Datensicherheit der nächsten Generation, zentral administrierbar und skalierbar
Thomas HüttnerProduct Manager – Device SecurityUtimaco Safeware AG
©U
timac
o S
afew
are
AG
, 200
6
2
Moderne IT-Infrastrukturen
Wie viele Geräte müssen geschützt werden?Wie viele Security-Tools werden benötigt?Harmonieren diese untereinander?Effizienz?
©U
timac
o S
afew
are
AG
, 200
6
3
Herausforderungen der IT-Sicherheit 1. Mobile Datensicherheit
Vielfalt mobiler Endgeräte nimmt zuNutzung dieser Geräte für geschäftskritische Anwendung nimmt zuAnzahl der verlorenen oder gestohlenen Geräte steigt
Quantität und Qualität der Bedrohungsszenarien nimmt zu
Shamir‘s Law: Bedrohung verdoppelt sich in 18 Monaten
IT-Security-„Bordmittel“ der Betriebssysteme sind unzureichend
Plattformübergreifender Schutz aller Endgeräte
©U
timac
o S
afew
are
AG
, 200
6
4
Herausforderungen der IT-Sicherheit 2. IT-Security Management
Gesetzliche Anforderungen an IT-Sicherheit steigenVielfalt der Gerätetypen und Plattformen nimmt zu
IT-Sicherheit als dynamischer Prozess - erfordert einfache und flexible Anpassungen von NutzerrechtenDelegieren administrativer Rechte an Sub-Administratoren
Zentrale Umsetzung unternehmensweiter Sicherheitsrichtlinien
. . .
©U
timac
o S
afew
are
AG
, 200
6
5
Herausforderungen der IT-Sicherheit 3. Kostenkontrolle
Investitionen in IT-Sicherheit müssen „sich rechnen“Versteckte Kosten durch Integration in bestehendeIT-InfrastrukturVersteckte Kosten durch Erweiterungen der Sicherheitsarchitektur zu einem späteren ZeitpunktÜberhöhte Personalkosten durch mangelhafte Self-Service -Funktionalitäten
Volle Kostentransparenz
©U
timac
o S
afew
are
AG
, 200
6
6
Anforderungen der Unternehmen
Unternehmen (CXO)Gesetzliche AnforderungenDatensicherheitInvestitionsschutzProduktivität
Balance zwischen – Sicherheit – Kosten – Produktivität
Geringe Helpdesk-KostenEinfache AdministrationBegrenzte RessourcenHeterogene InfrastrukturenManagen komplexer ITSystemstabilität & Integrität
IT-Support/Helpdesk
IT Sicherheit für das Unternehmen und seine MitarbeiterDurchsetzung vonSecurity PoliciesHochkomplexe, heterogene IT-InfrastrukturSystemstabilität
IT-Security ManagerHohe Effizienz BewusstseinsbildungUnveränderte AbläufeSich nicht um Sicherheit kümmern zu müssenSchnelle, einfache HilfeCross-Plattform Sicherheit
Benutzer
©U
timac
o S
afew
are
AG
, 200
6
7
Sicherheit auf den Punkt gebracht…
Die Security Investition rechtfertigen
Interoperabilität mit meiner Infrastruktur
Auswahl vertrauensvoller Zulieferer
Die optimale Lösung finden
Was passiert in meinem Netzwerk?
Fokus auf alle Nutzer meiner Daten – egal ob Mitarbeiter oder ExterneAbhängigkeit von Administrations- Rollen
Pro-aktiv Sicherheit managen
Was passiert im Netzwerk mit meinen Daten?
Wie sichere ich heterogene Landschaftenpro-aktiv ab?
