Andreas Könen - Public IT Security

Cyber-Sicherheit im digitalen Zeitalter:
Vernetzung, Zusammenarbeit, Vertrauen
Public-IT-Security 2015
Andreas Könen
Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik
Gefährdungslage
Wie bedroht ist
Deutschlands Cyber-Raum?
Jede 40.
Website ist
infiziert
Gezielte
Cyber-Angriffe
(Advanced Persistant
Threats) werden im Schnitt
nach 243 Tagen entdeckt
2015: Rund drei
Millionen Infektionen
mit Schadprogrammen
pro Monat
2015: Bislang 639
kritische Schwachstellen
in Standard-Software
2015: Bislang ca.
420 Millionen
Schadprogramme für PCs
Täglich 2000-3000
Angriffe auf die Netze
des Bundes, darunter 3-5
gezielte
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 3
Gefährdungslage
Cyber-Angriffe auf Unternehmen, Verwaltungen und Privatnutzer kommen
jeden Tag vor.
Viele Angriffe verlaufen erfolgreich, weil die Angreifer
• professioneller werden
• auf Rahmenbedingungen treffen, die sie zu ihrem Vorteil nutzen
Digitalisierung und Vernetzung nimmt zu
• Beinahe alle Lebens- und Arbeitsbereiche sind erfasst („always on“)
• Anforderungen an die Sicherheit von IT-Systemen, Applikationen und
Software treten oft hinter ökonomischen und ergonomischen
Randbedingungen zurück
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 4
Ursachen
„Digitale Sorglosigkeit“
Erhöhte Sensibilität für das Thema IT-Sicherheit durch
• Enthüllungen rund um Snowden
• die millionenfachen Identitätsdiebstähle 2014
• Berichte über Cyber-Angriffe auf bekannte Unternehmen und
Einrichtungen
Im Gegenzug sieht man aber immer noch
• eine große Anzahl ungepatchter Systeme
• unverschlüsselte Kommunikation
• den Trend hin zu mobilen, immer erreichbaren Lösungen
• verhältnismäßig geringe Investitionen in IT-Sicherheit
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 5
Ursachen
Schwachstellen
Schwachstellen
3 kritische Schwachstellen pro Tag!
Softwareprodukte
Adobe Flash Player
Adobe Reader
Apple OS X
Google Chrome
Linux Kernel
Microsoft Internet Explorer
Microsoft Office
Microsoft Windows
Mozilla Firefox
Mozilla Thunderbird
Oracle Java/JRE
Abbildung: Anzahl aller Schwachstellen der gelisteten Softwareprodukte
Tabelle: Ansicht von Softwareprodukten mit hoher Relevanz
*Die Werte für das Jahr 2015 wurden auf Basis der bis Ende Juli
ermittelten Anzahl der Schwachstellen hochgerechnet
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 6
Angriffsmittel und -methoden
Evolution der Angriffe
gezielte Angriffe
Einzelziele
zielgerichtete Angriffe
selektierte Zielgruppe
Flächenangriffe
willkürliche Zielgruppe



