Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 1
Kapitel 2: Grundlagen
Aktualisierte Folienversion vom 21.10.2011
IT-Sicherheit- Sicherheit vernetzter Systeme -
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 2
Kapitel 2: Inhalt1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell
3. Grundlegende Begriffe und Vorgehensweisen4. Relevante Standards
OSI Sicherheitsarchitektur Sicherheitsdienste Sicherheitsmechanismen
ISO/IEC 270005. Unterscheidung Security vs. Safety
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 3
OSI Security Architecture: Überblick Standardisiert von der International Standardization
Organization (ISO) 1988 und der International Telecommunication Union (ITU) 1991
Dokumente: ISO: ISO-7498-2; IS0-10181-1 bis –7 (Security Framework);
ISO-11586-1 bis –6 (Upper Layer Security) ITU: ITU-T X.800 – X.830
Fokus liegt auf verteilten / vernetzten Systemen Beschreibung von Sicherheitsdiensten (Security Services),
Sicherheitsmechanismen,.......
Baut auf dem Open System Interconnection Reference Model (ISO/OSI-RM) auf
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 4
Prinzip des OSI-ReferenzmodellEndsystem Endsystem
Schicht N Protokoll
SchichtN+1
SchichtN
SchichtN-1
LayerN+1
LayerN
LayerN-1
SAP
SAP = Service Access Point (Dienstzugangsschnittstelle)
Übertragen werden Schicht N PDUs(Protocol Data Units)
Funktionale Gliederung impliziert Schichtenbildung SAP
Logischer Datenfluss Physischer Datenfluss
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 5
OSI Referenzmodell: Schichten
Anwendungs-schicht
Darstellungs-schicht
Kommunikations-steuerungss.
Transportschicht
Vermittlungs-schicht
Sicherungs-schicht
Bitübertragungs-schicht
Application Layer
PresentationLayer
SessionLayer
TransportLayer
NetworkLayer
Data Link Layer
PhysicalLayer
7
6
5
4
3
2
1
NetworkLayer
Data Link Layer
PhysicalLayer
Endsystem Endsystem
Transitsystem
Medium Medium
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 6
OSI Refenzmodell: Schnittbildung
Anwendungs-schicht
Darstellungs-schicht
Kommunikations-steuerungss.
Transportschicht
Vermittlungs-schicht
Sicherungs-schicht
Bitübertragungs-schicht
Application Layer7
6
5
4
3
2
1
NetworkLayer
Data Link Layer
PhysicalLayer
Endsystem Endsystem
Medium Medium
Systemschnitt
Dienstschnitt
Anwendungsschicht-Protokoll
SAP
Protokollschnitt
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 7
Kapitel 2: Inhalt1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell
3. Grundlegende Begriffe und Vorgehensweisen4. Relevante Standards
OSI Sicherheitsarchitektur Sicherheitsdienste Sicherheitsmechanismen
ISO/IEC 270005. Unterscheidung Security vs. Safety
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Kategorisierung von Sicherheitsmaßnahmen
8
OrganisatorischeMaßnahmen
TechnischeMaßnahmen
Prävention Detektion Reaktion
Firewalls
Schulungen
Intrusion Detection Systeme
Regelung zur Logfile-Auswertung
Intrusion Prevention (!)
Systeme
Security Incident Response
Prozess
Virenscanner
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Risikogetriebenes Vorgehensmodell
Kernfragestellungen: Welche Sicherheitsmaßnahmen sollen wann und in welcher Reihenfolge
ergriffen werden? Lohnen sich die damit verbundenen Kosten?
