Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
secriso Consulting - Leistungsspektrum
InformationRisikoanalyse
Ermittlung bei ISSicherheitsvorfällen
Schulungen undVorträge
Schutz vor Wirtschaftsspionage
Informationssicherheits-Managementsystem
ISO 27001:2013
Typische Bedrohungen der Informationssicherheit
Feuer Wasser
Erdbeben Wind/Tornados
Umweltbedrohungen
Bedrohung durch Verbrechen
HackerAnschläge Sabotage Diebstahl
IT-Infrastruktur Bedrohungen
DefekteDatenspeicher
Rechnerausfälle
Netzwerkausfälle
Öffentliche Infrastruktur
Energiever-sorgung
Transportund Verkehr
Ausfall von Mitarbeitern
Schlüssel-ressourcen
Pandemie
Externe Abhängigkeiten
ExterneDienstleister
Kommunikation
Was sagt die Statistik?
� Cybercrime: 750 Mrd Euro Schaden
jährlich / 1 Mio Opfer täglich
� 2013 entstand in Deutschland ein
Schaden von 4,3 Mrd Euro durch
Industriespionage
� Für die österreichische Wirtschaft
entsteht jährlich ein Schaden von mehr
als 1 Mrd EUR.
� 85% der gestohlenen Daten sind Kundendaten.
� Jedes 4. Unternehmen war schon Angriffsziel von Hackern.
� Nur 50% der Unternehmen wissen überhaupt, dass sie angegriffen wurden bzw.
bestohlen wurde.
Wer sind die Angreifer?
� Privat motivierte Hacker>>Mitbewerber, Neider<<
� Script Kiddies>>Imponiergehabe, Jugendliche<<
� Hacker-Communities>>Zusammenschluss von Profis mit
meist politischer Motivation<<
� „Freie“ Unternehmensspione>>Professioneller Diebstahl von Betriebsgeheimnissen, Verkauf an
Meistbieter<<
� APT*-Angreifer>>Gezielter professioneller Auftragsdiebstahl<<
� Ausländische Nachrichtendienste>>Mit der Lizenz zum Spionieren<<
*) Advanced Persistant Threat
Schwachstelle Mitarbeiter
Mit IHREM Vertrauen auf Diebestour...
Human HackingManipulation
Freundschaft
VertrauenKontrolle
Ausspähen
Liebe
Sorglosigkeit
Social Engineering
Was ist Social Engineering?
Social-Engineering ist eine Angriffstechnik mit dem Ziel durch:
� Täuschung
� Erpressung
� Bedrohung
� Diebstahl
� etc.
Personen zur Herausgabe von sensiblen Informationen (Daten,
Dokumente, Passwörter, etc.) zu bewegen oder in anderer Weise
zu manipulieren.
„… alle Unternehmen „sind“ angegriffen, Sie werden es gerade, oder wurden es schon – Sie bemerkten es nicht oder schweigen darüber…“ Kevin Mitnick
� Der Werbegeschenktrick: Viel Spaß mit unserem USB-Stick
� Der verlorene Datenspeicher: USB-Stick auf dem Firmenparkplatz
� Der schnelle Datenaustausch: USB-Stick zum Austausch von Daten
� Der neue Mitarbeiter am Telefon?
� Gefälschte SMS mit Aufforderung auf einen Link zu klicken
� Der „Ich muss mal kurz raus“-Trick (... aber mein Telefon bleibt)
� Hacking von Router (FritzBox, Linksys)
� Hacking von Smarthome Steuerung
� Smartphone Apps (übertragen Daten im Hintergrund, Zugriff auf Adressbuch,
Kamera, Aufnahmefunktion & Co)
Angriffspunkte!
Werfen wir einen Blick auf das Internet
Das uns bekannte und freundliche Internet
WikiLeaksThe Pirate Bay
P2PTorrents
Google Youtube
FacebookTwitter
Tumblr
sTORage
Hard Candy
Hidden WikiOnion Chan
Silk Road
Scat CP
Snuff CP
Die „Kleinkriminellen“
Der absolute Untergrund:Hier tummeln sich Kriminelle,
Terroristen, Kinderschänder,
Drogenhändler, Mörder und
viele andere dunklen
Gestalten!
Was steckt dahinter?
Warum sind meine Informationen für Cyber-Kriminelle so wertvoll?
Es geht um Geld, viel Geld!
Preise für Daten:
Persönliche DatenEmail Adresse: 0,01 bis 0,8 € pro Stk.
mit Namen: 1,00 bis 1,50 € pro Stk.
mit Adresse: 1,10 bis 1,80 € pro Stk.
Kreditkartendaten 5 bis 40 € pro Stk.
