E-Spionage und E-Attacken Schutzstrategien für Websysteme

Transkript

1 Compliance & Risk-Management, Cybersecurity als Herausforderung 10. Oktober 2013, IBM Forum Wien E-Spionage und E-Attacken Schutzstrategien für Websysteme ZT Prentner IT GmbH. A-1040 Wien. Mommsengasse 4/3.

2 Überblick! Einleitung! IT-Sicherheit! E-Spionage! Schwachstellenanalyse! Schutzbedarfsanalyse! Aufbau von Abwehrsystemen! Strafbestimmungen! Zusammenfassung Seite 2

3 Einleitung Seite 3

4 Wolfgang Prentner! Promotion an der TU-Wien im Sicherheitsbereich! IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit (seit 1998)! Gesellschafter der ZTPRENTNERIT GmbH (1999)! Vorsitzender der Bundesfachgruppe IT der Bundeskammer der Arch+Ing (seit 2012 Stv.)! E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker (seit 2003)! Mitglied der Plattform Digitales Österreich im Bundeskanzleramt (seit 2004) Seite 4

5 IT-Befugnis nach Ziviltechnikergesetz! Beraten, Planen, Prüfen! Überwachen und Koordinieren! Treuhandschaften Technischer Notar! Urkundsfähigkeit - Zertifizierung nach ZTG 4 Abs. 3! Abgrenzung zum Gewerbe! keine ausführenden Tätigkeiten! keine Störungsbehebung aber z.b. Störungsanalyse! kein Vertrieb von Software und Hardware, daher! kein Interessenskonflikt mit gewerblichen Unternehmen Seite 5

6 Seite 6

7 IT-Sicherheit Seite 7

8 Seite 8

9 Online Sicherheit On the Internet, nobody knows you are a dog. Seite 9

10 Datenklau: unbeabsichtigt Seite 10

11 Datenklau: vorsätzlich Steuer-CD: Datendieb soll Administrator in Bank gewesen sein. 09. Februar 2010, 12:28. Seite 11

12 Daten 1. Was sind sensible Unternehmensdaten? 2. Wo sind sensible Daten gespeichert? 3. Wer verwendet sensible Daten? 4. Wie erstelle ich eine Richtlinie um sensible Daten zu schützen? 5. Welche Werkzeuge setze ich dafür ein? Seite 12

13 Wachstumsbranche Datendiebstahl! Datendiebstahl! ApoVerlag (Medienberichte)! HVB Sozialversicherung (Medienberichte)! SPÖ und FPÖ gehackt Anonymous (7/2011)! Land Kärnten und LKH Kärnten lahm gelegt - Conficker Virus (2009)! Datendiebstahl! Hacker beklauen Millionen Playstation-Kunden (2011)! Datendiebstahl! Chinesen sollen auch Morgan Stanley gehackt haben (2010)! Datendiebstahl! Sicherheitsexperten warnen vor kostenlosen WLAN (2010)! Datendiebstahl! Industriespionage: SAP muss 1,3 Milliarden Dollar an Oracle zahlen Seite 13

14 Hackerangriffe Österreich Seite 14

15 SPÖ! Inhalt der Website geändert! 600 User und Passwörter sichtbar! Passwörter unverschlüsselt! gleich Accounts auf Social Platforms (Facebook,..)! Falschmeldung auf Facebook-SPÖ Gruppe! SPÖ St. Pölten gehackt Seite 15

16 FPÖ WebSite! Systemstörung! Distributed Denial of Service (DDoS)! Keine Daten gestohlen (vermutlich) Seite 16

17 Hackerangriffe! Webseite der SPÖ, wie sie beim Hack aussah, inklusive Passwörter: Webseite der SPÖ St. Pölten, wie sie beim Hack aussah, inklusive Passwörter: Presseaussendung Seite 17

18 Datenklau: Social Engineering Seite 18

19 Datenklau: automatisiert Seite 19

20 Definition IT-Sicherheit Seite 20

21 Sicherheitszonen Unternehmens sicherheit Informations sicherheit IT-Sicherheit Seite 21

22 IT-Sicherheit Vertraulichkeit eine bestimmte Information dem zuständigen Anwender Integrität Unversehrtheit und Korrektheit der Daten Information oder Funktion Verfügbarkeit zur rechten Zeit am rechten Ort Seite 22

23 IT-Sicherheit (erweitert)! Schutzziele lassen sich in 5 unterschiedliche Kategorien einordnen:" "! Integrität"! Verfügbarkeit"! Vertraulichkeit "! Authentizität und "! Verbindlichkeit Seite 23

24 E-Spionage Datenklau - intern Seite 24

25 Neue Bedrohung Professioneller Datenklauer Seite 25

26 Engagement Index Deutschland 2010 GALLUP (D) Seite 26

27 Datenklau: Mitarbeitermeinungen Unternehmensdaten: Meinungen von Mitarbeitern Die Firma verdient es nicht, sie zu behalten 47% Die Firma kann die Informationen nicht zu mir zurückverfolgen. 49% Ich habe diese Informationen mit erstellt. Die Informationen könnten sich zukünftig als nützlich erweisen. 52% 53% % Alle anderen machen das anscheindend auch. 54% Quelle: heise.de Seite 27

28 Professioneller Datenklauer - real! Abfangen von Passwörtern! Überwachung des Servers! Online Spionage mittels Fernwartung Seite 28

29 E-Spionage Seite 29

30 Schritte! Ripe.net! Google! Nmap! Wireshark! Nessus! Acunetix! Exploid! Einbruch (abgestimmt) Seite 30

31 E-Spionage Input - Informationen sammeln, Basis:! office@mustermann.at Output! Netzwerkplan des Ziel-Unternehmens! Außensicht des Angreifers Seite 31

