Notfallmanagement (Incident Response) was tun nach … · Notfallmanagement (Incident Response) was tun nach einer Cyberattacke? 15. Juni 2017 6. Fachtagung Datenschutz & IT-Sicherheit:

Notfallmanagement (Incident Response)was tun nach einer Cyberattacke?

15. Juni 2017

6. Fachtagung Datenschutz & IT-Sicherheit: Cybersicherheit, Braunschweig

Martin WundramVon der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger

für Systeme und Anwendungen der Informationsverarbeitung,

insbesondere IT-Sicherheit und IT-Forensik

Agenda

15. Juni 2017 Notfallmanagement (Incident Response) 2

1 Die Bedrohung ist real

2 Herausforderung Incident Response

3 Success Story?

4 Grundüberlegungen

5 Typische Fehler und Baustellen

6 Leitfaden

7 Fazit und Fragen

Kurzvorstellung

14. April 2016 Ins Netz gegangen - Reale Risiken aus der virtuellen Welt 3

PERSON

▪

▪ Martin Wundram

▪ Jahrgang 1982

▪ Diplom Wirtschafts-informatik,Uni Köln

[email protected]

ERFAHRUNG (AUSWAHL)

Von der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit und IT-Forensik

Geschäftsführer DigiTrace GmbH sowie TronicGuard GmbH

Kunden von KMU bis DAX + Behörden

Alle Branchen

Präventive Projekte: Audits, Penetrationstests, IT-Sicherheitskonzepte, strategische Beratung zu IT-Sicherheit, …

Reaktive Projekte: IT-Forensik, Incident Response, eDiscovery, …

Sachverständigentätigkeit / Gutachten zu allen Themen der IT

mailto:[email protected]

15. Juni 2017 4

Die Bedrohung ist real

Notfallmanagement (Incident Response)

Wir leben in einer vernetzten Welt

• 2015 haben bereits 81 Prozent der EU-Bürger das Internet genutzt

• Industrie 4.0, Internet der Dienste, Internet der Dinge, Smart Factory, Soziale Netzwerke, Intelligente Infrastrukturen, Cloud Computing, Car-to-X, Smarthome, ...

• Zugleich gibt es immer neue Bedrohungen: Samy, Zeus, „GVU-Trojaner“, Locky, …

15. Juni 2017 5



PricewaterhouseCoopers, 2015, Studie mit 400 Mittelständlern bzgl. Cyber-Kriminalität

Jedes zehnte Unternehmen wurde 2014 mindestens einmal Opfer eines Angriffes über das Internet

Durchschnittlicher wirtschaftlicher Schaden: 80.000 Euro

Angegebener durchschnittlicher Schaden ein Jahr zuvor: 10.000 EUR

Einschätzung PwC: viele Mittelständler haben die Situation noch nicht verstanden und sind schlecht vorbereitet

Nur jedes fünfte Unternehmen gegen Cyber-Schäden versichert

500 bis 750 Mrd. Euro Schäden durch Cyber-Kriminalität weltweit (Cyber-Kriminalität – das unterschätzte Risiko, GDV, 10.03.2014)

Dazu kommen Schäden durch allgemeine Ausfälle wie Festplattendefekte

Die Gefahr von Cyber-Schäden in Zahlen

Quelle: http://www.heise.de/newsticker/meldung/Studie-Mittelstand-unterschaetzt-Gefahr-durch-Cyber-Kriminalitaet-3067640.html

15. Juni 2017 6



Suizid einer Schülerin (2012, Kanada) nach Mobbing mit Nacktbildern

• Extremfall

• Symbolisiert den Wert der Daten in einer vernetzten Welt

• „Spannende“ Inhalte haben im Internet eine sehr lange Lebensdauer und eine hürdenlose Verbreitung

https://de.wikipedia.org/wiki/Amanda_Todd

Wert der Daten – Digitaler Schatten

15. Juni 2017 7



1. Alltäglicher Defekt an einem wichtigen Server inkl. Datenverlust

2. Das Backup wurde falsch konfiguriert – es wurde täglich nur ein leerer Ordner gesichert …

3. Aufgrund eines bestehenden Versicherungsschutzes wurde eine extrem teure Datenrettung beauftragt (x00.000 EUR)

Ergebnis:

