Dienstag, 30. Mai 2017

ISO 27000-Reihe

Unter der ISO 27000-Reihe fallen Standards der International Organisation for Standardization (ISO) und der International Electrotechnical Commission (IEC) mit dem Ziel der Normierung der IT-Sicherheitsprozesse von Unternehmen. Neben einer detaillierten Behandlung von ausgewählten Problemfeldern wie die Risikoanalyse, findet man auch einen Katalog von „Best Practice“-Vorschlägen. Nachfolgend eine unvollständige Auflistung von ein paar Standards der ISO 27000-Reihe:
  • ISO 27000 – Übersicht und Begrifflichkeiten
  • ISO 27001 – Allgemeine Anforderungen
  • ISO 27002 – Leitfaden
  • ISO 27003 – Anleitung zur Umsetzung
  • ISO 27004 Messungen
  • ISO 27005 – Risikomanagement
  • ISO 27018 – Datenschutz in Cloudsystemen

Prozessmodell

Nachfolgend ein allgemeines Prozessmodell nach ISO 27000


Identifizieren

Im ersten Schritt des Prozessmodells geht es um die Identifikation von Informationssicherheitsanforderungen. Hierfür müssen beispielsweise die geschäftlichen Interessen, die Informationsbestände oder auch die rechtlichen oder vertraglichen Rahmenbedingungen überprüft werden.

Risikomanagementprozess

Im anschließenden Risikomanagementprozess geht es dann unter andere um die Gefährdungsbeurteilung, zu der die Risikoidentifikation, die Risikoanalyse und auch die Risikobewertung gehören. Identifizierte Risiken können verschieden angegangen werden:
  • Man kann versuchen sie zu reduzieren (z.B. durch bestimmte Richtlinien die umzusetzen und einzuhalten sind)
  • Man kann versuchen sie ganz zu vermeiden (z.B. durch Untersagen bestimmter Tätigkeiten)
  • Man kann sie einfach akzeptieren (wenn der Schaden hinnehmbar ist)
  • Man kann sie einer anderen Partei übertragen (z.B. auf einen Versicherer

Implementierung

In der Implementierungsphase werden Maßnahmen zur Risikoreduktion ausgewählt und umgesetzt. Auch die Schulung und die Bewusstseinsbildung innerhalb der Organisation gehören zu dieser Phase des Prozessmodells.

Instandhalten und Verbessern

Durch die Phase Instandhalten und Verbessern sollen die umgesetzten Maßnahmen überwacht und überprüft werden. Hier kommt es unter anderem auf die Wirksamkeit an. Diese kann beispielsweise über interne Audits, wie Befragungen festgestellt werden.

Quellen und Verweise

Mittwoch, 26. April 2017

IT-Risikomanagement

Mit dem IT-Risikomanagement soll ein strukturierter Umgang mit identifizierte Risiken geschehen. Der Risikomanagementprozess umfasst darüber hinaus die Bewertung und die Behandlung der Risiken. Generell setzt sich ein Risiko aus der Eintrittswahrscheinlichkeit und dem Schadenspotential zusammen. Methoden um ein Risiko zu analysieren sind qualitative Einstufungen vs. quantitative Einstufungen.

Risikomanagementprozess nach ISO 27005

Nachfolgend der Risikomanagementprozess nach ISO 27005


Festlegung der Rahmenbedingungen

In der ersten Phase wird die IT-Risikomanagementmethodik festgelegt. Außerdem werden Risiko-Evaluierungskriterien entwickelt und potentielle Auswirkungen (z.B. finanzieller Art oder juristische Sanktionen) festgelegt.


Risikoidentifizierung

Bei der Risikoidentifizierung geht es darum Szenarien zu finde, die der Organisation Schaden zufügen könnten. Man geht dabei folgende Idenfizierungsschritte durch:
  1. Identifizierung von Assets
  2. Identifizierung von Bedrohungen
  3. Identifizierung von umgesetzte Maßnahmen
  4. Identifizierung von Schwachstellen
  5. Identifizierung von potentiellen Auswirkungen


Risikoanalyse

Bei der Risikoanalyse geht es um die Bestimmung des Schadenspotentials und der Eintrittswahrscheinlichkeit. Es sind sowohl qualitative als auch quantitative Bewertungen möglich. Während bei einer quantitativen Bewertung konkrete Werte, z.B. für die Eintrittswahrscheinlich, angegeben werden, folgt bei der qualitativen Bewertung eine grobe Einteilung in Stufen. Da es in der Regel nicht möglich ist, ganz genaue Werte herauszufinden und zu bestimmen, wird oft zur qualitativen Bewertung gegriffen und nur in sehr seltenen Fällen, z.B. bei besonderen Risiken, zur quantitativen Bewertung.


Risikobewertung

In diesem Schritt folgt die Priorisierung der Risiken. Abgeschätzt können Risiken durch die folgenden Methodengruppen:
  • Nachschlagemethoden (z.B. Checklisten)
  • Unterstützende Methoden (z.B. Delphi-Methode)
  • Szenarioanalyse (z.B. Ereignisbaumanalyse
  • Maßnahmenanalyse (z.B. Bow-Tie)
  • Funktionsanalyse (z.B. FMEA)
Die Einordnung der Risiken kann anschließend entweder mit dem Maximumsprinzip, Kumulationsprinzip oder Verteilungsprinzip vorgenommen werden.


