Link - SecUSo - Technische Universität Darmstadt
Contents
1. der IT Sicherheit nur nebens chlich thematisiert Er bietet ein Framework zu Aufbau und Analyse eines IT Systems zur Unterst tzung der Unternehmensziele Aktuell liegt Cobit in der Version 4 1 vor an der sich auch dieser Abschnitt orientiert Ziel des Standards ist die effiziente Unterst tzung der Gesch ftsprozesse des Unternehmens durch die IT Andere spezifischere Standards wie ITIL f r Service Management oder das Capability Maturity Model Integrationhttp www sei cmu edu cmmi aufgerufen am 06 10 2010 zur Qualit tsbewertung k nnen integriert und so parallel verwendet werden Die Abbildung 4 6 1 liefert einen berblick ber die Struk tur von Cobit Gesch ftsziele Cobit Informations kriterien Monitor amp SEEI DAMER Acquire amp Support Implement Pis Plan amp Organise Abbildung 4 6 1 berblick ber das Cobit Framework entnommen aus 20 Ein wichtiger Teil des Frameworks ist das Management der durch die IT verarbeiteten Informationen Cobit besitzt sieben Informationskriterien vergleichbar mit den Schutzzielen Neben den Sicherheits eigenschaften Vertraulichkeit Verf gbarkeit und Integrit t z hlen Fffektivit t Effizienz Verl sslichkeit und die Einhaltung der gesetzlichen Richtlinien dazu Die IT wird bei Cobit in vier Klassen aufgeteilt e Anwendungen beinhalten alle automatischen und manuellen Verfahren der Informationsverarbei tung 22 TT Governance2. e Der Blackbox Ansatz simuliert einen Angreifer der keine beziehungsweise nur ffentlich zug ng liche Informationen ber das System besitzt Im Fall von Webshops erkennt der Angreifer beispiels weise anhand des Quelltexts welches Shop System eingesetzt wird Der Penetrationstester recherchiert zun chst im Internet und findet so erste Informationen Zus tzlich setzt er Analyseprogramme wie einem Portscanner ein um m glichst viele Informationen ber das Ziel system zu erfahren im Fall eines Whitebox Tests sind diese m glicherweise schon gegeben Beispiels weise erf hrt er welche Anwendungen in welcher Version auf dem System installiert sind Durch im Internet frei verf gbare Datenbanken kann er nun spezifische Schwachstellen nachlesen und ausnut zen Beim Eindringen in durch Passw rter gesch tzte Bereiche k nnen W rterbuchattacken verwendet werden Dazu werden die W rter aus einem W rterbuch der Reihe nach oder kombiniert als Passwort ausprobiert Ebene Analyseprogramme decken nur technische Aspekte ab und konzentrieren sich auf die Teile der Infra struktur die ber das Netzwerk Internet erreichbar sind Voraussetzungen Die Voraussetzungen sind von Programm zu Programm unterschiedlich meist ist jedoch nur ein Rechner mit einem bestimmten Betriebssystem erforderlich der Zugriff auf das Netzwerk und das zu pr fende Objekt Computer oder Webseite hat Pr fung Die Pr fung findet durch das Programm statt ben tigt
3. eine Ermittlung des aktuel len Sicherheitsniveaus In Phase 1 wird durch kurze Fragen zu den wichtigsten Risiken ein einfaches Risikoprofil ermittelt und die kritischen Unternehmenswerte der Kategorien Systeme Netzwerke Mitarbeiter und Anwendungen ausgew hlt Diesen werden ein oder mehrere Schutzkriterien Vertraulichkeit Verf gbarkeit Integrit t zugewiesen Der Fragebogen erzeugt nun Sicherheitsanforderungen f r die ausgew hlten Unternehmenswerte und organisatorische Anforderungen zu denen jeweils Umsetzungsans tze notiert werden sollen In der letzten Phase wird gepr ft inwiefern die Anforderungen schon umgesetzt sind Ja Nein Teil weise Danach kann jeder Anforderung eine Priorit t Gering Mittel Hoch zugeordnet und eine Ma nahme zur Umsetzung beschrieben werden Zuletzt wird jeder Anforderung und den zugeordneten Ma nahmen ein Verantwortlicher und ein Meilenstein Datum zugewiesen und vermerkt ob externe Hilfe ben tigt wird Abschlie end sind sowohl der Komplettbericht aber auch die vorher erstellten Pl ne als pdf xls Datei aufrufbar sicher im netz de Der Verein Deutschland sicher im Netz e V bietet eine Checkliste f r Unternehmen an Hier wer den allgemeine Sicherheitsma nahmen wie Firewalls regelm iges Updaten der Software sowie die Beschreibung von konkreten Verhaltensweisen etwa beim Empfang einer e mail mit verd chtigem An hang thematisiert Insges
4. Aufwand und Kosten Durch den ganzheitlichen Ansatz dieses Standards wirkt der Aufwand zun chst sehr hoch Jedoch sind in kleineren Unternehmen manche von Cobit beschriebenen Prozesse nicht notwendig beispielsweise der Prozess Manage Third party Services DS2 wenn keine Leistungen von externen Dienstleistern ben tigt werden Die Auswahl der Prozesse erfolgt ber die Gesch ftsziele der Organisation oder die Informationsanforderungen aus den Gesch ftsprozessen S 23 13 Da f r nicht implementierte Pro zesse auch keine Kennzahlen erfasst und ausgewertet m ssen verringert sich der Aufwand Da keine Zertifizierung m glich ist entstehen nur durch die Umsetzung der Ma nahmen Kosten f r das Unter nehmen Der Standard ist kostenfrei erh ltlich Nutzen und Anpassbarkeit Durch die vielf ltigen Kontrollen kann der Status der IT gut berwacht werden Der Aufwand f r die Einrichtung der Prozesse und Metriken kann sehr hoch sein von Vorteil ist jedoch die dauerhafte berpr fung Insbesondere der Prozess Ensure Systems Security DS5 ist f r die Evaluierung und Verbesserung der IT Sicherheit n tzlich Einzelne Informationskriterien k nnen unber cksichtigt bleiben um damit den Aufwand zu reduzieren 8 17 22 4 7 IDW PS 330 Der vom Institut der Wirtschaftspr fer IDW herausgegebene Standard IDW Pr fungsstandard Ab schlu pr fung bei Einsatz von Informationstechnologie IDW PS 33 wurde entwickelt
5. Der Zertifizierungsprozess beginnt mit einem Fragebogen den das Unternehmen ausf llen muss Selbst beurteilungsfragebogen SBF Abh ngig von der Art der Verwendung und Speicherung der Kreditkar tendaten siehe Tabelle 4 4 werden Fragen zum Unternehmen allgemein und zum technischen Zustand der Infrastruktur gestellt F r Webshops sind dabei nur zwei SBF Typen relevant A wenn die Verwaltung der Kreditkartendaten ausgelagert ist oder D wenn Kreditkartendaten gespeichert werden Die Unternehmen die Kreditkartendaten nutzen werden je nach Anzahl der Transaktionen in verschie dene Level kategorisiert siehe Tabelle 4 5 Abh ngig vom Level werden nun berpr fungen durch gef hrt Bei einem Security Scan wird vom ASV eine automatische berpr fung ber das Internet durchgef hrt So werden von au en erreichbare Schwachstellen ermittelt die zur Kompromittierung von Kreditkartendaten f hren k nnten Hierbei werden implizit einige der zw lf Anforderungen ber pr ft Nach Abschluss des Scans wird ein Scanreport generiert mit dem das Unternehmen gegebenenfalls Probleme erkennen und beheben kann Hat der Scan Schwachstellen erkannt ist ein Rescan nach Behe bung der Probleme erforderlich Level Kriterium Self Assessment Security Scan Security Audit 1 gt 6 Mio Transaktionen pro 4x pro Jahr 1 x pro Jahr Jahr oder Gef hrdung der Da ten 2 1 Mio 6 Mio Transaktionen 1 x pro Jahr 4x pro Jahr pro Jahr Extra Formular 3 20 00
6. 11 http www safer shopping de fileadmin dateien PDFs Prospekt_safer shopping pdf aufgerufen am 04 08 2010 http www it business de partnerzone ebusiness web articles 259538 index3 html aufgerufen am 19 09 2010 http www datenschutz cert de zertlisten index html aufgerufen am 07 10 2010 http www datenschutz cert de kriterien ips_katalogl html aufgerufen am 16 08 2010 45 ee om zz SE werden aufgegriffen Ebene Die Anforderungen des G tesiegels ips bestehen aus technischen Vorgaben und allgemeineren organisa torischen Richtlinien Voraussetzungen Das G tesiegel kann f r verschiedene Online Inhalte vergeben werden unter anderem f r eCommerce eGovernment und einfache Informations Webseiten Pr fung Die Evaluierung wird von einem lizenzierten ips Auditor durchgef hrt meist nur ber das Internet Ist das Verwalten von personenbezogenen Daten eine wesentliche Funktion des gepr ften Systems wird auch das Datenschutzmanagement vor Ort berpr ft Nach dem Audit k nnen gegebenenfalls festge stellte M ngel beseitigt wurden darauf folgt eine Abschlusspr fung Das Pr fungssystem ist komplexer als bei anderen G tesiegeln F r jede Anforderung werden je nach Umsetzungsgrad zwischen 0 und 3 Punkte vergeben So wird eine Durchschnittspunktzahl f r jedes Modul berechnet Die einzelnen Module werden von einem Gutachter unterschiedlich gewichtet sodass die Punktzahl dieser Module gewichtet in die Endpunktzahl einflie
7. 56 7 0 1Grobe Einordnung der Methoden anhand der technischen Fokussierung 61 7 0 2Grobe Einordnung der Methoden anhand der organisatorischen Fokussierung 61 7 0 3Einordnung der Methoden nach dem Kriterium Kosten 2 22 2 62 7 0 4Einordnung der Methoden nach dem Kriterium Aufwand 2 2220 62 7 0 5Einordnung der Methoden nach dem Kriterium ben tigtes Wissen 63 Tabellenverzeichnis 2 1 2 2 3 1 4 1 4 2 4 3 4 4 4 5 4 6 4 7 5 1 5 2 7 1 Definition von KMUs der EU von 2005 28 22 2 2 2 cc comme Definition von KMUs des IfM Bonn von 2002 ccm Auflistung einiger g ngiger Verkaufsportale und ihrer Sicherheitseigenschaften Die ISO 27000 Normenfamilie u a 44 4 ia sw wer re Tabelle zu BSI Standards aus 19 2 2 2 om onen Schichten des IT Grundschutzmodells aus 19 2 2 2 a Tabelle zur Auswahl des Selbstbeurteilungsfragebogens aus 30 2 2 Auflagen des PCI Standards f r unterschiedliche Level 2 222222 nennen Evaluation Assurance Levels 2 4 as a ee Hd Klassen der Sicherheitsanforderungen zas sw ee une euenn Kosten f r das EHI G tesiegel 2 22 oo oo onen Die Bestandteile des allgemeinen Anforderungsprofils des Anforderungskatalogs 8 Vergleich der G tesiegel a ss er era ratreetachhahe 1 Einleitung 1 1 Motivation Viele Unternehmen nutzen moderne Informationstechnologie zur Speicher
8. Verschl sselungsverfahren untersucht Auch die Zugangs und Zugriffskontrollen zu Datentr gern m ssen die Datenschutz Regelungen einhalten e Komplex 4 enth lt Anforderungen zu den Rechten der Benutzer Sie m ssen Auskunft ber die von ihnen gespeicherten Daten bekommen und L schungen bzw Sperrungen der Daten veranlassen k nnen Da Protokolldaten Sekund rdaten weniger sicherheitskritisch sind besteht das Anforderungspro fil f r Protokolldaten nur aus ausgew hlten Anforderungen des allgemeinen Anforderungsprofils Ebene Sowohl organisatorisch als auch technisch werden Ma nahmen gefordert um den Datenschutz zu ge w hrleisten Voraussetzungen Das Datenschutz G tesiegel kann f r Hardware Software und Verfahren zur Datenverarbeitung verge ben werden Es besteht die Voraussetzung dass das zu zertifizierende Produkt geeignet ist um von ffentlichen Stellen genutzt zu werden Da dies aber ein weit gefasster Begriff ist der unter anderem auch Krankenh user und Universit ten umfasst ist die Zertifizierung einer Webshop Software m glich Die Zielgruppe des Produkts darf prim r Unternehmen oder Privatleute umfassen muss also nicht f r ffentliche Stellen hergestellt worden sein Pr fung Die Pr fung besteht aus einer Evaluations und Zertifizierungsphase Zun chst findet eine Evaluation durch einen vom ULD SH akkreditierten Pr fer statt In der Zertifizierungsphase berpr ft das ULD SH das fertige Gutachten a
9. enth lt beispielsweise schon die Bezahlung per PayPal 3 1 4 Bezahlsysteme Webshops bieten au er traditionellen M glichkeiten der Bezahlung wie Vorkasse Rechnung Kreditkarte und Nachname in der Regel auch die Zahlung mit sogenannten Bezahlsystemen siehe Abbildung 3 1 3 f r Beispiele an die sich auf den Transfer von Geld im Internet spezialisiert haben und eine unkompli zierte Nutzung und gr ere Sicherheit versprechen Von Vorteil ist dabei dass Kunde und Webshop nach der Transaktion keine Bankdaten des Gesch ftspart ners kennen Bei einigen Diensten sind zus tzliche Absicherungen implementiert beispielsweise erh lt der K ufer bei PayPal den Kaufpreis zur ck wenn die Ware nicht verschickt wurde Eine Einbindung dieser Systeme dient also der Kundenzufriedenheit durch die Einbindung mehrerer Anbieter k nnen potenziell mehr Kunden erreicht werden Da dies mit einigem Aufwand verbunden ist kann wie in Abschnitt 3 1 3 beschrieben ein externer Dienstleister damit beauftragt werden F r die technische Sicherheit des Webshops muss lediglich die Schnittstelle betrachtet werden die Be zahlsysteme an sich sind jedoch irrelevant sodass hier keine weitere Vertiefung des Themas erfolgt PayPal Bpaysafecard paycash paysafe 2 Wirecard Abbildung 3 1 3 Beispiele f r Online Bezahlsysteme 3 2 Sicherheitsbetrachtung In diesem Abschnitt soll eine allgemeine Sicherheitsbetrachtung von Webshops stattfind
10. t Die Voraussetzung zur Erlangung des G tesiegels ist eine gewichtete Durch schnittspunktzahl gr er als 2 0 Sicherheitsrelevante Zertifikate wie ISO 27001 oder IT Grundschutz k nnen beim Audit ber cksichtigt werden Im Audit Report wird eine Empfehlung ausgesprochen die von der Zertifizierungsstelle der da tenschutz cert GmbH berpr ft wird Bei einem begr ndeten Einwand besteht hier die M glichkeit das Zertifikat entgegen der Empfehlung des Auditors nicht zu erteilen Das Zertifikat ist zwei Jahre g ltig wobei nach einem Jahr ein berwachungsaudit stattfindet Eine Re zertifizierung ist m glich und im Vergleich zur Erstpr fung vereinfacht Bei Ver nderung der gepr ften Funktionen kann das G tesiegel schon vor Ablauf der zwei Jahre ung ltig werden Aufwand und Kosten Abh ngig von Faktoren wie der Unternehmensgr e dauert eine Evaluierung 2 4 Arbeitstage die jeweils mit 1 150 berechnet werden Zus tzlich kostet die Zertifizierung bis zu 750 Nutzen und Anpassbarkeit Die Qualit tskriterien beinhalten unter anderem wichtige Regeln zur Zutritts und Zugriffskontrolle Ohne die Vor Ort Pr fung die in der Regel nicht durchgef hrt wird k nnen die Ma nahmen zur Zu trittskontrolle aber nicht berpr ft werden Das G tesiegel ist f r Webshops konzipiert eine Anpassung ist daher nicht erforderlich 5 1 4 EHI Gepr fter Online Shop Das G tesiegel EHI Gepr fter Online Shop wird vom EHI Retail
11. t und Vertraulichkeit der Daten zur Gesch ftsabwicklung Das Sicherheitskonzept muss Ma nahmen aufweisen die allen relevanten Be drohungen in angemessener Weise entgegenwirken S 12 7 Gesch tzt werden muss sowohl die Infrastruktur und die Software als auch die Daten bertragung mit dem Kunden zum Beispiel durch den Einsatz von Verschl sselung oder elektronischen Signaturen Der Zugriff auf personenbezogene Daten muss mit Identifizierungs und Authentifizierungsverfahren beschr nkt werden um unberechtigte Einsicht oder Manipulation zu verhindern Die weiteren Anforderungen sind gr tenteils kundenorientiert formuliert Beispielsweise ist geregelt 1 eResult Studie Relevanz von G tesiegeln http www eresult de studien_artikel forschungsbeitraege guetesiegel html aufgerufen am 19 09 2010 http www initiatived21 de aufgerufen am 11 10 2010 http www internet guetesiegel de aufgerufen am 11 10 2010 42 dass der Kunde ber eingesetzte Cookies informiert werden muss und er ber technische Anforderun gen wie bestimmte Software die f r die sichere Benutzung des Webshops ben tigt wird Informationen erh lt Auch ber m gliche Risiken die durch das Herunterladen von Programmen entstehen sollte der Kunde informiert werden Au erdem m ssen die durch D21 empfohlenen Anbieter ihre eigenen Qualit tskriterien auf ihrer Websei te ver ffentlichen und es Verbrauchern erm glichen Beschwerden gegen zertifizierte
12. tensicherheit Datenschutz und Online Inhalte und Prozesse Die organisatorischen Anforderungen beinhalten unter anderem die Anweisung dass die Konformit t zu den Anforderungen und deren Einhaltung bewertet und sichergestellt und eine st ndige Verbesserung angestrebt werden soll Das n chste Kapitel Datensicherheit ist am wichtigsten f r die IT Sicherheit der Webshops Die hier aufgef hrten Auflagen gleichen den grunds tzlichen Anforderungen der Initia tive D21 Es muss ein geeignetes Sicherheitskonzept verwaltet werden welches Ma nahmen definiert die allen relevanten Bedrohungen in angemessener Weise entgegen wirken Auch die Einrichtungen Prozesse und der Daten bertragungsweg m ssen gesichert und Zugriffsrechte f r Dateien vergeben wer den Teilweise gehen die Auflagen aber auch ber die D21 Anforderungen hinaus So muss schon bei der Auswahl des Personals auf eine entsprechende Qualifizierung geachtet werden und es werden explizit technische Ma nahmen wie Virenscanner Firewall und Backups gefordert Auch die Verschl sselungs technologie wird konkreter beschrieben eine minimale Schl ssell nge in Bits ist angegeben Ebene Auch bei diesem G tesiegel werden webshop spezifische organisatorische und technische Anforderun gen beschrieben Voraussetzungen Das G tesiegel s fer shopping kann nur von Webshops erworben werden alternativ gibt es aber noch ein Zertifikat f r Webseiten Pr fung Die Konformit t w
13. verursacht den geringsten Aufwand f hrt allerdings auch zu keiner Zertifizierung Besonders f r einen Webshop mit wenig Wissen im Bereich IT Sicherheit ist ein externer Sicherheitsaudit die einfachste M g lichkeit sein Sicherheitsniveau zu evaluieren Die Qualit t der berpr fung ist abh ngig vom Auditor daher sollte dieser sorgf ltig gew hlt sein Ein erfahrener Audit Dienstleister kann durch eine Kombinati on von Penetrationstests und Interviews mit Mitarbeitern theoretisch alle in Abschnitt 3 2 3 vorgestellten Gef hrdungen erkennen Durch den daf r notwendigen Aufwand w rde ein solcher Audit allerdings teu er sein Die Bearbeitung von Checklisten und Frageb gen ist hingegen g nstiger h ngt aber stark von der Qua lit t des Fragebogens und vom Kenntnisstand der Mitarbeiter ab Meistens werden in Frageb gen eher allgemeine Gef hrdungen berpr ft sodass trotzdem viele der Gef hrdungen aus Abschnitt 3 2 3 uner kannt bleiben Bei Einhaltung der Punkte von den Checklisten kann zum Beispiel ein Malware Angriff verhindert werden indem ein aktuelles Antiviren Programm installiert wird Aufgrund des geringen Aufwands sind Frageb gen und Checklisten eine gute M glichkeit um die grundlegenden Sicherheitsa spekte zu berpr fen Analyseprogramme zeichnen sich durch einmalige Kosten Anschaffungspreis und eine meist einfache Bedienung aus Aufgrund der vielen verschiedenen angebotenen Programme kann dies nicht genera lisiert wer
14. 2 200 mehr als 10 000 000 2 800 Tabelle 5 1 Kosten f r das EHI G tesiegel Nutzen und Anpassbarkeit Eine erfolgreiche Zertifizierung liefert anhand von mehreren berpr ften Kriterien eine Aussage ber das momentane Sicherheitsniveau und beinhaltet Vorschl ge zur Verbesserung von Schwachstellen Das G 16 http www shopinfo net haendler kriterien index htm aufgerufen am 11 10 2010 17 http www shopinfo net aufgerufen am 11 10 2010 18 http www shopinfo net haendler kosten index html aufgerufen am 07 10 2010 47 tesiegel ist speziell auf Webshops abgestimmt eine Anpassbarkeit ist aufgrund der festgelegten Kriterien nicht m glich aber auch nicht notwendig 5 2 Weitere Webshop G tesiegel Neben den von der Initiative D21 empfohlenen G tesiegeln die auch in Tests zum Beispiel in einem G tesiegel Test der Zeitschrift Computer Bild 03 2009 gut abgeschnitten haben gibt es noch weitere G tesiegel die allerdings weniger Sicherheitsanforderungen haben und hier nur im berblick vorgestellt werden Das Internetg tesiegel Sicher amp Seri s Das Internetg tesiegel wurde bisher an 835 Shops verliehen Stand 12 08 2010 Laut Aussage der Webseite sind die Pr fungskriterien an die Kriterien der Initiative D21 angelehnt und um weitere erg nzt Eine offizielle Konformit t wird nicht angestrebt Die Anlehnung beinhaltet jedoch keinesfalls eine vollst ndige bernahme der Kriterien unter dem Pun
15. 7 4 Ergebnis der Analyse sy saw nn a u eben al 66 8 Fazit und Ausblick 68 Literaturverzeichnis 70 Abbildungsverzeichnis 1 3 1 bersicht und thematischer Zusammenhang der Kapitel 22 222222 8 1 4 1 Struktur des Templates EEG NE EEE EEE EEE 9 3 1 1 Schematische Darstellung des Aufbaus eines Webshops o oo aunoa a araara 13 3 1 2Schematische Darstellung der Shop Software mit zus tzlichen Modulen 14 3 1 3Beispiele f r Online Bezahlsysteme 2 2 2 co oo oo on ernennen 16 3 2 1Die Kontrollen aus der Anlage zu 89 Satz 1desBDSG 2 none 17 3 2 2Anerilisbaum zur Verf gbarkeit uu4ss 48 8 RR RR ad 19 3 2 3 Angriffsbaum zur Vertraulichkeit zu 2a Ra take 19 3 2 4Angriffsbaum zur Integrit t aus 808 0008 2 10 20 4 1 1Die Bereiche der ISO 27002 Norm 2 Cu saana aae 23 4 1 2Der PDCA Zyklus von ISO 27001 S 38 24 2 222 cc onen 24 4 2 1Die Vorgehensweise nach Grundschutz Methodik 2 2 222022 een 26 4 3 1 Die 12 Anforderungen von PCI DSS sa aa sauer er an sa a an 30 4 4 1 Einordnung von OCTAVE in einen generischen Risikomanagement Prozess aus 1 32 4 5 1ITIL Service Lyfecycle vereinfacht aus 38 2222 sonen 34 4 6 1 berblick ber das Cobit Framework entnommen aus 20 2 2 2 222er 36 6 1 1Die Phasen des ENISA Fragebogens f r Kleinstunternehmen 2 22 2 aeaa 55 6 1 2Die 10 Ma nahmen von InfoSurance f r einen wirkungsvollen Grundschutz
16. Anschaffung Geld Standards ohne Pr fungen und Zertifizierungen wie ITIL und Cobit verursachen lediglich durch ben tigte Arbeitszeit und Infra struktur Kosten Checklisten und Frageb gen sind oft kostenlos im Internet verf gbar und daher am g nstigsten Cobit Audits 1ISO27001 ITIL PS 330 G te Checklisten Grund Analyse CCE OCTAVE Programme hoch mittel niedrig Abbildung 7 0 4 Einordnung der Methoden nach dem Kriterium Aufwand Bei der Betrachtung des Aufwands Abbildung 7 0 4 zeigt sich dass die Standards die hohe Kosten ver ursachen meistens auch einen hohen Aufwand erfordern zum Beispiel ISO 27001 Common Criteria IT Grundschutz berschaubare Standards wie PCI und Octave haben einen geringeren aber nicht zu vernachl ssigenden Aufwand Bei den Audits oder audit hnlichen Methoden wie PS 330 Audit durch Wirtschaftspr fer oder den G tesiegeln ist der Aufwand mittel bis niedrig einzusch tzen Checklisten sind meistens schnell abgearbeitet und Analyseprogramme laufen gr tenteils automatisch ab daher ist der Aufwand gering 62 G te ISO27001 PS 330 Checklisten E Analyse hoch mittel niedrig Abbildung 7 0 5 Einordnung der Methoden nach dem Kriterium ben tigtes Wissen Abbildung 7 0 5 ordnet die Methoden nach dem ben tigten Wissen welches bei den Mitarbeitern des Unternehmens vorhanden sein muss Audits werden von Experten durchgef hrt da aber wie in Kapi tel 6 3 erw hn
17. Aufbau und eine Sicherheitsbetrachtung von Webshops Die folgenden drei Kapitel beschreiben ausgew hlte Standards Kapitel 4 G tesiegel Kapitel 5 und sonstige Sicherheits berpr fungen Kapitel 6 nach einem im Rahmen dieser Arbeit definierten Tem plates welches in Sektion 1 4 erl utert wird Anschlie end wird ausgehend von den Eigenschaften der Webshop KMUs und den gesammelten Informationen ber die Methoden eine Analyse durchgef hrt die die Anwendbarkeit der Methoden bewertet Kapitel 7 Schlie lich werden die Erkenntnisse zusammen gefasst und ein Ausblick gegeben Der Zusammenhang zwischen den Kapiteln ist in Abbildung 1 3 1 visualisiert Kleine und mittlere Unternehmen Kapitel 2 Webshops i BEIIIEHE N Einleitung o Analyse an a CEWICE Kapitel 7 ie 3 Standards Kapitel 4 G tesiegel Kapitel 5 sonstige Sicherheits berpr fungen Kapitel 6 Abbildung 1 3 1 bersicht und thematischer Zusammenhang der Kapitel 1 4 Methodik Zur besseren Vergleichbarkeit der unterschiedlichen vorgestellten Methoden wurde ein Template zur Beschreibung von Standards G tesiegeln und sonstigen Sicherheits berpr fungen erstellt Es enth lt die in Abbildung 1 4 1 aufgelisteten Kriterien die im Folgenden genauer erkl rt werden 8 Zun chst werden allgemeine Daten der Methode dargestellt Methode Falls vorhanden beinhaltet dies Informationen ber ihren a Ursprung ihre Verbreitu
18. F r alle Risiken muss berpr ft werden ob ein IT Kontrollsystem eingesetzt wird das auf das Risiko reagiert indem es verhindert dass es zu Fehlern in der Rechnungslegung kommen kann S 9 17 Ebene Es werden sowohl technische Vorkehrungen als auch organisatorische Ma nahmen berpr ft im Fokus steht immer die Pr fung der rechnungsrelevanten Systeme Voraussetzungen Der Standard wird im Rahmen von Jahresabschlusspr fungen auf rechnungsrelevante Systeme ange wendet Um einen realistischen Eindruck ber das System zu erhalten sollten zumindest die kritischsten Komponenten berpr ft werden Pr fung Die Zertifizierung erfolgt durch einen Wirtschaftspr fer Die Pr fung des IT Systems beginnt mit der Auf nahme des IT Systems dazu werden zun chst Informationen ber die Ebenen gesammelt Die Aufbaupr fung soll die Angemessenheit der Ma nahmen beurteilen die zur Gew hrleistung des IT Betriebs der Funktionalit t der IT Anwendungen und der Sicherheit des Systems umgesetzt wurden Die Eignung der Ma nahme muss dabei sowohl in technischer als auch in personeller und organisatorischer Hinsicht kontrolliert werden Die Kontrolle findet unabh ngig vom Zustand des Systems statt und pr ft ob das System angemessen ist um den zuvor beschriebenen Risiken zu begegnen Dies geschieht meist durch berpr fen von Unterlagen und Arbeitsabl ufen oder Befragungen der Mitarbeiter Die Funktionspr fung dient dazu die Wirksamkeit der
