Smarte Cybersicherheit für Smart Cities

Transkript

1 Kompetenzreihe Smarte Cybersicherheit für Smart Cities 1 IT Security made in Europe

2 Cities werden zu Smart Cities Bevölkerungszuwachs, Urbanisierungstrends und Klimawandel zwingen Großstädte zur ständigen Weiterentwicklung. Dies betrifft nicht nur Lebens-, Wohn- und Arbeitsbereiche, sondern auch Energie, Wasser, Mobilität, Umwelt, Finanzierung und die öffentliche Administration. Datensammlung und -analyse sowie intelligenter -einsatz machen Cities zu Smart Cities: Kameras und Sensoren registrieren und messen Bewegungen, Temperaturveränderungen, Luftverschmutzung, Verkehr, Stromversorgung und vieles mehr. Die Administration und viele Formen von Transportsystemen sind umfangreich vernetzt. Die mittels internet- und webbasierten Services gesammelten Daten werden zentral ausgewertet und an die relevanten Stakeholder weitergeleitet. Städte werden kosteneffizienter, ökologisch nachhaltiger, lebenswerter und sicherer. Die Vorteile sind beeindruckend. Gleichzeitig sind die Systeme auf denen Daten gespeichert oder analysiert und von denen Daten gesendet oder empfangen werden, verwundbar, zum Beispiel wenn Datenströme manipuliert werden. Herausforderungen der IT-Sicherheit für Smart Cities Smart Cities sind nicht mehr so smart, wenn zum Beispiel Drahtlosverbindungen, mit denen Sensoren untereinander kommunizieren, unzureichend gesichert sind oder auf Verschlüsselung verzichtet wurde. Ein vernetztes Gesundheitswesen, Notfalleinsatzzentralen, intelligente Stromnetze, Industriekontrollzentren, intelligente Transportsysteme, das Internet der Dinge und die Verkehrssteuerung sind Schlüsselbereiche, die die IT-Sicherheit betreffen. Cyberangriffe werden dabei immer mehr zur Realität. Daher ist es von großer Bedeutung, dass Smart Cities und IT-Sicherheit Hand in Hand gehen. Es ist ein Balanceakt zwischen intelligenter Datenverwendung und der Gewährleistung der Sicherheit von sensiblen oder sicherheitsrelevanten Daten eine anspruchsvolle Aufgabe, die öffentliche Einrichtungen und Institutionen oft nicht alleine meistern können. 3

