachetete Komponenten, vorgehensweisen und IT-Systeme

• Gefährundslage mit typischen gefährdungen, Eintrittswahrscheinlichkeiten, Verweis auf nummern in Gefährdungskatalog

• Maßnahmen: Maßnahmenpaket zur Gefährdungslage mit Infrastruktur, Personal, Organisation, HW, SW, Kommunikation und Notfallvorsorge

• relevanten Bausteine identifizieren und Maßnahmen umsetzen für ein normales Sicherheitsniveau

• Bausteinestruktur ist modular

• In Reihenfolge der Bausteingruppen ( Übergeordnete Aspekte, Infrastruktur, IT-Systeme, Netz und Anwendungen)

• Pro Baustein identifizieren ob er relevant ist, wenn ja wird er in Modellierung berücksichtigt, dabei werden die Zielobjekte des Bausteins imIT-verbund identifziert

• Bausteingruppen werden auch als Schichten bezeichnet

• Übergeordnete Aspekte

  übergreifende Aspekte die für gesamten / großteil des IT-Verbunds relevant sind z.B. übergreifenden Konzepte, IT Sicherheitsorga & Management usw.

• Infrastruktur

betrachtet baulich-technische Aspekte wie Gebäude, Serverraum, Schutzschrank, häuslicher Arbeitsplatz

• IT-Systeme

Aspekte zu IT-Systemen / Gruppen von diesen wie Client / Serversysteme dabei z.B. Telekommunikation

• Netz

spekte der Vernutzung wie Heterogene Netze, Remote Access

• Anwendungen

  Aspekte zu genutzten Anwendungen z.B. E-Mail, Webserver, Datenbanken

• bei größeren Mengen an umzusetzenden Maßnahmen ist ein priorisierte realistische Planung der Umsetzung notwendig. BSI gibt folgende Schritte

• Sichtung der Untersuchungsergebnisse

• Konsolidierung der Maßnahmen

• Kosten- und Aufwandsschätzung

• Festlegung der Umsetzungsreihenfolge

• Festlegung der Aufgaben und Verantwortungen

• Realisierungsbegleitendende Maßnahmen

• Aus Ergebnisse der Soll-Ist Analyse werden fehlende Maßnahmen exportiert und in neuer Tabelle zusammengefasst

• Basis-Sicherheitscheck ist ein Soll- Ist-Vergleich zwischen den Vorgaben aus den Bausteinen und dem Umsetzungsstand (häufig erhebung als Interviews)

• zu jedem Maßnahmenpaket aus Baustein wird Umsetzungsgrad ermittelt

• Ja bedeutet alle Empfehlungen sind vollständig und wirksam umgesetzt

• Teilweise heißt einige sind umgesetzt andere jedoch noch nicht oder nur teilweise

• Nein bedeutet das die Empfehlungen größtenteils noch nicht umgesetzt sind

• entbehrlich wenn eine Maßnahmenumsetzung nicht notwendig ist ( nur mit begründung zulässig)

• Ergebniss ist als Tabelle mit folgenden Angaben zu dokumentieren

• Bezeichnung der Komponente

• Standort

• Erfassungsdatum, Erfasser und Ansprechpartner

• Umsetzungsgrad

• Prioritäten

• Kostenschätzung

• ggf. Bemerkung

• Ähnliche / redudante Maßnahmen aus Maßnahmenliste werden zusammengefasst

• Adaption der abstrakten Maßnahmenempfehlungen auf konkrete organisatorische und technische Gegegenheiten der Organisation

• Überprüfung der Eignung, Wirksamkeit und Kompatibilität zu den Geschäftsprozesse der Maßnahmen

• Für jede Maßnahme Schätzung der Investitionskosten, Personalaufwand und wiederkehrende Kosten

• Schätzung dient dazu die wirtschaftlichkeit der Maßnahmenumsetzung zu bewerten

• Schätzung entscheidungsbasis für Geschäftsführung für das Budget

• Budget und personal häufig nicht ausreichend um Maßnahmen sofort umzusetzen, daher Reihenfolge festlegen nach Kriterien

• Maßnahmen der Phase Planung und Konzeption zuerst vor Umsetzung und Betriebs phasen

• Einstufung der Maßnahme in Qualifizierungsstufen ( A-Einstieg, B-Aufbau, C-zertifikat, Z-zusätzlich)

• Kausalitäten zwischen Maßnahmen erzwingen zeitliche bearbeitung nacheinander

• Maßnahmen die auf viele Schwachstellen wirken oder an wichtigen Stellen gewinne erzielen, sollten priorisiert werden

• Entscheidung der Reihenfolge sollte dokumentiert werden, Gesetzeslage ist zu beachten

• Festlegung der Verantwortung für die Durchführung der Maßnahmenumsetzung mit Zeitvorgaben

• Festlegen wie und durch wen Erfolgskontrollen durchgeführt werden

• Umsetzung benötigt Begleitende Maßnahmen wie z.B. Sensibilisierung von mitarbeitern, Schulungen

• Unterstützt dabei das Maßnahmen umgesetzt bleiben und akzeptiert werden

• Erfolgskontrolle über Akzeptanz bei MA

• Überprüfen anhand der Umsetzungsdokumente ob Planung eingehalten wurde

• Aktivitäten im Rahmen des IT-Sicherheitskonzeptes kontrollieren

• ggf. Planungsfehler identifzieren

• ggf. Anpassung IT-Sicherheitsstrategie

• aufgestellten Sicherheitsziele und Rahmenbedingungen auf Aktualität prüfen

• Änderungen an IT-Sicherheitsstrategie notwendig z.B. wegen betrieblicher Änderungen, organisatorischen Änderungen

• Prüfen wieweit IT-Sicherheitsziele mit Hilfe der eingesetzten IT-Sicherheitsstrategie erreicht wurden

• Information an Geschäftsführung

• Wirtschaftlichkeit der IT-Sicherheitssttrategie und einzelnen Maßnahmen regelmäßig überprüfen

• ggf. wechsel auf weniger ressourcenaufwendige Maßnahmen

• Ergebnisse der Erfolgskontrollen als Verbesserungen in den IT-Sicherheitsprozess übernehmen

• ggf. notwendig IT-Sicherheitsziele, Strategie oder Konzept anzupassen

• Dokumentation ist zentral für Informationsfluss und sollte Zielgruppen gerecht sein

• Dokumentation dient dazu entscheidungen nachvollziehbar zu machen, prozesse zu standardisieren und Schwächen / fehler zu erkennen und zu vermeiden

• Zielgruppe Experten: technische Dokumentation / Arbeitsablaufdokumentation z.B. Installationshandbücher, Wiederanlaufpläne

• Zielgruppe IT-benutzer: Anleitungen wie Sicherheitsmaßnahmen einzuhalten sind z.B. Verhalten bei IT-Sicherheitsvorfällen

• Zielgruppe Leitung: Aufzeichnung von Managemententscheidungen zur nachvollziehbarkeit

• Unternehmen können die Umsetzung des IT-Grundschutz zertifizieren lassen

• Dafür gibt es unterschiedliche Stufen mit unterschiedlichen Kosten und Aufwänden u.a in der Dokumentation

• Motivation für eine Zertifizierung sind unterschiedlich z.B. Nachweis über gewisses Schutzniveau, Glaubwürdigkeit, Wettbewerbsvorteil

• Zertifizierung erfolgt durch einen Grundschutzauditor und bei höher Stufe Zertifizierungsstelle

• Auditoren müssen vom BSI lizensiert werden und Kenntnisse werden überprüft

• Regelmäßige Reports an die Geschäftsführung zum Stand der IT-Sicherheit

• Sollen beinhalten

• Ergebnisse von Audits

• Berichte über IT-Sicherheitsvorfälle

• Berichte über bisherige Erfolge / Probleme beim IT-Sicherheitsprozess

• Informationstechnologie (IT) beschreibt alle Geräte und Verfahren zur speicherung und Verarbeitung von Informationen (inklusive Transport von Daten)

• IT existierit über viele Abstraktionsebenen

• IT-Systeme sind technische Systeme zur Verarbeitung und Speicherung von Informationen

• Zusammenhang Informationen und Daten relevant für IT-Sec

• Informationen können durch Daten repräsentiert werden

• Daten allein fehlt der Zusammenhang um Informationen zu bilden

• Informationen ergeben sich durch Inerpretationsvorschrift die Daten Inhalt geben

• Sicherheit bezieht sich immer nur auf ein objekt, welches unseren Erwartungen entspricht

• Bei IT also auf ein konkretes IT-System oder Anwendungssituation ( IT-Szenarien)

• Ein IT-System oder IT-szenario wird als sicher bezeichnet wenn eine daf+r erforderliche Menge von Soll-Vorgaben erfüllt wird

• Soll-Vorgaben bezeichnet man als Sicherheitsziele / Schutzziele

• Objekte sind an IT-Szenarien beteiligte Einheiten (Rechner, Systeme, Daten, Personen)

• es gibt aktive und passive Objekte

• Aktive Objekte werden auch als Subjekte bezeichnet

• Schutzziele spiegeln Soll Sicherheitsanforderungen wieder die sich aus dem gewünschten Zustand ergeben

• Sicherheitsanforderung ergeben sich aus interne und externen Vorgaben, dem IT-Szenario und der Bedeutung der verarbeiteten Informationen

• Schutzziele leiten sich ebenso aus den Unternehmenszielen und gesetzlichen Anforderungen ab z.B. BDSG

• Vertaulichkeit wird erreicht, wenn nur Berechtigten die Kenntnisnahme von Informationen (repräsentiert durch Daten / Programme) möglich ist

• Integrität wird erreicht, wenn Daten nicht unberechtigt verändert oder manipuliert werden können.

• Erweiterte Definition: Das Daten für einen Anwender oder ein IT-System in korrekter,aktueller und genauer Form zugreifbar sein sollen

• In IT-Sicherheit bezieht es sich häufig auf Daten, weshalb oft von Datenintegrität gesprochen wird

• Zur Sicherstellung der Integrität gibt es Manipulationserkennung und Manipulationsverhinderung

• Verfügbarkeit wird erreicht, wenn ein System / dienst/ Daten für einen vorgesehen Zweck tatsächlich genutzt werden können

• Schutzziel erreicht wenn ein Schutz vor Ausfall oder Schutz vor endgültiger Löschung besteht

• Typische Maßnahmen Redundanzen, Back-Ups

• Unter Authentizität versteht man die Echtheit eines Objektes / Subjektes. Die Überprüfung erfolgt anhand einer eindeutigen Identität und anhand charakteristischer Eigenschaften.

• Bei Programmen oder Daten geht es auch um die Urheberschaft

• Vorgangs des Sicherstelles der Echtheit der Identität ist die Authentisierung

• Mechanismen zur Authentisierung PIN, Biometrisch, Passwörter

• Einsatzgebiete Zutrittskontrolle, Zugangskontrollen und vergabe von Berechtigungen

• Schutzziel und Authentisierung sind Vorraussetzung zum Erreichen der Schutzziele Vertraulichkeit und Integrität

• Verbindlichkeit wird erreicht wenn ein subjekt die Durchführung einer Transaktion nicht abstreiten kann ( Schutz auch vor Täuschung)

• Steht auch im Zusammenhang mit dem Schutzziel Abrechenbarkeit (accountability)

• Anonymität besagt, dass ein Subjekt das eine Aktion durchführt nicht identifiziert werden können soll. Ebenso soll ein Objekt das Informationen enthält nicht einer Person zugeordnet werden können

• Schutzziel dient der Wahrung der Privatsspähre / informationeller Selbstbestimmung

• Mechanismen zur Wahrung Anonymisierung, Pseudonymisierung

• Als Angriff wird eine Aktion bezeichnet, die für ein Szenario aufgestellten Schutzziele verletzt oder dies zum Ziel hat

• Beispiele: Abhören ist ein Angriff gegen Veraulichkeit, Denial of Service Attacken ist ein Angriff gegen verfügbarkeit, Spoofing gegen Authentizität

• Angriffsebenen

• technische Ebene z.B. E-Mail Spoofing

• organisatorischer Ebene z.B. Social Engineering

• phyisischer Ebene z.B. Einbruch

• Ein Angreifer ist eine Person, die einen Angriff durchführt oder an diesem maßgeblich beteiligt ist.

• Es gibt verschiedene Klassen von Angreifern mit unerschiedlichen Motivationen und von ihnen ausgehenden Risiken

• Hacker: technisch versierte Angreifer die Schwachstelen aufdecken und Angriffe ( Exploits) auf diese entwickeln. Hacker veröffentlichen Ergebnisse oft

• Cracker: technisch versierter Angreifer der Angriffe gezielt zu seinem eigenen Vorteil / Nachteil ausnutzt, größeres Risiko

• Script Kiddies: weniger technisch versiert aber mit viel Zeit, nutzen verfügbare Exploits

• Wirtschaftsspione: angreifer gehen gezielt und planmäßig vor um Ziele zuerreichen und haben hohes Schadenspotenzial

• Mitarbeiter: oft durch mangelnde IT Kenntnisse verursachte Sicherheitsvorfälle oder destruktive Mitarbeiter aber gefährlich da sie zugriffsrechte haben

• Als Schwachstelle wird eine technishc, physische oder organisatorische Eigenschaft bezeichnet, die es erlaubt, dass mindestens ein Schutzziel verletzt wird.

• Die Verletzung des Schutzziels muss nicht notwendigerweise durch einen Angriff erfolgen

• Funktionalität eines Systems wird missbraucht. Kann durch Reduzierung auf den notwendigen Funktionsumfang (Downstripping) präventiert werden

• Komplexe Systeme z.B. Betriebssysteme haben unentdeckte Fehler durch Konzeptions / Programmier / Konfigurationsfehler. Werden häufig durch Updates behoben, aber Wettrennen zwischen Angreifer, Hersteller und Systembetreiber

• Betreiber von Systemen müssen dauerhaft nach Schwachstellen suchen / sich informieren und updates einspielen

• Exploits sind das technische Werkzeug zum Ausnutzen einer Schwachstelle

• Ein Exploit ist meist ein Programmierfragment welches die Funktion zur Ausnutzung der Schwachstelle enthält

• Mittlerweile gibt es eine offensive Informationspolitik von Herstellern zu Schwachstellen

• Gefährlich sind Zero-Day-Exploits die am gleichen Tag wie die Schwachstelle veröffentlicht werden, da Angreifer selbst mit wenig Kenntnissen diese Ausnutzen können, ohne das Updates verfügbar sind

• Als Bedrohnung bezeichnen wir ein mögliches Ereignis, das zu einer Verletzung eines Schutzziels führen würde.

