Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB
Melde- und Analysestelle Informationssicherung MELANI
Cyber-Bedrohungen: Lage national und international
Max Klaus, stv. Leiter MELANI
2
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Inhalte
1. Melde- und Analysestelle Informationssicherung MELANI
2. Bedrohungslage: Veränderung, Lage national/international, Akteure
3. Cyber-Angriffe: Ausgewählte Beispiele
4. Schlussfolgerungen/Empfehlungen
3
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
BR-Auftrag / PPP
Schutz kritischer Infrastrukturen in der Schweiz nur in enger Zusammenarbeit mit der Wirtschaft möglich Public Private Partnership
4
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
• Keine Meldepflicht für Cybervorfälle
• Subsidiarität
• Keine Weisungsbefugnis ausserhalb der Bundesverwaltung
Rahmenbedingungen für MELANI
Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB
Melde- und Analysestelle Informationssicherung MELANI
MELANI
EFD / ISBLeitung und Strategie
GovCERT.chTechnische Analysen
VBS / NDBOIC MELANINachrichtendienstlicheAnalysen
Sektoren im «geschlosse-nen Kundenkreis»:
• Blaulichtorganisationen• Chemie/Pharma• eHealth• Energie• Finanz• Gesundheitswesen• Industrie• Rüstung• Telekommunikation• Transport und Logistik• Versicherungen• Verwaltung• Vorsorgeeinrichtungen
Öffentlicher TeilKMU und Bürger
www.melani.admin.ch
Hersteller
Wissenschaft undForschung
Swiss Cyber Experts
- Interpol- Europol
EGC (European GovernmentCERTs)
www.egc-group.org
Andere Staaten- CPNI (UK)- BSI (D)- A-SIT (A)- usw.
FIRST(Forum of Incident Responseand Security Teams)
www.first.org
Internationale Beziehungen
http://www.melani.admin.ch/
6
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Inhalte
1. Melde- und Analysestelle Informationssicherung MELANI
2. Bedrohungslage:Veränderung, Lage national/international, Akteure
3. Cyber-Angriffe: Ausgewählte Beispiele
4. Schlussfolgerungen/Empfehlungen
7
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Veränderung der Bedrohungslage
>100 Jahre
derstandard..at
Vor 10 Jahren
augsburgerallgemeine..de
heute
jdpower..com
• Modernere Mittel
• Vernetzte Bevölkerung
• Zu geringes Sicherheitsbewusstsein
morgen?
fossbytes.com
8
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Aktuelle Bedrohungslage
9
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Script Kiddies
Hacktivismus
Terrorismus
OrganisierteKriminalität
Staatliche Akteure /Geheimdienste
Akteure
Insider
10
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Die Arbeitsteilung bei Cyberattacken
11
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Inhalte
1. Melde- und Analysestelle Informationssicherung MELANI
2. Bedrohungslage:Veränderung, Lage national/international, Akteure
3. Cyber-Angriffe: Ausgewählte Beispiele
4. Schlussfolgerungen/Empfehlungen
12
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
KriminellerOpfer
Internetauch ein
Krimineller
Angriffe heute
13
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Am Anfang fast allen Übels:Social Engineering
https://www.youtube.com/watch?v=F7pYHN9iC9I
14
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Phishing (Kunstwort aus: Password, Harvesting und Fishing)
15
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Phishing: Beispiel aus der Schweiz
16
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Phishing: Empfehlungen
• Keine Bank holt Benutzerinformationen telefonisch oder per Mail ein
• Vorsicht vor allen Mails, die eine Aktion Ihrerseits und/oder Drohungen enthalten
• Sofort Bank kontaktieren
• Information an MELANI / fedpol, allenfalls Strafanzeige gegen Unbekannt bei KaPo
17
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Erpressung
http://www.trustedwatch.de
18
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner «Locky» (1/2)
19
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner «Locky» (2/2)
20
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
WannaCry: Zeitlicher Ablauf
15.05.201708.30 Uhr
14.05.201715.00 Uhr
14.05.201711.00Uhr
13.05.201710.00 Uhr
12.05.201717.00 Uhr
12.05.201716.30 Uhr
12.05.201712.30 Uhr15.04.201714.04.201714.03.2017
MS Security Bulletin
MS17-010
Shadow Brokers
Leak
Scan nach verwund-
baren Systemen
Medien: Probleme bei Telefo-
nica/ES
Information an GK
NHS UK bestätigt
Probleme in Spitälern
Situation Update an
GK
Situation Update an
GK
Situation Update an
GK
Situation Update auf
MELANI Website
21
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
WannyCry in Zahlen
230’000 infizierte Geräte in 150 Ländern
• 204 Infektionen• Nur Private und KMU, keine KI-Betreiber
• 12.-15.05.2017: 7x24 (mind. 30% on Duty)• Rund 100 Medienanfragen beantwortet• Unzählige Bürgeranfragen beantwortet
22
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Verschlüsselungstrojaner: Empfehlungen• Regelmässige Datensicherung
• Datenträger nach Backup vom PC / Netz trennen
• Qualität der Backups sporadisch überprüfen
• Versuchen Sie, die Daten wiederherzustellen:www.nomoreransom.org
• Keinesfalls Lösegeld bezahlen!
