Embed Size (px)
Citation preview
Der Schutz Ihrer DatenInformationssicherheit in der Praxis
Schlagzeilen
secriso Consulting - Leistungsspektrum
InformationRisikoanalyse
Ermittlung bei ISSicherheitsvorfällen
Schulungen undVorträge
Schutz vor Wirtschaftsspionage
Informationssicherheits-Managementsystem
ISO 27001:2013
Schlagzeilen
Schlagzeilen
Schlagzeilen
Was meinen Politik und Wirtschaft?
Typische Bedrohungen der Informationssicherheit
Feuer Wasser
Erdbeben Wind/Tornados
Umweltbedrohungen
Bedrohung durch Verbrechen
HackerAnschläge Sabotage Diebstahl
IT-Infrastruktur Bedrohungen
DefekteDatenspeicher
Rechnerausfälle
Netzwerkausfälle
Öffentliche Infrastruktur
Energiever-sorgung
Transportund Verkehr
Ausfall von Mitarbeitern
Schlüssel-ressourcen
Pandemie
Externe Abhängigkeiten
ExterneDienstleister
Kommunikation
Typische Bedrohungen
Bedrohung durch Verbrechen
Hacker
Anschläge
Sabotage
Diebstahl
Reale Bedrohung
www.creditexpo.nl
CyberCrime
Was sagt die Statistik?
� Cybercrime: 750 Mrd Euro Schaden
jährlich / 1 Mio Opfer täglich
� 2013 entstand in Deutschland ein
Schaden von 4,3 Mrd Euro durch
Industriespionage
� Für die österreichische Wirtschaft
entsteht jährlich ein Schaden von mehr
als 1 Mrd EUR.
� 85% der gestohlenen Daten sind Kundendaten.
� Jedes 4. Unternehmen war schon Angriffsziel von Hackern.
� Nur 50% der Unternehmen wissen überhaupt, dass sie angegriffen wurden bzw.
bestohlen wurde.
Wer sind die Angreifer?
� Privat motivierte Hacker>>Mitbewerber, Neider<<
� Script Kiddies>>Imponiergehabe, Jugendliche<<
� Hacker-Communities>>Zusammenschluss von Profis mit
meist politischer Motivation<<
� „Freie“ Unternehmensspione>>Professioneller Diebstahl von Betriebsgeheimnissen, Verkauf an
Meistbieter<<
� APT*-Angreifer>>Gezielter professioneller Auftragsdiebstahl<<
� Ausländische Nachrichtendienste>>Mit der Lizenz zum Spionieren<<
*) Advanced Persistant Threat
Schwachstelle Mitarbeiter
Mit IHREM Vertrauen auf Diebestour...
Human HackingManipulation
Freundschaft
VertrauenKontrolle
Ausspähen
Liebe
Sorglosigkeit
Social Engineering
Was ist Social Engineering?
Social-Engineering ist eine Angriffstechnik mit dem Ziel durch:
� Täuschung
� Erpressung
� Bedrohung
� Diebstahl
� etc.
Personen zur Herausgabe von sensiblen Informationen (Daten,
Dokumente, Passwörter, etc.) zu bewegen oder in anderer Weise
zu manipulieren.
„… alle Unternehmen „sind“ angegriffen, Sie werden es gerade, oder wurden es schon – Sie bemerkten es nicht oder schweigen darüber…“ Kevin Mitnick
Das Wichtigste für den Angreifer
Gute Tarnung ist voller Erfolg!
Der virtuelle Selbstbedienungsladen
� Der Werbegeschenktrick: Viel Spaß mit unserem USB-Stick
� Der verlorene Datenspeicher: USB-Stick auf dem Firmenparkplatz
� Der schnelle Datenaustausch: USB-Stick zum Austausch von Daten
� Der neue Mitarbeiter am Telefon?
� Gefälschte SMS mit Aufforderung auf einen Link zu klicken
� Der „Ich muss mal kurz raus“-Trick (... aber mein Telefon bleibt)
� Hacking von Router (FritzBox, Linksys)
� Hacking von Smarthome Steuerung
� Smartphone Apps (übertragen Daten im Hintergrund, Zugriff auf Adressbuch,
Kamera, Aufnahmefunktion & Co)
Angriffspunkte!
Das Waffenarsenal der Angreifer
Werfen wir einen Blick auf das Internet
Das uns bekannte und freundliche Internet
WikiLeaksThe Pirate Bay
P2PTorrents
Google Youtube
FacebookTwitter
Tumblr
sTORage
Hard Candy
Hidden WikiOnion Chan
Silk Road
Scat CP
Snuff CP
Die „Kleinkriminellen“
Der absolute Untergrund:Hier tummeln sich Kriminelle,
Terroristen, Kinderschänder,
Drogenhändler, Mörder und
viele andere dunklen
Gestalten!
Was steckt dahinter?
Warum sind meine Informationen für Cyber-Kriminelle so wertvoll?
Es geht um Geld, viel Geld!
Preise für Daten:
Persönliche DatenEmail Adresse: 0,01 bis 0,8 € pro Stk.
mit Namen: 1,00 bis 1,50 € pro Stk.
mit Adresse: 1,10 bis 1,80 € pro Stk.
Kreditkartendaten 5 bis 40 € pro Stk.
Vertrauliche Firmeninformationen > 10.000 €
Der Untergrund
Ein herzliches Willkommen im ...
Der Untergrund
Ein noch „harmloses“ Geschäftsmodell...
