Upload
vannhu
View
215
Download
0
Embed Size (px)
Citation preview
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 2
Zur Motivation …
Prof. Dr. Dirk Koschützki 3
Zur Motivation …
Prof. Dr. Dirk Koschützki 4
Zur Motivation …
• Andere Angriffe in 2014/2015: • Identitätsdiebstahl (X Mio.!) bei Internet-Providern • Steuerungsanlage eines Stahlwerks manipuliert • Sony Entertainment • TV5 Monde
• Dramatische Schwachstellen in 2014: • Heartbleed • Shellshock
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 6
Risikomanagement?
• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in
Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]
• Risiko • „Auswirkung von Unsicherheit auf Ziele“
[Entwurf der DIN ISO 31000:2011]
• Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW
• Beispiel „Unsicherheit“ • Könnte ich in einen Unfall verwickelt werden?
• Beispiel „Risikomanagement“ • Den Bus nehmen (geringere Eintrittswahrscheinlichkeit für einen Unfall)
Prof. Dr. Dirk Koschützki 7
Risikomanagement?
• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in
Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]
• Risiko • „Auswirkung von Unsicherheit auf Ziele“
[Entwurf der DIN ISO 31000:2011]
• Beispiel „Ziel“ • Übernahme der XYZ AG
• Beispiel „Unsicherheit“ • XYZ AG könnte durch einen Konkurrenten übernommen werden
• Beispiel „Risikomanagement“ • Eine Übernahme so weit es geht im Stillen vorbereiten
Prof. Dr. Dirk Koschützki 8
Verpflichtung zum Risikomanagement?
• Verpflichtung zum Risikomanagement für Aktiengesellschaften • § 91 Aktiengesetz
• (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
• § 317 Handelsgesetzbuch • (4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der
Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.
• Verpflichtung zum Risikomanagement für GmbHs
• „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, daß für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ [Begründung zum KontraG, BT-Drs. 13/9712, 1998]
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 10
IT-Risikomanagement
• IT-Risikomanagement • „Information risk management is the systematic application of management
policies, procedures and practices to the tasks of identifying, analyzing, evaluating, reporting, treating and monitoring information related risk“ [CISM Review Manual 2014, ISACA]
• Information related risk (IT-Risiko) • “Business risk associated with the use, ownership, operation, involvement,
influence and adoption of IT within an enterprise“ [Cobit 5 for Risk, ISACA, 2013]
• Beispiel „Ziel“ • Durch Outsourcing soll die Entwicklung von Software günstiger werden
• Beispiel „Unsicherheit“ • Die Qualität könnte unter Umständen darunter leiden
• Beispiel „Risikomanagement“ • Regelmäßige Qualitätskontrollen durchführen!
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 12
IS-Risikomanagement
• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will
exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]
• threat • „potential cause of an unwanted incident, which may result in harm to a
system or organization” [ISO/IEC 27000:2014]
• vulnerability • “weakness of an asset or control that can be exploited by one or more
threats” [ISO/IEC 27000:2014]
• information asset • „An asset is anything that has value to the organization and which therefore
requires protection.” [ISO/IEC 27005:2011]
Prof. Dr. Dirk Koschützki 13
IS-Risikomanagement
• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will
exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]
• Bedrohung [“Threat”] • Feuer
• Schwachstelle [“Vulnerability”] • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons)
• Information Asset • Daten und Server der Personalabteilung
Prof. Dr. Dirk Koschützki 14
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 15
• Context Establishment
• Festlegung des Kontextes • Wesentliche Bewertungskriterien • Anwendungsbereich/Grenzen • Organisationsstrukturen
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 16
• Risk Identification
• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Schadensauswirkungen
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 17
• Risk Analysis
• Risikoanalyse • Bewertung der Schadensschwere • Bewertung der Eintrittswahrsch. • Festlegung des Risikos (=„s*w“)
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 18
• Risk Evaluation
• Risikobewertung • Priorisierung der Risiken
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 19
• Risk Treatment
• Risikobehandlung • Auswahl einer Option
• Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 20
• Risk Acceptance
• Risikoakzeptanz • (Schriftl.) Erklärung durch GF
ISRM-Prozess
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 21
• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Eintrittswahrscheinlichkeiten • Schadensauswirkungen
• Risikobehandlung
• Auswahl einer Option • Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren
Wesentliche Teilschritte
Quelle: ISO/IEC 27005:2011
Prof. Dr. Dirk Koschützki 22
Beispiel A: Feuer im Serverraum
• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum
• Bedrohung: • Feuer
• Schwachstellen: • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons) • Unvermeidbare brennbare Stoffe im Serverraum (IT-Infrastruktur)
• Maßnahmen: • Rauchverbot • Meldeanlage • Datensicherung
Prof. Dr. Dirk Koschützki 23
Beispiel B: Diebstahl von Hardware
• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum
• Bedrohung: • Diebstahl
• Schwachstellen: • Türen zum Serverraum zeitweise nicht verschlossen • Serverraum ebenerdig, kein besonderer Einbruchschutz („Start-up“)
• Maßnahmen: • Vergitterung des Fensters • Verlagerung des Serverraums • Regelmäßige Kontrolle auf Verschluss des Raumes
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 25
Bedrohungen für die IT – Wodurch?
