IT – Sicherheit für kleine und mittlere Unternehmen …...IT – Sicherheit für kleine und...

IT – Sicherheit für kleine und mittlere Unternehmen Eine Notwendigkeit!

Dr. Michael Kreutzer, CASED Vortrag vom 28. August 2013, Opel Forum, Rüsselsheim im Rahmen der Wirtschaftsförderung und Stadtentwicklung der Stadt Rüsselsheim

– 2 –

Überblick

IT- Sicherheit für KMUs

IT-Sicherheit und Industriespionage

Blick in die Zukunft

CASED

– 3 –

Zur Erinnerung: Die Welt wird digital Alles ist online, programmierbar, erzeugt kritische Daten

– 4 –

Industrialisierung + Zielorientierung der Angriffe

– 5 –

Stand IT-Sicherheit in Unternehmen Einsatz von IT-Sicherheitstechniken auf schwachem Niveau

85% verwenden Firewall

50% verwenden VPN und Speicherverschlüsselung

30% regeln zentral Sicherheit mobiler Geräte

20% überwachen eigenen Sicherheitszustand

19% verwenden verschlüsselte Email

Quelle: Corporate Trust 2012

– 6 –

Stand IT-Sicherheit in Unternehmen Realität zeugt von geringem Problembewusstsein

90% aller freien Passwörter sind in Top 10000 Liste[Mark Burnett 2011]

60% verraten ihr Passwort dem “Admin” am Telefon[BBC 2009]

Quelle: Sofern nichts anderes genannt, Corporate Trust 2012

Beispiel Mitarbeiter

Beispiel Unternehmen

60% ohne Schutzbedarfsanalyse 40% ohne Notfallplanung 86% sind nicht zertifiziert (ISO 27001 o.ä.)

– 7 –

Stand IT-Sicherheit in Unternehmen Bei 130 von 324 befragten KMUs: keine Schulungen IT-Sicherheit, warum?

– 8 –

Stand IT-Sicherheit in Unternehmen Wichtigste Schäden

– 9 –

Was können Unternehmen tun? Umsetzung bekannter IT-Sicherheitstechniken

Elementare IT-Sicherheit Schutzbedarfsanalyse, Notfallplan, IT-Grundschutz o.ä.

Verschlüsselung zum Schutz von Inhalten VPN, Speichermedien, Email, Cloud Speicher & Backups

Überwachung der eigenen IT-Systeme Change Management, Sicherheits Monitoring, ...

Bewusste und kontrollierte Verwendung von Online-Diensten (Google, Skype, Facebook, ...)

Bewusste und kontrollierte Auswahl von Cloud-Dienstleistern und IT-Herstellern

– 10 –

Kurzvorstellung der Konzepte der Gewinner des ersten deutschen IT-Sicherheitspreises für KMUs

Hintergrundinformationen: http://it-sicherheitspreis.cased.de/

– 11 –

Sicherheitsbezogener Umgang mit Computern und Software: Risikoanalyse (1/2) artegic AG

Software-Risikoanalyse, u.a. hinsichtlich:

unsicherer, fehlerhafter oder bösartiger Software, insbesondere bei Ad-hoc-Installation durch Mitarbeiter

unsicherer Speicherung von Zugangsdaten, gerade in externen Applikationen

unbeabsichtigte unverschlüsselte Übertragung streng vertraulicher Daten

Fehler bei der Verwaltung von Benutzerkennungen durch Mitarbeiter (Mehrfachverwendung, simple Passwörter, keine regelmäßige Änderung)

Übernahme oder Löschung von Zugängen zu externen Applikationen bei Ausscheiden eines Mitarbeiters

Quelle: http://it-sicherheitspreis.cased.de/factartegic.php

– 12 –

Sicherheitsbezogener Umgang mit Computern und Software: Risikoanalyse (2/2) artegic AG

Bewertung Sicherheitsmerkmale von Software, die in Betrieb ist:

Art und Sicherheit der Authentifizierung (inkl. Optionen zentraler Passwortverwaltung)

Art der Passwortablage

Zugriffsberechtigte Personen/Rollen

Sicherheitsrelevanz der Anwendung (gering bis hoch; in Abhängigkeit der verarbeiteten Daten)

Quelle: http://it-sicherheitspreis.cased.de/factartegic.php

– 13 –

Datensicherungskonzept (1/2) Crossing Mind

Besondere Berührungspunkte mit dem Thema IT-Sicherheit hatte Schönberger im Jahr 2007.

