Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel

Prof. Dr. Dirk Koschützki

Aktuelle Bedrohungen aus dem Cyberspace und deren Auswirkungen

auf das IT-Risikomanagement

12. Mai 2015

Prof. Dr. Dirk Koschützki 2

Zur Motivation …


Zur Motivation …


Zur Motivation …

• Andere Angriffe in 2014/2015: • Identitätsdiebstahl (X Mio.!) bei Internet-Providern • Steuerungsanlage eines Stahlwerks manipuliert • Sony Entertainment • TV5 Monde

• Dramatische Schwachstellen in 2014: • Heartbleed • Shellshock




12. Mai 2015


Risikomanagement?

• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in

Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]

• Risiko • „Auswirkung von Unsicherheit auf Ziele“

[Entwurf der DIN ISO 31000:2011]

• Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW

• Beispiel „Unsicherheit“ • Könnte ich in einen Unfall verwickelt werden?

• Beispiel „Risikomanagement“ • Den Bus nehmen (geringere Eintrittswahrscheinlichkeit für einen Unfall)


Risikomanagement?

• Risikomanagement • „Koordinierte Aktivitäten zur Lenkung und Steuerung eine Organisation in

Bezug auf Risiken“ [Entwurf der DIN ISO 31000:2011]

• Risiko • „Auswirkung von Unsicherheit auf Ziele“

[Entwurf der DIN ISO 31000:2011]

• Beispiel „Ziel“ • Übernahme der XYZ AG

• Beispiel „Unsicherheit“ • XYZ AG könnte durch einen Konkurrenten übernommen werden

• Beispiel „Risikomanagement“ • Eine Übernahme so weit es geht im Stillen vorbereiten


Verpflichtung zum Risikomanagement?

• Verpflichtung zum Risikomanagement für Aktiengesellschaften • § 91 Aktiengesetz

• (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

• § 317 Handelsgesetzbuch • (4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der

Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.

• Verpflichtung zum Risikomanagement für GmbHs

• „In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es ist davon auszugehen, daß für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat.“ [Begründung zum KontraG, BT-Drs. 13/9712, 1998]




12. Mai 2015


IT-Risikomanagement

• IT-Risikomanagement • „Information risk management is the systematic application of management

policies, procedures and practices to the tasks of identifying, analyzing, evaluating, reporting, treating and monitoring information related risk“ [CISM Review Manual 2014, ISACA]

• Information related risk (IT-Risiko) • “Business risk associated with the use, ownership, operation, involvement,

influence and adoption of IT within an enterprise“ [Cobit 5 for Risk, ISACA, 2013]

• Beispiel „Ziel“ • Durch Outsourcing soll die Entwicklung von Software günstiger werden

• Beispiel „Unsicherheit“ • Die Qualität könnte unter Umständen darunter leiden

• Beispiel „Risikomanagement“ • Regelmäßige Qualitätskontrollen durchführen!




12. Mai 2015


IS-Risikomanagement

• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will

exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]

• threat • „potential cause of an unwanted incident, which may result in harm to a

system or organization” [ISO/IEC 27000:2014]

• vulnerability • “weakness of an asset or control that can be exploited by one or more

threats” [ISO/IEC 27000:2014]

• information asset • „An asset is anything that has value to the organization and which therefore

requires protection.” [ISO/IEC 27005:2011]


IS-Risikomanagement

• Informationssicherheits-Risiko • „Information security risk is associated with the potential that threats will

exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.” [ISO/IEC 27000:2014]

• Bedrohung [“Threat”] • Feuer

• Schwachstelle [“Vulnerability”] • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons)

• Information Asset • Daten und Server der Personalabteilung


ISRM-Prozess

Quelle: ISO/IEC 27005:2011


• Context Establishment

• Festlegung des Kontextes • Wesentliche Bewertungskriterien • Anwendungsbereich/Grenzen • Organisationsstrukturen

ISRM-Prozess



• Risk Identification

• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Schadensauswirkungen

ISRM-Prozess



• Risk Analysis

• Risikoanalyse • Bewertung der Schadensschwere • Bewertung der Eintrittswahrsch. • Festlegung des Risikos (=„s*w“)

ISRM-Prozess



• Risk Evaluation

• Risikobewertung • Priorisierung der Risiken

ISRM-Prozess



• Risk Treatment

• Risikobehandlung • Auswahl einer Option

• Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren

ISRM-Prozess



• Risk Acceptance

• Risikoakzeptanz • (Schriftl.) Erklärung durch GF

ISRM-Prozess



• Risikoidentifikation • Assets • Bedrohungen • Schwachstellen • Exist. Maßnahmen • Eintrittswahrscheinlichkeiten • Schadensauswirkungen

