Anlaufstellen und Kooperationen (Behörden, Polizeien, CERT

Anlaufstellen und Kooperationen
(Behörden, Polizeien, CERT-Bund)
S. Ritter
Inhalt
1.
2.
3.
4.
Meldungen und Vorfälle im BSI
Ransomware
Nationale und internationale Vernetzung
Ausblick
CERT-Bund | 02.03.2016 | Seite 2
1994 - 2014: CERT-Bund
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 3
2005: Lagezentum
Das BSI Lagezentrum verfügt jederzeit über ein
verlässliches Bild der aktuellen IT-Sicherheitslage in
Deutschland, um den Handlungsbedarf und die
Handlungsoptionen bei IT-Sicherheitsvorfällen
sowohl auf staatlicher Ebene als auch in der Wirtschaft
schnell und kompetent einschätzen zu können.
Nationaler Plan zum Schutz von Informationsinfrastrukturen
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 4
Lagebeobachtung
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 5
Ransomware
Was ist neu?
'Bemerkbarkeit' und unmittelbarer Schaden
● es gibt Schäden durch die Verschlüsselung,
● es wird verstärkt berichtet,
● es wird bezahlt,
● und als Folge der 'erfolgreichen' Geschäftsmodelle stellen die Täter
ihre Angriffe um (vgl. Dridex, Angler)
●
●
●
Lernen aus Fehlern (anderer)
Neue Methoden zur „Effizienzsteigerung“
"unmapped shares" C$ mit Admin-Rechten, .exe, .dll
Tier-2 über TOR
CERT-Bund | 02.03.2016 | Seite 6
Wissen woher?
●
●
●
Eigene Beobachtungen und Analysen
Meldestelle für Betroffene
- Erkenntnisse von Betroffenen
Vernetzung mit Partnern
CERT-Bund | 02.03.2016 | Seite 7
Vernetzung
Gründe für die Vernetzung
• Informationsgewinnung jeglicher Art zur Erfüllung der Aufgabe:
Schutz der eigenen Organisation
• Bildung von gegenseitigem institutionalisiertem und persönlichem
Vertrauen
• Austausch von Erfahrungen, Best Practices
• Gemeinsame Bearbeitung von Vorfällen
• Ressourcen-Teilung
• Austausch von exklusiven Informationen
Mitarbeit in verschiedensten Gremien und Kreisen
Aktives Information Sharing?!
Herstellung von größtmöglicher Transparenz im gegenseitigen Umgang
CERT-Bund | 02.03.2016 | Seite 8
Zusammenarbeit im BSI
Schutz der Regierungsnetze
Regierungsnetze
Lauschabwehr
Internetsicherheit
ICS
Betriebssysteme u.
Anwendungen
IT-Si u. Recht
Sicherheitsberatung
Bund
Sicherheitsprodukte
KRITIS
...
PenTester
IS-Revisoren
CERT-Bund | 02.03.2016 | Seite 9
Nationale Vernetzung
& „Meldestellen“
§4 BSIG
§8b BSIG
BundesCERTs
CERT-Bund | 02.03.2016 | Seite 10
CERT Verbund national
Beispiele
Bund
e
T
4
4
~
Wissenschaft
Länder
s
m
a
Wirtschaft
kommerzielle
CERTs
CERT-Bund | 02.03.2016 | Seite 11
Deutscher CERT-Verbund
Vielfältigkeit als Qualitätsmerkmal
• Mehr als 40 Teams aus verschiedensten Bereichen
Lenkungskreis
Kontrollierter Aufnahmeprozess
NDA
NDA + Code of Conduct
Regelmäßige Treffen
Mailingliste
CERT-Bund | 02.03.2016 | Seite 12
VerwaltungsCERT-Verbund
Jedes Bundesland hat oder richtet ein LandesCERT ein
Zentraler Ansprechpunkt im Land und für Bund
(>2010) Juni 2013 IT-Planungsratsbeschluss
S
H
5 Vereinbarungsschwerpunkte
• Gegenseitige Unterstützung und Hilfeleistungen bei
IT-Sicherheitsvorfällen.
• Informationsaustausch IT-Sicherheitsrelevanter Information
• Informationsaustausch zu IT-Sicherheitslage
- Regelmäßiger Beitrag 2x / Jahr
• Regelmäßige CERT-Treffen zur gemeinsamen Bewertung der
übergreifenden IT-Sicherheitslage und der getroffenen Maßnahmen
• Gemeinsame Übungen
MV
H
H
H
B
N
I
BE
B
B
S
T
NW
H
E
S
N
T
H
R
P
S
L
B
W
B
Y
CERT-Bund | 02.03.2016 | Seite 13
Polizeien
Fahndungsdruck und Verhaftung
●
●
●
●
●
●
●
●
Spur des Geldes folgen
Nationale Zusammenarbeit
Ermittlungsschwerpunkte, Schwerpunktstaatsanwaltschaften
Internationale Zusammenarbeit
„Telefonüberwachung“
Sinkholing
Beschlagnahme und Freigabe zur Warnung
Zentralstellen Cyber-Crime bei LKÄ
Zentralstelle und Ansprechpartner Cybercrime der
Staatsanwaltschaften
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/ZAC/polizeikontakt.html
CERT-Bund | 02.03.2016 | Seite 14
Internationale Vernetzung
Multi & bilaterale Beziehungen
CERT-Bund | 02.03.2016 | Seite 15
2012: Allianz für Cybersicherheit
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 16
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 17
Austausch von
Angriffsinformationen
meldet
Quelle
klären
Empfänger
schickt
anonymisiert
Empfängerkreis
BSI
leitet Rückmeldung weiter
Keine Kontext-Informationen notwendig
Hashsummen von Schadprogrammen
Command-and-Control-Server
gibt Rückmeldung
Vermuteter Infektionsweg
Ggf. Vorgehen der Angreifer
...
Lagezentrum und CERT-Bund | 24.05.15 | Seite 18
Seit 2007: UP KRITIS Diskussion
„Meldewürdige Ereignisse - Von Profis für Profis“
Grundsätzlich sind neue Gefahren, Schwachstellen, Angriffe oder
Sicherheitsverstöße von Relevanz in Fachkreisen.
Beschreibung von „besonderen Auffälligkeiten und Abweichungen von
der Norm“:
Unnormal, außer-/ ungewöhnlich, auffällig, überraschend,
herausragend, neuartig, lehrreich, besonders interessant
Was ist relevant und hilfreich für die anderen? Was kann die auch
treffen, was kann dorthin eskalieren?
Lagezentrum und CERT-Bund | 23.09.2015 | Seite 19
Vielen Dank
für Ihre Aufmerksamkeit!
Kontakt
Stefan Ritter
Referatsleiter „Lagezentrum und CERT-Bund“
[email protected]
Tel. +49 (0) 228 99 9582 5110
Bundesamt für Sicherheit in der Informationstechnik
Godesbergerallee 185-189
53175 Bonn
www.bsi.bund.de
CERT-Bund | 02.03.2016 | Seite 20

Download Report