Risikobehandlung

Bei der Risikobehandlung stehen folgende Möglichkeiten bereit:
  • Risiko akzeptieren
  • Risiko reduzieren
  • Risiko vermeiden
  • Risiko an einen Dritten (z.B. Versicherung) abtreten


Quellen und Verweise

Montag, 13. März 2017

BSI-Grundschutz

Der BSI-Grundschutz mit seinen IT-Grunschutzkatalogen kann als deutschem Äquivalent zu der ISO 27000-Reihe gesehen werden. Auch hier werden Empfehlungen von Standardsicherheitsmaßnahmen vermittelt, um damit ein für den normalen Schutzbedarf angemessenes und ausreichendes Sicherheitsniveau für IT-Systeme zu erreichen. Aufgebaut ist der BSI-Grundschutz über ein Baukastenprinzip, wobei die wichtigsten Bestandteile die Gefährdungs- und Maßnahmenkataloge sind.

Business Continuity Management

Unter Business Continuity Management (auf Deutsch Betriebliches Kontinuitätsmanagement) versteht man Methoden und Maßnahmen, die die Sicherstellung des Fortbestands des Unternehmens in Angesicht von Risiken mit hohen Schadensausmaß sicherstellen. Es geht also zum einen um den Schutz vor Unterbrechungen von Geschäftsprozessen und bei Eintreten eines Schadensfalls um die rechtzeitige Wiederaufnahme.

Mittwoch, 27. Oktober 2010

Eigenschaften von Peer-to-Peer Netzwerke

Peer-to-Peer Netzwerke unterscheiden sich in einigen Punkten von einer Client-Server Architektur. So bringt ein Peer-to-Peer Netzwerk unterschiedliche Vor- und Nachteile mit sich. Vorteile sind zum Beispiel, dass alle Rechner gleichberechtigt sind oder das solch ein Netzwerk kostengünstiger wie ein Client-Server ist. Auch der Datenaustausch über Freigaben ist ohne Probleme möglich. Etwas kritisch ist aber, dass die freigegebene Ressource nur verfügbar ist, wenn auch die Workstation an der sie hängt verfügbar ist. Natürlich sind in einem Peer-to-Peer Netzwerk auch keine Serverdienste verfügbar, wie z.B. DHCP oder DNS. Auch die Administration ist beim Peer-to-Peer Netzwerk aufwändig, da jede Workstation einzeln administriert werden muss.

Samstag, 22. Mai 2010

Sicherheitszonen-Regeln Firefox

Ich habe heute beim Herunterladen von Dateien (egal ob Audio, Video oder Bild-Dateien) immer folgende Fehlermeldung bekommen:

Dieser Download wurde durch Ihre Sicherheitszonen-Regeln blockiert.

Die Datei wird also nicht heruntergeladen. Normalerweise soll das ein Betriebssystem-Problem sein, weil Firefox diese Sicherheits-Richtlinien vom Betriebssystem übernimmt (Internetoptionen in Windows). Bei mir war aber alles schon richtig konfiguriert, sodass diese Fehlermeldung eigentlich nicht kommen dürfte.

Da habe ich einfach mal Firefox neugestartet und voila, schon konnte ich wieder herunterladen!

Dienstag, 18. Mai 2010

Den eigenen Webserver als Proxy nutzen

In dem nachfolgenden Tutorial erkläre ich euch wie man Squid auf Debian installiert und konfiguriert.

Zunächst benötigen wir mal Squid. Unter Debian lässt sich squid einfach via apt-get installieren.


  • / apt-get install squid

Sobald Squid installiert ist gehts an die config. Im Ordner /etc/squid/ befindet sich die squid.conf. Da die komplette config Datei knapp 4000 Zeilen hat war ich so frei und hab meine einfach mal bei nopaste geuppt. Ersetzt einfach eure config mit meiner – da muss nichts mehr geändert werden.


Jetzt benötigen wir noch ein File das die Benutzer die auf den Server zugreifen dürfen sowie die jeweiligen Passwörter der Benutzer enthält. Hierfür erstellen wir einfach die Datei passwd im /etc/squid/ Ordner. Dh:


  • / vi /etc/squid/passwd
Und nun kommen wir zum Inhalt dieser Datei. Da ich auf meinem Webserver keinen Apache laufen habe kann ich natürlich den Befehl htpasswd nicht nutzen. Zum glück gibts ja im Internet einige “htpasswd Generatoren”. Lasst euch einfach von so einem das Passwort generieren. Ich habe diesen hier benutzt.

Die Zeile die der euch ausspuckt einfach jetzt in die passwd Datei schreiben und abspeichern.

Jetzt muss Squid nochmal reloaded werden da wir ja die config verändert haben. Also:

  • /etc/init.d/squid reload
Und schon kann man den Proxy nutzen. Wie in meiner config angegeben läuft der Proxy auf dem Port 3128.

Squid dient jedoch nur als Webproxy und kann nicht mit Socks umgehen. Wenn man jedoch lieber einen Socks Proxy möchte empfehle ich diesen hier von sp3x. Auch wenn das ding noch nicht ganz fertig ist :)

In Memory: 3x1t - RIP