19. IEC 27001 Die ISO IEC 27001 Norm beschreibt Anforderungen an ein Managementsystem f r Informationssicher heit ISMS welches Richtlinien und Verfahren beinhaltet um Informationssicherheit systematisch auf allen Ebenen des Unternehmens zu etablieren und zu erhalten Sie ist aus dem British Standard 7799 entstanden und wurde 2005 ver ffentlicht Wie andere ISO IEC Normen ist sie in eine Normenfamilie eingegliedert siehe Tabelle 4 1 In ISO 27002 werden beispielsweise die Ziele der ben tigten Ma nah men beschrieben die Norm ist aufgeteilt in elf Bereiche siehe Abbildung 4 1 1 39 Kontrollziele und 133 Sicherheitsanforderungen Sie ist mit anderen ISO IEC Normen wie ISO 9000 Qualit tsmanage ment kompatibel und kann in ein allgemeineres Managementsystem eingebunden werden ISO 27001 ist international anerkannt Weltweit wurden 6573 Zertifizierungen durchgef hrt in Deutsch land 138 Die Norm beschreibt den Aufbau und Betrieb eines ISMS und orientiert sich am sogenann ten Plan Do Check Act Zyklus siehe Abbildung 4 1 2 Sie ist auf eine kontinuierliche Verbesserung des ISMS ausgelegt 1 Attp www iso2700lcertificates com Register 20Search htm aufgerufen am 04 08 2010 22 Bezeichnung Inhalt 27000 Einf hrung berblick Glossar der Be grifflichkeiten 27001 Anforderung an das ISMS gegen die zertifiziert wird 11 Themengebiete von Schutzzielen 27002 Code of Practice enth lt Ma nahmenpa kete Erl uterungen und Hin
20. KMUs zu denen auch die mei sten Webshops geh ren ist das geringe Kapital welches sie den Bedrohungen entgegensetzen k nnen W hrend gr ere Unternehmen genug Kapitel besitzen um eine eigene Abteilung zu besch ftigen die sich intensiv um die Aktualisierung Absicherung und Wartung der IT k mmert m ssen KMUs ihr Kapi tal projektbezogen investieren und Investitionen in IT Sicherheit nebenher ansparen S 52 26 Daher m ssen sie die wenigen Mittel die ihnen f r Sicherheitsma nahmen zur Verf gung stehen effektiv ein setzen Sie sind finanziell nicht in der Lage umfangreiche Sicherheitsanweisungen durchzusetzen und haben nicht die n tigen Mitarbeiter die sich in diesen Themen spezialisieren k nnen Gerade deshalb muss versucht werden die vorhandenen Ressourcen wirksam zum Erreichen des gew nschten Sicher heitsniveaus einzusetzen Viele KMUs haben bereits einzelne Ma nahmen zur Absicherung der IT Sicherheit ergriffen aber es gibt auch Methoden die bisher von wenigen KMUs eingesetzt werden Ein erster Schritt zur Verbesserung der IT Sicherheit ist deshalb zun chst die Bestimmung des bisherigen Schutzniveaus 1 2 Ziel Ein Webshop kann verschiedene Ans tze aufgreifen um die IT Sicherheit seiner Infrastruktur zu analysie ren und zu verbessern Neben der Anwendung von Standards der IT Sicherheit die oft alle Bereiche des Webshops auswerten und verbessern bieten auch G tesiegel eine berpr fung und Zertifizierung Eine
21. KMUs in der Regel ein breiteres Aufgabenfeld als Mitarbeiter in gr eren Fir men Dies kann sich beispielsweise darin u ern dass der Datenschutzbeauftragte oder ein Mitarbeiter der f r die IT Sicherheit verantwortlich ist noch andere Aufgaben zu erledigen hat und daher weniger spezialisiert ist als die Fachkr fte von gr eren Unternehmen Bedingt durch den geringeren Umsatz haben KMUs weniger Kapital als gr ere Unternehmen zur Verf gung Dies kann bei der Umsetzung von gr eren IT Sicherheitsma nahmen zu Problemen f hren da weder das Know How der Mitarbeiter 1 2 http www ifm bonn org index php id 89 aufgerufen am 22 08 2010 http www ifm bonn org index php id 99 aufgerufen am 22 08 2010 10 noch ausreichend Geld vorhanden ist um die komplette Umsetzung durch externe Dienstleister erledi gen zu lassen Die benutzte Infrastruktur ist bei KMUs l nger in Betrieb als in gr eren Unternehmen Dies stellt ein Sicherheitsrisiko dar da veraltete Technik fehleranf lliger ist oder allgemein bekannte Angriffe gegen sie vorhanden sind Laut einer Studie der Z rcher Hochschule 23 sind die Lebenszyklen von Software bei ber 60 der KMUs l nger als 3 Jahre ca 90 der KMUs haben Hardware Lebenszyklen mit einer L nge von mehr als 3 Jahren Einfache Basis Schutzma nahmen werden von vielen KMUs schon umgesetzt Eine Befragung von 600 Kleinunternehmen weniger als 50 Mitarbeiter in Deutschland hat 2007 ergeben dass 9
22. Nutzen und Anpassbarkeit Nach Abarbeiten des Fragebogens oder der Checkliste sind m gliche Defizite in der Regel erkennbar Da die Checklisten und Frageb gen aber f r m glichst viele Unternehmen g ltig sind k nnen nur all gemeine Fragen gestellt werden Durch die kurze und oft oberfl chliche Pr fung kann man sich selbst bei einem positiven Ergebnis nicht sicher sein ob alle wesentlichen Gef hrdungen durch entsprechende Ma nahmen abgedeckt sind IT Sicherheit f r Kleinstunternehmen Der von der Europ ischen Agentur f r Netz und Informationssicherheit ENISA in Auftrag gegebene und von der hessischen Wirtschaftsf rderung HA Hessen Agentur GmbH entwickelte Online Fragebogen bietet eine einfache Sicherheitsanalyse und einen anschlie enden Ma nahmenplan Fr ist in vier Phasen unterteilt siehe Abbildung 6 1 1 Phase 1 Risiko Profil Auswahl Phase 2 Auswahl kritischer Unternehmenswerte Phase 3 Auswahl der Sicherheitsanforderungen Phase 4 Risiko Management amp Umsetzung Abbildung 6 1 1 Die Phasen des ENISA Fragebogens f r Kleinstunternehmen Er richtet sich vor allem an Kleinstunternehmen die als Unternehmen mit bis zu 9 Mitarbeitern und bis zu 2 Mio Euro Umsatz oder Bilanzsumme definiert werden Zun chst wird berpr ft ob eine IT Sicherheitsanalyse eigenst ndig durchgef hrt werden kann oder externe Dienstleister ben tigt werden Darauf folgt anhand eines f nfseitigen Fragebogens IT Sicherheits Check
23. Practice Ans tze zur Entwicklung einer Strategie f r das Service Manage ment Dabei steht zun chst die Analyse im Vordergrund Die Umgebung market space der sp teren Services wird definiert Kunden Bedarf und M glichkeiten werden analysiert Als Rahmenbedingungen bei der Definition von Strategien m ssen Kosten Risiken und das Ziel die aktuelle Situation zu ver bessern beachtet werden So wird eine gewinnbringende Strategie gebildet die einen Nutzen f r den Kunden erm glicht F r diese werden die ben tigten F higkeiten und Betriebsmittel strategic assets ermittelt Abschlie end werden die Ergebnisse in Pl nen und Richtlinien festgehalten Die Analyse von Kundenanforderungen und anschlie ende Umwandlung in passende Services wird mit dem Bereich Service Design vollzogen Daf r m ssen verschiedene Prozesse durchgef hrt werden Es soll ein Service Katalog der die Gesch ftsprozesse des Kunden auf die ben tigten Services und die Ser vices auf die Hardware abbildet erstellt werden Die Vereinbarungen mit Kunden sind in l ngerfristigen Vertr gen sogenannten Service Level Agreements SLA festzuhalten Au erdem muss die Kapazit t und Grad der Verf gbarkeit der ben tigten Ressourcen analysiert und ein Notfallmanagement imple mentiert werden Mit eventuellen Zulieferern externen Dienstleistern m ssen entsprechende Vertr ge underpinning contracts abgeschlossen werden Ein Prozess des Bereichs Service Strategy
24. Shops einzulegen Momentan sind die G tesiegel Trusted Shops s fer shopping internet privacy standards und EHI Ge pr fter Online Shop von D21 empfohlen 5 1 1 Trusted Shops Die Trusted Shops GmbH ist mit 8363 nach dem gleichnamigen G tesiegel zertifizierten Shops der gr te G tesiegel Anbieter f r Webshops Neben dem G tesiegel werden verschiedene Audits angebo ten unter anderem ein Security Audit der sich speziell auf technische Schwachstellen konzentriert Dieser wird in Kapitel 6 3 n her erl utert F r die Zertifizerung m ssen Qualit tskriterien erf llt werden die unterschiedliche Bereiche des Web shops abdecken und beispielsweise Anforderungen an den Liefer und Bestellprozess sowie an die Allge meinen Gesch ftsbedingungen enthalten Ein Unterpunkt des Kapitels Datenschutz und Datensicherheit fordert ein geeignetes IT Sicherheits konzept um Kundendaten zu sch tzen und Missbrauch zu vermeiden Dazu geh rt das Einsetzen von Verschl sselungsverfahren eine Zugriffs und Zutrittskontrolle und das Einsetzen sicherer Ser ver berpr ft werden auch die e mails mit Login Daten die dem Kunden gesendet werden sowie die Manipulierbarkeit von URLs die zu Kundendaten f hren Zahlungsinformationen m ssen verschl s selt bertragen werden Insgesamt orientieren sich die Anforderungen sehr stark an den Vorgaben von D21 Ebene Die Qualit tskriterien enthalten vor allem organisatorische und technische Anf
25. ab 9 Monat Gambio GX ja ja 149 Magento ja ja Freeware bzw ab 2995 Anleitung wie Magento zur PCI Jahr Compliance konfiguriert werden muss speichert keine Kartendaten oxid eshop 4 ja ja Freeware bzw ab 1990 Smartstore biz ja ab 199 STRATO ja ja ab 9 90 Monat T V zertifizierte Rechenzentren nach Shops ISO 27001 WEBSALE ja ja ab 69 PCI zertifiziert Tripple DES eCommerce Verschl sselung der gespeicher ten Bestellungen T V S D EHI vorzertifiziert xt commerce ja ja ab 97 Tabelle 3 1 Auflistung einiger g ngiger Verkaufsportale und ihrer Sicherheitseigenschaften Durch eine Untersuchung der am h ufigsten benutzten Shop Software kann festgestellt werden ob die Software bereits Ma nahmen gegen Angriffe enth lt Die Tabelle 3 1 listet einige Produkte auf und be schreibt Sicherheitsfunktionen die den Webseiten der Hersteller entnommen wurden Auff llig ist dass alle gr eren Anbieter eine Kooperation mit dem G tesiegelanbieter Trusted Shops eingehen und ih re Software vorab pr fen lassen Dies erm glicht den Webshops die die Software benutzen g nstigere Konditionen bei der Zertifizierung da nicht mehr die Software selbst sondern nur noch die Inhalte zum Beispiel AGB Impressum und organisatorische Prozesse berpr ft werden m ssen SSL ist als sicheres Protokoll f r die bertragung von Kundendaten etabliert und wird von nahezu allen Shops verwendet Dar ber hinaus sind nicht viele sic
26. aufgerufen am 18 10 2010 gt http www trustedshops de shopbetreiber pdf download TS QAL pdf aufgerufen am 11 10 2010 43 Aufwand und Kosten F r den Erwerb des G tesiegels fallen monatliche Kosten an die sich je nach Umsatz des Shops und Funktionsumfang der Mitgliedschaft berechnen mindestens jedoch 59 im Monat Beim Einsatz von vorzertifizierter Software sinkt die monatliche Geb hr um 10 Nutzen und Anpassbarkeit Durch eine Zertifizierung ist die Erf llung der in den Qualit tskriterien enthaltenen Sicherheitsanforde rungen gew hrleistet die sehr kurz gefasst sind Der vorgegebene Katalog an Kriterien l sst keine Anpassung zu dies ist allerdings auch nicht notwendig da das G tesiegel schon auf Webshops zugeschnitten ist 5 1 2 S fer Shopping Der T V S d hat zwei G tesiegel etabliert die Verbraucher auf vertrauensw rdige Internet Angebote hinweisen sollen F r Webseiten ohne Einkaufsvorg nge wird das Zertifikat s fer website angeboten f r alle anderen s fer shopping wobei es zus tzlich noch Anforderungskataloge f r Versicherungen und H ndler der Reisebranche gibt Im Folgenden liegt der Fokus auf dem s fer shopping G tesiegel welches mit 137 Zertifikaten eine gr ere Rolle spielt als s fer website mit 11 Zertifikaten und au er dem f r Webshops besser geeignet ist Die Anforderungen des G tesiegels sind in vier Kapitel unterteilt Organisatorische Anforderungen Da
27. beschreibt die F hrung und Kontrolle der IT durch die Unternehmensf hrung um eine bestm gliche Unterst tzung der Gesch ftsprozesse zu erreichen 36 Informationen sind Daten des Unternehmens in jeglicher Form e Infrastruktur beschreibt Einrichtungen und Technologie e Personal sind Mitarbeiter die die Informationssysteme betreuen Mithilfe der Ressourcen wird durch ein Prozessmodell versucht die Informationskriterien zu etablieren Cobit enth lt 34 Prozesse diese sind aufgeteilt in vier Dom nen e Plan amp Organise PO beinhaltet die Ausarbeitung der IT Strategie zur Umsetzung der Gesch ftszie le Unter anderem werden m gliche Risiken analysiert und Prozesse definiert sowie die Mitarbeiter bereitgestellt e Acquire amp Implement AI hat zum Ziel die IT Strategie umzusetzen Dazu werden beispielsweise Machbarkeitsstudien durchgef hrt und Anwendungen und Infrastruktur beschafft und installiert e Deliver amp Support DS enth lt Prozesse die die Auslieferung und Wartung der ben tigten Services unterst tzen Dazu geh rt das Festlegen von Service Levels Sicherstellen der Verf gbarkeit und Sicherheit die Schulung von Benutzern und ein angemessenes Problem Management e Monitor amp Evaluate ME befasst sich mit dem Messen der Leistung und der Auswertung der instal lierten Kontrollmechanismen Es wird berpr ft ob die vorher vereinbarten Vorgaben eingehalten wurden Jeder der 34 Prozesse ist nochmals in k
28. da der Standard auf eine Verbesserung des Sicherheitsniveaus ausgelegt ist Zur reinen Analyse der IT Sicherheit w rde schon eine Durchf hrung der Basis Sicherheitscheck mit vorheriger Strukturanalyse Schutzbedarfsfeststellung und IT Sicherheitskonzeption gen gen Der Standard bietet verschiedene M glichkeiten Kosten und Aufwand zu verringern Dies ist vor allem f r KMUs die ein geringeres Budget haben interessant Es wird darauf hingewiesen dass oft organisato rische Sicherheitsma nahmen teurere technische L sungen ersetzen k nnen wobei hier die Einhaltung und damit der Schutz vor dem Risiko schwieriger zu berpr fen ist vgl 19 S 30f F r kleine Unter nehmen ist bereits ein einzelner IT Sicherheitsbeauftragter f r die Sicherheitsorganisation ausreichend der auch andere Aufgaben im Unternehmen bernehmen kann Au erdem m ssen nicht alle Ma nah men umgesetzt werden sie k nnen begr ndet als entbehrlich gekennzeichnet werden Dies ist vor allem bei kostenintensiven Ma nahmen die f r eine kleine Infrastruktur nicht ben tigt werden re levant Eventuell kann auf eine berwachung der Ma nahmen verzichtet werden beispielsweise zu Gunsten von monatlichen Statusmeetings in denen der Fortschritt der Umsetzung anhand konkreter Beispiele berpr ft wird Nach der vollst ndigen Implementierung schl gt der BSI Standard 100 2 f r kleine Unternehmen einen j hrlichen Check der IT Systeme vor zusammen mit einer Pr fung d
29. der Si cherheitsaspekte ber cksichtigt ist das Information Security Management welches die im Service Level Agreement festgelegten Sicherheitsanforderungen aufrechterhalten soll Dies soll durch Implementie rung von Sicherheitsfunktionen erm glicht werden Des Weiteren m ssen aber auch Reaktionen auf Sicherheitsverletzungen z B in Form von Notfallpl nen definiert werden 34 Der Bereich Service Transition umfasst die Entwicklung und bergabe von neuen und die nderung und Verbesserung von bereits implementierten Services Dazu werden Kernprozesse wie Change Manage ment ben tigt welches nderungen verwaltet indem sie ordnungsgem geplant dokumentiert und gegebenenfalls nach Auswirkung und Dringlichkeit priorisiert werden Eine Verwaltung der Configuration Items CI also aller Komponenten und Dokumente hilft nderun gen nachzuvollziehen Des Weiteren sollten alle nderungen getestet und validiert werden sodass sie die im Service Level Agreement definierten Qualit tskritieren erf llen Abschlie end ist eine Evaluierung des Prozesses hilfreich um eventuelle Fehler aufzudecken Im Bereich Service Operation finden sich Best Practices zum Betrieb und Support der entwickelten Ser vices Unter anderem werden Verfahren zur Behandlung von Ereignissen St rungen Problemen und Service Anfragen beschrieben Ein zentrales Modell ist dabei der Service Desk der alle Anfragen an ei nem Punkt b ndelt und so beispielsweise die Regelu
30. des technischen Systems muss eine genaue Spezifikation vorliegen Pr fung Die Evaluation wird von einer vom Bundesamt f r Sicherheit in der Informationstechnik BSI akkredi tierten Pr fstelle durchgef hrt Die Zertifizierung erfolgt durch das BSI Aufwand und Kosten Der Aufwand ist vor allem von der Komplexit t des Evaluationsgegenstandes und des zu erreichenden EAL abh ngig Auch die Wahl des Schutzprofils beeinflusst die Tiefe und den Aufwand der Evaluation Durch das gr ndliche Pr fverfahren ist eine Zertifizierung in der Regel sehr teuer Nutzen und Anpassbarkeit Da mit den CC nur eine Evaluierung von technischen Systemen m glich ist k nnen organisatorische Ma nahmen zum Schutz der Infrastruktur nicht ber cksichtigt werden Aufgrund der Komplexit t ist es aufw ndig alle Komponenten des Webshops zu evaluieren Eine M glichkeit w re sich auf die kritischsten Elemente zu konzentrieren beispielsweise die Software des Webshops die auf Webserver l uft Generell werden die Common Criteria eher von Herstellern von Produkten genutzt beispielsweise w re eine CC Evaluierung bei einer Eigenentwicklung der Shop Software m glich Beim Kauf von Shop Software kann Software bevorzugt werden die durch CC evaluiert wurde Durch die Wahl des EAL sind die CC recht anpassbar ein zu niedriges EAL bringt jedoch keinen gro en Nutzen 24 https www bsi bund de cln_174 ContentBSI Themen ZertifizierungundAnerkennung Komformitaetsbestaetig
31. die IT Sicherheit bewertet werden F r eine Evaluierung ist der Standard daher sehr gut geeignet vor ausgesetzt entsprechende Ressourcen vor allem ein Team von erfahrenen Mitarbeitern k nnen bereitgestellt werden e Der service orientierte ITIL Standard ist aufw ndig und schlecht auf Webshops anwendbar da sich die dort vorgestellten Ma nahmen kaum auf die Bestell und Liefervorg nge abbilden lassen Au erdem spielt der Sicherheitsaspekt keine gro e Rolle sodass sich dieser Standard nicht gut f r die Evaluation der IT Sicherheit eignet e Cobit bietet eine allgemeines Management der IT und geht nur nebenher auf die Sicherheit ein Der durch die Implementierung der Kontrollen auf verschiedenen Ebenen entstehende Mehraufwand ist f r Webshop KMUs nicht tolerierbar auch wenn die f r IT Sicherheit angelegten Kontrollen eine dauerhafte R ckmeldung ber das Sicherheitsniveau geben w rden e Der Pr fungsstandard IDW PS 330 ist eher zweckgebunden er pr ft die rechnungsrelevanten Sy steme auf Risiken die zu einer Verf lschung der Bilanzen f hren k nnten Durch die Analyse der bisher umgesetzten Ma nahmen soll ein externer Wirtschaftspr fer die Sicherheit beurteilen Die Testmethoden sind nicht im Detail festgelegt sodass schwierig zu beurteilen ist ob die Gef hrdun gen mit Hilfe des Standards entdeckt werden Fraglich ist allerdings ob eine XSS Attacke die den Inhalt der Webseite bei einem Kunden ndert schon als Risiko
32. ein 10 Punkte Programm f r KMUs entwickelt das 2009 um 10 weitere Punkte f r mehr Vertraulichkeit und Verf gbarkeit erg nzt wurde Punkt 1 Erstellen Sie ein Pflichtenheft f r IT Verantwortliche Punkt 2 Sichern Sie Ihre Daten regelm ssig mit Backups Punkt 3 Halten Sie Ihr Antivirus Programm aktuell Punkt 4 Sch tzen Sie Ihren Internetzugang mit einer Firewall Punkt 5 Aktualisieren Sie Ihre Software regelm ssig Punkt 6 Verwenden Sie starke Passw rter Punkt 7 Sch tzen Sie Ihre mobilen Ger te Punkt 8 Machen Sie Ihre IT Benutzerrichtlinien bekannt Punkt 9 Sch tzen Sie die Umgebung Ihrer IT Infrastruktur Punkt 10 Ordnen Sie Ihre Dokumente und Datentr ger Abbildung 6 1 2 Die 10 Ma nahmen von InfoSurance f r einen wirkungsvollen Grundschutz Die Punkte bestehen aus Anweisungen die allgemein gehalten sind und zu den Standard Sicherheits ma nahmen geh ren wie beispielsweise die Einrichtung einer Firewall und eines regelm ig aktuali sierten Antivirenprogramms siehe Abbildung 6 1 2 Ma nahmen wie die Verwendung starker Passw rter sind lediglich mit organisatorischem Aufwand ver bunden und daher in kleinen Unternehmen schnell umzusetzen 6 2 Analyseprogramme Mit Hilfe von Analyseprogrammen k nnen die technischen Komponenten gezielt berpr ft werden W h rend Anweisungen wie der Befehl nmap listet die offenen Ports eines Rechners auf nur einzelne Funk 3 4 https www sicher im net
33. eine bersicht ber die EAL Level Beschreibung EAL1 functionally tested EAL2 structurally tested EAL3 methodically tested and checked EAL4 methodically designed tested and reviewed EAL5 semiformally design and tested EAL6 semiformally verified design and tested EAL7 formally verified design and tested Tabelle 4 6 Evaluation Assurance Levels Die Sicherheitsanforderungen aus Teil 2 und 3 besitzen dieselbe Struktur Es findet eine Aufteilung in Klassen siehe Tabelle 4 7 statt wobei jede Klasse aus verschiedenen Familien besteht die ihrerseits verschiedene Anforderungs Komponenten enth lt Abh ngigkeiten und Hierarchien zwischen Anforde rungskomponenten sind kenntlich gemacht 40 Art der Anforderung zugeh rige Klassen Security Functional Requirements Security Audit FAU Communication FCO Cryptographic support FCS user data protection FDP identification and authentication FIA security management FMT privacy FPR protection of the TSF FPT resource utilisation FRU TOE access FTA trusted path channels FTP Security Assurance Requirements protection profile evaluation APE security target evaluation ASE development ADV guidance documents AGD life cycle support ALC tests ATE vulnerability assessment AVA composition ACO Tabelle 4 7 Klassen der Sicherheitsanforderungen Ebene Die Common Criteria richten sich ausschlie lich an technische Systeme Voraussetzungen Zur Evaluierung
34. g nstigere aber auch weniger vergleichbare M glichkeit sind nicht zertifizierte Sicherheitsaudits Diese k nnen je nach Komplexit t entweder mit Hilfe von externen Dienstleistern oder durch Mitarbeiter des Unternehmens durchgef hrt werden Ziel dieser Arbeit ist es die verschiedenen Evaluationsans tze nach Kriterien wie Wirksamkeit und Aufwand hinsichtlich ihrer Anwendbarkeit f r KMU Webshops zu analysieren und optimale Verfahren zur Bewertung der Sicherheit der IT Infrastruktur zu identifizieren Neben den Bedrohungen die sich durch die Anbindung an das Internet ergeben m ssen die Charakte ristika der Organisation und der IT Infrastruktur ber cksichtigt werden Diese werden sowohl durch die 1 Beispielsweise physischer Schutz oder Notfallpl ne siehe 9 Eigenschaften von KMUs als auch durch den Aufbau der Webshops definiert Bei der Analyse werden auch m gliche Seiteneffekte der Verfahren wie beispielsweise Verbesserungen des Sicherheitsniveaus und ein Vertrauensgewinn bei Kunden ber cksichtigt 1 3 Aufbau Nach der Einleitung Kapitel 1 mit der Beschreibung von Motivation Ziel und Aufbau werden in den n chsten zwei Kapiteln grundlegende Begriffe erl utert Zun chst wird in Kapitel 2 definiert was unter kleinen und mittleren Unternehmen zu verstehen ist und welche Eigenschaften sie besitzen die f r die Analyse der Methoden wichtig sind Danach folgt in Kapitel 3 eine Definition des Begriffs Webshop sowie der
35. meist eine nur kurze Zeitspanne und liefert dann einen Ergebnisreport Aufwand und Kosten Der Aufwand ist u erst gering die Kosten h ngen vom benutzten Programm ab Die unten aufgef hr ten Beispielen zeigen Programme verschiedener Preisklassen Nutzen und Anpassbarkeit Der Nutzen h ngt von den Tests ab die von den Programmen durchgef hrt werden Generell erfolgt eine einmalige Pr fung auf bekannte Schwachstellen die eher statisch ist Wenn Penetrationstests durchge f hrt werden sind Analyseprogramme ein gutes Hilfsmittel Vollst ndige Pen Tests sind aufw ndiger und erfordern Expertenwissen ber Angriffstechniken liefern aber auch mehr Schwachstellen als ein Analy seprogramm alleine 6 http sectools org aufgerufen am 15 08 2010 57 Eine Anpassbarkeit ist nicht gegeben da es sich um eine einfache Abarbeitung einer Liste von Tests handelt In seltenen F llen ist allerdings das Hinzuf gen von weiteren Tests m glich SOPHOS Der SOPHOS Computer Security Scan ist ein netzwerkbasiertes Analyseprogramm welches bis zu 200 Computer in einem Netzwerk berpr ft Es testet dabei auf g ngige Adware und Malware Zus tzlich gibt es noch den Sophos Endpoint Assessment Test welcher f r einen Windows PC analy siert ob aktuelle Betriebssystem Webbrowser und Office Patches installiert sind und ob ein Antiviren programm l uft Web Security Toolset Das Web Security Toolset von Ger
36. mit seinem eigenen Benuterkonto nicht ausf hren kann e Security Misconfiguration Das ganze System bei Webshops die Webshop Software die Webserver Software und das Betriebssystem muss sicher konfiguriert sein dazu geh ren unter anderem das Anpassen der Sicherheitseinstellungen und Software Updates Ansonsten k nnen An greifer bekannte Schwachstellen ausnutzen um das System zu kompromittieren e Insecure Cryptographic Storage Sensitive Daten zum Beispiel Kreditkarten und Anmeldeda ten m ssen durch angemessene Kryptographie gesch tzt sein Unverschl sselte Daten k nnen von Angreifern gelesen und unzureichende Verschl sselungen gebrochen werden e Failure to Restrict URL Access Berechtigungen m ssen nicht nur berpr ft werden wenn Links oder Buttons generiert werden sondern auch wenn eingeschr nkt zug ngliche Seiten aufgerufen werden Angreifer k nnen sonst Seiten direkt aufrufen und so auf vertrauliche Inhalte sto en e Insufficient Transport Layer Protection Sensible Daten die ber ein Netzwerk ausgetauscht werden m ssen durch starke Kryptographie verschl sselt und mit g ltigen Zertifikaten versehen sein Andernfalls k nnen Angreifer die Kommunikation mitlesen oder ver ndern e Unvalidated Redirects and Forwards Bei der Weiterleitung von Benutzern werden unvertrauens w rdige Daten zur Bestimmung der Zielseiten verwendet Angreifer k nnen damit unautorisiert Seiten aufrufen oder andere Benutzer zu Malware Sei
