IT-Schwachstellenampel: Produktsicherheit auf einen Blick

Transkript

1 Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1

2 Aktuelle Lage 2

3 Bedrohungen für Unternehmen Diese Folgen können für Sie aus Datenpannen und Cyberangriffen entstehen! Verlust geschäftskritischer Daten (Kronjuwelen) Entgangener Umsatz Ermittlungskosten (Forensik) Kosten für die Beseitigung der Schwachstellen Kosten für die Benachrichtigung Betroffener (Kunden, Lieferanten, Partner) Vertrauensverlust / Reputationsschäden Sanktionen durch die Aufsichtsbehörde (z. B. Bayerische Landesamt für Datenschutzaufsicht) 3

4 Bedrohungen für Unternehmen Fotolia Andrew Ostrovsky Quelle: Quelle: Cybercrime Cyberkid Cyberwar Motivation Geld Spaß, Neugier Strategisch Zielauswahl Individuell, zufällig Zufällig, politisch Individuell, kollateral Organisation Sehr ausgeprägt Teilweise Perfekt Kompetenz Hoch Gering bis hoch Sehr hoch 4

5 Widerstandsfähigkeit aufbauen Wie überlebt mein Netz einen Angriff? IT-Umgebungen werden durch IDS und Firewall behütet Wird die harte Schale einmal überwunden, ist der Rest leichte Beute Schadensbegrenzung durch innere Härtung 5

6 Begriffsklärung Sicherheitsanalyse Penetrationstest Vulnerability Scan SICHERHEITSANALYSE PEN-TEST SCHWACHSTELLEN SCAN Angriffe auf das Unternehmensnetzwerk frühzeitig abwehren Schwachstellen an den Schnittstellen zwischen Internet und Unternehmensnetzwerk Z. B. Server-Systeme, Web-Anwendungen oder VPN-Zugänge Verbunden mit überschaubarem Aufwand Simulation des Worst Case Hacker-Angriff auf Infrastruktur, Systeme oder Applikationen simuliert Detaillierte Beleuchtung ob das aktuelle IT- Sicherheitskonzept wirklich trägt Software, nicht Hacker übernimmt die Arbeit Sicherheitslücken lassen sich automatisch detektieren Günstiger Nur bekannte Schwachstellen werden gefunden 6

7 Vulnerability Scan / Schwachstellenscan Warum im eigenen Netz scannen? 7

8 Schwachstellenscans Vorteile Wachsendes Sicherheitsbedürfnis Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit Erhöhung der Sicherheit der technischen Systeme Identifikation von Schwachstellen Sofortige Übersicht der Schwachstellen Übersichtlicher Aufwand Schutz der eigenen Werte Gewinn von Kundenvertrauen Quelle: 8

9 IT-Schwachstellenampel Das ITS-System Erstellt in Zusammenarbeit von IHKs/DIHK, BSI und Greenbone im Rahmen der Allianz für Cybersicherheit Open Source auf Basis OpenVAS Anwendungen komplett mit Betriebssystem als virtuelle Maschine Vollwertiges Experten-Tool unter der ITS-Haube 9

10 IT-Schwachstellenampel Das ITS-System Das brauchen Sie: 1. Eigenes Betriebssystem / Zielsystem zum Scannen 2. Virtualisierungs-Software installieren Virtual Box oder VMware Player Download Virtual Box MAC Download Virtual Box Windows 3. Virtuelle Maschine importieren Schwachstellenscanner ITS importieren über (its.ova) 4. Netzwerkverbindung von der Virtuellen Maschine zum Zielsystem 10

11 IT-Schwachstellenampel Das ITS-System Das müssen Sie beachten: Nur Zielsysteme angeben, die Ihnen gehören oder für die Sie die Erlaubnis haben, einen Scan durchzuführen! Nicht direkt für den Produktiv-Dauer-Betrieb geeignet Experten sollte folgende Maßnahmen durchführen: Passwörter und Schlüssel ändern System, Software und Daten aktualisieren Quelle: 11

12 IT-Schwachstellenampel Das ITS-System Prüfung durchführen Schritt 1: Anmelden Schritt 2: Zielsystem angeben 12

13 IT-Schwachstellenampel Das ITS-System Prüfung durchführen Schritt 3: Prüfung starten Schritt 4: Prüfergebnisse einsehen 13

14 IT-Schwachstellenampel Das ITS-System Ergebnisse Ergebnisbericht ROT: 10 Punkte >>> Jeder kann den Rechner übernehmen GELB: 5 Punkte >>> Mittelmäßige Bedrohungen GRÜN: 0 Punkte >>> Keine Schwachstelle vorhanden Weitere Schritte: System aktualisieren Ergebnis: 90% der gefundenen Angriffspunkte lassen sich durch ein Standardupdate entfernen 14

15 IT-Schwachstellenampel Das ITS-System Zusammenfassung Mit dem ITS-System kann schnell die Bedrohungslage für Rechner oder Geräte ermittelt werden. Auch und besonders ist bei einem Sicherheitssystem auf Sicherheit zu achten (voreingestellte Passwörter usw.) Der nächste Schritt ist der dauerhafte Produktiv-Betrieb als Teil der Sicherheitsprozesse 15

16 IT-Schwachstellenampel Starten Sie jetzt! Download: Schwachstellenscanner: ITS-2.4.ova (3,74 GB) Link: MD ef49475d7b0001ebbaa3f2637a Verwundbares Testsystem (zum Testen): Metasploitable2.ova (905 MB) (Opfersystem) Link: MD5 cade3870ce519272f4c0ae b30 Workshop zur IT-Schwachstellenampel (Termine werden noch bekannt gegeben) Bitte, geben Sie dazu Ihre Visitenkarte in der Box vor dem Ausgang ab! 16

17 Fotolia Andrew Ostrovsky Vielen Dank für Ihre Aufmerksamkeit, B. Sc. Wirtschaftsinformatik Informationssicherheit Ulmenstraße Nürnberg Tel.: Fax: Blog: Internet: 17