Cyber Security It s real. Rolf Simonis

Transkript

1 Cyber Security It s real Rolf Simonis

2 Folien Title Wissen Sie wo ihre Unternehmensdaten sind?

3 IT Sicherheit Cyber Security

4 Dozent Rolf Simonis Vita Senior Berater IT Sicherheit & Betriebskonzepte, München CIO SAP Managed Services und Outsourcing, Stuttgart Leiter globale IT Produzierendes Unternehmen, Bitterfeld VP IT & Telekommunikation EMEA Logistik, Prag Director Operations Afrika Telekommunikation, Johannesburg Senior Director Operations Telekommunikation, Frankfurt/M Manager Telekommunikation Services, Paris/Frankfurt/Reston Virgina (USA) Manager Operations, Telekommunikation, Frankfurt/M

5 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

6 Bedrohungen Natürliche Bedrohungen Unbeabsichtigte Bedrohung Beabsichtigte Bedrohung

7 Bedrohung von Außen Gezieltes Hacking von Webservern Drive-by-Exploits Gezielte Malware-Infiltration Distributed Denial of Service-Angriff Ungezielte Verteilung von Schadsoftware Mehrstufige Angriffe

8 Bedrohung von Innen Unsachgemäßes hantieren durch Mitarbeiter (Memorysticks, , Surfen) Alkohol Frustration Ausbildung Dokumentation Unwissenheit / Ignoranz

9 Gefahrenlage Angriffsmöglichkeiten auf die Unternehmens IT Cyber Attacken sind Real und allgegenwärtig! Angriffe auf die Unternehmens IT werden zunehmend komplexer und schwieriger zu entdecken Angriffe erfolgen gezielt auf Unternehmen. Das Mittelstandsunternehmen rückt zunehmend in den Fokus Attacken pro Tag 2014 Kosten der Attacken: ca. weltweit $ 400 Milliarden / : Sony Pictures ( Interview ) : Franz. TV-Sender : Angriff auf dt. Bundestag

10 Das Passwort Password Qwerty Baseball Dragon Football monkey Letmein Abc Mustang Access Shadow Master Michael Superman Batman trustno1 Hitliste der blödesten Passwörter belegt wie im Vorjahr "123456", gefolgt von dem Klassiker "password", der 2012 noch die Nummer 1 war. "12345" startete im vergangenen Jahr richtig durch, stürmte vom 20. Rang aufs Treppchen und verdrängte " " vom dritten Platz. "qwerty" rutscht ebenfalls um einen Platz nach unten und ist jetzt Fünftplatzierter. " ", das 2013 bester Neueinsteiger war, verpasst als unverändert Sechster den Sprung in die Top 5. Neu in der Hitliste der blödesten Passwörter sind "superman" auf Platz 21 und "batman", der an 24. Stelle liegt.

11 Bundestag Hack was ist hier passiert? Mögliche Infektion (Szenario): Angreifer zielen parallel auf Mitarbeiter von Wahlkreisbüros Mit Phishing s werden einige PC übernommen Trojaner Server Von einzelnen Client-Rechner werden zentrale Server oder Netzwerkdrucker infiziert Schadware ist im Bundestag eingenistet und baut Kommunikations-Kanäle auf Phishing- VPN Internet Daten und Passwörter werden ausgeleitet Datenmanipulation lässt sich fernsteuern Wie viele und welche Geräte infiziert sind ist ungewiss Trojaner Zitat Norbert Lammert: Es fließen keine Daten mehr ab. Das heißt nicht, dass der Angriff gestoppt wäre Wahlkreis -büro

12 IT Bedrohungen aktuell Täglich ca neue Varianten von Viren, Trojanern und Würmern. Die Deutsche Telekom verzeichnet bis zu (2015) Angriffe pro Tag auf ihre Locksysteme (Honeypot) Bedrohung SIMCard Hijacking Kaspersky Cybermap - Live IMSI Catcher Mitarbeiter Gegenmaßnahme MDM / Enterprise Mobility Management Sicherheits- und Complianceconcept Complianceconcept Mitarbeiter Training, Awareness Campagnien

