Kompass der IT-Sicherheit www.sit.fraunhofer.de bedingte, abhängige Wahrscheinlichkeit VISHING = VOIP + PHISHING Risiko = Eintrittswahrscheinlichkeit x Schaden Heute (+) Risikoveränderung PROBLEM: Sehr seltene, aber sehr große Schadensereignisse können als unbedeutendes Risiko betrachtet werden (–) Durch automatisierte Telefonanrufe wird versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangsdaten, Passwörtern, Kreditkartendaten usw. zu bewegen. Zukunft Rt 1 (t0) Rt 1 C D E X X oft (1/Jahr) B C D E X selten (1/10 Jahre) A B C D F A B B C F vermindern A B B C F groß sehr groß katastrophal verlagern mittel unwahrscheinlich (<1/30 Jahre) vermeiden klein sehr selten (1/30 Jahre) Risikoanalyse Strategie Sicherheitskonzept Restrisiken = Risikoakzeptanz Versicherung Risiko 13% 12% 10% 4% 3% 2% ■ ANGREIFERMODELL 0 0 35 20 10 30 40 50 6 32 0 70 NW N NO ONO 100 110 120 130 280 290 300 270 310 90 SW O 0 26 SW S SO WSW 0 25 SSO 14 0 SO 0 0 16 IT RT SC G EM E N T HA -S FTL ICH KE 0 17 190 200 210 180 220 23 0 24 S ICH D E rk Y LIC SPO EIT ERH LINIE -LEIT itt ste lle n P ive t zn hu Sc / R gie au Rea ren it erhe chutz nsich Date Datens VPN & k) or w et lN na ) so m er ste lP P) Sy rI ua n ve irt ti o O (V en ce N ev oi Pr VP (V n IP sio Vo tru (In t IPS all ep nz ew ion t o Fir -K i ca l up te pp ck erä gA Ba dg nin En rde iler ng b Ha r tu mo Hä utz mste S ch ssy ent em rieb na g Bet Ma e ons esp Sicherheitskontrollen erhöhen Güter, Assets Risiko erfüllt durch induziert Sicherheitsanforderungen bedrohen bedroht haben Werte, Auswirkungen von Angriffen sichere Protok o Einfache Regel (Simple Security Property): »nicht nach oben lesen« ■ Sternregel (*-Property): »nicht nach unten schreiben« ■ zur Authentifizierung lle WER DARF WAS? Hierbei wird entschieden, ob auf eine Ressource zugegriffen werden darf. Die Zugriffsrechte müssen festgelegt und kontrolliert werden. Am geläufigsten ist dieses Konzept bei Dateisystemberechtigungen, wo festgelegt wird, welche Benutzer welche Dateien und Verzeichnisse lesen, schreiben, ändern oder ausführen dürfen. Vor allem dazu geeignet, die Vertraulichkeit, Integrität, Verfügbarkeit und Konsistenz von Daten zu sichern. Die Zugriffsrechte für (Daten-)Objekte werden pro Benutzer festgelegt. Versicherung, Betrieb, Aufrechterhaltung, Mitarbeiterschulung 1 Reduzierte Risiken >> Investment 2 Reduzierte Risiken << Investment Investment Vertragsstrafe, Haftung, Produktionsausfall IMMATERIELLE SCHÄDEN Verlust der Reputation sowie Vertrauensverlust bei Kunden und eigenen Mitarbeitern. KONTINUITÄTSMANAGEMENT Vollsicherung zum Zeitpunkt 2: A+B+C wird gesichert 3: A+B+C wird gesichert A Business Continuity Management ist der Aufbau eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadensereignissen. So werden wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen und die wirtschaftliche Existenz des Unternehmens bleibt trotz Schadensereignisses gesichert. Schritt 1 Schritt 2 Grad der IT-SicherheitsImplementierung CYBER-PHYSICAL SYSTEMS GESCHÄFTSFUNKTIONEN Präventiv schützen Wiedererlangen Erhalten Unterbrechungsereignis Geschäftskontinuitätsplan Ob Auto oder Produktionsanlage, CyberPhysical Systems und eingebettete Systeme sind Innovationstreiber und verarbeiten auch sicherheitskritische Daten. Das macht diese Systeme für Angreifer zu attraktiven Zielen. Fraunhofer SIT beschäftigt sich mit Sicherheit und Datenschutz von Cyber-Physical Systems und deren Kommunikationskanälen. www.sit.fraunhofer.de/cyberphysicalsystems Betriebskontinuitätsplan Notfallplan (Disaster Recovery Plan) Vulnerability und Incident Response Plan IT-Notfallplan B Inkrementelle Sicherung zum Zeitpunkt 2: B wird gesichert 3: C wird gesichert C 1 2 3 t Differentielle Sicherung zum Zeitpunkt 2: B wird gesichert 3: B+C wird gesichert SANS-Newsletter: www.sans.org/newsletters Bruce Schneier: www.schneier.com Erich sieht: www.erichsieht.wordpress.com Heise Security: www.heise.de/security Schwache Vertrauensmodelle = hoher Aufwand = hoher Sicherheitsbedarf Werte Entwicklung der Spam-Zahlen weltweit, Symantec http://sit4.me/symantec-spam Die Entwicklung von Schadsoftware Microsoft, 10-Jahres-Bericht http://sit4.me/microsoftreport Karte der Botnet-Aktivitäten weltweit, Symantec http://sit4.me/symantecbotnets Entwicklung der Phishing-Zahlen weltweit, Symantec http://sit4.me/symantecphishing Halbjährliche Trend-Analayse zu Phishing weltweit, Microsoft http://sit4.me/microsoftphishing Starke Vertrauensmodelle = geringer Aufwand = geringer Sicherheitsbedarf 100% Vertrauensmodelle © Bundesamt für Sicherheit in der Informationstechnik. All rights reserved Jahresbericht des Bundeskriminalitätsamts zur Wirtschaftskriminalität http://sit4.me/bkawirtschaft Monatliche Entwicklung der Viren-Zahlen weltweit, Symantec http://sit4.me/symantecviren Viele Kriminelle nutzen heute Computer und Internet für ihre Zwecke. Oft hinterlassen sie dabei digitale Spuren. Diese Spuren zu erkennen, sicherzustellen und auszuwerten ist Aufgabe der IT-Forensik. Das Fraunhofer SIT bietet IT-forensische Analysen, Forensic Hacking, Mobile Forensics, Forensische Finanzdatenanalyse, File Carving und mehr. www.sit.fraunhofer.de/itforensics Monatlicher Report zu Onlinebetrug RSA http://sit4.me/rsaonlinebetrug Wie wird IT-Sicherheit in Unternehmen wahrgenommen? PwC, CIO Magazine, CSO Magazine http://sit4.me/itsicherheit Technische Schwellenwerte Ökonomische Schwellenwerte 0% Sicherheits-Politik ZAHLEN, DATEN, FAKTEN Halbjährliche Trend-Analyse von Botnet-Aktivitäten Deutschland, Microsoft http://sit4.me/microsoftbotnet Sicherheit 100% IT FORENSICS Jahresbericht des Bundeskriminalamts zur Internetkriminalität http://sit4.me/bkacybercrime Halbjährliche Trend-Analyse zu Malware weltweit, Microsoft http://sit4.me/microsoftmalware Cloud-Studie zum Download BizzTrust Key2Share Hauptsitz Darmstadt Rheinstraße 75 · 64295 Darmstadt Telefon +49 6151 869 - 339 Fax +49 6151 869 - 224 [email protected] Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Das ist das Ergebnis einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie, das verschiedene Anbieter getestet hat. Fazit: Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung. Neben technischen Mängeln fanden die Tester auch Schwächen in der Benutzerführung. sit4.me/cloudstudy Mitarbeiter nutzen Smartphones und Tablet-PCs privat und geschäftlich. Fraunhofer SIT hat mit BizzTrust for Android eine Lösung entwickelt, die die Sicherheit von Unternehmensdiensten und -daten gewährleistet, ohne Funktionalität und Nutzer einzuschränken. BizzTrust trennt Geschäftliches und Privates und kennzeichnet farblich die unterschiedlichen Kontexte. Mit BizzTrust gewinnt das Fraunhofer SIT den „TeleTrusT Award 2012“. www.bizztrust.de Zutrittsrechte zum Beispiel in Unternehmen zu verteilen kann mühsam sein. Das Fraunhofer SIT hat mit Key2Share eine Lösung für NFC-fähige AndroidSmartphones entwickelt. Mitarbeitern von Unternehmen erteilt eine App Zutrittsrechte zu Büros und anderen Räumlichkeiten ihrer Firma. Diese können flexibel und zeitlich begrenzt auch Gästen übertragen werden. sit4.me/Key2Share www.sit.fraunhofer.de Wie sicher die IT ist, stellt sich erst heraus, wenn sie von einem Angreifer ins Visier genommen wird. Das Testlabor des Fraunhofer SIT liefert frühzeitig Informationen über die Sicherheit eines