Cyber Crime Seminar. Wirtschaftskriminalität in der analogen und digitalen Wirtschaft

Transkript

1 1 Cyber Crime Seminar Wirtschaftskriminalität in der analogen und digitalen Wirtschaft Vorsicht ist die Mutter der Porzellankiste sagt ein altes Sprichwort. Zu Recht, denn wer gut vorbereitet durchs Leben geht, dem bleibt vieles erspart. Doch im digitalen Zeitalter gilt es, sich nicht nur im realen, sondern auch im virtuellen Leben vor Gefahren zu schützen Dr.Celeste

2 2 Der finanzielle Schaden, den Wirtschaftskriminalität in den befragten Unternehmen verursacht hat, beläuft sich durchschnittlich auf 1,55 Millionen Euro. Doch im Einzelfall kann es sich um viel größere Summen handeln. So ist bei Unternehmen mit mehr als Mitarbeitern der durchschnittliche Schaden mit 4,44 Millionen Euro fast drei Mal so hoch. Vergleichsweise niedrig erscheinen dagegen Schäden, die durch Cyber-Kriminalität entstehen: Sie sind mit durchschnittlich Euro deutlich geringer. Doch auch hier kann das im Einzelfall drastisch abweichen: Bei 5% der Unternehmen, die Opfer einer Attacke aus dem Internet wurden, lag der Schaden bei mehr als einer Million Euro. Hinzu kommt: Viele Schäden sind nicht quantifizierbar. Es ist kaum abzuschätzen, wie weitreichend die Folgen für ein Unternehmen sind, wenn vertrauliche Daten in falsche Hände gelangen. Das kostet Kundenvertrauen und kann die Reputation über Jahre hinweg beeinträchtigen. PWC Corporate Security Corporate Security umfasst im Zeitalter der Globalisierung alle Inhalte der weltweit zuzuordnenden gültigen "Security", die über die kriminellen Aspekte hinaus das unternehmerische Risiko-Management beinhaltet und deren Zielsetzung daher die Identifizierung von Schwachstellen entlang der Wertschöpfungskette sowie der aktive Beitrag Prävention zur effektiven Sicherung der Unternehmensfortführung Dr.Celeste

3 3 Definition - Computerkriminalität (Cybercrime) Computerkriminalität (Cybercrime) hat viele Gesichter und kann praktisch jederzeit und überall vorkommen. Grundsätzlich versteht man darunter jedes Verbrechen, das mit Hilfe von Informations- und Kommunikationstechnik begangen wird, das heißt per Computer, Netzwerk oder Hardware-Gerät. Der Computer oder das Gerät ist dabei der Agent, der Vermittler oder das Ziel des Verbrechens. Zu Cybercrime im engeren Sinn gehören zum Beispiel folgende Verbrechen: Computerbetrug und Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten (Identitätsdiebstahl), Fälschung von Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage, Ausspähen und Abfangen von Daten. Zur Computerkriminalität im weiteren Sinne zählen die Delikte, die über das Internet erfolgen. Dazu gehören: Phishing im Bereich Onlinebanking, Straftaten mit DDoS- Attacken (Distributed Denial of Service, zum Beispiel durch Herbeiführen der Überlastung eines Firmennetzes mit der Folge, dass diese Firmenpräsenz im Internet nicht mehr erreichbar ist), digitale Erpressung, Herstellen und Verbreiten von Hacker- Tools für illegale Zwecke. Straftäter missbrauchen das Internet und Kommunikationsmittel wie -Dienste oder soziale Netzwerke, um Straftaten zu begehen. Nahezu alle Verbrechen werden inzwischen auch im Internet oder über das Internet begangen. Über illegale Online- Shops werden Rauschgift und Waffen ebenso zum Kauf angeboten wie Hacking-Software, digitale Identitäten, gestohlene Kreditkartendaten oder Zugänge zu Bankkonten. Eine andere Kontroverse rund um Cyberkriminalität ist die Frage der digitalen Überwachung und ihre Auswirkungen auf die bürgerlichen Freiheiten. Nach den Terroranschlägen auf das World Trade Center im September 2001 haben die US- Behörden einige Rechte des Einzelnen auf Privatsphäre von Informationen beschnitten, um die Sicherheit zu erhöhen. Insbesondere die National Security Agency (NSA) überwacht seitdem die weltweite elektronische Kommunikation in großem Ausmaß. Seit den Enthüllungen von Edward Snowden im Jahr 2013 ist die NSA-Affäre immer wieder Gegenstand der Berichterstattung. Dr.Celeste