Voraussetzungen: Analyse des Schutzbedarfs Überlegungen zu möglichen Angriffen und deren Auswirkungen Evaluation in Frage kommender Lösungswege Quantitative (d.h. nicht nur qualitative) Bewertung von Lösungswegen
9
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Ziele der Informationssicherheit Hauptproblem:
Informationssicherheit (IS) kann nicht gemessen werden Es gibt keine Maßeinheit für IS Sicherheitskennzahlen (security metrics) sind bislang
szenarienspezifisch und quantifizieren nur Teilaspekte
Lösungsansatz: Indirekte Definition von IS durch Teilziele
10
Vertraulichkeit ConfidentialityIntegrität IntegrityVerfügbarkeit Availability
Akronym CIA häufig in englischer IS-Literatur
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
1. Teilziel: Vertraulichkeit Definition:
In vernetzten Systemen zu betrachten bezüglich: Transport von Daten (über Rechnernetze) Speicherung von Daten (inkl. Backup) Verarbeitung von Daten
Typische Sicherheitsmaßnahme: Verschlüsselung
Teilziel gilt als verletzt, wenn geschützte Daten von unautorisierten Subjekten eingesehen werden können.
11
Vertraulichkeit (engl. confidentiality) ist gewährleistet, wenn geschützte Daten nur von Berechtigten abgerufen werden können.
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
2. Teilziel: Integrität Definition:
Wiederum bei Transport, Speicherung und Verarbeitung sicherzustellen!
Typische Sicherheitsmaßnahme: Kryptographische Prüfsummen
Teilziel verletzt, wenn Daten von unautorisierten Subjekten unbemerkt verändert werden.
12
Integrität (engl. integrity) ist gewährleistet, wenn geschützte Daten nicht unautorisiert und unbemerkt modifiziert werden können.
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
3. Teilziel: Verfügbarkeit Definition:
Bezieht sich nicht nur auf Daten, sondern z.B. auch auf Dienste und ganze IT-Infrastrukturen.
Typische Sicherheitsmaßnahme: Redundanz, Overprovisioning
Teilziel verletzt, wenn ein Angreifer die Dienst- und Datennutzung durch legitime Anwender einschränkt.
13
Verfügbarkeit (engl. availability) ist gewährleistet, wenn autorisierte Subjekte störungsfrei ihre Berechtigungen wahrnehmen können.
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
IS-Teilziele im Kontext des Angriffslebenszyklus
Die Kombination aller in einem Szenario eingesetzten präventiven Maßnahmen dient der Erhaltung von Vertraulichkeit, Integrität und Verfügbarkeit.
Detektierende Maßnahmen dienen dem Erkennen von Sicherheitsvorfällen, bei denen die präventiven Maßnahmen unzureichend waren.
Reaktive Maßnahmen dienen der Wiederherstellung des Soll-Zustands nach dem Erkennen von Sicherheitsvorfällen.
14
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 15
Kapitel 2: Inhalt1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell
3. Grundlegende Begriffe und Vorgehensweisen4. Relevante Standards
OSI Sicherheitsarchitektur Sicherheitsdienste Sicherheitsmechanismen
ISO/IEC 27000
5. Unterscheidung Security vs. Safety
Fokussiert technische Maßnahmen
Fokussiert organisatorische Maßnahmen
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 16
OSI Security Architecture: Überblick Beschreibung von Sicherheitsdiensten (Security Services) und
Sicherheitsmechanismen Beziehungen zwischen Services, Mechanismen und den
Schichten des ISO/OSI-Referenzmodells Platzierung von Services und Mechanismen
Hintergrundinformation: Bedrohungen und Angriffe Security Policy Grundlegende Mechanismen
Fokus der Sicherheitsarchitektur: Sicherheitsbedürfnisse von verteilten / vernetzten Systemen Betrachtet keine Host- oder Betriebssystem-Sicherheit
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 17
OSI Security Architecture: Dienste Authentisierung
(Authentication): Jede Entität kann zweifelsfrei identifiziert werden Peer Entity Authentication:
Gegenseitige Authentisierung von zwei oder mehr Kommunikations-partnern
Data Origin Authentication: Identifikation des Senders bzw. des Autors einer Nachricht
Zugriffskontrolle(Access Control): Schutz vor unberechtigter Nutzung von Ressourcen
Vertraulichkeit (Data confidentiality): Schutz der Daten vor unberechtigter Offenlegung Connection confidentiality:
Alle Payload-Daten einer Verbindung
Selective field confidentiality:Bestimmte Felder der Payload-Daten
Traffic flow confidentiality: Schutz vor Verkehrsflussanalyse. (Wer kommuniziert mit wem in welchem Umfang und zu welcher Zeit?)