Versicherung möchte nicht bezahlen (verständlich),

Unternehmen wird in Regress genommen (x00.000 EUR, verständlich),

Unternehmen ist insolvent

In 3 einfachen Schritten zur Katastrophe

Unmittelbares menschliches Versagen ist und bleibt TOP-Risiko Nr. 1

8


15. Juni 2017 Notfallmanagement (Incident Response)

Beispiele

Software und integrierte Systeme mit Sicherheitslücken sind alltäglich

9



Informationsabfluss/Exfiltration trifft Kleine wie Große

• Sony-Hack, Ende 2014– Tätergruppe "Guardians of Peace" (“GOP”) verlangte Stopp der Veröffentlichung des Films “The

Interview”

– Angebliche Angriffsdauer im Vorfeld: 1 Jahr, angeblich 100 TB Daten abgegriffen

– Fakt: Veröffentlichung persönlicher Daten von Sony-Mitarbeitern, neuen Filmen, vertraulichen E-Mails, …

– Rückstellung für 2015Q1: 15 Millionen USD

– Einige Mitarbeiter verklagten Sony aufgrund der public gewordenen persönlichen Daten

• Ashley Madison-Hack, Mitte 2015– Tätergruppe „The Impact Team“ hat über 25 GB interner Daten einer Dating-Plattform erbeutet

und veröffentlicht (inkl. ca. 40 Millionen Kundendatensätzen)

– Ein Erpressungsversuch der Täter blieb erfolglos – Ashley Madison ging an die Öffentlichkeit

– Folgen: unter anderem mindestens ein Suizid

• Panama Papers, Mossack Fonseca, 2016

• Cellebrite Leak (900 GB Daten, Hersteller von Produkten für IT-Forensik), 2017

Konkrete Konfigurationsschwächen gepaart mit „Datenbergen“ sind brandgefährlich

Katastrophen finden wie am Fließband für Jedermann mit Shodan

10


• Shodan ist eine Suchmaschine (vergleichbar mit Google, bing, duckduckgo, …)

• Schwerpunkt liegt hier jedoch auf der systematischen Suche nach abgreifbaren Informationen von (möglichst) allen mit dem Internet verbundenen Geräten

• Beispiel: Frei abrufbare Webcams

• Kostenfreie „Basisfunktionalität“, kostenpflichtige „Profifunktionen“

• http://shodan.io


11



Katastrophen finden wie am Fließband für Jedermann mit Shodan

12


• Einige geeignete, vorformulierte Suchanfragen für Shodan (Achtung: Ausspähen von Daten / Manipulation von Systemen / etc. kann illegal sein!)– Set-Cookie: iomega=

• Liefert NAS-Speicher ohne Passwort

– AKCP Embedded Web Server country:de• Liefert Embedded-Systeme am Standort Deutschland

– Jetty 3.1.8 (Windows 2000 5.0 x86) country:de• Liefert ebenfalls Embedded-Systeme in Deutschland

– port:554 has_screenshot:true country:de• Liefert Video-Streaming-Server in Deutschland, für die direkter Abgriff möglich ist (mit Streamingclient,

etwa vlc)

– polycom command shell country:de• Liefert Polycom-Telefonkonferenzsysteme, die per Telnet ohne Passwort erreichbar sind

– RFB 003.008 authentication disabled country:ch• Liefert VNC-Remotesysteme in der Schweiz, die kein VNC-Passwort erfordern

– has_screenshot:true country:de• Liefert alle Geräte/Systeme in Deutschland, für die Shodan einen Screenshot abgreifen konnte (Webcams,

VNC, Streaming, …)

24. März 2016 Informationssicherheit und Cyberkriminalität

Meine Einschätzung


Herausforderung Incident Response

Meine Einschätzung

Incident Response:

– Zu fast jedem Vorfall lassen sich sinnvolle Untersuchungen durchführen. Meist lassen sich dadurch Angriffswege/Hergänge nachvollziehen. Täter und betroffene Daten bleiben dabei jedoch häufig im Dunkeln. Beteiligte IT-Systeme müssen zeitnah (oft sofort) angemessen berücksichtigt werden.