Die Infrastruktur absichern
Sicherheit darf nicht zu Hürden führen
Den Nutzern auch bei mobiler Arbeit folgen
Schnelle Hilfestellung und Daten-Recovery
Nutzern bei der Sicherheit helfen
Kunden- stimmen
Organisationen brauchen Informationssicherheit, die ihre Daten unabhängig vom Arbeitsort der Mitarbeiter und ohne Beeinträchtigung der Abläufe schützt
Handlungsempfehlungen
©U
timac
o S
afew
are
AG
, 200
6
9
Handlungsempfehlungen für Datensicherheit Umfassender Schutz aller Daten
1. Schutz sensibler Daten1. Schutz sensibler Daten auf Endgerauf Endgerääten.ten.
3. Sicherer Datenaustausch3. Sicherer Datenaustausch innerhalb der Organisation.innerhalb der Organisation.
4. Schutz der 4. Schutz der Daten in NetzenDaten in Netzen und Servern.und Servern.
2. Sicherer Daten2. Sicherer Daten-- austauschaustausch mitmit GeschGeschääftspartnern.ftspartnern.
5. Absicherung der5. Absicherung der Master SchlMaster Schlüüsselssel durch Hardwaresicherheit.durch Hardwaresicherheit.
©U
timac
o S
afew
are
AG
, 200
6
10
Handlungsempfehlungen für Datensicherheit 1. Endpunkt Sicherheit
Best Practice #1Schutz personenbezogener Daten sowie des geistigen Eigentums auf mobilenund ggfs. auch stationären Endgeräten
Warum müssen sich Firmen schützen?80% aller Firmen nutzen mobile Endgeräte, auch um vertrauliche Informationen zu verarbeiten.81% der US Firmen haben in 2005 Laptops mit sensitiven Daten verloren. Bis zu 8 % aller mobilen Endgeräte gehen jedes Jahr verloren oder werden gestohlen.Nicht verschlüsselte Datenträger wie Festplatten, Memory Sticks, DVDs etc. können von nicht autorisierten Nutzern jederzeit ausgelesen werden.
Wie können sich Firmen schützen?… mit der Verschlüsselung der Endgeräte:
NotebooksPDAs, SmartPhonesDesktops
©U
timac
o S
afew
are
AG
, 200
6
11
Handlungsempfehlungen für Datensicherheit 2. Sicherer Datenaustausch mit Geschäftspartnern
Best Practice #2Sicherstellung der Authentizität und Vertraulichkeit auszutauschender Daten
Warum müssen sich Firmen schützen?Geschäftsübergreifende Prozesse erfordern den Austausch sensitiver Informationen.Großkunden fordern sicheren Datenaustausch von ihren Zulieferern (z.B. in der Automobilindustrie).Ohne Schutz riskieren Unternehmen nicht autorisierten Datenzugriff.Authentizität übermittelter Daten sollte sichergestellt werden. Phishing E-Mails in fremdem Namen irritieren Kunden.
Wie können sich Firmen schützen?… mit dem Schutz (Verschlüsselung und digitale Signatur) der übermittelten Daten :
E-Mail Verschlüsselung und digitale SignaturVerschlüsselung und digitale Signatur von Transaktionsdaten (EDI, XML, …)Verschlüsselung von Wechselmedien
©U
timac
o S
afew
are
AG
, 200
6
12
Handlungsempfehlungen für Datensicherheit 3. Sicherer Datenaustausch innerhalb der Firmen
Best Practice #3Sicherer Datenaustausch innerhalb der Firmengrenzen
Warum müssen sich Firmen schützen?Durch Outsourcing verschwimmen die Firmengrenzen zunehmend.60-70% aller Verstöße gegen die Datensicherheit haben ihren Ursprung innerhalb der Firmengrenzen.Nicht autorisierte Zugriffe auf zentrale Datenspeicher stellen ein erhebliches Risiko dar.
Wie können sich Firmen schützen?… mit dem Schutz übermittelter Daten:
E-Mail VerschlüsselungAbsicherung von Push-Mail SystemenVerschlüsselung zentraler DatenspeicherVerschlüsselung aller Wechselmedien
©U
timac
o S
afew
are
AG
, 200
6
13
Handlungsempfehlungen für Datensicherheit 4. Schutz der Daten auf Servern
Best Practice #4Vertraulichkeit der Daten in Netzwerken und auf Servern
Warum müssen sich Firmen schützen?Zentrale Datenspeicher enthalten das gesammelte Wissen eines Unternehmens.Unautorisierter Datenzugriff durch Administratoren, Hacker oder OutsourcingMitarbeiter stellen eine erhebliche Bedrohung dar.
