19. August 2021 | eDiLOG® Business NETWORK

19. August 202120. August 2021

IT-Sicherheitsanalysen & Penetrationstests

Ein Audit der IT-Sicherheit auf der Grundlage von anerkannten Standards wie dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder den ISO-Standards 17799 bzw. 27001 im Unternehmen ist äußerst hilfreich, um die richtigen Schwerpunkte zu setzen.

Eine IT-Sicherheitsanalyse dokumentiert das derzeitige IT-Sicherheitsniveau (Ist-Zustand), gibt Handlungsempfehlungen zur Verbesserung der IT-Sicherheit sowie eine unabhängige und verständliche Entscheidungsgrundlage dafür wie die Prioritäten richtig gesetzt werden können.

Die Dokumentation des bereits erreichten Sicherheitsniveaus dient als Nachweis dafür, dass die Geschäftsführung ihren persönlichen Verpflichtungen zur IT-Sicherheit nachgekommen ist, da diese primär die alleinige Verantwortung für die Umsetzung eines adäquaten Risikomanagements im Unternehmen und damit auch für die IT-Sicherheit trägt.

Grundsätzlich zählt jedoch nicht nur die Sicherheit von einzelnen Komponenten zu den Voraussetzungen für den Schutz von Daten, sondern auch die umfassende Kenntnis der vorhandenen IT-Infrastruktur. Eine detaillierte Schwachstellenanalyse aller Komponenten, welche am Geschäftsprozess beteiligt sind, ist daher eine unabdingbare Voraussetzung, um sinnvolle Maßnahmen gegen interne und externe Angriffe zu ergreifen.

Zu den Zielen von IT-Sicherheitsanalysen gehören:

- Identifikation der Schwachstellen eines IT-Verbundes
- Bewertung des Risikopotenzials
- Maßnahmenempfehlung zur Behebung der identifizierten Schwachstellen bzw. Reduzierung des Risikopotenzials

Zum Umfang von IT-Sicherheitsanalysen zählen:

- IT-Struktur- und Systemanalysen
- IT-Schutzbedarfsanalysen
- Gefahrenanalysen und Risikobewertungen
- Erstellen von IT-Security-Konzepten und Betriebsmodellen
- Penetrationstests, um eventuelle Sicherheitslücken aufzudecken

Primär werden dabei nachfolgende Bereiche untersucht und dokumentiert:

- Organisatorische Maßnahmen, Richtlinien und Verantwortlichkeiten
- Berechtigungsvergabe
- Datenschutz
- Datensicherung
- Virenschutz
- eMail und Internetnutzung
- Einrichtung und Betrieb der Firewallsysteme
- Anbindung von Außenstellen, Heimarbeitsplätzen und mobilen Mitarbeitern
- Sichere Konfiguration von Servern und PCs
- Notfallvorsorge

Zur Erhebung der notwendigen Informationen werden Gespräche mit den Verantwortlichen durchgeführt sowie vorhandene Dokumente und Richtlinien ausgewertet und überprüft.

Die Informationen werden bewertet und mit einem definierten Soll-Zustand abgeglichen. Im Ergebnis werden Empfehlungen und Anregungen ausgesprochen, wo zusätzliche Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus erforderlich sind. Hierbei sollte jedoch grundsätzlich die Umsetzung eines wirtschaftlichen und der individuellen Risikosituation angemessenen Schutzes im Vordergrund stehen.

Es folgt die Planung und Umsetzung von geeigneten Sicherheitsmaßnahmen, wobei jedoch nicht vergessen werden darf auch die Anwender für IT-Sicherheitsthemen ausreichend zu sensibilisieren, um Gefahren zu erkennen und diesen richtig zu begegnen, da nur das Zusammenspiel aller Maßnahmen einen ausreichenden Schutz auch gegen neuartige Angriffe gewährleistet.

Solche IT-Sicherheits-Checks erlauben es, kurzfristig ein gutes Gesamtbild des Ist-Zustands zu ermitteln. Bei einer mittleren Unternehmensgröße reichen i.d.R. ca. 12 Personentage für eine umfassende Analyse und Bewertung der Ergebnisse aus. Kleine und einfache IT-Umgebungen lassen sich sogar in wesentlich kürzerer Zeit analysieren und bewerten.

19. August 202120. August 2021

Technische Sicherheitsanalysen

Im Rahmen von technischen Sicherheitsanalysen stehen schnelle und belastbare Ergebnisse im Vordergrund. Sie ermöglichen kritische Schwachstellen in einem IT-Verbund effizient aufzudecken und zu bewerten.