Produkts oder Dienstes. Erfüllen diese die Sicherheitsanforderungen, können Unternehmen das mit einem Testat des Fraunhofer SIT belegen. www.sit.fraunhofer.de/securitytestlab Digital produzierte und verteilte Medien sind anfällig für unberechtigte Zugriffe von außen oder illegale und unbemerkte Weitergabe durch Mitarbeiter. Fraunhofer SIT setzt zum Schutz digitaler Medien auf die Markierung durch digitale Wasserzeichen, mit denen sich Medien eindeutig kennzeichnen und zurückverfolgen lassen. www.sit.fraunhofer.de/mediasecurity Fraunhofer SIT Standort St. Augustin Schloss Birlinghoven · 53754 Sankt Augustin Telefon +49 2241 14 - 3272 Fax +49 2241 14 - 3007 [email protected] SECURITY TESTLAB MEDIA SECURITY IT-SICHERHEITSRISIKEN UND -INVESTMENT MATERIELLE SCHÄDEN BACKUP-KONZEPT cy R erhöht Standards für den Schutz von E-Mails. Das meistgenutzte Kommunikationsmedium muss gegen mögliche Angriffe geschützt werden. DISCRETIONARY ACCESS CONTROL nu ity Co M nt an in ag ui ty em M en an t) ag em en t) nt en erg ät grit schützen gegen Schwachstellen öffentlich Festlegung der Zugriffsrechte basierend auf Systemregeln und Eigenschaften. mächtigstes Protokoll zum Schutz von Verbindungen Ma teri elle Sch Imm äde ate n riel An le S tivi chä ren den -Sc Log a n file ner -An IDS a ly se (I n t r u Sic s io he nD rhe ete it s Op cti an era on al y t iv e/ Sys ISO P e en tem sR 27 e t isik ) rat 00 I TI i o on x ma L( ste ITna st Co ge In f biT me ra str nt BC uc M t ( u Bu ITS re sin CM Lib es (IT sC ra -S ry ) on er t v i DIE IT-SICHERHEITSLEITLINIE SOLLTE KURZ UND ÜBERSICHTLICH SEIN! nutzt aus Datenschutzskandale sorgen regelmäßig für großes Aufsehen. Die betroffenen Unternehmen erleiden dann oft Kundenabwanderungen, Umsatzeinbußen und Vertrauensverlust bei Geschäftspartnern. Fraunhofer SIT unterstützt Unternehmen und Behörden beim rechtssicheren und effizienten Umgang mit sensitiven Daten und beim Schutz von Informationen und Identitäten. www.sit.fraunhofer.de/identityprivacy SSLL/TTLLS SICHERHEITSBLOGS UND -NEWSLETTER Bedrohung IDENTITY AND PRIVACY lesen schreiben KOSTEN Sie soll die folgenden Punkte enthalten: 1. Der Stellenwert der IT-Sicherheit und die Bedeutung der IT für die Institution müssen dargestellt werden. 2. Die IT-Sicherheitsziele und der Bezug der IT-Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution müssen erläutert werden. 3. Die Kernelemente der IT-Sicherheitsstrategie sollten genannt werden. 4. Die Leitungsebene muss allen Mitarbeitern aufzeigen, dass die IT-Sicherheitsleitlinie von ihr getragen und durchgesetzt wird. Ebenso muss es Leitaussagen zur Erfolgskontrolle geben. 5. Die für die Umsetzung des IT-Sicherheitsprozesses etablierte Organisationsstruktur muss beschrieben werden. vertraulich www.imobilesitter.de S/MIME, PGP IPsec ncy Res ponse Umset IT-Sich zung der erheit srichtli nien Zum Zeitpunkt 1 wird eine vollständige Datensicherung durchgeführt. Kästchen markieren die Änderung einer Datei. OmniCloud Sichere Nutzung von Cloud-Speicher Festlegung des Passwortkonzeptes Passwort: La83%hge0 Mindestlänge von 8 Zeichen Mindestens 1 Großbuchstabe und 1 Sonderzeichen Kein Eigen- oder Programmname Keine trivialen Tastaturzeichenfolgen Kein Begriff aus dem Wörterbuch Emerge ide Inc Em Inte ität it arke üg b Verf entiz Auth it lichke nd Verbi phäre Privats lichkeit Vertrau Sichere Datenverlüsselung Transportsicherheit Datenschutz bei Deduplication Risiko Provider-Lock-In Sicherheitsimplikationen durch Cloud-Anbieter und -Standort PASSWORTVERWALTUNG BELL-LAPADULA en ne n Sc hn Die Entwicklung von Software ist komplexen Prozessen mit vielen Akteuren unterworfen. Fraunhofer SIT entwickelt