of 28 /28
© 2013 Wave Systems Corp. Confidential. All Rights Reserved. IT-Compliance Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und kostengünstiger bewältigen Alexander W. Köhler Diplom-Mathematiker Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK) 8. IIR-Bankenkongress, 19.-20.3.2013, Wien

Regelkonformität durch neue Architekturen

Embed Size (px)

DESCRIPTION

Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt. Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013

Text of Regelkonformität durch neue Architekturen

  • 1. 2013 Wave Systems Corp. Confidential. All Rights Reserved.IT-ComplianceAnforderungen an den Finanzsektor mitneuen Sicherheitstechnologien einfacherund kostengnstiger bewltigenAlexander W. KhlerDiplom-MathematikerCertified Information Systems Security Professional (CISSP)Certified Cloud Security Expert (CCSK)8. IIR-Bankenkongress, 19.-20.3.2013, Wien
  • 2. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Agenda Zeit: 30 Minuten Ausgangslage: Fokus und gemeinsames Verstndnis, Motivationen Gegebenheiten: Finanzen, Technik, Nutzer Vorgehensweise, Optionen Problemlsung Vergleichende Kennzahlen Security-by-Design, Trust-by-Design, Compliance-by-Design,Privacy-by-Design Fallbeispiel 1: PCI DSS Fallbeispiel 2: Daten auf Mobilen Endgerten Fallbeispiel 3: Daten auf weiteren Endgerten (Tablets) Sichere Infrastrukturen (SecaaS; Soziale Netze) Wave Systems, das Unternehmen Konsequenzen und Zusammenfassung2
  • 3. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013Informationssicherheit Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu Mgliche Angriffsziele: Wolke, Server, Clients, Endgerte jeglicher Art Anzahl steigt Vernetzung wchst weiter Endgerte befinden sich berwiegendauerhalb des Firewall-Perimeters(Maginot-Linie, Perimeter Defense) Die Grenze zwischen privaten und geschftlichgenutzten Endgerten verwischt zunehmend(Consumerization, ByoD) Die Anforderungen an Regelkonformitt steigen in Umfang und Qualitt Gesetze und Vorschriften Bankenintern (Richtlinien, Eigenverantwortung)3Maginot-Linie
  • 4. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013 - MotivationenDas Warum und die Antworten Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:Es lohnt sich Mgliche Angriffsziele: Wolke, Server, Clients, Endgerte jeglicher Art Anzahl nimmt zu: Die Benutzer/innen wollen es so Vernetzung wchst weiter: Technologie bereit -> Medienbrche abbauen Endgerte befinden sich berwiegend auerhalb des Firewall-Perimeters(Maginot-Linie, Perimeter Defense): Trend: Mobilitt Die Grenze zwischen privaten und geschftlich genutzten Endgertenverwischt zunehmend: Die Benutzer/innen wollen es so Die Anforderungen an Regelkonformitt steigen in Umfang und Qualitt Gesetze und Vorschriften Vorflle > Die Politik muss reagieren Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns4
  • 5. 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitGegebenheiten Hoher Schutz = hohe Kosten Hoher Schutz = hohe Investitionssicherheit Hoher Schutz = Beeintrchtigung der Arbeitsumgebung des Benutzers Hoher Schutz = hoher Administrationsaufwand Aufwndigere Kontrollmechanismen = bessere Regelkonformitt Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk Aufwndiger: mehr SW-Produkte, mehr Lines of Code,mehr Appliances, etc.50246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
  • 6. 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitVon der Gegebenheit zum Ideal60246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
  • 7. 2013 Wave Systems Corp. Confidential. All Rights Reserved.VorgehensweiseOptionen Weitere technische Manahmen (Produkte; Controls) hinzufgen Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch Verlangt nach weiteren, inkrementellen Verbesserungen usw., usw., Keine nderungen an den Randbedingungen (IT-Umfeld)7 nderungen der Randbedingungen Architektur Trusted Computing (Trusted Computing Group) Security-by-Design
  • 8. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlsung8 nderungen der Randbedingungen Architektur Trusted Computing (Trusted Computing Group) Security-by-Design0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonformaus ... wird:
  • 9. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlsung, messbar mit Vergleichenden Kennzahlen9 Andere Methode um den Nutzen von technischen Sicherheitsmanahmen zubewerten: RoSI: Return on Security Investment Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets) RoCI: Return on (Security Controls) for Compliance InvestmentDas RoCI ist hier deutlich geringer als . hier 0510InvestSichKosten(neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform0510InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform
  • 10. 2013 Wave Systems Corp. Confidential. All Rights Reserved.1Security by DesignSecurity by Design
  • 11. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)(SSD) Self Encrypting Drive(SED)OPAL&FIPSSecurity by DesignTrusted Software Stack (TSS)Trusted Network Connect (TNC)
  • 12. 2013 Wave Systems Corp. Confidential. All Rights Reserved.2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM))Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSTrust by Design600,000,000 TPMs
  • 13. 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMsEncryption3Compliance byDesignAudit & ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM)Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSPrivacy by Design
  • 14. 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMs4Privacy by DesignSW Encryption3Compliance byDesignProof of ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignDirect AccessSeamless IntegrationNext generation VPNVirtual Smart CardKey Storage ProviderPre-Boot AuthenticationSingle Sign On /Windows password syncSecurity by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSUser Plug-inFree for lifeEnterpriseGroup ManagementDLPReportingFile EncryptionPKI Key ManagementPrivacy by Design Files-in-cloud, Data & Social Media SecurityBIOS IntegrityToken integrationNACZero touchAudit, Reporting& ComplianceMS Bitlocker mngtMS XP-Win 7-8OS support
  • 15. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Praxis: Produkt zur Umsetzung von PCI DSS RegelkonformittPCI DSSWave Systems Protection Suite Daten klassifizieren, lokalisieren Datenfluss kontrollieren Verbindungen: LAN, WiFi, G3/LTE; USB, BT Inhalte: Dateien, eMails, Web, FTP Gerte: Flash Drives, Externe HDDs,Smartphones, Kameras, Drucker, Brenner Automatisierte Verschlsselung Berichtswesen zur Bewertung von Regelkonformitt Granulare Kontrolle Richtlinienbasiert15
  • 16. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Wave Systems Protection Suite16Fr PCI DSS relevante Schutzmechanismen Verhindert Network Bridging Zugelassene/nicht zugelassene WiFi-Verbindungen Zugelassene/nicht zugelassene, angeschlossene Gerte Initialeinstellungen auf abgeschaltete Ports Lokalisieren von zu schtzenden Daten auf dem Endgert Folgeaktionen aus Analyse: automatische Verschlsselungder Lokalitt Verhindert Extrahieren von schtzenswerten Daten mittels beweglichenMedien Tagged CDs/DVD Erzwingt Verschlsselung des Datentransfers Erkennen, Blockierung von Ausfhrbarem Code auf Wechseldatentrgern
  • 17. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite17
  • 18. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite18
  • 19. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformitt: Daten auf Mobilen EndgertenDaten auf Notebooks, Tablets, etc. Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG Empfehlung zur Umsetzung durch BSI, Bonn Verschlsselung (power-off Schutz) TPM (power-on Schutz) Hinweis: Daten schliesst Berechtigungsnachweise (Credentials) mit ein19 Anerkannte Methode power-off Schutz: Festplattenvollverschlsselung* Vorteile: bekannt Nachteile: Alle Produkte im Markt: proprietre Lsungen Hohe Kosten ber den Lebenszyklus Mit mittlerem Aufwand umgehbarer Schutz Starke Beeintrchtigung der Arbeitsumgebung (Leistungseinbussen) Hoher Administrationsaufwand Hoher Aufwand (manuell) um Regelkonformitt sicherzustellen Beweisfhrung im Schadensfall teuer / unmglich* = Festplattenvollverschlsselung mit Ver- und Entschlsselung des Datenstroms durch die CPU
  • 20. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformitt: Daten auf Mobilen EndgertenDaten auf Notebooks, Tablets, etc. Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG Empfehlung zur Umsetzung durch BSI, Bonn Verschlsselung (power-off Schutz) TPM (power-on Schutz) Hinweis: Daten schliesst Berechtigungsnachweise (Credentials) mit ein20 Anerkannte Methode power-off Schutz: Festplattenvollverschlsselung* Vorteile: bekannt Nachteile: Alle Produkte im Markt: proprietre Lsungen Hohe Kosten ber den Lebenszyklus Mit mittlerem Aufwand umgehbarer Schutz Starke Beeintrchtigung der Arbeitsumgebung (Leistungseinbussen) Hoher Administrationsaufwand Hoher Aufwand (manuell) um Regelkonformitt sicherzustellen Beweisfhrung im Schadensfall teuer / unmglich* = Festplattenvollverschlsselung mit Ver- und Entschlsselung des Datenstroms durch die CPU0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw (neg.)Regelkonform