37. nschenswert w re ein G tesiegel Anbieter der sich nicht nur auf die Kundensicherheit in Form von korrekten AGBs und Erf llung der Datenschutzgesetze konzentriert sondern explizit auch komplexe 68 re technische Anforderungen in seine Qualit tskriterien aufnimmt und diese berpr ft Beispielswei se k nnte ein Schwachstellen Check anhand der in Abschnitt 3 2 3 vorgestellten Liste der kritischsten Schwachstellen in Web Applikationen 34 durchgef hrt werden Au erdem w rde eine genauere Be schreibung der Pr fmethoden dazu f hren dass sowohl Webshops als auch Verbraucher die Auswirkun gen eines G tesiegel Zertifikats auf die Sicherheit besser einsch tzen k nnten 69 Literaturverzeichnis 1 2 3 4 5 6 7 Lo 8 9 10 11 12 13 14 15 16 17 70 Christopher Alberts Audree Dorofee James Stevens und Carol Woody Introduction to the OCTAVE Approach Carnegie Mellon Software Engineering Institute August 2003 Corinne Alexander und Maria I Marshall The Risk Matrix Illustrating the Importance of Risk Ma nagement Strategies Journal of Extension 2006 Michael B chle und Frank R Lehmann E Business Grundlagen elektronischer Gesch ftsprozesse im Web 2 0 Oldenbourg Wissenschaftsverlag 2010 ISBN 978 3 486 58362 5 BITKOM Bundesverband Informationswirtschaft Telekommunikation und neue Medien e V und DIN Deutsches Institut der Normung e V Nor
38. redaktionell durch das Einstellen der Inhalte am Web Auftritt Diese M glichkeit ist f r die weitere Betrachtung weniger interessant da hier kaum Einfluss auf die Gestaltung der Sicherheit genommen werden kann und die in den folgenden Kapiteln beschriebenen Methoden nicht anwendbar sind Nat rlich sollte in diesem Fall sichergestellt werden dass der mit der Auslagerung beauftragte Dienstleister f r die Sicherheit der Daten und der Infrastruktur sorgt In dieser Arbeit liegt der Fokus auf Webshops die keine Infrastruktur ausgelagert haben und daher f r die Evaluation und Verbesserung der Sicherheit selbst verantwortlich sind 1 Eine Software zur Planung der Unternehmensressourcen wie Personal oder Betriebsmitteln zum Beispiel k nnte so die noch vorhandene St ckzahl eines Artikels bestimmt und im Webshop angezeigt werden 2 Teilweise bernommen von http www at mix de ecommerce online shops 020101 htm aufgerufen am 18 08 2010 13 3 1 1 Hardware Die Hardware von Webshops variiert je nach Gr e und Outsourcing Anteil Bei kleineren Webshops befinden sich alle Anwendungen auf einem einzelnen Server gr ere Webshops besitzen entsprechend eine gr ere Anzahl an Servern sowie Komponenten die die Kundenanfragen unter ihnen aufteilen Ein Webshop mit mehreren Servern k nnte beispielsweise folgende Komponenten besitzen vgl 32 Seite 39 e Ein Server mit Zugang zum Internet der Kundenanfragen empf ngt weiterleitet u
39. um IT Systeme 23 http www isaca org KNOWLEDGE CENTER COBIT Pages Downloads aspx aufgerufen am 11 10 2010 38 in die Pr fung von Jahres Konzern und Zwischenabschl ssen einzubeziehen Die Pr fung beschr nkt sich dabei auf den Teil der IT der Daten verarbeitet oder speichert die f r die Rechnungslegung wichtig sein k nnen Durch die Anwendung des Standards soll das Risiko von Fehlern im IT System beurteilt werden k nnen Gepr ft werden dabei die Ebenen IT Infrastruktur IT Anwendungen IT gest tzte Gesch ftsprozesse das IT Umfeld und die IT Organisation Zu jeder Kategorie werden Risiken identifiziert die dann in der Kom bination mit anderen Risiken zu IT Fehlerrisiken f hren sodass die Gefahr von wesentlichen Fehlern in der Rechnungslegung besteht Beispielsweise sind fehlerhafte Funktionen in Anwendungen unvollst n dige Verfahrensregelungen und fehlende Eingabekontrollen von Daten Anwendungsrisiken die analy siert werden m ssen Im Standard werden Risikoindikatoren vorgestellt die Anhaltspunkte f r m gliche Risiken bieten und berpr ft werden sollen So muss die Abh ngigkeit des Unternehmens zur IT betrachtet werden beson ders wenn wichtige Daten nur in IT Systemen gespeichert werden Au erdem weisen gr ere nderun gen an IT Systemen oft ein Fehlerpotential auf Beachtet werden muss au erdem der Kenntnisstand bzw Ausbildungsgrad der Mitarbeiter und die Umsetzung der Gesch ftsstrategie in eine IT Strategie
40. 0 1 Mio Transaktionen 1x pro Jahr 4x pro Jahr pro Jahr 4 alle anderen 1x pro Jahr 4x pro Jahr Tabelle 4 5 Auflagen des PCI Standards f r unterschiedliche Level Bei H ndlern mit vielen Transaktionen oder einem Datendiebstahl in der Vergangenheit wird zus tzlich ein Security Audit vom QSA durchgef hrt Der Audit wird beim zu zertifizierenden Unternehmen durch gef hrt und beinhaltet die berpr fung der Serverr ume und Interviews mit Mitarbeitern Wurden alle berpr fungsma nahmen bei einem Unternehmen durchgef hrt ohne dass M ngel ent deckt wurden so ist es PCI konform Allerdings m ssen die zeitlich festgelegten Folge berpr fungen zufriedenstellend verlaufen um die Zertifizierung zu erhalten Aufwand und Kosten Die Kosten k nnen abh ngig vom Level sehr unterschiedlich sein Sie teilen sich auf in einmalige Kosten f r die ben tigte und eventuell noch nicht vorhandene Infrastruktur wie Firewalls die Kosten f r die berpr fungsma nahmen und Kosten zur Erhaltung der Konformit t Dazu kommt noch der Arbeitsaufwand um die Anforderungen zu erf llen Deshalb lagern KMUs die Verwaltung der Kreditkar tendaten oft aus um so Kosten und Aufwand zu sparen Bei einem der oben genannten Dienstleister kosten 4 Security Scans beispielsweise 780 Euro Der Stan dard selbst ist kostenlos erh ltlich Nutzen und Anpassbarkeit Der Standard ist verpflichtend f r Unternehmen die Kreditkartendaten verarbeiten Wir
41. 0 2010 7 Analyse In den vorangegangenen Kapiteln wurde eine bersicht ber verschiedene Methoden zu Evaluierung der IT Sicherheit gegeben Dabei wurde deutlich dass einige Methoden eher organisatorische Ma nahmen zur berpr fung und Umsetzung verwenden andere eher eine technik fokussierte Herangehensweise nutzen Die Abbildungen 7 0 1 und 7 0 2 zeigen eine grobe Einordnung der untersuchten Methoden Die Audits sind jeweils mittig eingeordnet wobei es nat rlich vom Dienstleister und den W nschen des auditierten Unternehmens abh ngt ob sich die Durchf hrung auf technische oder organisatorische Details konzentriert d G te hoch v mittel niedrig Abbildung 7 0 1 Grobe Einordnung der Methoden anhand der technischen Fokussierung oO PS 33 Checklisten Ps 330 G te Analyse 15027001 vana EEA hoch mittel niedrig Abbildung 7 0 2 Grobe Einordnung der Methoden anhand der organisatorischen Fokussierung Die verschiedenen vorgestellten Ans tze und Methoden haben unterschiedliche Ziele und auch unter schiedliche Anwendungs und Wirkungsbereiche W hrend ISO 27001 ein Managementsystem auf orga nisatorischer Ebene bereit stellt mit dem die Sicherheit nachhaltig implementiert werden soll berpr ft ein Analyseprogramm einen bestimmten Webserver auf technische Schwachstellen Die beiden Metho den schlie en sich aber nicht aus zur vollst ndigen Evaluation muss die Sicherheit auf allen E
42. 3 eine Antivi renl sung und ebenfalls 93 eine Firewall einsetzen 81 der Unternehmen haben einen Spam Filter 39 Dies wird durch hnliche Ergebnisse 81 der befragten Unternehmen setzen Firewalls ein 94 benutzen Antivirenprogramme in einer weiteren KMU Studie zu IT Sicherheit 9 best tigt hier wurden 40 Unternehmen aus Europa befragt die weniger als 250 Mitarbeiter besch ftigen Die Studie deckt aber auch auf dass nur 29 der Unternehmen Ma nahmen f r den physischen Schutz ergriffen haben also zum Beispiel Zutrittskontrolle und gesicherte Serverr ume Ein weiteres Ergebnis der Studie bei dem nicht nur Antworten der 40 Unternehmen aus Europa sondern auch weiteren 81 Unternehmen aus der USA einflossen zeigt dass bei nur 25 der Unternehmen die Sicherheitsverantwortlichen anerkannte IT Sicherheitsqualifikationen besitzen Aufgrund der Kosten lagern mehr und mehr Unternehmen ihre IT Abteilung an externe Dienstleister aus Dieses Outsourcing kann zu Kostenvorteilen und Qualit tssteigerung f hren Vor allem Unterneh men die aus einem Gesch ftsbereich stammen der wenig mit IT zu tun hat k nnen sich so auf ihre Kernkompetenzen konzentrieren Aber selbst bei Auslagerung der Infrastruktur darf nicht vernachl ssigt werden dass neben der Technik auch der Mensch ein Sicherheitsrisiko ist So k nnen Mitarbeiter durch fahrl ssiges Verhalten Angriffe oder Diebstahl von Daten erm glichen Dass dies ein ernst zu nehmendes Risiko is
43. Analyse der Methoden wird das in Abschnitt 1 4 definierte Template verwendet Zus tzlich werden zu jeder Methode noch mehrere f r Webshops geeignete Beispiele aufgelistet 6 1 Frageb gen und Checklisten Frageb gen und Checklisten versprechen einen schnellen berblick ber die momentane Situation der IT Sicherheit Die zust ndigen Mitarbeiter im Unternehmen k nnen sie ohne externe Hilfe in k rzester Zeit durchf hren und erhalten dann je nach Konzeption eine Bewertung der IT Sicherheit oder konkrete Verbesserungsvorschl ge Ebene Die Fragen konzentrieren sich in den analysierten Beispielen auf Details zur Infrastruktur und Organisa tion Voraussetzungen F r die Durchf hrung sind neben einem fachkundigen Mitarbeiter keine Bedingungen notwendig Mei stens haben die Frageb gen und Checklisten spezielle Zielgruppen und Schwerpunkte die beachtet wer den sollten Pr fung Oft kann die Pr fung innerhalb von wenigen Stunden abgehandelt werden Aufwand und Kosten Die Kosten f r die Evaluation bestehen bei kostenlosen Checklisten und Frageb gen nur aus der Arbeits zeit der Mitarbeiter Der Aufwand f r die Umsetzung von empfohlenen Ma nahmen oder Beseitigung der entdeckten Schwachstellen kann schwer verallgemeinert werden Bei den unten aufgef hrten Bei spielen d rften sie akzeptabel sein insbesondere da man davon ausgehen kann dass einige der Basis Sicherheitma nahmen in vielen Unternehmen schon umgesetzt sind 54
44. DS5 sind Vertraulichkeit und Integrit t prim re Ziele Verf gbarkeit Verl sslichkeit und die Einhaltung gesetzli cher Richtlinien sekund re Ziele In elf Kontrollzielen werden die Ziele n her beschrieben Sie enthalten Anweisungen das Management der IT Sicherheit auf der obersten Organisationsebene zu etablieren DS5 1 sowie einen umfassenden IT Sicherheitsplan zu entwerfen und zu kommunizieren DS5 2 Ein Fokus liegt auf der Verwaltung der Benutzer sie m ssen zusammen mit den von ihnen durchgef hrten Aktivit ten eindeutig identifizierbar sein DS5 3 und einem Zugriffsberechtigssystem unterliegen DS5 4 Die Sicherheit und Ma nahmen sollten berwacht und berpr ft werden DS5 5 sowie Sicherheitsvorf lle identifiziert und Gegenma nahmen festgelegt werden DS5 6 Sowohl Hardware DS5 7 als auch Software sollte abgesichert werden letztere beispielsweise durch Software Updates und Antivirenprogramme DS5 9 Die Netz werksicherheit DS5 10 und der sichere Austausch sensitiver Daten DS5 11 muss etabliert werden 37 Die zur Verschl sselung eingesetzten kryptographischen Schl ssel m ssen verwaltet werden DS5 8 Des Weiteren sind f r den Prozess Ein und Ausgaben sowie die Aktivit ten und deren Zust ndigkeit de finiert vgl 21 S 119 Darauf folgen Ziele und Metriken auf den oben angesprochenen drei Ebenen ein Aktivit tsziel ist beispielsweise das Management der Benutzer und deren Zugriffsbeschr nkungen Entsprec
45. Datenschutzes notwendig sind siehe Abbildung 3 2 1 In 89a wird ein Datenschutzaudit thematisiert der die M glich keit einer unabh ngigen Pr fung des Datenschutzes bietet Die zugelassenen Gutachter bewerten dabei sowohl das Konzept als auch technische Einrichtungen und ver ffentlichen das Ergebnis N heres sollte in einem eigenen Gesetz geregelt werden welches jedoch nicht verabschiedet wurde Von organisatori scher Seite verlangt 85 des BDSG dass die Mitarbeiter zum Datenschutz verpflichtet werden Neben dem Bundesdatenschutzgesetz ist das Telemediengesetz f r den Datenschutz von Bedeutung Dort finden sich allerdings keine sicherheitsrelevanten Anforderungen 1 Unbefugten wird physischer Zutritt zu Datenverarbeitungsanalagen verwehrt Zu trittskontrolle 2 Nutzung von Datenverarbeitungssystemen durch Unbefugte wird verhindert Zu gangskontrolle 3 Berechtigte Benutzer k nnen ausschlie lich auf Daten zugreifen die ihrer Zugriffs berechtigung unterliegen Personenbezogene Daten werden w hrend der Verarbei tung und nach der Speicherung nicht unbefugt gelesen oder manipuliert Zugriffs kontrolle 4 Personenbezogene Daten k nnen w hrend der bertragung nicht unbefugt gelesen oder manipuliert werden Die bermittlung personenbezogener Daten kann nach vollzogen werden Weitergabekontrolle 5 Die Eingabe von und Manipulation an personenbezogenen Daten ist im Nachhinein nachvollziehbar Eingabekontrolle 6 Pers
46. ES 168 112 Bit angegeben einsetzen muss Es darf keine unverschl sselte bertragung von Zahlungsinformationen stattfinden Ebene F r eine erfolgreiche Zertifizierung werden sowohl technische Ma nahmen wie das sicherheitsorientier te berpr fen von Datenverbindungen als auch Prozessanalysen beispielsweise durch Testbestellungen durchgef hrt Voraussetzungen Dieses G tesiegel wird nur an Webshops vergeben Pr fung Nach der ausschlie lich ber das Internet durchgef hrten Pr fung bei der ein Pr fbericht in Form einer Checkliste erstellt wird bleibt dem Webshop Zeit Verbesserungen umzusetzen die in einer Endkontrolle berpr ft werden Der Bericht enth lt Vorschl ge zur Beseitigung der M ngel und unterst tzt so das zu zertifizierende Unternehmen Das Zertifikat ist ein Jahr g ltig danach muss eine Nachpr fung vorgenommen werden Auch hier gibt es die M glichkeit nicht erf llte Anforderungen nachtr glich umzusetzen Aufwand und Kosten Laut Webseite kann der gesamte Ablauf von der Pr fung bis zur Vergabe des G tesiegels unter sehr guten Bedingungen drei Wochen dauern Die Kosten f r das G tesiegel sind abh ngig vom Umsatz des Unternehmens und liegen bei 750 2 800 im Jahr siehe Tabelle 5 1 Jahresumsatz j hrliche Kosten f r das G tesiegel bis 250 000 750 bis 500 000 850 bis 1 000 000 950 bis 2 500 000 1 200 bis 5 000 000 1 800 bis 10 000 000
47. Gestaltung von Gesch ftsmodellen in der vernetzten Wirt schaft 2008 ISBN 978 3 8252 2991 7 Sebastian Meissner Zertifizierungskriterien f r das Datenschutzg tesiegel EuroPriSe DuD Daten schutz und Datensicherheit Seiten 525 531 August 2008 The Open Web Application Security Project OWASP Top 10 2010 release The Ten Most Critical Web Application Security Risks 2010 http www owasp org index php Top_10 aufgerufen am 12 10 2010 Dr Michael Schmidl Aspekte des Rechts der IT Sicherheit Neue Juristische Wochenschrift Seiten 476 481 2010 Bruce Schneier Attack Trees Modeling Security Threats Dr Dobb s Journal December 1999 71 E 37 Wolfgang Sidler Vertrauen schaffen mit zertifizierter Sicherheit Informations Sicherheit f r KMU IT Business 01 2009 2009 38 Christof Stych und Klaus Zeppenfeld ITIL Springer 2008 ISBN 978 3 540 73118 4 39 TechConsult Microsoft Trendbarometer f r kleine Unternehmen April 2007 40 Frank Victor und Holger G nter Optimiertes IT Management mit ITIL vieweg Verlag 2 Auflage 2005 ISBN 3 528 15894 8 72
48. Institute vergeben einem Zusam menschluss von Handelsunternehmen und Branchenverb nden Es wurden 421 Shops zertifiziert Das G tesiegel ist an das euro label angeschlossen eine Kooperation von sechs nationalen europ ischen G tesiegel Anbietern Diese Vereinigung hat einen Europ ischen Verhaltenskodex Code of Conduct aufgestellt der aber keine Anforderungen an Ma nahmen zum Schutz der Infrastruktur hat und nur die http www datenschutz cert de download ips RegisterAuditoren_ips pdf aufgerufen am 16 08 2010 http www datenschutz cert de download ips VergabeNutzungsbedingungen pdf aufgerufen am 07 10 2010 http www shopinfo net zertifizierte shops index html aufgerufen am 12 10 2010 http www euro label com kodex index html aufgerufen am 11 10 2010 Gew hrleistung der Vertraulichkeit der Daten fordert ohne konkrete Wege zum Erreichen dieses Ziels aufzuzeigen Die Pr fkriterien des G tesiegels gehen jedoch ber diesen Verhaltenskodex hinaus Sie sind in 17 Paragraphen unterteilt 17 besch ftigt sich mit der IT Sicherheit und fordert ein angemessenes Sicher heitskonzept welches die Sicherheit von Kundendaten den Schutz der Systeme und Verfahren gegen unberechtigten Zugriff und die verschl sselte bertragung von Zahlungsinformationen sicherstellt Es wird spezifiziert dass diese Verschl sselung eine Schl ssell nge von 1024 Bit f r den Schl sseltausch und starke Kryptographie als Beispiel wird Triple D
49. SO 27001 basierend auf IT Grundschutz Durch Anlehnung an eine internationale ISO Norm und Ver ffentlichung einer englischen bersetzung des Standards soll die weltweite Anerkennung sichergestellt werden Im Gegensatz zu ISO 27001 wird die ser Standard aber momentan nicht international eingesetzt Im Jahr 2004 also vor der Ann herung an ISO 27001 gab es selbst in Deutschland nur f nf zertifizierte Unternehmen 2010 sind es immerhin 38 Unternehmen und neun laufende Zertifizierungen http www 27001 online com auditing htm aufgerufen am 04 10 2010 gt _ http www dakks de akkreditierte_stellen aufgerufen am 05 10 2010 6 http www maxi pedia com ISO 27001 aufgerufen am 29 09 2010 7 https www bsi bund de cln_156 ContentBSI grundschutz zert veroeffentl ISO27001Zertifikate iso27001_zertifikate html aufgerufen am 04 08 2010 25 aaa S Bezeichnung Inhalt BSI Standard 100 1 Managementsysteme f r Informationssi cherheit ISMS BSI Standard 100 2 Vorgehensweise nach IT Grundschutz BSI Standard 100 3 Risikoanalyse nach IT Grundschutz Tabelle 4 2 Tabelle zu BSI Standards aus 19 Der Standard orientiert sich am Plan Do Check Act Zyklus PDCA Wie bei den ISO Normen ist der Stan dard in mehrere Teile aufgeteilt siehe Tabelle 4 2 Zus tzlich werden noch die IT Grundschutz Kataloge ben tigt die aus Bausteinen einem Gef hrdungskatalog und einem Ma nahmenkatalog bestehen Die Abbildung 4 2 1 liefert einen ber
50. Sicherheitsbeauftragten besteht Sie sind Ansprechpartner f r alle IT Sicherheits Themen und organisieren unter anderem den Sicherheitsprozess f hren Sensibilisierungs ma nahmen durch und untersuchen IT Sicherheitsvorf lle In der darauf folgenden IT Strukturanalyse wird der aktuelle Zustands des Systems analysiert Dazu werden zun chst alle Komponenten des IT Verbunds aufgelistet Eine graphische bersicht des Netz werks Netzplan hilft die Vernetzung der Komponenten zu erkennen dabei k nnen hnliche Objekte mit der gleichen Aufgabe zusammengefasst werden Alle Komponenten und auch die IT Anwendungen und R ume m ssen erfasst werden sodass eine vollst ndige Datengrundlage entsteht anhand derer der Schutzbedarf f r alle Objekte festgestellt werden kann Mit der Schutzbedarfsfeststellung wird eine Priorisierung des Schutzbedarfs f r die einzelnen Komponen ten vorgenommen Bei dem Verlust von Vertraulichkeit Verf gbarkeit oder Integrit t treten typischerwei se ein oder mehrere Schadensszenarien auf Im BSI Standard 100 2 werden dazu Beispiele wie Gesetzes verst e finanzielle Auswirkungen oder Imagesch den aufgef hrt Die Szenarien m ssen analysiert und in die drei Schutzbedarfskategorien normal hoch und sehr hoch eingeteilt werden Die Einordnung sollte so gew hlt sein dass f r einen normalen Schutzbedarf Standard Sicherheitsma nahmen ausrei chen F r alle IT Anwendungen wird nun festgestellt inwiefern
51. Sicherheitsbetrachtung 3 2 1 Rechtliche Anforderungen 02 2 2220 Ruta een 3 2 2 Schutzziele 3 2 3 Gef hrdungen 4 Standards 4 1 ISO IEC 27001 4 2 ISO 27001 basierend auf IF Grundsch tz as sau ar Ri iiit 4 3 Payment Card Industry Data Security Standard 2 2222 o nennen 4 4 OCTAVE 2 2 2 4 5 IT u ae 46 Cobit 222222220 4 7 IDWPS330 4 8 Common Criteria 5 G tesiegel 5 1 Initiative D21 5 1 1 Trusted Shops 5 1 2 S fer Shopping 5 1 3 Internet Privacy Standards eur aaa 5 1 4 EHI Gepr fter Online Shop zu 00 0 00 aa aa nr aan 5 2 Weitere Webshop G tesiegel 5 3 Datenschutz G tesiegel 5 3 1 ULD Datensch tz G tesiesel 3 22 22 0 84 2 22 1 1 1 1 1 BE 5 3 2 Datenschutz G tesiegel der Freien Hansestadt Bremen 2 20 5 3 3 Europ isches Datenschutz G tesiegel 22 22 c nn o nennen 6 Sonstige Sicherheits berpr fungen 6 1 Frageb gen und Checklisten 0o O NNN 10 10 10 12 12 14 14 15 16 16 17 18 18 22 22 25 29 32 33 36 38 40 42 42 43 44 45 46 48 49 49 51 52 54 54 6 2 Analyseprogramme 222224424 42 20 wanna EEE EEE ZH EEE 56 6 3 Sicherheits Audits ua 5er ers 58 7 Analyse 61 7 1 Eignung von Standards 32 28 Bar eg 63 7 2 Eignung von G tesiegeln as aan 64 7 3 Eignung von sonstigen Sicherheits berpr fungen 2 22 22 nennen 66
52. Untersuchung der Anwendbarkeit von Methoden zur Evaluierung der IT Sicherheit auf KMU Webshops An analysis of the applicability of IT security evaluations for SME online shops Bachelor Thesis von Christian Fritz 19 Oktober 2010 O CASED Untersuchung der Anwendbarkeit von Methoden zur Evaluierung der IT Sicherheit auf KMU Webshops Genehmigte Bachelor Thesis von Christian Fritz Gutachten Dr Melanie Volkamer Tag der Einreichung Technische Universit t Darmstadt Fachbereich Informatik Center for Advanced Security Research Darmstadt CASED Dr Melanie Volkamer Erkl rung zur Bachelor Thesis Hiermit versichere ich die vorliegende Bachelor Thesis ohne Hilfe Dritter nur mit den an gegebenen Quellen und Hilfsmitteln angefertigt zu haben Alle Stellen die aus Quellen entnommen wurden sind als solche kenntlich gemacht Diese Arbeit hat in gleicher oder hnlicher Form noch keiner Pr fungsbeh rde vorgelegen Darmstadt den 19 Oktober 2010 C Fritz Zusammenfassung Moderne Informationstechnologie wird heutzutage in vielen Unternehmen zur Verarbeitung von ge sch ftsrelevanten Daten eingesetzt Dies trifft vor allem auf Webshops zu deren gesamtes Gesch fts modell vom Internet abh ngig ist Dadurch entstehen neue Gef hrdungen Neben technischen Defekten stellen Angriffe ber das Internet das gr te Risiko dar Die notwendige Absicherung der IT Infrastruktur ist f r viele Webshops eine Herausford
53. Zertifizierung m ssen die ausgew hlten Ma nahmen der IT Grundschutz Kataloge umge setzt sein sofern sie zutreffend und angemessen sind Es besteht die M glichkeit Vorstufen des IT Grundschutz Zertifikats zu erlangen Hierf r muss nur ein Teil der Ma nahmen umgesetzt sein Das Testat Einstiegsstufe verlangt dabei die Umsetzung aller ausgew hlten Ma nahmen die als Stufe A klassifiziert sind dies sind die unumg nglichen Standard Sicherungsma nahmen Entsprechend wird die Erf llung der wichtigsten Standard Sicherungsma nahmen Stufe A und B mit dem Testat Auf https www bsi bund de cln_174 DE Themen weitereThemen ITGrundschutzZertifikat Veroeffentlichungen ISO27001Auditoren iso27001lauditoren_node html aufgerufen am 05 10 2010 28 baustufe gekennzeichnet F r die vollst ndige Zertifizierung wird auch die Umsetzung der Ma nahmen der Stufe C gefordert Die Zertifizierung der Vorstufen kosten beim BSI jeweils 45 die vollst ndige Zertifizierung 2 500 Der gr ere Teil der Kosten f llt f r den Auditor sowie f r die Umsetzung der Ma nahmen an Der Standard selbst ist frei im Internet verf gbar Zur Unterst tzung wird vom BSI die kostenpflichtige Software GSTOOL angeboten es gibt allerdings auch ein kostenloses Werkzeug namens verinice Nutzen und Anpassbarkeit Eine erfolgreiche Zertifizierung geht sowohl vom Aufwand als auch vom Nutzen weit ber eine Evaluie rung der IT Sicherheit hinaus
54. ab Entscheidend ist ob Mitarbeiter mit Wissen ber IT Sicherheit verf gbar sind wie viel Geld ausgegeben werden kann und wie viel Aufwand investiert werden soll Zus tzlich spielt es eine Rolle ob die ber pr fung einmalig oder regelm ig stattfinden soll Wegen der geringen Ressourcen die zur Verf gung stehen k nnen keine umfangreichen Ma nahmen umgesetzt werden Daher eignen sich viele der Standards aufgrund ihres Aufwands nicht andere ha ben einen anderen Fokus und sind daher ungeeignet Stattdessen kann es f r kleine Webshops gut sein einen inkrementellen Ansatz anzuwenden Zun chst k nnen durch Frageb gen und Checklisten die nichts kosten und nur einen geringen Aufwand verursachen grunds tzliche Sicherheitsma nah men berpr ft werden So wird bereits sichergestellt dass einige der vorgestellten Gef hrdungen siehe 66 Abschnitt 3 2 3 wie Malware berpr ft werden k nnen Darauf k nnen dann weitere komplexere Kon trollen erfolgen F r die technische berpr fung bieten sich vor allem Analyseprogramme an Sie k nnen bei geringem Aufwand und einmaligen Anschaffungskosten viele der technischen Schwachstellen einer Webseite zum Beispiel Formulare die anf llig f r SQL Injections sind aufdecken Das Risiko der Gef hrdungen kann verringert werden indem der Webshop etablierte Webshop Software einsetzt statt eigene zu entwickeln da diese meist schon ausreichend getestet worden ist und Sicherheitsfunktionen ent
