regelkonformität durch neue architekturen

28
© 2013 Wave Systems Corp. Confidential. All Rights Reserved. IT-Compliance Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und kostengünstiger bewältigen Alexander W. Köhler Diplom-Mathematiker Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK) 8. IIR-Bankenkongress, 19.-20.3.2013, Wien

Upload: ict-economic-impact

Post on 11-Nov-2014

1.249 views

Category:

Documents


0 download

DESCRIPTION

Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt. Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013

TRANSCRIPT

Page 1: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

IT-Compliance

Anforderungen an den Finanzsektor mit neuen Sicherheitstechnologien einfacher und

kostengünstiger bewältigen

Alexander W. KöhlerDiplom-Mathematiker

Certified Information Systems Security Professional (CISSP) Certified Cloud Security Expert (CCSK)

8. IIR-Bankenkongress, 19.-20.3.2013, Wien

Page 2: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Agenda

• Zeit: 30 Minuten

• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen

• Gegebenheiten: Finanzen, Technik, Nutzer

• Vorgehensweise, Optionen

• Problemlösung

• Vergleichende Kennzahlen

• Security-by-Design, Trust-by-Design, Compliance-by-Design, Privacy-by-Design

• Fallbeispiel 1: PCI DSS

• Fallbeispiel 2: Daten auf Mobilen Endgeräten

• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)

• Sichere Infrastrukturen (SecaaS; Soziale Netze)

• Wave Systems, das Unternehmen

• Konsequenzen und Zusammenfassung

2

Page 3: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Die Ausgangslage 2013

Informationssicherheit

• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu

• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl steigt– Vernetzung wächst weiter

• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense)

• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend („Consumerization“, ByoD)

• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften– Bankenintern (Richtlinien, Eigenverantwortung)

3

Maginot-Linie

Page 4: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Die Ausgangslage 2013 - Motivationen

Das “Warum” und die Antworten• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:

Es lohnt sich

• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art– Anzahl nimmt zu: Die Benutzer/innen wollen es so– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen

• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters („Maginot-Linie“, Perimeter Defense): Trend: Mobilität

• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten verwischt zunehmend: Die Benutzer/innen wollen es so

• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns

4

Page 5: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Informationssicherheit

Gegebenheiten

• Hoher Schutz = hohe Kosten

• Hoher Schutz = hohe Investitionssicherheit

• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers

• Hoher Schutz = hoher Administrationsaufwand

• Aufwändigere Kontrollmechanismen = bessere Regelkonformität– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,

mehr Appliances, etc.

5

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

Page 6: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Informationssicherheit

Von der “Gegebenheit” zum Ideal

6

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

Page 7: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Vorgehensweise

Optionen

• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch– Verlangt nach weiteren, inkrementellen Verbesserungen– usw., usw., …– Keine Änderungen an den Randbedingungen (IT-Umfeld)

7

• Änderungen der Randbedingungen– Architektur

– Trusted Computing (Trusted Computing Group)– “Security-by-Design”

Page 8: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Problemlösung

8

• Änderungen der Randbedingungen– Architektur

– Trusted Computing (Trusted Computing Group)– “Security-by-Design”

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

aus ... wird:

Page 9: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Problemlösung, messbar mit “Vergleichenden Kennzahlen”

9

• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu bewerten:

• RoSI: Return on Security Investment

• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)

• RoCI: Return on (Security Controls) for Compliance Investment

Das RoCI ist hier ↑ deutlich geringer als …. hier ↑

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

Page 10: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

1Security by Design

Security by Design

Page 11: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

1Security by Design

OPEN INDUSTRY STANDARDS

Trusted Platform Module(TPM)

(SSD) Self Encrypting Drive (SED)

OPAL

&

FIPS

Security by Design

Trusted Software Stack (TSS)

Trusted Network Connect (TNC)

Page 12: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

2Trust by Design

Single Sign-on

VPN

etc

NAC

Trusted PlatformModule (TPM))

Self EncryptingDrive (SED)

1Security by Design

OPEN INDUSTRY STANDARDS

Trusted Platform Module(TPM)

Self Encrypting Drive (SED)