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 18
OSI Security Architecture: Dienste (Forts.) Datenintegrität (Data integrity):
Erkennung von Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikaten oder Wiedereinspielung von Daten Connection Integrity with/without Recovery Selective Field Connection Integrity
Verbindlichkeit (Non-repudiation): Niemand kann das Senden oder Empfangen der Daten leugnen With proof of origin:
Sender kann das Senden nicht leugnen; Empfänger kann beweisen, welchen Ursprung die Daten haben.
With proof of delivery:Empfänger kann Empfang nicht leugnen; Sender kann die Auslieferung beweisen.
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
OSI SA: Mechanismen zur Umsetzung der Dienste Verschlüsselung (→ Vertraulichkeit)
symmetrisch asymmetrisch
Prüfsummenverfahren (→ Integrität) keine Mechanismen bzgl. Verfügbarkeit!
Authentisierungsfunktionen (→ Authentizität) Elektronische Signaturen (→ Verbindlichkeit) Zugriffskontrolle (→ Autorisierung) Traffic Padding,
Anonymisierung (→ keine Datenflussanalyse) Auditing und Logging (→ Revisionsfähigkeit) Beglaubigung von Daten (→ Notariatsfunktion)
19
Transportschicht
Vermittlungs-schicht
Sicherungs-schicht
Bitübertragungs-schicht
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 20
Mechanismen auf unterschiedlichen Schichten Was soll gesichert werden? Wie weit reicht der Sicherheitsmechanismus?
Beispiel: Verschlüsselung auf Schicht 2 (Sicherungsschicht) => jedes Transitsystem muss entschlüsseln
NetworkLayer
Data Link Layer
PhysicalLayer
Transitsystem
Medium Medium
Transportschicht
Vermittlungs-schicht
Sicherungs-schicht
Bitübertragungs-schicht
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 21
Kapitel 2: Inhalt1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell
3. Grundlegende Begriffe und Vorgehensweisen4. Relevante Standards
OSI Sicherheitsarchitektur Sicherheitsdienste Sicherheitsmechanismen
ISO/IEC 27000
5. Unterscheidung Security vs. Safety
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Motivation für ISO/IEC 27000
Informationssicherheit Anfang der 1990er Jahre: stark technikzentriert Kosten-/Nutzenfrage kommt auf Führungsebene wird stärker in IS-Fragestellungen eingebunden
Wachsender Bedarf an Vorgaben und Leitfäden: Kein „Übersehen“ wichtiger IS-Aspekte Organisationsübergreifende Vergleichbarkeit Nachweis von IS-Engagement gegenüber Kunden und Partnern
Grundidee hinter ISO/IEC 27000: Anwendung der Grundprinzipien des Qualitätsmanagements auf das Management der Informationssicherheit
22
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Internationale Normenreihe ISO/IEC 27000 ISO/IEC 27000 wird mehr als zwei Dutzend einzelner
Standards umfassen Mehr als die Hälfte davon ist noch in Arbeit und nicht veröffentlicht
Norm ISO/IEC 27001 legt Mindestanforderungen an sog. Information Security Management Systems (ISMS) fest Zertifizierungen möglich für:
Organisationen (seit 2005) Personen (seit 2010)
Kernideen: Kontinuierliche Verbesserung
durch Anwendung des Deming-Zyklus
Risikogetriebenes Vorgehen Seit 2008 auch DIN ISO/IEC 27001
23
Check
Act
Plan
Do
Zeit
Reife
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Informationssicherheits-Managementsystem (ISMS)
Definition Managementsystem System von Leitlinien, Verfahren, Anleitungen und zugehörigen Betriebsmitteln
(inkl. Personal), die zur Erreichung der Ziele einer Organisation erforderlich sind.
Definition ISMS: Bestandteil des übergreifenden Managementsystems; es umfasst Einrichtung,
Implementierung, Betrieb, Überwachung, Review, Wartung und Verbesserung der Informationssicherheit und stützt sich auf das Management von Geschäftsrisiken.
Hinweis: „System“ ist hier nicht im streng technischen Sinne, sondern als systematisches
Rahmenwerk zu verstehen.