55. amt richtet sich das Dokument meistens an den PC Benutzer dem m gliche http www kmu sicherheit eu index cfm pid 1 aufgerufen am 31 07 2010 2 https www sicher im netz de files documents 06_01_Checkliste_firmen pdf aufgerufen am 30 07 2010 55 Bedrohungen und eine angemessene Reaktion darauf beschrieben werden und eher selten an die IT Sachverst ndigen einer Firma zum Beispiel wenn es darum geht Software bereit zu stellen Des Weiteren bietet der Verein noch andere Ratgeber an die die Absicherung eines Unternehmen zum Ziel haben e Das Pocket Seminar IT Sicherheit welches Teil einer Schriftenreihe der SAP AG ist richtet sich speziell an kleine und mittlere Unternehmen Es thematisiert die Sicherheit von einzelnen PCs Netzwerken und Betriebssystemen besitzt aber auch einen Teilabschnitt ber Internet Auftritte Nach jedem Kapitel folgt eine Checkliste in der die wichtigsten Sicherungsma nahmen notiert sind Die enthaltenen Informationen sind aber recht oberfl chlich gehalten der Fokus liegt auf ei nem schnellen berblick ber viele Themen e Die in Zusammenarbeit mit DATEV entstandene Informationsbrosch re Sicher im Netz Leitfa den zum sicheren Umgang mit IT f r Unternehmen enth lt unter anderem ein Unterkapitel Sicherheitsvorkehrungen in dem elementare Bedrohungen und Schutzma nahmen aus Sicht der Unternehmen aufgelistet sind InfoSurance Der Verein InfoSurance aus der Schweiz hat
56. as aufw ndig ist sodass keine uneingeschr nkte Empfehlung f r jeden Webshop ausgesprochen werden kann 7 2 Eignung von G tesiegeln In den Abbildungen 7 0 1 und 7 0 2 wurden die G tesiegel zusammengefasst da sie nahezu identische Kriterien pr fen Daher liefert auch eine Zertifizierung bei allen eine hnliche Auskunft ber die Sicher heit des Systems Tabelle 7 1 visualisiert die f r die IT Sicherheit wichtigsten bereinstimmungen bei den Qualit tskriterien der Anbieter Bemerkenswert ist dass alle auf Webshops spezialisierten Online G tesiegel die Datenschutzbestimmungen berpr fen Das Erlangen eines Datenschutzg tesiegels dass keinerlei Spezialisierung auf Webshops bietet hat demnach bez glich der IT Sicherheit keinen Mehrwert Die nicht von D21 empfohlenen G tesiegel sicher amp seri s s amp s Sicher einkaufen im Netz s e i N 64 Bonicert Bc und Chip Xonio Online Shop Zertifikat CX bieten kaum Sicherheitskriterien und sind daher f r eine berpr fung der IT Sicherheit nicht empfehlenswert User friendly Online Shop wurde erst gar nicht in die Tabelle aufgenommen weil es keinerlei Sicherheits berpr fungen enth lt Da zwar die recht allgemein verfassten Kriterien f r die G tesiegel ffentlich sind jedoch nicht die Eva luationsmethoden ist es schwer die G tesiegel genau nach ihrem Nutzen zu priorisieren Die von der Initiative D21 empfohlenen G tesiegel berpr fen di
57. atz von Verschl sselung und eines IT Sicherheitskonzept welches nicht n her definiert ist 5 3 Datenschutz G tesiegel Die folgenden G tesiegel konzentrieren sich ausschlie lich auf Datenschutz Aspekte Auch in den vo rigen G tesiegeln gab es schon Datenschutz Anforderungen internet privacy standards weist sogar schon durch den Namen darauf hin Neben dem engerem Fokus sind die in diesem Kapitel vorgestellten G tesiegel allgemein auf technische Systeme anwendbar und daher nicht wie die vorigen auf Webshops spezialisiert 5 3 1 ULD Datenschutz G tesiegel Das Datenschutz G tesiegel des unabh ngigen Landeszentrum f r Datenschutz Schleswig Holstein ULD SH bietet eine Zertifizierung f r sicherheitskritische Produkte und ist auf Datensicherheit und Daten schutz fokussiert Momentan sind G tesiegel an 32 Produkte vergeben zum Beispiel f r Verfahren zur Datenvernichtung Aktuell gibt es keine Webshops mit ULD Datenschutz G tesiegel Der Anforderungskatalog f r die Zertifizierung 8 orientiert sich stark an den rechtlichen Vorgaben sowohl am bundesweit geltenden Bundesdatenschutzgesetz als auch an Gesetzen des Landes Schleswig Holstein zum Beispiel dem Landesdatenschutzgesetz oder der schleswig holsteinischen Datenschutzver ordnung DSVO Er ist unterteilt in ein allgemeines Anforderungsprofil und ein Anforderungsprofil f r Protokolldaten Das allgemeine Anforderungsprofil dessen Struktur in Tabelle 5 2 dargestel
58. bei einfacheren Audits liegt das Ergebnis vor Aufwand und Kosten Die Kosten f r den Sicherheitsaudit sind je nach Gr enordnung unterschiedlich Die unten aufgef hrten Beispiele enthalten sowohl kostenlose Angebote als auch Audits die einen vierstelligen Betrag kosten Der Aufwand f r das Unternehmen ist gering da die Durchf hrung des Audits und die Auswertung vom Auditor bernommen wird Daher entf llt eine Einarbeitungszeit und es ist kein Expertenwissen notwen dig lediglich die Mitarbeiter die den Auditor unterst tzen m ssen Arbeitszeit aufwenden Nutzen und Anpassbarkeit Der Nutzen h ngt von der Vollst ndigkeit des Kriterienkatalogs ab F r Unternehmen die keine Erfah rungen im Bereich der IT Sicherheit haben und keine Mitarbeiter daf r einstellen k nnen bietet ein Sicherheitsaudit oft die einzige Chance die Infrastruktur trotzdem auf Basis von Expertenwissen sicher heitstechnisch bewerten zu lassen Der Audit wird in der Regel so durchgef hrt dass er die Eigenschaften des Unternehmens wie Gr e und Infrastruktur ber cksichtigt Trusted Shops Security Audit Der Trusted Shops Security Audit ist ein speziell auf Webshops abgestimmter Sicherheits Audit und wird von Trusted Shops GmbH dem Anbieter des zuvor vorgestellten G tesiegels siehe Abschnitt 5 1 1 angeboten Der Fokus der Pr fung liegt auf den technischen und organisatorischen Methoden die die IT Sicherheit gew hrleisten sollen Sie bietet vergl
59. benen berpr ft werden So kann durch das Managementsystem der Webserver als Wert des Unternehmens identifiziert werden der gesch tzt werden muss Daraufhin kann eine berpr fung seiner Schwachstel len angeordnet werden beispielsweise durch eine Analyseprogramm Neben den unterschiedlichen Zielen sind vor allem die ben tigten Ressourcen ein wichtiges Entschei dungskriterium f r KMUs Die Frage ist daher auch wie viel der Webshop in die Sicherheit investieren kann und will Zur Veranschaulichung sind daher die Methoden nach den wichtigsten Nebenkriterien 61 Aufwand Kosten und ben tigtes Wissen analysiert und jeweils in drei Kategorien niedrig mittel hoch eingeteilt Diese grobe Aufteilung ist n tig da besonders Kosten und Aufwand sehr stark von der Kom plexit t der Infrastruktur abh ngen ITIL Grund BE IS027001 She siegel OCTAVE Analyse PS 330 Checklisten hoch mittel niedrig Abbildung 7 0 3 Einordnung der Methoden nach dem Kriterium Kosten Die Abbildung 7 0 3 zeigt die Einordnung bez glich der Kosten der Methoden W hrend die teuren aufw ndigeren Standards wie ISO 27001 und Common Criteria hohe Kosten verursachen und f r KMU Webshops daher schwer finanzierbar sind ist die finanzielle Belastung der Kategorien mittel und nied rig tragbar Die Risikoanalyse nach OCTAVE ben tigt beispielsweise lediglich ein Team von erfahrenen Mitarbeitern und Analyseprogramme kosten nur bei der
60. blick ber die Vorgehensweise die im Weiteren erl utert wird IT Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis Sicherheitscheck Schutzbedarf Aiii hoch sehr hoch erg nzende normal Sicherheitsanalyse Realisierung Abbildung 4 2 1 Die Vorgehensweise nach Grundschutz Methodik Um ein norm konformes Managementsystem f r Informationssicherheit ISMS zu implementieren muss zun chst der Geltungsbereich festgelegt werden Die ausgew hlten und im weiteren Verlauf be trachteten Komponenten werden als IT Verbund bezeichnet Beim IT Grundschutz handelt es sich dabei vor allem um technische Komponenten wie Server oder Datenleitungen Als n chstes werden die Sicherheitsziele ihr Zusammenhang mit den Gesch ftszielen und eine Stra tegie f r ihre Umsetzung definiert Dabei sollten Rahmenbedingungen wie gesetzliche Vorgaben von denen das Unternehmen betroffen ist oder bereits bestehende interne Richtlinien beachtet werden Alle relevanten Ergebnisse werden in einer IT Sicherheitsleitlinie festgehalten die nach ihrer Fertig stellung im Unternehmen ver ffentlicht wird um das Bewusstsein aller Mitarbeiter f r IT Sicherheit 8 https www bsi bund de cln_174 DE Themen weitereThemen ITGrundschutzKataloge itgrundschutzkataloge_node html aufgerufen am 05 10 2010 26 zu sensibilisieren Au erdem muss eine IT Sicherheitsorganisation aufgebaut werden die im Wesent lichen aus einem oder mehreren IT
61. chen Angriffen auf die unterschiedlichen Komponenten des Webshops zu unterscheiden 11 Bei Webshops die vom Benutzer keine eindeutige Identifizierung verlangen ist es Angreifern m glich sich als eine ande re oder sogar nicht existente Person auszugeben Durch die Einschr nkung der Zahlungsarten wird zumindest verhindert dass dem Webshop dadurch ein finanzieller Schaden entsteht 18 A O Verlust der Abschalten Daten des Servers EL ze EEE DoS Attacke physischer Zugriff Security Misconfiguration Abbildung 3 2 2 Angriffsbaum zur Verf gbarkeit Abbildung 3 2 2 gibt einen berblick ber m gliche Angriffe gegen die Verf gbarkeit Es ist zu beachten dass die Angriffe meist noch konkreter unterschieden werden Malware umfasst beispielsweise Spyware trojanische Pferde Viren W rmer und Rootkits Ein Angriff kann auch mehrere Schutzziele gef hrden Wenn ein Angreifer physischen Zugriff auf den Server hat kann er ihn ausschalten Daten auslesen oder ver ndern Dies hat eine Verletzung der Verf gbarkeit Vertraulichkeit und Integrit t zur Folge Bei ei nem DoS Angriff sendet ein Angreifer sehr viele Anfragen an einen Server sodass dieser nicht mehr auf andere Anfragen reagieren kann denial of service beispielsweise weil die Kapazit t seiner Netzwerk verbindung oder die Rechenleistung ersch pft ist Eine Variante davon ist der DDoS Angriff distributed denial of service bei dem sehr viele Clients meis
62. d er nicht einge halten so drohen bei einem Diebstahl von Kreditkartendaten Konsequenzen Es kann zu hohen Strafzah lungen bis hin zum Ausschluss von der Kreditkartenbezahlung kommen In jedem Fall werden H ndler 17 http www solidcore com assets PCI_Cost_Analysis pdf aufgerufen am 10 10 2010 18 Preise zzgl Mehrwertsteuer http pci usd de files public download german usd_PCI_DSS_Vulnerability Scans 2010 _de pdf aufgerufen am 17 08 2010 19 https www pcisecuritystandards org security_standards pci_dss shtml aufgerufen am 17 08 2010 31 mit Level 2 bis 4 automatisch auf Level 1 hochgestuft was zu h heren Kosten f hrt Abgesehen davon ist ein Datendiebstahl oft mit Ansehens und Vertrauensverlust beim Kunden verbunden was zu Um satzeinbr chen f hren kann Tritt ein solcher Diebstahl auf obwohl das Unternehmen PCI zertifiziert ist so werden die Strafgeb hren gesenkt oder erlassen Safe Harbour L sung Die aufgestellten Anforde rungen sind sicherheitsorientiert ihre Umsetzung ist f r die Verbesserung der IT Sicherheit f rderlich Die detaillieren Anforderungen erlauben wenig Interpretationsfreiheit und sind alle verpflichtend Daher sind kaum Anpassungen m glich 4 4 OCTAVE Operationally Critical Threat Asset and Vulnerability Evaluation OCTAVE ist ein Ansatz zur Risi koanalyse bez glich Informationssicherheit der auf den drei Komponenten Bedrohungen Werte und Schwachstellen basiert Er wurde vom Software Engi
63. d oft zu aufw ndig und zu teuer f r kleinere und mittlere Webshops Lediglich das nicht zertifizierbare Vorgehensmodell nach OCTAVE S ist mit Hilfe von Expertenwissen umsetzbar Der Kreditkarten Standard PCI muss bei Verarbeitung der Kreditkartendaten ber cksichtigt werden Er umfasst sinnvolle Sicherungsma nahmen ohne die Kreditkarten Verarbeitung sind aber Teile des Standards nicht umsetzbar Des Weiteren ist die geplante Anzahl der Sicherheits berpr fungen zu ber cksichtigen Bei dauerhafter berpr fung der IT Sicherheit kann es sinnvoller sein ein berwachungssystem beispielsweise in Form eines Risikomanagements mit OCTAVE S zu implementieren w hrend bei einem einmaligen Check ein externer Sicherheitsaudit einen geringeren Aufwand bedeutet besonders wenn wenig Expertenwissen im Bereich IT Sicherheit vorhanden ist F r einen langfristigen berblick ber das Sicherheitsniveau ist es jedoch wichtig die Sicherheits berpr fungen regelm ig durchzuf hren und auch auf ver nderte Rahmenbedingungen anzupassen Grunds tzlich ist es f r kleine Webshops zu empfehlen zun chst durch die im Internet verf gbaren Frageb gen und Checklisten die Basis Sicherheit zu berpr fen und anschlie end weitere Ma nahmen durchzuf hren F r die technische berpr fung bieten sich Analyseprogramme an die Einhaltung der Datenschutzbestimmungen k nnen durch G tesiegel bescheinigt werden Webshops die ber keinerlei Wissen im Bereich IT Sich
64. den Die BSI Open Source Security Suite ist beispielsweise weniger komfortabel in der Be dienung als kommerzielle Vertreter kostet daf r aber kein Geld Analyseprogramme sind geeignet um technische Schwachstellen aufzudecken So k nnen gute Programme viele der in Abschnitt 3 2 3 gezeig ten Angriffe beispielsweise SQL Injections DoS Attacken oder das Abh ren des Kommunikationskanals erkennen Sie k nnen allerdings nicht berpr fen ob ein physischer Zugriff auf die Infrastruktur m g lich ist Der Nachteil aller diese Sicherheitsma nahmen ist dass sie nicht auf eine kontinuierliche berpr fung ausgelegt sind Zur dauerhaften Aufrechterhaltung der Sicherheit sollte bei Anwendung einer dieser Me thoden daher ein Plan ausgearbeitet werden der eine Wiederholung dieser Sicherheits berpr fungen vorsieht F r die berpr fung der technischen Angriffe sind Audits bzw f r erfahrenere Mitarbeiter Ana lyseprogramme ein sehr n tzliches Werkzeug f r die anderen Gef hrdungen m ssen andere Ma nah men gefunden werden Frageb gen und Checklisten pr fen ob die grundlegenden Sicherheitsma nah men umgesetzt wurden und sind daher wichtig Sie alleine helfen allerdings wenig gegen zielgerichtete Angriffe aus dem Internet 7 4 Ergebnis der Analyse Die Analyse hat gezeigt dass keine der Methoden uneingeschr nkt empfehlenswert f r die Evaluation der IT Sicherheit von KMU Webshops ist Die Wahl der Methode h ngt von mehreren Parametern
65. den in Form einer Sicherheitsbetrachtung in Abschnitt 3 2 aufgezeigt So k nnen nicht nur technische Fehler zu Ausf llen f hren die Verf gbarkeit des Webshops wird vor allem durch Bedrohungen aus dem Inter net gef hrdet Des Weiteren muss gew hrleistet sein dass die Daten des Webshops beispielsweise die Preise f r Produkte nicht unberechtigt ver ndert werden Zus tzlich erfordern rechtliche Vorgaben wie die des Bundesdatenschutzgesetzes siehe Abschnitt 3 2 1 dass die Kundendaten vertraulich behandelt werden Diese Schutzziele sind in Abschnitt 3 2 2 erl utert In Abschnitt 3 2 3 werden Gef hrdungen f r die Schutzziele analysiert und typische Angriffe vorgestellt 3 1 Aufbau Die technische Infrastruktur ist unentbehrlich f r die Gesch ftsprozesse und den Betrieb des Webshops Sie l sst sich grob in die zwei Komponenten Software und Hardware gliedern Zur Hardware geh ren vor allem die Server aber auch die Netzwerk Infrastruktur und die PCs der Mitarbeiter Die Software bein haltet zum Beispiel die Shop Applikation die die Webseiten mit den Produkten generiert Au erdem existiert eine Bezahl Schnittstelle siehe Abschnitt 3 1 3 die auch als Software realisiert ist und die Verbindung zwischen dem Webshop und den Bezahlsystem Anbietern darstellt Diese Komponente ist sicherheitskritisch und muss vor allem untersucht werden wenn sie vom Webshop selbst implementiert wurde F r die g ngige Shop Software gibt es vorgefertigte Be
66. die Module M 1 Info Abruf M 4 Individual Dienstleistung M 7 Verbraucher schutz und M 8 Datenschutzmanagement von Bedeutung Die f r die Betrachtung der IT Sicherheit relevanten Anforderungen befinden sich haupts chlich im Modul M 8 Datenschutzmanagement wel ches neben Datenschutz Anforderungen auch die Datensicherheit ber cksichtigt Auch das Modul M 4 Individual Dienstleistung enth lt Sicherheitsanforderungen Der Unterpunkt technisch organisatorische Sicherheitsma nahmen im Modul M 8 Datenschutzma nagement beschreibt unter anderem Anforderungen zum Schutz der Infrastruktur und orientiert sich dabei an der Anlage zu 89 des Bundesdatenschutzgesetzes siehe Abschnitt 3 2 1 Thematisiert werden verschiedene Kontrollen Unter dem Oberbegriff Zutrittskontrolle werden alle Ma nahmen gegen un berechtigten physischen Zugriff auf Daten zusammengefasst Der Punkt Zugangskontrolle beschreibt Anforderungen an die Protokollierung der Zugriffe und Passwortvorgaben technische Vorgaben wie Fi rewalls und ihre Konfiguration sowie Schutz gegen Viren und trojanische Pferde Die Zugriffskontrol le beinhaltet ein Berechtigungskonzept und Authentifizierungsm glichkeiten Des Weiteren wird noch berpr ft ob E Mails verschl sselt und Daten bertragungen protokolliert werden um die unbemerkte ungewollte Verbreitung von Daten zu verhindern Auch weiterf hrende Methoden wie Backup Systeme 8 9 10
67. e Dokumente und ausgew hlten Methoden anhand der Ergebnisse aus den vorigen Phasen angepasst Sicherheitsleitlinie Organisation der Informationssicherheit Management von organisationseigenen Werten Personalsicherheit Physische und umgebungsbezogene Sicherheit Betriebs und Kommunikationsmanagement Zugangskontrolle Beschaffung Entwicklung und Wartung von Infor mationssystemen Umgang mit Informationssicherheitsvorf llen 10 Sicherstellen des Gesch ftsbetriebs Business Conti nuity Management 11 Einhaltung von Vorgaben Compliance o N Oy gi e oN ea 2 Abbildung 4 1 1 Die Bereiche der ISO 27002 Norm 2 http www beuth de workflowname infolnstantdownload amp docname 1463759 amp ixos toc aufgerufen am 29 09 2010 23 In der Do Phase folgt die Implementierung Die Leitlinie wird angewendet und die beschlossenen Ma nahmen umgesetzt Dazu m ssen Ressourcen bereit gestellt und Mitarbeiter geschult werden Durch interne ISMS Audits und Management Reviews wird regelm ig der aktuelle Stand der Umsetzung ge messen Dies beinhaltet auch eine Absch tzung der Wirksamkeit der einzelnen Ma nahmen W hrend dem Betrieb des ISMS kann es zu Sicherheitsvorf llen kommen Diese m ssen erkannt und behoben werden Im Standard wird dazu ein Incident Management Plan empfohlen der die Klassifizierung der Vorkommnisse und f r jede Klasse separate Notfallpl ne enth lt Plan ISMS planen festlegen ISMS insta
68. e An griffe m glich Allgemein k nnen Angreifer versuchen sich Zugang zum Administrationsbereich der Shop Software zu verschaffen indem sie die Zugangsdaten raten oder Kontakt mit den Mitarbeitern beispielsweise dem Administrator aufnehmen Social Engineering Angriff Besonders die Kombinati on von Angriffen kann effektiv sein Eine wichtige Informationsquelle f r Webshops ist die in unregelm igen Abst nden erscheinende Top 10 Liste der kritischen Sicherheitsrisiken von Web Applikationen des Open Web Application Security Project OWASP 34 Die Top 10 Sicherheitsrisiken wurden in den Angriffsb umen siehe Abbildungen 3 2 2 3 2 3 und 3 2 4 benutzt und werden in der folgenden nach Rang geordneten Auflistung n her erkl rt e Injections befinden sich auf dem ersten Platz der OWASP Liste Ein besonders oft auftretender Angriff ist die SQL Injection ber eine ungefilterte Nutzereingabe die in einem Datenbank Befehl verwendet wird bekommt der Angreifer Zugriff auf die Datenbank und kann seinerseits Befehle ausf hren Das ist m glich da die gew hlte Eingabe nicht auf SQL spezifische Kontrollzeichen berpr ft wird und dadurch den urspr nglichen Datenbankbefehl ver ndert oder weitere Befehle hinzuf gt siehe 15 e Cross Site Sripting XSS Inhalte einer Webseite werden ausgetauscht oder sch dlicher Pro grammcode ausgef hrt meist mit dem Ziel an Daten zu gelangen oder Sitzungen zu berneh men XSS Angriffe nutze
69. e meisten Sicherheitskriterien und sind als nahezu gleichwertig zu betrachten Kriterium D21 TS S fer ips ehi s amp s s eiN Bc CX uld euro S prise IT Sicherheits x X x x x x konzept Verschl sselungs x x x x x x x X x X x verfahren Zutrittskontrolle X x x X x Zugriffskontrolle x X x x X X X x Virenscanner x x x Integration v X Standards Einhaltung d x X X x x x x x x x Datenschutz richtlinien Tabelle 7 1 Vergleich der G tesiegel Allgemein haben die G tesiegel mit Ausnahme der Datenschutz G tesiegel den gro en Vorteil dass sie auf Webshops zugeschnitten sind Die berpr fung durch die entsprechenden Auditoren kann als spezieller Sicherheitsaudit verstanden werden Bei bestandener Pr fung wird ein Zertifikat vergeben das die Konformit t ffentlich bescheinigt und verkaufsf rdernd wirkt Jedoch gibt es nicht nur bei den Kriterien selbst sondern auch bei den berpr fungen gro e Unterschiede zwischen den einzelnen G tesiegeln So testen viele von ihnen nur ber das Internet Das s fer shopping G tesiegel von T v S d beinhaltet hingegen auch einen Vor Ort Check sodass auch Kriterien wie die physische Sicherheit der Daten berpr ft werden k nnen Trotzdem kann selbst diese ausf hrlichere aber dennoch nur we nige Tage dauernde Pr fung nicht jede Schwachstelle eines Webshops aufdecken Beispielsweise wurden XSS Angriffe erfolgreich gegen Webshops mit s fer shopping G tesiegel durchgef
70. ehalten und des halb f r verschiedenste Unternehmen auch f r KMU einsetzbar Statt konkreter Ma nahmen wird beschrieben was f r die Erstellung den Betrieb und die Wartung von ISMS notwendig ist aber dem Unternehmen wird bei der konkreten Implementierung Freiraum gelassen Daher k nnen die Ma nah men je nach Unternehmenssituation angemessen gew hlt werden Des Weiteren m ssen nicht alle Teilbereiche eines Unternehmens zertifiziert werden 4 S 18 Eine Studie untersuchte die Umsetzung der Norm ISO 27001 in deutschen KMUs 25 und kam zu dem Ergebnis dass 30 der 133 vorgegebenen Ma nahmen aus ISO 27002 in einer typischen KMU nicht an wendbar sind als Gr nde wurden eine schwache Marktposition technische Schwierigkeiten fehlendes Wissen Personal und eine zweifelhafte Kosten Nutzen Relation genannt 4 2 ISO 27001 basierend auf IT Grundschutz Der vom Bundesamt f r Informationssicherheit BSI ver ffentlichte Standard IT Grundschutz sichert die IT Infrastruktur von Unternehmen mithilfe eines Managementsystems f r Informationssicherheit ISMS ab Grundwerte der IT Sicherheit sind dabei Vertraulichkeit Verf gbarkeit und Integrit t Der Schutz dieser Werte wird durch Analyse der Infrastruktur mit anschlie ender Auswahl und Durchf hrung von vorgegebenen Ma nahmen erreicht Das BSI hat 2005 das IT Grundschutzhandbuch und dessen Zertifizierung berarbeitet Die ab 2005 vergebenen Zertifikate bescheinigen Konformit t zur I
71. eits G tesiegel die sich auf Webshops spezialisiert haben Ihr Ziel ist haupts chlich einen verbraucherfreundlichen und vertrauensw rdigen Webshop zu kennzeichnen dabei spielt auch der Si cherheitsaspekt eine Rolle Andererseits gibt es Datenschutz G tesiegel die allgemein auf technische Systeme ausgerichtet sind und auf die rechtlichen Aspekte des Datenschutzes fokussiert sind Eine Auf listtung und Analyse der bekanntesten und relevanten G tesiegel zeigt dass die von ihnen gestellten Anforderungen an die IT Sicherheit hnlich sind Schlie lich werden Sicherheitsaudits Checklisten und Frageb gen sowie Analyseprogramme hinsicht lich ihrer Anwendbarkeit zur Evaluation der IT Sicherheit von Webshops evaluiert Sie bieten in der Regel keine Zertifikate f r das festgestellte Schutzniveau Sicherheitsaudits k nnen intern von eigenen Mitar beitern oder extern von einem Dienstleister durchgef hrt werden Sie k nnen wie auch Checklisten und Frageb gen die in der Regel intern bearbeitet werden alle Ebenen des Unternehmens berpr fen w hrend Analyseprogramme nur die technische Ebene auf Schwachstellen untersuchen k nnen Angesichts der Seitenbedingungen wie der geringen finanziellen M glichkeiten und des fehlenden Exper tenwissens ist es schwierig eine klare Empfehlung f r eine der Methoden zu geben Viele der Standards sind f r KMU Webshops ungeeignet andere zu aufw ndig Die empfehlenswerten Vertreter der G tesie gel pr fen e
72. en Da kein kon kreter Webshop vorliegt k nnen keine Schwachstellen analysiert werden Im Folgenden werden daher 6 http www xt commerce com de Funktionsliste aufgerufen am 14 10 2010 https www paypal deutschland de sicherheit schutzprogramme kaeuferschutz html aufgerufen am 14 10 2010 8 http business chip de artikel Online Bezahlsystem im ueberblick_39733071 html aufgerufen am 18 08 2010 16 zun chst rechtliche Anforderungen und Schutzziele untersucht und danach die Gef hrdungen analysiert Mit dieser Grundlage k nnen die vorgeschlagenen Sicherungsma nahmen in der Analyse siehe Kapitel 7 bewertet werden 3 2 1 Rechtliche Anforderungen Ein Webshop muss viele rechtliche Formalit ten beachten vor allem zu den Allgemeinen Gesch ftsbe dingungen und dem Widerrufsrecht F r die IT Sicherheit gibt es kein einheitliches Gesetz 35 Von Bedeutung sind vor allem die Vorgaben des Bundesdatenschutzgesetzes BDSG die alle Unternehmen die Kundendaten speichern nutzen oder verarbeiten einhalten m ssen Dort wird definiert wie die Da ten zu behandeln sind und zu welchen Zweck sie eingesetzt werden d rfen In Bezug auf die technische Absicherung ist 89 relevant welcher beschreibt dass mittels technischer und organisatorischer Ma nah men die in dem Gesetz beschriebenen Vorschriften eingehalten werden sollen In einer Anlage zu dem Gesetzestext sind die Anforderungen an die Ma nahmen aufgelistet die zur Erf llung des
