Bedrohungen der Informationssicherheit

Leave a comment

Es gibt diverse Varianten, die zu einer Gefährdung der Informationssicherheit führen können:

  • Systemausfall (technisch)
  • Systemmissbrauch durch Manipulationen oder Datenveränderung
  • Sabotage
  • Spionage
  • Betrug/Diebstahl
  • Falsche Bedienung vom Personal
  • Viren
  • Spoofing
  • Phishing
  • Pharming (Vortäuschen falscher Identität)
  • Man-in-the-Middle Angriff
  • Serverüberlastungsangriffe (Denial-of-Service)
  • Physikalischer Einbruch

Es gibt folgende Massnahmen, welche die Informationssicherheit verbessern können:

  • Passwörter setzen
  • Berechtigungskonzept
  • Backup
  • Virenschutz (auch auf mobilen Geräten)
  • Interneteinschränkungen
  • keine unkontrollierten privaten Geräte
  • Nur kontrollierte Software
  • Gebäudezutritte einschränken
  • Datenverschlüsselung
  • Monitoring
  • Notfallorganisation
  • Sicherheitssensibilisierung
  • Firewalls einsetzen

Notfallhandbuch

Leave a comment

Das Notfallhandbuch beschreibt die Reaktionen, welche nach Krisen folgen. Da die Geschäftsprozesse so gut wie möglich fortgeführt werden sollten, sind folgende Pläne wichtig:

  • Geschäftsfortführungspläne
    • Handlungsschritte für die Wiederherstellung
  • Wiederanlaufpläne
    • Definition der Verantwortlichkeiten
    • konkreter Zyklus der Fehlerbehebung
    • Aufnahme Notbetrieb (z.B. Ausweichrechenzentrum)
  • Sofortmassnahmen
    • die ersten Schritte beim Eintreten einer Krise
    • die Sicherheit von Beteiligten soll geschützt werden
  • Krisenkommunikationsplan
    • die Kommunikation mit den Medien wird geregelt
    • Welche Informationen dürfen an wen weitergegeben werden

Serviceanforderungen

Leave a comment

Erhebungsberichte

  • Systeme in Betrieb
  • Stakeholder
  • Dokumente

Anforderungskriterien

  • vollständig
  • Eindeutig definiert/abgegrenzt
  • Identifizierbar
  • Nachprüfbar

Methoden für die Definition in der Entwicklungsphase

  • Use Case
  • Aktivitätendiagramme
  • Spezifikation

Umsetzungskonzept

Das Dokument, in dem die Anforderungen aufgenommen werden heisst Umsetzungskonzept.

Inhalte Pflichtenheft

  • Ist-Zustand
  • Ziele
  • Anforderungen
  • Mengengerüst
  • Fragekatalog
  • Antwortform (z.B. Offerte)

Service Package

Dem Kunden müssen viele verschiedene Services zur Verfügung gestellt werden. So haben sie die Übersicht, welche Services in «Service Packages» gebündelt werden.

Core Service

Unter dem Kern-Service versteht man die Services, die die Grundfunktionen beinhalten. Dies ist auch der Service, für jenen die Kunden schlussendlich bezahlen. Dazu gehören hauptsächlich geschäftskritische Services (Bei Banken bsp. Buchung, Zahlung…)

Bestandteile

  • Utility: Funktionalität, die da ist um eine Funktion zu erfüllen
  • Warranty: Garantie, dass ein Service die Anforderungen erfüllt

Vorlage Use-Case

  • Auslöser
  • Vorbedingungen
  • Nachbedingungen/Ergebnis
  • Standardablauf
  • Alternative Ablaufschritte

Arten von anforderungen

  • Muss
  • Kann
  • Soll

Spannungs-/Magisches Dreieck

  • Ressourcen
  • Zeitplanung
  • Funktionalität/Qualität

 

zusätzlliches:

Informationen

Das wichtigste ist, welche Service (mit genauem Namen und Beschreibung) beim Serviceanbieter bezogen werden. Dazu sind aber auch Anforderungen und Prozesse verborgen, die nicht auf den ersten Blick sichtbar sind.

