Download pptx - Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

IT-Compliance

Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und

kostengünstiger bewältigen

Alexander W. KöhlerDiplom-Mathematiker

Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK)

8. IIR-Bankenkongress, 19.-20.3.2013, Wien


Agenda

• Zeit: 30 Minuten

• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen

• Gegebenheiten: Finanzen, Technik, Nutzer

• Vorgehensweise, Optionen

• Problemlösung

• Vergleichende Kennzahlen

• Security-by-Design, Trust-by-Design, Compliance-by-Design, Privacy-by-Design

• Fallbeispiel 1: PCI DSS

• Fallbeispiel 2: Daten auf Mobilen Endgeräten

• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)

• Sichere Infrastrukturen (SecaaS; Soziale Netze)

• Wave Systems, das Unternehmen

• Konsequenzen und Zusammenfassung

2


Die Ausgangslage 2013

Informationssicherheit

• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu

• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl steigt– Vernetzung wächst weiter

• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense)

• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend („Consumerization“, ByoD)

• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften– Bankenintern (Richtlinien, Eigenverantwortung)

3

Maginot-Linie


Die Ausgangslage 2013 - Motivationen

Das “Warum” und die Antworten• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:

Es lohnt sich

• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl nimmt zu: Die Benutzer/innen wollen es so– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen

• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense): Trend: Mobilität

• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend: Die Benutzer/innen wollen es so

• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns

4



Gegebenheiten

• Hoher Schutz = hohe Kosten

• Hoher Schutz = hohe Investitionssicherheit

• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers

• Hoher Schutz = hoher Administrationsaufwand

• Aufwändigere Kontrollmechanismen = bessere Regelkonformität– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,

mehr Appliances, etc.

5

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10



Von der “Gegebenheit” zum Ideal

6

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10


Vorgehensweise

Optionen

• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch– Verlangt nach weiteren, inkrementellen Verbesserungen– usw., usw., …– Keine Änderungen an den Randbedingungen (IT-Umfeld)

7

• Änderungen der Randbedingungen– Architektur

– Trusted Computing (Trusted Computing Group)– “Security-by-Design”


Problemlösung

8

• Änderungen der Randbedingungen– Architektur

– Trusted Computing (Trusted Computing Group)– “Security-by-Design”

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

aus ... wird:


Problemlösung, messbar mit “Vergleichenden Kennzahlen”

9

• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu bewerten:

• RoSI: Return on Security Investment

• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)

• RoCI: Return on (Security Controls) for Compliance Investment

Das RoCI ist hier ↑ deutlich geringer als …. hier ↑

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10


1Security by Design

Security by Design


1Security by Design

OPEN INDUSTRY STANDARDS

Trusted Platform Module(TPM)

(SSD) Self Encrypting Drive (SED)

OPAL

&

FIPS

Security by Design

Trusted Software Stack (TSS)

Trusted Network Connect (TNC)


2Trust by Design

Single Sign-on

VPN

etc

NAC

Trusted PlatformModule (TPM))

Self EncryptingDrive (SED)

1Security by Design



Self Encrypting Drive (SED)

OPAL

&

FIPS

Trust by Design

600,000,000 TPMs


600,000,000 TPMs

Encryption

3Compliance by

Design

Audit & Compliance

Inspector DataLoss Prevention

Protector RemovableMedia, Port Control,

Wi-Fi, Bridging

2Trust by Design

Single Sign-on

VPN

etc

NAC

Trusted PlatformModule (TPM)

Self EncryptingDrive (SED)

1Security by Design




OPAL

&

FIPS

Privacy by Design


600,000,000 TPMs

4Privacy by Design

SW Encryption

3Compliance by

Design

Proof of Compliance

Inspector DataLoss Prevention

Protector RemovableMedia, Port Control,

Wi-Fi, Bridging

2Trust by Design

Direct AccessSeamless Integration

Next generation VPN

Virtual Smart Card

Key Storage Provider

Pre-Boot Authentication

Single Sign On / Windows password sync

1Security by Design




OPAL

&

FIPS

User Plug-inFree for life

EnterpriseGroup Management

DLPReporting

File Encryption

PKI Key Management

Privacy by Design – Files-in-cloud, Data & Social Media Security

BIOS Integrity

Token integration

NAC

Zero touch

Audit, Reporting& Compliance

MS Bitlocker mngt

MS XP-Win 7-8OS support


Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität

PCI DSS

Wave Systems Protection Suite • Daten klassifizieren, lokalisieren

• Datenfluss kontrollieren– Verbindungen: LAN, WiFi, G3/LTE; USB, BT– Inhalte: Dateien, eMails, Web, FTP– Geräte: Flash Drives, Externe HDDs,

Smartphones, Kameras, Drucker, Brenner

• Automatisierte Verschlüsselung

• Berichtswesen zur Bewertung von Regelkonformität

• Granulare Kontrolle

• Richtlinienbasiert

15


PCI DSS und Wave Systems Protection Suite

16

Für PCI DSS relevante Schutzmechanismen

• Verhindert “Network Bridging”