  • 21. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlsselung, Fortschritt fr die Anwender21Festplattenvollverschlsselung, neue Methode* Vorteile: Industriestandard TCG, Opal Deutliche Kostenreduktion Komplexitt und Aufwand Produkt Wegfall von Kostenblcken (Verwertung) Prozesse von Stunden auf Sekunden verkrzt Schutz nur mit hohem Aufwand umgehbar Keine Beeintrchtigung der Arbeitsumgebung Reduzierter Administrationsaufwand Regelkonformitt durch Design gegeben Beweisbarkeit vollautomatisiert sichergestellt* = Festplattenvollverschlsselung mit Ver- und Entschlsselung desDatenstroms durch Self Encrypting Drives (SEDs)
  • 22. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Festplattenvollverschlsselung mit SEDs22Festplattenvollverschlsselung mit Ver- undEntschlsselung des Datenstromsdurch Self Encrypting Drives (SEDs)0510InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonform 0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw (neg.)Regelkonformaus... wird:
  • 23. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformitt: Daten auf Endgerten Security-by-Design: TPM (Trusted Platform Module) : power-on-Schutz Root of Trust: Absolute Notwendigkeit zumeffizienten Schutz von Mobilen Endgerten Die perfekte Waffe gegen APTs Kontrolle ber die Integrittder Plattform (Trust-by-Design) Virtuelle Smartcard macht physikalischeSmartcard berflssig Auf ber 600 Millionen Plattformen ohneZusatzkosten bereits verfgbar !!! Die Infrastruktur: Die Infrastruktur23Auguste KerckhoffsNuth, Niederlande,1835-1903Daten auf PCs, Tablets etc. Informationssicherheits-Prinzip Das Kerchkhoffs-Prinzip: Einfach ausgedrckt darf die Sicherheitnur von der Geheimhaltung des Schlssels abhngen
  • 24. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformitt: Daten auf Endgerten24Daten auf Tablets und anderen Plattformen Mit moderner Authentifizierung den Benutzerkomfort einesSmartphones und Sicherheit eines Enterprise-PCs vereinen SSO; Hardware gesichert, keine Kennwrter mehr ntig Mehr denn je die Notwendigkeit fr Security-by-Design Trusted Computing Compliance-by-Design Mobile Infrastruktur: Die Komplettlsung von Wave Systems
  • 25. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Sichere Infrastrukturen ohne Lost in Complexity25Cloud Computing Bereitstellung von Managed Services (SecaaS) Vollstndige zentrale Kontrolle ohne eigene Installation Kontrollierte und sichere Nutzung von Public Cloud Plattformen(Storage-aaS, Soziale Netze) Dropbox Facebook usw. www.scrambls.com
  • 26. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Konsequenzen und Zusammenfassung Die neuen Anforderungen an die IT undTK (Cloud, ByoD (Gertevielfalt), SOA,Outsourcing) knnen mit Trusted Computingund Security-by-Design bewltigt werden Bisher gltige Sachzwnge werden reduziertbis aufgelst Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheitmuss bereits in P einfliessen um die Vorteile nutzen zu knnen Vergleichende Kennzahlen machen Investitionen messbar26
  • 27. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wave Systems fhrend in Mobilen Infrastrukturen27Gegrndet 1988, Zentrale in Lee (Massachusetts) Portfolio: Mobile Infrastrukturen Weltmarktfhrer in Hardware basierter Endgerte-Sicherheit Weltweit die meisten Installationen und die grten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000Clients In der Industrie bekanntes Expertenteam Dr. Thibadeau, der Erfinder der SEDs Brian Berger, Exec VP und permanenter Direktor im Board von TCG Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA,Autor bei Platform Information Security und All-About-Security Alexander Koehler, Certified Information Systems Security Professional,zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor undVortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec) und weitere Kollegen in den jeweiligen Spezialgebieten
  • 28. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Wir danken fr Ihre Aufmerksamkeit.Wir stehen fr Sie zur Verfgung:28 Kontakt sterreich: Erich KronfussGeschftsstellenleiterProSoft Software Vertriebs GmbH -Office AustriaJeneweingasse 6 | A-1210 Wien +43 1 27 27 27 -100 [email protected] Kontakt Wave Systems: Alexander W. Koehler Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt [email protected] Tel. +49 69 95932393