Cybercrime - Strategien zur Risikoerkennung und Abwehr

Transkript

1 Cybercrime - Strategien zur Risikoerkennung und Abwehr Hamburg/Osnabrück/Bremen, 18./23./24. September 2014 Stefan Decker

2 Vorstellung FIDES Gruppe IT-Strategie IT-Due Diligence IT-Projektmanagement IT-Infrastruktur IT-Sicherheit IT-Forensik Datenschutz Controlling Wirtschaftsprüfung IT-Audit Steuer- und Rechtsberatung Corporate Finance Rechnungs- und Personalwesen Insolvenzprüfungen Handelsrecht und Wirtschaftsrecht Gesellschaftsrecht IT-Vertragsrecht Unternehmensnachfolge Öffentliches Recht Stiftungs- und Gemeinnützigkeitsrecht 2

3 Was ist Cybercrime? (1) Cybercrime sind alle Straftaten, die unter Ausnutzung von Informations- und Kommunikationstechnik oder gegen diese begangen werden. Beispiele für Cybercrime: Computerbetrug Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Fälschung von Daten Datenveränderung, Computersabotage Ausspähen und Abfangen von Daten Phishing DDoS (Distributed Denial of Service)-Attacken Digitale Erpressung Delikte, bei denen die EDV zur Planung, Vorbereitung oder Ausführung eingesetzt wird Herstellen, Überlassen, Verbreiten, Verschaffen von Hacker- Tools (vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2012) enge Definition weite Definition 3

4 Was ist Cybercrime? (2) Ist die freiwillige (?) Weitergabe von Daten Cybercrime? Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, [ ] (Auszug aus den Nutzungsbedingungen der Apple icloud) 4

5 Ist Cybercrime ein Problem? Laut einer Studie des Ponemon Institute mit über befragten Personen in KMUs sehen 58 % Cyberkriminalität nicht als bedeutendes Risiko für ihr Unternehmen. geben 42 % an, in den letzten 12 Monaten Opfer einer Attacke gewesen zu sein. 33 % wissen nicht, ob sie Opfer einer Attacke geworden sind. Quelle: 5

6 Ausgewählte Bedrohungsszenarien Staatliche Akteure Wirtschaftsspionage Sabotage UNTERNEHMEN Kriminelle Hacker DDoS Website Defacing Kundendatendiebstahl Wettbewerber Wirtschaftsspionage Sabotage Kundendatendiebstahl Mitarbeiter Datendiebstahl Social Engineering Spear Phishing Viren, Malware, maliziöse Apps etc. 6

7 TOP 6 Sicherheitslücken Ungeschützter Betrieb eines öffentlichen Webservers im internen Netz Aus dem Internet erreichbarer Fernzugriff auf einen internen Rechner mit Electronic- Banking System mit schwacher Verschlüsselung und Trivialpasswörtern Leicht zu erratende Trivialpasswörter für hochprivilegierte Benutzer mit 7x24 Zugriffsmöglichkeiten aus dem Internet ohne adäquate Sperre bei Falscheingabe und ohne IT-Monitoring Überbrückung der eigentlich sicheren Firewall durch Server oder einzelne PC von Mitarbeitern, mit ungeschütztem lokalen Internetzugang Einsatz einer Firewall mit veraltetem und unsicherem Betriebssystem (Firmware) Direkter (VPN-)Zugriff von Smartphones und Tablets auf interne Mailsysteme 7

8 Firewall ein Praxisbeispiel 8

9 Bedrohungsanalyse Schritt 1 Welche Daten sind bedroht? Wer bedroht die Daten? Was ist die Bedrohung? Schritt 2 Wer hat Zugang zu den Daten und warum? Wie werden die Daten geschützt? Wie werden die technischen Komponenten geschützt? 9

10 Ausgewählte Maßnahmen zur Risikoabwehr 1. Technisch Firewalls Virenscanner Verschlüsselung 2. Organisatorisch Passwortkonventionen Berechtigungskonzepte Vorschriften zur Internetnutzung 3. Awareness Schulung von Organen und Mitarbeitern Regelmäßige Überwachung der Wirksamkeit der Maßnahmen Sicherheit ist kein Zustand, sondern ein Prozess. 10