32 E-Spionage Internet Router Ergebnis Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access Seite 32

33 Netzwerk- und Systemanalyse Port 1337 offen - steht in der Hackerszene für LEET, also Elite Seite 33

34 Kommunikationsanalyse - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) e9 3f f 76 e h.?..?v...E b 32 ba a dd ac c1 6e..2.@...:...n c 41 3d bb f9 15 b7 d0 09 e A=u..1...P ff d1 8d e cd c a...S...n...T: e 10 f c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d f 3e c8 8a 65 ba a f 72 de d6 O>.A...e.../r c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca de <.M...7.F..M.3e df 8f 08 6c c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go??... Client 0090 d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb R..-/... 00a0 2d c b c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d c 80 b4 6e $L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c ef 54 4a d2 71 0f c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\ c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Angreifer banking-server Seite 34

35 Mobile Devices Seite 35

36 Applikationsanalyse! Login/Doing/Logout! Authentifikation! Autorisierung! Session Management! Testen in unfreundlicher Umgebung! Auditing! Reporting Seite 36

37 Demo (kurz) Seite 37

38 Schwachstellenanalyse Seite 38

39 Schwachstellenanalyse! Arbeitsplatzcomputer Status: nicht ok (hohes Risiko)! Server Status: nicht ok (hohes Risiko)! Firewall Status: nicht ok (mittleres Risiko)! Web-Portal Status: nicht ok (hohes Risiko) Seite 39

40 Organisatorische Sicherheit! Systemwartung Status: nicht ok (hohes Risiko)! Passwort-Handhabung Status: nicht ok (mittleres Risiko)! Datensicherung Status: nicht ok (mittleres Risiko)! Datenarchivierung Status: nicht ok (mittleres Risiko)! Datenträger-Vernichtung Status: ok! Virenschutz Status: ok! Fernwartung Status: ok! Wireless LAN Status: nicht anwendbar! Telearbeit bzw. Home-Office Status: nicht anwendbar! Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 40

41 Schutzbedarf Seite 41

42 Drei Schutzbedarfskategorien (BSI) Seite 42

43 Schutzbedarfsfestlegung (Muster)! Sensible personenbezogene Daten nach DSG 4 (1):! Vertraulichkeit: normal (?)! Datenintegrität: normal/hoch (?)! Verfügbarkeit: normal! Authentizität: keine! Nicht Abstreitbarkeit: keine Seite 43

44 Fallbeispiel Gesundheitsdaten Versicherungswirtschaft Administrator Betriebsrat Server Seite 44

45 IT-Schutzbedarf I Seite 45

46 IT-Schutzbedarf II Seite 46

47 Bewertung der Angriffsschwierigkeit Seite 47

48 Aufbau von Abwehrsystemen Schutz gegen internen Datenklau Seite 48

49 Data Loss Prevention (DLP) Neue Bedrohungsszenarien und Lösungen Seite 49

50 Data Loss Prevention (DLP) Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützen und je nach Ausprägung direkt oder indirekt die Integrität und Zuordenbarkeit sicher stellt. Quelle: Seite 50

51 Bedrohungsbereiche (Threat Coverage) Endpunkt (PC)! Device Kontrolle! Daten Kontrolle! Applikationen Kontrolle Netzwerk! Mail! Web! Instant Message,... Storage! Archive/Backup! Filesystem! Datenbanken,... Seite 51

52 Data Loss Prevention Systeme I Seite 52

53 Mitarbeiter Benachrichtigung Seite 53

54 Aufbau von Abwehrsystemen Schutz gegen externe Datenklau Seite 54

55 Abwehrsysteme! Viren- und Spamschutz! Firewall - Paketfilter! Intrusion Detection Systeme! Intrusion Prevention Systeme! Firewall Applikationsfilter! 2-ter Authentifizierungsfaktor Seite 55

56 TOP Security Problems Seite 56

57 Top 5 Klassiker! Dienste/Services! unbewusst offene Dienste.! Nicht aktueller Patchlevel von Serversoftware.! Buffer Overflows, Code Injection und DDoS-Angriffen,...! Nicht korrekt programmierte Webanwendungen.! SQL-Injections, Cross-Site-Scripting,...! Falsch oder nicht korrekt konfigurierte Serversoftware! Quelle für Informationen über das System: Banner! Verwenden nicht aktueller oder ausreichender Sicherheitsmechanismen! Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. Stand Seite 57

58 Top 10 - Most Dangerous Software Errors Seite 58

59 Strafbestimmungen Seite 59

60 Verschuldensfrage bei Angriffen! Verschulden! Auftraggeber (verflochtene Unternehmen)! Entwickler (Anwendung und DB)! Netzwerk/Infrastruktur (FW/Router/System)! Betreiber/Outsourcer (lokal, international, Cloud)! Haftung! Gewährleistung! Schadenersatz Seite 60

61 Strafbestimmungen I! Strafgesetzbuch (StGB)! 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft! 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft! 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft! 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft! 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 61

62 Strafbestimmungen II! Strafgesetzbuch (StGB)! 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre! 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre! 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre! 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre! Datenschutzgesetz 52 bis!18.890,-! Mediengesetz 7 bis!20.000,-! Telekommunikationsgesetz 109 bis!58.000,- Seite 62

63 Zusammenfassung Seite 63

64 Seite 64

65 Kostenverlauf!"#$!"% &'(&!$))*% +$*,-$. / -0+,12(&0)3 *-&4&)!" #$!"% Seite 65

66 Sicherheitsniveau - gleichbleibend Seite 66

67 E-Spionage der erste Schritt zur erfolgreichen Überwindung von Internet-Systemen und Webportalen Schutzbedarfs- und Risikoanalysen helfen beim Einsatz effizienter Abwehrmechanismen Seite 67

68 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 68