13 Super sicheres Web

14 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

15 Worum geht es? Wehren Sie finanziellen Schaden ab Treffen Sie souverän Entscheidungen Sparen Sie Zeit bei der Durchführung notwendiger Schutzmaßnahmen Sparen Sie die Kosten für teure IT-Abteilungen

16 Auswirkungen Finanzielle Schäden Rechtliche Konsequenzen Physikalische Schäden

17 Auswirkungen auf das Unternehmen Schaden pro gezieltem Angriff in kleinen und mittleren Unternehmen (bis zu Mitarbeiter) ca Euro, verteilt auf Euro an direkten Kosten und Euro für Präventivmaßnahmen 9% aller Cyber-Angriffe weltweit sind zielgerichtete Attacken. In Deutschland 5%. 24% Attacken weltweit, 25 Prozent in Deutschland, betreffen Hacks des Unternehmensnetzwerks. Gesamte Schadenshöhe: ca. 1,27 Millionen für Großunternehmen, kleine und mittlere Unternehmen Ca.19% der Unternehmen hat unter vorsätzlichen Datenlecks zu leiden, z.b. durch Versand von s mit vertraulichen Daten Einsatz mobiler Geräte von Mitarbeitern. Kosten für Großunternehmen bei Euro, für andere bei Euro. 39% der Attacken sind gegen Schwachstellen in der Unternehmenssoftware gerichtet. Kosten für Großunternehmen ca. 500k, kleine und mittlere Unternehmen ca

18 Mögliche Auswirkungen Finanzieller Schaden / Verlust Imageschaden Versicherungsablehnung Intellectual Property Verlust Reputationsverlust Kundenverlust durch unsicheres Datenhandling u.a.

19 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

20 Involvierte Gruppen CEO s / GF Verantwortliche für den Unternehmenserfolg in KMU S Betriebsrat CFO s / Finanzbuchhalter Geschäftsbereichsleiter Nicht IT Abteilungen Personalleiter

21 Auch das Management ist gefordert... Aspekte in der Managementverantwortung Sicherheitskonzept Notfallplan Imageschäden durch IT Sicherheitsverletzungen Risikobetrachtung / Risk-Management

22 Rechtliche Aspekte Aspekte der IT Sicherheit sind zu einem gewissen Teil durch das Management der GmbH / AG zu tragen und umzusetzen. Nicht alles kann und soll durch den IT Leiter /CIO getragen werden Einige Aspekte der IT-Sicherheit finden sich in folgenden Gebieten: inhaltliche Ausgestaltung von Verträgen allgemein, speziell internationalen Fragen Konfliktlösungsstrategien im IT-Bereich, insbesondere Mediation Gestaltung der Zusammenarbeit von Unternehmungen Forensics (Sicherstellung elektronischen Beweismaterials und elektronisch gespeicherter Informationen), insbesondere - Beweisbarkeit elektronischer Sachverhalte - Verträge im Bereich Providing, - Housing, Hosting, Webdesign etc. - Umsetzung von Datenschutzkonzepten, Policy etc. Compliance und Awareness

23 Rechtliche Aspekte Haftungsrisiken des Unternehmers IT-Compliance ist kein Selbstzweck. Ihre Vernachlässigung kann zu einer persönlichen Haftung des Vorstandes oder des Geschäftsführers nach den Paragrafen 93 Absatz 2 und 116 Absatz 1 AktG (analog) führen. Beispiel: Der richtige Raum für Ihr IT-System Ist Ihr IT-System rechtskonform? (Thema Lizenzen) Gesetzeskonforme digitale Archivierung Fazit Ihre Vernachlässigung kann zu einer persönlichen Haftung des Vorstandes oder des Geschäftsführers führen. Darüber hinaus ermöglicht IT-Compliance der Geschäftsleitung kräftig zu sparen. Überlizensierungen werden vermieden und ein prozessorientiertes IT-System spart Arbeitsstunden der Mitarbeiter.