Dazu gibt es verschiedene Hilfsmittel:

  • Stakeholder
    • Personen, die im Projekt wichtig, aber nicht direkt beteiligt sind
    • Personen, die man in bestimmten Situationen befragen kann
    • Auftraggeber, Nutzer, aktuelle Betreiber…
  • betriebliche Systeme
    • Systeme, welche bereits als Service beim Kunden sind
    • Es ist nötig, die Systeme kennen zu lernen, da man sie später übernehmen wir

 

 

 

Service-Strategien

Leave a comment

Hauptziele Service-Strategie

Eine Service-Strategie hilft bei

  • Bewertung des Markts und Kundenbedürfnisse
  • Services, die angeboten werden müssen
  • Services und Fähigkeiten, die entwickelt werden müssen

Firmennutzen von IT-Services

  • Höhere Konzentration auf eigene Kernkompetenzen
  • Quaifizierte Mitarbeiter vorhanden
  • Die Kosten von IT sind genauer kalkulierbar
  • eigene Investitionen sind nicht nötig
  • Arbeitskraftkosten sinken (die einzelnen Arbeitskräfte sind besser spezialisiert)
  • externe Unterhaltungskosten von der eigenen Serverinfrastruktur fällt weg
  • die Betriebskosten sind vertraglich geregelt
  • Raumkosten für Infrastruktur fällt  weg

Sammlung und Status

  • Bereiche, die für Outsourcing infrage kommen
  • realistischer Zeitplan
  • Outsourcing muss von den Geschäftsleitungen unterstützt und gefördert werden
  • Mitarbeiter sollten regelmässig informiert und auf dem aktuellen Stand sein
  • das Mitbestimmungsrecht sollte für alle beteiligten ausreichend sein
  • Quantitiver und qualitativer Bedarf sollte durch Bandbreiten und Mengen festgelegt sein
  • Abmachungen sollten schriftlich sein
  • Es soll ausreichend Zeit bestehen um den Vertrag zu kündigen (Kündigungsfrist)

Vorteile Service-Portfolio

  • Informationen sind einfach abzuholen
  • Es gibt keine Redundanzen unter den Informationen (doppelte Informationen)
  • Gesamtüberblick über die Services ist vorhanden

Service Review

  • Durch Rückblicke (Review) kann die Servicequalität verbessert werden wo es nötig ist
  • Deshalb finden regelmässige Servicebesprechungen statt

Serviceentwicklung

1 Comment

ITIL ist ein Vorgehensmodell. Es wurde in Grossbritannien entwickelt. Ein Teil von ITIL ist der Lebenszyklus von IT-Services. Es gibt sogar eine ITIL-Zertifizierung (ISO 20000 für Unternehmen bzw. ITIL V3 für Personen). Bestandteile von ITIL sind die (Teil A) Grundlagen, welche beispielsweise Service-Strategien, -Portfolio und Kundenmanagement umfassen. Teil B umfasst das Service-Design. Im C-Teil befindet sich Testing, Betreibung und die Einführung eines neuen Services.  Als Vorgehensmodell kann ein Produktmanagement-Prozess oder ein Wasserfallmodell helfen.

Service-Anbieter

  • Intern (Typ 1)
    • Bereitstellung im selben Unternehmen
  • Shared (Typ 2)
    • Interner Serviceprovider
    • Deckt mehrere Geschäftsbereiche/Abteilungen ab
  • Extern (Typ 3)
    • Nicht im gleichen Unternehmen
    • entsteht durch Outsourcing
    • von anderen Firmen betrieben

Phasen des Lebenszyklus

  • Service-Strategie
    • Bildet die Basis für die weiteren Phasen
    • Festlegung von Richtlinien, Visionen und Vorgaben
  • Service-Design
    • Entwicklung von Softwarelösungen
    • Verbesserung bestehender Services
  • Service-Transition
    • Systematischer Aufbau
    • Rollout
    • Release Management
  • Service Operation
    • Massnahmen für die Bereitstellung von IT-Infrastruktur
    • Instandhaltung
  • Continual Service Improvement
    • Serviceverbesserung
    • «Aus Fehlern Lernen»
    • Verbesserung und Anpassung von Prozessen

Begriffsbeschreibung IT-Service

Ein IT-Service besteht immer aus dem Provider (Leistungserbringer) und dem Kunden, der in diesem Fall also der Serviceempfänger ist. Um die Dienstleistung zu regeln und sich abzusichern verhandeln die beiden Parteien zusammen ein SLA (Service Level Agreement). Dabei sind die Mitarbeiter des Kunden die Servicenutzer. Der IT-Service hilft ihnen, die Abläufe zu verbessern beziehungsweise effizienter zu gestalten.

 

Softwaresysteme

Leave a comment

DEFINITION

Softwaresysteme haben eine technische und eine betriebswirtschaftliche Definition

  • technisch
    • Softwaresysteme bestehen aus einem/mehreren Programm(en)
    • Die Gesamtheit aller Programme lässt sich als IT-System bezeichnen
  • betriebswirtschaftlich
    • die Software umfasst Produkte, die eine sinnvolle Nutzung der Hardwaresysteme ermöglichen
    • Programme und Dienstleistungen zählen zur Software

MERKMALE VON SOFTWARE

  • Immaterielles Wissensprodukt
  • in Form von Bits gespeichert
  • ohne Qualitätsverlust kopierbar
  • kein Verschleiss
  • Software kommt ohne Ersatzteile aus
  • Software kann altern
  • Qualität einer Software ist nicht messbar
  • Software muss anhand von festgelegten Kriterien systematisch geprüft werden

Fragetechniken

Leave a comment

Kundengespräch

Damit ein Kundengespräch erfolgreich abläuft, gibt es folgende Punkte zu beachten:

  • Begrüssung (Firma und Name erwähnen)
  • Den Anrufer mit seinem Namen ansprechen
  • Bei einem gereizten Anrufer einfühlsam reagieren (Verständnis zeigen)
  • Hintergrundinformationen mit offenen Fragen ermitteln
  • Verständnis mit Fragen wie «Wenn ich Sie richtig verstanden habe …» absichern
  • Hilfestellungen auf dem Niveau des Gesprächspartners geben
  • Zugeständnisse machen, signalisieren, dass man noch aktiv zuhört
  • Dem Kunden Zwischenrückmeldungen (Bringpflicht)
  • Bei Nichtzuständigkeit, mit dem Kunden das weitere Vorgehen anschauen und nicht sofort abwimmeln
  • Bei Einwänden das Gespräch mit Sätzen wie «Gut, sprechen Sie diesen Punkt an…» fortführen
  • Gespräch freundlich beenden (z.B. «Funktioniert nun alles wieder ohne Probleme?…»)

Offene/Geschlossene Fragen

Offene Fragen

  • erzeugen das Gefühl ausgefragt zu werden
  • lassen Spielraum für die Antwort
  • Werden mit W-Fragen gestellt
  • Für den Einstieg und Problemeinordnung geeignet
  • können auf ein längeres Gespräch hinauslaufen

Geschlossene Fragen

  • Damit lassen sich Zustimmung oder Ablehnung festhalten
  • Geeignet, um eine Diskussion abzuschliessen
  • können manipulativ wirken
  • enthalten präzise Angaben
  • wichtige Informationen können vergessen gehen

 

Kompilierung von Apache

Leave a comment 
#Befehle zur Vorbereitung
apt-get update
apt-get upgrade
apt-get clean
apt-get install build-essential
apg-get install checkinstall
cd /usr/local/src
mkdir lamps
cd lamps

#Installation OpenSSL
wget http://www.openssl.org/source/openssl-1.0.1p.tar.gz
tar -xzvf openssl-1.0.1p.tar.gz
cd openssl-1.0.p
./config --prefix=/usr/local/openssl
make
make test
checkinstall --fstrans=no #Paketname, Defaulteinstellungen lassen