OPAL

&

FIPS

Trust by Design

600,000,000 TPMs

Page 13: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

600,000,000 TPMs

Encryption

3Compliance by

Design

Audit & Compliance

Inspector DataLoss Prevention

Protector RemovableMedia, Port Control,

Wi-Fi, Bridging

2Trust by Design

Single Sign-on

VPN

etc

NAC

Trusted PlatformModule (TPM)

Self EncryptingDrive (SED)

1Security by Design

OPEN INDUSTRY STANDARDS

Trusted Platform Module(TPM)

Self Encrypting Drive (SED)

OPAL

&

FIPS

Privacy by Design

Page 14: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

600,000,000 TPMs

4Privacy by Design

SW Encryption

3Compliance by

Design

Proof of Compliance

Inspector DataLoss Prevention

Protector RemovableMedia, Port Control,

Wi-Fi, Bridging

2Trust by Design

Direct AccessSeamless Integration

Next generation VPN

Virtual Smart Card

Key Storage Provider

Pre-Boot Authentication

Single Sign On / Windows password sync

1Security by Design

OPEN INDUSTRY STANDARDS

Trusted Platform Module(TPM)

Self Encrypting Drive (SED)

OPAL

&

FIPS

User Plug-inFree for life

EnterpriseGroup Management

DLPReporting

File Encryption

PKI Key Management

Privacy by Design – Files-in-cloud, Data & Social Media Security

BIOS Integrity

Token integration

NAC

Zero touch

Audit, Reporting& Compliance

MS Bitlocker mngt

MS XP-Win 7-8OS support

Page 15: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität

PCI DSS

Wave Systems Protection Suite • Daten klassifizieren, lokalisieren

• Datenfluss kontrollieren– Verbindungen: LAN, WiFi, G3/LTE; USB, BT– Inhalte: Dateien, eMails, Web, FTP– Geräte: Flash Drives, Externe HDDs,

Smartphones, Kameras, Drucker, Brenner

• Automatisierte Verschlüsselung

• Berichtswesen zur Bewertung von Regelkonformität

• Granulare Kontrolle

• Richtlinienbasiert

15

Page 16: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

PCI DSS und Wave Systems Protection Suite

16

Für PCI DSS relevante Schutzmechanismen

• Verhindert “Network Bridging”

• Zugelassene/nicht zugelassene WiFi-Verbindungen

• Zugelassene/nicht zugelassene, angeschlossene Geräte

• Initialeinstellungen auf abgeschaltete Ports

• Lokalisieren von zu schützenden Daten auf dem Endgerät

• Folgeaktionen aus Analyse: automatische Verschlüsselung der Lokalität

• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen Medien

• “Tagged CDs/DVD”

• Erzwingt Verschlüsselung des Datentransfers

• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern

Page 17: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

PCI DSS und Protection Suite

17

Page 18: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

PCI DSS und Protection Suite

18

Page 19: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Regelkonformität: Daten auf Mobilen Endgeräten

Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG

– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)

– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein

19

–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:

– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU

Page 20: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Regelkonformität: Daten auf Mobilen Endgeräten

Daten auf Notebooks, Tablets, etc.• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG

– Empfehlung zur Umsetzung durch BSI, Bonn» Verschlüsselung (“power-off” Schutz)» TPM (“power-on” Schutz)

– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein

20

–Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*– Vorteile: bekannt– Nachteile:

– Alle Produkte im Markt: proprietäre Lösungen– Hohe Kosten über den Lebenszyklus– Mit mittlerem Aufwand umgehbarer Schutz– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)– Hoher Administrationsaufwand– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen– Beweisführung im Schadensfall teuer / unmöglich

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

Page 21: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Festplattenvollverschlüsselung, Fortschritt für die Anwender

21

Festplattenvollverschlüsselung, neue Methode*– Vorteile:

– Industriestandard TCG, Opal– Deutliche Kostenreduktion

– Komplexität und Aufwand Produkt– Wegfall von Kostenblöcken (Verwertung)– Prozesse von Stunden auf Sekunden verkürzt

– Schutz nur mit hohem Aufwand umgehbar– Keine Beeinträchtigung der Arbeitsumgebung– Reduzierter Administrationsaufwand– Regelkonformität durch Design gegeben– Beweisbarkeit vollautomatisiert sichergestellt

* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)

Page 22: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Festplattenvollverschlüsselung mit SEDs

22

Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch Self Encrypting Drives (SEDs)

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

InvestSich

Kosten (neg.)