• Die Bedrohung entsteht durch die Kombination von eine Schwachstelle ist vorhanden und ein Ereignis führt zusammen mit der der Schwachstelle zugrundeliegenden Eigenschaft des System zu einer Verletzung der Schutzziele

• Höhere Gewalt: Blitzschlag, Feuer, Überschwemmung, Erdbeben, Demonstration, Streiks

• Technisches Versagen: Stromausfall, Hardwareausfall, Fehlfunktion

• Fährlässigkeit: Irrtum, Fehlbedingung, unsachgemäße Behandlung

• Organisatorische Mängel: unberechtigter Zugriff, Raupkopie, ungeschultes Personal

• Vorsatz: Manipulation, einbruch, Hacking, Vandalismus, Spionage, Sabotage

• Als sicherheitsmaßnahmen werden Maßnahmen bezeichnet die dazu beitragen dass ein Sicherheitsziel erreicht wird.

• Oft wird ein Sicherheitsziel nur durch mehrere Sicherheitsmaßnahmen erreicht

• Zusammenhang Sicherheitsziel und Sicherheitsmaßnahmen kann in Compliance Matrix dargestellt werden

• Sicherheitsmaßnahmen können auf unterschiedlicher Ebene wirken

• Physischer Ebene z.B. Zutrittskontrollen

• Organisatorischer Ebene: Anweisung zu Durchführung von Datensicherungen

• Technische Ebene: Durchführung von Datensicherungen

• Als speziellen Typ der Sicherheitsmaßnahmen definieren wir den Sicherheitsmechanismus

• Sicherheitsmechanismus ist eine technische Sicherheitsmaßnahme die nicht mehr weiter in unabhängige Teilmaßnahmen zerlegt werden kann z.B. Verschlüsselung

• Als Risiko einer Bedrohung beziechnen wir die Kombination aus Eintrittswahrscheinlichkeit des mit der Bedrohung verbundenen Schadensereignisses und der Höhe des damit verbundenen Schadens

• Risiko ist eine nach Häufigkeit und Auswirkung beewertete Bedrohung eines zielorientierten Systems. Das Risiko betrachet dabei stets die negativen unerwünschte und ungeplante Abweichung von Systemzielen und deren Erfolgen

• Bei einer Risikoanalyse wird versucht die existierenden Risiken zu erfassen und abzuschätzen

• Risiko wird durch die Multiplikation von Eintrittswahrscheinlichkeit und Schadenshöhe ermittelt werden, allerdings sind beide Schätzungen meist ungenau

• Eintrittswahrscheinlichkeit wird beeinflusst durch Kenntnisse die notwendig sind, Ressourcen für Angriff, Motivationslage des Angreifers

• Maßnahmen wirken indem sie die Eintrittswahrscheinlichkeit eines Schadensereignisses verringern oder mit dem schadensereignis verbunden Schaden verringern

• In der Regel kann man beides nicht auf 0 reduzieren

• Um die eintrittswahrscheinlichkeit zu reudzieren müssen wir die Einflussfaktoren manipulieren

• Security ( IT-Sicherheit) Aufgabe ist die Abwehr von Bedrohnungen, die beim Einwirken auf ein System von außen bestehen

• Safety ( Funktionssicherheit) Aufgabe ist die Abwehr von Bedrohungne die durch ein System selbst entsehen

• kryptologie ist die Wissenschaft der Ver- und Entschlüsselung von Informationen

• Teilgebiet Kryptografie mit Verschlüsselung

• Teilgebiet Kryptoanalyse mit Entschlüsselung

• Unterscheidung ob autorisierter Empfänger oder angreifer entschlüsselt

• Autoriseriter Empfänger kennt Geheimnis zum Entschlüsseln, Angreifer nutzt Methoden der Kryptoanalyse um ohne Kenntnis zu entschlüsseln

• Verschlüsselung eines Textes zur Wahrung der Vertaulichkeit

• Vor der Verschlüsselung kann jeder der die Sprache und ihre Regeln versteht, den Inhalt des Textes verstehen

• Nach dem Verschlüsselungsverfahren kann nur derjenige den Inhalt erfassen der die Entschlüsselung durchführen kann

• Verschlüsselung wird über die Verschlüsselungsoperation(E(M)=C) und Entschlüsselungsoperation(D(C)=M) realisiert

• Klartext M, Chiffrat C, E Verschlüsselung, D Entschlüsselung

• Der Algorithmus der die funktionen E und D realisiert ist das Verschlüsselungsverfahren

• Spezifikation eines Krypotsystems muss öffentlich sein. Die einzige Information die ein Angreifer nicht kennt, ist der geheime Schlüssel. Die Sicherheit eines Krypotsystems beruht einzig auf dem geheimen schlüssel

• Funktionen E und D werden um Schlüssel k erweitert

• Anwendung des Prinzips heute Standard

• Vorteile

• Prüfung von Kryptografischen Verfahren durch öffentlichkeit möglich

• Schlüssel können regelmäßig gewechselt werden

• weniger angreifbar durch reverse engineering angriffe

• Funktionen C = E(M,k) , M = D (C,k) C= Chiffrat, M= Klartext, E=verschlüsselung, k = Schlüssel, D = Entschlüsselung

• Für beide Funktionen wird derselbe Schlüssel k verwendet --> symmetrische Krypotgrafie

• Vertaulichkeit von M hängt allein von vertaulichkeit von k ab

• Verschlüsselung ist nicht automatisch sicher

• Für Verschlüsselung brauchen Sender und Empfänger bei symmetrischer Verschlüsselung beide den geheimen Schlüssel

• der Schlüssel darf nicht über den gleichen Weg übertragen werden wie die Nachricht

• Sender und Empfänger müssen schlüssel sicher aufbewahren

• Bei der asymmetrischen Kryptografie gibt es unterschiedliche Schlüssel zum Ver- und Entschlüsseln

• Verschlüsselungsfunktion C= E(M,k1)

• Entschlüsselungsfunktion M=D(C,k2)

• Bild einfügen

• Nur der Besitzer von k2 kann entschlüsseln und k2 soll geheim sein (private key)

• Schlüssel k1 zum verschlüsseln ist nicht geheim ( public key)

• Jeder kann verschlüsseln und nur Empfänger entschlüsseln

• Ablauf

1. Empfänger erzeugt Schlüsselpaar k_pub und k_priv

2. k_pup wird publiziert

3. Sender beschafft sich k_pup

4. Nachricht mit k_pup verschlüsselt

5. Chiffrat an Empfänger versendet

6. Entschlüsselung Chiffrat mit k_priv

• Kombination von symmetrischer und asmmetrischer kryptografie um vorteile der asymmetrischen zu nutzen und geschwindigkeit der symmetrischen zu behalten --> asymmetrische verfahren wesentlich Rechenaufwändiger und damit normalerweise langsamer

• Sender generiert einen symmetrischen Schlüssel

• symmetrischer Schlüssel wird mit k_pup von Empfänger verschlüsselt und zum Empfänger geschickt

• Empfänger entschlüsselt mit k_priv

• Sender und Empfänger besitzen beide den schlüssel und können über symmetrische Kryptographie kommunizieren

• Schlüssel soll für die Dauer einer Sitzung gültig sein ( Sessionkey)

• Beispiel für nutzung hybrider Kryptographie Pretty Good Privacy, Secure Socket Layer SSL

• kryptografische Hashfunktionen haben verschiedene Anwendungsfelder z.B. Integritätsprüfungen von Nachrichten

• Ergebnis der Hashfunktion wird auch als Fingerabdruck bezeichnet

• Hashfunktion f hat die Eigenschaften

  • f(M) ist kürzer als M

  • , die Eingabewerte können eine beliebige Länge haben

  • , f ist nicht geheim und jeder kann f berechnen

  • f(M) ist einfach und schnell zu berechnen

  • aus f(M) M zuberechnen erfordert einen extrem hohen Rechenaufwand

  • es ist sehr schwer zwei Ursprungswerte zu bestimmen die den gleichen Funktionswert erzeugen

• Sender verschlüsselt Nachricht mit seinem privaten Schlüssel

• Empfänger entschlüsselt mit dem öffentlichen Schlüssel

• Dadurch wird Ursprung der Nachricht nachgewiesen ( Gleichheit des Klartextes bei Sender und Empfänger sollte ebenfalls geprüft werden)

• Problematik der Aufwände der asymmetrischen Kryptographie

• Zunächst wird Hashwert f(M) gebildet

• Ergebnis wird mit k_priv verschlüsselt und ergibt Chiffrat C = E (f(M), k_priv)

• C und Klartext M wird zum Empfänger übertragen

• Empfänger prüft ob D(E(f(M),k_priv),k_pub) = f(M) ist

• Wenn ja ist die Authentizität erwiesen, C wird auch als digitale Signatur bezeichnet

• Vorteil Effizienzsteigerung und Integrität und Authentizität der signierten Daten sichergestellt

• Keine Vertaulichkeit der Nachricht

• Angriff auf asymmetrische Verschlüsselung. Beschreibt das sich ein Angreifer zwischen Sender und Empfänger befindet und dort Aktionen durchführt die gegen die Schutzziele verstoßen

• Z.B. Tauschen der Schlüssel durch eigene und Abhören von Nachrichten

• Möglichkeit zur Vermeidung öffentliche Schlüssel müssen gesichert werden z.B. durch passwortgeschützte verschlüsselte Speicherung, physischer Schutz auf separaten Datenträger, Speicherung auf separaten gerät

• Fingerprinting nutzt Hashfunktion zur Sicherstellung der Authentizität des öffentlichen Schlüssels

• Sender & Empfänger bildens mittels Hashfunktion den fingerprint des öffentlichen Schlüssels und vergleichen ihn. Wenn er gleich ist ist der öffentliche Schlüssel authentisch

• Um Fingerprint zu übertragen sollte ein anderer Übertragungsweg als für die Nachricht gewählt werden, idealerweise mit Medien/ Protokollbruch

• Fingerprintig findet sich bei den Produkten Pretty Good Privacy und Secure Shell in TCP basierten Diensten

• Problem das Fingerprinting für mehrere Kommunikationspartner trotzdem aufwendig, daher Idee für digitale Zertifikate

• IT-Risikoanalyse ist ein sytematische Ansatz zur erfassung von Riskien und ihren Zusammenhängen un Abhängigkeiten

• Dabei werden sämtliche Unternehmensbereiche hinsichtlich IT-technischer und organisatoritscher Aspekte betrachtet

• Ziel vorhandene Risikofaktoren zu identifzieren und Maßnahmen zu identifzierenund umzusetzen zur Risikoreduktion

• IT-Risikomanagement muss in interne Prozesse eingebunden sein und ein Risikobewusst sein herrschen

• Ergebnis der Analyse ist ein konkreter Maßnahmenkatalog zur Beherrschung der relevanten IT-Risiken und dient als Entscheidungsgrundlage

• Kennzahlen als klassisches Controlling Hilfstmittel um omplexe Systeme abzubilden und IST / Soll Vergleiche zu machen

• Im IT-Risikomanagement bestimmung der relevanten Kenngrößen für bewertung bestimmter Bedrohungen und Risken, definieren eines Soll Wertes, Überwachung der Kennzahl mit einem Messverfahren, Korrekturmaßnahmen bei Abweichung vom Sollwert

• In Praxis umsetzung sehr komplex die Kennzahlen zu definierien, messung und gegenzusteuern, erfordert sorgfältige Konzeption und ständige Weiterentwicklung

• Einrichtung eines Risikomanagementsystes teilweise sogar gesetztlich gefodert z.B. für Aktiengesellschaften

• Es muss ein Überwachungssystem für Risiken geben welches gefährdende Entwicklungen früh erkennt und erforderliche Gegenmaßnahmen einleitet

• Durch die starke Abhängigkeit von Unternehmensprozessen von der IT, ist IT-Risikomanagement zwangsläufig teil des System

• Es müssen geeignete organisatorische wie technische Maßnahmen ergriffen werden auf Basis einer Gesamtrisikokonzeption

• mangelnde infrastruktur z.B. fehlende Gebäudeabsicherung oder überlastete Systeme

• Fehler im Personalbereich z.B. mangelhaft qualifiziertes oder unzureichend geschultes Personal, unbesetzte Stellen

• mangelhafte Vertragsgestaltung mit externen Dienstleistern z.B. unpassende oder falsche Spezifikation von SLAs

• strategische Fehler z.B. unvollständige Notfallplanung, mangelhafte Back-Up Strategie, ungenügende Katastrophenabsicherung

• Sicherheitsverletzungen z.B. kriminelle Handlungen, unberechtigter Zugriff auf Daten

• Systematisierung von IT-Risiken mit Kateogirisierung

• unterschiedliche Kategorisierung möglich, hier anlehnung an Seibold

• Vorgehen typische Eigenschaften der IT-Risiken identifzieren um spezifische Merkmale zur Kategorisierung zu nutzen

• Existenzzeitraum

  • unterscheidet wie lange ein Risikoszenario existiert

  • Bei gleicher Einrittswahrscheinlichkeit sind länger existierende Risiken stärker zu gewichten

  • Unterscheidung in kurzfristige, mittelfristige und langfristige Risiken

  • Kurzfristige Risken sind oft einmalig / ergebn sich kurzfristig, sind schwer vorauszusehen und werden durch qualifizierte Improvisation gemanaget

  • Mittelfristige Risken sind absehbar aber Ende nicht in näherer Zukunft

  • Langfristige Risken enden nicht bzw. nicht in absehbarer Zeit

• Entscheidungswirkung

  • unterscheiden wie sich geschäftliche Entscheidungen auf Risiken auswirkungen auch in ihrer Länge

  • Strategie / Geschäftsrisiken und dazugehörige Entscheidungen wirken mittel bis langfristig und betreffen viele Risiken und prägen Risikomanagement

