Embed Size (px)
Citation preview
IT – Sicherheit für kleine und mittlere Unternehmen Eine Notwendigkeit!
Dr. Michael Kreutzer, CASED Vortrag vom 28. August 2013, Opel Forum, Rüsselsheim im Rahmen der Wirtschaftsförderung und Stadtentwicklung der Stadt Rüsselsheim
– 2 –
Überblick
IT- Sicherheit für KMUs
IT-Sicherheit und Industriespionage
Blick in die Zukunft
CASED
– 3 –
Zur Erinnerung: Die Welt wird digital Alles ist online, programmierbar, erzeugt kritische Daten
– 4 –
Industrialisierung + Zielorientierung der Angriffe
– 5 –
Stand IT-Sicherheit in Unternehmen Einsatz von IT-Sicherheitstechniken auf schwachem Niveau
85% verwenden Firewall
50% verwenden VPN und Speicherverschlüsselung
30% regeln zentral Sicherheit mobiler Geräte
20% überwachen eigenen Sicherheitszustand
19% verwenden verschlüsselte Email
Quelle: Corporate Trust 2012
– 6 –
Stand IT-Sicherheit in Unternehmen Realität zeugt von geringem Problembewusstsein
90% aller freien Passwörter sind in Top 10000 Liste[Mark Burnett 2011]
60% verraten ihr Passwort dem “Admin” am Telefon[BBC 2009]
Quelle: Sofern nichts anderes genannt, Corporate Trust 2012
Beispiel Mitarbeiter
Beispiel Unternehmen
60% ohne Schutzbedarfsanalyse 40% ohne Notfallplanung 86% sind nicht zertifiziert (ISO 27001 o.ä.)
– 7 –
Stand IT-Sicherheit in Unternehmen Bei 130 von 324 befragten KMUs: keine Schulungen IT-Sicherheit, warum?
– 8 –
Stand IT-Sicherheit in Unternehmen Wichtigste Schäden
– 9 –
Was können Unternehmen tun? Umsetzung bekannter IT-Sicherheitstechniken
Elementare IT-Sicherheit Schutzbedarfsanalyse, Notfallplan, IT-Grundschutz o.ä.
Verschlüsselung zum Schutz von Inhalten VPN, Speichermedien, Email, Cloud Speicher & Backups
Überwachung der eigenen IT-Systeme Change Management, Sicherheits Monitoring, ...
Bewusste und kontrollierte Verwendung von Online-Diensten (Google, Skype, Facebook, ...)
Bewusste und kontrollierte Auswahl von Cloud-Dienstleistern und IT-Herstellern
– 10 –
Kurzvorstellung der Konzepte der Gewinner des ersten deutschen IT-Sicherheitspreises für KMUs
Hintergrundinformationen: http://it-sicherheitspreis.cased.de/
– 11 –
Sicherheitsbezogener Umgang mit Computern und Software: Risikoanalyse (1/2) artegic AG
Software-Risikoanalyse, u.a. hinsichtlich:
unsicherer, fehlerhafter oder bösartiger Software, insbesondere bei Ad-hoc-Installation durch Mitarbeiter
unsicherer Speicherung von Zugangsdaten, gerade in externen Applikationen
unbeabsichtigte unverschlüsselte Übertragung streng vertraulicher Daten
Fehler bei der Verwaltung von Benutzerkennungen durch Mitarbeiter (Mehrfachverwendung, simple Passwörter, keine regelmäßige Änderung)
Übernahme oder Löschung von Zugängen zu externen Applikationen bei Ausscheiden eines Mitarbeiters
Quelle: http://it-sicherheitspreis.cased.de/factartegic.php
– 12 –
Sicherheitsbezogener Umgang mit Computern und Software: Risikoanalyse (2/2) artegic AG
Bewertung Sicherheitsmerkmale von Software, die in Betrieb ist:
Art und Sicherheit der Authentifizierung (inkl. Optionen zentraler Passwortverwaltung)
Art der Passwortablage
Zugriffsberechtigte Personen/Rollen
Sicherheitsrelevanz der Anwendung (gering bis hoch; in Abhängigkeit der verarbeiteten Daten)
Quelle: http://it-sicherheitspreis.cased.de/factartegic.php
– 13 –
Datensicherungskonzept (1/2) Crossing Mind
Besondere Berührungspunkte mit dem Thema IT-Sicherheit hatte Schönberger im Jahr 2007.