73. er Do kumentationen auf Aktualit t und einem Workshop in der aufgetretene Probleme analysiert werden k nnen S 140 19 4 3 Payment Card Industry Data Security Standard Der Payment Card Industry Data Security Standard PCI DSS ist ein vom PCI Security Standards Council ver ffentlichter Standard der f r alle Unternehmen die Kreditkartendaten speichern verarbeiten oder bermitteln verpflichtend ist Das Council ist ein Zusammenschluss der wichtigsten Kreditkartenorgani sationen der f r mehr Sicherheit im Zahlungsverkehr sorgen soll Dies soll durch zw lf berwiegend technische Anforderungen siehe Abbildung 4 3 1 erreicht werden die jeweils in Teilanforderungen untergliedert sind Des Weiteren ist f r die einzelnen Daten auf der Kreditkarte festgelegt ob eine Speicherung zul ssig und eine Verschl sselung notwendig ist Ebene Der Standard erfordert sowohl organisatorische Ma nahmen wie beispielsweise Schulungsma nah men und weitere in der Informationssicherheits Richtlinie festgelegte Verfahren als auch technische Anweisungen wobei letztere aufgrund des Einrichtungsaufwands zun chst die gr ere H rde f r KMUs darstellen Die Methodik zur Erf llung der Anforderung wird nicht konkret beschrieben da der Stan dard vorrangig zum Ziel hat die IT Sicherheit gegen ein vorgegebenes Level zu berpr fen und keine Anleitung zum Erreichen eines Sicherheitsniveaus bietet 10 https www bsi bund de SharedDocs Downl
74. erheit verf gen k nnen mit Hilfe von externen Sicherheitsaudits eine komfor table berpr fung des Sicherheitsniveaus erreichen Letzteres ausgenommen erfordern alle Methoden ein Mindestma an Wissen ber IT Sicherheit Als Alternative bietet sich f r den uninteressierten und unfachkundigen Webshop Betreiber daher nur das Outsourcing der Infrastruktur an welches die Verant wortung f r die IT Sicherheit zum Outsourcing Dienstleister verlagert Es wurde gezeigt dass es derzeit keine optimale Methode zur Evaluierung der IT Sicherheit gibt die f r alle KMU Webshops geeignet ist Die Wahl der Methode h ngt von den Ressourcen ab die der Webshop bereitstellen kann Einige Methoden wie die aufw ndigen Standards konnten jedoch als unpassend aus geschlossen werden andere zum Beispiel die Evaluierung durch Checklisten und Frageb gen sind f r jeden Webshop durchf hrbar und liefern erste Erkenntnisse ber das Sicherheitsniveau Im Vergleich zu den aufw ndigeren Methoden ist ihre Aussagekraft aber eher gering F r eine vollst ndige Evaluation muss auf verschiedene Methoden gleichzeitig zur ckgegriffen werden Selbst G tesiegel die den Anspruch haben auf Webshops abgestimmt zu sein kontrollieren die Einhal tung der Datenschutzbestimmungen und das grundlegende IT Sicherheitskonzept erfassen aber keine Schwachstellen im Programmcode der Webseiten Zur Analyse dieser Schwachstellen m ssen Webshops auf Analyseprogramme zur ckgreifen W
75. erung da sie zu den kleinen und mittleren Unternehmen KMUs geh ren das hei t sie verf gen ber einen geringen bis mittleren Umsatz sowie wenige Mitarbeiter und k nnen daher wenige Ressourcen f r die IT Sicherheit bereitstellen Ein erster Schritt zur Verbesserung der IT Sicherheit ist eine Analyse der bestehenden Ma nahmen auf deren Grundlage dann das weitere Vorgehen geplant werden kann In der vorliegenden Arbeit werden verschiedene Ans tze untersucht mit denen die IT Sicherheit in einem KMU Webshop evaluiert werden kann Dabei werden sowohl die Charakteristika von KMUs wie ihre geringe Finanzkraft die wenigen Mitarbeiter und ihre Flexibilit t aufgrund flacher Hierarchien als auch der Aufbau und die Eigenschaften von Webshops ber cksichtigt In der Arbeit wurden Standards als M glichkeit zur Evaluierung und Verbesserung der IT Sicherheit analysiert Sie bieten etablierte Methoden sind aber oft sehr umfangreich und decken neben der Infra struktur auch organisatorische Aspekte ab Bekannte Beispiele hierf r sind der IT Grundschutz oder die ISO IEC 27001 Norm die beide ein Managementsystem f r Informationssicherheit bereitstellen Auch IT Governance und IT Service Standards die nur nebens chlich auf die Sicherheit eingehen werden be z glich ihrer Anwendbarkeit zur Evaluierung der IT Sicherheit von Webshops bewertet Des Weiteren werden Online G tesiegel betrachtet Es gibt zwei verschiedene Arten die untersucht wer den Einers
76. eschreibungen von ITIL ausgerichtet ist Die ITIL Zertifikate und Trainings berpr fen das ITIL Fachwissen einzelner Mitarbeiter Manager Aufwand und Kosten Wenn keine Zertifizierung nach ISO 20000 angestrebt wird besteht die M glichkeit auch nur einige ausgew hlte Best Practices umzusetzen Ohne Zertifizierung sind die Kosten nur vom Arbeitsaufwand abh ngig der f r die Umsetzung erforderlich ist Der Standard selbst ist kostenpflichtig Nutzen und Anpassbarkeit Der Nutzen f r Webshops ist in Bezug auf Absicherung der Infrastruktur begrenzt Es wird zwar auf Si cherheitsaspekte bei der Entwicklung von Services eingegangen dabei wird sich jedoch vor allem auf die mit dem Kunden im Service Level Agreement SLA vereinbarten Anforderungen bezogen ITIL ist nicht auf Sicherheit fokussiert und berhaupt nur schwer auf Webshops anwendbar Ein Webshop hat zwar Kunden mit ihnen wird aber kein SLA abgeschlossen Die erbrachte Dienstleistung beinhaltet lediglich die Lieferung der bestellten Ware was nicht als l ngerfristiger Service Vertrag angesehen werden kann Die Anpassbarkeit ist durch die Vereinbarungen des SLAs gegeben 21 http www itil org de zumkoennen itil itil zertifizierungsmodell php aufgerufen am 06 10 2010 35 4 6 Cobit Cobit Control Objectives for Information and Related Technology ist ein von der ISACA Information Systems Audit and Control Association entwickelter prozessorientierter IT Governance Standard
77. estadt Bremen Das Datenschutz G tesiegel der freien Hansestadt Bremen ist ebenfalls auf den Datenschutz und die Da tensicherheit ausgerichtet und wird f r 2 Jahre vergeben Es wurde nach dem Datenschutz G tesiegel des unabh ngigen Landeszentrum f r Datenschutz Schleswig Holstein siehe Abschnitt 5 3 1 eingef hrt und orientiert sich an diesem Das Datenschutz G tesiegel ist in der Bremischen Datenschutzauditverordnung BremDSAuditV be schrieben welche laut Quelle seit Anfang 2010 au er Kraft getreten ist Auf Anfrage wurde jedoch mitgeteilt dass die G ltigkeit der BremDSAuditV bis zum 31 Dezember 2014 verl ngert wurde Auf grund der Einschr nkung dass das G tesiegel nur an ffentliche Stellen vergeben werden kann sind bisher nicht viele Zertifizierungen erfolgt im Jahr 2007 waren es nur zwei gt Mit dem Auditor zusammen wird eine Vereinbarung ber den Ablauf des Audits und Art und Umfang des Verfahrens getroffen BremDSAuditV 82 1 Es wird ein Datenschutzplan ausgearbeitet der den aktuellen Stand die Ziele und ein Datenschutzmanagementsystem beschreibt Letzteres beschreibt Zu st ndigkeiten Arbeitsabl ufe und einen Mechanismus um den Fortschritt zu berwachen und zu doku mentieren Ebene Zum Datenschutz werden technische und organisatorische Ma nahmen gefordert vgl BremDSAuditV 84 1 Voraussetzungen Der Audit ist ffentlichen Stellen vorbehalten Es werden Verfahren mit den dazugeh renden tec
78. etablieren welches die Vereinbarkeit mit dem euro p ischem Datenschutzrecht best tigt Es wurde ma geblich durch das als Vorbild dienende Datenschutz G tesiegel des unabh ngigen Landeszentrum f r Datenschutz Schleswig Holstein ULD SH beeinflusst wobei die Kriterien an europaweite Gesetze angepasst wurden Das G tesiegel bescheinigt die Vereinbarkeit des Zertifizierungsgegenstands mit europ ischen Datenschutz Richtlinien haupts chlich der Datenschutzrichtlinie der Europ ischen Union Richtlinie 95 46 EG der Datenschutzrichtlinie f r elektronische Kommunikation Richtlinie 2002 58 EG und den Dokumenten der Artikel 29 Datenschutzgruppe Eine Konformit t wird nicht garantiert da diese von der Art der Nut zung der zertifizierten Produkte abh ngt Nationale Gesetze der teilnehmenden Staaten werden lediglich ber cksichtigt sind aber nicht bindend S 625 33 F r die Datensicherheit ist vor allem die integrier te sicherheitstechnische berpr fung relevant Der Aufbau des Kriterienkatalogs ist identisch zum ULD G tesiegel Es gibt vier Komplexe die in klei nere Teilkomplexe aufgeteilt sind Der Erste Fundamental Aspects of Processing untersucht allgemeine Aspekte wie den Grund der Da tenspeicherung und die Art der gespeicherten Daten Hier wird auch die technische Umsetzung der Datenschutz Grunds tze wie zum Beispiel Datenvermeidung und Transparenz gepr ft Legitimacy of Data Processing ist der zweite Komp
79. f r die Rechnungslegung eingestuft und ber cksichtigt wird e Die Common Criteria eignen sich nur bedingt zur Evaluation der IT Sicherheit eines Webshops da sie in der Regel auf einzelne Komponenten angewendet werden Schon die Evaluation einzelner Schl sselkomponenten wie der Webshop Software ist f r KMUs sehr aufw ndig und zu teuer Des Weiteren wird der Standard eher von Herstellern genutzt die ihr Produkt bewerten wollen und sich dadurch einen Wettbewerbsvorteil erhoffen Der Webshop ist aber kein Hersteller des Webservers oder der Komponenten er kann allenfalls seine Shop Software selbst entwickelt haben Da diese aber in der Regel nicht weiterverkauft wird sondern nur f r den Eigenbedarf genutzt wird sind die Kosten viel h her als der Nutzen sodass sich die Common Criteria f r die Evaluation der IT Sicherheit von Webshops nicht eignen Ausgehend von den Eigenschaften von KMUs wie dem beschr nkten Finanzierungsspielraum und we nigen Mitarbeitern erfordern die aufw ndigen Standards wie ISO 27001 IT Grundschutz Cobit und Common Criteria zur Evaluierung der IT Sicherheit zu viele Ressourcen Andere Standards wie ITIL und der Pr fungsstandard IDW PS 330 sind nicht auf die IT Sicherheit der ganzen Infrastruktur fokussiert Lediglich der PCI Standard sofern er angewendet werden muss und die Risikoanalyse nach OCTAVE sind zur Evaluation der IT Sicherheit geeignet wobei OCTAVE ein erfahrenes Team von Mitarbeitern ben tigt und PCI etw
80. h lt Wenn keine Mitarbeiter mit Expertenwissen oder keine Zeit f r eigene Ma nahmen vorhanden ist k n nen Gef hrdungen mittels eines externen Audits berpr ft werden Au er den Kosten werden hierf r kaum Ressourcen ben tigt Ein Audit bietet sich auch an um nach berpr fung der grunds tzlichen Sicherheitsma nahmen das System auf komplexere Gef hrdungen zu untersuchen Sofern ein Team mit Erfahrung im IT Sicherheitsbereich verf gbar ist kann eine Risikoanalyse nach OCTAVE S durchgef hrt werden die ebenfalls zum Ziel hat weitere Gef hrdungen auf technischer und organisatorischer Ebene aufzudecken Wenn der PCI Standard angewendet werden muss bei der Verarbeitung von Kreditkarten daten bietet er sinnvolle Sicherheits berpr fungen die zus tzliche Gef hrdungen ermitteln k nnen sich aber zum Teil mit den in den Frageb gen und Checklisten aufgelisteten Anforderungen berschnei den G tesiegel beinhalten keine vollst ndige Pr fung der IT Sicherheit decken aber rechtliche Aspekte wie die Datenschutzbestimmungen ab und sind wegen ihrer Marketing Seiteneffekte beliebt Die G tesiegel unterscheiden sich in ihrer Qualit t sodass die richtige Wahl des G tesiegels entscheidend ist Die weni ger angepassten Datenschutz G tesiegel sind f r Webshops eher nicht zu empfehlen Bei der Wahl der Methode kommt es auch darauf an ob nur eine einmalige Bestimmung des Sicher heitsniveaus oder eine kontinuierliche berpr fung gew n
81. hende Metriken des Prozesses DS5 sind sowohl die Anzahl der alten nicht mehr verwendeten Benutzerkonten als auch die Anzahl der ver nderten Zugriffsberechtigungen Als n chstes folgt die Beschreibung der Reifegrade F r einen Reifegrad von 3 Defined m ssen IT Sicherheitsverfahren und Verantwortlichkeiten definiert sein sowie Sicherheitstests durchgef hrt und Schulungen angeboten werden Mithilfe von Risikoanalysen wird eine Planung erstellt und allgemein wird das Sicherheitsbewusstsein durch das Management gef rdert Ebene Cobit ist ein Standard f r die Schnittstelle zwischen den Gesch ftsprozessen und der IT Es wird top down also ausgehend von den Gesch ftszielen eine IT Strategie aufgebaut und umgesetzt Sie ent h lt Anforderungen auf verschiedenen Ebenen also auch auf der technischen Ebene wie zum Beispiel im Prozess DS5 Eine Verkn pfung mit anderen Standards ist m glich Da der Standard nicht auf IT Sicherheit fokussiert ist kann es sinnvoll sein ihn mit technischen Standards dieses Bereiches wie ISO 27001 zu verbinden beispielsweise wenn weitere Sicherheitsanforderungen an die IT gestellt werden die ber die im Prozess DS5 behandelten Punkte hinausgehen Voraussetzungen F r die Umsetzung des relativ aufw ndigen Standards gibt es keine bestimmten Voraussetzungen es m ssen nur ein entsprechendes Wissen und die ben tigten Ressourcen vorhanden sein Pr fung Eine Zertifizierung nach Cobit ist nicht m glich
82. herheitsrelevante Informationen ber die Angebote zu erfahren 3 1 3 Bezahl Schnittstelle Neben der eigenst ndigen Entwicklung und Betreuung der Schnittstelle zwischen dem Webshop und den Banken und Bezahlsystemen bietet sich die M glichkeit ein vorgefertigtes Modul des Herstellers Siehe Abschnitt 5 1 1 Quelle jeweilige Herstellerhomepages und die Trusted Shops Webseite http www trustedshops de shopbetreiber shoploesungen html aufgerufen am 05 08 2010 der Shop Software zu verwenden oder einen Dienstleister Payment Service Provider mit der Zahlungs abwicklung zu beauftragen Bei letzterem wird sowohl der Aufwand f r die Pflege der Zahlungssyste me als auch die damit verbundenen Sicherheitsanforderungen an den Provider abgegeben Dies hilft zum Beispiel wenn Kreditkarten als Zahlungsmittel angeboten werden da hier die Anforderungen ei nes Standards PCI Standard siehe Abschnitt 4 3 eingehalten werden m ssen Vor allem wenn viele Zahlungsm glichkeiten angeboten werden steigen die Kosten und der Aufwand f r die Verwaltung der verschiedenen Zahlungssysteme Bei der Verwendung eines Payment Service Providers PSP muss nur eine Schnittstelle gepflegt werden die alle vom PSP angebotenen Zahlungssysteme unterst tzt Beim Einsatz von Standard Shop Software Beispiele sind in Tabelle 3 1 aufgelistet sind Module f r ver schiedene Bezahlsysteme bereits integriert oder werden zus tzlich angeboten die Software xt commerce
83. hni schen Einrichtungen vgl BremDSAuditV 81 1 zertifiziert Pr fung Die Pr fung wird von einem durch den Landesbeauftragten f r Datenschutz zugelassenen Auditor bei spielsweise datenschutz cert GmbH der vom Antragsteller vorgeschlagen werden kann durchgef hrt Er pr ft den Datenschutzplan kann aber das Verfahren auch selbst besichtigen Er erstellt ein Gutachten 31 32 https www datenschutzzentrum de faq guetesiegel htm aufgerufen am 27 09 2010 https www datenschutzzentrum de faq guetesiegel htm 7_2 aufgerufen am 27 09 2010 33 http www datenschutz bremen de pdf brosch_BremDSAudit pdf aufgerufen am 27 10 2010 34 http www senatspressestelle bremen de detail php id 1715 aufgerufen am 07 10 2010 35 http www datenschutz cert de aufgerufen am 07 10 2010 51 und muss der ffentlichen Stelle gegebenenfalls Zeit zur Behebung der Beanstandungen geben Eine Best tigung durch eine Beh rde erfolgt nicht Das G tesiegel ist zwei Jahre g ltig kann aber durch ein vereinfachtes Verfahren verl ngert werden Aufwand und Kosten ber Aufwand und Kosten ist nichts bekannt Nutzen und Anpassbarkeit Da das G tesiegel ffentlichen Stellen vorbehalten ist kann es f r KMU Webshops nicht angewendet werden 5 3 3 Europ isches Datenschutz G tesiegel Das Projekt EuroPriSe European Privacy Seal der Europ ischen Union wurde 2007 mit dem Ziel gest artet ein europ isches Datenschutz G tesiegel zu
84. hrt Insbesondere viele der in Abschnitt 3 2 3 aufgef hrten technischen Schwachstellen bleiben trotz Pr fung verborgen Ein Abh ren des Kommunikationskanals ist allerdings nicht mehr m glich auch der physische Zugriff wird bei vielen G tesiegeln stark erschwert Obwohl viele Webshops Kreditkartenzahlung anbieten und viele der analysierten G tesiegel auf Webshops spezialisiert sind gibt es keinen Bezug zum Kreditkar tenstandard PCI Trotz Spezialisierung auf Webshops testen G tesiegel nur wenige der Gef hrdungen Die Datenschutz bestimmungen werden jedoch von allen G tesiegeln berpr ft Durch die nicht ffentlichen Evaluati onsmethoden ist es schwer die Qualit t der Zertifizierung abzusch tzen da nicht klar ist wie sie ihre Qualit tskriterien berpr fen Daher erh lt ein Webshop mit der Zertifizierung durch ein G tesiegel in eResult Studie Relevanz von G tesiegeln http www eresult de studien_artikel forschungsbeitraege guetesiegel html aufgerufen am 19 09 2010 http www netzwerk internet de web security artikel d truegerische sicherheit warum sie trotz tuev siegel nicht jedem web shop trauen koennen html aufgerufen am 19 09 2010 65 erster Linie ein Vertrauensgewinn bei den Kunden aber keine genaue Aussage ber die Absicherung seiner Infrastruktur 7 3 Eignung von sonstigen Sicherheits berpr fungen Die berpr fung der Sicherheit durch Audits Checklisten und Frageb gen sowie Analyseprogrammen
85. ichen mit dem Basis Audit von Trusted Shops ei ne genauere Betrachtung von m glichen Schwachstellen Beispielsweise wird berpr ft ob der Shop verwundbar durch Angriffe wie Cross Site Scripting und Content Spoofing ist Datenverbindungen zum Kunden werden analysiert unter anderem sollte die Registrierung eines Benutzers per HTTPS erfolgen da pers nliche Kundendaten bermittelt werden Au erdem werden Vorgaben die die Sicherheit betref fen berpr ft zum Beispiel die Minimall nge bei der Wahl des Kundenpassworts Die ffentlich nicht zug nglichen Pr fkriterien sind in drei Risikoklassen aufgeteilt III muss IICsoll ICkann wobei die Kriterien der h chsten Risikoklasse unbedingt erf llt sein m ssen um eine gewisse Sicherheit des Webshops zu garantieren Jedes Kriterium hat eine Punktzahl sodass sich durch die Summe der erf llten Anforderungen eine Gesamtpunktzahl ergibt aufgrund der eine Einsch tzung ber die Absicherung des Webshops vorgenommen wird Nach der Pr fung listet ein Audit Report die gefundenen Schwachstellen auf und gibt Vorschl ge f r Gegenma nahmen Der Security Audit kostet einmalig 1490 13 http www trustedshops de shopbetreiber security audit html aufgerufen am 01 08 2010 14 http www trustedshops de shopbetreiber pdf download security audit_auszug pdf aufgerufen am 06 10 2010 59 German Web Security German Web Security ist ein kostenloser Dienst der Webseiten auf Siche
86. icherheitsprozesses zu erreichen Dies kann durch berarbeitung von der ganzen Strategie oder von einzelnen Ma nahmen erreicht werden Bei gr eren Ver nderungen wird dabei erneut eine Planungphase eingeleitet Ebene Der BSI Standard ist sowohl organisatorisch als auch technisch ausgerichtet Die Anweisungen zum Eta blieren der Sicherheit gehen ber die allgemeine Beschreibung von Schutzzielen hinaus f r jedes Objekt im IT Verbund sind konkrete Gef hrdungen und Ma nahmen definiert Insgesamt wird sehr genau be schrieben wie die IT Sicherheit zu etablieren ist sodass der Anwender wenig Wahlm glichkeiten hat Voraussetzungen Ein wesentlicher Teil des Standards ist nicht anwendbar wenn die Hardware nicht in den vorgegebe nen Bausteinen aufgef hrt ist Dann wird zus tzlicher Aufwand und zus tzliches Wissen ben tigt Damit schwindet der Vorteil gegen ber ISO 27001 bei deren Implementierung Expertenwissen ben tigt wird Pr fung Die Evaluation erfolgt durch vom BSI lizensierte Auditoren und umfasst die Analyse der erstellten Do kumente eine berpr fung der Sicherheitsma nahmen vor Ort und die Erstellung eines Audit Reports der dem BSI vorgelegt wird Dieses entscheidet daraufhin ob ein Zertifikat ausgestellt wird Die Zerti fizierung beinhaltet eine offizielle Zertifizierung nach ISO 27001 Ein Zertifikat ist zwei Jahre g ltig es werden j hrliche berwachungsaudits durchgef hrt Aufwand und Kosten F r eine
87. ichtigten Anschlie end bekam das auditierte Unternehmen Empfehlungen f r das weitere Vorgehen Quick Check IT Sicherheit Der Verein ruhr networker e V der sich aus verschiedenen Unternehmen aus dem Bereich IT und Me dien zusammensetzt bietet einen Quick Check IT Sicherheit an Bei diesem Test schickt das Unternehmen zun chst einen ausgef llten zweiseitigen Fragebogen an den Verein Thematisch deckt er sowohl Fragen zur IT Sicherheits Organisation als auch zu technischen Ma nahmen Schulungen und Outsourcing ab bleibt dabei aber immer sehr allgemein Danach findet ein kostenfreies Beratungsgespr ch mit einem der Mitgliedsunternehmen statt welches ca 30 Minuten dauert Der Aufwand f r diese kurze berpr fung f llt durch das Ausf llen von 19 Fragen und dem halbst n digen Gespr ch extrem gering aus Danach besteht die M glichkeit weitere kostenpflichtige Dienst leistungen der Mitgliedsunternehmen in Anspruch zu nehmen unter denen sich einige IT Beratungen befinden http www german websecurity com aufgerufen am 11 10 2010 http www german websecurity com de produkte web scan service weitere information testmethoden im detail aufgerufen am 01 08 2010 http www newmedianrw de media2 site index php id 73 amp tx_ttnews tt_news 52061 aufgerufen am 30 07 2010 http www ruhr networker de quick_its 0 html aufgerufen am 01 08 2010 19 http www ruhr networker de mitglieder O html aufgerufen am 07 1
88. inger IT Governance dpunkt Verlag 2006 ISBN 3 89864 382 4 Corporate Trust Business Risk amp Crisis Management GmbH Studie Gefahrenbarometer 2010 Sicherheitsrisiken f r den deutschen Mittelstand 2010 http www corporate trust de studie Gefahrenbarometer2010 pdf aufgerufen am 11 10 2010 William G J Halfond Jeremy Viegas und Allesandro Orso A Classification of SQL Injection Attacks and Countermeasures M rz 2006 Gerrit Heinemann Der neue Online Handel Erfolgsfaktoren und Best Practices Gabler Verlag 2010 ISBN 978 3 8349 1804 8 Fachausschu f r Informationstechnologie FAIT des IDW Entwurf IDW Pr fungsstandard Ab schlu pr fung bei Einsatz von Informationstechnologie IDW EPS 330 Juli 2001 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Bundesamt f r Sicherheit in der Informationstechnik Studie Durchf hrungskonzept f r Pe netrationstests November 2003 https www bsi bund de cae servlet contentblob 487300 publicationFile 30674 penetrationstest_pdf pdf aufgerufen am 10 10 2010 Bundesamt f r Sicherheit in der Informationstechnik IT Sicherheitsmanagement und IT Grundschutz Bundesanzeiger Verlag 2005 ISBN 3 89817 547 2 IT Governance Institute COBIT 4 1 http www isaca org Knowledge Center cobit Pages Downloads aspx aufgerufen am 01 10 2010 IT Governance Institute COBIT 4 1 Excerpt h
89. inige sicherheitskritische Faktoren lassen aber wichtige Details auf technischer Ebene wie Schwachstellen gegen XSS Angriffe unber cksichtigt Die Qualit t der Sicherheitsaudits Frageb gen Checklisten und Analyseprogramme ist sehr stark abh ngig vom Anbieter Diese Methoden sind auch f r kleinere KMU Webshops nicht zu aufw ndig Daher sind Frageb gen und Checklisten eine einfache Me thode um grundlegende Sicherheitsma nahmen zu berpr fen Analyseprogramme sind zu empfehlen um Sicherheitsl cken auf Hardware und Software Ebene kosteng nstig aufzusp ren F r Webshops mit wenig Wissen ber IT Sicherheit ist ein extern durchgef hrter Sicherheitsaudit die komfortabelste L sung um das Sicherheitsniveau zu analysieren Welche Evaluationsmethode die Richtige ist h ngt stark von der Infrastruktur des Webshops ab Auch die zur Verf gung stehenden Ressourcen besonders die Arbeitszeit das investierte Geld und das Wissen der Mitarbeiter im Bereich IT Sicherheit sind wichtige Faktoren bei der Auswahl der Methode Inhaltsverzeichnis 1 Einleitung 1 1 Motivation 1 2 Ziels 2 0 0 8 4 424484 0 1 3 Aufbau 2 222 1 4 Methodik 2 Kleine und mittlere Unternehmen 2 1 Definitionen 2 2 Auswirkungen auf die IT Sicherheit 22242 Aa meer a 3 Webshops 3 1 Aufbau 2 22 2 3 1 1 Hardware 3 1 2 Software 3 1 3 Bezahl Schnittstelle 3 1 4 Bezahlsysteme 3 2
90. ird mittels einer Pr fung festgestellt die aus drei Komponenten besteht Einer Online Pr fung einem Security Check und einem Audit vor Ort Die Online Pr fung analysiert zun chst die Webseiten des Shops und f hrt typische Benutzer Aktionen wie Suchvorg nge und Bestellungen durch Der Security Check erfolgt auch online hier werden mit verschiedenen Portscannern und Skripts die aus dem Internet erreichbaren technischen Komponenten 6 7 http www trustedshops de shopbetreiber shoploesungen html aufgerufen am 04 08 2010 2 2 von http www safer shopping de fileadmin dateien PDFs Anforderungen_Shopsb2c pdf aufgerufen am 15 09 2010 44 berpr ft also beispielsweise Webserver Webapplikationen und Firewalls Der Audit vor Ort pr ft haupt s chlich Anforderungen zur Organisation zur Datensicherheit und zum Datenschutz au erdem werden Prozesse wie die Abwicklung von Bestellungen angeschaut Die Ergebnisse werden dokumentiert und dem Unternehmen bereit gestellt Bei bestandener Pr fung gilt das ausgestellte Zertifikat drei Jahre lang wobei j hrliche berwachungs audits durchgef hrt werden Vor Ende der drei Jahre ist es m glich durch einen Wiederholungsaudit die G ltigkeit des Zertifikats um weitere drei Jahre zu verl ngern Aufwand und Kosten Die Kosten f r die Zertifizierung sind abh ngig von Faktoren wie der Gr e der Infrastruktur allerdings l sst sich einem Informationsprospekt entnehmen dass man von Koste
