Sicheres Bereitstellen von Web-Angeboten Joachim Astel Vorstand noris network AG Security Angels Nürnberg 07.07.2015 Freiraum schaffen für Innovation, Kreativität, Produktivität 1 noris network wurde 1993 gegründet, ist eigenfinanziert, inhabergeführt und hat seinen Hauptsitz in Nürnberg mit 140 festen Mitarbeitern. noris network Nürnberg Thomas-Mann-Straße 16 - 20 2 Zur Person Joachim Astel Vorstand der noris network AG Mitbegründer des Unternehmens im Jahr 1993 1993 war das Jahr der Veröffentlichung des ersten Internet-Browsers Mosaic, welcher Text und Grafik einer HTML-Seite integriert darstellen konnte. Experte und strategischer Berater in den Bereichen IT-Sicherheit + Internet 3 Abgleich der Anforderungen Der Provider (Outsourcing-Nehmer) zeigt im Rahmen der ISO/IEC 20000 seine Kern-Prozesse in der Abwicklung seiner angebotenen Services auf. Business-Anforderungen (Applikationsbetrieb einer Lösung, Kapazitäten) Compliance-Anforderungen (BDSG, Security, branchenspezifische Anforderungen) Service-Level-Agreements (SLAs) Betriebszeiten (24 x 7 x 365), Verfügbarkeiten (Wiederherstellungszeiten), Testing-Verfahren (Backup-/Restore-Tests etc.) 4 Compliance-Vorgaben der Kunden Spezifische Gesetze in Deutschland: • § 93 Abs. 2 S. 2 AktG, § 43 GmbH-Gesetz • KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich spezifische Wirtschaftsprüferstandards in Deutschland: IDW (*) • IDW PS 331 „Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen „ • IDW PS 951 „Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen“ Internationale Wirtschaftsprüferstandards: • Sarbanes Oaxley Act (SOX) - ISAE 3402 bzw. SSAE 16 (betrifft börsennotierte US-Unternehmen) Weitere spezifische Gesetze in Deutschland: • Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) § 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: • Öffentlicher Bereich: Verpflichtungsgesetz • Post-Dienstleister: Postgesetz (PostG) • Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) • Bankgeheimnis, WPHG (*) vgl. Wikipedia: „Liste der IDW-Prüfungsstandards“ 5 Compliancevorgaben von staatl. Seite Datenschutz und Datensicherheit: Im Fachjargon bedeuten die beiden Begriffe folgendes: • Datenschutz umfasst den Schutz des Individuums vor übermäßiger Verarbeitung seiner Daten. (z. B. richtiges Verhalten im Internet) • Datensicherheit bezeichnet den Schutz von Daten bei deren Verarbeitung, Übermittlung und Speicherung. (z. B. sichere Passwörter, nur gesicherte Übermittlung vertraulicher Daten) Sicherheit (Security) Verfügbarkeit (Availability) Integrität (Integrity) 6 Compliancevorgaben von staatl. Seite Bundesdatenschutzgesetz (BDSG), Landesdatenschutzgesetz Bayern (LDSG-BY) Bayerisches Landesamt für Datenschutzaufsicht: • Impressumspflicht / Anbieterkennzeichnung auf der Webseite • Datenschutzerklärung auf der Webseite • Öffentliches Verfahrensverzeichnis (öVV) • Vereinbarungen mit Lieferanten gemäß Auftragsdatenverarbeitung (BDSG §11) 7 8 Compliancevorgaben von PCI DSS PCI DSS = Payment Card Industry Data Security Standard PCI DSS Vorgabe der Kreditkartenorganisationen bei Zahlungsverkehr mit Kreditkartentransaktionen 12 Anforderungen an die Rechnernetze der Unternehmen (*): • Installation und Pflege einer Firewall zum Schutz der Daten • Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung • Schutz der gespeicherten Daten von Kreditkarteninhabern • Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen • Einsatz und regelmäßiges Update von Virenschutzprogrammen • Entwicklung und Pflege sicherer Systeme und Anwendungen • Einschränken von Datenzugriffen auf das Notwendige • Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang • Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern • Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern • Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse • Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit (*) aus Wikipedia, Suchbegriff: „PCI DSS“ 9 Thema: Normen IT-Grundschutzkataloge Bundesamt für Sicherheit in der Informationstechnik ISO/IEC 27001, ISO/IEC 27002 (Controls A.5 – A.18 und Konkretisierungen) ISIS12 Katalog 10 BSI Grundschutzkataloge 4883 Seiten: Sehr umfassende Zusammenstellung von „Best Practice“ und Checklisten für einen gesunden IT-Grundschutz. Sehr gut geeignet als IT-Security-Nachschlagewerk, zum Vertiefen technischer Schwerpunkte. Teilweise nicht ganz aktuell: Beispiel: „Client unter Windows 7“ (Stand: Ende 2014) (wird kostenlos auf www.bsi.bund.de bereitgestellt) 11 Aufbau der Norm ISO/IEC 27001 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the information security management system 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement Anhang A - siehe Folgeseite 4.4 Information security management system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning 6.1 Actions to address risks and opportunities 6.2 Information security objectives and planning to achieve them 7 Support 7.1 Resources Eine deutsche Übersetzung der aktuellen ISO/IEC 27001 Norm wurde im Frühjahr von DIN herausgebracht und heißt DIN ISO/IEC 27001:2015-03 zu bestellen für 99,80 bzw. 124,80 EUR beim Beuth-Verlag www.beuth.de 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment Insgesamt 23 Seiten, Schwerpunkt: 13 Seiten Anhang A (Annex A) 12 Interessante Informationsquelle zum Thema ISO 27001: Dejan Kosutic in seinem Blog (engl.) http://advisera.com/27001academy/blog/ 13 ISO/IEC 27001, Anhang A im Detail: 14 „Control Clauses“, 35 „Security Categories“, 114 „Controls“ ISO/IEC 27002 mit 80 Seiten greift genau diese 114 Controls im Detail auf. ISIS12 ISIS12 = Informations-Sicherheitsmanagement System in 12 Schritten Das IT-Security-Vorgehensmodell in 12 Kapiteln wurde entwickelt und herausgegeben vom "Netzwerk für Informationssicherheit im Mittelstand (NIM) mit den Mitgliedern Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg. Es handelt sich um ein Vorgehensmodell, das ein InformationssicherheitsManagementsystem beschreibt. Das Verfahren kann als mögliche Vorstufe zur ISO/IEC 27001- bzw. BSI ITGrundschutz-Zertifizierung verwendet werden. Die Kosten für die ISIS12 Unterlagen liegen bei: 150 EUR + 28,50 MWST = 178,50 EUR Die Einführung erfolgt durch speziell ausgebildete ISIS12-Dienstleister externe Unterstützung. • Leitlinie erstellen • Mitarbeiter sensibilisieren • Informationssicherheitsteam aufbauen • IT-Dokumentationsstruktur festlegen • IT-Servicemanagement-Prozess einführen • Kritische Applikationen identifizieren • IT-Struktur analysieren • Sicherheitsmaßnahmen modellieren • Ist-Soll vergleichen • Umsetzung planen • Umsetzen • Revision (aus Wikipedia - https://de.wikipedia.org/wiki/ISIS12) 14 Compliance-Vorgaben Spezifische Gesetze in Deutschland: • § 93 Abs. 2 S. 2 AktG, § 43 GmbH-Gesetz • KontraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Weitere spezifische Gesetze in Deutschland: • Bundesdatenschutzgesetz (BDSG), kontrolliert durch die Landesdatenschutzaufsicht (siehe Folgeseite) Spezifische Compliance-Vorgaben der Auftraggeber: Verpflichtung auf das Datengeheimnis gemäß Bundesdatenschutzgesetz (BDSG) § 5 aller Mitarbeiter und ggf. Unterauftragnehmer Selbiges für die kundenspezifischen Compliance-Maßgaben, wie etwa: • Öffentlicher Bereich: Verpflichtungsgesetz • Post-Dienstleister: Postgesetz (PostG) • Finanzwirtschaft (Banken/Versicherungen): MaRisk durch BaFIN (Mindestanforderungen an das Risikomanagement) • Bankgeheimnis, WPHG Wer kümmert sich darum? Der Geschäftsführer ist in der Verantwortung Die Verantwortung verbleibt beim Geschäftsführer bzw. bei den Geschäftsführern, auch wenn das Thema delegiert oder outgesourct wurde. 