Werbung

Dienstag, 7. Februar 2012

IT-Security Konzept Beispiel

Heute mal wieder ein Fall von "Ich finde nichts in Google darüber, deshalb mach ich es halt doch selbst...".

Wir haben morgen in dem Fach "Management der Informationssicherheit (MIS)" eine Prüfung, bei der ich ehrlich gesagt absolut keinen Auftrag habe, was dort drankommen könnte. Nach studieren des Scripts und Gerüchten, dass wir dort wohl ein Securitykonzept für Informationssysteme erstellen müssen, habe ich mich jetzt mal hingesetzt und ein Beispiel ausgearbeitet. Ich hoffe, dass ist das, was er so ähnlich haben möchte.

So könnte ein einfaches Konzept zur IT-Sicherheit aussehen. Ist alles selbst ausgedacht, also erhebe ich keinen Anspruch auf Richtigkeit ;) Vielleicht hilft es ja den ein oder anderen.

Beispiel:
Frau Müller hat ihren Blumenladen nach und nach zum Blumengroßhandel aufgebaut. Für Diesen möchte Sie jetzt ein IT-System einführen.
Kunden und Lieferaufträge sollen besser verfügbar sein, Kunden sollen online bestellen können.
Erstellen Sie ein IT-Security Konzept:


      A) Schutzbedarfsfeststellung:
Zuerst stellen wir fest, was geschützt werden muss:

IT-Systeme:

  • Die Rechner, die für die Logistik zuständig sind.
  • Kassensystem (Rechner)
  • Rechner im Büro von Frau Müller
  • W-Lan Router


Daten:

  • Kundendaten / Lieferantendaten (Adresse, Name)
  • Rechnungsdaten / Zahlungsvorgänge (Kassensystem)
  • Bestandsdaten
  • Buchhaltungsdaten
  • Kunden-/Lieferantenaufträge

Prozesse:

  • Bestellung von Artikeln
  • Erfassung von Lieferung
  • Rechnungsstellung
  • Auftragsverarbeitung (Lieferschein ausdrucken)


Warum müssen oben aufgeführte Punkte geschützt werden?

Verlust der Vertraulichkeit: Sensible Daten wie Kunden/Lieferanten/Rechnungsdaten dürfen unbefugten Dritten nicht in die Hände fallen.

Verlust der Verfügbarkeit: Kassensystem muss zu den Öffnungszeiten funktionieren. Stabile Verbindung zum Internet um Bestellungen zu verarbeiten. (Uptime von Homepage wird nicht beachtet, da Server für Webapplikation bei externem Anbieter).

Verlust der Integrität: Daten und Prozesse dürfen nicht verändert bzw. manipuliert werden.



          B) Bedrohungs- und Risikoanalyse:


Was kann passieren?

Szenario 1) Kunde geht in einem unbeobachtetem Moment an den Kassenrechner und holt sich Informationen / manipuliert das System. Risikoeinschätzung: Hoch

Szenario 2) Mitarbeiter entwendet Daten aus einem PC im Lager um sie an die Konkurrenz zu verkaufen. Risikoeinschätzung: Mittel

Szenario 3) Mitarbeiter aus der Buchhaltung surft auf unsicheren Webseiten herum und macht sich nicht groß Gedanken über IT-Sicherheit auch beim Öffnen von Emails macht er sich keine großen Gedanken. Risikoeinschätzung: Hoch

Szenario 4) Cracker versuchen im Van vor der Tür Datenpakete des W-Lan Netz abzufangen. Risikoeinschätzung: Mittel

Szenario 5) Cracker versuchen eine SQL-Injection auf unserer Webseite im Kontaktformular. Risikoeinschätzung: Hoch

Szenario 6) Cracker versuchen unsere Dateistruktur der Webseite herauszufinden.
Risikoeinschätzung: Hoch

Szenario 7) Nach einem Stromabsturz sind alle Daten verloren gegangen.
Risikoeinschätzung: Mittel

Szenario 8) Kassensystem ist den ganzen Tag nicht verfügbar.
Risikoeinschätzung: Gering





      C) Sicherheitsanforderungen und Sicherheitsmaßnahmen bestimmen
Man muss jetzt abwägen, gegen welche Szenarien man sich überhaupt schützen möchte und was seine Sicherheitsziele sind. Dies ist natürlich auch immer eine Abwägung von Machbarkeit und Kosten. Sichert sich Amazon z.B gegen einen DDos Angriff ab, wäre das für die Webseite eines Blumenhändlers womöglich zu viel des guten.

Sicherheitsanforderung: Es soll nicht einfach möglich sein, an die Daten des Arbeitsrechners zu kommen, wenn Anwender abgelenkt ist. (bsp. Szenario1).
Sicherheitsmaßnahme: PC-Sperre mit Kennwort. Automatisches Sperren des PC's nach kurzer Zeit.


Sicherheitsanforderung: Mitarbeiter soll keine Daten manipulieren können.
Sicherheitsmaßnahme: Eindeutige Authentifizierung beim Einloggen in einen Rechner. Dieser loggt mit, was verändert wurde und damit ist es eindeutig nachvollziehbar.


Sicherheitsanforderung: Die Daten des W-Lans sollten so sicher wie möglich sein.
Sicherheitsmaßnahme: WPA2 Verschlüsslung aktivieren. W-Lan nicht öffentlich machen. Im Router nur spezielle Rechner zulassen.


Sicherheitsanforderung: Firmenrechner sollen vor Trojaner und Viren geschützt werden.
Sicherheitsmaßnahme: Softwares aktuell halten. Bestimmte Webseiten sperren (Kindersicherung). Mitarbeiter anhalten keine unbekannten Emails mit Dateien zu öffnen. Hardware-Firewall installieren. Virenscanner aktuell halten.


Sicherheitsanforderung: Daten sollen vor Verlust bestmöglich geschützt werden:
Sicherheitsmaßnahme: Raid-Festplatten installieren oder Daten täglich auf einem Server/externen Festplatten (verschlüsselt) abspeichern.


Sicherheitsanforderung: Vertrauliche Files auf unserem Webspace sollen vor fremden Zugriff geschützt werden.
Sicherheitsmaßnahme: Ordnerstruktur willkürlich wählen, dass Ordner Namen nicht durch logisches Denken herausgefunden wird. Dateien/Ordner die nicht öffentlich zugänglich sein sollen per .htaccess schützen


Sicherheitsanforderung: Unsere MYSQL-Datenbank des Internetauftritts bestmöglich schützen
Sicherheitsmaßnahme: Den String von Formularen und Feldern vorher auf trügerische Zeichen überprüfen (z.B ;{}" ). Felder wie Namen, Adresse und Co in ihrer Länge beschränken. Die neuesten Programmiermethoden verwenden. Fehlermeldung wenn Verbindung zur Datenbank fehlgeschlagen ist, allgemein halten.
Sollte es doch mal zur Entwendung der Datenbank kommen, sollten die Passwörter, Kreditkarteninformationen auf jeden Fall "gesalzen" verschlüsselt abgespeichert sein.

Keine Kommentare:

Kommentar veröffentlichen