[IT-RESULTING IM FOKUS]

Transkript

1 @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Velberter Unternehmertreff "IT-Risikomanagement und IT-Sicherheit mit Live Hacking-Vorführung GmbH Schloß Eicherhof D Leichlingen +49 (0)

2 Firmenportrait Juni 2002 gegründet heute 28 Mitarbeiter Sitz: Leichlingen/Rheinland IT-Strategie- und Technologieberatung kein HW- oder SW-Vertrieb! Beratungsschwerpunkte: Informationssicherheit IT-Risikomanagement IT-Outsourcing Zielgruppe: mittelständische und große Organisationen GmbH Schloß Eicherhof D Leichlingen +49 (0)

3 Themenbereiche Informationssicherheit Risikomanagement IT Sourcing GmbH Schloß Eicherhof D Leichlingen +49 (0)

4 IT und Risikomanagement IT-Risikomanagement bewusster Umgang mit den Risiken, die sich für Unternehmen und Organisationen aus der IT ergeben können. GmbH Schloß Eicherhof D Leichlingen +49 (0)

5 IT und Risikomanagement Warum IT-Risikomanagement? ohne Einsatz von IT keine Innovation Produktion Verkauf Einkauf etc. mehr möglich GmbH Schloß Eicherhof D Leichlingen +49 (0)

6 IT und Risikomanagement Warum IT-Risikomanagement? Weil der Gesetzgeber es fordert! IT-Sicherheit ist wesentliches Element des gesetzlich geforderten Risikomanagements, 91 Abs. 2 AktG, 43 Abs. 1 GmbHG Buchführungspflichten/ Organisationsverpflichtung: Jeder Kaufmann muss bei der Führung seiner Bücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme gewährleisten, 239 Abs. 4 S. 2, 261 HGB GmbH Schloß Eicherhof D Leichlingen +49 (0)

7 IT und Risikomanagement Aufgaben von IT Risikomanagement: Schutz vor Verlust von Know-how und Wertschöpfung Schutz vor Risiken, die sich vertraglich gesetzlich aus der IT ergeben können. GmbH Schloß Eicherhof D Leichlingen +49 (0)

8 IT und Risikomanagement Elemente von IT-Risikomanagement Business Continuity Business Security Business Compliance IT-Forensik GmbH Schloß Eicherhof D Leichlingen +49 (0)

9 IT und Risikomanagement Business Compliance GmbH Schloß Eicherhof D Leichlingen +49 (0)

10 Haftungsszenarien GmbH Schloß Eicherhof D Leichlingen +49 (0)

11 Regulatorischer Dschungel der regulatorische Dschungel mit Bezug auf IT-Risikomanagement (Auszug): BilMoG BMF TKG 8. EU RL KonTraG EGG TDG ISO BDSG CobiT IT-GSHB ISF ISO/IEC 2700x TDDSG HGB ITIL COSO StGB KWG AktG GoBS UrhG Basel II GDPdU SigG Sarbanes Oxley Act GmbH Schloß Eicherhof D Leichlingen +49 (0)

12 Regulatorischer Dschungel der Dschungel und seine möglichen Folgen: Haftungsthemen für Management und Unternehmen GmbH Schloß Eicherhof D Leichlingen +49 (0)

13 Haftungskonstellationen zivilrechtliche Haftung gegenüber dem eigenen Unternehmen zivilrechtliche Haftung gegenüber Dritten strafrechtliche Verantwortlichkeit GmbH Schloß Eicherhof D Leichlingen +49 (0)

14 Haftungsfallen -1- Datenspeicherung Bsp.: Aufbewahrungspflicht für s Aufbewahrungspflicht für Handelsbriefe ( 257 HGB) Aufbewahrungspflicht für Handels- und Geschäftsbriefe ( 147 AO) Aufbewahrungsdauer: 6 Jahre ab Ende des Kalenderjahres, in dem Handels- oder Geschäftsbrief empfangen oder verschickt worden ist. Art der Aufbewahrung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Grundsätze DV-gestützter Buchführungssysteme (GoBS) GmbH Schloß Eicherhof D Leichlingen +49 (0)