„Ein Server-Ausfall in Verbindung mit einer unzureichenden Datensicherung führte damals zu einem empfindlichen Datencrash.
Als Folge verloren wir einen Auftrag mit 18 Veranstaltungen und einem Umsatzvolumen von ca. 200.000 Euro.
Die Kosten für die Wiederherstellung und Neuprogrammierung aller Konzepte, Ideen, etc. beliefen sich unserer Schätzungen nach zusätzlich auf ca. 60.000 Euro. Die Situation war zum damaligen Zeitpunkt existenzbedrohend“,
so Schönberger.
Quelle: http://it-sicherheitspreis.cased.de/factcrossingmind.php
– 14 –
Datensicherungskonzept (2/2) Crossing Mind
Daher wurde in Zusammenarbeit mit einem IT-Partner ein umfangreiches externes Datensicherungskonzept entwickelt. Es umfasst:
Klare und definierte Strukturen innerhalb der Unternehmensorganisation und des ITSystems.
Regelmäßige (in Abständen von sechs Wochen) Ansprache und Schulung der internen und externen Mitarbeiter.
Klare, vertraglich geregelte Verantwortlichkeiten des IT-Partners, z.B. Service-Level, Archivierung, Versicherung, etc.
Verschlüsselte Sicherung aller Daten des Servers auf einem lokalen Backup-Server und zusätzlich Auslagerung (verschlüsselt) in ein Backup-Rechenzentrum bei dem IT- Partner.Die Datensicherung erfolgt vollautomatisch und werktäglich.
Regelmäßige Überwachung der Datensicherung, technisch durch den IT-Partner, Protokollprüfung durch Crossing Mind.
Teilnahme an sogenannten „Feuerwehr-Übungen“ mit dem IT-Partner, die eine Notfallsimulation inkl. Rückspeicherung der Daten und Wiederanlauf beinhaltet.
Quelle: http://it-sicherheitspreis.cased.de/factcrossingmind.php
– 15 –
IT-Sicherheitsbewusstsein: Awarenessschulungen msg services ag
Dr. Jekyll, der gute Ratgeber, erzählt, was zu beachten ist, und Mr. Hyde – der ,Böse' – versucht jede Schwachstelle auszunutzen.“ Zu den Maßnahmen zählen u.a.:
Regelmäßige Tipps & Tricks für Mitarbeiter rund um IT-Sicherheit.
Monatliche Nachrichten auf einer Web-Plattform (Intranet), bei Bedarf auch häufiger.
Monatlicher Versand eines Newsletters (inkl. einer kleinen Story oder eines Vorfalls in den Medien).
Halbjährige Awareness-Kampagnen mit Postern, Flyern, Quiz.
Jährliche umfassendere Awareness-Schulung in kleinen Gruppen.
Das gesamte Themenspektrum vom Virus bis zur Policy.
Schulungen für Mitarbeiter, die neu ins Unternehmen eintreten.
Wiederholungsschulungen.
Quelle: http://it-sicherheitspreis.cased.de/factmsg.php
– 16 –
Notfallvorbereitung Yildiz CNC-Drehtechnik
Um auf alle Fälle vorbereitet zu sein, hat der Unternehmer vorgesorgt und mit Hilfe eines IT-Dienstleisters ein ausgeklügeltes System zur Notfallvorsorge etabliert:
Alle zur Re-Installation der Softwaresysteme notwendigen Angaben (IDs, Authentifizierungsdaten, Lizenzinformationen und Installationsanweisungen) werden in Papierform sicher verschlossen und übersichtlich vorgehalten.