und optimiert standardisierte Engineering-Methoden, durch die ein vorhersagbares Maß an IT-Sicherheit erzeugt werden kann. www.sit.fraunhofer.de/secureengineering sehr vertraulich Kerberos Incident Managem ent Auditing Monitoring SECURE ENGINEERING Beschränkung des Informationsflusses la aPadu Bell-L E-Mails Sichere Netz Zugriffsmatrix Alle Angaben über eine bestimmte oder bestimmbare natürliche Person sind personenbezogene Daten; besondere Arten siehe §3 Abs. 9 BDSG MULTILEVEL SECURITY SYSTEM (MLS) Rolle <> Rechte ontrol Co Mandatory Access C cherh Risik eit o ma n agem Kos ten ent Sch äde n IT Telekommunikationsgesetz §89 TKG Telemediengesetz §§11-15a TMG ■ BDSG für datenschutzrelevante Inhalte von E-Mails ■ Verbindliche Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten. Awareness beschreibt Maßnahmen des IT-Sicherheitskonzepts, die es ermöglichen bewusst und souverän zu agieren. t- und agement Accoun rt-Man o w s Pas entitäten Digitale Id l ccess Contro Role Based A E-Provisioning User Provisioning/ Um die Potenziale des Cloud Computing zu nutzen, brauchen Unternehmen Sicherheit hinsichtlich Compliance und technischen Risiken. Fraunhofer SIT entwickelt sichere, datenschutzkonforme IT-Anwendungen für die Cloud und berät Unternehmen bei der sicheren Gestaltung und Nutzung von Cloud-Angeboten. www.sit.fraunhofer.de/cloudcomputing ■ Pflichten des Diensteanbieters BCM ice CLOUD-SPEICHER-SICHERHEIT §13 TMG Als Kontrollhilfe sind Methoden (Software/Hardware) vorhanden, die die Authentifizierung überwachen. sche Si Aktiengesetz; Vorstandsmitglieder sind persönlich haftbar, wenn sie keine /unzureichende Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements betreiben. AWARENESS Discretionary Access Control Physi Der Einsatz mobiler Geräte in Unternehmen birgt Gefahren. Fraunhofer SIT besitzt Erfahrung mit iOS, Android und weiteren Betriebssystemen. Die Mitarbeiter des Instituts entwickeln Lösungen, härten mobile Systeme, bewerten Produkte und unterstützen Unternehmen und Behörden mit umfangreichem Know-how. www.sit.fraunhofer.de/mobilesystems DATENSCHUTZ IM ONLINEBEREICH KONTROLLMANAGEMENT Sicherheit sprozesse P( TR P( t) > AT t) D EG D( (t) + t) IE R + (t R( ) t) IT-S Das Zusammenwirken von Schutzniveau und technischen und organisatorischen Maßnahmen beim Erkennen und Reagieren ist ein Maßstab für die Güte der IT-Sicherheit. WI 15 0 S I C H E R H E I T SM A N A §93 AktG Ein US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung infolge der Bilanzskandale von inländischen und ausländischen Unternehmen, deren Wertpapiere an US-Börsen gelistet sind. gen un r e rd t) nfoemen a t g es ind mana M ( o k k Ris Risi ) Ma das Act y an X e l O Ox oS n es a Eur b r cy I (Sa lven o SOX S und el II s a B Informations- und Zugriffskontrollmanagement MOBILE SYSTEMS CLOUD COMPUTING SOX W NO NW W O KONTRAG Regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden. 80 NNW - 50% BDSG z ren a p ns t a r ch dT re n f t u ra e eich) l z) ch l e St r ro ber set l t e i t g on n s ch Ziv utz h Re G (K hme c s TK Tra rne ten a n e d s Ko Unt de n u n im B age G( fl S u A BD che i l t ch zre E n Z a T Fin t SE rech s E b r G ew e D ettb N t W U srech l e d N Han GE ht N itsrec e b U r A L ness GE E Aware R t anagemen Identitätsm 0 33 0 34 0 40% Präzisiert und erweitert hauptsächlich Vorschriften des HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz). Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben, sowie Aussagen zu Risiken und Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. S BE CH DR WA O CH HU ST NG ELL EN EN ,A , NG R Ziel: Was will der Angreifer? Motivation: Warum? Fähigkeiten: Was kann der Angreifer? à Ökonomie: Gibt es eine »lohnende« Kombination für den Angreifer unter Risikoberücksichtigung? N 30% W ür m Ang riffs klas s en Höh ere G ew Ris iko alt -u n IF dB edr FE Vo oh rtä un us gsa ch nal un yse gf Sa a lsc bo he ta r Id ge en /M titä al w t ar e Buffer Overflow: Überschreiben von interpretierten Speicherbereichen Injection: Ändern der Semantik durch zusätzliche Befehlszeichen Race Conditions: Ausnutzen von Zeit-/Ereignisabhängigkeiten Brute Force: Durchprobieren des Eingaberaums Denial of Service: Verhindern der Nutzung Network Exploitation: Ausnutzen von Netzwerkeigenschaften z.B. Scanning, Sniffing, Replaying, Spoofing, Flooding, Bouncing, … Social Engineering: Ausnutzen menschlicher Schwächen ■ 20% er Ide nt i tät sdi Ph eb ish sta ing hl Vis hin g Sp oo fi ng Sp ,P am ha Tr rm oja ing ne Vi r re n Angriffsschritt ANGRIFFSKLASSEN ■ 10% Volle Haftung für eigene Informationen (§7 Abs. 1 TMG) Haftung für fremde Inhalte: Haftungsprivilegien für ■ Accessprovider (§8 Abs. 1 TMG) ■ Cachingprovider (§9 TMG) ■ Hostingprovider (§10 TMG) BGB, MarkenG, Strafgesetzbuch, UrheberrechtsG, UWG, PreisangabenVO, ... oder Angriffsschritt §97 UrhG: Wer das Urheberrecht widerrechtlich verletzt, kann von dem Verletzten auf Beseitigung der Beeinträchtigung, bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden und ist dem Verletzten zum Ersatz des daraus entstehenden Schadens verpflichtet. UNSERE KOMPETENZFELDER ■ Zwischenziel Angriffsschritt §15 UrhG: Nur der Urheber hat das Recht, sein Werk in körperlicher Form zu verwerten; das Recht umfasst u.a. das Vervielfältigungsrecht, Verbreitungsrecht, das Vorführungsrecht und das Recht der öffentlichen Zugänglichmachung (§ 19a). ■ Quelle: IDC 2011 und ■ Mitarbeiter 31% Smartphones Laptops PC-Arbeitsplätze Netzwerk Wechselmedien Tablet-PCs Rechenzentrum Policies und Richtlinien Drucker/Produktionsanlagen 21% 20% 0% Zwischenziel ■ §11 UrhG: Das Urheberrecht schützt den Urheber in seinen geistigen und persönlichen Beziehungen zum Werk und in der Nutzung des Werkes. Es dient zugleich der Sicherung einer angemessenen Vergütung für die Nutzung des Werkes. HAFTUNG/VERANTWORTLICHKEIT FÜR INTERNETINHALTE 50% Systembedrohung ■ Generelles Verbot, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen (§4 Abs. 1 BDSG) = Regel GEFÜHLT SCHWÄCHSTE GLIEDER DER IT-SECURITY IN UNTERNEHMEN Stufenweise Risikoreduzierung durch Steuerungsmaßnahmen sehr oft (10/Jahr) URHEBERRECHT Ausnahmen: ■ Sie ist durch das BDSG oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet ■ Wenn der Betroffene in die Verarbeitung einwilligt. Einwilligungserfordernis des Nutzers gemäß §3 Abs. 1-7 (t0) Zunahme der Ungewissheit (t1) Akzeptanz-Linie (durch Unternehmensleistungen festgelegt) ■ 55% Interne Bedrohungen (t1) Wahrscheinlichkeit Angriffsschritt 45% Externe Bedrohungen DATENSCHUTZRECHT Risiko zeitrelevant SECURITY MANAGEMENT Heute reicht es nicht mehr, die eigenen Informationen nur mit technischen Lösungen wie Firewalls zu schützen. Fraunhofer SIT unterstützt Unternehmen bei Risikobewertung und -management mit Beratung, Konzepten sowie der Planung und Realisierung zielgruppenorientierter Trainingsmaßnahmen und Awarenesskampagnen. www.sit.fraunhofer.de/securitymanagement Industrie 4.0 Die vierte Phase der Industrialisierung ist gekennzeichnet durch Vernetzung und Flexibilisierung. IT und IT-Sicherheit werden immer wichtiger. Fraunhofer SIT entwickelt Technologien, die diese Kommunikation schützen. Diese Lösungen beinhalten hardwarebasierte Sicherheit, Protokolle, Security Management sowie Monitoring. www.sit.fraunhofer.de/industrie4.0
© Copyright 2024 ExpyDoc