  • Operative risken / Entscheidungen wirken kurz bis mittelfristig und betreffen Einzelfälle

• erwartete Eintrittswahrscheinlichkeit

• Schadenshöhe bei Eintritt des Risiko

• Risikopotnezial = Ergebnis der Risikoformel auch Risikomaß genannt

• Schadensverlauf (rasanter oder schleichender Schadensverlauf)

• Entdeckungswahrscheinlichkeit: Risikoprioritätsziffer beschreibt wann ein Risiko entdeckt wird, je früher es entdeckt wird desto niedriger das Ausmaß. Entdeckungszeitpuntk kann bei Priorisierung helfen. Risiken können bei Entsehung, bei späteren Arbeitsschritten, bei Endkontrolle oder beim Endanwender erkannt werden

• Risikotransparenz: Im Nachhinein wie gut Risken vorher bekannt waren, als QS des Risikomanagements. Unterscheidung in unerkannte Risiken die nicht vorher identifziert und gemanaget wurden, versteckte Risiken die nicht vollständig oder Risikopotenzial nicht richtig geschätzt wurde, erkannte Risiken die angemessen identifziert und gemanaget wurden

• Risikoaktualität: Risiken können sich z.B. in ihrer Eintrittswahrscheinlichkeit ändern. Unterscheidung in latente Risiken die zwar eintreten können aber nicht akut absehbar sind / bzw. Anlass haben einzutreten und aktuen Risiken deren Eintreten in einem überschaubaren Zeitraum anzunehmen ist z.B. plötzlicher Ausfall von Mitarbeitern

• Standardriskien in Unternehmen finden sich auch in IT-Risiken wieder

• Kundenabhängigkeit z.B. von einem Großkunden

• Lieferantenabhängigkeit von einem /wenigen Lieferanten

• Finanzierungsrisiko bei geringen Eigenfinanzierungsgrad / hoher Fremdkapitalanteil

• Anforderungsänderungen wenn zu wenig Innovations / Requirements und change Management betrieben wird

• Unwissenheit z.B. Bei Wissensmangement, gesetzlichen Rahmenbedingungen

• Managementrisiken bei mangelhafter Planung

• Schadensursachen als Klassifizierung wird z.B. im IT-Grundschutz gemacht

• Höhere Gewalt wie Feuer, Sturm

• Menschliche Fehlhandlungen

• Technisches Versagen

• Vorsätzliches Handeln

• Art der Schadensauswirkung als Klassifizierung des Risikos

• Moneträe Risiken wirken unmittelbar auf das Geschäftsergebnis

• Qualitative Risiken wirke sich auf die Qualität aus

• Imagerisiken sind schwer quantifizierbar aber möglich und wirken sich teilweise stark aus

• Personenschäden, schäden mit unmittelbaren Auswirkungen auf die Gesundheit betroffener Menschen

• Kategorisierung danach wie stark die Auswirkung für den Fachbereich sind bei nicht verfügbarkeit der IT

• Anwender IT-Risiken

  • Risiken der IT Leistungsempfänger / Business Impact

  • wirken sich als mangelnde Leistungserstellung aus, indem IT-Leistung nicht im erwarteten ausmaß verfügbar sind

• Originäre IT-Risiken

  • Risiken der IT selbst im IT-betrieb

• Externe IT-Risiken

• IT-Risken die durch Zulieferungen entstehen z.B. bei Outsourcingpartnern

• Ein Risikoeintritt kann alle drei Risikokategorien betreffen oder nur einzelne

• Aufgabengebiete in IT können als Kategorisierung genutzt werden, konkreten Kategorien abhängig vom Unternehmen

• Projektrisiken

  • Veränderungen an Komponenten werden häufig in Form von Projekten realisiert

  • die IT-Risiken ergeben sich dann aus den Projektrisiken

  • das Projekt wird meistens über MPM gesteuert

• Anwendungsentwicklungsrisiken

  • Bei der erstellung und Überarbeitung von IT-Lösungen gibt es in allen Phasen IT-Risiken

  • Hier wird Risikopotenzial betrachtet das sich aus der einzusetzenden Anwendung ergibt u.a. Softwarefehler in der Produktion

• Betriebsrisiken

• Risikopotenziale aus dem laufenden Betrieb von IT-Lösungen z.B. nicht Verfügbarkeit eines IT-Systems

• Weitere Aufgabengebiete können Consulting, Organisation der IT sein

• Qualitätsmerkmale für die Zuverfügungstellung von IT Leistungen können zur kategorisierung dienen

• Verfügbarkeitsrisiken

  • IT-Risiken deren Auswirkungen zu mangelnder Verfügbarkeit der IT-Systeme führt

• Integritätsrisiken

  • Rsiken die dazu führen das Daten verfälscht / widersprüchlich oder zuunrichtigen Ergebnissen führen

• Vertaulichkeitsrisiken

  • Risiken das daten durch unberichtigte Instanzen einsehbar / veränderbar sind

• Authentizitätsrisiken

  • werden auf Grund der Bedeutung gesondert aufgeführt

  • Risken das Aktivitäten von nicht authentisierten Akteuren durchgeführt werden oder Absender verfälscht wird

• Nur identifizierte Risken können systematisch behandelt und abgesichert werden

• IT-Risiken sollen möglichst lückenlos identifiziert werden

• Methoden zur Identifizierung unterschiedlich, oft ist eine Kombination von Methoden im Einsatz um vollständiges Bild zuerhalten

• Im Vorgehen von quantifizierung operativer Risiken wird zwischen Top-Down und Bottom Up Vorgehen unterschieden

• Top-Down

  • allgemeine Daten auf Gesamtunternehmensebene werden auf potenzielle IT-Risiken untersucht

  • Fokus auf Risikoauswirkungen ( die für IT-Risikomanagement nur grobe Indikatoren sind)

• Bottom-Up

  • Ausgehend von einer detaillierten IT-Risikoanalyse werden Risiken zu einer Gesamtsich kumuliert

  • Identifizierung von IT-Risiken meist nach Bottom-up verfahren

• Selbsteinschätzung der IT-Risken durch interne Experten

• Vorteil Experten kennen relevante Risiken und können diese einschätzen

• Gefahr für Betriebsblindheit, unvollständigkeit, falsche einschätzung

• Zusätzliche einschätzung der Fachbereiche, Benutzer und IT-beauftragten zur Absicherung der Ergebnisse

• Risikoszenarien werden mit Eintrittswahrscheinlichkeit und Schadenshöhe beschrieben, ggf. Maßnahmen zur Reduktion

• abhängigkeiten zwischen Risiken werden analysiert und Risikoindikatoren abgefragt

• - Befragung von einzelnen MA /kleinen gruppen schriftlich oder persönlich

• Management und Experteninterviews

• Erstbefragung zur QS der erfassten Risiken udn für spätere Aktualisierungen

• Workshops als Einstige in die Identfikation von IT-Risken z.B. mit Brainstorming, Pro-Contro, usw. Methoden zur Sammlung vieler IT-Risiken

• vorteil hohe Anzahl der Beteiligten ermöglicht ausgewogenes Verhätlnis von Experten zu verschiedenen Themen (interdisziplinärer austausch)

• Schnittstellenthemen auch berücksichtigen

• TN-Zahl 4-10 Personen

• Befragung über standardisierte Formulare

• Vorteil erreichung von mehr MA und damit mehr Erfahrungen

• Nachteil wenig Platz für individuelle Themen und vertaulichkeit der Risikenszenarien bei großen TN-Kreis gefährdet

• Testbefragung vorher großer Befragung um zu prüfen ob Antworten sinnvoll genutzt werden können

• Unternehmen besitzten häufig schon ein Vorschlagswesen für Verbesserungsideen von MA

• Dieses kann auch für initiierung konkreter Risikoreduzierungsmaßnahmen verwendet werden

• Checklisten sind etabliertes Werkzeug bei Identifizierung von IT-Risiken

• Führen je nach Zweck alle bekannten Risiken

• Beispiele: Checkliste Projektanforderung, Outsourcing, Lieferantenmanagement, Portfolio

• Risikolisten zu Risiken in einem Bestimmten Bereich dienen der identifzierung latenter Risiken z.B. unzureichende Ressourcen, unrealistische Zeitplanung, Änderungen der Anforderungen

• Definition und Anlyse von Bedrohungsszenarien gängige methode insbesonder in IT-Sicherheit

• Ansatz gibt latente IT-Risiken preis und hilft aufdecken von Risiken durch Angriffe

• Nach der Identifikation sollen IT-Risiken einheitlich dokumentiert werden um sie bearbeiten zu können

• Wenn keine Softwareunterstützung dafür existiert , kann auch eine Tabelle genutzt werden

• Für jedes Risiko ist folgendes in einem Risikoplan zu dokumentieren

  • Risikoidentifkations / Kennung

  • Identifiziert am

  • Rangnummer zu Priorisierung

  • Beschreibung

  • bewertung

  • Indikator

  • Abschwächung / Gegenmaßnahmen

  • Verfolgung mit Verantwortlichkeit

  • Budget

  • Detailplan für größere Risiken

• SWOT steht fr Strenghts, Weaknesses, Oppurtunites und Threats, wird in Matrixform dargestellt

• wird im Risikomanagement zur Identifikation aber hauptschlich zur Bemessung von Risiken genutzt

• Matrixbild einfügen LE 7 S.34

• Bedeutung der Bewertung pro Feld ergibt sich aus der Wahrscheinlichkeit und der Schadenserwartung

• Bedeutung der Strategiefeldes ergibt aus dem Produkt der zugehöhrigen Analysefelder

• Strategiefeld mit höchsten Werte ist für Organisation am bedeutestens

• Chancen und Gefährdungen können mit Methoden der Risikoidentifikation erkannt werden

• Aus den Strategiefelder ergeben sich 4 grundlegende Strategien, diese könne grob generischen Risikostrategien zugeordnet werden

• SO-Szenario Ausbaustrategie. risiken aus dieser sTrategie über Transformation / diversifikation verteilen

• WO-Aufholstrategie Risiken hier akzeptieren oder reduzieren

• ST Absicherungsstrategie Risiken hier reduzieren oder übertragen

• WT Abbaustratege risikovermeidung / begrenzung mit risikoübernahme

• Kausalanalysen untersuchen Ursachen, Ereignisse und wirkungen und ihr Zusammenwirken

• Analysiert warum ein Ereignis eingetreten ist, was den Eintritt begünstigt hat und welche Auswirkungen aufgetreten sind

• Beispiel für Kausalanalysen: Ereignisanalysen, Fehlerbaumanalysen,FMEA,Analysen, Bayes'sches Netz

• Probleme der Kausanalysen

• Wirkungsdefekt: Ursache und wirkung können nicht eindeutig zugeordnet werden z.B. bei hoher Komplexität wirken viele ursachen auf ein Risiko

• Bewertungsdefekt: Wenn wirkungsdefekt vorhanden so kann auch Bewertung nicht vollständig erfolgen. Detaillierte Wenn-Dann Analyse im zeitlichen verlauf bei vielen Risikoursachen aufwendig und erschwert Bewertung einzelner Risikoursachen

• Zielsetzungsdefekt: subjekte Risikowahrnehmung und affinität führen zu unterschiedlichen umgang mit risiken, was die Ziele der Bewertung beeinflusst

• Lösungsdefekt: Wenn vorherige Defekte vorhanden sind dann auch ein Lösungsdefekt. Effektive Lösungen nur bei korrekter Analyse möglich

• Bei beiden Methoden wird eine Baumstruktur mit UND bzw. ODER Verknüpfungen mit deifnierten wahrscheinlichkeiten aufgebaut

• logische ketten zeigen was ein einzelnes Ereignis mit bestimmten Wahrscheinlichkeiten auslöst

• Ereignisbaumanalyse Schwerpunkt auf Schadensursache

• Fehlerbaumanalyse Schwerpunkt Schadensauswirkung

• Beide Analysen dien zur Ermittlung potenzieller Schadensauswirkungen

• Problematik der methode Komplexität in ermittlung der Komponenten, Zusammenhänge und Wahrscheinlichkeiten

• Angelehnt an Boston Portfolio zur Entscheidungs und Einstufungsfindung

• Darstellung aller Risiken des betrachteten Objekts

• Darstellung von 3 Dimension in zweidimensionalen Koordinationensystem ( verbundener nutzen mit Risiko und Höhe des Risikos auf den Achsen, Kreisdurchmesser zu betreibenden Aufwand

• Erstelltete Risk Map hilft bei Entscheidungsfindung welche Maßnahmen ergriffen werden sollen

• Aus Strategie und Vision des Unternehmens leiten sich Risikomanagementstrategien und konkrete IT-Risikostrategien ab

• Strategische Ziele und Entscheidungen aus der Vision entwickeln

• Umsetzung der strategischen Ziele mithilfe von Plänen und Policies

• Ziele sind wichti für das strategische Management um Zielrichtung zu definieren, Unternehmen zu definieren, Standards für Unternehmensleistung zu definieren

• Zu Zielen werden Risikoindikatoren zugeordnet um zu sehen inwieweit der erwartete Positive Effekt eventuell nicht eintritt

• Ziele mit Prioriäten helfen Widersprüche zwischen Zielumsetzungen aufzulösen und Umsetzungsreihenfolge vorzugeben

• BSC wird aus Ergebnissen SWOT Analysen, gesetzlichen Vorgaben und Vision abgeleitet

• Strategische Ziele werden in 4 Perspektiven eingeteilt, jedes Ziel hat eine Kennzahl zur Messung der Erreichung, Vorgaben und Maßnahmen bei Abweichungen

• Die perspektiven sind Finanzielle, Kunden, interne Prozess und Potenzial

• Perspektiven mit ihren Zielen stehen in bestimmten Ursachen-Wirkung Beziehungen

• Mit der BSC soll Balance zwischen kurz und langristigen Zielen, monitären und nicht monetären Kennzahlen, interne und externe Gegebenheit

• Über die BSC wird das Risikomanagement in die managementprozesse des Unternehmens integriert

• dimension der BSC

  • Strategie muss von jeder Person verstanden werden und soll danach handeln

  • Fokus der Ressourcen und Aktiviäten auf Strategie

  • Organisation zur Vernetzung zwischen OE und Dienstleistungen

• Operationalisierung der Strategie

• Ausrichtung der Organisation an Strategie

• Strategie als selbstverständlicher Bestandteil der täglichen Arbeit

• Strategie als kontinuierlicher Prozess

• Mobilisierung des Wandels durch Führung

• COBIT Framework zeigt wie man mit BSC erarbeitet Geschäftsziele in messbare und kontrollierbare Handlungen überträgt

• COBIT nutzt dazu IT-Indikatoren

• Indikatoren als Kennzahlen fpr Messung der Straegieumsetzung durch IT-Organisation

• KGI ( Key Goal Indicator) definiert Maß indem ein IT-Prozess die Geschäftsanforderungen erfüllt

• KPI ( Key Performance Indicator) Maß indem ein IT-prozess für das Erreichen eines bestimmten Ziels geeignet ist, nützt der Vorraussage von Grad der Ziellreichung

• CSF (Critical Succes Factor) repärsentiert die wichtigsten Maßnahmen damit Prozess die Erfüllung seiner ziele schafft / schaffen kann

• Mit KGI und KPI wird gezeicht ob IT-Prozess das Unternehmen enablen

• KGI und KPI können invertiert werden als Risikoindikatoren z.B. Kostenoptimierung unzeichen, Ressourcennutzung ungenügend usw.