• Information an MELANI / fedpol, allenfalls Strafanzeige gegen Unbekannt bei KaPo
http://www.nomoreransom.org/
23
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
CEO Fraud
24
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
CEO Fraud
25
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
CEO Fraud: Empfehlungen
• Klare Weisungen bezüglich Zahlungen erteilen
• Keine internen Informationen weitergeben
• Im Zweifelsfall bei der GL nachfragen
• Vorsicht auch bei Mails von vermeintlich bekannten Personen
• Information an MELANI / fedpol, allenfalls Strafanzeige gegen Unbekannt bei KaPo
26
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Inhalte
1. Melde- und Analysestelle Informationssicherung MELANI
2. Bedrohungslage:Veränderung, Lage national/international, Akteure
3. Cyber-Angriffe: Ausgewählte Beispiele
4. Schlussfolgerungen/Empfehlungen
27
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
28
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
z.B. starke Passwörter verwenden…Die 10 schlechtesten Passwörter 2018(Quelle: Hasso-Plattner-Institut, Universität Potsdam)Rang Passwort Dauer Brute Force in Sek.1. 123456 0.0000
2. 12345 0.00003. 123456789 0.15874. ficken 0.00495. 12345678 0.00166. hallo123 44.78007. hallo 0.00498. 123 0.00009. passwort 3.310010. master 0.0049
https://hpi.de/pressemitteilungen/2018/die-top-ten-deutscher-passwoerter.htmlhttps://florian-scheuer.de/wp-content/uploads/2019/06/tabelle_brute-force-dauer.png
29
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
…bitte so merken…
30
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
…und keinesfalls so!
https://www.youtube.com/watch?v=Srh_TV_J144
31
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Schlussfolgerungen
• Informationstechnologie als zweischneidiges Schwert: Neue Möglichkeiten, aber auch neue Angriffsflächen
• Das organisierte Verbrechen verfügt über hervorragende Mittel und setzt diese gewinnbringend ein
• Angreifer wollen Geld verdienen und/oder einen Informationsvorsprung (Know-How-Gewinn zum Nulltarif) erzielen
• Der Mensch ist oft das schwächste Glied in der Kette und wird deshalb meistens angegriffen.
32
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Empfehlungen: proaktiv
Das Übliche zuerst:• Starke Passwörter / regelmässiger PW-Wechsel• Firewall (blacklist usw.)• Updates• Backups• …
Aber:• Technische Massnahmen allein genügen nicht!• Organisatorische Massnahmen wie BCM,
Krisenkommunikation usw. berücksichtigen!
33
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Empfehlungen: reaktiv
Gretchenfrage:Infizierte Systeme abschotten: ja oder nein?
Auf keinen Fall Lösegeld bezahlen!
Strafverfolgung:• Privatpersonen: Kapo am Wohnsitz• Unternehmen: Kapo am Geschäftssitz
34
ISB / NDBMelde- und Analysestelle Informationssicherung MELANI
Max KlausStv. Leiter Melde- und AnalysestelleInformationssicherung MELANI
Schwarztorstrasse 593003 Bern
Herzlichen Dank für Ihre Aufmerksamkeit
Cyber-Bedrohungen: Lage national und internationalInhalteBR-Auftrag / PPPRahmenbedingungen für MELANIFoliennummer 5InhalteVeränderung der BedrohungslageAktuelle BedrohungslageAkteureDie Arbeitsteilung bei CyberattackenInhalteAngriffe heuteAm Anfang fast allen Übels:�Social EngineeringPhishing (Kunstwort aus: Password, Harvesting und Fishing) Phishing: Beispiel aus der SchweizPhishing: EmpfehlungenErpressungVerschlüsselungstrojaner «Locky» (1/2)Verschlüsselungstrojaner «Locky» (2/2)WannaCry: Zeitlicher AblaufFoliennummer 21Verschlüsselungstrojaner: EmpfehlungenCEO FraudCEO FraudCEO Fraud: EmpfehlungenInhalteFoliennummer 27Foliennummer 28Foliennummer 29Foliennummer 30SchlussfolgerungenEmpfehlungen: proaktivEmpfehlungen: reaktivFoliennummer 34