Embed Size (px)
Citation preview
Institut für Internet-Sicherheit – if(is)Westfälische Hochschule, Gelsenkirchenhttp://www.internet-sicherheit.de
Sebastian [email protected]
IT-Sicherheit: Warum die Kirche nicht unbedingt im Dorf bleiben sollte
Twitter: @_ifis / @rautesicherheit
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Wenn Entscheider entscheiden► Knapp daneben ist auch vorbei!
2
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Feuer, Wasser Luft und Erde?
Es fehlt ein wichtiges Element!
3
Die Information!
Die vier Elemente
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Internet und IT-Sicherheit► Situation
4
Wir entwickeln uns zur einer Internet-Gesellschaft(Informationsquelle, eCommerce, eGovernment, …, eAssistenten, …, Industrie 4.0, Internet der Dinge, …)
Viele lokale Dienste werden an das Internet gebunden(intelligente Analysen Internetkonnektivität)
Private- und Unternehmensdaten „lagern“ immer häufiger im Internet (zentrale Speicherung Internetkonnektivität)
Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)!
Professionelle Hacker greifen alles erfolgreich an!
Das Risiko wird immer großer, die Schäden auch!
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Rettungsringe sind schön!► Wenn man sie nicht braucht..
5
Ihr Unternehmen?
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Was sind die Problemfelder?► 1. Privatheit und Autonomie
6
Privatheit / Autonomie
Verschiedenen Sichtweisen
Geschäftsmodelle „Bezahlen mit persönlichen Daten“
Staat (NSA, BND, …): Identifizieren von terroristischen Aktivitäten
Kulturelle Unterschiede(Private Daten gehören den Firmen? US 76%, DE 22%)
Nutzer: Autonomie im Sinne der Selbstbestimmung
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Was sind die Problemfelder?► 2. Wirtschaftsspionage
Wirtschaftsspionage
ca. 51 Milliarden € Schaden pro Jahr
Zum Vergleich:Internet-Kriminalität: ca. 100 Millionen € pro Jahr(Online Banking, DDoS, …)
7
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Was sind die Problemfelder?► 3. Cyberwar
8
Cyberwar
Umsetzung von politischen Zielen Einfach und „preiswert“
Angriffe auf Kritische Infrastrukturenz.B. Stromversorgung, Wasserversorgung, …
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
IT-Sicherheit► Die größten Herausforderungen
9
Unzureichende Softwarequalität(0,5 Fehler auf 1.000 LoC..)
Manipulierte IT und IT Sicherheitstechnologie(Zufallszahlen, Backdoors, …)
Ungenügender Schutz vor Malware (nur 45 % Erkennung)
Unsichere Webserver(2,5 % verteilen Schadsoftware)
Internet-Nutzer sind nicht sensibilisiert genug(24 % „klicken“ Spam-Mails)
Risiko
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Neue Herausforderungen► Intelligent, klein, tragbar, integriert
Internet der Dinge / Wearabels
Intelligente Endgeräte in Zukunft überall im Einsatz
Vollständige Vernetzung untereinander
Bedeutet:Von der Produktion bis zur Datenhaltung entstehen viele potentielle Angriffsvektoren
Manipulation oder Stilllegung eines ganzen Betriebs sind mögliche Konsequenzen
► Neuen Trends und Herausforderungen muss heute schon begegnet werden
10
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Onlineshops für Malware, von A – Z
Shopping im Bereich Cybercrime
Profis mit großem Verständnis für ihr „Handwerk“
Sehr lukrativ und maßgeschneiderte Malware-Lösungen
Beispiele:
11
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
CYBERCRIME► „Computerkriminalität“
Heute sehr „Kundenorientiert“: Cybercrime-as-a-Service
12Quelle: BKA Lagebild 2014: http://goo.gl/sG5avn
Bereitstellung von BotnetzenTake Down eines (ihres) Unternehmens
Malware Herstellung und Vertrieb maßgeschneiderter Schadwerkezeuge Entwenden (ihrer) sensibler Informationen und
Daten ihres Unternehmens jeglicher Art
Punktueller Angriff und Einbruch in Infrastrukturen/Netzwerken (APTs)
Diebstahl oder unbemerkte Beobachtung aller Vorgänge im Netzwerk (Kommunikation und Transfers) & Manipulation oder Diebstahl
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Internet und IT-Sicherheit► Evaluierung der Situation
13
Die IT-Sicherheitsprobleme sind (meistens) bekannt, doch viele Unternehmen tun sich (zu) schwer!
Oft mangelnde Bereitschaft VOR einem Vorfall zu handeln
Wissen existiert nicht zu genüge im Unternehmen
Fahrlässigkeit wird aus „Gründen der Benutzbarkeit“ toleriert
Die zukünftigen Angriffe werden komplexer und die heutigen Schädennoch deutlich überschreiten
Innovative Ansätze & neue Konzepte sind auf dem Weg oder bereits da,diese müssen nur den Weg in dieUnternehmen finden und eingesetzt werden!
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Herausforderung IT-Sicherheit► Bedrohung
14
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Vorsicht ist besser als Nachsicht► Bedrohungen und Gegenmaßnahmen
15
Bedrohung
Gegenmaßnahme
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Bewusstsein für den eigenen Schutzbedarf► Angemessen und maximal
Für Bedrohungen existieren immer Gegenmaßnahmen
Sichere Passwörter, Displaysperren, Verschlüsselung, …
Wir wollen (können) keine 100%ige Sicherheit erreichen
Unmöglich, denn z.B.: Software hat immer ausnutzbare Fehler
Gerät man unbewusst ins Visier eines Angreifers ist es eine Frage des Aufwands
Angreifer hat meist „endlos Zeit“ und einen großen Werkzeugkasten
Realistisches und gewolltes Ziel: Die Hürde für den Angreifer muss maximal hoch ein!
