Upload
ict-economic-impact
View
1.249
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt. Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013
Citation preview
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
IT-Compliance
Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und
kostengünstiger bewältigen
Alexander W. KöhlerDiplom-Mathematiker
Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK)
8. IIR-Bankenkongress, 19.-20.3.2013, Wien
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Agenda
• Zeit: 30 Minuten
• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen
• Gegebenheiten: Finanzen, Technik, Nutzer
• Vorgehensweise, Optionen
• Problemlösung
• Vergleichende Kennzahlen
• Security-by-Design, Trust-by-Design, Compliance-by-Design, Privacy-by-Design
• Fallbeispiel 1: PCI DSS
• Fallbeispiel 2: Daten auf Mobilen Endgeräten
• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)
• Sichere Infrastrukturen (SecaaS; Soziale Netze)
• Wave Systems, das Unternehmen
• Konsequenzen und Zusammenfassung
2
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013
Informationssicherheit
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl steigt– Vernetzung wächst weiter
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense)
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend („Consumerization“, ByoD)
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften– Bankenintern (Richtlinien, Eigenverantwortung)
3
Maginot-Linie
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013 - Motivationen
Das “Warum” und die Antworten• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:
Es lohnt sich
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl nimmt zu: Die Benutzer/innen wollen es so– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense): Trend: Mobilität
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend: Die Benutzer/innen wollen es so
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns
4
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Gegebenheiten
• Hoher Schutz = hohe Kosten
• Hoher Schutz = hohe Investitionssicherheit
• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers
• Hoher Schutz = hoher Administrationsaufwand
• Aufwändigere Kontrollmechanismen = bessere Regelkonformität– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,
mehr Appliances, etc.
5
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Von der “Gegebenheit” zum Ideal
6
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Vorgehensweise
Optionen
• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch– Verlangt nach weiteren, inkrementellen Verbesserungen– usw., usw., …– Keine Änderungen an den Randbedingungen (IT-Umfeld)
7
• Änderungen der Randbedingungen– Architektur
– Trusted Computing (Trusted Computing Group)– “Security-by-Design”
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung
8
• Änderungen der Randbedingungen– Architektur
– Trusted Computing (Trusted Computing Group)– “Security-by-Design”
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
aus ... wird:
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung, messbar mit “Vergleichenden Kennzahlen”
9
• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu bewerten:
• RoSI: Return on Security Investment
• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)
• RoCI: Return on (Security Controls) for Compliance Investment
Das RoCI ist hier ↑ deutlich geringer als …. hier ↑
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1Security by Design
Security by Design
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
(SSD) Self Encrypting Drive (SED)
OPAL
&
FIPS
Security by Design
Trusted Software Stack (TSS)
Trusted Network Connect (TNC)
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
2Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted PlatformModule (TPM))
Self EncryptingDrive (SED)
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
Trust by Design
600,000,000 TPMs
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
Encryption
3Compliance by
Design
Audit & Compliance
Inspector DataLoss Prevention
Protector RemovableMedia, Port Control,
Wi-Fi, Bridging
2Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted PlatformModule (TPM)
Self EncryptingDrive (SED)
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
Privacy by Design
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
4Privacy by Design
SW Encryption
3Compliance by
Design
Proof of Compliance
Inspector DataLoss Prevention
Protector RemovableMedia, Port Control,
Wi-Fi, Bridging
2Trust by Design
Direct AccessSeamless Integration
Next generation VPN
Virtual Smart Card
Key Storage Provider
Pre-Boot Authentication
Single Sign On / Windows password sync
1Security by Design
OPEN INDUSTRY STANDARDS
Trusted Platform Module(TPM)
Self Encrypting Drive (SED)
OPAL
&
FIPS
User Plug-inFree for life
EnterpriseGroup Management
DLPReporting
File Encryption
PKI Key Management
Privacy by Design – Files-in-cloud, Data & Social Media Security
BIOS Integrity
Token integration
NAC
Zero touch
Audit, Reporting& Compliance
MS Bitlocker mngt
MS XP-Win 7-8OS support
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität
PCI DSS