24
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
ISO/IEC 27000 im Überblick
25
27001Anforderungen
27006Anforderungen an
Zertifizierungsstellen
27002Leitfaden
(Code of Practice)
27003Leitfaden zur Umsetzung
27004Messungen
27005Risikomanagement
27007Leitfaden zu Audits
27011Telekommunikations-
unternehmen
27799Organisationen im Gesundheitswesen
normativ informativ
unterstützt /ergänzt
Allg
emei
neAn
ford
erun
gen
Allg
emei
neLe
itfäd
enBr
anch
ensp
ezifi
sche
Leitf
äden
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Wichtige Begriffe im Umfeld von ISMS
(Informations-) Werte (engl. assets) Alles, was für ein Unternehmen von Wert ist.
Leitlinien Anweisung, die formell durch das Management ausgesprochen wird.
Prozesse Ein Ablauf von zusammenhängenden oder wechselwirkenden Aktivitäten, die zu
definierten Eingaben bestimmte Ergebnisse liefern.
Verfahren Vorgegebener Weg, eine Aktivität oder einen Prozess abzuwickeln.
26
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Leitlinien, Prozesse, Verfahren
27
Leitlinie1. Abc def ghijk.2. Abc def ghijk.3. Abc def ghijk.4. Abc def ghijk.
Verfahren
Prozess: Inputs
Outputs
DefinitionsebeneManagement
Prozess-Eigentümer
SteuerungsebeneProzessmanagerProzess-Teams
DurchführungsebeneAbteilungenFunktionen
Personen
Aktivitäten und Rollen
z.B. Informations-sicherheits-Leitlinie
z.B. Prozess zum Umgangmit Risiken für die Informationssicherheit
z.B. Verfahren zur Klassifizierung und Bewertung identifizierter Risiken
Person (in einer Rolle)
wendet an
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Kerninhalte von ISO/IEC 27001 Begriffsdefinitionen
PDCA-basierter Prozess zum Konzipieren, Implementieren, Überwachen und Verbessern eines ISMS
Mindestanforderungen u.a. an Risikomanagement, Dokumentation und Aufgabenverteilung
Normativer Anhang A enthält: Definition von Maßnahmenzielen (control objectives) Definition von Maßnahmen (controls)
Umfang: DIN ISO/IEC 27001:2008 - 45 Seiten DIN ISO/IEC 27002:2005 - 138 Seiten
28
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Maßnahmenziele und Maßnahmen: Überblick
29
A.5 Sicherheitsleitlinie (1/2) [= 1 Maßnahmenziel / 2 Maßnahmen (Controls)]
A.6 Organisation der Informationssicherheit (2/11)
A.7 Management von organisationseigenen Werten (2/5)
A.8 Personelle
Sicherheit (3/9)
A.9Physische- und
umgebungsbezogeneSicherheit (2/13)
A.10 Betriebs- und Kommuni-
kationsmanagement(10/32)
A.12 Beschaffung, Entwicklung
und Wartung vonInformationssystemen
(6/16) A.11 Zugangskontrolle (7/25)
A.13 Umgang mit Informationssicherheitsvorfällen (2/5)
A.14 Sicherstellung des Geschäftsbetriebs (1/5)
A.15 Einhaltung von Vorgaben (3/10)
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Beispiel: Maßnahmen in ISO/IEC 27001 A.8
30
Per
sone
lle S
iche
rhei
t (A
.8)
Vor der Anstellung (A.8.1)
Aufgaben und Verantwortlichkeiten Überprüfung Arbeitsvertrags-
klauseln
Während der Anstellung (A.8.2)
Verantwortung des Managements
Sensiblilisierung, Ausbildung, Schulung Disziplinarverfahren
Beendigung oder Änderung der Anstellung (A.8.3)
Verantwortlichkeiten Rückgabe von Werten
Aufheben von Zugangsrechten
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
ISO/IEC 27001: Methode zum Aufbau eines ISMS
32
Maßnahmenziele und Maßnahmen
Schritt 7:Auswahl der
Maßnahmenziele und Maßnahmen
ISMS-Leitlinie
Schritt 1: Anwendungsbereich und
Scoping festlegen