4 4 Zielgerichtete Attacken Jedes zehnte Industrieunternehmen (11 Prozent) in Deutschland hat eine Versicherung gegen Hackerangriffe und andere IT-Risiken abgeschlossen. Weitere 9 Prozent planen den Abschluss einer Versicherung und 26 Prozent diskutieren darüber. Für fast die Hälfte der Befragten ist eine Cybercrime- Police kein Thema Cyberangriffe auf Unternehmen haben sich zuletzt grundlegend verändert. Breit gefächerte, unkoordiniert eingesetzte Malware hat klar an Bedeutung verloren, stattdessen nehmen komplexe, zielgerichtete Attacken (Advanced Persistent Threat, APT) auf Unternehmen und ihre Mitarbeiter, Systeme, Sicherheitslücken und Daten zu. Diese zielgerichteten Angriffe sind versteckter und raffinierter als je zuvor. Sie verwenden meist Social Engineering-Taktiken, spähen also gezielt einzelne Mitarbeiter beispielsweise über Facebook, LinkedIn und Xing aus, die privilegierte Accounts besitzen und Zugang zu vertraulichen Daten haben. Dazu gehören beispielsweise Administratoren oder Super-User. Über die Rechner dieser Mitarbeiter dringen die Angreifer dann in das Unternehmensnetzwerk ein oder gelangen an geheime Informationen. Um sich zu tarnen, nutzen diese Angriffsformen oft Rootkits und unterlaufen so die üblichen Sicherheitsvorkehrungen am Client. Bis zu ihrer Entdeckung können sogar Monate vergehen, in denen der Angreifer Daten des Unternehmens mitschneidet. Dr.Celeste

5 5 Auch die klassische Malware wird spezialisierter, ausgeklügelter und intelligenter. Es gibt beispielsweise Schadprogramme, die nicht auf Signaturen basieren und so die Firewall oder Intrusion Detection Systeme (IDS) umgehen, und Malware, die Sicherheitssysteme unterläuft, weil sie mit gestohlenen oder gefälschten Zertifikaten elektronisch signiert wurde. Es ist davon auszugehen, dass Malware, die in vielfältigen Variationen für unterschiedliche Zielgruppen auftritt, künftig weiter zunimmt. Damit verschwimmen die Grenzen zwischen APT und gewöhnlicher Malware weiter. Auch Cloud Computing stellt neue Anforderungen an die Datensicherheit. Da die Cloud- Nutzung trotz NSA-Affäre langfristig steigen wird, ist mit zunehmenden Angriffen auf Endpoints, mobile Geräte, Anmeldeinformationen und die Datenübertragung (Man-In- The-Middle-Attacken) zu rechnen. Kriminelle Programmierer erfinden ständig neue und komplizierte Tricks, um Sicherheitshürden ihrer Angriffsziele zu umgehen. Die Spezialisten der Ermittlungsbehörden müssen ihre Arbeit diesen veränderten Vorgehensweisen ständig anpassen und versuchen, den Kriminellen einen Schritt voraus zu sein. Dr.Celeste