Schwerpunkte der Analyse können sein:

- Betriebssysteme
- Anwendungsprogramme
- Proprietäre Software / Individualentwicklungen
- Patch-Stände von Hardware und Software)
- Netzwerkstrukturen, Segmentierung und Anbindung an andere Netze
- Aktive Netzwerkkomponenten z.B. Firewalls, Switches, Router

19. August 202120. August 2021

Datenschutz-, Berechtigungs- und Sicherheitskonzepte

Mit der Verbreitung von neuen Technologien bei der Informationsgewinnung und -weitergabe ergeben sich zunehmend Gefahren des Datenmissbrauchs, welche häufig in der Verletzung von Persönlichkeitsrechten der betroffenen Personen enden.

Zur Unterstreichung der Bedeutung der Informationstechnologie und gleichzeitigen Gewährleistung der Sicherheit von beteiligten Personen, ist die Einhaltung der Gesetze und Vorschriften des Bundesdatenschutzgesetzes (BDSG) zwingend erforderlich.

Wesentliche Maßnahmen in diesem Zusammenhang sind:

- Nutzung von externer Beratung in Datenschutzfragen und zur Bedarfsanalyse
- Bestellung eines internen oder externen Datenschutzbeauftragten
- Durchführung von Datenschutz-Audits
- Unterstützung von Fachseiten bei der Erstellung von Datenschutz-, Berechtigungs– und Sicherheitskonzepten
- Unterstützung von Fachseiten durch Datenschutz-Vorbewertungen von Aktivitäten
- Unterstützung von IT-Einheiten bei der Ausgestaltung von Datenschutzkonzepten sowie bei der Umsetzung
- Unterstützung in IT-Projekten zu Datenschutz- und Security-Compliance
- Abstimmungen mit dem zentralen Datenschutzbereich und zur internen Priorisierung / Risikobetrachtung
- Überprüfung der Organisation von Datenschutzstrukturen
- Schulungen von Mitarbeitern und Datenschutzbeauftragten

19. August 202120. August 2021

Berechtigungskonzepte

Zu den Anforderungen an die Erstellung von Berechtigungskonzepten bzgl. der Vergabe von Rollen und Berechtigungen in IT-Systemen gehören z.B.:

- Rollen und Berechtigungen müssen das „Need-to-know-Prinzip“ umsetzen.
- Rollen und Berechtigungen müssen das Prinzip der minimalen Rechtevergabe („Least privilege principle“) umsetzen.
- Rollen und Berechtigungen müssen das Prinzip der Gewaltenteilung („Segregation of duties“) umsetzen.
- Die aus den Geschäftsprozessen abgeleiteten Rollen SOLLTEN im Berechtigungskonzept weiter differenziert werden, um jeder Rolle möglichst spezifische Zugriffsrechte zuordnen zu können.
- Für jede Rolle müssen mindestens die eindeutige Bezeichnung, eine Beschreibung der Aufgaben, Rechte und Pflichten im Kontext der Anwendung und die Zuordnung der hierfür notwendigen Funktionen zur Rolle spezifiziert sein
- Neben den Benutzer-Rollen müssen die administrativen/betrieblichen Rollen des IT-Systems spezifiziert und beschrieben sein.
- Rollen und Berechtigungen müssen für jede Systemumgebung (Produktiv-, Entwicklungs-, und Abnahmeumgebung) unabhängig und individuell zugeordnet werden.

19. August 202120. August 2021

Account Management

Ein zentraler Bereich der Data Security ist die Verwaltung von Zugängen zu Systemen und Daten. Entsprechende Accountdaten müssen revisionssicher verwaltet werden, Passwörter müssen eine hohe Qualität und Stärke aufweisen und die zugewiesenen Rechte müssen der Arbeitsaufgabe entsprechend angemessen (Need to know – Prinzip). Wesentliche Maßnahmen sind:

- Zentrales Identity- & Access Management
- Sicherheitsüberprüfung von Mitarbeitern
- Regelmäßige Reconciliation der Accounts
- Nacherfassung von Verwaltungsinformationen
- Rollen- und Berechtigungs-Management (formale Konzeption und permanente Überwachung)
- Gruppenaccountbereinigung
- Password Management
- Management von hochprivilegierten Accounts

19. August 202120. August 2021

Identity- & Access Management

In vielen Unternehmen ist nicht bekannt, welche Personen Zugriff auf welche Systeme und Daten haben. Dabei kann schon eine kleine Organisation durch komplexe Anwendergruppen, wie zum Beispiel Datenzugriff durch Kunden, Partner und Lieferanten, recht bald sehr unübersichtlich werden.