Schritt 2:ISMS-Leitlinie erstellen
Risikomanagement
Schritt 6: Risikobehandlungsoptionen
festlegen
Schritt 3: Vorgehensweise zur Risikoeinschätzung
festlegen
Schritt 4: Risikoidentifikation
Schritt 5: Risikoanalyse
Managementzustimmung
Schritt 8: Zustimmung des Managements zu
Restrisiken
Schritt 9: Genehmigung des ISMS durch das Management
Schritt 10: Anwendbarkeitserklärung
erstellen
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
(Fortsetzung)
33
Maßnahmenziele und Maßnahmen
Schritt 7:Auswahl der
Maßnahmenziele und Maßnahmen
ISMS-Leitlinie
Schritt 1: Anwendungsbereich und
Scoping festlegen
Schritt 2:ISMS-Leitlinie erstellen
Risikomanagement
Schritt 6: Risikobehandlungsoptionen
festlegen
Schritt 3: Vorgehensweise zur Risikoeinschätzung
festlegen
Schritt 4: Risikoidentifikation
Schritt 5: Risikoanalyse
Managementzustimmung
Schritt 8: Zustimmung des Managements zu
Restrisiken
Schritt 9: Genehmigung des ISMS durch das Management
Schritt 10: Anwendbarkeitserklärung
erstellen
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Grundlagen des Risikomanagements
34
Kriterienzur
Risiko-bewertungInformations-
quellen
Eint
ritts
wah
rsch
einl
ichk
eit?
Pote
nzie
lle A
usw
irkun
g?
Gewichtungdes Risikos
Risikoakzeptanz
Risikobehandlung
Fall 1: Risiko inakzeptabel,Behandlung erforderlich
Fall 2: Risiko wird akzeptiert
Rest-risiko
Akzept.Risiko
Risiko
Identifikation Klassifikation
Risikoanalyse Risikobewertung
Risikoeinschätzung
Risikomanagement
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Zertifizierungsprogramm für Personen
35
Professional Level
Foundation Level
ISMS Consultant / Officer ISMS Auditor
Secure IT Services Governance, Risk andCompliance
Secure Business Environment
Foundation according to ISO/IEC 27001
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 36
Kapitel 2: Inhalt1. Überblick über die OSI-Sicherheitsarchitektur 2. ISO/OSI Referenzmodell
3. Grundlegende Begriffe und Vorgehensweisen4. Relevante Standards
OSI Sicherheitsarchitektur Sicherheitsdienste Sicherheitsmechanismen
ISO/IEC 27000
5. Unterscheidung Security vs. Safety
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit 37
Unterscheidung von Security und Safety Beide Begriffe werden oft mit „Sicherheit“ übersetzt
Typische Themen der Safety („Funktionssicherheit“) Betriebssicherheit für sicherheitskritische Programme, z.B. Steuerung
und Überwachung von Flugzeugen oder Kraftwerken Ausfallsicherheit (Reliability) Gesundheitliche Sicherheit / Ergonomie
Typische Themen der Security („Sicherheit“ i.S.d. Vorlesung) Security Engineering Security Policies Sicherheitsanforderungen:
Identifikation, Authentisierung, Autorisierung, Zugriffskontrolle, ... Sicherheitsmechanismen realisieren Sicherheitsanforderungen Verfügbarkeit (Availability) von Software und Hardware
Safety=
Funktionssicherheit
Security=
Informationssicherheit
Computer security=
IT-Sicherheit
„hat Einfluss auf“„A ist als Teil von B zu betrachten“
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Klassifikation nach Hartmut Pohl (1/2)
38
© Wolfgang Hommel, Helmut Reiser, LRZ, WS 11/12 IT-Sicherheit
Klassifikation nach Hartmut Pohl (2/2)
39
Informationssicherheit
Materielle Sicherheit Personelle Sicherheit
Physische Sicherheit Logische Sicherheit
Betriebs-sicherheit
Elektrische Sicherheit IT-Sicherheit Organisatorische
Sicherheit
Foku
s di
eser
Arb
eit
Foku
s der
Vor
lesu
ng