15 Haftungsfallen -2- Datenschutz 9 BDSG i.v. mit der Anlage zu 9 BDSG: insbesondere: Verpflichtung zur Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle Schutz von Arbeitnehmerdaten Unternehmen wird zum TK-Diensteanbieter, wenn es private s erlaubt Problem: Kontrolle/Ausfilterung von s strafrechtliche Risiken (Störung des Fernmeldeverkehrs [ 206 StGB]; Datenunterdrückung [ 303a StGB]) Mögliche GF Pönale: GmbH Schloß Eicherhof D Leichlingen +49 (0)

16 Haftungsfallen -3- Datensicherheit Sind die Unternehmensdaten nach dem Stand der Technik gegen Verlust/Beschädigung gesichert? 9 BDSG i.v.m. Ziff. 9 der Anlage zu 9 BDSG: Verpflichtung zur Verfügbarkeitskontrolle 91 Abs. 2 AktG: Verpflichtung zu geeigneten Maßnahmen, um Fortbestand der Gesellschaft zu sichern -> IT-Risikomanagement gegen Datenverlust GmbH Schloß Eicherhof D Leichlingen +49 (0)

17 Haftungsfallen -4- Sicherungsmechanismen, die die Verbreitung von Viren an Dritte verhindern? Bsp.: AG Köln, DuD 2001, 298: Pflichtverletzung kann darin bestehen, entweder keine Schutzmechanismen gegen Virenbefall zu verwenden oder aber trotz bekannten Virenbefall zu einer Weiterverbreitung beizutragen. GmbH Schloß Eicherhof D Leichlingen +49 (0)

18 Haftungsfallen -5- Gewerbliche Schutzrechte Sind Sie sicher, dass Ihr Unternehmen über alle erforderlichen Software-Lizenzen verfügt? Bsp. Bericht des Bundesrechnungshofs über Computersysteme der Bundesbehörden (2004): Fund einer Vielzahl von unerlaubt installierten Computerprogrammen Wer kontrolliert die Implementierung von Softwarekopien? Risiken: zivilrechtliche Haftung der Geschäftsleitung als Störer Strafbarkeit vorsätzlicher Verstöße gegen das Urheberrechtsgesetz ( 106 UrhG) GmbH Schloß Eicherhof D Leichlingen +49 (0)

19 IT und Risikomanagement Business Security GmbH Schloß Eicherhof D Leichlingen +49 (0)

20 Business Security Was ist Business Security? Schutz der kritischen Unternehmensdaten vor Verlust und Manipulation Geschäfts- und Fertigungsprozesse vor Ausfall und Manipulation GmbH Schloß Eicherhof D Leichlingen +49 (0)

21 Business Security Warum Business Security? die Risiken nehmen zu die Bedrohungslage ist wirklich ernst es kann jeden treffen Oft gehört: Wer interessiert sich für uns? Antwort: der ganze Planet! Bei uns ist noch nie was passiert! Antwort: das wissen Sie gar nicht! 100% Sicherheit gibt es nicht! Antwort: stimmt, aber 10-20% sind aber definitiv zu wenig! GmbH Schloß Eicherhof D Leichlingen +49 (0)

22 Business Security Wer greift an? Geheimdienste Wettbewerber Besserwisser Weltverbesserer Scriptkiddies Jeder, der im Internet ist, kann!!!!! GmbH Schloß Eicherhof D Leichlingen +49 (0)

23 Business Security Motive der Angreifer wirtschaftliche Wirtschaftsspionage Konkurrenzausspähung Erpressung Rache ethische Motive Spaß am Hacken v. m. GmbH Schloß Eicherhof D Leichlingen +49 (0)

24 Business Security Was wird abgegriffen? Unternehmens Know-how Produktneuentwicklungen Einkaufsinformationen M&A Informationen Kontendaten Kundendaten Unternehmensstrategie etc. GmbH Schloß Eicherhof D Leichlingen +49 (0)