In der Regel werden Identitäten und deren Berechtigungen in unterschiedlichsten Bereichen im Unternehmen verarbeitet, z.B. in der Personalabteilung, der IT oder im Werkschutz. Eine Konsistenz dieser mehrfach angelegten Identitäten muss jedoch meist über manuelle Verfahren sichergestellt werden, wodurch die Gefahr von „ID-Leichen“ und veralteten Berechtigungen massiv ansteigt. Zudem fallen erhebliche Kosten und erhöhter Aufwand bei Eintritt, Austritt und Rollenwechsel eines Mitarbeiters oder auch durch mehrfach ausgestellte Karten oder Passwörter an. Ein durchgängiger Starter-, Mover- und Leaver-Prozeß existiert in den wenigsten Fällen.

Solch eine manuelle Benutzerverwaltung ist äußerst kostenintensiv, wenig benutzerfreundlich und bindet enorme Ressourcen im Unternehmen. Dagegen ermöglicht ein zentrales Identity- & Access Management einen umfassenden Überblick über sämtliche Zugriffsberechtigungen im Unternehmen und bietet zahlreiche Vorteile:

Transparenz zum Schutz vor Datenmissbrauch

- Ein durchgängiges Identity- & Access Management leistet einen wertvollen Beitrag zur Durchsetzung von unternehmensrelevanten Sicherheitsrichtlinien
- Die Administration und Revision erhält eine transparente Sicht auf alle Benutzer und ihre zugeordneten Berechtigungen
- Restriktiv konfektionierte Berechtigungsprofile sowie die zeitnahe Vergabe bzw. der Entzug von Berechtigungen verringern die Gefahr eines missbräuchlichen Datenzugriffs ganz erheblich

Schnellere Reaktionen auf veränderte Bedingungen

- Auf notwendige Veränderungen von Unternehmensstrukturen kann viel schneller reagiert werden
- Technische Neuerungen lassen sich wesentlich schneller und kostengünstiger integrieren

Steigerung der Wirtschaftlichkeit

- Administrationsaufwände können in ganz erheblichem Maße durch Prozessautomatisierung reduziert werden
- Durch den Einsatz von Single Sign-On-Lösungen sowie eine schnelle Anpassung von Zugriffsberechtigungen läßt sich eine beträchtliche Steigerung der Produktivität von Mitarbeitern erzielen. Der Die Einführung eines Single Sign-On-Systems (SSO) helfen Ressourcen in den verschiedenen Unternehmensteilen sinnvoller einzusetzen, indem Identitäten zusammen mit der Rolle des Mitarbeiters nur einmal zentral in einem Hauptverzeichnis erfasst werden. Alle notwendigen Dienste greifen dann auf dieses zentrale Verzeichnis zu. Der Benutzer weist sich dabei gegenüber allen Systemen immer mit dem gleichen Authentisierungsmittel aus

Einhaltung von gesetzlichen Vorschriften

- Ein zentrales User Management erleichtert die Einhaltung und Erfüllung gesetzlicher Vorschriften, die z.B. in unterschiedlichen Richtlinien gefordert werden wie Sarbanes-Oxley, Basel II, KontrAG etc.

19. August 202120. August 2021

Datennutzung im Rahmen von Softwaretests

In vielen Unternehmen wird im Rahmen der Softwareentwicklung nach wie vor mit produktiven Daten getestet, obwohl gem. geltender Datenschutzbestimmungen (BDSG & TKG) keine nicht anonymisierten Produktionsdaten verwendet werden dürfen.

Daher ist es generell und insbesondere für den Off- und NearShore Entwicklungs- und Testbereich sehr wichtig geeignete Verfahren zu entwickeln, wie konsistente Testdaten für einfache sowie für komplexe System-Integrations-, Verbund- und Solutiontests mit zahlreichen Schnittstellen generiert werden können, bei denen die referentielle Integrität für wesentliche Schlüsselfelder erhalten bleiben muss.

Hierzu kommen grundsätzlich in Frage:

1. Anonymisierte Produktionsdaten für

- Cube- und Reportentwicklung im DWH-Umfeld
- Performance-, Integrations- und Solutionstest
- User Acceptance Tests der Fachseiten

2. Synthetische Testdaten für

- Entwicklertests
- automatisierte Regressionstests.

Da nicht jede Art von Testdaten (anonymisierte oder synthetische Daten) für jeden Test geeignet ist, muss im Vorfeld genau überlegt werden, welche Daten wofür erzeugt werden müssen, um die Anforderungen des Datenschutzes sowie die individuellen Testanforderungen zu erfüllen.

Derzeit auf dem Markt verfügbare Lösungen zur Generierung von Testdaten sind z.B. Oracle Data Masking, IBM Optim, Micro Focus Data Express, AXIS DM Suite.

Darüber hinaus lassen sich auch individuell entwickelte Lösungen in vielen Bereichen sehr gut bzw. wegen der optimalen Anpassung an die jeweiligen Testanforderungen z.T. sogar besser einsetzen als vergleichbare Standardlösungen.