91. iterien detail pdf aufgerufen am 12 08 2010 http www internetsiegel net PDF Pruefungskriterien pdf aufgerufen am 12 08 2010 22 http www tdssl de aufgerufen am 07 10 2010 23 http www tdssl de qualitaetskriterien htm aufgerufen am 07 10 2010 48 12 Monate betragen Das G tesiegel pr ft in technischer Hinsicht lediglich ob eine verschl sselte Verbindung zum Kunden besteht Eine Zertifizierung sagt nichts ber das Sicherheitsniveau eines Shops aus User friendly Online Shop User friendly Online Shop ist mehr ein Gutachten als ein G tesiegel und konzentriert sich aus schlie lich auf die Benutzbarkeit des Shops Sicherheits berpr fungen werden daher berhaupt nicht vorgenommen 24 Bonicert Das G tesiegel Bonicert gepr fter Shop konzentriert sich bei der Pr fung auf die Verbraucherrechte So findet sich in den Qualit tskriterien neben Datenschutzbestimmungen nur die Anforderung dass Zahlungsinformationen SSL verschl sselt bertragen werden sollen Nach der Pr fung besteht Gelegen heit Verbesserungen umzusetzen Dann wird das Zertifikat verliehen welches 12 Monate g ltig ist Es sagt aber nichts ber das IT Sicherheitsniveau aus Chip Xonio Online Shop Zertifikat Dieses G tesiegel kann nur von Webshops erlangt werden die am kostenpflichtigen Preisvergleich von Chip de teilnehmen Die Qualit tskriterien fordern die Einhaltung der datenschutzrechtlichen Bestim mungen sowie den Eins
92. itsrelevante Anteile enthalten ITIL kann als Basis f r eine Zertifizierung von ISO IEC 20000 einer Norm zum IT Service Management dienen Der Standard wird vom Office of Government Commerce OGC betreut und liegt momentan in der Version 3 0 vor Er be steht aus einem Kernbereich ITIL Core Erg nzungen ITIL Complementary Guidance und den ITIL 20 http www cert org octave aufgerufen am 29 09 2010 33 Web Support Services 29 S 9 Im Folgenden werden nur die Kernbereiche vorgestellt da diese als berblick ber den Standard und zur Betrachtung der Sicherheitsfeatures ausreichen Mithilfe eines organisierten IT Service Managements sollen die Gesch ftsprozesse durch die IT unter st tzt werden Dabei werden vor allem solche adressiert die notwendig sind f r den Betrieb der Infra struktur eines Unternehmens das auf das Bereitstellen von Services f r Kunden ausgerichtet ist S 10 40 Be Service Strategy Service Transition Service Design Service Operation et e N JS Service impt Abbildung 4 5 1 ITIL Service Lyfecycle vereinfacht aus 38 hnlich wie ISO 27001 ist ITIL prozessorientiert und folgt dem PDCA Zyklus der hier als Service Life cycle bezeichnet wird siehe Abbildung 4 5 1 Der Standard besteht aus 5 Bereichen Service Strategy Service Design Service Transition Service Operation und Continuous Service Improvement Der Bereich Service Strategy liefert Best
93. kt Datenschutz und Datensicherheit finden sich lediglich einige Anforderungen aus dem Bundesdatenschutzgesetz wie der Grundsatz der Daten vermeidung Es werden keine Aussagen ber IT Sicherheit gemacht lediglich bei der Beschreibung der Zahlungsarten und bedingungen ist gefordert dass ein g ltiges SSL Verschl sselungssystem vorhanden sein muss Au erdem wird gefordert dass die Zugangsdaten zur Shop Administration regelm ig ge ndert werden sollen also mindestens zur j hrlichen Neu Zertifizierung Zur Pr fung wird die Webseite des zu pr fenden Shops besichtigt Abweichungen oder Verbesserungs m glichkeiten werden dem Webshop dann mitgeteilt Nachdem diese beseitigt sind nimmt eine externe Rechtsanwaltskanzlei die Pr fung vor und t tigt dabei auch eine Testbestellung Nach erfolgreichem Abschluss wird das G tesiegel verliehen zur Aufrechterhaltung sind j hrliche berpr fungsaudits not wendig Das G tesiegel ist auf Verbraucherfreundlichkeit ausgerichtet der Sicherheitsaspekt wird allerdings ver nachl ssigt Das G tesiegel sagt demnach fast nichts ber das Niveau der IT Sicherheit aus Sicher einkaufen im Netz Der Fokus des G tesiegels Sicher einkaufen im Netz liegt auf der Sicherheit des Kunden Es wird berpr ft ob der Shop sich an die geltenden Gesetze h lt und die Identit t von Shop und Betreiber best tigt Auf der Webseite gibt es keinerlei Auskunft dar ber wie viele G tesiegel bisher bereits ver
94. leinere Ziele sogenannte detaillierte Control Objectives und Aktivit ten aufgeteilt und durch Ein und Ausgaben beschrieben Durch Metriken die im Prozess selbst definiert sind und ein Reifegradmodell das den Prozess auf einer Skala von 0 5 bewertet kann die Qua lit t der Umsetzung jedes Prozesses ermittelt werden Um Aussagen ber die Unterst tzung der Gesch ftsprozesse durch die IT machen zu k nnen muss die Umsetzung der Prozesse analysiert werden Deshalb ist das Messen der Performance ein wichtiger Bestandteil von Cobit und wird auf drei Ebenen durchgef hrt 20 S 20 Mit Hilfe von Metriken in nerhalb eines Prozesses auf Prozessebene und schlie lich durch Messungen der ganzen IT und Abgleich mit den Anforderungen des Unternehmens ist eine genaue Analyse des Zustands der IT m glich Die Metriken sind unterteilt in Kennzahlen die erst nach einer Zielerreichung zur Verf gung stehen und In dikatoren die eine momentane Leistung messen Der Prozess Ensure systems security DS5 aus der Dom ne Deliver amp Support dient im Weiteren als Beispiel f r den Aufbau eines Prozesses Er ist relevant f r die Aufgabe die IT Sicherheit von Web shops zu evaluieren und zu verbessern und sollte daher einen m glichst hohen Reifegrad erreichen also gut umgesetzt sein Die Beschreibung des Prozesses vgl 21 S 117 120 beginnt mit einer all gemeinen Zusammenfassung und stellt dann den Bezug zu den Informationskriterien her Bei
95. lex er befasst sich mit allen rechtlichen Details wie der Analyse der Rechtsgrundlage der Rechtm igkeit aller Schritte der Datenverarbeitung und der Ein haltung der Datenschutz Grunds tze Der dritte Komplex Technical Organisational Measures Accompanying Measures for Protection of the Data Subject berpr ft ob Zugriffskontrollen und andere technische Ma nahmen zum Schutz der Da ten eingef hrt worden sind Auch andere spezifische Schutzma nahmen wie Verschl sselung werden berpr ft diese sind aber nicht f r jeden Zertifizierungsgegenstand anwendbar sodass in diesem Ka pitel f r jede Anforderung beschrieben ist welche Vorbedingungen f r die Anwendbarkeit erf llt sein m ssen Der letzte Komplex tr gt den Titel Data Subjects Rights und besch ftigt sich mit den durch die Daten schutzrichtlinien definierten Rechte der Personen deren Daten verarbeitet werden Ebene Wie auch beim ULD G tesiegel liegt der Fokus auf dem Datenschutz sowohl auf technischer als auch auf organisatorischer Ebene Voraussetzungen Das G tesiegel kann f r IT Produkte und IT Dienstleistungen vergeben werden und besitzt damit einen gr eren Anwendungsbereich als andere G tesiegel was sich in generischen Kriterien u ert die nicht 36 https www european privacy seal eu criteria aufgerufen am 11 10 2010 52 als festgelegte Checkliste aufgelistet sind sondern einen Ermessensspielraum f r den Pr fer enthalten Pr f
96. lichkeiten die IT Sicherheit der Infrastruktur zu bewerten Grunds tzlich gibt es zwei Ans tze Entweder die Pr fungen werden intern das hei t von Mitarbeitern des betroffenen Unternehmens durchgef hrt oder es wird ein externer Dienstleister hinzugezogen Letzteres kann durch externe Sicherheits Audits geschehen Sie berpr fen die Sicherheit von Systemen indem die Infrastruktur des Unternehmens aber auch Prozesse und umgesetzte Ma nahmen analysiert bewertet und gegebenenfalls mit ein vorgegebenen Wert verglichen werden Wenn das Unternehmen seine IT Sicherheit ohne fremde Hilfe berpr fen will hat es im Allgemei nen zwei M glichkeiten die aber auch kombiniert werden k nnen Zum Einen sind Frageb gen oder Checklisten verf gbar durch die eine Einsch tzung ber den Stand der Sicherheit gewonnen und Pro blembereiche aufgedeckt werden zum Anderen gibt es Analyseprogramme mit deren Hilfe technische Schwachstellen ausfindig gemacht werden k nnen Auch die zuvor genannten Sicherheits Audits k n nen intern durchgef hrt werden Voraussetzungen sind dabei aber Auditoren die ber Expertenwissen in dem Gebiet verf gen aber nicht in die Konzeption und Entwicklung der Sicherheitskomponenten be teiligt sind Beispielsweise k nnen sich mehrere IT Abteilungen gegenseitig auditieren da KMUs aber in der Regel nur eine IT Abteilung haben ist dies selten m glich Daher werden interne Sicherheitsaudits im Weiteren vernachl ssigt Zur
97. lie hen wurden auf Anfrage wurde mitgeteilt dass bisher erst wenige Shops zertifiziert sind In Bezug auf technische Sicherheit finden sich in den 50 Qualit tskriterien nur zwei Punkte Zahlungsinformationen verschl sselt bertragen werden und Kundendaten m ssen durch ein Passwort gesch tzt werden Der Shop muss sich des weiteren noch dazu verpflichten die Gesetze zum Datenschutz zu befolgen Nach einer Pr fung der Qualit tskriterien in der Erstpr fung wird das G tesiegel bei Konformit t zu den Anforderungen verliehen Es gibt verschiedene Abstufungen Das Siegel kann in Bronze Silber und Gold verliehen werden dabei steigt die Anzahl der zu erf llenden Anforderungen so muss bei Gold der Bestelleingang sofort per e mail best tigt werden Neben der Pr fung ber das Internet findet eine telefonische Verifikation sowie eine berpr fung von Dokumenten wie der Gewerbeanmeldung statt die dem G tesiegel Anbieter zugesendet werden m ssen Nach der Zertifizierung folgen in unregelm igen Abst nden weitere Pr fungen Kunden des Webshops k nnen ber ein Formular auf der Webseite des G tesiegels Feedback geben welches Kontrollen durch den Pr fer zur Folge haben kann Das G tesiegel ist f r 1 Jahr g ltig die tats chliche Laufzeit kann aber vom Webshop bestimmt werden und 3 6 oder 19 20 21 http www internetsiegel net html shopbetreiberinfo html aufgerufen am 12 08 2010 http www internetsiegel net Pruefungskr
98. ln auf den Anforderungen der Qualit tskriterien die oft allgemein gehalten sind Die Evaluationsmethoden der G tesiegel Anbieter sind nicht ffentlich 5 1 Initiative D21 Die Initiative D21 ist ein gemeinn tziger Verein der aus Vertretern von Politik und Wirtschaft besteht und es sich zum Ziel gesetzt hat die Entwicklung der digitalen Gesellschaft durch verschiedene Projekte zu f rdern Dazu geh ren auch die Empfehlungen f r Online G tesiegel die ein Referenzmodell f r Anbieter Online H ndler und Verbraucher darstellen S 2 7 Von D12 empfohlene G tesiegel werden durch ein aus Experten bestehendes Monitoring Board der Initiative berwacht Dabei werden die Qualit ts kriterien in halbj hrigen Treffen gemeinsam weiterentwickelt und ihre Einhaltung gepr ft Die Qualit tskriterien 7 sind unterteilt in thematisch abgegrenzte Bereiche die jeweils aus mehreren Anforderungen bestehen k nnen Beispielsweise werden Auflagen an den Bestellvorgang die Vertrags bedingungen und den Datenschutz gestellt F r die Evaluation der IT Sicherheit ist vor allem der Un terpunkt Datensicherheit relevant Hier wird gefordert dass sowohl die Daten des Anbieters dazu geh ren s mtliche Informationen zu den angebotenen Waren als auch alle Daten die zur Gesch fts abwicklung notwendig sind durch ein IT Sicherheitskonzept gesch tzt werden Schutzziele sind hierbei Integrit t und Authentizit t der Daten des Anbieters und Integrit
99. lt ist gilt f r personenbezo gene Daten Prim rdaten 24 http www shoplupe com cms website php id de index shop usability gutachten htm aufgerufen am 09 10 2010 25 http www bonicert de aufgerufen am 11 10 2010 26 http www bonicert de files BC Quali_v2 0 pdf aufgerufen am 11 10 2010 27 http www chip de artikel CHIP Xonio Online GmbH Shop Zertifizierung 2_12866303 html aufgerufen am 11 10 2010 28 https www datenschutzzentrum de guetesiegel register htm aufgerufen am 01 10 2010 49 Komplex Beschreibung 1 Grunds tzliche technische Ausgestaltung von IT Produkten 2 Zuverl ssigkeit der Datenverarbeitung 3 Technisch organisatorische Ma nahmen Begleit ma nahmen zum Schutz der Betroffenen 4 Rechte der Betroffenen Tabelle 5 2 Die Bestandteile des allgemeinen Anforderungsprofils des Anforderungskatalogs 8 e Der erste Komplex konzentriert sich vor allem auf die Grunds tze der Datensparsamkeit und Trans parenz es sollen also nur die wirklich ben tigten Daten gespeichert werden und die Verarbeitung der Daten muss f r Anwender und Betroffene nachvollziehbar sein Komplex 2 bezieht sich haupts chlich auf die Einhaltung der Datenschutzgesetze und richtlinien die alle Phasen der Datenverarbeitung betreffen Der dritte Komplex ist technischer hier wird gepr ft ob die Schutzziele Vertraulichkeit Verf g barkeit Integrit t erreicht worden sind Unter anderem werden daf r Firewalls Virenschutz und
100. man Websecurity bietet eine Reihe von Werkzeugen an um eine Webseite sicherheitstechnisch zu analysieren Laut Hersteller werden unter anderem Webanwendungen auf Buffer Overflows SQL Injection und Cross Site Scripting berpr ft Die Kosten f r eine Lizenz betragen 249 Euro und beinhalten ein Jahr Support BSI Open Source Security Suite BSI Open Source Security Suite BOSS ist ein Werkzeug zum berpr fen von Netzwerken und lokalen Rechnern Die Anwendung ist auf den IT Grundschutz abgestimmt BOSS ist mittlerweile in Version 3 0 verf gbar und enth lt OpenVAS eine kostenlose Software die auf dem beliebten nun separat weiterentwickelten Nessus basiert Nessus wurde in vorigen Versionen von BOSS eingesetzt ist seit kurzem allerdings keine Open Source Software mehr BOSS wird als Live CD angeboten OpenVAS kann aber auch von der Herstellerhomepage bezogen wer den wobei es sich um eine Software f r Linux handelt Sie ist durch Plug Ins erweiterbar und erm glicht so eine Anpassung der Testdurchf hrung 6 3 Sicherheits Audits Sicherheitsaudits bestehen aus einer einmaligen Pr fung Im Folgenden liegt der Fokus auf den exter nen Audits die von einem Dienstleister durchgef hrt werden Oftmals existiert ein Kriterienkatalog der berpr ft wird Dies kann mit Hilfe von Befragungen der Mitarbeiter Auswertung von Unternehmens daten wie Protokollen und ver ffentlichten Richtlinien oder durch Tests der Infrastruktur passiere
101. menausschuss Informationstechnik und Anwendungen NIA Kompass der IT Sicherheitsstandards Leitfaden und Nachschlagewerk August 2009 Steven Cook A Web Developer s Guide to Cross Site Scripting SANS Institute Januar 2003 Symantec Corporation State of Enterprise Security 2010 2010 http www symantec com content en us about presskits SES_report_Feb2010 pdf aufgerufen am 12 10 2010 Initiative D21 D21 Qualit tskriterien f r Internet Angebote 2007 http www foehlisch de guetesiegel docs D21_Qualitaetskriterien_2007 pdf aufgerufen am 13 09 2010 Unabh ngiges Landeszentrum f r Datenschutz Schleswig Holstein Anforderungskatalog v 1 2 f r die Begutachtung von IT Produkten im Rahmen des G tesiegelverfahrens beim ULD SH August 2005 Vassilis Dimopoulos Steven Furnell Murray Jennex und Ioannis Kritharas Approaches to IT Security in Small and Medium Enterprises 2004 Christos Douligeris und Aikaterini Mitrokotsa DDoS attacks and defense mechanisms classification and state of the art Computer Networks Vol 44 643 666 April 2003 Claudia Eckert IT Sicherheit Konzepte Verfahren Protokolle Oldenbourg 2005 ISBN 3 486 57676 3 European Opinion Research Group EEIG European Union Public Opinion On Issues Relating To Busi ness To Consumer E Commerce Executive Summary M rz 2004 http ec europa eu consumers topics btoc_ecomm pdf zuletzt aufgerufen am 09 10 2010 Hans Peter Fr schle und Susanne Strahr
102. n Je nach Audit k nnen technische und oder organisatorische Sicherheitsma nahmen gepr ft werden Oft werden bei technischen berpr fungen Penetrationstests durchgef hrt bei denen versucht wird ber ein Netzwerk in das System einzudringen und so Sicherheitsl cken ausfindig zu machen siehe auch Abschnitt 6 2 Meistens bestehen die Audits also aus einer Kombination von Checklisten und Ana lyseprogrammen http www sophos de products free tools sophos computer security scan html aufgerufen am 30 07 2010 http www sophos de products free tools sophos endpoint assessment test html aufgerufen am 30 07 2010 http www german websecurity com de produkte web security toolset produktinformationen uebersicht aufgeru fen am 30 07 2010 http www openvas org aufgerufen am 30 07 2010 http www nessus org aufgerufen am 30 07 2010 12 https www bsi bund de cln_156 ContentBSI Themen ProdukteTools BOSS BSIOSS html aufgerufen am 01 08 2010 58 Ebene Je nach Audit kann eine eher technische und oder organisatorische berpr fung der IT Sicherheit statt finden Voraussetzungen Au er dem Budget gibt es keine generellen Voraussetzungen f r Sicherheitsaudits Einige der unten ge nannten Beispiele erfordern eine Internetverbindung und sind speziell f r Webseiten konzipiert Pr fung Die Pr fung findet entweder vor Ort oder ber das Internet statt Typisch ist die kurze Dauer nach einer Woche bei ausf hrlicheren und einem Tag
103. n m ssen Mitarbeiter mit Wissen im Bereich IT Sicherheit und Risikoanalyse vorhanden sein http v de aufgerufen am 29 09 2010 24 Pr fung Die Pr fung besteht aus mehreren Audits wobei in einem ersten Schritt nur die Dokumente analysiert werden und danach erst die Einhaltung der Anforderungen berpr ft wird Ein Zertifikat wird f r 3 Jahre ausgestellt es werden j hrliche berpr fungsaudits durchgef hrt Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen diese k nnen der Webseite der deutschen Akkreditierungsstelle ent nommen werden Aufwand und Kosten Der Aufwand f r die Zertifizierung bei KMUs betr gt abh ngig von den Rahmenbedingungen vier bis acht Monate 37 Ausschlaggebend ist unter anderem die bisherige Qualit t der Organisation im Unter nehmen 22 S 24 Der Standard ist kostenpflichtig die Kosten f r die Umsetzung sind abh ngig von der Gr e des Unternehmens den bisher getroffenen Ma nahmen und der Erfahrung der Mitarbeiter Laut einer englischen Webseite kostet eine Zertifizierung aber mehr als 10 000 Dollar Nutzen und Anpassbarkeit Mit der ISO 27001 Norm kann die IT Sicherheit nicht nur bewertet sondern auch systematisch verbes sert werden F r die Evaluation ist die Wahl der Methode f r die Risikoanalyse entscheidend da es von ihr abh ngt ob alle Schwachstellen erkannt werden Der Standard ist nicht speziell auf kleine Unternehmen zugeschnitten aber generisch g
104. n aus dass Benutzereingaben ungefiltert verarbeitet werden So kann beispielsweise bei einer Such Funktion die oft in Webshops enthalten ist ein b sartiges Skript als Suchparameter bergeben werden Wird dieses der bersicht wegen nochmals in die HTML Seite eingebettet so kann es zur Ausf hrung des Skripts kommen Der Angreifer kann nun einen entsprechend vorbereiteten Link zu der Suchanfrage einem anderen Benutzer zukommen lassen um auf dessen Rechner den Code auszuf hren Andere Szenarien finden sich in 5 e Broken Authentication and Session Management verursacht Schwachstellen durch Fehler in der Programmierung oder ungen gende Schutzma nahmen Angreifer k nnen dies nutzen um eine 12 Die Schwachstellen k nnen je nach Umgebung in der sie auftreten auch noch weitere Schutzziele gef hrden 20 Sitzung an einen Benutzer weiterzugeben und sie nach dessen Anmeldung wieder zu bernehmen Session Fixation 27 oder eine Session ID zu erraten Session Hijacking e Insecure Direct Object References Wenn der Zugriff auf interne Objekte nicht gesch tzt ist k nnen Angreifer unautorisiert auf Daten zugreifen e Cross Site Request Forgery Ein Angreifer stellt ber einen anderen Benutzer eine HTTP Anfrage mit dessen Session ID die als erlaubte Anfrage des Benutzers aufgefasst wird Durch Zusen den eines pr parierten Links oder eingebetteten Codes an einen privilegierten Benutzer kann ein Angreifer Befehle ausf hren die er
105. n in vierstelliger H he ausge hen kann Ein Verantwortlicher der T V S d AG macht in einem Interview detailliertere Angaben Die Pr fung dauert in der Regel vier bis f nf Tage zus tzlich muss mit einer Vorbereitungszeit gerechnet werden Die Kosten f r die Pr fung belaufen sich auf mindestens 4 500 Euro Nutzen und Anpassbarkeit Bei diesem G tesiegel ist die Pr fung vor Ort hervorzuheben durch die garantiert wird dass auch Sicher heitsanforderungen wie Zutrittskontrollen erf llt sind Auch hier sind die Anforderungen vorgegeben eine Anpassung ist daher kaum m glich aber auch nicht erforderlich 5 1 3 Internet Privacy Standards Das G tesiegel internet privacy standards ips der datenschutz cert GmbH besitzt von allen untersuch ten G tesiegeln die meisten und ausf hrlichsten Anforderungen Bisher sind 21 Zertifikate vergeben worden darunter auch ein Webshop Der Katalog der Qualit tskriterien ist unterteilt in insgesamt neun Module die an verschiedene Funktionen die dem Verbraucher geboten werden angelehnt sind Sie be schreiben neben den Anforderungen auch f r verschiedene Umsetzungsgrade die Ma nahmen die in einem Unternehmen umgesetzt sein sollten Das Modul M 1 Info Abruf beschreibt beispielsweise Anforderungen an das Bereitstellen von Informa tionen auf Webseiten und das Modul M 5 e Government legt fest wie G tesiegel konforme Webseiten von Beh rden aufzubauen sind F r Webshops sind
106. nd beantwortet Er kann als Verbindung zwischen dem Internet und dem lokalen Netz mit den Anwendungs und Datenservern dienen Ein Anwendungsserver auf dem die ben tigte Software siehe Abschnitt 3 1 2 installiert ist Ein Datenbankserver welcher Produktinformationen Kundendaten und Transaktionen in einer Datenbank speichert Netzwerk Infrastruktur f r die Verbindung zum Internet zum Beispiel Router und Netzwerkkabel e Ein PC zum Verwalten der Shop Software f r administrative Aufgaben wie dem Hinzuf gen von neuen Produkten zum Webshop Die Liste ist nicht ersch pfend optionale Komponenten sind unter anderem Backup Systeme oder Hard ware zur Verteilung der Serverlast Zur besseren Absicherung des Webshops kann auch eine Hardware Firewall eingesetzt werden 3 1 2 Software Die Software bestimmt ma geblich die Funktionen des Webshops Die wichtigsten Komponente ist die ei gentliche Shop Software die das Pr sentationssystem enth lt welches f r die Darstellung der Produkte und Gestaltung der Webseite verantwortlich ist Eine Datenbank zur Speicherung der Produkte Kunden und Verwaltungsdaten ist entweder schon in die Software integriert oder wird zus tzlich ben tigt In den Abbildungen 3 1 1 und 3 1 2 wird sie in der Komponente Datenbank Management System ber ck sichtigt DEIGI LAL Management System Empfehlungssystem Shop Software 4 GERO i Supportforum N a Y enn Bezahl Schnitts
107. ndhalten ISMS umsetzen verbessern betreiben ISMS berwachen berpr fen Abbildung 4 1 2 Der PDCA Zyklus von ISO 27001 S 38 24 In der Check Phase wird die Sicherheit gemessen und mit dem Soll Wert festgelegt durch die Informati onssicherheitsrichtlinie verglichen Die Messung erfolgt durch Metriken die beispielsweise in ISO 27004 definiert sind Wichtige Indikatoren sind hier die aufgezeichneten Sicherheitsvorf lle und die Ergebnisse der Wirksamkeitsabsch tzungen und Management Reviews Die vierte und letzte Phase Act f hrt gegebenenfalls korrigierende Ma nahmen durch indem sie die identifizierten Verbesserungen umsetzt Diese werden ebenfallls dokumentiert und berpr ft Danach wird die n chste Plan Phase vorbereitet N here Details zu den einzelnen Phasen des PDCA Zyklus finden sich in 24 Um die Umsetzung des Standards zu unterst tzen gibt es verschiedene Software Werkzeuge unter anderem das kostenlose Tool verinice Ebene Die Verbesserung der Informationssicherheit wird ausgehend von den Gesch ftsprozessen des Unterneh mens beschrieben es handelt sich hierbei also um einen Top Down Ansatz Es werden organisatorische Anforderungen statt konkreter technischer Ma nahmen vorgegeben Voraussetzungen Der Standard stellt keine speziellen Anforderungen an ein Unternehmen durch seine generische Be schreibungen ist er branchen und gr enunabh ngig Weil keine konkreten Methoden vorgeschrieben werde
108. neering Intitute SED der Carnegie Mellon Univer sity entwickelt und adressiert sowohl organisatorische als auch technische Risiken Der Vorgang der Risikoanalyse ist aufgeteilt in drei Phasen mit jeweils 2 4 Prozessen In Phase 1 werden die wichtigsten Werte der Organisation critical assets gesammelt sowie Sicherheits anforderungen und Bedrohungen f r jeden Wert beschrieben sodass am Ende der Phase Bedrohungs profile vorliegen Der Prozess soll von allen Hierarchieebenen Management technische Mitarbeiter unterst tzt werden um alle relevanten Werte zu bestimmen Phase 2 besch ftigt sich mit der Infrastruktur F r jeden kritischen Wert werden die zugeh rigen Kom ponenten bestimmt und deren Schutzniveau und Schwachstellen festgestellt F r jeden Wert wird in Phase 3 das Risiko ermittelt und festgelegt wie diesem begegnet werden soll Resultat dieser Phase ist eine Schutzstrategie f r das Unternehmen und Abschw chungspl ne f r die Risiken der kritischen Werte control identify monitor analyze implement plan Abbildung 4 4 1 Einordnung von OCTAVE in einen generischen Risikomanagement Prozess aus 1 Mit OCTAVE werden Risiken identifiziert und analysiert sowie eine Schutzstrategie entwickelt Damit ist es kein kontinuierlicher Prozess der als PDCA Zyklus dargestellt werden kann Das gesamte Risikoma nagement kann aber durchaus als ein Kreislauf dargestellt werden OCTAVE findet dabei zu Beginn einer 32 Plan Phase sta