15 Thema: Sicherheitsleitlinie Sicherheitsleitlinie, -ziele und –strategie Geltungsbereich Stellenwert der Informationssicherheit Unternehmensspezifische Sicherheitsziele Leitaussagen zur Durchsetzung und Erfolg Revision 17 physikalische Sicherheit Wichtige Anforderungen zur physikalischen Sicherheit (= Sicherheit umfasst auch das Thema Verfügbarkeit) • Perimeterschutz (fensterloser Serverraum, unabhängig von äußeren Einflüssen) • hohe Verfügbarkeit für die Stromversorgung (USV) • hohe Verfügbarkeit für die Klimatisierung • hohe Verfügbarkeit für die Netzwerkanbindung Klare Maßgaben an den Rechenzentrumsbetreiber (BSI Grundschutzkataloge Baustein „Rechenzentrum“) in Bildern abschreckende Negativbeispiele: 18 Firewall als Perimeterschutz Zuverlässiger Schutz vor • Viren • Spam • Hacker-Angriffen 20 SaaS Collaboration Social Media Personal WAF als erweiterter Perimeterschutz WAF = Web Application Firewall Filtert auf Applikationsebene vor bekannten Gefahren: - Cross-Site-Scripting (XSS) - SQL Injection - Buffer Overflow Attacks - uvm. Einstiegs-WAF: Apache-Modul „mod_security“ Kann oftmals URLs und Cookies umwandeln, so dass die internen URLs bzw. Cookies nach außen hin nicht bekannt werden (Verschleierung, damit wird eine echte Hackerattacke erschwert). Kommerzielle WAFs bieten häufig einen Learning-Mode, der bekanntes Nutzerverhalten als „gut“ klassifiziert, und bei Scharfschalten der WAF anderes Verhalten abweist. 21 Sicherheit in der Software-Entwicklung OWASP = Open Web Application Security Project (*) OWASP ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern. Folgende Dokumentationsprojekte unterhält OWASP: • OWASP Application Security Verification Standard (ASVS) - Standard zur Durchführung von Sicherheitsverifizierungen auf Applikationsebene) • The Guide – Dieses Dokument beinhaltet detaillierte Handlungsempfehlungen zur Web-Applikationssicherheit. • Top Ten Most * DotNet – eine Vielzahl von Werkzeugen, um Dot-Net-Umgebungen abzusichern. • Enigform – eine Zusammenstellung aus beispielhaften endgerät- und serverseitigen Anwendungen mit OpenPGP-Funktionen (u. a. Verschlüsselung, Signierung) im HTTP zu realisieren. • ESAPI – OWASP Enterprise Security API (ESAPI) Project – eine freie und offene Sammlung von Methoden, die benötigt werden, um sichere Webapplikationen zu erstellen. • AntiSamy – ein Werkzeug zur Validierung von Eingaben im Web und Enkodierung des Ergebnisses. • XSSer – ein automatisches System zum Erkennen, Ausnutzen und Melden von Cross-Site-Scripting-Schwachstellen in Webapplikationen. • Webgoat – eine absichtlich unsichere Webanwendung, hergestellt von OWASP als eine Anleitung für sichere Programmiermethoden. • WebScarab – ein http- und https-Proxyserver, der genutzt werden kann, um Inhalte von Datenpaketen zu ändern, zu prüfen und die Übertragung zu unterbrechen. Dies bietet dem Anwender ein besseres Verständnis dafür, welche Informationen vom Webserver übermittelt werden, und kann genutzt werden, um mögliche Verwundbarkeiten aufzudecken. • OWASP Mantra Security Framework – eine Sammlung von Hacker-Werkzeugen, Erweiterungen und Skripten, basierend auf Mozilla Firefox. ggf. Software-Audit von einem OWASP-Mitglied durchführen lassen und für Kunden bereithalten. (*) Wikipedia: https://de.wikipedia.org/wiki/Open_Web_Application_Security_Project 22 