Verfügbarkeit
Sabotage
Betrug



eSpionage
Sabotage
Identitätsdiebstahl





2009 Conficker
2012 Dorifel

2011 Bayer Server



Manipulation
Sabotage mit hohem
Schadpotential
Informationsabfuhr
Advanced Persistent Threats
Stuxnet
TV5Monde
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 7
Angriffsmittel und -methoden
Advanced Persistent Threats (APT)
Typische Angriffsmethoden
• Vorbereitung: Social Engineering auf
Zielperson
• Angriffsvektor E-Mail: Schadsoftware im
Anhang, gerichtet an Zielperson
• Angriffsvektor Watering-Hole-Attack:
Schadsoftware auf infizierter Webseite
Gezielte Cyber-Spionage Attacken
• werden in 2 von 3 Fällen erst von Externen
aufgedeckt
• werden meist erst nach mehreren Monaten
entdeckt
Abbildung: Vorgehensweise bei einem APT-Angriff
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 8
Angriffsmittel und -methoden
Advanced Persistent Threats (APT)
• Zahl der Staaten mit offensiven Cyber-Aktivitäten nimmt zu (USA, UK,
CHN, RU, Frankreich, Iran, Israel, Nordkorea, Pakistan, Indien, Syrien, …)
• APT-Angriffe werden als Dienstleistung angeboten
• DAX-Unternehmen, KRITIS-Betreiber und KMU sind gleichermaßen von
Cyber-Spionage und ggf. Sabotage betroffen
• Prävention ist oftmals nicht möglich (technisch durch Zero-Days,
menschlich durch Social Engineering)
• Risiko-Management: Rasche Detektion von Aktivitäten im eigenen Netz
gewinnt an Bedeutung und kollidiert ggf. mit Datenschutz-Bedenken
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 9
Herausforderungen
Politik, Gesellschaft, Verwaltung, Wirtschaft
• Kompetenz und Vertrauenswürdigkeit im Bereich IT fördern
• Engagement für Standardisierung und Zertifizierung
• IT-Sicherheit in der Gesellschaft und breitflächige Anwendung sicherer
Technologie fördern
• Schutz Kritischer Infrastrukturen gewährleisten
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 10
Das IT-Sicherheitsgesetz
Verbesserung der IT-Sicherheit bei Unternehmen
Verbesserung der IT-Sicherheit des Bundes
Stärkung des BSI
Schutz der Bürger in einem sicheren Netz
Zeitplan
Verbesserung der IT-Sicherheit bei Unternehmen
• WER wird reguliert
• Betreiber kritischer Infrastrukturen
• Ausnahme: Kleinstunternehmen
• Vorrang von spezialgesetzlichen Regelungen
• WAS wird reguliert
• Einhaltung von Mindeststandards (incl. Nachweispflicht)
• Meldepflicht für Sicherheitsvorfälle
• WIE wird reguliert
• Kooperativer Ansatz – aber mit Sanktionsmöglichkeit bei
Kooperationsverweigerung
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 12
Verbesserung der IT-Sicherheit des Bundes
• Mindeststandards in der Bundesverwaltung
•
Verpflichtung des BSI zur Erarbeitung (statt „kann“)
•
Leichtere Möglichkeit des BMI, sie verbindlich zu machen (nur noch
„Benehmen“ des IT-Rates erforderlich)
• Zuständigkeitserweiterung des BKA
• mehr Cyber-Delikte (u.a. Abfangen von Daten)
• und weiterer Opfer-Kreis: Behörden oder Einrichtungen des Bundes
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 13
Stärkung des BSI
• Zentraler Ansprechpartner für KRITIS-Unternehmen
• Vorfallsmeldungen
• Anerkennung von Branchenstandards
• Erweitertes Beratungsmandat
• Befugnis für Mitwirkungsanordnung ggü. IT-Herstellern
• Stärkung des BSI im TK- und EnWG-Bereich
• Zentrale Stelle für internationale IT-Sicherheits-Zusammenarbeit
• Befugnis des BSI, Produkte zu untersuchen
• für Bund, KRITIS und Warnungen
• Bewertung darf veröffentlicht werden
• Veröffentlichung eines jährlichen Tätigkeitsberichts
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 14
Schutz der Bürger in einem sicheren Netz
• Recht der TK-Betreiber
• Verwendung von Nutzungsdaten zur Störungserkennung
• Verpflichtung TK-Betreiber (Änderungen TKG)
• Stand der Technik bei der Sicherheit berücksichtigen
• Informationspflicht gegenüber den Nutzern
• Verpflichtung Telemedienanbieter (Änderungen TMG)
• Absicherungspflicht nach Stand der Technik!
• Schutz vor unerlaubten Zugriffen
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 15
Zeitplan
• 25. Juli 2015: IT-Sicherheitsgesetz tritt in Kraft
• Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen
• für vier der sieben Sektoren (IKT, Energie, Wasser, Ernährung): Q1 2016
• für die übrigen drei Sektoren (Transport und Verkehr, Gesundheit,
Finanz- und Versicherungswesen): bis Ende 2016
• Ab Inkrafttreten der Verordnung haben betroffene Unternehmen
• zwei Jahre Zeit, ihre IT nach dem Stand der Technik abzusichern
• sechs Monate Zeit, dem BSI eine Kontaktstelle für Vorfallsmeldungen zu
benennen
• Erarbeitung branchenspezifischer Sicherheitsstandards (Kann-Regelung)
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 16
Vielen Dank für Ihre
Aufmerksamkeit!
Kontakt
Andreas Könen
Vizepräsident
Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185-189
53175 Bonn
Tel.: +49 (0)228 99 - 9582 - 5210
Fax: +49 (0)228 99 - 10 - 9582 - 5210
[email protected]
www.bsi.bund.de
www.bsi-fuer-buerger.de
Andreas Könen | Vizepräsident | 22.09.2015 | Seite 17

Download Report