Passwort Hacking Services
Der 24 h Markt im Untergrund
Weitere Services
Der 24 h Markt im Untergrund
Der 24 h Markt im Untergrund
Destroy your enemies !
Passwort Download Listen
Der 24 h Markt im Untergrund
Passwort-Phishing (TOP 10)
1. Der Name des Haustieres
2. Ein bedeutsames Datum wie der „Hochzeitstag“
3. Geburtsdatum eines Familienmitglieds
4. Name des Kindes
5. Name eines ungeliebten Familienmitglieds
6. Geburtsort
7. Lieblingsurlaubsziel
8. Zusammenhang mit Lieblingssportverein
9. Lebenspartner oder andere wichtige Person
10. Passwort - password
1
!
1!
Angriffspunkte durch Social Engineering
TOP 10 Passwörter und PINs 2013
1. 1234
2. 0000
3. 2580
4. 1111
5. 5555
6. 5683
7. 0852
8. 2222
9. 1212
10. 1998
Rang Passwort Veränderung seit 2012
1 123456 1 hoch
2 password 1 runter
3 12345678 nicht verändert
4 qwerty 1 hoch
5 abc123 1 runter
6 123456789 neu
7 111111 2 hoch
8 1234567 5 hoch
9 iloveyou 2 hoch
10 adobe123 neu
11 123123 5 hoch
12 admin 2 hoch
13 1234567890 neu
14 letmein 7 runter
15 photoshop neu
Quelle: SplashData
Angriffspunkte durch Bequemlichkeit
Passwort Hacking Services
Äußerst beliebt bei Internet-Cafe`s und zur Betriebsspionage!
Keylogger
Keylogger – Klein, aber fein!
Typische Bedrohungen
Infrastruktur Bedrohungen
DefekteDatenspeicher
Rechnerausfälle
Netzwerkausfälle
Angriffe auf Unternehmen und Industrie
www.sicherheitstacho.eu
Zerstörung
Backup?
Wie schütze ich mich?
Man kann man sich schützen!
thinkstock.com
Was sind den nun die richtigen Maßnahmen?
Cloud vs. Cloud
Bild: Gerd Altman/pixelio.de
≠Cloud Cloud
Cloud vs. Cloud
Cloud vs. Cloud
Böse Cloud
Cloud vs. Cloud
Cloud vs. Cloud
Österreichische Cloudservices
Es gelten die Anforderungen desÖsterreichischen Datenschutzgesetzesfür die Speicherung der Daten.
Gute Cloud
Hilfe zur Selbsthilfe
Best Practices der Informationssicherheit
Ein organisierter Ansatz zur Informationssicherheit
IT-Sicherheit – Best Practices
Anforderungen für Rechenzentren
• Rollenbasierte Zutrittskontrolle
• Zwei-Faktor-Authentifizierung
• Brandschutz
• Kontrolle der Service Dienstleister
(Reinigung, Gebäudemanagement,
Reparaturunternehmen etc.)
• Weiterbildung in IT-Sicherheit
• Robuste Infrastruktur
• Schulung zu Social Engineering
• Kontrolle und Schulung von Awareness
• Notfallplan, Redundanz
• Auswertung der Dokumentation der letzten Notfallübungen
• Sicherheitskonzept (Systemsicherheit, Netzwerksicherheit,
Gebäudesicherheit)
• Periodische Sicherheitsprüfungen
• Logging
ProfessionelleSicherheit
IT-Sicherheit
6 Tipps zum Schutz Ihrer Daten
www.triathlon.de
6 Tipps, die helfen
TIPP 1
Verankern Sie die Themen IT-Sicherheit und Datenschutz
in Ihrer (IT-)Organisation
IT-Sicherheit bei allen Projekten immer im Blick!
6 Tipps, die helfen
TIPP 2
Gegen moderne Angriffe platziert man am besten auch einen modernen
Schutz, also Sicherheits-Software der aktuellen Generation!
6 Tipps, die helfen
TIPP 3
Einlasskontrolle für die Integration von externen Geräten in das Netzwerk
durch automatisierte Prüfung!
Nur wenn die definierten Anforderungen erfüllt sind, beispielsweise in aktueller Virenscanner und alle Windows-Updates vorhanden sind, dann darf
das neue Gerät auch im Firmennetzwerk aktiv werden.
6 Tipps, die helfen
TIPP 4
Notfallplan parat haben! Nur wer vorbereitet ist, kann Krisen
schnell meistern.
Die IT-Abteilung soll Notfall-Pläne ausarbeiten und genau festlegen, was passiert, wenn beispielsweise ein Datei-Server mit einem Virus infiziert wurde oder ein Brand ausbricht.
Wichtig: Die Notfallpläne müssen laufend aktualisiert werden.
6 Tipps, die helfen
TIPP 5
Verschlüsselung bringt Plus an Sicherheit! Verschlüsseln Sie Ihre
vertraulichen und sensiblen Daten.
Selbst wenn es einem Angreifer gelingen sollte, Daten anzuzapfen, kann er sie nicht verwerten, wenn man sie vorher verschlüsselt hat.
6 Tipps, die helfen
TIPP 6
Ihre Mitarbeiter sind entscheidend für die Sicherheit. Schulen und
sensibilisieren Sie Ihre Mitarbeiter!
Die ausgefeiltesten Sicherheitssysteme sind nutzlos, wenn die Mitarbeiter nicht für das Thema Sicherheit sensibilisiert werden.
Sind Sie sicher?
Vielen Dank
www.secriso.comThorsten Jost