ISO/IEC 27005: Der Risiko-Management-Prozess I Risikobewertung Risikoanalyse (Identifikation von „assets“,“threats“ & „vulnerabilities“) Risikobehandlungsplan 23 Thema: kritische Anwendungen Identifikation kritischer Anwendungen - E-Mail-Server - eCommerce-Shop und kritischer Daten - Kundendaten - Software-Quellcode - Warenbestandsdaten 24 Thema: Notfallhandbuch Notfall- und Katastrophenfall-Planung Beispiel: Was passiert bei Stromausfall? Ab wann funktioniert der Server wieder? Gibt es ein Backup? Gibt es eine Ersatzlösung? Gibt es ggf. redundante Server? Beispiel: Was passiert bei Ausfall der Telefonanlage? Funktioniert die Telefonanlage bzw. die Telefone bei Stromausfall? • erreichen uns die Kunden noch? • Welche Ersatzmöglichkeiten gibt es? (Schaltung einer Ansage? • Kontaktinfo an die wichtigsten Kunden per E-Mail/Fax o. ä. • weitere oder andere firmenspezifische Maßnahmen Die Auftraggeber möchten häufig ein Gefühl dafür entwickeln, ob man ein Risikogefühl für die typischen IT-Risiken oder Geschäftsrisiken generell im Unternehmen entwickelt hat, und fragen nach einem Notfallhandbuch. 25 Datenträgervernichtung Vernichtung defekter Datenträger: • Alte oder defekte Massenspeicher werden mittels professioneller, datenschutzkonformer Datenträgerentsorgung vernichtet (z. B. Firma Reisswolf, Firma Recall o. ä.) • Bei verschiedenen Hardwarehersteller gibt es die Möglichkeit, gegen geringen Aufpreis die Option „behalten Sie Ihre alte Festplatte“ dazuzubuchen, d. h. eine defekte Festplatte kann selbst vernichtet werden und muss nicht an den Hersteller zurück. Bei Vernichtung muss ein Vernichtungsprotokoll geführt werden. Löschung nicht mehr benötigter Datenträger: • Vor der Wiederverwendung alter Systeme werden alle darauf befindlichen Unternehmens-Informationen gelöscht, hierzu gibt es Löschprogramme, die den Datenträger mehrfach mit Zufallszahlen o. ä. überschreiben. Bundesamt für Sicherheit in der Informationstechnik (BSI): So löschen Sie Daten richtig: Bevor Sie Ihren Rechner oder Festplatten an Dritte oder zum Elektroschrottrecycling weitergeben, sollten Sie die Festplatten löschen oder physikalisch vernichten. https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html 27 Vulnerabililty- und Patch-Management Vulnerability- und Patch-Management ist für Cloud-Systeme (bzw. allgemein für Systeme, die aus dem Internet erreichbar sind) besonders wichtig. Versteckte Software-Schwächen werden im Laufe der Jahre von Hackern entdeckt. Diese können gezielt ausgenutzt werden, um Trojaner, andere Malware in das System einzupflanzen und vielfältig zu verwenden (z. B. als Spam-Relay). Relevant ist nicht nur die Basis-Software, sondern auch sämtliche Zusatzmodule (wie Plugins, Libraries, etc.) Plugins, die nicht mehr weiterentwickelt werden, sind eine weitere schlummernde Gefahr. Beispiel: Wordpress alle Wordpress-Module sind relevant. Tipp: Regelmäßiges Patchen der Systeme und Verfolgen einschlägiger Sicherheits-Newsletter (z. B. DFN-CERT, heise.de Security), regelmäßige Security-Scans (z. B. einmal monatlich) sollten obligatorisch sein. 28 Segregation of Duties Anforderungen aus ISO/IEC 27001, BDSG u. a.: „Segregation of Duties“ = „Gewaltenteilung” Aufgabenteilung mit verschiedenen Zugangs-/Zugriffsrechten klassisches Freigabeprinzip im Nicht-IT-Bereich am Beispiel Einkaufsvorgang: Bestellanforderung (zum Einkauf einer Ware) Freigabe durch fachlichen Vorgesetzten Freigabe durch Budget-Vorgesetzten Beispiel bei IT-Sicherheit: z. B. Administrator-Kennwort steht nicht für den Besitzer des Systems zur Verfügung. Dieser darf nur die Applikation bedienen. Der Administrator bedient typischerweise