109. nen Leitfaden enth lt der im Vergleich zu anderen Standards weniger Expertenwissen erfordert da die Ma nahmen zum gr ten Teil vorgegeben sind Bisher ist allerdings kein Webshop mit IT Grundschutz zertifiziert was darauf schlie en l sst dass der Aufwand dennoch zu hoch ist e Der Payment Card Industry Standard wird meist umgesetzt weil es die Verarbeitung von Kredit kartendaten erfordert Werden diese Daten nicht in irgendeiner Weise verarbeitet ist der Standard nicht verpflichtend kann nicht vollst ndig umgesetzt und vor allem nicht zertifiziert werden da sich die Anforderungen auf den Schutz der Kreditkartendaten beziehen Wenn Kreditkartendaten verarbeitet werden bietet der Standard einen guten Basis Schutz und ist in der Lage einige der in Abschnitt 3 2 3 beschriebenen Gef hrdungen beispielsweise einen Malware Angriff oder das Abh ren des Kommunikationskanals zu verhindern Dies erfordert allerdings einen gr eren Auf wand Die Pflicht zur Umsetzung des Standards kann umgangen werden indem die Speicherung und Verarbeitung der Kreditkartendaten ausgelagert wird 1 https www bsi bund de cln_174 DE Themen weitereThemen ITGrundschutzZertifikat Veroeffentlichungen ISO27001Zertifikate iso27001zertifikate_node html aufgerufen am 05 10 2010 63 e Die Risikoanalyse nach OCTAVE besonders die Anwendung von OCTAVE S bietet einem Web shop einen schnellen berblick ber die Risiken Mit den Informationen aus der Analyse kann
110. ng und die Anzahl der bisherigen allgemeine Daten Zertifizierungen Au erdem wird ein berblick ber den a naeh Aufbau der Methode gegeben Dabei handelt es sich unter Pr fung anderem um die Anforderungen des Pr fverfahrens oder die Aufwand und Kosten Beschreibung von einzelnen Phasen die zur Durchf hrung Nutzen und Anpassnarket der Methode notwendig sind Danach wird die Ebene beschrieben das hei t ob die Me thode eher auf technischer oder organisatorischer Ebene an setzt Es wird beispielsweise unterschieden zwischen eher technischen Ma nahmen f r spezifische Komponenten und einem bergreifenden Management Konzept Der Abschnitt Voraussetzungen befasst sich mit den Bedingungen die die Methode an das Unternehmen stellt dies kann unter anderem eine bestimmte Organisationsform sein zum Beispiel k nnen einige der G tesiegel nur auf Webshops angewendet werden Eine andere m gliche Vorbedingung ergibt sich durch Methoden die auf bestimmte Infrastruktur oder Daten ausgelegt sind Ohne diese ist der Standard meist nur teilweise umsetzbar Als n chstes folgt eine Beschreibung der Pr fung dazu geh ren Details zum Pr fungsverfahren den Pr fern und Pr fungsbescheinigungen Falls ein Zertifikat ausgestellt wird werden die G ltigkeitsdauer und weitere Besonderheiten wie regelm ige berpr fungen oder vereinfachte Rezertifizierungen auf gelistet Im Abschnitt Aufwand und Kosten werden die beiden f r KMUs wichtigen Au
111. ngen der Zust ndigkeiten vereinfacht Als letztes ist es wichtig eine st ndige Verbesserung der Services anzustreben Im Kapitel Continual Ser vice Improvement wird vorgeschlagen Messungen durchzuf hren Dazu muss zun chst definiert werden was und wie gemessen wird beispielsweise durch Implementierung eines Kennzahlensystems Die Da ten werden analysiert verarbeitet zum Beispiel in Aktionspl nen und Korrekturma nahmen werden umgesetzt Dieser Prozess kann nun zyklisch fortgef hrt werden die umgesetzten Korrekturma nahmen werden also wiederum berpr ft und eventuell weiter angepasst Ebene ITIL beschreibt die Umsetzung des Service Managements mit Hilfe der IT Dazu geh ren organisatorische und auf einem hohen Abstraktionsniveau auch technische Vorgaben die Sicherheit der IT wird aber nur sehr knapp behandelt Voraussetzungen Um ITIL anwenden zu k nnen muss das Unternehmen IT Dienstleistungen f r Kunden bereitstellen Ein Beispiel f r solche Unternehmen sind Outsourcing Dienstleister Webshops geh ren eher nicht dazu da sie den Kunden lediglich Produkte in der Regel ohne weiteren Service verkaufen Aufgrund der vielen Prozesse der verschiedenen Bereiche ist der Standard eher f r gr ere Unternehmen geeignet Pr fung Eine Zertifizierung eines Unternehmens nach ITIL ist nicht m glich Sie kann aber nach ISO IEC 20000 erfolgen da diese Norm sich auf das Service Management in der IT konzentriert und auf die Prozessb
112. oads DE BSI Grundschutz Webkurs gskurs_pdf pdf aufgerufen am 11 10 2010 11 https www bsi bund de cln_174 DE Themen ITGrundschutz ITGrundschutzStandards ITGrundschutzStandards_node html aufgerufen am 11 10 2010 12 http v de aufgerufen am 04 08 2010 29 1 Installation und Wartung einer Firewall Konfiguration zum Schutz von Karteninhaberdaten 2 ndern der vom Anbieter festgelegten Standardeinstellungen f r System kennw rter und andere Sicherheitsparameter 3 Schutz gespeicherter Karteninhaberdaten 4 Verschl sselung bei der bertragung von Karteninhaberdaten ber offe ne ffentliche Netze 5 Verwendung und regelm ige Aktualisierung von Antivirensoftware 6 Entwicklung und Wartung sicherer Systeme und Anwendungen Z Beschr nkung des Zugriffs auf Karteninhaberdaten je nach gesch ftli chem Informationsbedarf 8 Zuweisung einer eindeutigen ID f r jede Person mit Computerzugriff 9 Beschr nkung des physischen Zugriff auf Karteninhaberdaten 10 Verfolgung amp berwachung des gesamten Zugriffs auf Netzwerkressour cen und Karteninhaberdaten 11 Regelm iges Testen der Sicherheitssysteme und prozesse 12 Befolgung einer Informationssicherheits Richtlinie Abbildung 4 3 1 Die 12 Anforderungen von PCI DSS Voraussetzungen Der Standard ist auf die Absicherung von Kreditkartendaten zugeschnitten Ohne deren Verwendung ist es nicht sinnvoll eine Zertifizierung zu beantragen Viele der Anforderungen
113. on 2005 28 Ein Unternehmen ist ein KMU nach EU Definition wenn die Mitarbeiterzahl und entweder der Jahresumsatz oder die Bilanzsumme die in der Tabelle angegebenen Werte nicht berschreiten Im Gegensatz zur Definition des Instituts f r Mittelstandsforschung Bonn IfM die in Tabelle 2 2 aufgef hrt ist trifft die Kategorisierung durch strengere Kriterien auf weniger Unternehmen zu Nach der IfM Definition sind 99 7 der Unternehmen in Deutschland KMUs sie machten 2007 aber nur 37 5 des Umsatzes aus Art des Unternehmens Mitarbeiterzahl Jahresumsatz in Euro Bilanzsumme in Euro Kleinstunternehmen lt 10 lt 2Mio lt 2Mio kleines Unternehmen lt 50 lt 10 Mio lt 10 Mio mittleres Unternehmen lt 250 lt 50 Mio lt 43 Mio Tabelle 2 1 Definition von KMUs der EU von 2005 28 Art des Unternehmens Mitarbeiterzahl Jahresumsatz in Euro kleines Unternehmen lt 10 lt 1 Mio mittleres Unternehmen lt 500 lt 50 Mio Tabelle 2 2 Definition von KMUs des IfM Bonn von 2002 2 2 Auswirkungen auf die IT Sicherheit KMUs haben spezielle Charakteristika die sich auf ihre IT Sicherheit auswirken Einige wirken positiv aber die Mehrzahl f hrt zu Problemen oder Herausforderungen Aufgrund der geringen Mitarbeiterzahl haben KMUs flache Hierarchien was ein wichtiger Faktor f r die Flexibilit t solcher Firmen ist da neue Richtlinien so schnell umsetzbar sind S 44 26 Allerdings haben die Mitarbeiter von
114. onenbezogene Daten werden nur entsprechend den Anweisungen des Auftrag gebers sofern vorhanden verarbeitet Aufragskontrolle 7 Personenbezogene Daten sind gegen Verlust und zuf llige Zerst rung gesch tzt Verf gbarkeitskontrolle 8 Zu unterschiedlichen Zwecken erhobene Daten k nnen getrennt verarbeitet werden Abbildung 3 2 1 Die Kontrollen aus der Anlage zu 9 Satz 1 des BDSG Des Weiteren kann das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG Aus wirkungen auf Webshops haben Dieses Artikelgesetz betrifft haupts chlich Aktiengesellschaften Es for dert die Finf hrung eines berwachungssystem das die Erkennung Bewertung und Behandlung von Risiken enth lt siehe Aktiengesetz 91 2 Der genaue Wirkungsbereich ist im Gesetz nicht weiter 9 10 http www gesetze im internet de bundesrecht bdsg_1990 gesamt pdf aufgerufen am 12 10 2010 http www gesetze im internet de bundesrecht tmg gesamt pdf aufgerufen am 12 10 2010 17 festgehalten jedoch ist die IT Infrastruktur nicht explizit davon ausgenommen Bei Nichteinhaltung des Gesetzes k nnen Vorstand Aufsichtsrat und Gesch ftsf hrer f r Sch den haftbar gemacht werden Eine Haftbarkeit der Gesch ftsf hrer ist aber auch bei GmbHs gegeben siehe Gesetz betreffend die Gesell schaften mit beschr nkter Haftung 843 Neben den genannten rechtlichen Anforderungen kann es vertragliche Vereinbarungen wie beispiels weise bei der Vera
115. orderungen sowohl an die Webseite selbst als auch an die verkauften Waren und die Bestell und Lieferprozesse In einem Audit wird die Konformit t zum Kriterienkatalog mit Hilfe von Checklisten berpr ft Bedingungen Die Zertifizierung k nnen nur Webshops erwerben da sie speziell auf sie zugeschnitten ist Pr fung Es werden mehr als 100 Kriterien gepr ft Wenn bei einer Pr fung M ngel festgestellt wurden sind die se im Pr fungsprotokoll vermerkt Es sind dabei nicht nur die unerf llten Anforderungen beschrieben sondern es werden auch Beispiele gegeben wie sie erf llt werden k nnen Nun hat das Unternehmen die M glichkeit die genannten Punkte zu verbessern sodass nach einer weiteren Pr fung bei der alle Qualit tskriterien erf llt sind das Zertifikat ausgestellt werden kann Die Pr fung wird ausschlie lich ber das Internet vorgenommen beispielsweise durch Inspektion der Webseite und Durchf hrung von typischen Benutzer Aktionen Getestet werden beispielsweise die SSL Verschl sselung die bertragung der Login und Kontodaten und die Manipulierbarkeit der URLs von kundenspezifischen Seiten Nach dieser Erstpr fung in der die Konformit t zu den Anforderungen festgestellt wird folgen j hrliche Pr fungen Sofern diese ergeben dass der Webshop die Qualit tskriterien einh lt bzw die aufgetretenen M ngel vor einer Nachpr fung beseitigt werden bleibt das G tesiegel erhalten http www trustedshops de profil
116. rbeitung von Kreditkartendaten geben die bei der Betrachtung eines konkreten Un ternehmens ebenfalls ber cksichtigt werden m ssen 3 2 2 Schutzziele Neben den klassischen Schutzzielen der Informationssicherheit Vertraulichkeit Verf gbarkeit und In tegrit t sind Authentizit t und Verbindlichkeit f r Webshops von Bedeutung Vertraulichkeit ist f r Kunden und Transaktionsdaten wichtig Die Kundendaten m ssen sowohl w h rend der bertragung als auch nach der Speicherung vor unberechtigtem Zugriff gesch tzt werden Verf gbarkeit ist eine wesentliche Anforderung an Webshops Die Verf gbarkeit der Webseite des Pro duktangebots und der Zahlungsmechanismen muss zu jedem Zeitpunkt gew hrleistet sein da sonst kein Umsatz erzielt werden kann Die Integrit t der Webseite und des Angebots muss erhalten bleiben Eine Ver nderung der Produkt informationen durch Unberechtigte muss vermieden werden Kritisch sind auch die Transaktionsdaten beim Einkaufsvorgang deren Ver nderungen bewirken k nnen dass ein erworbenes Produkt nicht zu gestellt oder der Verkaufspreis nicht eingefordert werden kann Die Authentizit t ist f r den Einkaufsvorgang relevant Der Webshop muss die Daten des K ufers ken nen um das Produkt zu versenden und das Geld einzufordern Es sollte nicht m glich sein dass sich eine Person f r eine Andere ausgibt Die Verbindlichkeit erfordert dass eine durchgef hrte Handlung etwa eine Bestellung nicht abges
117. rheitsl cken pr ft Die detail lierte Auswertung des Ergebnisses ist allerdings kostenpflichtig Die Pr fung konzentriert sich auf bekannte Sicherheitsl cken und Angriffe vor allem gegen Formulare und Eingabefelder zum Beispiel SQL Injection oder Buffer Overflows Des Weiteren werden Zugriffs versuche auf versteckte Dateien unternommen Auf der Homepage findet sich eine ausf hrliche Beschrei bung aller Tests Eine detaillierte Auswertung des Scans kostet 99 Bei erfolgreicher Pr fung d h Durchf hrung eines kompletten Scans ohne kritische und mittlere Si cherheitsl cken kann eine Art Zertifikat welches die berpr fung der Webseite bescheinigt ausgestellt werden secure it nrw Die vom Bundesland Nordrhein Westfalen unterst tzte Initiative secure it nrw bot f r kleine und mitt lere Unternehmen eine kostenlose Basispr fung IT Sicherheit an Dieser Sicherheitscheck wurde bis 31 12 2009 gef rdert und ist nun eingestellt Um diesen Audit durchf hren zu lassen mussten sich die Unternehmen registrieren Es durften nur KMUs teilnehmen insbesondere die Zahl der PC Arbeitspl tze musste bei 5 100 liegen Die kostenlose Pr fung orientierte sich am IT Grundschutz des BSI war aber weniger umfangreich Auch hier lag der Fokus auf der technischen Ebene Ein Auditor arbeitete innerhalb von circa vier Stunden einen Fragebogen mit 130 Fragen ab die die Infrastruktur Anwendungen und bergreifende Aspekte ber cks
118. ria Die Common Criteria for Information Technology Security Evaluation CC beschreiben international standardisierte Kriterien zur Bewertung und Zertifizierung der Sicherheit von Computersystemen bez g lich Funktionalit t und Vertrauensw rdigkeit Sie ersetzen die lteren Information Technology Security Evaluation Criteria ITSEC die von der Europ ischen Kommission ver ffentlicht wurden Der Standard umfasst drei Teile wobei der erste Teil einen berblick ber die Methode gibt und wichti ge Grundbegriffe erkl rt Der zweite Teil besch ftigt sich mit den funktionalen Sicherheitsanforderungen und der Dritte mit den Sicherheitsanforderungen bez glich Vertraulichkeit Bei der Evaluierung eines Computersystems nach CC kann zun chst ein Schutzprofil Protection Profile erstellt oder ausgew hlt werden welches implementierungsunabh ngige Sicherheitsanforderungen an eine Kategorie von Produkten zum Beispiel Firewalls enth lt F r das zu evaluierende Produkt auch Evaluierungsgegenstand target of evaluation genannt m ssen dann spezifische Sicherheitsvorgaben security targets definiert werden die die Anforderungen der Schutzprofile konkretisieren Die Vertrau ensw rdigkeit der Evaluation wird in sogenannten Evaluation Assurance Levels EAL gemessen wobei 1 das niedrigste und 7 das h chste EAL ist F r jedes Level ist eine Menge von Vertrauensw rdigkeits Anforderungen definiert die erf llt sein m ssen Tabelle 4 6 zeigt
119. rres Regelwerk sondern lassen einen Interpretationsspielraum zu und sind so auf die Gr e des Unternehmens anpassbar Nat rlich k nnen auch Kombinationen von Normen sinnvoll sein aber gerade KMUs sollten den Aufwand der f r die Umsetzung einer Norm notwendig ist nicht untersch tzen Im Folgenden werden die bekanntesten Standards der IT Sicherheit beschrieben Dabei wird besonders darauf eingegangen inwiefern bei der Anwendung des Standards eine Evaluation der IT Sicherheit statt findet Au erdem wird darauf hingewiesen ob sie f r KMUs allgemein und insbesondere f r Webshops umsetzbar oder zumindest anpassbar sind Die Auflistung ist nicht vollst ndig es gibt noch weitere Normen die aber weniger verbreitet oder lteren Ursprungs sind Als Entscheidungshilfe f r die Aus wahl wurde der Kompass der IT Sicherheitsstandards von BITKOM 4 und ein Bericht der Initiati ve D21 22 verwendet Mit Hilfe des in Abschnitt 1 4 vorgestellten Templates werden die Standards analysiert Zun chst werden die beiden Standards f r Informationssicherheits Managementsysteme ISO 27001 und IT Grundschutz vorgestellt danach folgen der bei der Verarbeitung von Kreditkar ten zu ber cksichtigende Payment Card Industry Data Security Standard das risiko orientierte OCTA VE der auf IT Servicemanagement fokussierte ITIL Standard das IT Governance Framework Cobit der Wirtschaftspr fer Standard IDW PS 330 und schlie lich die Common Criteria 4 1 ISO
120. scht ist Beispielsweise k nnen Audits bei einer einmaligen Kontrolle g nstiger sein bei einer dauerhaften berpr fung kann aber ein Risikoma nagementsystem nach OCTAVE S weniger Kosten verursachen auch wenn vorher eine Schulung der Mitarbeiter durchgef hrt werden muss 67 8 Fazit und Ausblick In dieser Arbeit wurden zun chst die Eigenschaften von KMUs und der Aufbau von Webshops beschrie ben KMUs haben nur geringe finanzielle Mittel und im Vergleich zu gr eren Unternehmen weniger Mitarbeiter die selten in Themen wie IT Sicherheit spezialisiert sind Die Infrastruktur von Webshops besteht aus Software und Hardwarekomponenten deren Verf gbarkeit st ndig gew hrleistet sein muss um die Gesch ftst tigkeit zu erhalten Ausf lle werden nicht nur durch technische Fehler sondern vor allem durch Gef hrdungen aus dem Internet verursacht Eine Sicherheitsbetrachtung ergab dass die Webshops durch verschiedene Angriffe gef hrdet sind Es wurden verschiedene Methoden zur Evaluierung der IT Sicherheit analysiert bekannte Standards der IT Sicherheit G tesiegel sowie Sicherheitsaudits Analyseprogramme Checklisten und Frageb gen Neben allgemeinen Daten Ebene Voraussetzungen und Pr fung der Methoden wurden Kriterien wie Aufwand Kosten Nutzen und Anpassbarkeit ber cksichtigt Die anschlie ende Analyse ergab dass bei der Wahl der Methode die Kosten der Aufwand sowie das Wissen der Mitarbeiter eine Rolle spielt Standards sin
121. shops ben tigt im Vergleich zu traditionellen Shops weniger Mitarbeiter Prozesse wie der Bezahlvorgang werden elektronisch durchgef hrt die Waren bergabe wird in der Regel von Paketdiensten bernom men Des Weiteren ist es gerade f r kleinere Webshops sehr einfach m glich kritische Gesch ftsbereiche wie die Verarbeitung von sensiblen Kundendaten auszulagern was zus tzliche Mitarbeiter einspart Un ter diesen Bedingungen kann angenommen werden dass es haupts chlich vom Umsatz des Webshops abh ngt ob er zu den KMUs gez hlt werden kann Abgesehen von den gr eren Webshops ein klassisches Beispiel daf r ist Amazon gibt es viele klei nere Webshops die unter die KMU Definition fallen Einer der Gr nde f r die gro e Anzahl von KMU Webshops ist der geringe Aufwand der f r die Gr ndung eines Webshops n tig ist Es muss keine Ver kaufsfl che angemietet werden alle Produkte werden ber das Internet pr sentiert Au erdem werden weniger Mitarbeiter als bei einem klassischen Einzelhandelsgesch ft ben tigt Durch eine extreme Spe zialisierung im Warenangebot k nnen sich auch kleinere Mitbewerber auf dem Markt behaupten S 68 16 F r die Pr sentation der Produkte im Internet muss eine entsprechende Infrastruktur vorhanden sein Der Aufbau der Webshops wird in Abschnitt 3 1 beschrieben Diese Infrastruktur muss st ndig verf gbar sein damit Umsatz durch Kundenbestellungen generiert werden kann M gliche Gef hrdungen wer
122. sie von den Schadensszenarien betroffen sind welche Grundwerte gesch tzt werden m ssen und wie hoch der Schutzbedarf ist Es muss beachtet werden dass IT Anwendungen voneinander abh ngen k nnen Werden die Ergebnisse einer eher unkri tischen IT Anwendung f r eine IT Anwendung mit hohem Schutzbedarf ben tigt muss der Schutzbedarf entsprechend angepasst werden Der Schutzbedarf f r die IT Systeme kann von den Anwendungen abge leitet werden der Schutzbedarf f r die R ume wird von den darin enthaltenen IT Systemen abgeleitet Nummer Schicht Bl bergreifende Aspekte B2 Infrastruktur B3 IT Systeme B4 Netze B5 IT Anwendungen Tabelle 4 3 Schichten des IT Grundschutzmodells aus 19 Anschlie end folgt die Modellierung die Komponenten im IT Verbund auf vorgegebene Bausteine der IT Grundschutz Kataloge abbildet um so Gef hrdungen und Ma nahmen zu ermitteln Sie erfolgt an hand von f nf Schichten siehe Tabelle 4 3 die nacheinander abgearbeitet werden Zun chst werden organisatorische Aspekte die oft f r alle Teile des IT Verbunds g ltig sind bestimmt Danach erst werden detailliertere Anweisungen f r R ume Systeme und einzelnen Anwendungen festgelegt Jeder Baustein hat eine eindeutige Nummer die mit der Nummer der Schicht beginnt siehe Tabelle 4 3 und verweist auf eine oder mehrere Gef hrdungen aus dem Gef hrdungskatalog und eine oder mehrere Ma nahmen aus dem Ma nahmenkatalog Letztere sind unterteilt in die St
123. sind allerdings universell einsetzbar Pr fung Die Zertifizierung erfolgt durch den Anbieter der Kreditkarten Dienstleistung 31 Ihm m ssen je nach H ndler Level verschiedene Dokumente vorgelegt werden die von anerkannten Scan Anbietern Approved Scanning Vendor ASV bzw qualifizierten Sicherheitsgutachtern Qualified Security As sessor QSA ausgestellt werden SBF Vali Beschreibung SBF dierungstyp 1 H ndler bei denen Karte nicht vorliegt E Commerce oder Bestellung per A Post Telefon alle Karteninhaber Datenfunktionen extern vergeben 2 Nur Abdruck H ndler ohne Karteninhaber Datenspeicher B 3 H ndler mit eigenst ndigen Terminals mit Dial Out Funktion kein B Karteninhaber Datenspeicher 4 H ndler mit Zahlungsanwendungssystemen die mit dem Internet ver C bunden sind kein Karteninhaber Datenspeicher 5 Alle anderen H ndler nicht in den Beschreibungen f r SBF A C oben D enthalten und alle Dienstanbieter die von einer Zahlungsmarke als f r das Ausf llen eines SBF qualifiziert definiert werden Tabelle 4 4 Tabelle zur Auswahl des Selbstbeurteilungsfragebogens aus 30 http www mastercard com de merchant acquirer html aufgerufen am 06 10 2010 http www visa de visa_akzeptieren haendlerbanken main jsp aufgerufen am 06 10 2010 https www pcisecuritystandards org pdfs asv_report html aufgerufen am 06 10 2010 https www pcisecuritystandards org pdfs pci_qsa_list pdf aufgerufen am 06 10 2010
124. swahlkriterien dokumentiert hierbei wird zwischen einmaligen und regelm igen Kosten differenziert und die Dauer des Pr fungs prozesses sowie der Aufwand f r die Mitarbeiter ber cksichtigt Zuletzt wird der Nutzen f r die Evaluation und Verbesserung der IT Sicherheit von KMU Webshops und die Anpassbarkeit an diese Art von Unternehmen beschrieben Ein wichtiges Kriterium daf r ist die Exi stenz von nderungsm glichkeiten Vereinfachungen oder optionalen Arbeitsschritten im Verfahren die das vorausgesetzte Wissen oder die ben tigten Ressourcen verringern Abbildung 1 4 1 Struktur des Templates In der Analyse werden die Methoden zun chst nach technischem und organisatorischem Schwerpunkt geordnet Anschlie end werden sowohl Methoden gleichen Typs untereinander zum Beispiel verschie dene G tesiegel als auch unterschiedliche Methoden verglichen und bewertet 2 Kleine und mittlere Unternehmen 2 1 Definitionen Es gibt mehrere Definitionen von kleinen und mittleren Unternehmen KMUs denen unterschiedli che Motivationen zugrunde liegen Sie haben verschiedene Formen meistens werden sie aber ber die Mitarbeiteranzahl und den Umsatz definiert W hrend in mehreren L ndern f r Dienstleistungs und Produktionsgewerbe unterschiedliche Grenzen gesetzt werden ist das in den beiden folgenden Defini tionen die in Deutschland am meisten verbreitet sind nicht der Fall Tabelle 2 1 zeigt eine Definition der Europ ischen Union v
125. t der Fokus auf externen Audits liegt ben tigen die Mitarbeiter kein Expertenwissen Auch die Abarbeitung von Checklisten und die Durchf hrung von Pr fungen mit Analyseprogrammen ist ohne tiefergehende Kenntnisse im Bereich IT Sicherheit m glich Die gegebenenfalls notwendigen Nachbesserungen bei G tesiegeln und die Durchf hrung der Standards erfordern mehr Wissen 7 1 Eignung von Standards In Kapitel 4 wurden verschiedene Standards mit unterschiedlichen Zielsetzungen vorgestellt Grunds tz lich sind sie im Vergleich zu den anderen Methoden aufw ndiger und ben tigen mehr Ressourcen Im Folgenden wird jeder einzelne Standard auf seine Anwendbarkeit f r KMU Webshops analysiert e Die ISO 27001 Norm bietet viele Vorteile wie internationale Anerkennung und die m gliche In tegration von weiteren Standards aber die Zertifizierung ist zu teuer und die Vorgehensweise zu komplex Es sind au erdem erfahrene Mitarbeiter notwendig um anhand der abstrakten Ziele die der Standard vorgibt passende Ma nahmen auszuw hlen welche auf die in Abschnitt 3 2 3 beschriebenen Gef hrdungen abgestimmt sind e IT Grundschutz ist ein aufw ndiger Standard der die technische und organisatorische Ebene ab deckt und die IT Sicherheit nicht nur analysiert sondern auch verbessert Wenn nach der Evalu ierung eine umfangreiche Verbesserung angestrebt wird so bietet IT Grundschutz eine Methodik die an vielen Stellen vereinfacht werden kann und zudem ei