25 Warum Business Security? Die deutsche Wirtschaft im Fokus der Attacken Deutschland ist die Exportnation Nummer 1 oder 2 Deutsches Ingenieurwissen ist führend Die deutschen Unternehmen sind provokativ - unglaublich schlecht geschützt GmbH Schloß Eicherhof D Leichlingen +49 (0)

26 Hacking Angriffe Zwei Drittel der deutschen Unternehmen haben schon Firmengeheimnisse verloren, weil ihre Computer angegriffen wurden. 15 Prozent der Unternehmen sind häufig das Ziel solcher Attacken, 20 Prozent gelegentlich und 29 Prozent selten. Quelle: Institut für Demoskopie Allensbach im Auftrag der Telekom-Tochter T-Systems, GmbH Schloß Eicherhof D Leichlingen +49 (0)

27 Verlust durch Ausfall der IT Deutsche Unternehmen büßen im Schnitt pro Jahr 438 Arbeitsstunden durch Systemausfälle ein Quelle: CA Technologies, 2012 Der durchschnittliche Schaden durch Ausfall der IT in Deutschland bei knapp Euro p.a. Quelle: Coleman Parkes, Unternehmen ab 50 Mitarbeiter, 2012 Die Schäden durch Hackerangriffe oder Geheimnisverrat in Deutschland: 4,2 Mrd. Euro Quelle: Corporate Trust, GmbH Schloß Eicherhof D Leichlingen +49 (0)

28 Umsatzverlust durch Produktpiraterie & Know-how Verlust Allein der Branche Maschinen- und Anlagenbau ging durch Produktpiraten 2011 Umsatz in Höhe von fast 8 Mrd. Euro verloren - gut ein Viertel mehr als Das entspricht Arbeitsplätzen. Quelle: Verband Deutscher Maschinen- und Anlagenbau (VDMA) 2012 Know-how Verlust in Deutschland ca. 20 Mrd. Euro p.a. Quelle: Studie Universität Lüneburg GmbH Schloß Eicherhof D Leichlingen +49 (0)

29 Business Security Wie wird angegriffen? Hackingangriff von außen Informationsbeschaffung von innen Datenträgerklau Ausnutzen physischer und organisatorischer Schwachstellen GmbH Schloß Eicherhof D Leichlingen +49 (0)

30 Business Security Wie wird angegriffen? Hackingangriff von außen klassisch: FW Attacke Trojaner einschleusen Phishing immer mehr: via Website und shops Apps!!! GmbH Schloß Eicherhof D Leichlingen +49 (0)

31 Business Security Wie wird angegriffen? Informationsbeschaffung von innen klassisch Erpressung Jobwechsel etc. immer mehr Wikileaks, der durfte das!! Social Media/Social Engineering GmbH Schloß Eicherhof D Leichlingen +49 (0)

32 Business Security Wie wird angegriffen? Datenträgerklau Notebooks/Pads Smartphones USB s etc. Ausnutzen sonstiger IT-Schwachstellen schwache Passwörter nicht aktuelle Sicherheitspatche etc. GmbH Schloß Eicherhof D Leichlingen +49 (0)

33 Risiko Mensch und Organisation GmbH Schloß Eicherhof D Leichlingen +49 (0)

34 Social Engineering: Wie läuft das ab? Vorbereitung Google Earth Streetview Socialnetworks Phishing Vor-Ort Analyse Durchführung Anrufe Kontaktaufnahme via Social Network Zutritt zu Gebäuden Installation von IT- Equipment GmbH Schloß Eicherhof D Leichlingen +49 (0)

35 Social Networks, eine leichte Quelle detaillierte Informationen aus Social Networks wie Facebook, StudiVZ oder Xing über: Personen Adressen Hobbies Kontakte/Freundschaften Job / Rolle / Aufgabenbereich Firmen/Behörden Mitarbeiter Firmengelände Büro- und Behördenräume Sicherheitsmaßnahmen GmbH Schloß Eicherhof D Leichlingen +49 (0)

36 Beispiel: Social Engineering Mitarbeiter sind nicht Entsprechend sensibilisiert! Physischer Zugang zu diversen Rechnern Diebstahl von Daten auf USB-Stick Telefonanruf Herausgabe von Passwörtern (Windows, Notes, PAISY etc.) GmbH Schloß Eicherhof D Leichlingen +49 (0)