– Es reicht heute nicht mehr, „befallene“ PC einfach nur zu „säubern“



Abfluss vertraulicher Daten: Mitarbeiter wechseln mit Daten



• Finanzieller Schaden: unbezifferbar, > 25.000 EUR

Wen es besonders trifft

• IT-Sicherheitsvorfälle können Alle ereilen: Privatpersonen, Kleinstunternehmen, KMU, Konzerne, Behörden, …

• Besonders trifft es Privatpersonen und KMU

– Begrenzte finanzielle Mittel

– Begrenzte personelle und sonstige Ressourcen

– Schlecht oder überhaupt nicht vorbereitet

– Keine geeigneten Ansprechpartner in Reichweite

• Aber auch große Organisationen haben z.T. die gleichen Probleme



Cryptotrojaner in einem medizinischen Großlabor

Zunächst extreme Gefahr, weil Patientendaten (tausende einzelne Dateien) verschlüsselt sind. Funktionstüchtigkeit unklar.

Selbstanalyse der eigenen IT: Backup funktionsfähig und vollständig.

Analyse der IT-Forensiker: Standardschadsoftwareeinfacher Machart, kein zielgerichteter Angriff, vermutlich kein Folgerisiko. Täter können nicht gefunden werden.


Success Story?

Grundüberlegungen


Grundüberlegungen

Mögliche Definitionen

– Ereignis: Auftreten eines beobachtbaren Geschehens, typischerweise zeitpunktbezogen und Differenz von Vorher/Nachher

– Störfall: Störung des bestimmungsgemäßen Betriebes einer technischen Anlage (Verweis auf „Fehler“)

– IT-Sicherheitsvorfall: ungesetzliche, nicht autorisierte oder einfach unerwünschte Handlung unter Beteiligung eines IT-Systems

Störfall? Sicherheitsvorfall?– Festplatte geht durch Verschleiß kaputt– Innentäter sabotiert die IT und tritt gegen das Rack


Grundüberlegungen

Was ist Incident Response?

– Strukturierte und koordinierte Vorgehensweise ausgehend von der Vorfallerkennung bis zur Lösung

Kernaktivitäten:

– Untersuchen und Einschätzen, ob Incident oder nicht– Details zum Incident herausfinden, Schadenseinschätzung– Schadenminimierung, Notfallmaßnahmen– Übergang zu Normalbetrieb– PR– Lessons Learned, Systemhärtung


Grundüberlegungen

Ziele können sich ergänzen, oder gegenseitig behindern

– Angriff stoppen? Laufen lassen?– Zukünftige Angriffe verhindern?– Täter finden?– Hergang aufklären?– Mitarbeiter einbeziehen oder auslassen?– Ermittlung/Strafverfolgung einbeziehen?– Priorisierung?– Systeme abschalten?– Offen ermitteln? Verdeckt ermitteln?

Verantworten muss letztlich der Geschäftsführer


Grundüberlegungen

Herausforderungen aus Sicht des Geschäftsführers


Juristische Herausforderungen

Technische Herausforderungen

Interne / taktischeHerausforderungen

FinanzielleHerausforderungen

Grundüberlegungen


Grundüberlegungen

Weitere Schlüsselbegriffe

– Incident Response

– Notfallhandbuch und Leitlinie

– Computer Security Incident Management

– Computer Emergency Response Team (CERT)

– Computer Security Incident Response Team (CSIRT)

– Security Information and Event Management (SIEM)

– …


Grundüberlegungen

W-Fragen

– Wo ist etwas passiert?– Was ist geschehen?– Wann ist es passiert?– Welche Daten sind betroffen?– Welche Systeme sind betroffen?– Welche Mitarbeiter/Kunden sind betroffen?– Wer hilft mir als GF wie, wann, wo?– Welche Priorität gebe ich dem Fall?– Welche Maßnahmen müssen unmittelbar umgesetzt werden?– …


Handlungsanweisungen erfolgen zu unpräzise

„Bitte sichern Sie vorab unsere Protokolldateien, damit die externen Experten diese untersuchen können, wenn sie bei uns sind“

Beweise/Daten werden vorschnell vernichtet

„Als Ihr IT-Dienstleister machen wir jetzt folgendes: Wir lassen über alle Rechner einen Virenscanner laufen und löschen alle Funde. Danach ist Ihr System wieder sauber.“