6 6 Beschreibung Der digitale Wandel bietet große Chancen, um Deutschlands Rolle als innovative und leistungsstarke Volkswirtschaft weiter auszubauen. Daher kommt es besonders auf eine zukunftsfähige Digitalpolitik an. Ohne Vertrauen in die Sicherheit und Integrität der digitalen Welt kann es aber nicht gelingen, die enormen Potenziale des digitalen Wandels zu erschließen. Die Themen Cyber Crime und IT-Informationsschutz sind in der Geschäftswelt weit verbreitet. Das Verständnis des Lagebildes und die daraus für das eigene Unternehmen abzuleiten den Maßnahmen, sind jedoch sehr unterschiedlich ausgeprägt. Unternehmen müssen sich auf die Veränderungen, die durch die Globalisierung und Digitalisierung ausgelöst werden, einstellen und ein besseres Verständnis für die daraus resultierenden realen und latenten Bedrohungspotenziale entwickeln. Um die Chancen und Risiken für das eigene Unternehmen besser einschätzen zu können, ist es sowohl von Bedeutung, einen Überblick über die Digitale Agenda für Deutschland zu haben, als auch über die unterschiedlichen Phänomene im Bereich Cyber Crime. Zudem ist es notwendig, ein Grundverständnis über die Funktionaltäten neuer Technologien zu besitzen, um potenziellen Risiken besser begegnen zu können. Erwartungen und Zielsetzungen Im Rahmen des Seminars erhalten Sie einen aktuellen Überblick über die Digitale Agenda für Deutschland, das Lagebild Cyber Crime, die Auswirkungen auf den IT- Informationsschutz und die aus der Globalisierung und Digitalisierung resultierenden virtuellen Bedrohungspotenziale, die sehr real einen Einfluss auf Ihr Unternehmen haben. Im Ereignisfall bleibt kaum Zeit, sich zu orientieren. Daher geben wir Ihnen im Seminar, neben dem Lagebild, auch einen Einblick in die Verantwortlichkeiten der Sicherheitsbehörden und wer für Sie konkret Ansprechpartner ist bzw. an welche Netzwerke Sie sich wenden können. An konkreten Beispielen zeigen wir Ihnen auf, welche Verantwortung wer im Unternehmen zu tragen hat und diskutieren aus der Prozess-Perspektive die für Ihr Unternehmen sinnvolle Verteilung der Verantwortung zum Thema Cyber Crime. Dabei behalten wir die Bedrohungslagen, die neuen Technologien als Zugänge für Cyber-Angriffe genauso im Blick, wie die Interessenslagen der Verantwortlichen des Informationsschutzes in den Unternehmenseinheiten wie z. B. Sicherheit und IT. Um die Steuerung und Kontrolle der Informationssicherheit im Unternehmen zu gestalten, lenken wir abschließend den Blick auf ein Information Security Management System, welches Sie auch bei der Umsetzung des IT-Sicherheitsgesetzes unterstützen kann. Dr.Celeste

7 7 Inhalte Überblick aktuelles Lagebild Cyber Crime Digitalisierung und Globalisierung Einflussfaktoren auf den Unternehmensschutz Auswirkungen auf die Sicherheit von Unternehmen, Gesellschaft und Person Virtuelle Bedrohungen Reale Risiken Im Überblick: Sicherheitsinstitutionen und deren Auftrag Bedrohungspotenziale einer digitalen Welt Überblick Cyber Crime-Phänomene und Erscheinungsformen Relevanz der Bedrohungspotenziale im virtuellen Raum auf das eigene Unternehmen Bundesamt der Sicherheit in der Informationstechnik Auftrag und Aufgabe Verantwortung des Unternehmens Compliance, Meldepflichten, usw. Fallbeispiele und Lösungsszenarien: Zusammenarbeit mit den Sicherheitsinstitutionen Dr.Celeste

8 8 (Neue) Risiken durch (neue) Technologien Überblick neuer Technologien zur Einschätzung der Risikopotenziale Typische Cyber-Attacken und technische Angriffswege Motivation der Angreifer Angreifbare Schnittstellen im Unternehmen Personelle Verantwortungsbereiche innerhalb des Informationsschutzes Erfolgsfaktoren für sicherheitsbezogene Schutzmaßnahmen Das Information Security Management System (ISMS) ISMS Konzept zur Steuerung und Kontrolle der Informationssicherheit im Unternehmen Praxisnahe Beispielfälle des Regelwerks ISMS als Unterstützung zur Umsetzung des neuen IT-Sicherheitsgesetzes Didaktische Schwerpunkte Vortrag Fallstudien Diskussionen Dialog/Erfahrungsaustausch Weitere Informationen und Ressourcen Dr.Celeste