Seiten

Dienstag, 6. März 2012

Schwachstellenmanagement & Datenschutz

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister nach den Vorgaben des §11 Abs. 2 BDSG Auftragsdatenverarbeitung?

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen (z.B. externes Rechenzentrum) im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.


Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Freitag, 2. März 2012

QualysGuard Teil 1: Verwundbarkeit an allen Ecken

In den nächsten Posts werde ich versuchen, den Sinn einer automatisierten Unterstützung von Prozessen der Informationssicherheit durch Einsatz von QualysGuard herauszuarbeiten.

In Zeiten, in denen Netzwerkgrenzen schwinden, sehen IT-Landschaften ganz anders aus wie früher. Neben Firmen Campus, externem Rechenzentrum, der Agentur für den Webauftritt und Hersteller- und Partnernetzen dominieren heute vor allem Internet und Cloud Services.

Verwundbarkeit lauert heute an allen Ecken:

Beispiel für typische Schwachstellen von extern betriebenen Rechenzentren:
  • Server Betriebssystem nicht auf dem aktuellsten Stand
    • 5 wichtige Security Updates nicht eingespielt
    • 3 weitere Security Updates eingespielt, aber nicht aktiv wegen fehlendem Neustart des Systems
  • Server Betriebssystem nicht hinreichend abgesichert
    • Fehlerhafte Rechteverwaltung auf kritische Dateien
    • Keine Integritätssicherung kritischer Dateien
    • Nicht benötigte Dienste aktiv
    • Applikationen installiert, die nicht benötigt werden
  • Datenbank nicht auf dem aktuellsten Stand
    • Letztes, als kritisch eingestuftes Security Update nicht eingespielt
    • Security Update eingespielt, aber nicht für alle DB-Instanzen aktiv und damit wirksam
  • Datenbank nicht hinreichend gesichert
    • Mehrere Konten mit vollen DBA Rechten, abgesichert mit schwachen Passwörten,die nicht den Sicherheitsrichtlinien entsprechen
  • ... und vieles mehr

Beispiel für typische Schwachstellen in Webauftritten, entwickelt und betrieben von einer externen Agentur:
  • Unternehmens-Webseite verbreitet Schadsoftware
    • Vor Monaten erfolgreich angegriffen, bis heute unbemerkt
    • Versteckter Code eingebaut der Botnet Software auf die Rechner der Besucher installiert (Drive-By Infection)
  • Unternehmens-Webshop aus dem Internet sehr einfach anzugreifen
    • SQL Injection erlaubt Zugriff auf Datenbank mit Kundendaten
    • Cross Site Scripting erlaubt Angriffe auf Rechner der Besucher und Benutzer
    • Denial of Service Attacke verursacht hohen wirtschaftlichen Schaden
    • Als vertraulich klassifizierte Informationen stehen über URLs der Öffentlichkeit zur Verfügung
  • Falscher Einsatz von Verschlüsselungstechnologien
    • Veraltete, unsichere Versionen von SSL werden unterstützt (SSLv2)
    • Kurze Schlüssellängen werden unterstützt (RC4-40, DES-56)
    • Zertifikatskette ist nicht durchgängig verifizierbar
  • Keine klare Netzwerksegmentierung
    • Webauftritte verschiedener Kunden auf denselben Systemen bzw. auf Systemen in denselben Netzen
    • Entwicklungsumgebung nicht klar getrennt von Produktionsumgebung
  • ... und vieles mehr
Zum Schluss ein paar Beispiele für typische Schwachstellen im internen Firmen-Campus:
  • Betriebssystem und Applikationen auf hunderten von Workstations nicht auf aktuellstem Stand
    • Patchmanagement nicht durchgängig implementiert bzw. unvollständig
  • Zentrale Corerouter und Coreswitche anfällig für verschiedene Arten von Angriffen
    • Software seit Jahren nicht aktualisiert, da niemand die Verantwortung dafür übernehmen will
  • Externer Mitarbeiter sorgt für mehrere Stunden Netzstillstand und verursacht hohe Verluste
    • Mit Schadsoftware infiziert, weil keine lokalen Schutzmechanismen auf dem externen Notebook
  • Interner Mitarbeiter verstößt gegen Sicherheitsrichtlinie
    • Privat mitgebrachter WLAN Router öffnet unautorisierten Zugang in interne Netze
    • Andere, nicht autorisierte Systeme, werden ans Firmennetz angeschlossen und erzeugen somit eine Schatten-IT
  • Gezielte Industriespionage
    • (Interner) Angreifer nutzt Schwachstelle auf einem verwundbaren Desktop- oder Serversystem aus
    • Nutzt dieses als Next-Hop um lohnenswerte Systeme anzugreifen, die unternehmenskritische Daten verarbeiten
  • ... und unendlich viel mehr
Mal ehrlich: Kennen Sie Ihr IT-Risiko?

Hier ein paar Fragen, die sich jede Unternehmensführung heute stellen muss:
  • Kennen Sie Ihre IT-Infrastruktur und das damit einhergehende IT-Risiko?
    • Sie haben eine Schatten-IT, auch wenn Sie es nicht glauben
  • Wie können Sie die Einhaltung von Vorgaben aus Richtlinien überprüfen?
    • Von Vorgaben abweichende Systeme müssen automatisiert erkannt werden
    • Wichtig für Aufbau und Betrieb eines Internen Kontroll Systems (IKS)
  • Sind Sie zu anerkannten Standards und Frameworks konform (compliant)?
    • Nachweise werden immer wichtiger für‘s tägliche Geschäft (Audits, Zertifizierungen)
  • Wie können Sie Ihren Patchprozess priorisieren und verifizieren?
    • Schwachstellen mit hohem Risiko müssen schnell geschlossen werden
    • Patchmanagementsysteme sagen oft nicht die Wahrheit
  • Wie können Sie outgesourcete Systemumgebungen überprüfen?
    • Blindes Vertrauen in die Einhaltung von SLAs ist keine Option
  • Was können Sie zur Reduzierung Ihres IT-Risikos unternehmen?
    • IT-Risikomanagement ist zentraler Bestandteil des Unternehmens-Risikomanagements
Sie fragen sich jetzt sicher: Und wie lautet die Lösung?
Die Lösung liegt doch auf der Hand und ist recht einfach: Sie müssen Transparenz schaffen
  • Transparenz durch automatisierte und regelmäßige Schwachstellen- und Richtlinienüberprüfungen über möglichst alle Netze, Systeme und Applikationen
  • Nur Transparenz ermöglicht eine effektive und effiziente Unterstützung Ihrer IT-Sicherheitsprozesse
  • Transparenz ist somit die wichtigste Grundlage eines nachweislich wirksam funktionierenden IT-Risikomanagements
Und um das zu erreichen setzen wir von yourIT bereits seit 2007 auf die umfangreiche Suite integrierter Module der QualysGuard SaaS Security Solution.

Mehr davon in meinem nächsten Post (QualysGuard Teil 2).