• Zugelassene/nicht zugelassene WiFi-Verbindungen

• Zugelassene/nicht zugelassene, angeschlossene Geräte

• Initialeinstellungen auf abgeschaltete Ports

• Lokalisieren von zu schützenden Daten auf dem Endgerät

• Folgeaktionen aus Analyse: automatische Verschlüsselung der Lokalität

• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen Medien

• “Tagged CDs/DVD”

• Erzwingt Verschlüsselung des Datentransfers

• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern


PCI DSS und Protection Suite

17


PCI DSS und Protection Suite

18


Regelkonformität: Daten auf Mobilen Endgeräten

Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG

– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)

– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein

19

–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:

– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU


Regelkonformität: Daten auf Mobilen Endgeräten

Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG

– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)

– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein

20

–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:

– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10


Festplattenvollverschlüsselung, Fortschritt für die Anwender

21

Festplattenvollverschlüsselung, neue Methode*– Vorteile:

– Industriestandard TCG, Opal– Deutliche Kostenreduktion

– Komplexität und Aufwand Produkt– Wegfall von Kostenblöcken (Verwertung)– Prozesse von Stunden auf Sekunden verkürzt

– Schutz nur mit hohem Aufwand umgehbar– Keine Beeinträchtigung der Arbeitsumgebung– Reduzierter Administrationsaufwand– Regelkonformität durch Design gegeben– Beweisbarkeit vollautomatisiert sichergestellt

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)


Festplattenvollverschlüsselung mit SEDs

22

Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz


AdminAufw (neg.)

Regelkonform

0

5

10

aus... wird:


Regelkonformität: Daten auf Endgeräten

– Security-by-Design:» TPM (Trusted Platform Module) : “power-on”-Schutz» “Root of Trust”: Absolute Notwendigkeit zum

effizienten Schutz von Mobilen Endgeräten» Die perfekte Waffe gegen APTs » Kontrolle über die Integrität

der Plattform (“Trust-by-Design”)» Virtuelle Smartcard macht physikalische

Smartcard überflüssig» Auf über 600 Millionen Plattformen ohne

Zusatzkosten bereits verfügbar !!!» Die Infrastruktur:

» Die Infrastruktur

23

Auguste KerckhoffsNuth, Niederlande, 1835-1903Daten auf PCs, Tablets etc.

• Informationssicherheits-Prinzip– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit

nur von der Geheimhaltung des Schlüssels abhängen”


Regelkonformität: Daten auf Endgeräten

24

Daten auf Tablets und anderen Plattformen• Mit moderner Authentifizierung den Benutzerkomfort eines

Smartphones und Sicherheit eines Enterprise-PCs vereinen– SSO; Hardware gesichert, keine Kennwörter mehr nötig

• Mehr denn je die Notwendigkeit für– Security-by-Design– Trusted Computing– Compliance-by-Design– Mobile Infrastruktur: Die Komplettlösung von Wave Systems


Sichere Infrastrukturen ohne “Lost in Complexity”

25

Cloud Computing• Bereitstellung von Managed Services (SecaaS)

– Vollständige zentrale Kontrolle ohne eigene Installation

• Kontrollierte und sichere Nutzung von Public Cloud Plattformen (Storage-aaS, Soziale Netze)– Dropbox– Facebook usw.– www.scrambls.com

http://www.scrambls.com/


Konsequenzen und Zusammenfassung

• Die neuen Anforderungen an die IT und TK (Cloud, ByoD (Gerätevielfalt), SOA, Outsourcing) können mit Trusted Computingund Security-by-Design bewältigt werden

• Bisher gültige Sachzwänge werden reduziertbis aufgelöst

• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit muss bereits in “P” einfliessen um die Vorteile nutzen zu können

• Vergleichende Kennzahlen machen Investitionen messbar

26


Wave Systems – führend in Mobilen Infrastrukturen

27

Gegründet 1988, Zentrale in Lee (Massachusetts)• Portfolio: Mobile Infrastrukturen

• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit

• Weltweit die meisten Installationen und die größten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000 Clients

• In der Industrie bekanntes Expertenteam• Dr. Thibadeau, der Erfinder der SEDs

• Brian Berger, Exec VP und permanenter Direktor im Board von TCG

• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP

• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers

• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA, Autor bei “Platform Information Security” und “All-About-Security”

• Alexander Koehler, Certified Information Systems Security Professional, zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)

• … und weitere Kollegen in den jeweiligen Spezialgebieten


Wir danken für Ihre Aufmerksamkeit.

Wir stehen für Sie zur Verfügung:

28

• Kontakt Österreich:

• Erich Kronfuss Geschäftsstellenleiter ProSoft Software Vertriebs GmbH - Office AustriaJeneweingasse 6 | A-1210 Wien

• +43 1 27 27 27 -100

• [email protected]

• Kontakt Wave Systems:

• Alexander W. Koehler

• Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt

• [email protected]

• Tel. +49 69 95932393

mailto:[email protected]

mailto:[email protected]