„Ein Server-Ausfall in Verbindung mit einer unzureichenden Datensicherung führte damals zu einem empfindlichen Datencrash.

Als Folge verloren wir einen Auftrag mit 18 Veranstaltungen und einem Umsatzvolumen von ca. 200.000 Euro.

Die Kosten für die Wiederherstellung und Neuprogrammierung aller Konzepte, Ideen, etc. beliefen sich unserer Schätzungen nach zusätzlich auf ca. 60.000 Euro. Die Situation war zum damaligen Zeitpunkt existenzbedrohend“,

so Schönberger.

Quelle: http://it-sicherheitspreis.cased.de/factcrossingmind.php

– 14 –

Datensicherungskonzept (2/2) Crossing Mind

Daher wurde in Zusammenarbeit mit einem IT-Partner ein umfangreiches externes Datensicherungskonzept entwickelt. Es umfasst:

Klare und definierte Strukturen innerhalb der Unternehmensorganisation und des ITSystems.

Regelmäßige (in Abständen von sechs Wochen) Ansprache und Schulung der internen und externen Mitarbeiter.

Klare, vertraglich geregelte Verantwortlichkeiten des IT-Partners, z.B. Service-Level, Archivierung, Versicherung, etc.

Verschlüsselte Sicherung aller Daten des Servers auf einem lokalen Backup-Server und zusätzlich Auslagerung (verschlüsselt) in ein Backup-Rechenzentrum bei dem IT- Partner.Die Datensicherung erfolgt vollautomatisch und werktäglich.

Regelmäßige Überwachung der Datensicherung, technisch durch den IT-Partner, Protokollprüfung durch Crossing Mind.

Teilnahme an sogenannten „Feuerwehr-Übungen“ mit dem IT-Partner, die eine Notfallsimulation inkl. Rückspeicherung der Daten und Wiederanlauf beinhaltet.

Quelle: http://it-sicherheitspreis.cased.de/factcrossingmind.php

– 15 –

IT-Sicherheitsbewusstsein: Awarenessschulungen msg services ag

Dr. Jekyll, der gute Ratgeber, erzählt, was zu beachten ist, und Mr. Hyde – der ,Böse' – versucht jede Schwachstelle auszunutzen.“ Zu den Maßnahmen zählen u.a.:

Regelmäßige Tipps & Tricks für Mitarbeiter rund um IT-Sicherheit.

Monatliche Nachrichten auf einer Web-Plattform (Intranet), bei Bedarf auch häufiger.

Monatlicher Versand eines Newsletters (inkl. einer kleinen Story oder eines Vorfalls in den Medien).

Halbjährige Awareness-Kampagnen mit Postern, Flyern, Quiz.

Jährliche umfassendere Awareness-Schulung in kleinen Gruppen.

Das gesamte Themenspektrum vom Virus bis zur Policy.

Schulungen für Mitarbeiter, die neu ins Unternehmen eintreten.

Wiederholungsschulungen.

Quelle: http://it-sicherheitspreis.cased.de/factmsg.php

– 16 –

Notfallvorbereitung Yildiz CNC-Drehtechnik

Um auf alle Fälle vorbereitet zu sein, hat der Unternehmer vorgesorgt und mit Hilfe eines IT-Dienstleisters ein ausgeklügeltes System zur Notfallvorsorge etabliert:

Alle zur Re-Installation der Softwaresysteme notwendigen Angaben (IDs, Authentifizierungsdaten, Lizenzinformationen und Installationsanweisungen) werden in Papierform sicher verschlossen und übersichtlich vorgehalten.