Eher vorsätzliche Handlungen Eher zufällige Ereignisse
Prof. Dr. Dirk Koschützki 26
Bedrohungen für die IT – Wer und Warum?
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 28
• Malicious Code • „Übliche“ Schadsoftware • Virenschutzprogramm?
• Web-based Attacks • Angriffe auf den Browser • Deaktivierung aktiver Inhalte?
• Web Application Attacks • Angriffe auf Webserver • Härtung der Webangebote?
• Denial auf Service • Angriffe auf die Verfügbarkeit • Prüfung der Angriffsfläche?
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
Prof. Dr. Dirk Koschützki 29
• Phishing • SPAM vs. Spear Phishing • Angemessenes Nutzerverhalten?
• Insider Threat • Unachtsamkeit vs. Mutwilligkeit • Interne Warnsysteme?
• Identify Theft • Abfluss von Username/Passwort • Kundenvertrauen sicherstellen?
• Cyber Espionage • Abfluss der „Kronjuwelen“ • Betroffenheit überhaupt geklärt?
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
Prof. Dr. Dirk Koschützki 30
Bedrohungen aus dem Cyberspace für die IT
Quelle: ENISA ETL 2014
Prof. Dr. Dirk Koschützki 31
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Cyber Physical Systems
Prof. Dr. Dirk Koschützki 32
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Cloud Computing
Prof. Dr. Dirk Koschützki 33
„Aufstrebende“ Bedrohungen
Quelle: ENISA ETL 2014
Trust Infrastructure
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 35
Auswirkungen der neuen Bedrohungen
Ein umfassender Blick auf die Bedrohungslandschaft ist erforderlich!
“Sloppiness with cyber-security continues to be number one reason for breaches (over 50%).”
[ “Lessons Learned” aus ENISA Threat Landscape 2014]
Prof. Dr. Dirk Koschützki
Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen
auf das IT-Risikomanagement
12. Mai 2015
Prof. Dr. Dirk Koschützki 37
Lösungsansätze
• Maßnahmenorientiert • Abarbeitung eines Maßnahmenkatalogs
• „Basismaßnahmen“ der Allianz für Cybersicherheit (BSI, DE) • 10 Steps To Cyber Security (CESG, UK) • Critical Security Controls for Effective Cyber Defense (Council on CS, US) • (viele weitere Möglichkeiten)
• Prozessorientiert • Einführung eines Informationssicherheitsmanagementsystems
• ISO 27001 • BSI IT-Grundschutz • ISIS12 • VdS 3473 (Informationssicherheit in KMU) • (ebenfalls viele weitere Möglichkeiten)
Prof. Dr. Dirk Koschützki 38
Lösungsangebote
• Unterstützungsmöglichkeiten des STZ-CIS: • Auswahl und Umsetzung eines Maßnahmenkatalogs • Einführung eines ISMS nach ISIS12 • Einführung eines IS-Risikomanagementprozesses • Betrachtung von Risiken spezifisch aus dem Cyberraum • (jeweils Coaching/Workshops zu den oben genannten Themen)
• Unterstützungsmöglichkeiten der Hochschule Furtwangen: • Kleineren Fragestellungen zum Thema Informationssicherheit
• Praxissemester • Projektarbeiten • Abschlussarbeiten (Bachelor/Master)
Prof. Dr. Dirk Koschützki 39
Steinbeis-Transferzentrum Cyber- und Informationssicherheit Josef-Dorer-Str. 13 D-78120 Furtwangen Telefon: 07723-9298870 E-Mail: [email protected]
Ihr Ansprechpartner
Prof. Dr. Dirk Koschützki