37 Beispiel: Infrastruktur Assessment Außenstehende / Besucher können Gebäude & Räume ungehindert betreten Firmeninterne Unterlagen einfach zugänglich Verteilerschränke sind nicht abgesperrt Vertrauliche Daten in den Büros werden nicht weggesperrt bzw. Büros nicht abgeschlossen Diebstahl von Notebooks, Smartphones etc. GmbH Schloß Eicherhof D Leichlingen +49 (0)

38 Beispiel: Password-Cracking Systematisches Ausprobieren von Passwörtern mit Offline- Wörterbuch bzw. Brute Force Kopie der verschlüsselten Passwortdatei bzw. Ergebnis von Sniffing Verschlüsseln gebräuchlicher Worte und Vergleich mit den Einträgen in der Passwortdatei (z.b. mit dem frei erhältlichen Programm Crack) 14 Stellen unter 1 min Sicher erst ab 18 Stellen GmbH Schloß Eicherhof D Leichlingen +49 (0)

39 Klein aber fein Moderne Spionage Hardware wird immer unscheinbarer Keylogger speichern jeden Tastendruck Minicomputer hören Netzwerkverkehr ab oder dienen als internes Standbein im Firmennetz Accesspoints bieten bequeme Zugriffspunkte zum Firmennetz bieten Moderne USB-Sticks in einem Kugelschreiber GmbH Schloß Eicherhof D Leichlingen +49 (0)

40 Nutzung mobiler Endgeräte und Technologien GmbH Schloß Eicherhof D Leichlingen +49 (0)

41 Mobile Security Smartphones sind angreifbar via WLAN Bluetooth GSM APPS vielfach verseucht Direktzugriff bei Diebstahl Einige Smartphones sind derzeit nicht schützbar!! GmbH Schloß Eicherhof D Leichlingen +49 (0)

42 Beispiel: Bluetooth/mobile Devices Objekt:Smartphone/Handy/Pad Verbindung: Bluetooth Geschwindigkeit: 786 KBps Schutz: PIN Reichweite 1) : ca. 10 km Dauer: 0 Minuten Ziele: Telefonieren Versand von SMS 1) Mit handelsüblichen Richtfunkantennen/Verstärkern GmbH Schloß Eicherhof D Leichlingen +49 (0)

43 Beispiel: Bluetooth/mobile Devices Folgen Ausspionieren von Daten Blockieren des Telefons Handy als Wanze Handy als Firmenzugang GmbH Schloß Eicherhof D Leichlingen +49 (0)

44 Smartphones Sind überwiegend derzeit - nicht sicher einbindbar ins Firmennetz kaum zentral managebar nur die wenigsten sind verschlüsselbar enthalten oft viele Firmeninformationen s Kontakte Kalendereinträge Systemzugangsdaten VPN Passwörter Useraccounts!! GmbH Schloß Eicherhof D Leichlingen +49 (0)

45 Smartphones Sind überwiegend derzeit - nicht sicher einbindbar ins Firmennetz unsaubere Apps als Einfalltor Trojaner Viren Erstellen saubere Bewegungsdaten und melden diese online weiter technisch leicht übernehmbar mittels unsichere Bluetoothstacks WLAN SMS - Trojanereinschleusung GmbH Schloß Eicherhof D Leichlingen +49 (0)

46 Beispiel: Wireless LAN/Hotspots Objekt: Netzwerk/WLAN Verbindung: WLAN Geschwindigkeit: 54MBps Verschlüsselung: WEP/WPA2 alles gehackt Reichweite 1) : ca 5 km Dauer: ca 3-7 Minuten Ziele: Zugang internes Netz Internet Zugang Ausspionieren von Daten Angriff auf Fremdnetze Blockieren von Zugriffen 1) Mit handelsüblichen Richtfunkantennen/Verstärkern GmbH Schloß Eicherhof D Leichlingen +49 (0)