Wave Systems Protection Suite • Daten klassifizieren, lokalisieren
• Datenfluss kontrollieren– Verbindungen: LAN, WiFi, G3/LTE; USB, BT– Inhalte: Dateien, eMails, Web, FTP– Geräte: Flash Drives, Externe HDDs,
Smartphones, Kameras, Drucker, Brenner
• Automatisierte Verschlüsselung
• Berichtswesen zur Bewertung von Regelkonformität
• Granulare Kontrolle
• Richtlinienbasiert
15
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Wave Systems Protection Suite
16
Für PCI DSS relevante Schutzmechanismen
• Verhindert “Network Bridging”
• Zugelassene/nicht zugelassene WiFi-Verbindungen
• Zugelassene/nicht zugelassene, angeschlossene Geräte
• Initialeinstellungen auf abgeschaltete Ports
• Lokalisieren von zu schützenden Daten auf dem Endgerät
• Folgeaktionen aus Analyse: automatische Verschlüsselung der Lokalität
• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen Medien
• “Tagged CDs/DVD”
• Erzwingt Verschlüsselung des Datentransfers
• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
17
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
18
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
19
–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
20
–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung, Fortschritt für die Anwender
21
Festplattenvollverschlüsselung, neue Methode*– Vorteile:
– Industriestandard TCG, Opal– Deutliche Kostenreduktion
– Komplexität und Aufwand Produkt– Wegfall von Kostenblöcken (Verwertung)– Prozesse von Stunden auf Sekunden verkürzt
– Schutz nur mit hohem Aufwand umgehbar– Keine Beeinträchtigung der Arbeitsumgebung– Reduzierter Administrationsaufwand– Regelkonformität durch Design gegeben– Beweisbarkeit vollautomatisiert sichergestellt
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung mit SEDs
22
Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
5
10
aus... wird:
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
– Security-by-Design:» TPM (Trusted Platform Module) : “power-on”-Schutz» “Root of Trust”: Absolute Notwendigkeit zum
effizienten Schutz von Mobilen Endgeräten» Die perfekte Waffe gegen APTs » Kontrolle über die Integrität
der Plattform (“Trust-by-Design”)» Virtuelle Smartcard macht physikalische
Smartcard überflüssig» Auf über 600 Millionen Plattformen ohne
Zusatzkosten bereits verfügbar !!!» Die Infrastruktur:
» Die Infrastruktur
23
Auguste KerckhoffsNuth, Niederlande, 1835-1903Daten auf PCs, Tablets etc.
• Informationssicherheits-Prinzip– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit
nur von der Geheimhaltung des Schlüssels abhängen”
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
24
Daten auf Tablets und anderen Plattformen• Mit moderner Authentifizierung den Benutzerkomfort eines
Smartphones und Sicherheit eines Enterprise-PCs vereinen– SSO; Hardware gesichert, keine Kennwörter mehr nötig
• Mehr denn je die Notwendigkeit für– Security-by-Design– Trusted Computing– Compliance-by-Design– Mobile Infrastruktur: Die Komplettlösung von Wave Systems
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Sichere Infrastrukturen ohne “Lost in Complexity”
25
Cloud Computing• Bereitstellung von Managed Services (SecaaS)
– Vollständige zentrale Kontrolle ohne eigene Installation
• Kontrollierte und sichere Nutzung von Public Cloud Plattformen (Storage-aaS, Soziale Netze)– Dropbox– Facebook usw.– www.scrambls.com
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Konsequenzen und Zusammenfassung
• Die neuen Anforderungen an die IT und TK (Cloud, ByoD (Gerätevielfalt), SOA, Outsourcing) können mit Trusted Computingund Security-by-Design bewältigt werden
• Bisher gültige Sachzwänge werden reduziertbis aufgelöst
• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit muss bereits in “P” einfliessen um die Vorteile nutzen zu können
• Vergleichende Kennzahlen machen Investitionen messbar
26
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wave Systems – führend in Mobilen Infrastrukturen
27
Gegründet 1988, Zentrale in Lee (Massachusetts)• Portfolio: Mobile Infrastrukturen
• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit
• Weltweit die meisten Installationen und die größten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000 Clients
• In der Industrie bekanntes Expertenteam• Dr. Thibadeau, der Erfinder der SEDs
• Brian Berger, Exec VP und permanenter Direktor im Board von TCG
• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP
• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers
• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA, Autor bei “Platform Information Security” und “All-About-Security”
• Alexander Koehler, Certified Information Systems Security Professional, zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)
• … und weitere Kollegen in den jeweiligen Spezialgebieten
© 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wir danken für Ihre Aufmerksamkeit.
Wir stehen für Sie zur Verfügung:
28
• Kontakt Österreich:
• Erich Kronfuss Geschäftsstellenleiter ProSoft Software Vertriebs GmbH - Office AustriaJeneweingasse 6 | A-1210 Wien
• +43 1 27 27 27 -100
• Kontakt Wave Systems:
• Alexander W. Koehler
• Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt
• Tel. +49 69 95932393