Vertrauliche Firmeninformationen > 10.000 €
Passwort-Phishing (TOP 10)
1. Der Name des Haustieres
2. Ein bedeutsames Datum wie der „Hochzeitstag“
3. Geburtsdatum eines Familienmitglieds
4. Name des Kindes
5. Name eines ungeliebten Familienmitglieds
6. Geburtsort
7. Lieblingsurlaubsziel
8. Zusammenhang mit Lieblingssportverein
9. Lebenspartner oder andere wichtige Person
10. Passwort - password
1
!
1!
Angriffspunkte durch Social Engineering
TOP 10 Passwörter und PINs 2013
1. 1234
2. 0000
3. 2580
4. 1111
5. 5555
6. 5683
7. 0852
8. 2222
9. 1212
10. 1998
Rang Passwort Veränderung seit 2012
1 123456 1 hoch
2 password 1 runter
3 12345678 nicht verändert
4 qwerty 1 hoch
5 abc123 1 runter
6 123456789 neu
7 111111 2 hoch
8 1234567 5 hoch
9 iloveyou 2 hoch
10 adobe123 neu
11 123123 5 hoch
12 admin 2 hoch
13 1234567890 neu
14 letmein 7 runter
15 photoshop neu
Quelle: SplashData
Angriffspunkte durch Bequemlichkeit
Passwort Hacking Services
Äußerst beliebt bei Internet-Cafe`s und zur Betriebsspionage!
Keylogger
Keylogger – Klein, aber fein!
Typische Bedrohungen
Infrastruktur Bedrohungen
DefekteDatenspeicher
Rechnerausfälle
Netzwerkausfälle
Wie schütze ich mich?
Man kann man sich schützen!
thinkstock.com
Was sind den nun die richtigen Maßnahmen?
Cloud vs. Cloud
Österreichische Cloudservices
Es gelten die Anforderungen desÖsterreichischen Datenschutzgesetzesfür die Speicherung der Daten.
Gute Cloud
Hilfe zur Selbsthilfe
Best Practices der Informationssicherheit
Ein organisierter Ansatz zur Informationssicherheit
IT-Sicherheit – Best Practices
Anforderungen für Rechenzentren
• Rollenbasierte Zutrittskontrolle
• Zwei-Faktor-Authentifizierung
• Brandschutz
• Kontrolle der Service Dienstleister
(Reinigung, Gebäudemanagement,
Reparaturunternehmen etc.)
• Weiterbildung in IT-Sicherheit
• Robuste Infrastruktur
• Schulung zu Social Engineering
• Kontrolle und Schulung von Awareness
• Notfallplan, Redundanz
• Auswertung der Dokumentation der letzten Notfallübungen
• Sicherheitskonzept (Systemsicherheit, Netzwerksicherheit,
Gebäudesicherheit)
• Periodische Sicherheitsprüfungen
• Logging
ProfessionelleSicherheit
6 Tipps, die helfen
TIPP 1
Verankern Sie die Themen IT-Sicherheit und Datenschutz
in Ihrer (IT-)Organisation
IT-Sicherheit bei allen Projekten immer im Blick!
6 Tipps, die helfen
TIPP 2
Gegen moderne Angriffe platziert man am besten auch einen modernen
Schutz, also Sicherheits-Software der aktuellen Generation!
6 Tipps, die helfen
TIPP 3
Einlasskontrolle für die Integration von externen Geräten in das Netzwerk
durch automatisierte Prüfung!
Nur wenn die definierten Anforderungen erfüllt sind, beispielsweise in aktueller Virenscanner und alle Windows-Updates vorhanden sind, dann darf
das neue Gerät auch im Firmennetzwerk aktiv werden.
6 Tipps, die helfen
TIPP 4
Notfallplan parat haben! Nur wer vorbereitet ist, kann Krisen
schnell meistern.
Die IT-Abteilung soll Notfall-Pläne ausarbeiten und genau festlegen, was passiert, wenn beispielsweise ein Datei-Server mit einem Virus infiziert wurde oder ein Brand ausbricht.
Wichtig: Die Notfallpläne müssen laufend aktualisiert werden.
6 Tipps, die helfen
TIPP 5
Verschlüsselung bringt Plus an Sicherheit! Verschlüsseln Sie Ihre
vertraulichen und sensiblen Daten.
Selbst wenn es einem Angreifer gelingen sollte, Daten anzuzapfen, kann er sie nicht verwerten, wenn man sie vorher verschlüsselt hat.
6 Tipps, die helfen
TIPP 6
Ihre Mitarbeiter sind entscheidend für die Sicherheit. Schulen und
sensibilisieren Sie Ihre Mitarbeiter!
Die ausgefeiltesten Sicherheitssysteme sind nutzlos, wenn die Mitarbeiter nicht für das Thema Sicherheit sensibilisiert werden.