• Risikobehandlung

• Auswahl einer Option • Maßnahmen ergreifen • Risiko versichern • Tätigkeit aufgeben • Risiko akzeptieren

Wesentliche Teilschritte



Beispiel A: Feuer im Serverraum

• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum

• Bedrohung: • Feuer

• Schwachstellen: • Vermeidbare brennbare Stoffe im Serverraum (Alte Kartons) • Unvermeidbare brennbare Stoffe im Serverraum (IT-Infrastruktur)

• Maßnahmen: • Rauchverbot • Meldeanlage • Datensicherung


Beispiel B: Diebstahl von Hardware

• Assets: • Primary: Daten der Personalabteilung • Secondary: Server der Personalabteilung • Secondary: Verkabelung im Serverraum

• Bedrohung: • Diebstahl

• Schwachstellen: • Türen zum Serverraum zeitweise nicht verschlossen • Serverraum ebenerdig, kein besonderer Einbruchschutz („Start-up“)

• Maßnahmen: • Vergitterung des Fensters • Verlagerung des Serverraums • Regelmäßige Kontrolle auf Verschluss des Raumes




12. Mai 2015


Bedrohungen für die IT – Wodurch?

Eher vorsätzliche Handlungen Eher zufällige Ereignisse


Bedrohungen für die IT – Wer und Warum?




12. Mai 2015


• Malicious Code • „Übliche“ Schadsoftware • Virenschutzprogramm?

• Web-based Attacks • Angriffe auf den Browser • Deaktivierung aktiver Inhalte?

• Web Application Attacks • Angriffe auf Webserver • Härtung der Webangebote?

• Denial auf Service • Angriffe auf die Verfügbarkeit • Prüfung der Angriffsfläche?

Bedrohungen aus dem Cyberspace für die IT

Quelle: ENISA ETL 2014


• Phishing • SPAM vs. Spear Phishing • Angemessenes Nutzerverhalten?

• Insider Threat • Unachtsamkeit vs. Mutwilligkeit • Interne Warnsysteme?

• Identify Theft • Abfluss von Username/Passwort • Kundenvertrauen sicherstellen?

• Cyber Espionage • Abfluss der „Kronjuwelen“ • Betroffenheit überhaupt geklärt?







„Aufstrebende“ Bedrohungen


Cyber Physical Systems




Cloud Computing




Trust Infrastructure




12. Mai 2015


Auswirkungen der neuen Bedrohungen

Ein umfassender Blick auf die Bedrohungslandschaft ist erforderlich!

“Sloppiness with cyber-security continues to be number one reason for breaches (over 50%).”

[ “Lessons Learned” aus ENISA Threat Landscape 2014]




12. Mai 2015


Lösungsansätze

• Maßnahmenorientiert • Abarbeitung eines Maßnahmenkatalogs

• „Basismaßnahmen“ der Allianz für Cybersicherheit (BSI, DE) • 10 Steps To Cyber Security (CESG, UK) • Critical Security Controls for Effective Cyber Defense (Council on CS, US) • (viele weitere Möglichkeiten)

• Prozessorientiert • Einführung eines Informationssicherheitsmanagementsystems

• ISO 27001 • BSI IT-Grundschutz • ISIS12 • VdS 3473 (Informationssicherheit in KMU) • (ebenfalls viele weitere Möglichkeiten)


Lösungsangebote

• Unterstützungsmöglichkeiten des STZ-CIS: • Auswahl und Umsetzung eines Maßnahmenkatalogs • Einführung eines ISMS nach ISIS12 • Einführung eines IS-Risikomanagementprozesses • Betrachtung von Risiken spezifisch aus dem Cyberraum • (jeweils Coaching/Workshops zu den oben genannten Themen)

• Unterstützungsmöglichkeiten der Hochschule Furtwangen: • Kleineren Fragestellungen zum Thema Informationssicherheit

• Praxissemester • Projektarbeiten • Abschlussarbeiten (Bachelor/Master)


Steinbeis-Transferzentrum Cyber- und Informationssicherheit Josef-Dorer-Str. 13 D-78120 Furtwangen Telefon: 07723-9298870 E-Mail: [email protected]

Ihr Ansprechpartner


Documents

Aktuelle Bedrohungen aus dem Cyberspace und deren ... · [Entwurf der DIN ISO 31000:2011] • Beispiel „Ziel“ • Gesund bleiben, auch bei einer Fahrt mit dem PKW • Beispiel