• Risikoindikatoren können Schwachstellen aufzeigen

• Risikomatrix dient der darstellung des ermittelten Risikomaßes

• Eintrittswahrscheinlichkeit und Schadenshöhe werden in wneige Klassen eingeteilt und die Risiken entsprechend ihrer Bewertung in die matrix eingeordnet

• Im Risikokatalog werden die erfasten Risken aus Riskomatrixt / karte noch einzelnen Objekten zugeordnet

• Risiken können sich dabei noch gegenseitig verstärken / abschwächen, dabei sind abhängigkeiten und korrelationen zu beachten

• Zusammenfassung der Risiken mithilfe der Risikoaggregierung

• initiale IT-Risikoanalyse mit identfikation bestehender Bedrohungen und zugehöriger Risiken hat einen hohen Aufwand, sollte aber mindesten für die IT-bEreiche mit sehr hohem Schutzbdarf durchgeführt werden

• Schritte der IT-Risikoanalyse

  • Abgrenzung des Analysebereichs (zu analysierender IT-bereich und Objekte die einbezogen werden)

  • Identifikation der bedrohten Assets / Objekte

  • Wertanalyse der bedrohten Objekte ( materiel, immateriel, Abhängigkeit zwischen Objekten, Gesamtbewertung objekte)

  • Bedrohungsanalyse (Identifizierung müglicher Bedrohungen und Ermittlung Eintrittswahrscheinlichkeit)

  • Analse des zu erwartenden Schadens

  • Schwachstellenaanylse ( Identifizieren und klassifizieren)

  • Identifikation bestehender Risikobeherschungsmaßnahmen

  • Risikobewertung ( Einzel und Gesamtrisiken)

  • Auswertung der Ergebnisse

• Definition: Der Value at Risk Wert ist der maximal erwartete Schaden, der unter üblichen Bedingungen innerhalb einer bestimmten Zeitperiode mit einer bestimmten Wahrscheinlichkeit dem sogenannten Konfidenzniveau eintreten kann

• Value at Risik ist ein Risikomaß

• Methode ist eine satstische methode die insbesonder im Finanzbereich genutzt wird

• Problematik Ungleichgewicht bei Risiken mit hohem Schadenswert und beliebig kleiner Eintrittwahrscheinlichekit und für operative Risiken wo eintrittswahrscheinlichkeit nicht statistisch ermittelt werden kann nicht nutzbar. eignung für IT-Risiken fragwürdig

• in Risikoanalyse gefundene Rsiken mit ihren Werten für Schadenshöhe und Eintrittswahrscheinlichkeit müssen Intepretiert und Bewertet werden im Kontext des unternehmens

• Dazu zählt z.B. ob bei einer Bedrohung Häufigkeit, Schadensausmaß oder beides behandelt werden soll

• Behandlung von Risiken muss unter berücksichtigung zusätzlicher anforderungen z.b. Standards, Gesetze, Zeit und Kostenbeschränlungen erfolgen und dies mitbewertet werden (Dringlichkeit der Risikobewältigung)

• Bei Bewertung spielt Risikowahrnehmung der Umgebung des Management eine wichtige rolle, damit diese Entscheidungen entsprechend gut aufbereiteter Informationen zum weiteren Vorgehen treffen können

• Risikobewältigung / Steuerung dient der Definition, Konzeption, Planung und Umsetzung von Maßnahmen

• Risiken sollen gemanaget werden

• Maßnahmen auf Machbarkeit und Wirtschaftlichkeit prüfen

• Bewältigungsstrategien (Vermeidung,Reduktion,Bregenzung,Transfer,Akzeptanz) für Maßnahmen festlegen

• Auswahl der Maßnahmen im Rahmen eines Optimierungsporzesses, finden von gutem Maß zwischen Umsetzung der Anforderungen bei gleichzeitiger Machbarkeit und wirtschaftlichkeit z.B. durch Kombination von Maßnahmen

• Umsetzungsplan für festegelegte Maßnahmen, beachtung von Prioritäten, planungsaufwänden, ressourcenaufwänden, wiederkehrenden aufgaben usw.

  
  

• Während der gesamten Schritte und Aktivitäten des Risikomanagements muss auf Anzeichen für Veränderungen geachtet werden z.B. im Enticklungsprozess umd Veränderungen bei Risiken zu erkennen und zu behandeln

• Riksoreporting sollte von unabhängiger Stelle kommen und neutral über den Sachstand berichten

• Riskoberichte sind zusammenfassungen die für die Unternehmensleitung aufbereitet wurden

• Risikoberichte enthalten stand zu Risikoindikatoren, Bedrohungslage und aktuelle Umsetzungsstand

• Chancen und Risiken stehen in direkter Verbindung

• Insbesondere unternehmerische Entscheidungen sind häufig mit Chancen und großen Risiken verbunden

• Nichte alle Risiken können und wollen wir eliminieren / managen

• Aber Risikomanagement hat an bedeutung gewonnen auch auf grund gesetzlicher Anforderungen

• IT-Risikomanagement beschäftigt sich mit den IT Risikeno die Bei Betrieb und Nutzung von IT existieren

• IT-Risikomanagement ist teil des gesamten Risikomanagements und der Corporate Governance

• IT Riskiken müssen auf Grund der wesentlichen Bedeutung der IT für das Gesamtunternehmen behandelt werden sonst drohen hohe wirtschaftliche Schäden, juristische folgen und arbeitsplatz verlust

• IT-Risikomanagement befindet sich oft noch im Aufbau

• Ziel IT Risikomanagement die mit der IT verbundenen Risiken im Unternhemen zu identifzieren, bewertung und durch Maßnahmen abzumildern

• Verfahren und Methoden sind unterschiedlich und werden oft kombiniert

• Als Eintrittswahrscheinlichkeit einer Bedrohung wird die Wahrscheinlichkeit (eher theoretisch) bzw. die Häufigkeit (eher praktisch) bezeichnet, mit der eine Bedrohung zu einem realen Schadensereignis wird

• Unter einem Schaden verstehet man die Beeinträchtigung oder Minderung eines konkreten Wertes wie Vermögen, Wissen, Gegenstände oder Gesundheit

• Unter Schadenshöhe versteht man die Quanitfizierung eines Schadens

• R(B) = f(p(B),c(B)) , B=Bedrohung, p(B) Eintrittswahrscheinlichkeit von B, c(B) Schadenshöhe von B, R(B) Risiko von B

• Funktion repräsentiert die Abhängigkeiten eines Risikos von Eintrittswahrscheinlichkeit und Schadenshöhe

• Wenn beide niedrig sind ist das Risiko ebenfalls niedrig und andersherum

• Allerdings ist Aussagekraft schwierig, da c und p häufig nicht mathemtatisch präzise erfasst werden können und formel besitzt keine Allgemeingültigkeit

• Die Risikoformel mit Häufigkeit h statt Wahrscheinlichkeit liefert plausiblere Risikowerte

• Risikoformel allein reicht nicht aus um Risiken zu bewerten

• Formeln zur Berechnung eines Risikos sind Risikomaße

• Risikomaße werden definiert anhand der Anforderungen die sie erfüllen müssen um in einem Anwendungsfall ein Risiko richtig zu bestimmen

• Beispiele: Risikoformel, Value at Risk, monitäre Risikomaße

• Risikovermeidung durch beenden / aufgebn riskanter Aktivitäten

• Reduktion durch verringern der Eintrittswahrscheinlichkeit

• Begrenzung der Schadenswirkung , Entwickeln einer Schadensstrategie

• Transfer durch Verlagerung auf dritte z.B. Versicherung

• Akzeptanz Risikowird bewusst in Kauf genommen

1. Bedrohungen systematisch identifizieren

2. bedrohungen auf Grund der Eintrittswahrscheinlichkeit und Schadenshöhe als Risiko bewerten

3. Für relevante Risiken Maßnahmen erarbeiten um Risikoabsenkung zu erzielen

4. Maßnahmen umsetzen und durchführen

5. Maßnahmen auf Wirksamkeit prüfen und nachbessern

• Unter Compliance fasst man alle Richtlinien / Maßnahmen zusammen die befolgt & umgesetzt sein müssen um gesetzlichen und sonstigen Anforderungen zu genügen z.B. KonTraG,MaRisk, BDSG, Signaturengesetze, IT-Grundschutz nach BSI

• Unter Compliance wird auch die freiwilligen, aufsichtsrechtlichen und gesetlich vorgeschriebenen Maßnahmen zur Schaffung höherer Transparenz und Kontrollierbarkeit von Organisation verstanden

• Es gibt gesetzliche Vorgaben zur Compliance die das Risikomanagement oder die IT betreffen und damit auch IT-Risiken

• Zur Erfüllung der Anforderungen sind Methoden / Maßnahmen der Corporate Governance auf die IT-Aspekte anzuwenden

• IT-Risikomanagement hilft dabei Risiken für non compliance zu erkennen und zu beheben

• Kontext Definition

• IT-Risikoanalyse durchführen

• IT-Risiken bewerten

• IT-Risiken bewältigen

• Erfolgskontrolle

• Über die gesamte Zeit IT-Risikokommunikation und It-Risikokontrolle und Reporting

• Festlegung und Abgrenzung des Bereichs in dem Risiken betrachtet werden

• Systematik und Objekte des IT-Risikomanagements (eingebettet in übergeordnete IT-Governance und IT-Compliance)

• Einbeziehung des Gesamtunternehmenskontext u.a. Ziele, relevante Normen, Organisation, Verantwortlichkeiten, Ressourcen

• Definition von Risikokategorien und Zielsetzung des IT-Risikomanagements

• systemische erfassung relevanter Bedrohung

• Bewertung der erfassten Bedrohungen

• qualitative Bewertung des Schadens / Risikomaßes in Risikoklassen klein, mittel, hoch, katastrophal mit Verbindung was die Kategorien im Unternehmenskontext bedeuten und ihre verbindung zu den (Risiko) Zielen

• Chancen von Risiken mitberücksichtigen

• erarbeiten, planen unnd umsetzen der Maßnahmen um Risiken auf akzeptables Maß abzusenken

• Dabei sind Wirksamkeit, Wahrung der verbundenen Chncen, Kosten ( Wirtschaftlichkeit), Machbarkeit und Tauglichkeit der Maßnahmen zu Beachten

• Zuordnung der Maßnahmen zu den Stratgien zur Risikoabsenkung

• Maßnahmen können auf ein Risiko eine Hauptwirkung haben und auch eine Nebenwirkung auf andere Risiken (positiv wie negativ)

• Alle umgesetzten Maßnahmen müssen auf ihre Wirksamkeit und ggf. Nebenwirkungen geprüft werden

• Bei Abweichungen von Soll Zustand muss IT-Risikomanagement gegensteuern bzw. die vorherigen Prozessschritte erneut durchlaufen

• Da sich bedrohungen ständig ändern muss der Prozess regelmäßig neu durchlaufen werden um IT-Risikomanagement aktuell zu halten

• IT-Risikokommunikation begleitet den IT-Risikomanagementprozess

• Informationsaustausch zwischen am Prozess beteiligten und betroffenen

• Systematisierung der Kommunkation

• Ziel unterstützung bei Erkennen von Schwachstellen auch über Erfolgskontrollen hinaus und im Risikomanagementprozess selbst

• Alle Schritte des IT-Risikoamangementprozesses müssen auf ihre korrekten Ablauf / Durchführung kontrolliert / überwacht werden

• Alle Schritte sollen mitprotokolliert / dokumentiert werden —> Aggregieren zu Risk-Reports

• Für gutes Reporting brauchen wir Messpunkte im Prozess und was Ziel der messung ist

• Umgang mit kritischen Messergebnissen / Ständen muss definiert werden

• Reports werden Zielgruppen orientiert aufbereitet z.B. die Detailtiefe

• Gesetz (1998) verpflichtet Vorstände börsennotierter Unternehmen ein aktivers Risikomanagement und Überwachungssystem eunzuführen mit dem die Existenz des Unternehmens gefährdende Entwicklungen frühzeitig erkannt und präventiv behandelt werden könen

• Gesetz gibt Sorgfaltspflichten zu Schadensprävention und Verbesserung der Kontrolle und Transparenz vor

• Auf IT Seite müssen nach dem KonTraG die Schutzziele Vertaulichkeit, Integrität und Verfügbarkeit eingehalten werden

• Gesetzt ergänzt vorhandene Gesetze rund um Unternehmen und wirkt sich auf diese aus

• Zuerst müssen Risikofelder festgelet werden, dann Risikoerkennung und Analyse, dann Risikokommunikation, Zuordnung Verantwortliche und aufgaben, Einrichten Überwachungssystem (Risikomanagement), Dokumentation und Prüfung getroffener Maßnahmen.

