1. IT-Grundschutztag 2012 Data Loss Prevention - BSI
1. IT-Grundschutztag 2012 Data Loss Prevention - BSI
1. IT-Grundschutztag 2012 Data Loss Prevention - BSI
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
© GmbH <strong>2012</strong> S. 1, 09.02.<strong>2012</strong><br />
<strong>1.</strong> <strong>IT</strong>-<strong>Grundschutztag</strong> <strong>2012</strong><br />
<strong>Data</strong> <strong>Loss</strong> <strong>Prevention</strong><br />
Dr. Detlef Zimmer<br />
Bonn, 09. Februar <strong>2012</strong><br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
© GmbH <strong>2012</strong> S. 2, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Begriffsbestimmung und Einordnung<br />
� <strong>Data</strong> <strong>Loss</strong> <strong>Prevention</strong> / <strong>Data</strong> Leak <strong>Prevention</strong> / <strong>Data</strong> Leakage<br />
<strong>Prevention</strong> (DLP):<br />
� Schutz gegen den unerwünschten Abfluss von sensiblen<br />
Informationen<br />
� DLP ist keine neue Thematik<br />
� DLP ist ein Kernthema der Informationssicherheit, insbesondere in Bezug<br />
auf den Grundwert „Vertraulichkeit“, aber auch die Grundwerte<br />
„Verfügbarkeit“ und „Integrität“ können betroffen sein.<br />
� DLP ist in der jüngsten Vergangenheit durch medienwirksame Vorfälle<br />
(z.B. CD‘s mit Steuersünderdaten) in das Interesse der Bevölkerung und<br />
der Unternehmensleitungen gerückt.<br />
� Der Gesetzgeber hat auf die Vorfälle mit Gesetzesänderungen reagiert<br />
(2-te BDSG-Novelle, insbesondere §42a „Datenpannen“-Paragraph zur<br />
Informationspflicht und Strafgesetzbuch)<br />
© GmbH <strong>2012</strong> S. 3, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 4, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Reaktion des Gesetzgebers durch die<br />
zweite BDSG-Novelle (1)<br />
� Zweite BDSG-Novelle ist am 0<strong>1.</strong>09.2009 in Kraft getreten<br />
� Informationspflicht bei unrechtmäßiger Kenntniserlangung personenbezogener<br />
Daten (§42a BDSG):<br />
� Unternehmen sind verpflichtet, dass sie einen entdeckten Abfluss von<br />
bestimmten personenbezogenen Daten (z. B. den besonderen<br />
personenbezogenen Daten oder Informationen zu Bank und Kreditkarten)<br />
unverzüglich<br />
- der zuständigen Aufsichtsbehörde sowie<br />
- den Betroffenen<br />
© GmbH <strong>2012</strong> S. 5, 09.02.<strong>2012</strong><br />
mitteilen.<br />
� Vorraussetzung für die Mitteilung: Wenn schwerwiegende<br />
Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der<br />
Betroffenen drohen.<br />
� Zeitpunkt der Mitteilung: Sobald angemessene Maßnahmen zur<br />
Sicherung der Daten ergriffen worden sind oder nicht unverzüglich erfolgt<br />
sind und die Strafverfolgung nicht mehr gefährdet wird.
Reaktion des Gesetzgebers durch die<br />
Zweite BDSG-Novelle (2)<br />
� Katalog vertraglich (schriftlich) zu regelnder Mindestinhalte einer<br />
vertraglichen Vereinbarung zur Auftragsdatenverarbeitung zzgl. erweiterter<br />
Kontroll- und Dokumentationspflichten des Auftraggebers (§11 (2) BDSG;<br />
Auszug):<br />
� die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm<br />
vorzunehmenden Kontrollen,<br />
� die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund<br />
Mitwirkungspflichten des Auftragnehmers,<br />
� mitzuteilende Verstöße des Auftragnehmers oder der bei ihm<br />
beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener<br />
Daten oder gegen die im Auftrag getroffenen Festlegungen,<br />
� der Umfang der Weisungsbefugnisse, die sich der Auftraggeber<br />
gegenüber dem Auftragnehmer vorbehält,<br />
© GmbH <strong>2012</strong> S. 6, 09.02.<strong>2012</strong><br />
� die Rückgabe überlassener Datenträger und die Löschung beim<br />
Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Strafgesetzbuch<br />
� § 202a Ausspähen von Daten<br />
� § 202b Abfangen von Daten<br />
� § 202c Vorbereiten des Ausspähens und Abfangens von Daten<br />
� § 203 Verletzung von Privatgeheimnissen<br />
� § 263a Computerbetrug<br />
� § 303a Datenveränderung<br />
� § 303b Computersabotage<br />