11 IT-Sicherheitsgesetze Aktuelle Entwicklungen für Betreiber kritischer IT-Infrastrukturen

12 1. Kernziele - Schutz der Bundesrepublik Deutschland vor dem Ausfall kritischer Infrastrukturen - Verbesserung der IT-Sicherheit bei Unternehmen: Mindeststandards für die IT-Sicherheit bei Betreibern kritischer Infrastrukturen mit Meldepflichten bei erheblichen IT-Sicherheitsvorfällen - Schutz der Bürgerinnen und Bürger in einem sicheren Netz: Erhöhung der Sicherheitsstandards bei öffentlichen Telekommunikationsnetzen sowie Pflicht der Telekommunikationsanbieter zur Information ihrer Kunden über Cyberangriffe und Mittel zu deren Behebung - Schutz der IT des Bundes: BSI soll verbindliche Vorgaben für die IT-Sicherheit von Bundeseinrichtungen entwickeln und deren Umsetzung überwachen 12

13 1. Erwartete Folgen beim Ausfall kritischer Infrastrukturen Aus einer 2010 durchgeführten Studie des Büros für Technikfolgen Abschätzung beim Deutschen Bundestag folgt, dass bei einen flächendeckenden Stromausfall bereits nach wenigen Tagen im betroffenen Gebiet die flächendeckende und bedarfsgerechte Versorgung der Bevölkerung mit (lebens-)notwendigen Gütern und Dienstleistungen nicht mehr sicherzustellen ist. Die öffentliche Sicherheit ist gefährdet, der grundgesetzlich verankerten Schutzpflicht für Leib und Leben seiner Bürger kann der Staat nicht mehr gerecht werden. Quelle: 13

14 2. Gesetzliche Änderungen Änderung und Erweiterung von 5 Gesetzen: 1. BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) 2. TMG (Telemediengesetz) 3. TKG (Telekommunikationsgesetz) 4. AWG (Außenwirtschaftsgesetz) 5. BKAG (Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten) 14

15 3. Änderungen im BSI-Gesetz (1) Wer ist betroffen? - Gesetzliche Änderungen einschlägig für Betreiber kritischer Infrastrukturen - Eine kritische Infrastruktur besteht, wenn durch Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten können - Einschlägig Wasser für Unternehmen aus Finanz- den Sektoren und Versicherungswesen Ernährung Informationstechnik und Telekommunikation Energie Transport und Verkehr Gesundheit - Medien und Kultur sind nicht genannt, da landesrechtliche Angelegenheit - Genaue Festlegung erfolgt durch Rechtsverordnung des BSI unter Einbeziehung diverser Ministerien, betroffener Betreiber und Wirtschaftsverbänden ( 10 BSIG) 15

16 3. Änderungen im BSI-Gesetz (2) Auswirkungen für das BSI: - BSI wird für den Schutz der Informationssysteme des Bundes zuständig und soll daher erweiterte Befugnisse erhalten (Einleitungstext Gesetzentwurf) - BSI wird nationale Informationssicherheitsbehörde ( 1 BSIG) mit Zugriffsrechten auf IT-Systeme, IT-Produkte und Nutzungsdaten. Befugnis zur Kontrolle von Einhaltung der Sicherheitsstandards - BSI erhält Befugnis potentiell Gefährdete bzw. die Öffentlichkeit über bekannt gewordene Sicherheitslücken, Schadprogramme, Datendiebstähle etc. zu informieren ( 7 i.v.m. 8c BSIG) 16

17 3. Änderungen im BSI-Gesetz (3) Weitere Auswirkungen für das BSI: - BSI darf IT-Produkte, Systeme und Dienste selbst oder durch Dritte untersuchen, um den Schutz vor Störungen zu gewährleisten ( 7a BSIG) - BSI darf anhand von Verbindungsdaten von Providern, Anbietern etc. IT- Störungen aufklären und verfolgen, Speicherung von Verbindungsdaten wird durch gesetzliche Änderungen legitimiert ( 7b BSIG) - BSI wird zentrale Meldestelle für die Sicherheit der Informationstechnik für z.b. Schadprogramme, Sicherheitslücken, erfolgreiche und abgewehrte Angriffe sowie technische Defekte (8b BSIG) - BSI ist verpflichtet, dem Bundesministerium des Innern über Tätigkeiten zu berichten, auf Grundlage dessen wird jährlich ein IT-Sicherheitslagebericht veröffentlicht ( 13 BSIG) 17