• Lagebericht muss am Jahresende von unabhängigen Wirtschaftsprüfern geprüft werden

• Verstöße können Geschäftsführung / aufsichtsrat sogar mit Privatvermögen belangen

• Alle Gesellschaften die 2 von 3 Kriterien erfüllen (Bilanzzumme über 3,44 mio, Umsatz über 6,87 Mio , Anzahl Mitarbeiter über 50)

• MaRisk Richtlinie die in mehrerer Iteration überarbeitet wurde, heute von der BaFin verantwortet wird

• MaRisk besteht aus dem allgemeinen Teil mit Grundsätzen der Ausgestaltung des risikomanagement und dem besonderen Teil mit spezifischen Anforderungen an die Organisation bzw. Prozesse für Management, Controlling, Liquiditätsrisken etc und operationelle Risiken

• Enthält Rahmenbedingungen zu Outsourcing und ausgestaltung interner Revisonen

• Bedeutung von Risikomanagement wurde durch Basel II gesteigert

• Kernthema Kreditsicherung von Banken auf Basis von speziellen Risikomaßen, seit 2007 umsetzung für alle Kreditinstitute / Finanzdienstleister verpflichtenten in der EU , in Deutschland durch mehrere Gesetze umgesetzt

• Verpflichtung der Banken Kreditrisiken abhängig vom Risiko des Kreditnehmers mit Eigenkapital zu unterlegen

• Operationalle Risiken (ist die Gefahr von Verluste die infolge der Unangemessenheit / versagens von internen Verfahren, Mencshen, System oderi nfolge externer Ereignisse eintreten) werden mit betrachtet ( IT-Risiken sind operationale Risiken)

• Mindesanforderungen für Eigenkapitelunterlegung

• oberste Leitungsebene ist angemessen aktiv in Überwachung des Management für operationelle risiken

• Bank verfügt über solides Risikomanagemensystem für operationelle Risiken

• Bank verfügt über ausreichen ressourcen zur Umsetzung des Risikomanagement in den wichtigsten Geschäftsfeldern

• Gesetzt in den USA nach mehreren Konkursen großer Unternehmen

• Ziel Mehr Sicherheit für Kapitalanleger durch Vorgaben zur Corporate Governance, Berichterstattung und internen Kontrollen

• Gilt für Unternehmen an der amerikanischen Börse und bestimmte Unternehmen des öffentlichen Sektors

• Verstöße hohe Haftstraßen für Unternehmensleitung

• Anforderungen kann durch umsetzung einiger standardisierter Verfahren entsprochen werden

• Für die IT ein Internes Kontrollsystem für Anwenduns / systemsoftware entwicklung, IT -betrieb und IT Security Management

• Beim Internen Kontrollsystem handelt es sich um die Gesamtheit aller vom Aufsichtsrat / Geschäftsführung angeordneten Vorgänge, Methoden und Maßnahmen, die dazu dienene, einen ordnungsgemäßen ablauf des betreiblichen Geschehens sicherzustellen.

• Die organisatorischen Maßnahmen der internen Kontrolle sind in die Betriebsabläufe integriert, das heißt sie erfolgen arbeitsbegleitend oder sind zumindest dem arbeitsvollzug unmittelbar vor und nachgelagert

• IKS unterstützt die Ziele

  • erreichung der Geschäftsziele durch wirksame & effiziente unternehmensführung

  • Compliance

  • Schutz des Geschäftsvermögens

  • Verhinderung / Minderung und aufdecken von Fehlern

  • Sicherstellen der Zuverlässigkeit und Vollständigkeit der buchführung

  • zeitgerechte und verlässliche finanzielle Berichterstattung

• IKS ist ein Führungsinstrument was Unternehmen bei Compliance hilft und Geschäftsfürung trasparente und verlässliche informationen zur Zuverlässigkeit / Wirksamkeit des IKS gibt

• IKS bietet auch Chancen zur Verbesserung der Gesamteffizienz

• IKS muss auf das Risikoprofil und das eigene Unternehmen zugeschnitten werden, auch unter Wirtschaftlichkeitsaspekten

• Ziel Risiken auf tragbares Niveau zu senken

• Geschäftsführung / Aufsichtsrat haben die Verantworung das die relevanten Risiken für das Geschäfts angemmesen gemanaget werden, Steuerung liegt bei Geschäftsleitung

• IKS ist inegraler Bestandteil des unternehmensweiten Risikomanagements

• Bild einfügen LE 6 S. 48

• IKS umfasst verschiedene Ebenen die die Aspekten Strategie, Betrieb, Reporting und Compliance unterstützen sollen

• Ebenen: Kontrollumfeld, risikobeurteileung / Beherrschung, Kontrollaktivitäten, Information / Kommunikation / Überwachung

• Kontrollumfeld bildet Rahmen in dem IKS betrieben wird

• Aufsichtsrat formuliert Ziele die Umfang und Ausbaugrad IKS ableitbar machen z.B. Geltungsbereich und Qualität

• Kontrollumfeld ergibt sich aus dem Leitbild des Unternehmens und die Eigenschaften der Mitarbeiter u.a. Führungsstil, Leistungsovrgaben, Regelungen zu Aufgaben und Verantwortlichkeiten, Fachliche Kompetenz, ehtische Wertevorstellungen

• Risikobeurteilung der Risiken mit Eintrittswahrscheinlichkeit und zu erwartenden Schaden

• Vorher Risiko identifikation und analyse

• Grundlage das wichtigsten Geschäftsprozesse identifziert sind um ihre Risiken zu finden und zu bewerten

• Risikobeherrschung durch umsetzung von Maßnahmen zur Risikosenkung

• Kontrollaktivitäten stellen sicher das manahmen wirksam sind und vollständig und korrekt umgesetzt wurden

• Idealerweise werden Maßnahmen in die Geschäftsprozesse integriert

• Es wird in prväentive, detektive Wirkung von Kontrollmaßnahmen unterschieden

• Mitarbeiter müssen die Informationen haben für ihre Aufgaben und um erforderlichen Kontrollen korrekt durchzuführen

• Informations / kommunikationskanäle festlegen und mit entsprechenden Systemen realisiert und gewährleistet werden

• Damit IKS wirksam bleibt und Risikenbeherrscht müssen die Kontrollmaßnahmen laufend überwacht werden

• Auf einhaltung der definierten Prozesse und kontrollen, Wirksamkeit der Maßnahmen

• Bei Abweichung ergreifen von korrekturmaßnahmen

• Management Risk Controlling ist eine wichtige unternehmensaufgabe zur Unterstützung organisaotrischer Sicherungsmaßnahmen, Compliance und Verbesserung internen Revisionen

• Einrichtung MRC im Rahmen des IKS da es sturkturierte Aufbereitung unternehmenskritische informationen abdeckt

• Bietet Methoden / Werkzeuge um notwendige informationen aufzubereiten und Prozesse bei der integration der Dokumentation zu unterstützen

• MRC Werkzeuge können weiter Managementaufgaben wie Vertragsverwaltung, gesetzliches meldewesen, Risikoanalyse und Reporting, Dokumenverwaltung unterstützen

• Produktrisiken eines spezifischen Produktes

• Marktriskiken (unabwägbarkeit des marktes)

• Finanzierungsrisiken

• Operationsrisiken

• Rechtsrisiken

• Haftungsrisiken

• Steuerungsrisiken

• IT-Risiken

• Unterteilung in allgemeine unternehmerische risiken, operationelle Risiken und Finanzrisiken

• IT- und Unternehmensstrategie

• IT-Dienste und Leistungen

• IT-Organisation

• IT-Entwicklung

• Finanzierung / kosten der IT

• IT-Compliance

• Alle IT-Risiken die mit der Unternehmensstrategie zusammenhängen, relevante Bereiche:

• Abstimmung der IT auf die Unternehemnsstrategie und die Geschäftstätigkeit

• Wert von IT für Geschäft

• Einsatz / Nutzen Technologien (neuer)

• Betreuung der IT-Architektur

• Beurteilung kundebezogener Projekte

• Alle IT-Risiken die mit Erbringung von IT-Dienste / Leistungen für das eigene unternehmen und kunden zusammenhängen

• betrifft Bereiche

• Verwaltung von Betriebsabläufen

• Erhaltung der Produktionsfähigkeit

• Verwaltung IT-spezifische Änderungen

• Gewährleistung der System und Netzsicherheit

• Notfall- und Kapazitätsplanung

• IT-Risiken die mit der Organisation der Anforderungen der dortigen MA verbunden sind

• Relevante Bereiche

• Verwaltung von Skills und Wissen

• Erfolgsplanung und Karrieremanagement

• Personalpolitik

• Abstimmung der IT auf die Geschäftstätigkeit

• Betreuung von Lieferanten

• IT-Risiken mit Bezug zur Weiterentwicklung der IT

• Relevante Bereiche

• Projektleitung & Controlling IT-Projekte

• Entwicklungsrisiko für bestimmte IT-Projekte

• Entwicklungsstandards

• Daten und Informationsverwaltung

• Entwicklungs und Testumgebungen

• IT-Risiken die mit Fianzierung und Kosten der IT verbunden sind

• relevante Bereiche

• projektspezifische IT-Kosten

• geschäftsspezifische Kosten

• beurteilung IT-Investionen

• finanzielle Risiken des Gesamtsystems

• IT-Risiken die mit der Einhaltung formaler Randbedingungen verbunden sind

• relevante Bereiche

• Nichteinhalten von Gesetzen / Vorschriften

• Beriterstattung an aufsichtsbehörden

• IT-verträge

• Reputationsrisiken sind eher indirekte It-Risiken wenn ein Auswall den guten Namen eines Unternehmens beschädigt

• z.B. bei unzuverlässiger IT schaden an dem Vertrauen der Zuverlässigkeit des Unternehmens

• Bereiche wo Reputationsriskiken entstehen

• Kunden

• Aktionäre

• Gegenparteien

• Lieferanten

• Aufsichtsbehörden

• Heutige IT-system sind häufig

  • hoch komplex durch viele plattformen und unterschiedliche Zwecke und Spezialisierung

  • hohe komplexität an Daten durch viele Quellen und Verknüpfungen

  • hohe Dynamik durch technische entwicklung, verändernde Bedarfe, Wachsende Anzahl an Anforderungen

  • hoher Kostendruck

• Regelwerke um IT-betrieb zu optimieren ITIL und eTom

• Ausrichten von Betrieb an diesen Vorgaben erleichtert die Beherrschung der IT-Risiken

• IT-betrieb sollte durchgängig IT-gesützte Prozesse haben die in ein gesamteprozessgefüge integriert sind

• Die qualitt der Informationen und Verfügbarkeit muss gegeben sein

• Sicherheit beim Transfer der Daten

• Neben organisatorischen Maßnahmen kann auch die IT-architektur dazu beitragen z.B. SOA

• Fokus auf Leistungen in Form von Diensten (Services)

• Programmlogik wird über mehrere Services verteilt die jeweils bestimmte Funktionalitäten enthalten

• Die Services greifen aufeinander zu sind aber in ihrem Zusammenspiel flexibel an die eigenen Prozesse anpassbar

• Vorteil Services können vorkonfiguriert werden und dann über standardisierte Schnittstellen mit einander interagieren

• Bild einfügen LE 6 S. 61

• SOA Paradigma besteh aus systematischer nutzung von Services über meherere Ebenen

• Für die Nutzung von Diensten brauch es eine Infrastruktur

• Bild einfügen

• Dienstenutzung erfolg in den Schritten

• Anbieter von Diensten müssen dies in Diensteverzeichnis eintragen

• Nutzer eines Dienstes sucht nach einem Anbieter in Verzeichnis

• dienstnutzer fragt genaue Dienstbeschreibung an

• Nutzung des Dienstes

• Vorteile von SOA zu normalen

• höhere Agilität, besser Integration und Standardisierung, Kostensenkung, Verbesserung der alignment, Bessere Datenqualität, Wiederverwendung und nachhaltige Entwicklung

• Dadurch entsteht bessere Berechenbarkeit der IT die auch das IT-Risikomanagement unterstützt

• insbesondere Baukastensystem führt zur kostensenkung

• SOA leistet Beitrag zu IT-Risikomanagement

• Kennzahlen liefern Messwerte an den die Qualität und Zielerreichung in einem Prozess gemessen werden können

• Kennzahlen dienen dazu einen Sachverhalt quantiativ erfassbar zu machen und komplexe Realitäten abzubilden

• Sie werden nach definierten Methoden und zu bestimmten Zeitpunkten gemessen

• Kennzahlen sind nur im Kennzahlensystem wirklich interpretierbar und aussagefähig

• Für jede Kennzahl muss ein Soll und ein Ist Wert definiert werden und ab wann eine Abweichung Handlungsbedarf auslöst

• Abweichungen vom SOLL Wert können eine Bedrohung im kontext des IT-Risikomanagements bedeuten

• Effektivität der Kennzahl das gezielte zu Messen muss geprüft werden

• Das Sicherheitskonzept ist die Gesamtheit aller Maßnahmen gegen Risiken

• Angemessenheit der maßnahmen zentraler Punkt in der Praxis (Kosten, Nutzen)

• Sicherheitskonzept muss stetig weiterentwickelt werden an der aktuellen Gefährdungslage

• Das Sicherheitsmanagement hat die Aufgaben geeignete Maßnahmen zu gegebenen Unternehmensprozessen und IT-Infrastrukturen zu entwickeln und das Sicherheitskonzept fortzuschreiben und weiterzuentwickeln

• Diese aufgaben sind losgelöst von IT-Sicherheit und gehören zum allgemeinen Managementsystem

• Management bedeutete in dem Kontext den Prozess des leitens und Entscheidungen treffen

• Managementsystem bezeichnet ein Führungs und Organisationssystem zur Unternehmensführung —> umfasst alle Reglungen zur Steuerung und Lenkung, die der Erreichung der Unternehmensziele dienen

• Dazu zählt auch die Organisationsstruktur

• Jedes Unternehmen bestitzt Managementsystem aber oft nicht eplizit kommuniziert/dokumentiert

• Managementsystem durchlaufen immerwieder den 4-Phasen Managementkreislauf

• 1 Identfikation und Konzeption

  • Identifikation --> Ziel Handlungsbedarfe identifzieren, Anwenden Methoden zur Aufnahme und Bewertung der Rahmenbedingungen

  • Konzeption--> identifizierte Handlungsbedarfe knsistenz zu Gesamtkonzept zusammenstellen

• 2 Umsetzung

  • Realisierung der konzipierten Maßnahmen / Lösungen

• Kontrolle

  • Prüfen sind die in Ohase 1 geplanten Ziele und Kostenziele erreicht worden?