Es geht zu viel Zeit verloren

„Ihr Sicherheitsvorfall liegt nun 4 Wochen zurück. Leider rufen Sie uns erst jetzt. Die Spuren X, Y und Z sind nun definitiv nicht mehr verfügbar.“

Generell zu wenig Zeit/Ressourcen

„Wie, Sie können den Täter nicht innerhalb von 2 Tagen finden? Aber Sie sind doch IT-Experte! Dann lasse ich den Fall lieber doch nicht untersuchen“


Typische Fehler und Baustellen

Nicht ausreichend im Team gearbeitet„Oh, diesen Sachverhalt habe ich im Eifer des Gefechts übersehen. Ich wusste gar nicht, dass Windows XY diese Artefakte erzeugt“

Komplexität der Zielsysteme unterschätzt„Oh weh, Herr Geschäftsführer, Sie hatten uns von Bring Your Own Device und Ihren vielen Auslandsstandorten überhaupt nicht berichtet“

Daten werden falsch interpretiert, inkl. fehlerhafter Folgeaktionen

„Wie, die Zeitstempel sind auf System 2 in UTC+4, nicht wie bei System 1 in UTC+1?“



Jura



• Was kostet mich das?

• Was darf ich? Was darf ich nicht? Was muss ich tun?

• Ich habe keine Ahnung von Technik. Fragen sie den IT-Leiter.

• Wie kann ich Aufregung vermeiden?

• Wie geben wir uns keine Blöße?

• Wem kann man trauen? Mit wem soll ich reden?

• Was interessieren mich Recht und Gesetz? Einfach machen - Ich will den Täter kriegen!

• Warum soll der IT-Sachverständige besser sein als mein IT-Dienstleister, der obendrein günstiger ist?



• Der IT-Forensiker soll nicht alle schmutzige Wäsche finden!

• Heftig, ich wusste gar nicht, dass wir so ein hohes Risiko haben!

• Oh, das wurde aber teuer!

• Mein IT-Mitarbeiter ist verdächtig. Was nun?

• Ich habe selber schon mal in den Daten geguckt. Das erzähle ich aber nicht dem Forensiker.

• Ich habe zu viel CSI geguckt. Bestimmt geht das alles viel schneller.



Leitfaden


Prüfen Sie, wer vertrauenswürdig ist

Priorisieren Sie das weitere Vorgehen

Stellen Sie Geräte und Backups sicher

Arbeiten Sie mit forensischen Kopien

Dokumentieren Sie den Vorfall genau

Binden Sie relevante Personen ein

Stellen Sie ein Krisenteam zusammen

Entwickeln Sie verschiedene Szenarien

Tipps zum Verhalten im Ernstfall

Leitfaden


Geeignete Ansprechpartner

Leitfaden


https://www.ihk-koeln.de/upload/IHK_Leitfaden_Incident_Response_DINA4_05_54030.pdf

• Better safe than sorry – ein Fehlalarm ist besser als ein übersehener IT-Sicherheitsvorfall

• Es reicht heute nicht mehr, „befallene“ PC einfach nur zu „säubern“

• Insbesondere KMU und Privatpersonen sind nach unserer Erfahrung oft kaum informiert, schlecht vorbereitet und verfügen oft über zu knappe Ressourcen

• Nach unserer Einschätzung daher notwendig:

– „verdichtete“ Information, die im Ernstfall „zur Hand“ ist und so einen Startpunkt für ein koordiniertes, geeignetes Vorgehen liefert

– Prävention und detailliertere Informationen

– Individuelle Erstellung eines Incident Response-Plans (Notfallhandbuch)

• „Erste Hilfe“: Betroffene selbst und allgemeine ITler

• Professionelle Reaktion: Experten (IT-Forensiker)


Fazit

Fragen & Antworten


FRAGENGerne auch im Nachgang an

[email protected]

ANTWORTEN

mailto:[email protected]

Documents

Notfallmanagement (Incident Response) was tun nach … · Notfallmanagement (Incident Response) was tun nach einer Cyberattacke? 15. Juni 2017 6. Fachtagung Datenschutz & IT-Sicherheit: