IT-Sicherheit an Hochschulen. Reiner Schmidt, CIO der HS Ansbach

Transkript

1 IT-Sicherheit an Hochschulen Reiner Schmidt, CIO der HS Ansbach

2 Hochschule trotz(t) IT-Sicherheit

3 Inhalt Bedeutung/Bereiche der IT-Sicherheit Historischer Rückblick Status Quo IT-Sicherheit generell IT-Sicherheit an Hochschulen Ansätze/Lösungen

4 Wieso ist IT-Sicherheit wichtig? Ein Großteil der Industrieproduk2on und insbesondere der Exporte Deutschlands hängen heute vom Einsatz moderner Informa2ons- und Kommunika2onstechnologien (IKT) ab. IKT sind die Grundlage der wirtschaalichen Leistungsfähigkeit jeder IndustrienaGon und bilden die Basis für eine große Zahl an Dienstleistungen. Sie wirken zusammen mit den ProdukGonstechnologien, Material- und WerkstoSechnologie, den opgschen Technologien und der Mikrosystemtechnik. Im Maschinen- und Anlagenbau sind Steuerung, Test- und Prüfeinrichtungen ohne IKT undenkbar, die Chemische Industrie baut ihre Verfahrenstechnik auf IKT auf, in KraAfahrzeugen besgmmen sie mixlerweile alle wichggen FunkGonen Antrieb, KommunikaGon, Komfort und Sicherheit. IKT sind die Schlüsseltechnologien für InnovaGonen. Quelle: hxp:// (Stand: )

5 IT-Sicherheit - Bereiche Archivierung Backup Firewall PKI... Technische Sicherheit IT - Sicherheit Ökonomische Sicherheit Kundenbindung Patentschutz Versicherung... IT- Sicherheit: AuthenGzität Integrität Vertraulichkeit Verfügbarkeit Compliance Datenschutz JurisGsche Sicherheit Organisatorische Sicherheit Policiy Richtlinien Schulungen Kontrollen... IT- Sicherheit ist kein Produkt IT- Sicherheit ist ein Prozess

6 Historischer Rückblick "Wer vor der Vergangenheit die Augen verschließt, wird blind für die Gegenwart. Richard von Weizsäcker

7 Historischer Rückblick ENIGMA (griechisch Rätsel ) 1950 Echelon UdSSR - Sputnik USA - Advanced Research Projects Agency" (ARPA) Palaquium gu*a, der GuXaperchabaum NSA 12. Tagung der DFN- Nutzergruppe Hochschulverwaltung in Bochum Sicherheit trotz(t) IT

8 Historischer Rückblick InformaGonsgesellschaA $ è Daten / Wissen Human Brain 1.0 IndustriegesellschaA $ Energie / Rohstoffe AgrargesellschaA $ Boden / Klima

9 Status Quo Entscheidungsträger Quelle: Dr. Gerry McCartney 2014: PUTTING THE I BACK IN CIO: BIG DATA, BIG CHANGES. (Unveröffentlichtes Manuskript). EDUCAUSE 2014 Orlando

10 Status Quo - Daten Bis zu 200 Mio. SMS pro Tag durch die NSA abgefangen Quelle: Bilder vom Gartner CIO Symposium 2013 Barcelona (Reiner Schmidt)

11 Status Quo Data Big Data Cloud Graphen Social Media

12 Status Quo Cloud Public Cloud? Private Cloud DatenklassifikaGon

13 Status Quo Big Data Ein echtes Spannungsfeld zwischen Datenschutz und IT- Sicherheit Log- Files & Graphen + Facebook TwiXer 91% der Angriffe führen binnen Stunden zu Datenverlusten; 79% werden erst nach Wochen oder später entdeckt. Weniger als 1% der Cyberkriminellen wird gefasst. 1) IT- Sicherheit braucht Big Data 1) Quelle: IT- Sicherheit Eine neue Philosophie hält Einzug.. hxp:// welt/it- sicherheit- das- neue- konzept- heisst- big- data/ html. 14..November 2014

14 Status Quo - Angriffsvektoren European Union Agency for Network and InformaGon Security Threat Landscape 2014 Louis Marinos, ENISA: ENISA Threat Landscape 2014 (Dezember 2014), hxp:// management/evolving- threat- environment/enisa- threat- landscape/enisa- threat- landscape (Stand )

15 Status Quo Malware samples Malware- Signaturen (AV- Test) Prognose für 2015: If we consider that 200 million number, we see that to reach it over the year, AV- Test or any reputable ang- malware vendor should be capable of processing an average of 600,000 samples every single day. Reagieren und Probleme lösen: The focus for organizagons is not just how to protect, but rather how to respond and remediate axacks understanding with certainty that axacks will be successful if carefully planned and executed. Weniger als 40% der Android- Devices mit Malware- Schutz: While we can expect more than 90 percent of Windows systems to be protected by security soaware, the overall protecgon level of Android devices is lower. We esgmate that just below 40 percent of Android devices have some kind of ang- malware solugon installed HP Security Research: Cyber Risk Report 2015, hxp://info.hpenterprisesecurity.com/lp_460192_cross_cyberriskfullreport_0315_gate (Stand )

16 Status Quo - NSA Radarsender Signalanalyse (EU- Vertr. Washington) Passive Audiowanzen (Radar) BIOS Firmware HD MBR WMI Funksender Mini- Computer- Implantat Ungenutzte Wireless IF HW- Implantate für Monitor und Tastatur mit Radar (1 kw) BIOS SW- Einschleusen bis 13 km KarGerung m. Drohnen BIOS Boot- ROM BIOS Boot- ROM Zufallszahlen? (RSA) 10 Mio. $ Implantate: iphone Windows Mobile, SIM, Notebooks Funk- Zellen- Simulatoren (Merkel) Ortung NSA- Skandal: hxp:// (Stand )

17 Staus Quo - Wer kontrolliert das Internet? IETF Internet Engineering Task Force Internet Governance ICANN Internet CorporaGon for assigned Names and Numbers Vorwiegend technische Belange ITU InternaGonal TelecommunicaGon Union Teil der UN Jedes Land hat eine SGmme Adressierung Konferenz in Dubai, Dez Thema Mehr Kontrolle im Internet Dafür: Arabische Staaten, Russland, China,... (Mehrzahl) Dagegen: EU- Länder, USA,... DebaXe noch nicht beendet

18 Status Quo an Hochschulen A Anarchie Art. 5, Abs. 3 GG WirtschaAlich Erfolgsgetrieben? B BürokraGe Staatliche Hochschulen VerwaltungsvorschriAen C Chaos...

19 Status Quo an Hochschulen Policies und Regelungen zwingend nögg! BYOD (Bring Your Own Device) Mobilisierung. Virtualisierung. GSM / UMTS / LTE WLAN Bluetooth USB Kamera(s) Adressdaten Zugangsdaten Firmendaten... Aber auch: Digital MarkeGng (SMS)

20 Status Quo an Hochschulen BYOD (Bring Your Own Device) Netbook TableX Notebook Mobile Devices Smartphone Windows Unix Android IOS Store oder Market? The cumulagve Android threat volume Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE Trend Micro Security PredicGons for 2015 and Beyond, hxp:// content/us/pdfs/ security- intelligence/reports/ rpt- the- invisible- becomes- visible.pdf (Stand )

21 Status Quo an Hochschulen BYOS - Bring Your Own Service BYOE? (Bring Your Own Everything) Also bleiben wir dabei: BYOD! (Bring Your Own DestrucGon) Quelle: hxp://ethority.de/social- media- prisma/. 14. November 2014

22 IT-Sicherheit generell dokumentierte Internetangriffe Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE Trend Micro Security PredicGons for 2015 and Beyond, hxp:// content/us/pdfs/security- intelligence/reports/rpt- the- invisible- becomes- visible.pdf (Stand )

23 IT-Sicherheit generell dokumentierte Internetangriffe Quelle: hxp:// (Stand )

24 IT-Sicherheit generell Angebot und Nachfrage Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE Trend Micro Security PredicGons for 2015 and Beyond, hxp:// content/us/pdfs/security- intelligence/reports/rpt- the- invisible- becomes- visible.pdf (Stand )

25 IT-Sicherheit generell Akteure und deren Aktionen THREAT Akteure THREAT AkGonen Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hxp:// (Stand )

26 IT-Sicherheit generell Top Ten der Malware-Schleudern TOP 10 DER LÄNDER, AUF DEREN RESSOURCEN SCHADPROGRAMME UNTERGEBRACHT SIND 44% of all web axacks came from resources located in the USA and Germany. 87% of nogficagons about axacks blocked by angvirus components were received from online resources located in 10 countries. This is 5 percentage points more than in the previous year. Quelle: Kaspersky: KASPERSKY SECURITY BULLETIN 2014/2015, hxp://media.kaspersky.com/de/business- security/kaspersky Lab Security Report 2014_2015_screen.pdf (Stand )

27 IT-Sicherheit generell Wo ist das Infektionsrisiko gering? INFEKTIONSRISIKO NACH LÄNDERN Quelle: Kaspersky: KASPERSKY SECURITY BULLETIN 2014/2015, hxp://media.kaspersky.com/de/business- security/kaspersky Lab Security Report 2014_2015_screen.pdf (Stand )

28 IT-Sicherheit an Hochschulen Datenpannen im Vergleich Verizon: The 2015 Data Breach InvesGgaGons Report Scien2fic Research Research Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hxp:// (Stand )

29 IT-Sicherheit an Hochschulen Malware-Ereignisse im Vergleich FireEye, Palo Alto Networks, Lastline, und ForGnet untersuchen Daten von kleinen, MiXleren und großen OrganisaGonen in 61 Ländern quer über die verschiedenen Sektoren (2014). InvesGGonen in IT- Sicherheit The low average numbers for Financial Services could mean that that industry is bexer at filtering out phishing e- mails before they arrive at the malware protecgon appliances, or is axacked with malware that s harder to detect. In contrast, the prolific amount of malware hi ng educa2on ins2tu2ons could be the byproduct of less- strict policies and controls, or a sign that Educa2on users are easy pickings for high- volume opportunisgc threats. Fehlende Policies (Governance), Awareness, Art. 5 - GG Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hxp:// (Stand )

30 IT-Sicherheit an Hochschulen Neugier? Test von zwei Sicherheitsfirmen mit Mails ergab: Awareness Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hxp:// (Stand )

31 IT-Sicherheit an Hochschulen Reaktionsgeschwindigkeiten im Vergleich Average number of botnet triggers in 2014 (for each company)... UlGmately, the leader in near- pervasive infecgons across the majority of underlying organizagons is EducaGon. This should come as no surprise, given the regular influx of unmanaged devices as hordes of innocent youth invade our halls of higher learning. (Mobile) Device Management unmanaged Devices nur bei Studenten? Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hxp:// (Stand )

32 IT-Sicherheit an Hochschulen Aus Verizon- Report leitet sich ab: InvesGGonen in technische Lösungen und Personal (Mobile) Device- Management / Asset- Management Organisatorische Regelungen und Policies Awareness... Governance!

33 IT-Sicherheit an Hochschulen Ansätze/Lösungen Organisatorisch IT- SicherheitsbeauAragter Noƒallplan Risikomanagement Sicherheitsrichtlinien Schulungen zur IT- Sicherheit Datensicherungskonzept Konzept zum Löschen von Daten DokumentaGon Aktualität Quelle: Werner Wüpper et al. (2012): InformaGonssicherheitsmanagement beginnt beim Management, hxp:// Praxisleiƒaden_InformaGonssicherheitsmanagement- data.pdf (Stand: )

34 IT-Sicherheit an Hochschulen Ansätze/Lösungen Technisch Integrierte InformaGonsverarbeitung è Keinen Bereich isoliert sehen! Governance!

35 IT-Sicherheit an Hochschulen Ansätze/Lösungen Awareness

36 IT-Sicherheit an Hochschulen Ansätze/Lösungen Awareness Technische Sicherheit Ökonomische Sicherheit Awareness IT - Sicherheit JurisGsche Sicherheit Organisatorische Sicherheit

37 IT-Sicherheit an Hochschulen Ansätze/Lösungen Awareness- Kampagnen In Form von: Comic- Broschüre Kalender Flyer Plakat Security- Ticker auf Webseite Quelle: hxps:// (Stand )

38 IT-Sicherheit an Hochschulen Vielen Dank für Ihre Aufmerksamkeit! Fragen?