19. August 202120. August 2021

Begriffe im Testdatenumfeld

Im Testdatenumfeld werden häufig verschiedene Begriffe verwendet, die nachfolgend erläutert werden:

- Anonymisierung: die schützenswerten Informationen werden hier so verändert, dass die Einzelangaben nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit und Kosten beispielsweise einer bestimmten natürlichen Person zugeordnet werden können. Von einem solch unverhältnismäßigen Aufwand ist auszugehen, wenn es für die verantwortliche Stelle mit weniger Aufwand verbunden ist, eine erneute Datenerhebung durchzuführen, als die Wiederherstellung des Personenbezugs der faktisch anonymen Daten zu betreiben. Durch eine Anonymisierung sind die Daten nicht mehr personenbezogen.
- Pseudonymisierung: ein relevantes Identifikationsmerkmal (z.B. Name) wird durch einen anderes Merkmal (Pseudonym) oder eine Buchstabenfolgen ersetzt. Charakteristisch für pseudonyme Daten ist das Bestehen einer Zuordnungsregel, welche die unter einem Pseudonym erfassten Daten den Identifikationsmerkmalen bspw. einer Person zuweist. Pseudonymisierte Daten sind somit niemals absolut anonym sind.
- Maskierung, Verschlüsselung/Encryption: Sind technische Methoden zu Erreichung der Anonymisierung oder Pseudonymisierung.
- Synthetisch: synthetische Testdaten werden künstlich erzeugt und haben keinen direkten Bezug zur Realität. Bei der Erzeugung von solchen Daten ist zwingend darauf zu achten, dass eindeutig zu erkennen ist, dass es sich hierbei um synthetische Daten handelt.

19. August 202120. August 2021

Netzwerksicherheit

Eine umfassende Absicherung von Netzwerken ist eine äußerst anspruchsvolle und komplexe Aufgabenstellung, die sehr individuell auf die jeweiligen Kundenbedürfnisse zugeschnitten werden muss. Eine Vielzahl von Faktoren entscheidet über die zu ergreifenden Maßnahmen.

Hierzu gehören z.B. die erforderliche Systemverfügbarkeit oder die Sensibilität der zu schützenden Daten.

Jede Beeinträchtigung der Netzwerksicherheit führt zu immensen Kosten für Unternehmen, sei es durch Datenverlust, Produktionsunterbrechungen oder sogar Imageschäden. Daher ist ein bewusster Umgang mit der IT-Sicherheit eine lohnende Investition und ein entscheidender Wettbewerbsfaktor.

Maßnahmen zur Netzwerksicherheit verhindern den unberechtigten Zugriff auf zentral vorgehaltene Server und Daten-Systeme.

Wesentliche Maßnahmen sind:

- Optimierung der Kommunikationsverbindungen
- Authentisierung von Netzwerkgeräten
- Network Access Control (NAC)
- Network Segregation
  - Separierung der Applikationen / Serversysteme vom Office-Netz
  - 3-Layer Network Segregation
  - Trennung in unterschiedliche Domänen für Produktion, Test und Abnahme und Entwicklung
- SINA Business (Virtual Private Networks)
- Kontrolle des 3rd Party Access
- Verschlüsselte Kommunikation intern / extern
- Sperrung von USB-Sticks / Massenspeicher
- Reduzierung der Mailanhang-Größe nach außen
- E-Mail-Verschlüsselung
- Data Loss Prevention (DLP)
- Log-Management
- Firewalls inkl. Freischaltungs- und Sperrprozesse
  - Etablierung eines Prozess zur Verwaltung von Firewall Regeln
  - Dokumentation der komplexen Firewallregelwerke
  - Einhaltung von Regularien (Compliance)
  - Vereinheitlichung und Integration der Prozessabläufe
  - Einrichtung eines FW-Lifecycle-Managements und Etablierung eines Freigabe-Workflows
  - Automation von Administration und Freigabeverfahren
  - Dokumentation aller Anfragen und Änderungen
  - Auditierbarkeit durch lückenlose Dokumentation
  - Sicherstellung von kundenspezifischen Service Level Agreements (SLAs)
- Web Application Firewall
- Layer2-Verschlüsselung
- Managed Security Services
- Sicherer Systemzugang
  - Einschränkung des Zugang zu tieferen Schichten für Nutzer und Dienste für Wartung / Instandhaltungszwecke
  - Vermeidung unsicherer Zugänge durch Konsolidierung der Dienstleisterzugriffe auf wenige technisch definierte und spezifizierte DMZ über das Internet
  - Nutzung von JumpHosts für Systemzugriff