• Reaktion

  • Reagieren auf die in Phase 3 entdeckten Abweichungen

• Als Informationssicherheitsmanagementsystem (ISMS) bezeichnen wir ein Managementsystem, welches dazu dient, festgelegte Unternehmensziele aus dem Bereich der Informationssicherheit / IT-Sicherheit zu erreichen

• Definition in ISO 27001

• Der Teil des gesamten Managemensystems, der auf der Basis eines Geschäftsrisikoansates die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und verbesserung der Informationssicherheit abdeckt

• ISMS ist Teil des allgemeinen Managementsystems

• ISMS sollte in die Managementprozesse und auch in die Geschäftsprozesse integriert werden ggf. auch auf bestehende Managementsystemteile aufbauen

• Aufgaben

  • festlegen welche Ausprä#gung der Informationssicherheit benötigt wird

  • Maßnahmen bereitstellen, die der Informationssicherheit dienen

  • vorgeben auf welche Weise Informationssicherheit im Arbeitsablauf erreicht wird

  • den erreichten Stand / erreichtes Maß der Informationssicherheit sichtbar / messbar machen

  • Überprüfung des Stand der Informationssicherheit (Soll-Ist-Vergleich)

  • erreichten stand der Informationssicherheit erhalten und verbessern

• Bestandteile

  • Organganisationsstruktur und Verantwortlichkeiten

  • Planungsaktivitäten

  • übergeordnete Leitlinien und Regeln

  • zugehörige Vorgehennsweisen (Prozesse, Verfahren usw.)

  • Ressourcen

• Sicherheit definieren und planen (1)

  • Identfikation der Risiken im Unternehmen und festlegen von Sicherheitsmaßnahmen --> sicherheitskonzept

• Maßnahmen umsetzen (2) --> umsetzen der im Sicherheitskonzept beschrieben Maßnahmen

• Ergebnisse überwachen(3)

  • Prüfung Wirksamkeit Sicherheitsmaßnahmen

  • Erreichung des Sicherheitsniveaus und Kostenziele

• ISMS verbessern(4)

  • Identifzierte Abweichungen vom Soll durch neue Maßnahmen verbessern

• Kontinuierlicher Verbesserungsprozess unter berücksichtigung sich ändernder Rahmenbedingungen sowohl bei Strategie als auch Maßnahmen

• Sicherheitspolicy im deutschen Sicherheitsleitlinie / Sicherheitspolitik

• Enthält die Sicerhehitsziele die auf abstrakter Ebene definiert werden

• Kernelement eines ISMS da aus ihr Sicherheitsanforderungen abgeleitet werden an den Maßnahmen geplant werden

• Beschreibt was auf dem Gebiet Sicherheit erreicht werden soll

• Ziele werden je nach fachlichen Bereich auf unterschiedlichen Abstraktionsebenen und mit unterschiedlichen Focus beschrieben

• die Ziele in der Security Policy bezeichnen wir als grundsätzliche Ziele

• konkrete Sicherheitsziele aus denen sich das konkrete Handeln ableitet (mit direkter Zielüberprüfungsmöglichkeit) sind operative Sicherheitsziele

• subjekt / objektbezogenen Sicherheitsziele

• Sicherheitsmanagement muss alle Ziele auf kontflikte und relevanz analysieren

• In der Security Policy geht es um die grundsätzlichen Ziele

• Ziele sammeln

  • Einzelzielle formulieren und sammeln

  • Entscheiden welche Ziele betrachtet werden sollen / im Geltungsbereich sind

• Kategorisieren

  • Ziele zu sinnvollen einheiten zusammenfassen nach merkmalen z.B.

  • Zielkategorien: Ziele des Bereichs IT-Sicherheit, Sicherheitsziele fachlich, Qualitätsziele fachlich und methodische Ziele

• Zielhierarchie

  • gruppierten Ziele in Baumstruktur als Zielsituation zusammen

  • Ergibt Ober und Unterziele und wird von oben nach unten konkreter

  • Zielhierarchie hilft beim priorisieren und identifizieren von Schwerpunkten

• SMART steht für specific, measurable, accountable, realistic und time based

• Jedes Sicherheitsziel muss diese Anforderungen erfüllen um ein gutes Ziel zu sein

• SMART Regel wird im Sicherheitskontext vor allem auf operative Ziele angewendet, da sich aus diesen das konkrete Handeln ableiten soll und sie überprüfbar formuliert werden sollen

• Ziele sollten schriftlich dokumentiert sein

• Sicherheitsstrategie beschreibt wie die Ziele der Security Policy erreicht werden sollen

• Strategie muss auf das unternehmen angepasst werden da Einflussfaktoren Unternehmensgröße, Zielsetzung, Unternehmenskultur und vorhandene Organisationsstrukturen zu beachten sind

• Es gibt 4 generische Varianten die als Ausgangspunkt dienen für die eigene Sicherheitsstrategie

• in dieser Strategie geht man davon aus das Bedrohungen von außen kommen und sichert hauptsächlich die Bereiche ab die nach außen interagieren z,B, Warenannahme, Pförtner, es wird quasi eine Mauer um das Unternehmen gebaut mit den Sicherheitsmaßnahmen

• Nach intern gibt es eine Domain of Trust und es werden zwischen internen Instanzen keine weiteren Maßnahmen zur Sicherheit getroffen

• Ansatz vernachlässigt interne Bedrohungen und Bereiche mit hohem Sicherheitsbedarf wie Personalabteilung

• Basiert auf den vorhandenen und dokumentiertern Prozessen

• Innerhalb der an einem Prozess beteiligten Stellen gibt es Vertauen und es dürfen Informationen ausgetauscht werden

• Informationen dürfen aber nur denjenigen zugänglich sein die beteiligt sind und für deren Funktion im Prozess sie notwendig sind

• Sicherheitsstrategie hat keine Domains of Trust

• Jede Information ist schützeneswert und jede interne Instantz ist für Schutz verantwortlich

• Jeder muss Information auch in seiner Arbeitsgruppe schützen

• Problematik das mann den eigenen Kollege misstrauen muss um sie zu realisieren

• Für jede Information wird ein Eigentümer ermittelt, der für den Schutz verantwortlich ist

• Eigentümer legt Schutzbedarf der Daten und den berechtigten Personenkreis fest

• Sicherheitsorganisation: Alle im Bereich IT-Sicherheit aktiven Rollen und ihnen zugewiesenen Verantwortlichkeiten

• Folgende Puntke müssen durch die Unternehmensführung geklärt sein

• Welche sicherheitsrelevanten Rollen gibt es? Welche Funktionen nehmen diese wahr? An welchen Positonen im Organigramm sind sie? Wie arbeiten die Positionen zusammen und wie grenzen sie sich voneinander ab?

• Rollenmodelle sollten festgelegt werden

• In unternehmen existieren oft mehrere (fachlichspezifische) Sicherheitsbereiche die isoliert abreiten

• Probleme daraus die Arbeitsmethoden sind unterschiedlich, kein gemeinsames Reporting--> keine Gesamtüberblick über sicherheit, konkurrenz um Ressourcen zwischen den Bereichen

• Trend die einzelnen Bereiche in ein großes gemeinsames Sicherheitsmanagement zu integrieren und damit Probleme zu lösen

• Es gibt die folgenden Sicherheitsbereiche mit denen auch die Informationssicherheit schnittstellen hat

  • Physische Sicherheit

  • Arbeitssicherheit

  • technische Sicherheit (Betriebssicherheit von anlagen)

  • Produktionssicherheit

  • Umweltschutz

  • Revision (Überprüfung der ordnungsgemäßen durchführung der Unternehmensprozesse)

  • finanzielle Sicherheit

  • Datenschutz

• auch IT Risik manager genannt

• Betreiber IT-Risikomanagementprozess

• Zuständig Weiterwnticklung, Optimierung und Kontrolle Risikomanagemensystems

• Erkennung und Bewertung von IT Risiken

• Durchführung / Initiierung von IT-Risikoanalysen

• Erstellen IT-Risikolagebericht und Vrbereitung Risikoentscheidungen

• Schnittstelle zwischen Management und Technik

• Koordiniert Tätigkeiten der anderen sicherheitsrelevanten Rollen

• Arbeitet eng mit IT-Risk Manager zusammen

• Erstellt Schutzbedarfsfestellung

• Entwickelt Sicherheitskonzepte

• definiert unternehmenseinheitliche Informationssicherheitstandards

• Brücke zwischen IT-Risk Manager und Infromation Security Manager und dem IT-Betrieb

• Durchführen / Initiierung von Sicherheitsuntersuchungen und Audits

• Begleitung von Notfallübungen

• Überwachung und Koordination Einhaltung Sicherheitsstandards

• Beratung technische Fragen IT-Sicherheit

• Umsetzung von IT-Sicherheitsmaßnahmen

• Untersützen IT-abteilung bei Implementierung von Sicherheitslösungen

• Besitzt tiefgehendes technisches Know how und kennt aktuelle Schwachstellen der Systeme

• macht tagesaktuelles Reporting und das incident Management auf Betriebsebene

• Veränderungen ode Warnzeichen für Vorfälle leitet er an den Information Security Manager

• Fokus nach den gesetzlichen Vorgaben auf den Schutz personenbezogener Daten

• sorgt für korrekten Umgang mit personenbezogenen Daten

• Überwacht angemmesenheit der datenerhebung

• Überwacht pflichterfüllung der speichernden Stelle und Wahrung Betroffenenrechte

• IT-Manager ist für effektiven und effizienten IT-Betrieb auf Planungs und laufender Betriebsebene zuständig

• IT-Manager stehen Informationssicherheit oft im Weg da es gegenüber dem laufenden Betrieb als weniger wichtig angesehen wird

• Aufgabe im Bezug auf Informationssicherheit das die Vorraussetzungen für die Umsetzung der Sicherheitsmaßnahmen da sind und sie tatsächlich umgesetzt werden

• Schnittstelle zwischen IT und Mitarbeitern

• Erste Anlaufstelle wenn MA Sicherheitsvorfälle entdecken

• Benutzersupport sollte Verfahrensanweisen für Sicherheitsvorfälle kennen und umsetzen

• Gremium dient dazu koordiniert zusammenzuwirken zwischen den sicherheitsrelevanten Rollen

• Hier werden Abwägungen Sicherheit vs. Funktionalität getroffen

• Zusammenarbeit Betriebsfunktionen und Sicherheitsfunktionen definiert

• Als Querschnittsbereich der über alle Ebenen geht ist IT-Sicherheit kein kompakter Block im Organigramm

• trotzdem muss es eine Organisation zur IT-sicherheit geben, dafür existiert kein standadisiertes Modell weil die spezifische Unternehmensstruktur relevant ist und oft Rollen zusammengefasst werden (in einem MA)

• Abbildung für beispiel organisation einfügen S. 30 LE 3

• zentrales Element des ISMS

• definiert Grundsätze und Leitlinien der Informationssicherheit und den SOLl Zustand

• IT-Sicherheit wird häufig zu niedrig priorisiert

• Problematik Security Policy vorhanden aber nicht geeignet oder nicht umgesetzt

• Security Policy dient als Arbeitsgrundlage und verständnislevel von Informationssicherheit im Unternehmen

• Security Policy wird häufig von Information Security Manager formuliert und solte technikunabhängig und aus gesamtunternehmenssicht formuliert sein

• Gültigkeitsbereich

• begriffe und Definition

• Bedeutung der Informationssicherheit

• Schutzbedürftige Werte und grundsätzliche Schutzziele

• Aufgbau des Sicherheitsmanagements

• Dokumentenstruktur zur Informationssicherheit

• Sicherheitsbewusstsein

• enforcement

• Umfang

• Gültigkeitsbereich der Security Policy wird bei Erstellung festgelegt

• Realistisch sollte der Gültigkeitsbereich nur das eigene Unternehmen betreffen

• Realistisch kann nur in der eigenen Organisation die aussagen und Anforderungen der Policy auch durchgesetzt und kontrolliert werden

• Grundlage für unternehmensweit einheitlichen Sprachgebrauch für Sicherheitstehmen soll hier definiert werden

• Um gemeinsames Verständnis zu schaffen und interpretationsspielraum zu minimieren

• Informationssicherheit kein selbstzweck sondern dient erfüllung u.a. gesetzlicher Anforderungen

• Beschreiben welche Werte im Untenrhemn schutzbedürftig sind, was die grundsätzlichen Schutzziele sind und wie dieser Schutz erzielt werden soll

• Bezug auf Sicherheitsstrategien und konkrete Gesetzte

• Stellenwert der Informationssicherheit im Unternehmen soll dokumentiert werden

• Durch unterschrift der Geschäftsleitung sollen das Mandat für Informationssicherheit und die Ressourcen festgelegt werden —> durch Security Policy wird eine bewusste Entscheidung zu dem Thema herbei geführt

• Beschreibung des Aufbau der Dokumentenhierarchie zur Informationssicherheit

• Welche Komponenten gehören zur Dokumenthierarchie und wie spielen sie zusammen

• Beschreibung der rollen und Verantwortlichkeiten für Informationssicherheitsmanagement

• Kompetenzen zwischen Rollen sollen sich nicht überschneiden

• Beschreibung wie Rollen zusammenarbeiten

• Fokus nicht nur auf technische Maßnahmen, sondern auch auf Sensibilisierung der Mitarbeiter und unterstützung dieser mit Sicherheitsweerkzeugen um informationssicherheit zu gewährleisten

• Sicherheit liegt in den Händen der Mitarbeiter

• Security Policy sollte sich an Mitarbeiter richten und dieser mit ihr vertraut sein

• Beschreibung wie die Einhaltung der Policy kontrolliert wird und welche Konsequenzen bei Verstößen vorgesehen sind

• Neben inhalt sollte die Policy gut nutzbar sein und daher zwischen 5-10 Seiten lang sein