Wie können sich Firmen schützen?… mit der Verschlüsselung zentraler Datenspeicher:
Verschlüsselung zentraler DateiserverVerschlüsselung von DatenbankenProfessionelle Zugriffsberechtigung, z.B. durch 2-Faktor IdentifikationVerschlüsselung der E-Mail Inhalte auf Mail Servern
… mit der Einführung eines Content Monitoring and Filtering Systems
©U
timac
o S
afew
are
AG
, 200
6
14
Handlungsempfehlungen für Datensicherheit 5. Schutz des Schlüsselmaterials
Best Practice #5Wirksamer Schutz der Master Schlüssel
Warum müssen sich Firmen schützen?Verschlüsselte Daten sind nur so sicher wie der dazugehörige Schlüssel.Zertifikate sollten professionell abgesichert werden, um Missbrauch durch Unbefugte zu verhindern.Hardware ist der effektivste Schutz in unsicheren Umgebungen.
Wie können sich Firmen schützen?… durch den Hardware-Schutz aller wichtigen Schlüssel
HardwaresicherheitsmoduleSmartcardsTrusted Platform Module
Effiziente Umsetzung der Datensicherheit
©U
timac
o S
afew
are
AG
, 200
6
16
Trends der Datensicherheit 1. Schutz der Daten, statt nur der Infrastruktur
Firewalls und Security Gatewaysschützen das Unternehmensnetz„Let the good guys in, keep the bad guys out”“Closed Shop” Prinzip mit eigenen Regeln und Richtlinien
Unternehmensübergreifende Prozesse Offene IT InfrastrukturMobile Mitarbeiter“Bad guys” sind schon im Unternehmen Schutz der Daten, statt nur der Infrastruktur
©U
timac
o S
afew
are
AG
, 200
6
17
Trends der Datensicherheit 2. Von Einzellösungen zu einem ganzheitlichen Ansatz
Proprietäre PunktlösungenKein zentrales Richtlinien-Management Aufwendig für Anwender und Administratoren (hohe Kosten)Oftmals reaktive Tools/ProjektePerimeterzentrisch
Integrierte Lösungen Leichte Handhabung und OrganisationReduzierte Komplexität in Administration und AnwendungPro-aktives RisikomanagementDaten- und Anwenderzentrisch
©U
timac
o S
afew
are
AG
, 200
6
19
Details einer Sicherheitslösung 1. Leistungsfähige Administration
EffizienzViele Sicherheitsfunktionen mit wenigen Klicks, sowie AutomatismenPlattformübergreifende RegelwerkeHohe Komplexität der Infrastruktur meistern
Protokollierung und AuditingSchnelle Übersicht über den Zustand des Gesamtsystems
Integration einer Vielzahl von WerkzeugenDirectories, PKIsLogging, MonitoringProvisioning, Skriptfähigkeit
…
©U
timac
o S
afew
are
AG
, 200
6
20
Details einer Sicherheitslösung Beispiel für Administration
©U
timac
o S
afew
are
AG
, 200
6
21
Beispiele für eine Sicherheitslösung Beispiel für Logging / Analyse
©U
timac
o S
afew
are
AG
, 200
6
22
Details einer Sicherheitslösung 2. Datentransfer
Schutz von vertraulichen DatenTransparente Verschlüsselung lokaler Platten, Wechselmedien, Daten im Netz
Sichere KommunikationDurchsetzung von Kommunikationsregeln, sowie Protokollierung des DatenverkehrsSicherer Datenaustausch
Verschlüsselung von E-Mails, Wechselmedien
Einbindung von Dritten in die sichere Infrastruktur
…
©U
timac
o S
afew
are
AG
, 200
6
23
Details einer Sicherheitslösung Beispiel für Policyverteilung
AD, PKI or other external source
Administration Server