Schutz

ArbeitsUmgBeein (neg.)

AdminAufw (neg.)

Regelkonform

0

5

10

aus... wird:

Page 23: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Regelkonformität: Daten auf Endgeräten

– Security-by-Design:» TPM (Trusted Platform Module) : “power-on”-Schutz» “Root of Trust”: Absolute Notwendigkeit zum

effizienten Schutz von Mobilen Endgeräten» Die perfekte Waffe gegen APTs » Kontrolle über die Integrität

der Plattform (“Trust-by-Design”)» Virtuelle Smartcard macht physikalische

Smartcard überflüssig» Auf über 600 Millionen Plattformen ohne

Zusatzkosten bereits verfügbar !!!» Die Infrastruktur:

» Die Infrastruktur

23

Auguste KerckhoffsNuth, Niederlande, 1835-1903Daten auf PCs, Tablets etc.

• Informationssicherheits-Prinzip– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit

nur von der Geheimhaltung des Schlüssels abhängen”

Page 24: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Regelkonformität: Daten auf Endgeräten

24

Daten auf Tablets und anderen Plattformen• Mit moderner Authentifizierung den Benutzerkomfort eines

Smartphones und Sicherheit eines Enterprise-PCs vereinen– SSO; Hardware gesichert, keine Kennwörter mehr nötig

• Mehr denn je die Notwendigkeit für– Security-by-Design– Trusted Computing– Compliance-by-Design– Mobile Infrastruktur: Die Komplettlösung von Wave Systems

Page 25: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Sichere Infrastrukturen ohne “Lost in Complexity”

25

Cloud Computing• Bereitstellung von Managed Services (SecaaS)

– Vollständige zentrale Kontrolle ohne eigene Installation

• Kontrollierte und sichere Nutzung von Public Cloud Plattformen (Storage-aaS, Soziale Netze)– Dropbox– Facebook usw.– www.scrambls.com

Page 26: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Konsequenzen und Zusammenfassung

• Die neuen Anforderungen an die IT und TK (Cloud, ByoD (Gerätevielfalt), SOA, Outsourcing) können mit Trusted Computingund Security-by-Design bewältigt werden

• Bisher gültige Sachzwänge werden reduziertbis aufgelöst

• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit muss bereits in “P” einfliessen um die Vorteile nutzen zu können

• Vergleichende Kennzahlen machen Investitionen messbar

26

Page 27: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

 Wave Systems – führend in Mobilen Infrastrukturen

27

Gegründet 1988, Zentrale in Lee (Massachusetts)• Portfolio: Mobile Infrastrukturen

• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit

• Weltweit die meisten Installationen und die größten:BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000 Clients

• In der Industrie bekanntes Expertenteam• Dr. Thibadeau, der Erfinder der SEDs

• Brian Berger, Exec VP und permanenter Direktor im Board von TCG

• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP

• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers

• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA, Autor bei “Platform Information Security” und “All-About-Security”

• Alexander Koehler, Certified Information Systems Security Professional, zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)

• … und weitere Kollegen in den jeweiligen Spezialgebieten

Page 28: Regelkonformität durch neue Architekturen

© 2013 Wave Systems Corp. Confidential. All Rights Reserved.

Wir danken für Ihre Aufmerksamkeit.

Wir stehen für Sie zur Verfügung:

28

• Kontakt Österreich:

• Erich Kronfuss Geschäftsstellenleiter ProSoft Software Vertriebs GmbH - Office AustriaJeneweingasse 6 | A-1210 Wien

• +43 1 27 27 27 -100

[email protected]

• Kontakt Wave Systems:

• Alexander W. Koehler

• Excellent Business CenterWesthafenplatz 1D-60327 Frankfurt

[email protected]

• Tel. +49 69 95932393