• Hierarchie der Dokumente zur IT-Sicherheit

• An der Spitze die Security Policy

• Die weiteren Stufen werden jeweils konkreter auf technischer / organisatorischer / physischer Ebene

• Mehrere Dokumente in den weiteren Stufen

• Dreistufige Dokumenthierarchie

  • Security Policy

  • Generic Security Standard (GSS)

  • Product Specific Security Standard(PSS)

• Beschreibt die Anforderungen aus Informationssicherheitssicht an die informationsverarbeitende Bereiche des Unternehmens

• gesamtheitliche Betrachtung aller Sicherheitsapsekte die Einfluss auf die Informationssicherheit haben

• Kann als Prosatext oder Anforderungskatalog formuliert werden

• Strukturierung in Themengebiete

• Definition logische Sicherheitsbereiche —> Einteilung Unternehmen in logische Themenblöcke z.B. Infrastruktur, Netz, System

• Aufstellen Liste Objektarten zu logischen Sicehrheitsbereich --> Anforderungen beziehen sich immer auf bestimmte Objekte die in diesem Schritte gesammelt und den logischen Blöcken zugeordnet werden

• Aufsstellen Liste Themen zu Objektart --> zu jeder Objektart existieren mehere Themen die dazu dokumentiert werden z.B. Brandschutz, Einbruchschutz, Zugriffskontrolle

• Definition Sicherheitsstufen —> Defnieren von Stufen, je höher die stufe desto mehr Anforderungen aus dem GSS gibt es

• Aufstellen Anforderungen --> Formulieren der Sicherheitsanforderungen zu kombination von Sicherheitsbereich, Objektart und Thema

• Zuordnen Sicherheitsstufen —> für jede Anforderung wird die Sicherheitstufe vermerkt

  • Anfordeurngen existieren in allen Sicherheitsstufen in gleicher Form

  • Anforderungen gibt es in allen Sicherheitstufen in unterschiedlicher Form z.B. bei steigendem Sicherheitsniveau

  • Anforderungen tritt erst bei einem höheren Sicherheitsniveau in Erscheinung

• tErgebnis der Schritte ist Anfordeurngskatalog z.B. in Tabellenform

• Die anforderungen sind generisch da sie technologie und produktunabhängig sind

• PSS konkretisiert generische Anforderungen des GSS für bestimmtes Produkt

• PSS Schnittstelle zwischen GSS und Betriebshandbücher für Systeme

• PSS-Sammlung enthält für jedees produkt eine Beschreibung wie es die Anforderungen des GSS umsetzt z.B. über Konfiguration

• PSS nimmt einfluss auf den IT-betrieb weshalb dieser in die Formulierung einbezogen werden sollte

• PSS in Tabellenform mit systemtechnischen Beschreibungen

• PSS wird vorrangig für Produkte mit hoher Bedeutung für das unternehmen erstellt

• Im Alltag

  • Identifikation: Angabe des Identifikationsmerkmals z.B. Name

  • Authentisierung: Prüfen angegebene Identität z.B. durch Vorzeigen des Personausweises

  • Personalausweis hat Eigenschaften die Authentisierung möglich machen u.a. von vertrauenswürdiger Instanz ausgestellt, enthält persönliche merkmale, ausweis gehört eigentümer und schwer zu fälschen

• In der IT

  • Benutzer an einem Rechnersystem

  • Identifikation: Angeben Identifikationsmerkmal z.B. Benutzeridentifikation als Zeichnkürzel

  • Authentisierung: Prüfen der angegeben Identität z.B. durch Passwort

  • Passwort ist Vertaulich weshalb es der Authentisierung dienen kann

• Authentisierung durch Wissen

  • prüfung ob Subjekt / Objekt eine bestimmte Information kennt

• Authentisierung durch Besitz

  • geprüft ob Subjekt/ Objekt ein schwer zu fälschenden Gegenstand besitzt

• Authentisierung durch persönliches Merkmal

  • verwendung eines möglichst unverwechselbares nur schwer zu fälschenden persönlichen Merkmal einer Person

• Subjekte sind nicht nur Personen sondern auch Prozesse, Hardwarekomponenten oder Programe

• Betriebssysteme erkennen einen Benutzer und alle seine zugehörigen Prozesse auf Betriebssysteme ebene meist nach einmaligen Login als authentisch an --> problematisch da solch ein login auch über ungesicherte Netze erfolgen kann und damit angreifbar ist

• Viele Architektur beruhen noch auf Client-Server-Architketuren die über Internetprotokolle verbunden sind --> Viele ursprüngliche Protokollen arbeiten nur mit ID zur authentisierung was leicht zu fälschen ist und damit angreifbar

• Mitllerweile werden Protkolle um authentisierung erweitert um Angriff zu erschweren

• Authentisierung der Prozesse gegenüber dem Benutzer häufig vernachlässigt, obwohl Angreifer so die Login Daten erbeuten können

• Authentisierung mit Anwendung von zwei oder mehr Authentisierungsprinzipien zur Erhöhung der Sicherheit der Authentisierung

• Bei zwei Techniken Zwei-Faktor-Authentisierung bzw. starke Authentisierung

• Oft Kombination Autentisierung über Wissen und Besitz z.B. EC Karte (Besitz) und Pin (Wissen)

• Bei Passwortverfahren authentisiert sich ein Benuter in dem er die Kenntnis über ein mit dem System vereinbaretes Geheimnis hat

• Wird bei Betriebssystemen für PC / Arbeitsplätze genutzt

• Ablauf Passwortauthentisierung

  • Benutzer teil System User ID mit

  • System fragt nach Passwort

  • Benutzer gibt Passwort an das System

  • System vergleicht erhaltens Passwort mit Referenzwert --> wenn gleich dann authentisierung

• Daraus leiten sich die folgenden Anforderungen an Passwortverfahren ab

  • Passwort muss vertaulich zu msyste übertragen werden

  • System muss Referenzpasswörter sicher verwaltungn und vor unautorisierten Zugriffen schützen mit kyrptografischen verfahren wie Hashfunktion

  • Qualität der Hashfunktion bedeutsam

• Vorteile

  • einfache und kostengünstige Implementierung

  • Keine zusatzgeräte erforderlich

  • Weit verbreitet und Benutzern bekannt

• Nachteile

  • Auswahl Passwörter durch nutzer die dadurch häufig anfällig für erraten sind

  • Password Guessing nutzt Wissen über Persönlichkeit des Nutzer um schlüsse auf Passwort zu ziehen

  • Wörterbuchangriff die Hashfunktion wird mit einem heruntergeladenen Wörterbuch verglichen --> bei gleichheit hat man das Passwort gefunden

  • Bei langen durch das System generierten Passwörtern wird der Benutzer diese vermutlich nieder schreiben und damit wieder angreifbar machen

  • Passwortqualität ist also ein entscheidenender Faktor für die tatsächliche Sicherheit

  • Social Engineering durch weitergabe der Passwörter

  • Kompromittierung des Passwortes (ohne das dies bemerkt wird)

  • kurze oder ähnliche Authentisierungsinformation bei meheren Systemen

  • gezielte Weitergabe ist schwierig und erfordert passwortänderungen

  • sichere übertragung hat herausforderungen

• t

• Jedes Passwort min. 8 Zeichen und kein Wort was im Wörterbuch ist

• Passwort sollte kein Eigenname oder eigener Vor/ Nachname sein

• mindestens ein Sonderzeichen und keine Folge von Zeichen die direkt nebeneinander aud der Tastatur sind

• möglichst viel unterschiedliche Zahlen und Buchstaben

• Automatisisch bei Vergabe des Passwortes muss Benutzer diese Regelungen einhalten

• System sollte nur geringe Anzahl von Fehlversuchen tolerieren und danach Kennung sperren

• Wenn Passwörter diese eigenschaften erfüllen werden die Schwächen des Passwortverfahrens abgemildert

• Einmalpasswörter / onte time password (OTP) lassen sich nur einmal zur Authentisierung einsetzen

• Vorteil Passwortkompromitierung hat wenig auswirkungen und dritten kann gezielt ein einmaliger zugang gegeben werden

• Einsatzbereiche Systeme in öffentlichen netzen wo keine anderen Sicherheitsmechanismens für Vertraulichkeit des Passworts vorhanden sind

• Implementierungsvarianten S/Key Verfahren und SecurID Token der irma RSA

• Authentsierung von Benutzer erfolgt gegenüber dem RSA ACE / Server als starke 2-Faktor Authentisierung

• Benutzer weist sich durch Kenntnis einer Pin und Besitzt eines Tokens aus

• Inital erhält Benutzer Token mit eindeutiger Seriennumerม 64-Bit symmetrischen Schlüssel und einem Seedwert die der Server kennt

• Benutzer hat auf dem Server eine Kennung die mit der Seriennumer und dem Seed verknüpft ist

• System arbeitet mit zeitgesteuerteen Passwortgenerierung und prüfung

• Alle 60 Sekunden wir ein neuer Tokencode über einen geheimen Algorithmus aus Seriennumer, Seed, Schlpssel und Zeitangabe generiert

• Vorraussetzung Server und Token synchrone Uhren

• Weitverbreitet durch große Interoperabilität des Servies mit aktuellen Betriebs und Anwendungssystemen

• Kritikpunkte

  • geheimer Algorithmus widerspricht kerckhoffsschen Prinzip

  • hohe Koste speziell für ACE Server

  • potenzielle Proble be Asnchronität der uhren von Token und Server

• Mitarbeiter der IT-Revision der Teil des bereiches Revision ist

• Prüft ob gesetzliche normen eingehalten werden auch in Bezug auf die Informationssicherheit

• ggf. IT-Forensik bei rechtlich relevanten Vorfällen

• Authentisierung des Benutzer indem ihm eine Aufgabe gestellt wird die er nur durch Kenntnis des Geheimnis beantworten kann

• Vorteil Geheimnis muss nicht zum Zielsystem übertragen werden

• beispiele Sicherheitsfragen bei Passwort zurücksetzung

• Für Sicherheit sollte Challenge ein Rechenergebniss sein was z.B. auf einem geheimen kryptoggraifschen Schlüssel basiert

• Benutzer weist sich durch Besitz einer fälschungssicheren Marke (Token) aus z.B. Dokuemt, chipkarte(Smartcard), USB-Token)

• IT-Basierte Tokens haben einen internen Speicher und eine Verarbeitungslogik z.B. Smartcard

• Arten von Chipkarten

  • Speicherkarten verfügen pber nicht flüchtigen Speicher einiger hunder Bytes bis 8 KB, habne keine CPU z.B. Krankenversicherungskarten

  • intelligente Speicherkarten haben eigene sicherheitslogik z.B. für PIN Speicheru nd Prüfung, Zähler und Regel für Fehlversuche um Karte zusperren

  • Smartcard haben einen eigenen Mikroprozess und einen programmierbaren Speicher

• Bild einfügen LE 2 S. 20

• ISO 7816 git Vorgaben fur Dimension, Anordnung Kartenkontakte und zulässige Signale und Übertragsungsprotokolle

• Smartcard besteht aus Träger aus Polycarbonat, Mikrocontroller als Halbleiterchip, über dem Chip das kontaktfeld

• Mikrocontroller

  • besteht aus CPU

  • Read only memory (ROM) bis zu 320 KB Inhalt wird einmal bei Produktion festgelegt und danach unveränderbar

  • Random Access Memory (RAM) flüchtiger Speicher für Progammausführung bis 16 KB

  • Ein / Ausgabekanälen Für Datenübertragungen

  • EEPROM(Electronically Erasable Programmable Rom) Speicher bis 400 KB, nicht flüchtiger speicher zur langfristigen Speicherung benutzerspezifischer, veränderbaren Daten wie PIn, Kontonummer

• Smartcards nutzen häufig symmetrische Verfahren zur Verschlüsselung

• Einsatzbeispiele: Bankkarten, SIM Karte, Frequent Flyer Karten

• Einsatz of in 2-Faktor Authentisierungsen 1. Benutzerauthentisierung und 2. Kartenauthentisierung

• Benutzerauthentisierung

  • Benutzer authentisiert sich gegenüber Karte mit PIN am Kartenlesegeräte

  • PIN wird von CPU der Karte mit Referenzwert im EEPROM verglichen

  • Gleichzeitig wird Zähler über Fehlversuche geführt und bei Überschreiten wird Karte gesperrt

  • Im nächsten Schritt Authentisierugn der Karte gegenpber Lesegrät per Pre Shared Secrets

  • Terminal sendet Karte eine Zufallszahl und Kommando ein entsprechende Response zu berechnen

  • Karte antwortet mit verschlüsselter Response wobei die Verschlüsselung die Kenntnis des Pre Shared Secrets nachweist

• Kartenauthentisierung

  • Authentisierung zwischen Smartcard und Zielsystem

  • Typischerweise Challenge Response Verfahren ggf. doppelt von karte zu system und system gegenüber karte

• Authentisierungstechniken im Fokus die auf biometrischen merkmalen basieren --> physiologische oder verhaltenstypische eigenschaften einer Person

• Biometrie Wissenschaft der Vermessung von Lebewesen

• Beispiel Biometrische Merkmale Fingerabdrücle, Handgeometrie, Retinamuster, Irismuster, Sprechverhalten

• Aufteilung in zwei klassen Satische Verfahren zu statischen phsiologischen Eigenschaften und dynamische Verfahren die auf dynamischen merkmalen basieren

• Anforderungen an biometrisches Merkmal

  • eindeutigkeit (für jede person utnerschiedliche)

  • beständigkeit (merkmal unveränderlich)

  • quantitativ erfassbarkeit z.B. mit Sensoren

  • performanz ( erfassung merkmal kann mit erfoderlicher genauigkeit erfolgen und performant erfolgen

• t

• Vorteil der biometrischen Authentisierung Mekrmal ist fest mit authentisiertender Person verbunden und kann nicht weitergegeben werden

• Nachteil in der Praxis brauchen biometrische Verfahren eine gewisse Toleranz die sie angreifbar und weniger sicher in der tatsächlichen authentisierung macht

• Biometrische Verfahren brauchen eine Anlernphase

  • zu analysierende Biometrische eigenschaften muss durch geeigneten Sensore erfasst, digitalisierut und zugehörige Referenzwerte extrahier werden