© GmbH <strong>2012</strong> S. 7, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 8, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Beispielfall (1)<br />
� Kreditkartendatenklau in größerem Umfang im Herbst 2009<br />
� Beteiligte Unternehmen:<br />
� Diverse Banken<br />
� Kreditkartenunternehmen Visa und Mastercard<br />
� Spanischer Kartendienstleister Sermepa<br />
� Hohe Anzahl an Kreditkarten musste umgetauscht werden<br />
� Allein in Sparkassenfinanzgruppe wurden mehr als 200.000 Karten mit<br />
einem Schaden von mehr als 1 Mio. € umgetauscht<br />
� Datenleck unklar und nicht nachweisbar<br />
(zumindest in der Außendarstellung)<br />
� Kostenverteilung unklar:<br />
Der größte Anteil wurde vermutlich von den Banken getragen<br />
© GmbH <strong>2012</strong> S. 9, 09.02.<strong>2012</strong>
Beispielfall (2)<br />
� Reaktion der Beteiligten teilweise sehr unprofessionell:<br />
� In manchen Fällen wurden Kreditkarten gesperrt, ohne vorab die<br />
Kunden hierüber zu informieren<br />
� Die Direktorin des Kartendienstleister Sermepa für Kommunikation, Rosa<br />
Ovejero, erklärte: „Wir können ausschließen, dass es zu einem<br />
Datenverlust in unserem System gekommen ist.“<br />
� „Fingerpointing“<br />
© GmbH <strong>2012</strong> S. 10, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 11, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Mögliche präventive Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Risikofaktoren (1)<br />
� Sensitivität von Informationen<br />
� Faktoren, die die Zugriffsmöglichkeiten beeinflussen:<br />
© GmbH <strong>2012</strong> S. 12, 09.02.<strong>2012</strong><br />
� Zugriffsrechte:<br />
- Umsetzung des Need-to-Know-Prinzips / Least-privilege-Prinzips<br />
(s. MaRisk AT 7.2 und MaComp AT 6.2)<br />
- Berücksichtigung der Zugriffsrechte auf allen <strong>IT</strong>-Architekturebenen<br />
� Datenformat:<br />
- Standardformate<br />
- Proprietäre Formate<br />
- Verschlüsselte Daten
Risikofaktoren (2)<br />
� Faktoren, die die Zugriffsmöglichkeiten beeinflussen (Forts.):<br />
© GmbH <strong>2012</strong> S. 13, 09.02.<strong>2012</strong><br />
� Datenredundanzen<br />
� Datenvolumen / Kumulation<br />
� Zugriffswege<br />
- Vernetzung der Systeme / Abschottung der Systeme<br />
- Schnittstellen<br />
- Zutrittsschutz<br />
� Sensibilisierung
Risikofaktoren (3)<br />
� Datenkopierbarkeit / Datenvervielfältigung:<br />
� Sich merken<br />
� Abschreiben<br />
� Abfotografieren<br />
� Ausdrucken<br />
� Auf mobile Datenträger kopieren<br />
� Über das Netz kopieren bzw. per E-Mail verschicken<br />
� Erkennbarkeit / Nachvollziehbarkeit des Datenabflusses:<br />
� Protokollierung<br />
� Auswertung<br />
� Verfolgung von Auffälligkeiten (z.B. Kundenabwanderungen)<br />
� Forensik<br />
� Zusammenarbeit mit Betriebsrat und Datenschutzbeauftragten<br />
© GmbH <strong>2012</strong> S. 14, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 15, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Vorgehensmodell<br />
� Bestandsaufnahme:<br />
� Klassifizierungsschema für Sensitivitätsstufen festlegen<br />
� Daten Sensitivitätsstufen zuordnen<br />
� Daten Lokalisieren<br />
� Risikobewertung:<br />
� Relevanz von Risikofaktoren bestimmen und bewerten<br />
� Risikobewertung<br />
� Maßnahmen:<br />
� SIZ-DLP-Maßnahmenliste anpassen<br />
� Maßnahmen auswählen<br />
© GmbH <strong>2012</strong> S. 16, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 17, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Vorbeugende Maßnahmen: Beispiele (1)<br />
� Organisatorische Richtlinien:<br />
� Rolle Datenowner und seine Aufgaben festlegen<br />
� Allgemeine Regelungen / Arbeitsanweisungen erstellen, wie z.B.:<br />
© GmbH <strong>2012</strong> S. 18, 09.02.<strong>2012</strong><br />
- Mobile Datenträger sind grundsätzlich zu verschlüsseln<br />
- Aufgeräumte Schreibtische und Büros<br />
- Dokumente sollten so aufbewahrt werden, dass Unbefugte keinen Einblick erhalten<br />
- Regelmäßiges Löschen des elektronischen Papierkorbes<br />
- In öffentlichen Bereichen (Bahnhof, Flugzeug, Zug, Wartehalle, etc.) ist grundsätzlich<br />