24 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

25 Struktur IT-Sicherheit Passwortpolitik Datenträgerhandling Zugriffsschutz Virenschutz Schutz vor Malware Datenverschlüsselung Mitarbeiterschulung Kommunikation Compagnien Managementschulung

26 CIP einfache Klassifizierung Minimum CONFIDENTIAL: INTERNAL USE ONLY: PUBLIC:

27 Maßnahmen Tools und Maßnahmen BSI Grundschutzkatalog umsetzen - Verinice (Windows, Mac, Linux, kostenfrei) Link: - Aucity (Risk & Compliance Management ISMS Tool, kostenpflichtig) Basis Audit durchführen lassen (regelmäßig, z.b. 1x pro Jahr) Sicherheitskonzept erstellen Beispiel: Notfallplan erstellen Beispiel: Back / Restore Konzept erstellen und testen Checkliste erstellen für IT Sicherheitsmaßnahmen Kommunikations- & Schulungsplan erstellen Policies erarbeiten CIP Regeln beachten

28 Risiko Minimierung Vorsichtsmaßnahmen und Gegenmaßnahmen Empfehlungen - Mindestmaßnahmen Auf den Punkt gebracht Zusammenfassung Was nun, wie geht es weiter? Nächste Schritte Vorstellen einer Checkliste zum Mitnehmen

29 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

30 Tools zum mitnehmen Das IT Sicherheitsgesetz zur Erhöhung der Sicherheit von IT Systemen Neue IT Sicherheits gesetze bauen auf dem BSI auf!! Zur Zeit nur auf freiwilliger Basis mit der Allianz für Cyber-Sicherheit Einrichtung eines CERT Betreiber kritischer Infrastrukturen sind bereits jetzt verpflichtet zum Bericht Alle Unternehmen bekommen 2 Jahre zur Vorbereitung Zuständige Behörde u.a. BKA für Strafverfolgung Nach 303b StGB (Computersabotage) Nach 202a-202c (Vorbereiten und Durchführen) Nach 263a (Computerbetrug) Nach 303a (Datenveränderung) Aktiviert seit Weitere Gesetze zu beachten: TMG, TKG

31 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

32 Angabe in Millionen Bedrohung / Gefahrenlage Anzahl jährlicher Cyberangriffe weltweit 45 42, ,7 24,9 28, ,4 9,

33 Grundversorgungs ausfälle Neue Qualität von Cyber-Geiselnahmen Verschlüsselung als Waffe Die ersten SDN-Attacken Mehr und mehr (nationale) gesetzliche Auflagen

34 Inhalt Sensibilisierung Vorstellung der Gefahrenlage und Angriffs- Möglichkeiten Mögliche Auswirkungen auf das Unternehmen Rechtliche Aspekte & Verantwortung Basis Maßnahmen Grundhygiene Gesetze zum Thema IT Sicherheit und Haftung Status und Trend der Angriffe aus dem Netz Angriffsszenarien ohne Netzwerk eine Übersicht

35 Angriffsszenarien ohne Netzwerk eine Übersicht Sabotage Denial-of-Service (DoS)-Attacken Kompromittieren des Unternehmensimage Missbrauch der Systeme Hackerangriffe Spionage Spoofing, Phishing oder Pharming Social Engineering *)

36 Zusammenfassung Geld sparen Kosten effizienter IT Betrieb Cyber Security Maßnahmen schützen Vertrauen schaffen Der CEO/GF bleibt im Geschäft

37 Questions & Answers 37

38 Kontakt Northcraft Germany GmbH Rolf Simonis Dunantstr Ottobrunn Germany Tel: Mail: rolf.simonis@northcraft.net 38