Informationssicherheit im Rechenzentrum

wir zertifizieren, auditieren, optimieren und schulen

 

Die ISRZ GmbH beschäftigt sich mit
Managementsystemen für Informationssicherheit (ISMS), mit speziellem Aufgenmerk auf Risiko-, Notfall-, Kontinuitäts- und Energie-Management.

 

Ihre Arbeitsfelder sind insbesondere Rechenzentrums (RZ-) Infrastrukturen, Netzleitstellen, Clouds, Netze sowie allgemein Produkte und Organisationen, die einer Informationssicherheitsbetrachtung bedürfen.

Ein wichtiges Abreitsfeld ist die empirischen Informationssicherheit,
besser bekannt als Penetrationstests (Pen-Tesing).

 

Was ist denn ein Management-System?

 

Wir stellen oft fest, dass die Antwort auf diese Frage selbst Fachleuten schwerfällt. Daher stellen wir hier unsere, aus diversen Definitionen herausdestillierte Antwort vor, die gleich auch noch ein Licht auf unsere generelle Vorgehensweise wirft - wir beleuchten stets jeden der folgenden Aspekte genau.

 

Ein Verfahren zur

Ziel-Erreichung
mittels einer
Politik bzw. Strategie
die vorhandene
Elemente
(verbunden, abgestimmt, zusammenhängend, sich beeinflussend)
verknüpft, und zwar durch
Prozesse

 

Moderne Management-Systeme haben immer einen Rückkopplungsprozess aka ständiger Verbesserungsprozess,
den PDCA-Cycle (Plan-Do-Check-Act)

 

Wie arbeiten wir?

 

Wir arbeiten stets eng an Standards und Normen, bei ISMS
ganz besonders nach ISO 27001 (ganz korrekt: DIN EN ISO/IEC 27001:2017-06).

Allerdings sind je nach Einsatzzwecks auch andere Normen sinnvoll Common Criteria (CC; bei Produktzertifizierungen) oder Standards wie ITIL (beim IT-Service-Management).

Im Bereich des Pentesting orientieren wir uns unter anderm an den OSSTMM.

 

Was ist denn Informationssicherheit?

 

Fachleuten wird diese Frage befremdlich erscheinen, aber man sollte sich nie zu schade sein es allen IT-Nutzern, mithin allen Internet-Nutzern, diesen Hinweis immer zu wiederholen.

 

Die Kernziele der Informationssicherheit sind die Aufrechterhaltung von…
  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität
…von Informationen.
Nebenziele können sein
  • Nichtabstreitbarkeit
  • Nicht-Verteilung
  • Authentizität
  • Zuverlässigkeit
  • Zurechenbarkeit

 

Diese Liste findet sich so auch in ISO 27000, Kap. 2.33

 

Der Begriff „Informationssicherheit“ wird oft im Kontext mit einer Unternehmenssicht verwendet, betrachtet also alle Informationen, die in einer Organisation gespeichert, verarbeitet und übertragen werden.

 

Der Begriff „Datensicherheit“ hat meist einen Bezug zu personenbezogene Daten, insbesondere Kundendaten.

 

Projektbeispiele

 

Die Vielfalt der Aspekte und Einblicke ist das, was unsere Projekte so faszinierend macht.
Keine zwei Aufgaben gleichen sich in Umfang, Branche, Zielsetzung und Schwerpunkt.
Hier eine kleine Auswahl bereits erfolgreich abgeschlossener Projekte:

 

  • Rechenzentrums-Zertifizierung nach TÜV (analog Tier 3, Grosskonzern)
  • ISMS-Einführung (u.a. Stadtwerke, mittelgroße Stadt)
  • ISMS-Einführung (mittelständischer Software-Hersteller)
  • Penetrationstest (mittelständischer Energieversorger, white-box)
  • Cloud-Sicherheitsberatung (Energieversorger, Fokus Erweiterung IT-Service-Angebot)

 

Penetrationstest

 
Diese „empirische Informationssicherheit“ orientiert sich am Grundsatz „finde die schwächsten Glieder in der Kette“ und versucht daher nach Möglichkeit, den Prüfbereich (Scope) mit den Augen eines Angreifers zu betrachten. Das führt dazu, dass sehr verschiedene Aspekte in die Prüfung Eingang finden.
 
Die sorgfältige Definition des Scope und der Untersuchungsmethoden (Black-Boxing/White-Boxing) ist stets der erste Schritt.
 
Das Standard-Spektrum der Prüfungen umfasst die folgenden Bereiche:
  • Netzwerkdienste, Funknetzwerke
  • Firewall Konfigurationstest
  • Test der Protokollprüfung (stateful inspection)
  • Firewall-Umgehung
  • Einbruchserkennung (IDS/IPS)
  • Angriffe auf Namensauflösung (DNS) wie unerlaubter Zonenübertritt (zone transfer)
 
Dabei werden unter anderem folgende Softwareprodukte geprüft:
  • Konsole: Secure Shell (SSH);
  • Datenbanken: MS SQL Server, MySQL;
  • Dateitransfer: Simple Mail Transfer Protocol (SMTP) File Transfer Protocol (FTP);
  • Web Applikationen
  • Clients (Arbeitsplatz- und Mobilgeräte)
  • Social Engineering
 
Remote Test: Anrufe, E-Mails um Mitarbeiter der zu prüfenden Organisation zu täuschen und sich vertrauliche Informationen, idealerweise Zugangsdaten zu verschaffen (zu Netzwerken und Systemen).
 
Physischer Test: Persönlicher Einsatz der Tester z.B. um Abfall zu durchsuchen, falsche Identitäten vorzutäuschen.
 
Aus rechtlichen und ethischen Gründen wenden wir nicht an: Bedrohung von Mitarbeitern oder Versuche zur Bestechung.
 
In einer abschließenden Beurteilung werden die Anforderungen und die Beobachtungen (Feststellungen) gegenübergestellt.
Daraus werden Verbesserungspotentiale abgeleitet, die in Form von Maßnahmen in den normalen ISMS-Betrieb überführt werden können.
Diese Dokumentation ist das sichtbare Ergebnis des Prozesses und beginnt mit einer Übersicht („Management Summary“) über die Ergebnisse.
 
Weiterhin enthält sie folgende Bestandteile:
  • Ausgangslage (Identifizierung):
  • Angabe der Prüfziele, des Umfangs und der relevanten Vorgaben.
  • Auftraggeber, Ansprechpartner, Termine und Orte.
 
Organisatorische und Technische Prüfung (Analyse):
  • Feststellungen mit den zugehörigen Nachweisen.
 
Bewertung:
  • Angaben darüber, in welchem Umfang die Anforderungen erfüllt wurden.
  • Zusammenfassende Auflistung der erkannten Verbesserungspotenziale.
  • Schlussfolgerungen bzw. Maßnahmenempfehlungen.
 
Prüfprotokolle:
  • Die Prüfung wird im Rahmen einer Präsentation vorgestellt und vom Auftraggeber abgenommen.
 
 

 

Druckversion Druckversion | Sitemap
© ISRZ Informationssicherheit GmbH