  • Referenzwerte komprimieren und als personenbezogenen rEferenzdatensatz speichern

  • Setzt spezielle Hardware voraus die erfassung tatsächlich in ausreichender Qualität durchführen kann

• Betriebsphase: Bei Durchführung Authentisierung werden aktuelle biometrische muster erfasst und wie Referenzwerte digitalisierunt und abgeglichen

• Toleranz bei biometrischen Authentisierungsverfahren

  • Wir können bei biometrischen Verfahren nicht auf volle Gleicheheit prüfen weil biometrische Merkmale dem Alterungsprozess und physischen / psychosozialen Entwicklungen ausgesetzt sind z.B. Fingerabdrcuk durch Schnitte / verschmutzungen, Gesichtserkennung durch mimik erschwert

  • Ebenso können äußere umstände wie Lichtverhältnise zu Abweichungen führen obwohl es die richtige Person ist

  • Daher braucht das Abgleich verfahren Toleranz bereiche

• Biometrische Authentisierungsverfahren brauche Toleranzen dabei können aber Probleme auftreten

• False Rejection Rate(FRR)

  • bei zu kleiner Toleranz wird auch Träger des echten biometrischen Merkmals nicht authentisiert

  • Hohe FRR führt zu verminderter Akzeptazn des Verfahren durch den Benutzer

• False Acceptance Rate(FAR)

  • zu große Toleranz führt dazu das auch träger anderer Merkmale authentisiert werden

  • hohe FAR führt zu Gefährdung der Systemsicherheit

• Equal Error Rate

  • Schnittpunkt der kurven von FRR und FAR ist die Gleichfehlerrate (equal error Rate EER)

  • Ziel bei biometrischen Verfahren ist eine neidrige Gleichfehlerrate

• FRR und FAR hängen zusammen (Bild einfügen LE 2 Seite 26)

• Biometrische Daten sind personenbezogenen Daten die rechtlichen Vorschriften u.a. was Sicherung und erhebung unterliegen und deshalb höheren Aufwand bedeuten

• Benöttigen Spezialhardware und Lernpahse was höhere Kosten bedeutet

• Keine Standardisierung von biometrischen Verfahren und starke Bindung ein Hersteler eines systems

• Anfälligkeit fälschung biometrischer Eigenschaften

• Ethische Gefahren für Angriffe

• Notfallvorsorge schwierig da Merkmal nicht an vertretende Personen übergeben werden kann

• Identity Management soll helfen das Personen verteilte Teilidentiäten auf verschiedienen Systemen benutzen

• Teilidentitäten sollten nur die Informationen enthalten die für den jeweiligen Anwendungsfall notwendig sind

• Unterstützt bei der Wahrnehmung des Rechts auf informationelle Selbstbestimmung und dem schutz personenbezogener Daten

• benutzer bekommt pber Identity Managementsystem (IDMS) möglichkeit seine personenbezogenen Daten zu kontrollieren und welche Informationen er an welche Dienstanbiert heraus gibt

• Microsoft Passport

  • Single Sign on System

  • Einmalige Anmeldung bei Passport erlaubt es sich auf partnerseite einzuloggen ohne erneute Authentisierung

• Liberty Alliance Project

  • Netzwerkidentiät für single sign on ähnlich zu Passport

  • Unterschied pro Benutzer mehrere Identitäten von unterschiedlichen Anbietern --> echte Verwaltung von Teilidentitäten

• Single Sign on

  • z.B. über Microsoft Active Directory Server werden Benutzer netzweit authentisiert für die Dauer der Anmeldung

  • Single sign on bietet gefahr der single point of failure durch zentralisierung

• Teilgebiet der IT-Sicherheit was sich mit der Analyse und Absicherung von nutzungssizenarien vernetzter IT-Systeme beschäftigt

• In allen IT-Nutzungsszenarien sind netze und über Netze erreichbare Systeme / dienste enthalten, da Netze den Nutzungsradius von Systemen erweitern, aber dadurch auch den Angriffsradius

• Hier Fokus auf Abischerung von TCP/ IP basierten Netzen

• Bild einfpgen LE 2 S. 34

• Mitte Unternehmenszentrale mit zentralen IT-Komponenten und lokales Netz

• IT-Komponenten untersützen Geschäftsproozesse

• externe Netanbindungen zu Lieferanten, Kunden, weiteren Standorten des Unternehmens

• externe Anbindung ans Internet und ggf. einwahlleitungen für temoprärere Zugänge zum netz

• In Praxis meist Netzstruktur komplexer

• In offenen Netzen anonymität und keine Möglichkeit zur Sicherstellen der Authentizität --> Spoofingangriffe

• Auch bei authentischer IP-adresse kann da hinter stehenden Person / Organisation nicht identifziert werden ( oder nur durch Strafverfolgungsbehörden)

• Internet abbild der Gesellschaft und damit auch erhöhter Kriminalität

• notwendiges Angriffs Know how relativ gering durch verfügbare Exploits, phsiingangriffe, Social engineering

• Netzportokolle haben schwächen

• Anonymität senkt Risiko erkannt und verfolgt zu werden

• Unternehmen sind über ihre Verbindung ins Internet angreifbar

• Auch in internen Netzen nutzung von Protokollen mit Schwächen

• internes Netz nur sicherer wenn Unternehmen IP-Adressen vergibt und alle internen Mitarbeiter vertrauenswürdig sind ( inder praxis unterschiedlich stark gegeben)

• interne Netze müssen besonders geschützt werden wenn sie mit unsicheren (externen ) Netzen verbunden sind

• Netzsicherheit abhängig auch von Kopplung mit lieferanten / kundennetzen und deren Sicherheit

• Netzsicherheit umfasst technische wie organisatorische Aspekte

• Firewall komtm aus Gebäudetechnik, Brandmauer mit der das Übergreifen von Bränden zwischen abgeschotteten Gebäudeteilen vehindert werden soll

• in IT firewallsysteme die das Ziel haben den Zugriff zwischen zwei oder mehr Netzen an defineirten Netzübergangspunkten zu kontrollieren, ggf. gezielt zu erlauben und unerlaubte Zugriffe verhindern

• Firewallsystem bestehen aus mehreren Hard und Softwarekomponenten, jedweder Netverkehr zwischen zwie System muss das Firewallsystem und seine Kontrollmechanismen passieren ( interfaces)

• Firewallsysteme technische Möglichkeit vor Berdohungen aus nicht vertrauenswürdigen Netzen zu vermeiden, sollte Teil des Gesamtsicherheitskonzepts sein

• Kontrollmechanismens von Firewallsystem erlaue es Netzverkehr gezielt zu protokollieren und zu erlauben oder blockieren

• Auf mehreren Ebenen des TCP / IP Stacks möglich

• Paketfilter wird auf Schicht 3 / 4 des ISO/ OSI Refernzmodells eingesetzt und entscheides ob ein Pakte weitergeleitet wird oder nicht

• Entschieden wird anhand der Header Information in IP, TCP, und IDP -Pakete

• Entschieden wir anhand der Paramter: Quell und Ziel IP-adresse, Quell und Zielport, Protokolltyp, IP Flags, Interface über das Paket ankommt

• Mit Paketfilter kann zuverlässig Zugriff auf bestimmte Ports und IP-Zieladressen kontrolliert werden

• Applikationsfilter / Application proxy arbeitet oberhalb der TCP Schicht auf Dienstebene

• Application Proxy ist ein Programm auf einem Rechner des firewallsystem wmit je einer Netwerkkarte im unsicheren Net

• Dieser Rechner ist ein Multi Homed Gateway oder Bastion Host --> alle Verbindunen zwischen einem internen und externen Netz laufen ausschließlich über diesen Rechner

• Proxy nimmt Verbindungswünsche auf Dienstebene entgegen und leitet dies gegebenenfalls zum Zielsystem weiter

• Proxy-Firewall kann Zustandsinformationen verwalten und sicherheitsdienste erbringen die über Paketfilter hinausgehen u.a. Authentisierung aufrufenden Clients und protokollieren von aktivitäten

• Proxy kontrolliert welche Inhalte oder Protokollschritte auf Dienstebene übertragen werden

• Content Filter überprüfen die durch einen Dienst übertragenen Inhalte auf unerwünschte Inhalte

• beispiel Virenscanne für Dateiübertragung (HTTP u.a), Filter von Java / Java Script auf Webseiten, URL Blacklists

• Content Filter sind Standard in Firewallsystemen

• Remote Access beschreibt entfernten Zugriff auf ein Unternehemnsnetz

• Ziel einem entfernten Benutzer den benötigten Funktionsumfang über eine Netzverbindung bereitzustellen

• Basistechniken des Remote Access

  • Einwahl des Nutzers über öffentliches Telefonnetz, von überall möglich aber geringe Bandbreite und hohe Gebühren

  • Internet: Nutzer verbidnet sich mit dem Internet und über dieses mit dem Firmennetz

• Sicherheitsziele bei Remote Access über internet

  • nur berechtigte Nutzer dürfen sich mit Firmennetz verbindungen (starke Authentisierung erforderlich die durch Firewallsystem möglich ist)

  • Integrität und Vertaulichkeit der übertragenen Daten muss sichergestellt werden z.B. durch hybride Krypotgraphie

  • Nutzer soll Zugriff auf Funktionalitäten haben ohne permanente neu authentisierung

• Benötigte Zugriffsrechte sind abhängig vom Anwendungszenario

• Unter VPNs versteht man eine Netzinfrastruktur bei der Komponente eines privaten Netzes über ein lffentliches Netz miteinander kommunizieren wobei sie die Illusion besitzen das Netz unter Sicherheitsgesichtspunkten zu ihrer alleinigen Verfügung zu haben

• über technische Maßnahmen wir kryptografische mechanismen werden die Sicherheitseigenschaften privater netzwerke sichergestellt

• Aufgaben des VPN

  • Authentisierung der Benutzer z.B. über starke Authentisierung

  • vertauchlichkeit und Integrität der übertragenen Informationen durch kryptografische Verfahren

  • erzeugenen erforderlicher Schlüssel und erneuern dieser

  • Bereitstellen von Audit und Accounting Informationen an die nutzer

  • Implementierung so das bei koppelung mit öffentlichen netz die IP Adressen vertaulich bleiben

• Basistechniken zur Realisierung sind IPSEC und SSL

• Einsatzszenarien z.B. global verteilte Organisationen

• Für Einsatz von VPN muss auf Remote Client und Serverrechner VPN-Modul instralliert werden

• Historisch zu Beginn Monolitsche Anwendungen

• Mit Verbreitung der Vernetzung und durchsetzung von Ethernet Two Tier Architecturen mit Server-Client. Auf Client Verarbeitungslogik und auf Server Aufbereitung für Darstellung

• Mit dem Internet und verteilung von Teilaufgaben entstandt three Tier Architecture. Daten werden auf dem Systersystem (Datenebene) gehalten. Verknüpfung der Daten und zentrale Programmlogik auf Funktionsebene. Präsentation und Eingaben erfolgen im Client des Benutzers

• 3-Tier Architecture in der Praxis nicht voll umgesetzt sondern eher komplexere Anwendungsmodelle

• Bei webbasierten Anwendungen gibt es noch keine Standardbauweise und Standardsoftwarepakete, aber einige gemeinsame Architekturprinzipien

• Typischer aufbau von Prorammpaketen

  • HTTP basierter Clientbrowser als Schnittstelle zum Benutzer

  • Clientbrowser wird von HTTP Webserver bedeint oder alternativ durch Applikationsserver

  • Datenhaltung in Datenbank

• Standardprotukte die eingesetzt werden z.b. Apache HTTP Server mit linux, Applikationslogik über Python, SQL Datenbanken, dynmaische Inhalte mit Javascript usw.

• Sicherheit von Anwendungen ist ein Prozess über den gesamten Lebensszyklus von Softwaresystemen

• Phasen Lebenszyklus Analayse, Entwurf, codierung, Test und auslieferung und Wartung

• Anwendung wird als sicher bezeichnet wenn sie die Soll Sicherheitsvorgaben erfüllt

• funktionale Spezifikation soll um Sicherheitsspezifikation ergänzt werden

• Sicherheitsspezifikation ergebenis von Sicherheitsanalyse des SW Einsatzszenarios

• Enthält Sicherheitsanforderungen auf basis der verarbeiteten Daten

• durch beachtung der Sicherheitsanforderungen wird sicherheit bereits beim Entwurf mit beachtet

• typische Fehler in der Programmiersprache typischen Auprägung sollen vermieden werden

• Top Schachstellen in Webanwendungen beachten

• Bekannte Angriffsvarianten beachten --> sicherheitsbetrahctungen auf konzeptueller Ebene durch technische Detaillbetrachtung zu bekannten Angriffsvarianten ergänzen

  • Mainipulation von Parametern. Ziel die speziell geformten Parametern für Aktionen zugänglich zu machen

  • Cross Site Scripting wird auf Anwender seite maliziösem Code untergeschoben durch den unautorisierter Zugriff erhalten wird

  • SQL Injection- Angriff auf SQL DAtenbank basierte Datehaltung, bei der in SQL Statements manipuliert werden und dadurch unatuorisierte Aktionen durchgeführt werden

  • Buffer Overflow über spezielle Eingabeparameter wir Software zu nicht spezifikationsgemäßen Verhalten gebracht

• Code Reviews unter sicherheitsfokus um code zu prüfen

• Testphase sollte auch Sicherheitstest umfassen (sowohl White als auch Black Box Tests die Angriffe simulieren)

• für Test auf Anwendungsebene können Application security Scanner genutzt werden, aber diese haben Probleme und limitationen

• Weppaplikationen sind meist verteilt und nur in der Architektur Kombination Schwachstellen aufwisen und die Reihefolge ovn Test ist nicht vorab abstimmbar dar Anwendungen zwar auf HTTP aufsetzen aber eigenen nicht offene Protokolle besitzen

• Scanner können nur gegen bekannte Angriffsvarianten testen

• Zugriffskontrolle stellt sicher das nach erfolgreicher Authentisierung nur die Zugriffe möglich sind für die ein Nutzer / System autorisiert ist

• Zugriffskontrolle kann au verschiedenen Bebenen erfolgen und notwendig sein