Ein Notfall-PC wurde eingerichtet (Laptop) mit E-Mail-System, Kalkulationssoftware inkl. Software für Angebots- und Lieferscheinerstellung.
Bei Ausfall der Internetverbindung (E-Mail) kann über Mobilfunk (USB-Stick) gearbeitet werden.
Bei Ausfall des Werkstattrechners oder des Messplatzes können die Systeme und Daten kurzfristig auf Ersatz-Hardware (Standard-PC) installiert werden.
Ein Vorgehensplan (Abfolge) im Notfall liegt schriftlich vor und wird regelmäßig aktualisiert.
Quelle: http://it-sicherheitspreis.cased.de/factyildiz.php
– 17 –
Von CASED konzipiert, bald auf dem Markt: Trennung privater und geschäftlicher Daten sowie Apps auf Smartphones
BizzTrust
Lizensiert von
Sirrix AG
Award
– 18 –
Fraunhofer SIT Produkt: Sicheres Passwortmanagement - iMobileSitter
Sichere Passwortverwaltung ohne Werkzeuge unmöglich
Konventionelle Werkzeuge oft unsicher trotz starker Verschlüsselung: Wörterbuchangriffe
Resistenz gegen Wörterbuchangriffe
Entwicklung durch Fraunhofer SIT
Vertrieb durch AppStore von Apple
– 19 –
EC SPRIDE / Fraunhofer SIT Report: Entwicklung sicherer Software – von Anfang an
– 20 –
Softwaresicherheit durch Automatisierung und Reduktion menschlicher Fehlereinflüsse
Security by Design bei verteilter Entwicklung und Integration
Security by Design für Legacy-Software
Die Zukunft mit Security by Design
EC SPRIDE / Fraunhofer SIT Report: Entwicklung sicherer Software – von Anfang an
– 21 –
Überblick
IT- Sicherheit für KMUs
IT-Sicherheit und Industriespionage
Blick in die Zukunft
CASED
– 22 –
Stand IT-Sicherheit und Industriespionage in Unternehmen Hohes Maß an Betroffenheit
Eigene Erfahrung von Unternehmen mit Spionage
21% nachweislich + 33% vermutet 54%
Eigene Erfahrung insgesamt mit IT-Unsicherheit[BITKOM 2012]
39% der Unternehmen 52% der Privatnutzer
Quelle: Sofern nichts anderes genannt, Corporate Trust 2012
KMUs als Hauptträger der Innovation sind leicht überproportional betroffen: Konzerne 19% KMUs 23% Kleinunternehmen 16%
– 23 –
Stand IT-Sicherheit und Industriespionage in Unternehmen Wo wird angegriffen? Wer greift an?
Mitarbeiter
Eigene IT Dienstleister
Kommunikation
Cloud
Soziale Netze
Kunden/Partner 48% Verrat 24% Social Eng.
42% IT-Angriffe 33% Diebstahl
12% Abhören
47%
24% Konkurrenz, 18% Kriminelle, 14% Nachrichtendienste
29% 57%
Quelle: Corporate Trust 2012
– 24 –
Aktuelle Cyber-Gefährdungen und Angriffsformen Register des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken
Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners
Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage
Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution
Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl
Mehrstufige Angriffe, bei denen z.B. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL-Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen
Source: Register aktueller Cyber-Gefährdungen und –Angriffsformen, BSI, Bonn 2012
– 25 –
Überblick
IT- Sicherheit für KMUs
IT-Sicherheit und Industriespionage
Blick in die Zukunft
CASED
– 26 –
Sharekey: Smartphone als Türöffner Neues Projekt zum flexiblen Management von Schließberechtigungen für NFC-basierte Funkschlösser
– 27 –
OmniCloud Avoid lock-in, simplify integration, provider-independent security
Client or Gateway for cloud backup services
Entwicklung / Produktisierung unterstützt durch HMWVL/ EFRE in CIRECS
– 28 –
SIT Appicaptor Framework – Analysis workflow
No automated Findings
• App-Bundle • Binaries • Metadata
…
Apple AppStore
Google Play
…
• Post-processed analysis data
• Privacy & Security Implications
• Usable, structured data
• Identified relevant Entry Points
Investigation required
Direct Findings
Data Extraction Reversing
• Decrypt • Decompile • Disassemble • Parse, Run ...