Management CenterServices
Administration Workstation
Policy Server (primary)
Transport Services
FeatureServices
Transport Services
Local DataStorage
ClientServices
Transport Services
Local DataStorage
ClientServices
Transport Services
Local DataStorage
ClientServices
Policy Server(secondary)
Transport Services
FeatureServices
©U
timac
o S
afew
are
AG
, 200
6
24
Details einer Sicherheitslösung 3. Schutz der Clients
Schutz des BetriebssystemesTransparente Verschlüsselung von lokalen FestplattenKonfigurationsschutzModerne Pre-boot Architektur
AuthentisierungSchutz der schwächsten Kette im Glied: PIN / PasswortMehrfaktorauthentisierung: Smartcards, USB-Token, Biometrie
Schutz vor externen AngriffenMalware Protection (Viren, Adware, Rootkits, Bots, …)Personal Firewall
…
©U
timac
o S
afew
are
AG
, 200
6
25
Windows
Details einer Sicherheitslösung Beispiel für sicheres Booten
Windows Loader
BIOSMBR
@LBA0
Pre-boot
Password oder zertifikatsbasierender Login (Smartcard, USB-Token, TPM, …)
Pre-boot Logon
Disk/VolumeFilter
Local Data
Storage
OriginalBoot sector
Boot sector
SecureKernel
Int-13Handler
Windows Logon
©U
timac
o S
afew
are
AG
, 200
6
26
Details einer Sicherheitslösung Biometrie
Match-on-CardBesitz und Wissen1:1 AuthentisierungSchlüssel auf der Karte
Match-on-Device (HW)1:n Identifikation (wenige)„Payload“ im Chip
Match-on-Device (SW)1:n Identifikation (einige)Schlüssel auf der Plattepotenziell unsicher
Match-on-Server1:n Identifikation (sehr viele)Schlüssel am Server
©U
timac
o S
afew
are
AG
, 200
6
27
Details einer Sicherheitslösung 4. Skalierbarkeit
Keep it simple„Install and Forget“ – sinnvolle Default-PoliciesAutomatisierung
Heterogene UmgebungenNutzung bereits bestehender Directory-Infrastruktur für die Verwaltung von Tausenden Benutzern und GerätenInventory
Leicht zu bewältigende AdministrationAnpassung des GUI an Vorbilder (z.B. Active Directory) bzw. Web-OberflächeDelegation, hierarchische Administration
…
©U
timac
o S
afew
are
AG
, 200
6
28
Details einer Sicherheitslösung 5. Nebenparameter
Berücksichtigung der Mobilität von BenutzernOnline und offlineRecovery- und Notfallszenarien
Aktualität der Security PoliciesUnmittelbare Durchsetzung von ÄnderungenBerücksichtigung der DatenmengenLastverteilung bei Policy-Verteilung
Hoher StandardisierungsgradIntegration / Kompatibilität verschiedener Hersteller360° Sicherheit
Gesetzliche Rahmenbedingungen…
©U
timac
o S
afew
are
AG
, 200
6
29
Ausblick
Neue Technologien in den StartlöchernMicrosoft Vista BitLockerFull Disk Encryption – Seagate FestplattenTrusted Platform Modules
Neue Blickwinkel360° SecurityMulti-Plattform FähigkeitContent Encryption
©U
timac
o S
afew
are
AG
, 200
6
30
BIOS BootloaderStage I
BootloaderStage II
OS Kernel
Festplattenverschlüsselung mit TPM Beispiel: BitLockerTM Bootprozess
BitLocker Logon (optional)
Kontrollübergabe
Messung
TPM Init
BIOS
MBR
Bootsektor
Bootblock
Bootmanager
OS LoaderOS Start
Storage Root Key (SRK)Platform Configuration Registers (PCR)
************** Hashed Password
Volume Master Key (VMK)
Full Volume Encryption Key (FVEK)