#Installation Webserver
cd /usr/local/src/lamps
wget http://mirror.switch.ch/mirror/apache/dist/httpd/httpd-2.2.31.tar.gz
#Apache wird nun als DSO-Version kompiliert->Module wie PHP können dynamisch geladen werden.
#\-verwenden um den Befehl auf Zeilen aufzuteilen
tar -xzvf httpd-2.2.3.1.tar.gz
cd httpd-2.2.31/
/configure \
--prefix=/usr/local/apache2 \
--enable-modules=most \
--enable-shared=max \
--enable-ssl \
--with-ssl=/usr/local/openssl
make
checkinstall --fstrans=no
cd

#Status der installierten Pakete
dpkg -s openssl
dpkg -s httpd
#Alle dazugehörigen Dateien anzeigen
dpkg -L openssl | less
dpkg -L httpd | less
#Paket entfernen
dpkg -r openssl

Apache – Fehlerlogging

Leave a comment

ErrorLog

#Beispiel
ErrorLog /var/log/mylog.log | syslog[:facility]
#Standard
ErrorLog logs/error_log

#Standard LogLevel
LogLevel error

Es gibt folgende Log-Level:

  • emerg
    • Notfallmeldungen
    • System nicht benutzbar
  • alert
    • Schnelle Eingriffe nötig
  • crit
    • Kommunikationsprobleme
    • Kritische Bedingungen
  • error
    • Script kann nicht richtig ausgeführt werden
  • warn
    • Situation nicht ganz richtig
    • Apache konnte keine Lösung finden
    • «chilc process XXXX did not exist»
  • notice
    • Meldungen wie Neustart
  • info, debug
    • nur für Entwickler interessant

Zugriffslog

#Standard
LogFormat "%h %l %u %t \"%r\" %>s %b"
#modul: mod_log_config

Variablen

Variable
Bedeutung
%b Anzahl Bytes ohne HTTP-Header
%f Clientname dessen der die Datei anfordert
%{Variable}e Hier kann eine Umgebungsvariable eingebaut werden
%h Off: IP wird protokolliert
On: Lookup der IP -> Name wird protokolliert
%a «, der FQDN wird aber stattdessen protokolliert
%{Header}i Headerteil; bsp {Referer} – die Verweisquelle ist erwähnt
%l Name vom Clientrechner mit identd
%{note}n mitprotokollieren der notes, die zwischen Modulen ausgetauscht werden
%{Header}o BSP:  %{LastModified }o – das Datum der letzten Änderung der ausgelieferten Datei wird protokolliert
%p Portadresse des Servers
%P ProzessID PID des Apache-Prozesses, welcher die Anfrage beantwortet hat
%r erste Zeile der Clientanforderung
%s HTTP-Statuscode
%t Zeitangabe
%{format}t Eine formatierte Zeitangabe. Der Eintrag
%{%A, %d. %B %Y %H:%M:%S %Z}t
liefert die Ausgabe
Sunday, 12. Juni 2016 19:20:08 Westeuropäische Sommerzeit
%T benötigte Zeit fürs Ausführen der Anfrage
%u Username, der bei einer Benutzerabfrage gewählt wurde
%U URL-Pfad der Anfrage
%v Name des entsprechenden virtuellen Servers
%V Name des virtuellen Servers, abhängig von der UseCanonicalNames-Direktive

CustomLog

#Beispiel
CustomLog logs/access.log "%h %l %u %t \"%r\" %>s %b"

FTP

Leave a comment

Benutzer & Gruppen anlegen

#Falls noch keine FTP-Gruppe vorhanden ist:
groupadd ftpuser
#Hinzufügen der User, mit -g Gruppe definieren, mit -m ein Homeverzeichnis erstellen, mit -c Kommentar angeben
useradd ftp-user1 -g ftpuser -m -c ftp-Benutzer1

Serverordner-Eigentümer berechtigen

chown ftp-user1 /srv/.../user1/ -R
chgrp ftpuser /srv/.../user1/ -R
chmod 755 /srv/.../user1/ -R

proFTP konfigurieren

Einige Eintragsauszüge der proftpd.conf:

ServerName "my-ftp-server"
ServerType standalone
DefaultRoot ~/ ftpuser
#alle User nicht reinlassen (ausser Gruppe ftpuser)
<Limit Login>
   DenyGroup !ftpuser
</Limit Login>
#Start/Stop
/etc/init.d/proftpd start
/etc/init.d/proftpd start