Analysis of • Source code • Disassembly • Metadata • Behavior
Analysis and correlation of
• Raw data • Indicators
• List of Indicators
• Raw analysis data
• Visualization • Interaction
Rating and Documentation
Manual Findings
No Findings
Focused Manual Analysis
– 29 –
Überblick
IT- Sicherheit für KMUs
IT-Sicherheit und Industriespionage
Blick in die Zukunft
CASED
– 30 –
Darmstadt
Karlsruhe
Saarbrücken
Bochum
München
IT-Sicherheitsforschung in Deutschland Zentren mit starkem Fokus auf IT-Sicherheit
Bonn
(1) (2) (3) (4) (5)
(5)
(1,4)
(1,2,3,5)
(3)
(1,3,4)
(1)
– 31 –
Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland
25.000 Studierende, 4.150 Mitarbeit.,
davon 290 Professuren
9 Profs, 100 Mitarbeit. in IT-Sicherheit
#1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search)
13.000 Studierende, 870 Mitarbeit.,
davon 320 Professuren
11 Profs in IT-Sicherheit
160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn)
9M€ Jahresbudget (Grund- & Drittmittel)
3 Professuren an TU Darmstadt
– 32 –
Center for Advanced Security Research Darmstadt (CASED) Größtes Forschungscluster zur IT-Sicherheit in Deutschland
25.000 Studierende, 4.150 Mitarbeit.,
davon 290 Professuren
9 Profs, 100 Mitarbeit. in IT-Sicherheit
#1 in IT-Sicherheit in Deutschland (Source: Microsoft Academic Search)
13.000 Studierende, 870 Mitarbeit.,
davon 320 Professuren
11 Profs in IT-Sicherheit
160 Mitarbeiter/innen, 22 Nationen, in Darmstadt und St. Augustin (bei Bonn)
9M€ Jahresbudget (Grund- & Drittmittel)
3 Professuren an TU Darmstadt
– 33 –
Center for Advanced Security Research Darmstadt (CASED) Breites Spektrum an Forschungsthemen und Anwendungen
Leitmotiv: Security and Privacy by Design
Cloud Computing
Mobile & Cyber-Physikalische Systeme
Netzsicherheit
Kryptographie
Benutzbare Sicherheit
Sichere Identitäten, Datenschutz und Vertrauen
Sichere Software
Kritische Infrastrukturen
Forensik
Automatisierung und Produktion
Internet und Social Networks
– 34 –
Appicaptor Key2Share
Beispiele
Robuste Hashverfahren
– 35 –
Auszeichnungen 2012/2013
Best Demonstrator Award IEE International Symposium on a World of Wireless, Mobile and Multimedia Networks Matthias Hollick and Adrian Carlos Loch Navarro
Tsungming Tu – Alexander von Humboldt Research Award 2012 – J. Buchmann
Intel Early Career Faculty Honor Program Award Thomas Schneider (2012) Pouyan Sepehrdad (2013) Science Award of German Association for Data Protection and Data Security
Most successful University of Software Campus Award
First Degree Prize Award of the Director of TU Prague Gernot Alber et. al.
ERC Advanced Grant Mira Mezini
– 36 –
EC SPRIDE Prof. Dr. Michael Waidner [email protected] phone: +49 6151 16-64530
KASTEL Prof. Dr. Jörn Müller-Quade [email protected] phone: +49 721 608-44213
CISPA Prof. Dr. Michael Backes [email protected] phone: +49 681-302-3249
Kompetenzzentren für IT-Sicherheit