47 Sicherheit in der Fertigung GmbH Schloß Eicherhof D Leichlingen +49 (0)

48 Sicherheit in der Fertigung 2 Welten wachsen zusammen Fertigungs- und kaufmännische IT GmbH Schloß Eicherhof D Leichlingen +49 (0)

49 2 Welten wachsen zusammen die Integration nimmt rasant zu WLAN s Industrial Ethernet BLUETOOTH VOIP etc. kommen teilweise bis zu den Steuerungen zum Einsatz verbinden Office- mit Fertigungswelt GmbH Schloß Eicherhof D Leichlingen +49 (0)

50 2 Welten wachsen zusammen mittlerweile Service/Wartung vermehrt durch Internet VPN Portale etc. hohe Berührungen zur Außenwelt und das oft ungeregelt GmbH Schloß Eicherhof D Leichlingen +49 (0)

51 2 Welten wachsen zusammen die Folgen? die Bedrohungen der Office IT bedrohen nun auch die Fertigung Viren, Spam, Sicherheitslücken in BS, etc. Produktionsausfälle durch IT rücken näher Verlust von wertvollem Firmen Know-how Produktionspläne und Prozesssteuerungen GmbH Schloß Eicherhof D Leichlingen +49 (0)

52 Ganzheitliche Betrachtung Business Security Physische Sicherheit Gebäude- und Zugangsschutz Informations- Sicherheit State-of-the-Art Security Produkte & Technologien Organisatorische Sicherheit Security Policies, Prozesse, Mitarbeiter+Management Awareness GmbH Schloß Eicherhof D Leichlingen +49 (0)

53 Vorgehensweise Bestimmen Sie Ihren Schutzbedarf Welche Daten sind für ein Unternehmen wie wichtig? Datenklassifikation, ISMS Wer darf auf welche Daten zugreifen und wer entscheidet das? Welche Prozesse sind wie wichtig? Business Impact Analyse Ab wann verliert ein Unternehmen Geld, wenn Prozesse stehenbleiben? Welche gesetzlichen Mindestauflagen müssen erfüllt sein. z.b. Datenschutz/BDSG GmbH Schloß Eicherhof D Leichlingen +49 (0)

54 Vorgehensweise Statusfeststellung: wo stehen Sie? Status organisatorische Sicherheit Policies tools: Social Engineering/Phishing Policy Check Status physische Sicherheit tool: Social Engineering Status tools Onsite- und Offsite-Pentests Infrastruktur- und Continuitycheck GmbH Schloß Eicherhof D Leichlingen +49 (0)

55 Vorgehensweise 1. Etablierung eines Security Management Teams Unternehmens leitung 2. IT-Risikomanagement Analyse (Klassifizierung der Werte, Bedrohung) Bewertung (Abschätzung von Vermeidung vs. Schaden) Entscheidung für Maßnahmen Security Management Team 3. Definition Security Policies 4. Umsetzung IT-Technik (Firewalls, Virenscanner) Schaffung einer Security Awareness IT-Abteilung Security Team GmbH Schloß Eicherhof D Leichlingen +49 (0)

56 Was wollten wir Ihnen vermitteln Security zu vernachlässigen ist fahrlässig kann existentiell werden vor der Implementierung von Schutz-mechanismen und maßnahmen kommt erst die Definition der Sicherheitsziele die Technik ist komplex, aber beherrschbar aber ohne Organisation ist sie wertlos GmbH Schloß Eicherhof D Leichlingen +49 (0)

57 Was wollten wir Ihnen vermitteln Organisatorische Sicherheit und Sicherheitsbewusstsein aller Beteiligten sind die kritischen Elemente von Know-how Schutz und Business Security! Business Security ist Chefsache GmbH Schloß Eicherhof D Leichlingen +49 (0)

58 Appell 100% Sicherheit gibt es nicht stimmt, das ist aber kein Grund sich mit 10 oder 20 % Sicherheit zu begnügen oder gar zu resignieren GmbH Schloß Eicherhof D Leichlingen +49 (0)