16
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Beispiel: Landkarte für‘s Netzwerk► spotuation
Wie wäre es, sie könnten eine persönliche Landkarte aller Systeme/Netzwerke erzeugen?
Sie könnten jeden Zeitpunkt speichern und miteinander vergleichen?
Sie hätten Kennzahlen zur IT-Sicherheit?
Daten wären dabei vollständig, Datenschutzkonform& unter ihrer eigenen Kontrolle!
17
www.spotuation.de
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Verschlüsselung► Schreiben Sie weniger Postkarten
Konkurrenten, Staaten, Kriminelle, … haben Begehrlichkeiten
Vertrauenswürdigere Kommunikation bedeutet:Weniger Raum für Manipulationen und Spionage, Nachweisbarkeit, Vertraulichkeit
Praxis:
HTTPS überall anbieten & einfordern!
E-Mails verschlüsseln
Instant-Messaging nur Ende-zu-Ende verschlüsselt nutzen
Plattformen für kollaborative Arbeit nicht auf fremden Servern
Datensparsamkeit & Mitarbeiterschulungen
Datenverbindungen per VPN schützen (Standorte, öffentl. WLAN, …)
18
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Kommunizieren Sie sicher und vertraulich► weniger Postkarten schreiben
Ende-zu-Ende Verschlüsselung: „Zero Knowledge“
Dienstanbieter sollte niemals wissen, was genau übertragen wird
Im Prinzip gilt: E-Mails und viele Messenger = Postkarte
19
?
Laura Stefan
Anbieter + X
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Cloud [sprich: Klaut]► Seien Sie misstrauisch
Cloud-Dienste: ca. 80% der Anbieter kommt aus den USA
Andere Länder andere Sitten andere Rechtslage
Man kann sicher sein: Private Daten sind hier nicht mehr privat
20
http://heise.de/-2167997
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Tool Time!
Beispiele für Werkzeuge eines Angreifers/Sicherheitsspezialisten
Werkzeug zum mitscheiden und Auswerten von Netzwerkverkehr (LAN, WLAN, …)
Wireshark: Go Deep.
Kali Linux
21
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Mein Router► (Kostenloses) WLAN: Starbucks in der Sahara?
22
Kostenloses WLAN! Kein Volumenverbrauch, schneller Datentransfer Sicherheit ??
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Immer eine gute Idee: sicherer Tunnel ► VPN
Z.B.:
https://www.steganos.com/de/produkte/vpn/online-shield-vpn/features/
und
https://play.google.com/store/apps/details?id=com.steganos.onlineshield
Nicht getestet und als Orientierung gedacht.
Persönliche Meinung: Achten sollte man auf..
Vertrauenswürdige Anbieter
Am besten aus Deutschland, weil deutschem Datenschutz unterliegend
23
Sicherer Tunnel: VPN
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Faktor: Homo sapiens
Tragbare Geräte wie Smartphones oder Notebooks sind Geheimnisträger
Hauptproblem: Unwissenheit oder Naivität
Lösung: Awareness, Awareness, Awareness!
Mitarbeiter schulen und sensibilisieren (z.B. Live-Hacking if(is))
Technisches Verständnis ist heute wichtiger denn je
Einer der wirkungsvollsten Schutzmechanismen ist:
24
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Verantwortung übernehmen
Unternehmen haben gegenüber Mitarbeitern und Kunden ( Gesellschaft) eine große Verantwortung
Wer den Schaden hat, braucht für den Spott nicht zu sorgen. ;)
Seien Sie anderen einen Schritt voraus und setzen Sie auf angemessene und hochwertige IT-Sicherheit
Wenn Sie „keine Ahnung“ haben, fragen Sie jemanden!(der qualifiziert ist)
Guter Rat muss nicht teuer sein, schlechter Rat kann jedoch sehr teuer werden
25
Institut für Internet-Sicherheit – if(is)Westfälische Hochschule, Gelsenkirchenhttp://www.internet-sicherheit.de
Sebastian [email protected]
IT-Sicherheit ist und bleibt ein wichtiges
Kernthema! ( 5. Element)
Angemessener Schutz ausgerichtet am
eigenen Schutzbedarf ist wichtig.
Was haben/werden wir heute lernen? ;-)
Seb
ast
ian
Barc
hn
icki,
Inst
itu
t fü
r In
tern
et-
Sic
herh
eit -
if(is)
, W
est
fälis
che H
och
sch
ule
, G
els
en
kir
chen
Anhang / Credits
Quellen Bildmaterial
Eingebettete Piktogramme:
• Institut für Internet-Sicherheit – if(is)
• Icon made by Freepik from www.flaticon.com
Wir empfehlen unsere kostenlose App securityNews
• Kostenlose App vom Institut für Internet-Sicherheit
• Aktuelle Sicherheitshinweise für Smartphone, Tablet, PC und Mac
• Warnung vor Sicherheitslücken in Standardsoftware, dank
Schwachstellenampel
• Konkrete Anweisungen für Privatanwender und Unternehmen
Besuchen und abonnieren Sie uns :-)
WWWhttps://www.internet-sicherheit.de
Facebook https://www.facebook.com/Internet.Sicherheit.ifis
Twitterhttps://twitter.com/_ifis
Google+https://plus.google.com/107690471983651262369/posts
YouTubehttps://www.youtube.com/user/InternetSicherheitDE/
IT-Sicherheitsstrategie für Deutschland
Wirkungsklassen von IT-Sicherheitsmaßnahmen für
unterschiedliche Schutzbedarfe
Ein Aspekt der IT-Sicherheitsstrategie für DE
https://www.internet-sicherheit.de/downloads/publikationen-
vortraege/dokumente-2015.html