Ein Notfall-PC wurde eingerichtet (Laptop) mit E-Mail-System, Kalkulationssoftware inkl. Software für Angebots- und Lieferscheinerstellung.

Bei Ausfall der Internetverbindung (E-Mail) kann über Mobilfunk (USB-Stick) gearbeitet werden.

Bei Ausfall des Werkstattrechners oder des Messplatzes können die Systeme und Daten kurzfristig auf Ersatz-Hardware (Standard-PC) installiert werden.

Ein Vorgehensplan (Abfolge) im Notfall liegt schriftlich vor und wird regelmäßig aktualisiert.

Quelle: http://it-sicherheitspreis.cased.de/factyildiz.php

– 17 –

Von CASED konzipiert, bald auf dem Markt: Trennung privater und geschäftlicher Daten sowie Apps auf Smartphones

BizzTrust

Lizensiert von

Sirrix AG

Award

– 18 –

Fraunhofer SIT Produkt: Sicheres Passwortmanagement - iMobileSitter

Sichere Passwortverwaltung ohne Werkzeuge unmöglich

Konventionelle Werkzeuge oft unsicher trotz starker Verschlüsselung: Wörterbuchangriffe

Resistenz gegen Wörterbuchangriffe

Entwicklung durch Fraunhofer SIT

Vertrieb durch AppStore von Apple

– 19 –

EC SPRIDE / Fraunhofer SIT Report: Entwicklung sicherer Software – von Anfang an

– 20 –

Softwaresicherheit durch Automatisierung und Reduktion menschlicher Fehlereinflüsse

Security by Design bei verteilter Entwicklung und Integration

Security by Design für Legacy-Software

Die Zukunft mit Security by Design

EC SPRIDE / Fraunhofer SIT Report: Entwicklung sicherer Software – von Anfang an

– 21 –

Überblick

IT- Sicherheit für KMUs

IT-Sicherheit und Industriespionage

Blick in die Zukunft

CASED

– 22 –

Stand IT-Sicherheit und Industriespionage in Unternehmen Hohes Maß an Betroffenheit

Eigene Erfahrung von Unternehmen mit Spionage

21% nachweislich + 33% vermutet 54%

Eigene Erfahrung insgesamt mit IT-Unsicherheit[BITKOM 2012]

39% der Unternehmen 52% der Privatnutzer

Quelle: Sofern nichts anderes genannt, Corporate Trust 2012

KMUs als Hauptträger der Innovation sind leicht überproportional betroffen: Konzerne 19% KMUs 23% Kleinunternehmen 16%

– 23 –

Stand IT-Sicherheit und Industriespionage in Unternehmen Wo wird angegriffen? Wer greift an?

Mitarbeiter

Eigene IT Dienstleister

Kommunikation

Cloud

Soziale Netze

Kunden/Partner 48% Verrat 24% Social Eng.

42% IT-Angriffe 33% Diebstahl

12% Abhören

47%

24% Konkurrenz, 18% Kriminelle, 14% Nachrichtendienste

29% 57%

Quelle: Corporate Trust 2012

– 24 –

Aktuelle Cyber-Gefährdungen und Angriffsformen Register des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken

Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners

Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage

Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution

Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl

Mehrstufige Angriffe, bei denen z.B. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL-Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen

Source: Register aktueller Cyber-Gefährdungen und –Angriffsformen, BSI, Bonn 2012

– 25 –

Überblick

IT- Sicherheit für KMUs

IT-Sicherheit und Industriespionage

Blick in die Zukunft

CASED

– 26 –

Sharekey: Smartphone als Türöffner Neues Projekt zum flexiblen Management von Schließberechtigungen für NFC-basierte Funkschlösser