nicht die Applikation. Seine Aufgaben sind Patch-Management, Durchführung von Konfigurationen, u. ä., eben die typischen Administratortätigkeiten 30 Zugangs-/Zugriffsberechtigungen Ganz wichtige allgemeine Vorgabe: personenbezogene Logins, Passwörter dürfen nicht weitergegeben werden! (z. B. Urlaubsvertretung: „gib mir schnell deinPasswort, dann kann ich Deine Mails im Urlaub lesen, damit keine Kundenanfrage verlorengeht“ no go aus Datenschutzsicht, macht zudem oftmals schlechten Eindruck) • Rollenaccounts (vertrieb, verkauf, einkauf, support, etc.) • Ticketsystem (offene Tickets, d. h. zu erledigende Punkte, können von anderen Personen eingesehen werden) • Vertreterregelung Regelmäßige Reviews der Benutzerdatenbank: Mitarbeiter ausgeschieden diese Info muss an alle externen Dienstleister weitergegeben werden (mit Bitte zur Austragung der Zugangs-/Zugriffsberechtigungen des Benutzers). Worst-Case-Szenario: Dienstleister macht „Lieferantenaudit“ Benutzerdatenbank auf dem Serversystem enthält veraltete Einträge. großes Probleme aus Datenschutzsicht! Protokollierung (Audit-Trail): Sämtliche Transaktionen im Rahmen der Zugangs-/Zugriffs-Steuerung werden protokolliert. (out of band, d. h. auf einem Dritten, vom potenziellen Angreifer nicht sabotierbares System). Einsatz von Kryptographie: Es sollten nur verschlüsselte Verbindungen verwendet werden, um Authentizität, Integrität und Vertraulichkeit des Kommunikationskanals sicherzustellen. 31 Change Management Klare Differenzierung: Standard-Change oder genehmigungspflichtiger Change ggf. Freigabe durch Service-Manager beim Auftraggeber. Change-Verfahren (Beschreibung des Changes) wichtiger Freigabeparameter: Hat der genehmigungspflichtige Change einen Security-Impact? (vgl. Security-Prozess im Rahmen des ISMS nach ISO/IEC 27001) darüberhinaus wichtig: - Priorisierung der Changes - Step-Back-Möglichkeit 32 Systemumgebungen Produktionsumgebung QSUmgebung Entwicklungsumgebung Produktionsumgebung, Testumgebung und Entwicklungsumgebung sind voneinander entkoppelt. Die Testumgebung steht idealerweise als komplette Kopie zur Produktionsumgebung zur Verfügung (inkl. Backendanbindungen etc.) und ist definiert als Qualitätssicherungsumgebung. Keine Echtdaten – insbesondere keine personenbezogenen Daten – befinden sich auf der Entwicklungsumgebung 33 Geschäftsprozessmonitoring Überwachung der Systeme / Systemmanagement Terminal Server 1 Application Server Firewall Storage Terminal Server 2 Firewall 100/1000 Mbit Terminal Server 3 100/1000 Mbit 100/1000 Mbit DB-Server 1 Application Server Storage Terminal Server 4 34 DB-Server 2 Security-Awareness Client-Sicherheit: aktueller Virenscan Bildschirmschoner Bring in Your Own Device versus Security (Stichwort: keine private Daten auf Firmengeräten) Social Engineering hat ein hohes Gefährdungspotenzial: - Kunden-USB-Stick mit Virus - Versteckter USB-Stick am PC - WLAN-Basisstation oder WLAN-USB-Stick am Computer ansteckt 35 Zum Abschluss Wichtige Apskete zur IT-Security: 37 - gelebte Sicherheit ist das „A“ und „O“ - Risikomanagement ist ein wichtiger Prozess - Transparenz (gelebte Sicherheit nach außen zeigen) durch Managementsysteme (wie ISO 27001, BSI Grundschutz-Modellierungen, ISIS12 o. ä.) noris network Nürnberg-Süd (Zentrale) Thomas-Mann-Straße 16 – 20 90471 Nürnberg Telefon: +49 911 9352-0 noris network Nürnberg-Mitte Deutschherrnstraße 15 – 19 90429 Nürnberg (Deutschherrnkarree) noris network Nürnberg-Nord Kilianstraße 142 90425 Nürnberg Niederlassung München: Seidlstraße 8 (Nähe Hbf.) 80335 München www.noris.de Freiraum schaffen für Innovation, Kreativität, Produktivität 38 www.datacenter.de