Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt. Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013

1. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
IT-Compliance
Anforderungen an den Finanzsektor mit
neuen Sicherheitstechnologien einfacher
und kostengünstiger bewältigen
Alexander W. Köhler
Diplom-Mathematiker
Certified Information Systems Security Professional (CISSP)
Certified Cloud Security Expert (CCSK)
8. IIR-Bankenkongress, 19.-20.3.2013, Wien

2. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Agenda
• Zeit: 30 Minuten
• Ausgangslage: Fokus und gemeinsames Verständnis, Motivationen
• Gegebenheiten: Finanzen, Technik, Nutzer
• Vorgehensweise, Optionen
• Problemlösung
• Vergleichende Kennzahlen
• Security-by-Design, Trust-by-Design, Compliance-by-Design,
Privacy-by-Design
• Fallbeispiel 1: PCI DSS
• Fallbeispiel 2: Daten auf Mobilen Endgeräten
• Fallbeispiel 3: Daten auf weiteren Endgeräten (Tablets)
• Sichere Infrastrukturen (SecaaS; Soziale Netze)
• Wave Systems, das Unternehmen
• Konsequenzen und Zusammenfassung
2

3. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013
Informationssicherheit
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art
– Anzahl steigt
– Vernetzung wächst weiter
• Endgeräte befinden sich überwiegend
außerhalb des Firewall-Perimeters
(„Maginot-Linie“, Perimeter Defense)
• Die Grenze zwischen privaten und geschäftlich
genutzten Endgeräten verwischt zunehmend
(„Consumerization“, ByoD)
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität
– Gesetze und Vorschriften
– Bankenintern (Richtlinien, Eigenverantwortung)
3
Maginot-Linie

4. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Die Ausgangslage 2013 - Motivationen
Das “Warum” und die Antworten
• Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:
Es lohnt sich
• Mögliche Angriffsziele: Wolke, Server, Clients, Endgeräte jeglicher Art
– Anzahl nimmt zu: Die Benutzer/innen wollen es so
– Vernetzung wächst weiter: Technologie bereit -> Medienbrüche abbauen
• Endgeräte befinden sich überwiegend außerhalb des Firewall-Perimeters
(„Maginot-Linie“, Perimeter Defense): Trend: Mobilität
• Die Grenze zwischen privaten und geschäftlich genutzten Endgeräten
verwischt zunehmend: Die Benutzer/innen wollen es so
• Die Anforderungen an Regelkonformität steigen in Umfang und Qualität
– Gesetze und Vorschriften Vorfälle –> Die Politik muss reagieren
– Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns
4

5. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Gegebenheiten
• Hoher Schutz = hohe Kosten
• Hoher Schutz = hohe Investitionssicherheit
• Hoher Schutz = Beeinträchtigung der Arbeitsumgebung des Benutzers
• Hoher Schutz = hoher Administrationsaufwand
• Aufwändigere Kontrollmechanismen = bessere Regelkonformität
– Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk
– Aufwändiger: mehr SW-Produkte, mehr „Lines of Code“,
mehr Appliances, etc.
5
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform

6. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Informationssicherheit
Von der “Gegebenheit” zum Ideal
6
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein (neg.)
AdminAufw (neg.)
Regelkonform

7. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Vorgehensweise
Optionen
• Weitere technische Maßnahmen (Produkte; “Controls”) hinzufügen
– Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch
– Verlangt nach weiteren, inkrementellen Verbesserungen
– usw., usw., …
– Keine Änderungen an den Randbedingungen (IT-Umfeld)
7
• Änderungen der Randbedingungen
– Architektur
– Trusted Computing (Trusted Computing Group)
– “Security-by-Design”

8. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung
8
• Änderungen der Randbedingungen
– Architektur
– Trusted Computing (Trusted Computing Group)
– “Security-by-Design”
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform
aus ... wird:

9. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Problemlösung, messbar mit “Vergleichenden Kennzahlen”
9
• Andere Methode um den Nutzen von technischen Sicherheitsmaßnahmen zu
bewerten:
• RoSI: Return on Security Investment
• Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets)
• RoCI: Return on (Security Controls) for Compliance Investment
Das RoCI ist hier ↑ deutlich geringer als …. hier ↑
0
5
10
InvestSich
Kosten
(neg.)
Schutz
ArbeitsUmgB
eein (neg.)
AdminAufw
(neg.)
Regelkonfor
m
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeei
n (neg.)
AdminAufw
(neg.)
Regelkonform

10. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
1
Security by Design
Security by Design

11. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
(SSD) Self Encrypting Drive
(SED)
O
P
A
L
&
F
I
P
S
Security by Design
Trusted Software Stack (TSS)
Trusted Network Connect (TNC)

12. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
2
Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted Platform
Module (TPM))
Self Encrypting
Drive (SED)
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
Trust by Design
600,000,000 TPMs

13. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
Encryption
3
Compliance by
Design
Audit & Compliance
Inspector Data
Loss Prevention
Protector Removable
Media, Port Control,
Wi-Fi, Bridging
2
Trust by Design
Single Sign-on
VPN
etc
NAC
Trusted Platform
Module (TPM)
Self Encrypting
Drive (SED)
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
Privacy by Design

14. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
600,000,000 TPMs
4
Privacy by Design
SW Encryption
3
Compliance by
Design
Proof of Compliance
Inspector Data
Loss Prevention
Protector Removable
Media, Port Control,
Wi-Fi, Bridging
2
Trust by Design
Direct Access
Seamless Integration
Next generation VPN
Virtual Smart Card
Key Storage Provider
Pre-Boot Authentication
Single Sign On /
Windows password sync
Security by Design
O
P
E
N
I
N
D
U
S
T
R
Y
S
T
A
N
D
A
R
D
S
Trusted Platform Module
(TPM)
Self Encrypting Drive (SED)
O
P
A
L
&
F
I
P
S
User Plug-in
Free for life
Enterprise
Group Management
DLP
Reporting
File Encryption
PKI Key Management
Privacy by Design –
Files-in-cloud, Data & Social Media Security
BIOS Integrity
Token integration
NAC
Zero touch
Audit, Reporting
& Compliance
MS Bitlocker mngt
MS XP-Win 7-8OS support

15. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Praxis: Produkt zur Umsetzung von PCI DSS Regelkonformität
PCI DSS
Wave Systems Protection Suite
• Daten klassifizieren, lokalisieren
• Datenfluss kontrollieren
– Verbindungen: LAN, WiFi, G3/LTE; USB, BT
– Inhalte: Dateien, eMails, Web, FTP
– Geräte: Flash Drives, Externe HDDs,
Smartphones, Kameras, Drucker, Brenner
• Automatisierte Verschlüsselung
• Berichtswesen zur Bewertung von Regelkonformität
• Granulare Kontrolle
• Richtlinienbasiert
15

16. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Wave Systems Protection Suite
16
Für PCI DSS relevante Schutzmechanismen
• Verhindert “Network Bridging”
• Zugelassene/nicht zugelassene WiFi-Verbindungen
• Zugelassene/nicht zugelassene, angeschlossene Geräte
• Initialeinstellungen auf abgeschaltete Ports
• Lokalisieren von zu schützenden Daten auf dem Endgerät
• Folgeaktionen aus Analyse: automatische Verschlüsselung
der Lokalität
• Verhindert Extrahieren von schützenswerten Daten mittels beweglichen
Medien
• “Tagged CDs/DVD”
• Erzwingt Verschlüsselung des Datentransfers
• Erkennen, Blockierung von Ausführbarem Code auf Wechseldatenträgern

17. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
17

18. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
PCI DSS und Protection Suite
18

19. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.
• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn
» Verschlüsselung (“power-off” Schutz)
» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
19
– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*
– Vorteile: bekannt
– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen
– Hohe Kosten über den Lebenszyklus
– Mit mittlerem Aufwand umgehbarer Schutz
– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)
– Hoher Administrationsaufwand
– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen
– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU

20. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Mobilen Endgeräten
Daten auf Notebooks, Tablets, etc.
• Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG
– Empfehlung zur Umsetzung durch BSI, Bonn
» Verschlüsselung (“power-off” Schutz)
» TPM (“power-on” Schutz)
– Hinweis: “Daten” schliesst Berechtigungsnachweise (Credentials) mit ein
20
– Anerkannte Methode “power-off” Schutz: Festplattenvollverschlüsselung*
– Vorteile: bekannt
– Nachteile:
– Alle Produkte im Markt: proprietäre Lösungen
– Hohe Kosten über den Lebenszyklus
– Mit mittlerem Aufwand umgehbarer Schutz
– Starke Beeinträchtigung der Arbeitsumgebung (Leistungseinbussen)
– Hoher Administrationsaufwand
– Hoher Aufwand (manuell) um Regelkonformität sicherzustellen
– Beweisführung im Schadensfall teuer / unmöglich
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des Datenstroms durch die CPU
0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw (neg.)
Regelkonform

21. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung, Fortschritt für die Anwender
21
Festplattenvollverschlüsselung, neue Methode*
– Vorteile:
– Industriestandard TCG, Opal
– Deutliche Kostenreduktion
– Komplexität und Aufwand Produkt
– Wegfall von Kostenblöcken (Verwertung)
– Prozesse von Stunden auf Sekunden verkürzt
– Schutz nur mit hohem Aufwand umgehbar
– Keine Beeinträchtigung der Arbeitsumgebung
– Reduzierter Administrationsaufwand
– Regelkonformität durch Design gegeben
– Beweisbarkeit vollautomatisiert sichergestellt
* = Festplattenvollverschlüsselung mit Ver- und Entschlüsselung des
Datenstroms durch Self Encrypting Drives (SEDs)

22. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Festplattenvollverschlüsselung mit SEDs
22
Festplattenvollverschlüsselung mit Ver- und
Entschlüsselung des Datenstroms
durch Self Encrypting Drives (SEDs)
0
5
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw
(neg.)
Regelkonform 0
2
4
6
8
10
InvestSich
Kosten (neg.)
Schutz
ArbeitsUmgBeein
(neg.)
AdminAufw (neg.)
Regelkonform
aus... wird:

23. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
– Security-by-Design:
» TPM (Trusted Platform Module) : “power-on”-Schutz
» “Root of Trust”: Absolute Notwendigkeit zum
effizienten Schutz von Mobilen Endgeräten
» Die perfekte Waffe gegen APTs
» Kontrolle über die Integrität
der Plattform (“Trust-by-Design”)
» Virtuelle Smartcard macht physikalische
Smartcard überflüssig
» Auf über 600 Millionen Plattformen ohne
Zusatzkosten bereits verfügbar !!!
» Die Infrastruktur:
» Die Infrastruktur
23
Auguste Kerckhoffs
Nuth, Niederlande,
1835-1903Daten auf PCs, Tablets etc.
• Informationssicherheits-Prinzip
– Das Kerchkhoffs-Prinzip: “Einfach ausgedrückt darf die Sicherheit
nur von der Geheimhaltung des Schlüssels abhängen”

24. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Regelkonformität: Daten auf Endgeräten
24
Daten auf Tablets und anderen Plattformen
• Mit moderner Authentifizierung den Benutzerkomfort eines
Smartphones und Sicherheit eines Enterprise-PCs vereinen
– SSO; Hardware gesichert, keine Kennwörter mehr nötig
• Mehr denn je die Notwendigkeit für
– Security-by-Design
– Trusted Computing
– Compliance-by-Design
– Mobile Infrastruktur: Die Komplettlösung von Wave Systems

25. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Sichere Infrastrukturen ohne “Lost in Complexity”
25
Cloud Computing
• Bereitstellung von Managed Services (SecaaS)
– Vollständige zentrale Kontrolle ohne eigene Installation
• Kontrollierte und sichere Nutzung von Public Cloud Plattformen
(Storage-aaS, Soziale Netze)
– Dropbox
– Facebook usw.
– www.scrambls.com

26. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Konsequenzen und Zusammenfassung
• Die neuen Anforderungen an die IT und
TK (Cloud, ByoD (Gerätevielfalt), SOA,
Outsourcing) können mit Trusted Computing
und Security-by-Design bewältigt werden
• Bisher gültige Sachzwänge werden reduziert
bis aufgelöst
• Plan, Build, Run: Kompetenz in und Planung zur Informationssicherheit
muss bereits in “P” einfliessen um die Vorteile nutzen zu können
• Vergleichende Kennzahlen machen Investitionen messbar
26

27. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wave Systems – führend in Mobilen Infrastrukturen
27
Gegründet 1988, Zentrale in Lee (Massachusetts)
• Portfolio: Mobile Infrastrukturen
• Weltmarktführer in Hardware basierter Endgeräte-Sicherheit
• Weltweit die meisten Installationen und die größten:
BASF, BP, General Motors, PricewaterhouseCoopers, jede 100.000 -140.000
Clients
• In der Industrie bekanntes Expertenteam
• Dr. Thibadeau, der Erfinder der SEDs
• Brian Berger, Exec VP und permanenter Direktor im Board von TCG
• Jonathan Taylor, Architekt Sicherheitsinfrastruktur bei BP
• Boudewijn Kiljan, Projektleiter des PKI&TPM Projektes bei PricewaterhouseCoopers
• Joseph Souren, VP und GM Wave EMEA. Berater GovCert, ENISA,
Autor bei “Platform Information Security” und “All-About-Security”
• Alexander Koehler, Certified Information Systems Security Professional,
zertifizierter Cloud Security Experte, TCG Technology Architekt, Autor und
Vortragender (InfoSec, CeBIT, ISSE, SiliconTrust, Embedded Systems, GovSec)
• … und weitere Kollegen in den jeweiligen Spezialgebieten

28. © 2013 Wave Systems Corp. Confidential. All Rights Reserved.
Wir danken für Ihre Aufmerksamkeit.
Wir stehen für Sie zur Verfügung:
28
• Kontakt Österreich:
• Erich Kronfuss
Geschäftsstellenleiter
ProSoft Software Vertriebs GmbH -
Office Austria
Jeneweingasse 6 | A-1210 Wien
• +43 1 27 27 27 -100
• erich.kronfuss@prosoft.at
• Kontakt Wave Systems:
• Alexander W. Koehler
• Excellent Business Center
Westhafenplatz 1
D-60327 Frankfurt
• akoehler@wave.com
• Tel. +49 69 95932393