18 3. Änderungen im BSI-Gesetz (4) Auswirkungen für Unternehmen: - Internetprovider und Diensteanbieter dürfen Verbindungsdaten zur Aufklärung und Verfolgung von IT-Störungen erfassen und speichern ( 7b BSIG) - Eigenverantwortliche Festlegung von angemessenen Mindeststandards für IT- Sicherheit, ggfs. auch branchenspezifisch ( 8a Abs. 1 BSIG) Standards müssen regelmäßig dem Stand der Technik angepasst werden Mindeststandards sollen in Sicherheits- und Notfallkonzepte einfließen, die durch die Betreiber umzusetzen sind Anforderungen lehnen sich an die Vorgaben für Telekommunikations- und Energieversorgern an Standards bedürfen der Anerkennung durch das BSI 18

19 3. Änderungen im BSI-Gesetz (5) Weitere Auswirkungen für Unternehmen: - Betreiber müssen die Erfüllung der Sicherheitsstandards mindestens alle zwei Jahre nachweisen ( 8a Abs. 2 BSIG), hierzu müssen: Audits durch nachweislich qualifizierte Prüfer durchgeführt, die Aufstellung der durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen sowie aufgedeckte Sicherheitsmängel dem BSI vorgelegt werden - Unternehmen müssen eine ständig erreichbare Kontaktperson für das BSI benennen ( 8b Abs. 3 BSIG) - Verpflichtung zur (anonymisierten) Meldung von IT-Störungen an das BSI, um die Warnung weiterer potentiell Gefährdeter und Erstellung eines Lageberichts über die IT-Sicherheit in Deutschland zu ermöglichen ( 8b Abs. 4f. BSIG) 19

20 4. Erforderliche Maßnahmen bei betroffenen Unternehmen - Definition von Sicherheitsstandards - Erforderliche Schutzmaßnahmen - Information Security Management - Identifikation kritischer Cyber-Assets - Vorkehrungen zur Angriffsprävention und -erkennung - Implementierung eines Business Continuity Managements - Durchführung und Dokumentation von Audits, Prüfungen und Zertifizierungen zum Nachweis ausreichender Schutzmaßnahmen durch eine fachkundige Person - Festlegung einer Kontaktperson 20

21 5. Kosten Für Betreiber: - Laut Kostenschätzung des Gesetzentwurfs entstehen für die Wirtschaft keine Kosten für die Einrichtung, sofern bereits ausreichende Sicherheitsstandards und Meldewege etabliert sind - Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen durch die Durchführung der vorgesehenen Sicherheitsaudits Für Verwaltung: - Behördenübergreifend wird mit 275 neu zu schaffenden Stellen und zusätzlichen Personal- und Sachkosten in Höhe von EUR 25 Mio. gerechnet Für Bürgerinnen und Bürger - Keine zusätzlichen Kosten erwartet 21

22 6. Sanktionen und Strafen - Der Gesetzentwurf enthält keine Informationen über mögliche Ordnungsgelder oder Strafmaßnahmen bei Pflichtverletzungen 22

23 7. Ausblick - Gesetzliche Rahmenvorgaben zum Betrieb von kritischen Infrastrukturen werden verbindlich festgeschrieben werden - Mindeststandards werden sich an bekannten Vorgaben, wie z.b. IT Grundschutz anlehnen - Gesetzliche Normen für Betreiber kritischer Infrastrukturen werden Ausstrahlwirkung auf alle Betreiber von IT-Systemen haben 23

24 Diskussion / Fragen?????? 24

25 Vielen Dank für Ihre Aufmerksamkeit Stefan Decker T M F Birkenstr. 37 Am Kaiserkai Bremen Hamburg