– 27 –

OmniCloud Avoid lock-in, simplify integration, provider-independent security

Client or Gateway for cloud backup services

Entwicklung / Produktisierung unterstützt durch HMWVL/ EFRE in CIRECS

– 28 –

SIT Appicaptor Framework – Analysis workflow

No automated Findings

• App-Bundle • Binaries • Metadata

…

Apple AppStore

Google Play

…

• Post-processed analysis data

• Privacy & Security Implications

• Usable, structured data

• Identified relevant Entry Points

Investigation required

Direct Findings

Data Extraction Reversing

• Decrypt • Decompile • Disassemble • Parse, Run ...

Analysis of • Source code • Disassembly • Metadata • Behavior

Analysis and correlation of

• Raw data • Indicators

• List of Indicators

• Raw analysis data

• Visualization • Interaction

Rating and Documentation

Manual Findings

No Findings

Focused Manual Analysis

– 29 –

Überblick

IT- Sicherheit für KMUs

IT-Sicherheit und Industriespionage

Blick in die Zukunft

CASED

– 30 –

Darmstadt

Karlsruhe

Saarbrücken

Bochum

München

IT-Sicherheitsforschung in Deutschland Zentren mit starkem Fokus auf IT-Sicherheit

Bonn

(1) (2) (3) (4) (5)

(5)

(1,4)

(1,2,3,5)

(3)

(1,3,4)

(1)

– 31 –

Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland

25.000 Studierende, 4.150 Mitarbeit.,

davon 290 Professuren

9 Profs, 100 Mitarbeit. in IT-Sicherheit

#1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search)

13.000 Studierende, 870 Mitarbeit.,

davon 320 Professuren

11 Profs in IT-Sicherheit

160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn)

9M€ Jahresbudget (Grund- & Drittmittel)

3 Professuren an TU Darmstadt

– 32 –

Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland

25.000 Studierende, 4.150 Mitarbeit.,

davon 290 Professuren

9 Profs, 100 Mitarbeit. in IT-Sicherheit

#1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search)

13.000 Studierende, 870 Mitarbeit.,

davon 320 Professuren

11 Profs in IT-Sicherheit

160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn)

9M€ Jahresbudget (Grund- & Drittmittel)

3 Professuren an TU Darmstadt

– 33 –

Center for Advanced Security Research Darmstadt (CASED) Breites Spektrum an Forschungsthemen und Anwendungen

Leitmotiv: Security and Privacy by Design

Cloud Computing

Mobile & Cyber-Physikalische Systeme

Netzsicherheit

Kryptographie

Benutzbare Sicherheit

Sichere Identitäten, Datenschutz und Vertrauen

Sichere Software

Kritische Infrastrukturen

Forensik

Automatisierung und Produktion

Internet und Social Networks

– 34 –

Appicaptor Key2Share

Beispiele

Robuste Hashverfahren

– 35 –

Auszeichnungen 2012/2013

Best Demonstrator Award IEE International Symposium on a World of Wireless, Mobile and Multimedia Networks Matthias Hollick and Adrian Carlos Loch Navarro

Tsungming Tu – Alexander von Humboldt Research Award 2012 – J. Buchmann

Intel Early Career Faculty Honor Program Award Thomas Schneider (2012) Pouyan Sepehrdad (2013) Science Award of German Association for Data Protection and Data Security

Most successful University of Software Campus Award

First Degree Prize Award of the Director of TU Prague Gernot Alber et. al.

ERC Advanced Grant Mira Mezini

– 36 –

EC SPRIDE Prof. Dr. Michael Waidner michael.waidner@ec-spride.de phone: +49 6151 16-64530

KASTEL Prof. Dr. Jörn Müller-Quade info@iks.kit.edu phone: +49 721 608-44213

CISPA Prof. Dr. Michael Backes backes@cs.uni-saarland.de phone: +49 681-302-3249

Kompetenzzentren für IT-Sicherheit