126. t F r jede Komponente des IT Verbunds und jede neu entdeckte Gef hrdung wird nun berpr ft ob die vorgesehenen Ma nah men einen ausreichenden Schutz S 130 19 bieten Nun muss dem Risiko begegnet werden entweder durch entsprechende Ma nahmen oder durch Vermeidung Verlagerung oder Akzeptanz der Risiken Zur Realisierung der festgelegten Ma nahmen werden die Ergebnisse des Basis Sicherheitschecks hin zugezogen Alle teilweise oder gar nicht umgesetzten Ma nahmen werden herausgesucht und gege benenfalls an die Organisation angepasst da die im IT Grundschutz beschriebenen Ma nahmen eher allgemeing ltig formuliert wurden In einem Realisierungsplan muss f r jede Ma nahme ermittelt wer den wer f r die Umsetzung verantwortlich ist und bis wann sie abgeschlossen sein soll Es sollte nicht nur die Umsetzung der Ma nahmen berwacht werden sondern auch die Behandlung der auftretenden IT Sicherheitsvorf lle dokumentiert werden Die Ma nahmen und die gesamte IT Sicherheitsstrategie m ssen von Zeit zu Zeit bez glich Aktualit t Effizienz und Wirksamkeit analysiert werden damit neue oder ver nderte Gef hrdungen nicht unbemerkt bleiben Diese berpr fungen k nnen durch interne und externe Audits vollzogen werden wobei darauf zu achten ist dass die Kontrollen nicht von denjenigen durchgef hrt werden die die Sicherheitsma nahmen implementiert haben Die Resultate der Kontrol len werden daf r verwendet um eine Verbesserung des IT S
127. t zeigt auch eine Studie in der 58 4 der befragten Unternehmen angegeben haben dass leichtfertiger Umgang von Mitarbeitern mit Sicherheitsstandards eine der gr ten Bedrohungen f r die IT darstellt S 36 14 3 http www bitkom org files documents BITKOM Presseinfo_IT Trends 2010 _ 13_01_2010 pdf aufgerufen am 19 09 2010 11 3 Webshops Als Webshop wird in dieser Arbeit ein Internetangebot blicherweise in Form einer Webseite bezeich net das es Kunden erm glicht durch eine Transaktion Produkte zu erwerben Dabei ist unerheblich ob diese Produkte in digitaler Form vorliegen zum Beispiel als Software Download oder physikalisch an den Empf nger bermittelt werden m ssen Dies bedeutet dass der Kunde auf der Webseite die M glichkeit haben muss einen Kaufvertrag abzu schlie en Daf r muss der Kunde ein Angebot ausw hlen und den Kauf best tigen sodass eine rechts g ltige Vereinbarung getroffen wird Dies wird meistens durch einen virtuellen Warenkorb eine virtuelle Kasse und vorgegebene Zahlungsmodalit ten umgesetzt Die hier betrachteten Webshops basieren in erster Linie auf einer B2C Handelsbeziehung Business to Consumer bei der ein Unternehmen Ver brauchern Produkte anbietet S 85 3 Kleine bis mittelgro e Webshops fallen oft unter die im vorigen Kapitel erl uterte KMU Definition Diese Einordnung wird vor allem durch ihre Organisationsstruktur beg nstigt Die Unterhaltung eines Web
128. t ferngesteuerte Botnetze Anfragen an einen Server senden siehe 10 Alle anderen Angriffe werden im Zuge der Vorstellung der kritischsten Sicherheits l cken von Web Applikationen erkl rt Vertraulichkeit Lesen v Daten Ve Lesen v Daten i w hrend nach Ubertragung Speichern N EN a j k Insufficient Transport Fa Layer Protection Failure to Restrict URL Access Dame Insecure Cryptographic Storage Andikenwarde Broken Authentication and Session Management Insecure Direct Object References Abbildung 3 2 3 Angriffsbaum zur Vertraulichkeit Abbildung 3 2 3 zeigt Angriffe gegen die Vertraulichkeit Das Lesen der Daten w hrend der bertragung ist nur m glich wenn letztere ungesichert stattfindet Wie in Abschnitt 3 1 2 dargestellt werden die Kundendaten jedoch oft mit Hilfe des SSL Protokolls also verschl sselt bertragen Integrit t Ver ndern v Web Inhalten Ver ndern v Kundendaten physischer Zugri BES Cross Site Request Forgery pa SQL Injection Broken Authentication and Session Management Abbildung 3 2 4 Angriffsbaum zur Integrit t Abbildung 3 2 4 stellt Angriffe gegen die Integrit t dar Im Szenario wird davon ausgegangen dass die Kundendaten in einer Datenbank gespeichert sind sodass eine SQL Injection m glich ist Je nach Aufbau der Webseiten und der dahinter liegenden Software sind sehr unterschiedlich
129. telle Abbildung 3 1 2 Schematische Darstellung der Shop Software mit zus tzlichen Modulen 3 In Abbildung 3 1 1 werden beide F lle durch die Komponente Hardware Infrastruktur abgedeckt 14 Des Weiteren wird zus tzliche Software die mit der Shop Software interagiert eingesetzt meist in Form von Modulen die die Hersteller der Shop Software anbieten siehe Abbildung 3 1 2 Typische Funk tionen sind Empfehlungsdienste recommendation engine die anhand der betrachteten und gekauften Artikel eines Kunden Vorschl ge generieren und Programme welche das Kaufverhalten der Nutzer analy sieren und daraus Statistiken erstellen Auch Webshops nutzen die Web2 0 Bewegung und integrieren kollaborative und interaktive Elemente beispielsweise ein Supportforum oder eine Integration von so zialen Netzwerken Auf die Bezahl Schnittstelle wird in Abschnitt 3 1 3 n her eingegangen Viele Webshops verwenden vorgefertigte Shop Software statt eigene zu entwickeln Neben Open Source Software gibt es zwei verschiedene Vertriebsmodelle Entweder wird die Software f r einen einmalig zu zahlenden Betrag verkauft oder es wird ein Mietvertrag geschlossen der monatliche oder j hrliche Zah lungen beinhaltet Oft wird hierbei nicht nur die Software sondern auch die Hardware vermietet Produkt Trusted Shops SSL Preis andere Sicherheitseigenschaften vorzertifiziert cosmoshop ja ja 150 79 Monat oder 795 einmalig epages ja ja
130. ten und der Infrastruk tur auskennt Pr fung OCTAVE ist ein reines Vorgehensmodell und bietet keine Zertifizierungsm glichkeit Die Anwendung von OCTAVE kann allerdings andere Zertifizierungen zum Beispiel nach ISO 27001 vereinfachen da es die dort geforderte Risikoanalyse ausf hrt Aufwand und Kosten Zur Durchf hrung von OCTAVE muss ein kleines Team einige Wochen Arbeitszeit aufwenden OCTAVE S ben tigt in der Regel nur einige Tage 1 S 20 Der gr te Teil der Kosten entf llt daher auf das Personal Der Standard selbst ist kostenfrei erh ltlich Nutzen und Anpassbarkeit Durch die Risikoanalyse werden Bedrohungen entdeckt und priorisiert Dies liefert R ckschl sse auf das momentane Sicherheitsniveau der Infrastruktur Des Weiteren werden in der dritten Phase Gegenma nahmen entworfen die anschlie end umgesetzt werden k nnen Das zuvor bereits erw hnte OCTAVE S ist eine auf KMUs zugeschnittene Variante von OCTAVE welche weniger Mitarbeiterressourcen und Spezialwissen wie es eher in gr eren Unternehmen vorhanden ist ben tigt Bei einer komplexen IT Infrastruktur besteht die M glichkeit dennoch die genaueren Analyse methoden von OCTAVE zu verwenden 4 5 ITIL Die Information Technology Infrastructure Library ITIL ist eine Sammlung von Best Practices f r die Umsetzung des IT Service Managements in Unternehmen Es handelt sich hierbei um keinen reinen IT Sicherheits Standard es sind lediglich sicherhe
131. ten weiterleiten 21 4 Standards Standards der IT Sicherheit bieten etablierte L sungswege zur Absicherung der IT an Gerade f r klei nere Unternehmen die nicht die Ressourcen haben um eigene auf sie zugeschnittene Regelwerke zu entwickeln k nnen sie ein Wegweiser zum Erreichen von IT Sicherheit sein Standards k nnen unterteilt werden in Normen also durch Gremien entwickelte offizielle Verfahrensweisen sowie allgemein aner kannte und angewendete Regeln sogenannte Best Practices Die Normengremien bestehen meist aus Mitgliedern der Unternehmen die auch die Anwender des Stan dards sind So ist gew hrleistet dass nicht hohe Kosten f r eine Implementierung ausgegeben werden die ihren Zweck verfehlt Stattdessen werden bew hrte Praktiken aus den Erfahrungen der Teilnehmer gesammelt die auch f r andere Unternehmen hilfreich sind Gerade bei Normen die verpflichtend sind wie beispielsweise der Payment Card Industry Standard bei der Verarbeitung von Kreditkartendaten kann die Fremdbestimmung durch eine Teilnahme am Gestaltungsprozess der Norm vermindert werden Meistens bietet sich nach der Anwendung eines Standards eine M glichkeit eine Zertifizierung durch zuf hren Diese unabh ngige Pr fung schafft Vertrauen und Vergleichbarkeit f r Kunden Mitbewerber und Auftragnehmer Zertifizierungen k nnen aber auch zus tzliche Kosten und mehr Arbeitsaufwand f r Unternehmen bedeuten Viele der Standards beinhalten jedoch kein sta
132. trit ten werden kann Diese Anforderung betrifft den Bestellvorgang und ist mit der Gew hrleistung der Authentizit t verkn pft 3 2 3 Gef hrdungen Bei einem komplexen System wie einem Webshop gibt es sehr viele zum Teil von den Komponenten abh ngige Gef hrdungen Um einen Eindruck davon zu bekommen werden hier Angriffsb ume 36 f r die Schutzziele Verf gbarkeit Vertraulichkeit und Integrit t vorgestellt Sie erheben keinen Anspruch auf Vollst ndigkeit Um diese ansatzweise zu erreichen ist eine aufw ndigere Risikoanalyse vonn ten Es gibt unterschiedliche Gef hrdungen f r die Infrastruktur des Unternehmens der Schwerpunkt soll hier aber auf den Gef hrdungen durch Angriffen von au en liegen Dennoch sollte man nicht ver gessen dass bei allen Infrastrukturkomponenten die Gefahr eines technischen Defekts zum Beispiel aufgrund ihres Alters oder durch Umweelteinfl sse besteht Die in den Angriffsb umen verwendeten An griffsmethoden siehe Abbildungen 3 2 2 3 2 3 und 3 2 4 orientieren sich vor allem an einer Top 10 Liste der kritischen Sicherheitsrisiken von Web Applikationen 34 die nach der Vorstellung der An griffsb ume beschrieben wird Zur besseren Nachvollziehbarkeit wurden in die Angriffsb ume dabei die Bezeichnung der Schwachstellen eingesetzt obwohl es sich genau genommen um die Angriffe gegen diese Schwachstellen handelt Statt Angriffsb ume f r Schutzziele zu erstellen w re es auch m glich gewesen zwis
133. tt siehe Grafik 4 4 1 OCTAVE richtet sich generell an gr ere Unternehmen in 1 ist ein Richtwert von 300 Mitarbeitern angegeben f r kleinere Unternehmen mit weniger als 100 Mitarbeitern wurde OCTAVE S entwickelt Letzteres besitzt weniger Prozesse in den einzelnen Phasen da zu Beginn ein aufw ndiges formales Sammeln von Daten in allen Managementschichten entf llt und auch die technische Analyse verk rzt wurde um Mitarbeiterressourcen zu sparen Daher ist Phase 1 weniger aufw ndig und es wird weni ger Expertenwissen im Bereich der Schachstellenanalyse vorausgesetzt Dies ist zul ssig da kleinere Firmen weniger Hierarchie Ebenen sowie eine bersichtlichere oftmals sogar ausgelagerte technische Infrastruktur besitzen Dennoch ist es m glich Teile von OCTAVE in OCTAVE S zu integrieren um die Risikoanalyse auf die Bed rfnisse des Unternehmens anzupassen Ebene Der Fokus liegt auf den kritischen Werten des Unternehmens es wird also von der Wertsch pfungskette ausgegangen und daraufhin die relevanten technischen Komponenten analysiert Die organisatorische Sichtweise kommt in Phase 1 zum Einsatz die technische in Phase 2 Die in Phase 3 entwickelte Schutz strategie kann sowohl technische als auch organisatorische Komponenten besitzen Voraussetzungen Um eine Risikoanalyse nach OCTAVE durchf hren zu k nnen wird ein kleines Team idealerweise von drei bis f nf Mitarbeitern ben tigt welches sich mit mit den Unternehmenswer
134. ttp www isaca org Knowledge Center cobit Pages Downloads aspx aufgerufen am 01 10 2010 Projektgruppe IT Sicherheitskriterien und IT Grundschutz Zertifikat Qualifizierung IT Sicherheitskriterien im Vergleich Initiative D21 Dezember 2001 Markus Kaufmann und Stefan Cheridito Z rcher Hochschule Winterthur Kleine und mittelgro e Unternehmen und ihre IT Infrastruktur Eine Analyse 2007 Heinrich Kersten J rgen Reuter und Klaus Werner Schr der IT Sicherheitsmanagement nach ISO 27001 und Grundschutz Vieweg Verlag 2008 ISBN 978 3 834 8017 84 David Kluge und Samuel Sambasivam Formal Information Security Standards in German Medium Enterprises GONISAR The Conference on Information Systems Applied Research November 2008 Jens Koenig Ein Informationssystem f r das strategische Management in KMU Josef Eul Verlag September 2004 ISBN 3 89936 281 0 Mitja Kolsek Session Fixation Vulnerability in Web based Applications ACROS Security Dezember 2002 Europ ische Kommission Die neue KMU Definition Benutzerhandbuch und Mustererkl rung 2005 ISBN 92 894 7907 8 Michael Kresse und Markus Bause learnIT Lv3 Serview GmbH 2008 ISBN 978 3 9810 9778 8 PCI Security Standards Council LLC Anleitung und Richtlinien zum PCI DSS Selbstbeurteilungs Fragebogen v1 2 2008 PCI Security Standards Council LLC PCI DSS Requirements and Security Assessment Procedures v1 2 1 July 2009 Christian Maa E Business Management
135. uf Plausibilit t und stellt so sicher dass die Methodik eingehalten wurde und die Argumentation schl ssig ist Das Datenschutz G tesiegel wird f r 2 Jahre vergeben danach kann es mit einem vereinfachten Rezerti fizerungsverfahren verl ngert werden Dieses wird auch bei gr eren nderungen w hrend der 2 Jahre 2 https www datenschutzzentrum de fag guetesiegel htm 2 aufgerufen am 27 09 2010 30 https www datenschutzzentrum de guetesiegel registga htm aufgerufen am 07 10 2010 50 angewendet Aufwand und Kosten Laut Datenschutz G tesiegel FAQ dauert eine Pr fung mehrere Monate Allein die Plausibilit tspr fung durch das ULD SH kostet 1280 bis 3840 Euro je nach Komplexit t die Pr fer verlangen zus tz lich eine Geb hr Nutzen und Anpassbarkeit Das Datenschutz G tesiegel kann nur f r einzelne Produkte wie Hardware Software oder Datenver arbeitungsverfahren vergeben werden nicht f r den ganzen Webshop hnlich wie bei den Common Criteria siehe Abschnitt 4 8 liegt eine Zertifizierung eher in der Zust ndigkeit des Herstellers Eine Zertifizierung von einzelnen Komponenten wie der Shop Software ist daher vor allem hilfreich wenn sie von der KMU selbst entwickelt wurde Sie best tigt die Konformit t zum Bundesdatenschutzgesetz und zu den Datenschutzrichtlinien von Schleswig Holstein Eine Anpassung ist aufgrund der festgelegten Kriterien nicht m glich 5 3 2 Datenschutz G tesiegel der Freien Hans
136. ufen A B C und Z Die ersten drei Stufen sind f r die Zertifizierung notwendig Z bezeichnet optionale Ma nahmen Danach wird durch einen Basis Sicherheitscheck der bisherige Umsetzungsgrad der Ma nahmen zu den ausgew hlten Bausteinen analysiert Er besteht aus Sichtung der relevanten Dokumente zum Beispiel Sicherheitsanweisungen und Durchf hrung von Interviews So wird der Umsetzungsstatus jeder Ma nahme berpr ft m gliche Werte sind dabei ja teilweise nein oder entbehrlich Ma nahmen sind entbehrlich wenn die entsprechenden Gef hrdungen schon auf eine andere Weise behandelt wer den gar nicht erst auftreten oder keinen Schaden anrichten k nnen Wenn eine Komponente des IT Verbunds einen hohen oder sehr hohen Schutzbedarf hat sind die Standard Sicherheitsma nahmen nach IT Grundschutz eventuell nicht ausreichend Au erdem k nnen manche Objekte durch Bausteine nicht gut abgebildet werden zum Beispiel sehr spezielle Hardware 27 In diesen F llen muss mittels einer erg nzenden Sicherheitsanalyse gepr ft werden ob weitergehende Sicherheitsma nahmen erforderlich sind beispielsweise durch eine Risikoanalyse Daf r gibt es ver schiedene Ans tze Der BSI Standard 100 3 beschreibt beispielsweise eine Risikoanalyse auf Basis von IT Grundschutz die zun chst alle Gef hrdungen welche sich schon aus dem IT Grundschutz ergeben auflistet und dann zus tzliche Gef hrdungen die dar ber hinausgehen ermittel
137. umgesetzten Ma nahmen zu beurteilen Eine Me thode ist beispielsweise das Vergleichen von Arbeitsweisen des Unternehmens mit branchenbezogenen Best Practices Hierf r k nnen interne Dokumentationen und Protokolle des Unternehmens verwendet werden Aufwand und Kosten Der Aufwand ist verh ltnism ig gering da es sich um einen externen Sicherheitsaudit handelt Die Pr fung des Systems wird nicht von Mitarbeiter des Unternehmens sondern von einem Wirtschaftspr fer durchgef hrt Die Kosten sind abh ngig vom Wirtschaftspr fer der die Pr fung durchf hrt Nutzen und Anpassbarkeit F r den IT Sicherheitsaspekt ist vor allem die Pr fung der IT Organisation und der IT Infrastruktur inter essant Letztere beinhaltet einen Check der Ma nahmen zum physischen Schutz und Zugriffskontrollen die Pr fung der IT Organisation analysiert die Einhaltung von Sicherheitsrichtlinien wie beispielsweise 39 die Vorgabe einer Mindestl nge f r Passw rter Insgesamt ist der Standard aber weniger auf die Absicherung durch Angriffe auf ein System als auf die Erhaltung der rechnungsrelevanten Daten ausgelegt Deshalb sind Archivierungsverfahren physischer Schutz und Zugriffskontrolle wichtige Komponenten des Standards w hrend beispielsweise Antiviren programme gar keine Erw hnung finden F r KMUs ist interessant dass die Pr fung bei geringer Komplexit t des Pr fgegenstands auf einzelne Funktionen beschr nkt werden kann 4 8 Common Crite
138. ung Genau wie beim G tesiegel des ULD SH besteht die Pr fung aus einem zweistufigen Verfahren bei dem zun chst ein akkreditierter Sachverst ndiger ein Gutachten verfasst welches dann bei einer der Zertifizierungsstellen eingereicht wird Sind alle die relevanten Kriterien eingehalten und das Gut achten schl ssig wird das G tesiegel vergeben Es ist f r zwei Jahre g ltig und kann durch ein Re Zertifizerungsverfahren erneuert werden Aufwand und Kosten Eine Zertifizierung dauert in der Regel l nger als drei Monate Es wird eine Zertifizierungsgeb hr erhoben die aber im Vergleich zu den Kosten f r den Gutachter nied rig ausf llt Letztere sind abh ngig von der Komplexit t Nutzen und Anpassbarkeit Das G tesiegel ist nicht speziell auf Webshops abgestimmt wie beispielsweise die D21 G tesiegel son dern geeignet f r alle technischen Produkte Dies birgt die Gefahr von zu generellen Anforderungen die nicht ausreichend auf den konkreten Anwendungsfall abgebildet werden k nnen Es deckt alle relevanten Kriterien ab die von europ ischen Datenschutzgesetzen gefordert werden darunter auch Sicherheitsanforderungen Eine Anpassung ist aufgrund der festgelegten Kriterien nicht m glich 37 https www datenschutzzentrum de sommerakademie 2008 sak08 bock probst europrise pdf aufgerufen am 28 07 2010 53 6 Sonstige Sicherheits berpr fungen Neben Standards und G tesiegeln gibt es noch verschiedene andere M g
139. ung Stellen CC Liste cc itsec pruefstellen html aufgerufen am 06 10 2010 41 5 G tesiegel Neben G tesiegeln wie dem energy star der Stiftung Warentest oder Bio G tesiegeln die f r Produkte vergeben werden um deren Qualit t oder eine bestimmte Eigenschaft zu garantieren existieren auch G tesiegel f r Webshops und Datenschutzg tesiegel auf die hier n her eingegangen werden soll Durch die immer gr ere Anzahl an Shops sind sie f r Konsumenten zu einem wichtigen Anhaltspunkt bei der Kaufentscheidung geworden Fast die H lfte der Befragten einer Studie der Europ ischen Union 12 die G tesiegel kannten gaben an dass die Pr senz eines G tesiegels einen Webshops vertrauensw r diger macht Die Siegel bieten nicht nur Orientierung f r Kunden sondern werden von zertifizierten Webshops auch als Marketing Werkzeug verwendet Die meisten G tesiegel versuchen m glichst viele verschiedene Kriterien abzudecken Es wird beispiels weise neben der Datensicherheit die Benutzbarkeit des Shops evaluiert Die Initiative D21 hat Kriterien f r G tesiegel aufgestellt die im Folgenden analysiert werden Diese Kriterien werden von vier G te siegeln erf llt die mit ihren eigenen Anforderungskatalogen beschrieben werden Anschlie end folgen zum Vergleich zwei nicht von D21 empfohlene G tesiegel f r Webshops und schlie lich mehrere auf Datenschutz spezialisierte G tesiegel Die Analyse des Nutzens basiert bei den G tesiege
140. ung und Verarbeitung von ge sch ftsrelevanten Daten Besonders Webshops sind auf die IT angewiesen da sie im Gegensatz zum traditionellen Einzelhandel ihren Umsatz ausschlie lich ber das Internet generieren F r sie muss gew hrleistet sein dass sie ihre Produkte m glichst unterbrechungsfrei pr sentieren und verkaufen k nnen Ein Datenverlust oder der Ausfall von Komponenten stellt somit eine Bedrohungen f r die Gesch ftst tigkeit dar Neben technischen Defekten ist aber vor allem die notwendige Anbindung an das Internet ein Risiko f r die Infrastruktur der Webshops Laut einer weltweiten Studie der Symantec Corporation 6 erlebten 75 der befragten Unternehmen in einem Zeitraum von zw lf Monaten An griffe ber das Internet 29 sagten aus dass die Anzahl im Vergleich zum letzten Jahr zugenommen hat Ziele der Angriffe sind unter anderem das Aussp hen von Kundendaten oder wichtigen Informationen und das Eindringen bernehmen oder Abschalten des Systems Ein erfolgreicher Angriff bedeutet f r einen Webshop deshalb einen Vertrauensverlust bei den Kunden sowie m glicherweise Ausfallzeiten in denen der Webshop nicht erreichbar ist und daher keinen Umsatz erzielen kann Daher muss der zum Betrieb ben tigten Infrastruktur die sich meist aus Hard und Software Komponenten zusammensetzt besondere Aufmerksamkeit bei der Absicherung gegen Bedrohungen gewidmet werden Eine zus tzliche Herausforderung f r kleine und mittlere Unternehmen
141. weise 27003 Anweisungen zur Implementierung 27004 Standard zur Messung des Management systems 27005 Standard f r Risikomanagement Tabelle 4 1 Die ISO 27000 Normenfamilie In der Plan Phase legen die Verantwortlichen in der Regel das Management des Unternehmens den Anwendungsbereich des ISMS fest und definieren eine ISMS und Informationssicherheitsrichtlinie die alle Anforderungen und Rahmenbedingungen an das ISMS enth lt Ein wichtiger Bestandteil der Norm ist die Risikoanalyse sie kann beispielsweise mit ISO 27005 durchgef hrt werden und folgt dann eben falls dem PDCA Zyklus Da die Norm keine Vorgaben macht ist jede andere Methode ebenfalls m glich so k nnen die Verantwortlichen eines kleineren Unternehmens auch eine einfache Risikomatrix 2 als Risikoabsch tzung w hlen Es muss lediglich gew hrleistet sein dass Bedrohungen und Schwachstellen analysiert und eine Absch tzung und Bewertung der Risiken vorgenommen wird sodass schlie lich ei ne priorisierte Liste von Risiken vorhanden ist F r diese Risiken m ssen nun Ma nahmen ausgew hlt werden Die Ziele dieser Ma nahmen k nnen ISO 27002 entnommen werden die Suche und Auswahl geeigneter Ma nahmen muss allerdings eigenst ndig durchgef hrt werden Die Risiken und ausgew hl ten Ma nahmen m ssen durch das Management best tigt und in der Erkl rung zur Anwendbarkeit statement of applicability festgehalten werden Bei sp teren Iterationen werden in der Plan Phase di
142. z de files documents 06_02_PocketseminarlT Secprint pdf aufgerufen am 30 07 2010 https www sicher im netz de files documents unternehmen DsiN_Unternehmer _Web pdf aufgerufen am 30 07 2010 http www infosurance ch site downloads merkblaetter InfoSurance_10 Punkte Programm _DE pdf aufgerufen am 18 07 2010 56 tionen bereitstellen k nnen komplexe Testsammlungen automatisiert mehrere Aspekte der Sicherheit berpr fen Im Internet finden sich Verzeichnisse mit bekannten Analyseprogrammen Analyseprogramme werden oft im Zuge von Penetrationstests Pen Tests eingesetzt mit denen ver sucht wird ohne Berechtigungen in das entsprechende System einzudringen Es wird also ein Angreifer simuliert was rechtlich nicht unbedenklich ist da neben dem Aussp hen von gesch tzten Daten schon der Besitz von Software die dies erm glicht nach 8202c des deutschen Strafgesetzbuches strafbar ist F r genauere Details ber die Rechtslage sei auf ein Dokument des BSI ber Penetrationstests verwiesen 18 Die Durchf hrung von Penetrationstests birgt die Gefahr dass Sch den am System entstehen und vertrauliche Daten gelesen werden der Penetrationstester sollte also vertrauensw rdig sein Eine Einteilung der Pen Tests vgl S 85 11 kann folgenderma en vorgenommen werden e Beim Whitebox Ansatz werden detaillierte Informationen ber das System verwendet Der nach gebildete Angreifer kennt die interne Struktur und die Anwendungen des Systems
143. zahl Schnittstellen Die Bezahlsysteme 12 siehe Abschnitt 3 1 4 befinden sich in der Regel au erhalb des Einflussbereichs des Webshops Aufgrund der Vielfalt der existierenden Webshops ist es schwierig einen allgemeinen Aufbau zu beschrei ben Die Abbildung 3 1 1 versucht einen berblick ber die wichtigsten Komponenten eines Webshops die in den Abschnitten 3 1 1 bis 3 1 4 erkl rt werden zu geben Software Komponenten werden durch abgerundete Boxen repr sentiert die Hardware wurde zu einer Komponente zusammengefasst Das Be triebssystem bildet die Basis f r die weitere Software die Webserver Komponente ist eine Software die f r die Ver ffentlichung der Webseite im Internet ben tigt wird Beide Komponenten sind nicht Webshop spezifisch und werden daher nicht weiter erl utert Neben der vorhandenen Schnittstelle zu Banken und Bezahlsystemen w re auch eine Anbindung an ein Enterprise Resource Planning System oder zu Logistikunternehmen denkbar Webshop BETH IIN Management System Shop Bezahl software Schnittstelle Y g Veena Bank Client mit Bezahlsystem Webbrowser Betriebssystem Hardware Infrastruktur Abbildung 3 1 1 Schematische Darstellung des Aufbaus eines Webshops Ein Webshop kann die gesamte technische Infrastruktur und deren Wartung auslagern in dem Fall liegt die Sicherheit zu gro en Teilen nicht mehr in der Verantwortung des Webshops Dieser beteiligt sich dann haupts chlich
Download Pdf Manuals
Related Search