IT-Sicherheit nach Snowden

Transkript

1 IT-Sicherheit nach Snowden Falk Garbsch Chaos Computer Club e. V. 1/24

2 Chaos Computer Club Deutscher Hackerverein Sprachrohr für die Hacker-Community Mittlerweile mehr als Mitglieder Wir beschäftigen uns mit: Informationsfreiheit Informationssicherheit Auswirkungen von Technologien auf die Gesellschaft Seit 1984: Chaos Communication Congress 2/24

3 Informationsflüsse Bewusste Informationsweitergabe Abfluss durch Dritte (Zulieferer, Dienstleister, Berater) Hackerangriffe auf EDV 42,4 47,8 46,8 Diebstahl von IT-/Kommunikationsgeräten 32,7 Geschicktes Ausfragen Informationsfluss außerhalb (Heimarbeitsplatz, Cloud-Services) Abhören/Mitlesen v. Kommunikation 12,2 15,5 22,7 Einbruch in Gebäude Abhören von Besprechungen/Telefonaten, Mitlesen von Faxen Sonstige 0,4 6,5 11, Quelle: TÜV SÜD, /24

4 Sichere Softwaresysteme The only system which is truly secure is one which is switched off and unplugged locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn't stake my life on it. Gene Spafford 4/24

5 The Trinity of Trouble Connectivity Extensibility Complexity Quelle: Exploiting Software How To Break Code, McGraw 5/24

6 Technische Einflussfaktoren Auch neben der NSA: Technologien spielen eine wichtige Rolle: Angriffe auf Infrastruktur Angriffe auf unverschlüsselte Kommunikation Diebstahl von Notebooks, Smartphones Abhören von Telefonen Angriff auf Heimarbeitsplätze Auslagerung von Daten in Cloud-Services 6/24

7 Technische Einflussfaktoren Hier kommt die NSA ins Spiel: Massenweise Erfassung von s (PRISM) Speichern von Telefonaten (MYSTIC, RETRO) Überwachung des Internetverkehrs und automatische Infiltration von Systemen (FoxAcid) Modifikation von Netzwerkhardware Infiltration von Cloud-Diensten (Google, Yahoo, Facebook, Apple, ) Angriff von Mobiltelefonen (Android, ios, Windows, Blackberry) 7/24

8 Risikofaktor Mensch Given a choice between dancing pigs and security, users will pick dancing pigs every time. Felten and McGraw 8/24

9 Risikofaktor Mensch Größter Risikofaktor bleibt der Mensch Was nützt eine Firewall, wenn der Mitarbeiter sie ausschaltet? Was nützt ein sicherer Login, wenn der Mitarbeiter das Passwort ausplaudert? 9/24

10 Was würden Sie tun? 10/24

11 Was würden Sie tun? 11/24

12 Wir machen es Angreifern zu leicht Eine unverschlüsselte Mail gleicht einer Postkarte Telefonie ist schon immer Unverschlüsselt Seit einigen Jahren zunehmender Umstieg auf VoIP Daten werden in Online-Portalen gelagert Cloud-Hype Dropbox, Google-Docs Festplattenverschlüsselung die Ausnahme 12/24

13 Was will die NSA mit meinen Daten? Personenbezogene Daten: Ausspähen von Mitarbeitern, Mandanten, Kunden Geschäftsdaten: Auch für Geheimdienste kann ein Handel mit Geschäftsgeheimnissen wertvoll sein US-Unternehmen arbeiten mit NSA zusammen (Snowden) - Wird hier mit Informationen bezahlt? Auch die NSA arbeitet mit externen Unternehmen - Wo fließen Daten hin? 13/24

14 Abseits der NSA Gehen Sie immer davon aus: Das was Geheimdienste können, können oft auch andere Was Weltkonzerne kompensieren ist für kleine Unternehmen der Ruin: Diebstahl vertraulicher Daten 14/24

15 Wie geht s weiter? "Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on." Edward Snowden 15/24

16 Wie geht s weiter? properly implemented: Die NSA arbeitet an Standards zur Verschlüsselung Die Implementation von Crypto-Algorithmen ist kompliziert strong crypto systems: Es existieren viele Verfahren, die als kryptographisch Sicher angesehen werden können. 16/24

17 Von der Postkarte zum Brief Ende-zu-Ende Verschlüsselung schützt Inhalte: Verschlüsselung beim Sender Entschlüsselung beim Empfänger Verfahren: S/MIME oder PGP/GnuPG sind als sicher anzusehen Erlaubt: Signatur und Verschlüsselung Einrichtung bei Sender und Empfänger erforderlich 17/24

18 Von der Postkarte zum Brief Privater Schlüssel und öffentlicher Schlüssel: Schlüssel/Schloss-Prinzip Sender kennt öffentlichen Schlüssel des Empfängers und nutzt diesen zur Verschlüsselung Empfänger kann die Mail nur mit zugehörigem privaten Schlüssel lesen Der öffentliche Schlüssel kann ins Internet Der private Schlüssel muss geheim bleiben 18/24

19 D und Made-in-Germany Vorsicht vor falschen Werbeversprechen Unternehmen haben Security-Hype entdeckt SSL kann zwar Verbindungen, aber keine Mails verschlüsseln Betreiber können Mails trotzdem lesen und damit auch potentielle Angreifer! Made-in-Germany: Unternehmen verkaufen 15-Jahre alte Technologien als Innovation D Kein Ende-zu-Ende 19/24

20 Fesplatten-Verschlüsselung Problem: Gestohlenes Notebook Kennwörter schützen nicht Angreifer kann Festplatte ausbauen Angreifer kann Kennwörter umgehen Eine sicher verschlüsselte Festplatte ist für einen Dieb unlesbar (das gilt auch für Geheimdienste) 20/24

21 Schulung von Mitarbeitern Größtes Risiko: Mitarbeiter Passwort unter dem Mousepad Unsichere Passwörter Preisgeben von Zugangsdaten am Telefon Unsicherer Heimarbeitsplatz Privat-Notebook am Arbeitsplatz Öffnen von infizierten -Anhängen (EXE, PDF, Bilder) 21/24

22 Schulung von Mitarbeitern Awareness schaffen Gezielte Schulung im Umgang mit s, Internet-Verbindungen, Sicherheitsschulungen für Schlüsselpositionen (Multiplikatioren) Sensibilisierung für Vertraulichkeit von Daten Mitarbeiter müssen Assets kennen 22/24

23 Schulung von Mitarbeitern Explizite Verbote für die Nutzung von Cloud- Services zu Dienstzwecken: Dropbox, Google-Docs Apple/Android-Telefone Alternativen schaffen! Festlegung von Sicherheitsrichtlinien von Passwörtern Oder sogar: Authentifizierung per Smartcard? 23/24

24 Zusammenfassung Schulen Sie Ihre Mitarbeiter Machen Sie sich klar, welche Assets sie schützen müssen Setzen Sie bewährte Verschlüsselung ein Nehmen Sie IT-Sicherheit ernst 24/24