3 Vorfälle gibt es bereits weltweit So vielfältig wie die IT-Systeme einer Smart City sind, so vielfältig sind die Angriffsszenarien / Deutschland: Der Server des Zollkriminalamts und der Bundespolizei wurde mit einem Trojaner infiziert. Dadurch wurden GPS-Daten, Telefonnummern und Kennzeichen von Tatverdächtigen ausgespäht / USA: Das Gericht von Placer County, Kalifornien, bestellte wegen eines Computerfehlers irrtümlich über Personen gleichzeitig als Geschworene für einen Prozess ein. Ein Verkehrschaos war eine Folge davon / USA: Tausende Passagiere saßen mehrere Stunden in 19 Zügen des Bay Area Rapid Transit (BART) bei San Francisco fest. Grund war ein Softwarefehler, welcher das komplette System abstürzen ließ / Türkei: Die Flughäfen Istanbuls wurden Opfer eines Angriffs. Eine eingeschleuste Malware ließ die Passkontroll-Systeme herunterfahren / Lettland: Ein Angreifer griff per SQL-Injection eine Arbeitsagentur an und spähte Nutzerkonten mit privaten Daten und Passwörtern im Klartext aus / Singapur: Nach Verhaftung mehrerer Anonymous-Mitglieder wurden diverse Regierungsserver in Singapur angegriffen und persönliche Daten von Regierungsmitarbeitern veröffentlicht / Finnland: Unbekannte griffen Regierungsserver an und entwendeten so über Jahre hinweg eine beachtliche Anzahl an Dokumenten / USA: Bei einem großangelegten Angriff wurden die US-Regierung und verschiedene Unternehmen, welche mit Verteidigungsapparat zusammenarbeiten, ausspioniert. Dabei wurden enorme Datenmengen entwendet. Den IT-Security-Ansatz überdenken IT-Sicherheitsverantwortliche wissen, dass Maßnahmen, die dazu dienen, Angriffe von vornherein abzuwehren, immer unvollständig sind. Die große Vielfalt an Angriffsmöglichkeiten, die schnelle Weiterentwicklung von Angriffsarten, eine falsche Konfiguration der Sicherheitswerkzeuge oder deren fehlende Anpassungen an aktuelle Bedingungen sind Gründe, warum ein hohes Maß an IT-Sicherheit nicht erreicht wird. Herkömmliche IT-Sicherheitslösungen bieten keinen ausreichenden Schutz für komplexe IT-Infrastrukturen und Systeme. Signaturbasierte Anti-Viren-Lösungen zum Beispiel: Sie schützen nur, wenn Viren oder andere Malware bekannt sind, eine Definition vom Antiviren-Hersteller ausgestellt wurde, die Sicherheitssoftware richtig konfiguriert und perfekt an aktuelle Bedingungen angepasst ist. Wenn eine dieser Voraussetzungen nicht erfüllt ist, schlägt die Anti-Viren-Software nicht an und leistet dementsprechend keinen Schutz. Reine Abwehrmaßnahmen sind vor diesem Hintergrund immer unvollständig. Ein Umdenken des IT-Security-Ansatzes ist notwendig. Smart Cities haben unzählige potentielle Einfallstore für Angreifer. Der Fokus muss deshalb von der Abwehr fiktiver Gefahren hin zur Erkennung tatsächlicher Gefahren gelegt werden. Die Menge der autonomen Systeme muss zeitnah, effektiv und effizient auf Angriffe oder Anomalien überprüft werden, Schwachstellen und Auffälligkeiten müssen analysiert, bearbeitet und behoben werden. Die Etablierung des IT-Frühwarnsystems heißt dabei nicht, neue Tools neben alte zu stellen. Tatsächlicher Schutz wird nur erzielt, wenn die Funktionsweisen und Ergebnisse der verschiedenen Monitoring-Programme laufend von Experten analysiert, die Konfiguration durchgehend an aktuelle Gegebenheiten angepasst und die Programme an sich ständig weiterentwickelt werden. Die Ressource Mensch kann also in der IT-Sicherheit bis heute durch kein Programm ersetzt werden. Das IT-Frühwarnsystem durch Mensch und Technik liefert alle notwendigen Informationen, um potentiellen Schaden von Angriffen bestmöglich zu minimieren. Es umfasst drei Komponenten: eine kontinuierliche Schwachstellenanalysen von innen und außen, eine laufende Analyse und Korrelation von Logs der einzelnen Systeme und eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Organisationsgrenzen hinweg. 4 5

4 Die Log-Datenanalyse und Korrelation Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus Intrusion Detection Systemen (IDS) korreliert werden. Die kontinuierliche Schwachstellenanalyse Jeden Tag versuchen Angreifer noch nicht bekannte Sicherheitslücken oder Schwachstellen in der IT einer Organisation aufzufinden. Das kontinuierliche Aufspüren dieser Probleme aus einer internen (innerhalb des Netzwerks der Organisation) und aus einer externen Sicht (aus dem Internet) ist Voraussetzung, um zum Beispiel fehlende oder unsichere Verschlüsselung aufzudecken. Die Überwachung der Einfallstore für Schadsoftware und der Kommunikationskanäle Ein Angreifer wird früher oder später Daten aus der betroffenen Organisation zu externen Zielen im Internet übertragen. Dies fällt bei einem umfangreichen Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und von Experten analysiert werden. Dies erfordert den Einsatz von Intrusion Detection Systemen (IDS) und anderen Werkzeugen sowie die Unterstützung durch Experten, die diese richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren. Das zentrale Ziel: die Verkürzung der Zeit zwischen Angriff und seiner Entdeckung Eine proaktive Sicherheitsstrategie mit lückenlosem Monitoring und kontinuierlicher Analyse verkürzt die Zeitspanne zwischen Angriff und Entdeckung erheblich. Jeglicher Schaden, sei es Schaden durch eine Leistungsunterbrechung oder -stillstand, durch Entwendung von Kundendaten oder andere Beeinträchtigungen wird so am effektivsten minimiert. Die richtige Konzeption des IT-Frühwarnsystems Wichtig ist, dass in das lückenlose Monitoring und die kontinuierliche Analyse möglichst die gesamte IT-Infrastruktur, einschließlich der Applikationsebene, in eine fortlaufende, kontextbezogene Überwachung in Echtzeit einbezogen wird. Sämtliche potenziell risikorelevanten Informationen, sowohl bezogen auf den Status von IT Systemen (z.b. Schwachstellen) als auch bezüglich des Verhaltens von IT-Systemen (z.b. Netzwerkdatenverkehr) müssen dafür gesammelt und verarbeitet werden. In der Folge ist es erforderlich, diese Flut an gespeicherten risikorelevanten Informationen auf die tatsächlich bedeutsamen Ereignisse zu verdichten. Die Qualität dieser Verdichtung hängt dabei einerseits maßgeblich von der Ausrichtung und Funktionalität des vorhandenen Korrelationssystems ab. Andererseits ist es entscheidend, umfassende Risikoerkennungsszenarien abzubilden, um selbst komplexe Muster von Cyberangriffen zu erkennen. Blinde Flecken schaffen Risiken Moderne IT Systeme sind hochgradig vernetzt und voneinander abhängig. Mit dem Integrationsgrad der IT- Umgebungen steigt jedoch auch das Risiko, da das schwächste Glied der Systemkette oftmals Ausgangspunkt für Cyberattacken ist. Es ist daher entscheidend, eine möglichst umfassende Analysetiefe zu erzeugen. Das bedeutet, dass der Schwachstellenzustand sämtlicher IT-Systeme und Applikationen, der gesamte interne Netzwerkdaten- sowie der Internetdatenverkehr bei sämtlichen Internetzugängen als auch Verhaltensinformationen aller relevanten IT-Systeme (d.h. Log-Daten von Systemen und Applikationen) kontinuierlich betrachtet werden müssen. Konfigurationsänderungen auf IT-Systemen sollten ebenso berücksichtigt werden wie unerlaubte oder unerwünschte Software, die darauf läuft. Laufend aktualisierte Inventar- und Konfigurationsübersichten sind 6 7

5 notwendig, um korrekte Risikobehebungsmaßnahmen ableiten zu können. Eingehende Dokumente und s sollten mit modernsten Sandboxingtechnologien analysiert werden. Die Herausforderung Advanced Cyber Attacks Nicht jede Cyberattacke kann anhand statischer Erkennungsregeln erkannt werden. Bei neuen Generationen von Cyberattacken ist es erforderlich, zunehmend verhaltensorientierte Analysemethoden einzubeziehen. Das IT-Frühwarnsystem benötigt dafür Advanced Correlation Engines oder auch Behavioral Analysis Systems. Diese Systeme müssen für eine eingehende Analyse von Advanced Cyber Attacks in der Lage sein durch die Anwendung statistischer Modelle, rekursiver Methoden und selbstlernender Algorithmen zwischen normalem und abnormalem Verhalten von IT-Systemen zu unterscheiden. Somit bieten modernste Erkennungssysteme erstmals effektive Methoden, um auch komplexe Cyberattacken, deren Durchführung mitunter Wochen oder Monate in Anspruch nimmt und eine Vielzahl unterschiedlicher Systeme betrifft, zu erkennen. Dauerhaft ein effektives und effizientes IT-Frühwarnsystem unterhalten Das komplette Set dieser hochspezialisierten Analysen basierend auf Mensch und Technik wird ressourcenschonend vom europäischen Managed Security Services Anbieter RadarServices erbracht. Die Dienstleistungen kombinieren die automatisierte Erkennung von IT-Sicherheitsproblemen und -risiken im ersten Schritt mit der Analyse durch hochspezialisierte IT-Sicherheitsexperten im zweiten Schritt. Für die Einrichtung, Konfiguration und den täglichen Betrieb sind keine zusätzlichen personellen oder finanziellen Ressourcen notwendig. Im Vergleich zu einer Inhouse-Lösung ergeben sich so zentrale Vorteile: langfristige Investitionsrisiken, die bei einer Inhouse-Lösung aus der Anschaffung von umfangreich benötigter Hard- und Software sowie aus dem Aufbau und der kontinuierlichen Weiterbildung eines stetig wachsenden Teams an hochspezialisierten Experten resultieren, werden drastisch reduziert. Durch die Arbeit von RadarServices bekommen IT-Teams im Kundenunternehmen konsolidierte und verifizierte IT-Risiko- und Sicherheitsinformationen, die sofort für den Behebungsprozess verwendbar sind. Sie können sich damit vollkommen auf die umgehende Behebung konzentrieren und werden auf Wunsch auch hierbei unterstützt, sei es durch Fire Fighting, der Hilfe bei akuten Problemen oder auch bei operativen oder strategischen Aufgaben im gesamten IT-Sicherheitsmanagement. Die Ausgliederung der IT-Sicherheits- und Risikoanalysen bedeutet dabei keine Herausgabe von sicherheitsrelevanten Daten. Die automatisierte Erkennung und Analyse erfolgt auf einer speziell gesicherten Hardware Appliance, die alle Module sowie die Advanced Correlation Engine enthält. Der Betrieb erfolgt im Netzwerk der Kundenorganisation, sodass die Sicherheit der Daten gewährleistet wird und diese niemals die Organisation des Kunden verlassen. Auch für manuelle Analysen durch die IT-Sicherheitsexperten von RadarServices werden Daten niemals aus dem Netzwerk der Kundenorganisation übertragen. Alle Prozesse sind auf maximale Datensicherheitsstandards ausgelegt ein weltweit einzigartiges Konzept unter Managed Security Anbietern. Zusammenfassung Umfassende Datensammlung und analyse sowie intelligenter einsatz machen Cities zu Smart Cities. Gleichzeitig sind die komplexen IT-Systeme von Smart Cities durch Cyberangriffe verwundbar. Ein wichtiger Fokus muss daher auf der Sicherheit der gesamten IT-Landschaft von Smart Cities liegen. IT-Sicherheitsverantwortliche wissen jedoch, dass Maßnahmen, die dazu dienen, Angriffe von vorneherein abzuwehren, immer unvollständig sind. Herkömmliche Sicherheitslösungen bieten keinen ausreichenden Schutz für komplexe IT-Infrastrukturen und Systeme. State of the Art ist stattdessen der Aufbau eines umfassenden IT-Frühwarnsystems. Es umfasst drei Komponenten: eine kontinuierliche Schwachstellenanalysen von innen und außen, eine laufende Analyse und Korrelation von Logs der einzelnen Systeme und eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Organisationsgrenzen hinweg. Richtig konzeptioniert verkürzt die proaktive Sicherheitsstrategie mit lückenlosem Monitoring und kontinuierlicher Analyse die Zeitspanne zwischen Angriff und Entdeckung erheblich. Jeglicher Schaden, sei es Schaden durch eine Leistungsunterbrechung oder -stillstand, durch Entwendung von Kundendaten oder andere Beeinträchtigungen wird so am effektivsten minimiert. 8 9