Vorsicht geboten beim Austausch oder beim Verarbeiten von unternehmenseigenen<br />
oder kundenspezifischen Informationen (persönliches Gespräch, Telefonat, Arbeit am<br />
Bildschirm).<br />
� Sensitivitätsstufen mit entsprechenden Handlungsanweisungen zu den Themen<br />
Zugriff, Übertragungswege, Ablage, Kopieren, Druck und Vernichtung definieren<br />
� Sensibilisierung für DLP
Vorbeugende Maßnahmen: Beispiele (2)<br />
� Zugriffsrechte auf ein Minimum einschränken:<br />
© GmbH <strong>2012</strong> S. 19, 09.02.<strong>2012</strong><br />
� Prinzip „least privilege“ auf allen Architekturebenen verfolgen<br />
� Verschlüsselung:<br />
� Verschlüsselte Ablage<br />
� Verschlüsselte Kommunikation<br />
� Datenredundanzen vermeiden<br />
� Zugriffswege einschränken:<br />
� Schnittstellen reduzieren<br />
� Netzzugang restriktiv konfigurieren<br />
� Verwendung von Aufzeichnungsgeräten und mobilen Speichermedien<br />
unterbinden / einschränken<br />
� Ausdruckbarkeit von sensiblen Dokumenten unterbinden / einschränken<br />
� Berücksichtigung des Themas DLP bei der <strong>IT</strong>-Sicherheitsarchitektur<br />
� DLP-Produkt einsetzen
Erkennende Maßnahmen: Beispiele<br />
� Protokollierung und Auswertung von Datenzugriffen auf allen<br />
Architekturebenen<br />
� Einsatz von Content-Scannern für E-Mail und Web<br />
� Konfiguration der Content Scanner:<br />
� Größenbeschränkung für zu übermittelnde Dokumente / Datenströme<br />
� Sensible Schlüsselwörter<br />
� Sensible Datenformate<br />
� Konfiguration der URL-Filter:<br />
� Restriktive Freischaltung von notwendigen und vertrauenswürdigen Domänen<br />
© GmbH <strong>2012</strong> S. 20, 09.02.<strong>2012</strong>
Reagierende Maßnahmen: Beispiele<br />
� Prozess Sicherheitsvorfallbearbeitung um das Szenario DLP erweitern<br />
bzw. anpassen, insbesondere:<br />
� Forensik berücksichtigen<br />
� Ursache für den Vorfall ermitteln<br />
� Beweise über den Vorfall (gerichtsverwertbar) zusammenstellen<br />
� Schwachstelle im Rahmen des Problemmanagements nachhaltig schliessen<br />
� Betroffene Kunden und Partner ermitteln<br />
� Schadensminimierende Maßnahmen ergreifen (z.B. Kreditkarten sperren bei<br />
einer Kompromittierung von Kreditkarten)<br />
� Richtlinien für die Kommunikation mit betroffenen Kunden, Partnern,<br />
Behörden, Aufsichtsbehörden, Kriminalämter und Medien festlegen<br />
© GmbH <strong>2012</strong> S. 21, 09.02.<strong>2012</strong>
© GmbH <strong>2012</strong> S. 22, 09.02.<strong>2012</strong><br />
Begriffsbestimmung / Einordnung<br />
Gesetze<br />
Beispielfall<br />
Risikofaktoren<br />
Vorgehensmodell<br />
Maßnahmen<br />
Zusammenfassung<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH
Zusammenfassung<br />
� DLP ist ein Kernthema der Informationssicherheit und wird unter dem<br />
Grundwert Vertraulichkeit adressiert<br />
� DLP ist nicht neu, ist aber in jüngster Vergangenheit vermehrt in den<br />
Fokus des Managements gerückt<br />
� Bevor DLP-Maßnahmen in großem Umfang umgesetzt werden, sollte<br />
eine Risikoanalyse durchgeführt werden<br />
� Insbesondere über den Einsatz eines DLP-Produktes sollte nur nach<br />
einer Kosten/Nutzen-Analyse entschieden werden<br />
� I. d. R. existieren eine Reihe anderer, wirksamer, aber weniger<br />
kostenintensiver Maßnahmen<br />
© GmbH <strong>2012</strong> S. 23, 09.02.<strong>2012</strong>
Vielen Dank für Ihre Aufmerksamkeit<br />
© GmbH <strong>2012</strong> S. 24, 09.02.<strong>2012</strong><br />
Dr. Detlef Zimmer<br />
Diplom-Informatiker<br />
CISM, CISA, CISSP,<br />
zertifizierter SAP NetWeaver Security Consultant,<br />
lizenzierter ISO 27001 Auditteamleiter auf Basis von <strong>IT</strong>-Grundschutz,<br />
akkreditierter Qualitätssicherungsprüfer der <strong>IT</strong>-Revision<br />
Simrockstr. 4<br />
53113 Bonn<br />
Telefon: +49 (228) 4495 7344<br />
Telefax: +49 (228) 4495 7555<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH<br />
E-Mail:<br />
Detlef.ZImmer@SIZ.de<br />
Internet:<br />
http://www.siz.de<br />
INFORMATIKZENTRUM<br />
DER SPARKASSEN-<br />
ORGANISATION GMBH