59 Sicherheit muß nicht teuer sein, wenn Sie es gezielt angehen strukturiert betreiben als Prozeß betrachten als unternehmensweite Aufgabe ansehen wenn Sie es als notwendig für den Schutz Ihrer Unternehmenswerte und Wettbewerbsfähigkeit halten GmbH Schloß Eicherhof D Leichlingen +49 (0)

60 Ihre Fragen bitte Vielen Dank für Ihre Aufmerksamkeit! Wolfgang Straßer GmbH Schloß Eicherhof D Leichlingen +49 (0)

61 Sicherheit muss nicht teuer sein Aufwand (dicker Daumen): Riskassessement 2-5 MT Bestimmung des Status Quo MT off-site Pen-Test 6-9 MT Social Engineering 2-4 MT on-site Pen-Test 2-3 MT Policycheck 1-2 MT Infrastruktur-Bewertung (grob) 1-2 MT Maßnahmenkatalog Umsetzung GmbH Schloß Eicherhof D Leichlingen +49 (0)

62 Skype Skype ist ein Internetdienst mit allen Vor- und Nachteilen Skype ist ein US-Unternehmen, daher sind die Daten im Zugriff der US-Behörden Skype wird oft dazu genutzt leichtsinnig mit Daten umzugehen Frage an Freund : ich hab da mal ein Problem, (Austausch von vertraulichen Infos) Skype unterstützt neben Telefonie noch andere Dienste (können getunnelt werden) VPN/Fernwartung über Skype Viren über Skype GmbH Schloß Eicherhof D Leichlingen +49 (0)

63 Skype Skype-Client in China ist mit Überwachungsfunktion und Trojaner versehen. Rechtfertigung im Nachhinein: lokale Gesetze Skype steht unter dem Verdacht eine Backdoor zu besitzen. Keine Stellungnahme n-um-backdoor-in-skype html AGB/DS Bedingungen haben folgende Regel: Text-,Ton-,Video-,Bild- Nachrichten werden gespeichert und zu Werbezwecken an Partner weitergegeben. GmbH Schloß Eicherhof D Leichlingen +49 (0)

64 Cloud Idee der Cloud ist providergetrieben optimierte Nutzung vorhandener RZ Ressourcen weltweite RZ Kapazitäten weltweite Flat-TK-Anbindungen Virtualisierung macht schnelle Ressourcennutzung möglich Annahme: dem Kunden ist egal wo die Daten liegen die Daten verarbeitet werden Hauptsache günstig GmbH Schloß Eicherhof D Leichlingen +49 (0)

65 Cloud Nutzen der Cloud Flexibles Ressourcensharing Rechnerkapazität Plattenplatz schneller und unbürokratischer Zugriff günstige Preise => Kostenersparnis GmbH Schloß Eicherhof D Leichlingen +49 (0)

66 Cloud Schwächen der Cloud große Anbieter haben RZ in der ganzen Welt diese sind untereinander vernetzt in bestimmten Ländern sind hochwertige Verschlüsselungsalgorithmen nicht zugelassen Damit wird die Datensicherheit stark eingeschränkt bis unmöglich auch Regionalisierung hilft da nicht, da RZ s grundsätzlich vernetzt sind echte Individualisierung nimmt den Kostenvorteil GmbH Schloß Eicherhof D Leichlingen +49 (0)

67 Online Banking Welche Verfahren gibt es? Wie sicher sind diese Verfahren PIN/TAN PIN/iTAN PIN/mTAN klassisch Internet TAN s per Liste Indiziertes Verfahren TAN s per Liste, aber durchnummeriert Mobiles TAN-Verfahren, TAN s via SMS nach Zahlungsauftrag unsicher eingeschränkt sicher relativ sicher GmbH Schloß Eicherhof D Leichlingen +49 (0)

68 Online Banking Welche Verfahren gibt es? Wie sicher sind diese? Verfahren Plus optic HBCI Online Auftragserfassung Bank schickt TAN an Kunde Eingabe mittels Kartenleser und Karte Auftragserfassung wie TAN mittels Flickercode, Lesegerät und Karte Ohne TAN, mit Lesegerät und Karte Generiert die Schlüssel selber sicher sicher sehr sicher GmbH Schloß Eicherhof D Leichlingen +49 (0)