6 Für die Einrichtung des IT-Frühwarnsystems sind hohe und langfristige Investitionen in Hard- und Software sowie Experten und deren Weiterbildung notwendig. Alternativ bietet RadarServices, der europäische Marktführer für kontinuierliches und vorausschauendes IT Security Monitoring und Risk Detection, das Komplettpaket als Managed Service an. Inkludiert sind alle Werkzeuge und Dienstleistungen, die eine Organisation braucht, um die für sie tatsächlich relevanten IT-Risiko- und Sicherheitsinformationen konsolidiert und verifiziert zur Verfügung zu haben und sofort für die Einleitung von Behebungsprozessen einsetzen zu können. Ihr Ansprechpartner bei RadarServices Rainer Bauer Technical Sales RadarServices Zieglergasse 6, 1070 Wien Österreich T: +43 (1) Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder RadarServices noch seine verbundenen Unternehmen erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. RadarServices ist nicht verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat

7 RadarServices ist Europas führender Anbieter von Managed Security Services. Im Mittelpunkt steht die zeitnahe Erkennung von IT-Sicherheitsrisiken. Daten verlassen dabei niemals ein Kundenunternehmen. Die Services kombinieren (1) die in Europa entwickelte Technologie, (2) die Arbeit der Analyseexperten in den weltweiten Security Operations Centers (SOCs) und (3) bewährte Prozesse und Best Practices bei IT-Sicherheitsvorfällen. Das Ergebnis: Eine besonders effektive und effiziente Verbesserung von IT-Sicherheit und Risikomanagement, ein kontinuierliches IT Security Monitoring und ein auf Knopfdruck verfügbarer Überblick über die sicherheitsrelevanten Informationen im Gesamtunternehmen. RadarServices Zieglergasse Wien Österreich T: +43 (1) F: +43 (1) E: sales@radarservices.com RadarServices Deutschland Taunustor Frankfurt a. M. T: +49 (69) E: sales_germany@radarservices.com RadarServices Middle East A110-1, DSO HQ Building Dubai, VAE T: +971 (4) E: sales_me@radarservices.com 2016 RadarServices Smart IT-Security GmbH. FN371019s, Handelsgericht Wien. Alle Rechte und Änderungen vorbehalten. RadarServices ist eine eingetragene Marke der RadarServices Smart IT-Security GmbH. Alle anderen Produktoder Firmenbezeichnungen sind gegebenenfalls Marken oder eingetragene Marken der jeweiligen Eigentümer. Detecting Risk, Protecting Value 12