Aktuelles zu Bedrohungen und Maßnahmen. im Kontext des nationalen Lagebilds Cybersicherheit

Transkript

1 Aktuelles zu Bedrohungen und Maßnahmen im Kontext des nationalen Lagebilds Cybersicherheit Dipl. Math. Klaus Keus Referatsleiter Cyber-Sicherheit: Analyse und Prognose Bundesamt für Sicherheit in der Informationstechnik 2. Forschungstag IT-Sicherheit NRW 15. Juni 2015 Hochschule Niederrhein, Krefeld

2 Agenda Hintergründe: Ursachen und Parameter der aktuellen Gefährdungs- und Cyber-Sicherheitslage Lösungsansatz: 'Aus der Praxis für die Praxis': Lagebild Cyber-Sicherheit Der nächste Schritt: von Cybersicherheit zu IT-Sicherheit Fazit und Zusammenfassung

3 Cyber-Sicherheitslage: Ursachen Technische Komplexität, Vernetzung und Vielfalt Komplexität und Sicherheitsbewusstsein Informationsaustausch und zugeh. Nutzung Geringes Entdeckungsrisiko

4 Cyber-Sicherheitslage ist bestimmt durch Ursachen (Technologie, Verhalten) Angriffsmittel und -Methoden (Vielfalt der Technologischen Mittel und Methoden) Angreifer / Täter Wirkungen Cyber-Sicherheitslage: Parameter

5 Mehrdimensionaler Bedrohungsanstieg WAS macht eine steigende Bedrohung aus? Professionalität + Vernetzung der Angreifer Preisverfall + Marktangebot (z. B. Exploit-Kits) Technologieentwicklung Verkettung von Angriffsmethoden und Werkzeugen zu einem Angriffsvektor Zunehmende Häufigkeit Reaktion der Täter / Angreifer auf verbesserte Abwehr (Ping-Pong-Effekt)...

6 Cyber-Sicherheitslage: Lösungsansätze ein multilateraler Ansatz mit unterschiedlichen Zielgruppen: Anwender Provider und Diensteanbieter IT-Branche und Hersteller Politik BSI

7 Technische Lageinformationen Das BSI verfügt über eine Vielzahl von technischen Informationen über die Cyber-Sicherheitslage Lagezentrum Vorfallsmeldungen und -bearbeitung Auswertung öffentlicher Nachrichtenquellen Statistiken und Detektionsdaten Regierungsnetze Vertragspartner Partner der Allianz für Cyber-Sicherheit

8 Konkreter Lösungsbeitrag des BSI

9 Ziel: Lagebild Cyber-Sicherheit: Ziel / Zielerreichung Nachhaltige Verbesserung der Cyber-Sicherheit in D Argumentationshilfen für die Bereitstellung von Ressourcen durch Risikodarstellung (Sensibilisierung) Aufzeigen von lagespezifischen Maßnahmen für Management, CISO, Administratoren Auslösen akuten Handlungsbedarfs Frühwarnung noch nicht betroffener Bereiche Ableiten des präventiven/reaktiven Handlungsbedarfs Ableiten eines politischen Handlungsbedarfs Zielerreichung durch: Laufend aktualisierte Themenlagebilder Analyse der Ursachen Risikodarstellung Handlungsempfehlungen

10 Lagebild Cyber-Sicherheit: Adressaten Institutionen, die potenzielles Angriffsziel darstellen können: Verwaltung (Bund, Land, Kommunen) Wirtschaft (KRITIS, INSI, KMU) Institutionen, die mittelbaren Einfluss besitzen auf IT-Sicherheit: Aufsichtsbehörden Forschungseinrichtungen Provider Dienstleister für Cyber-Sicherheit Hersteller von Cyber-Sicherheitsprodukten Politik Medien

11 Lagebild Cyber-Sicherheit: Zielgruppen - Hierarchieebenen -

12 Lagebild Cyber-Sicherheit: Quellen Quellen des Bundes Quellen der Allianz Sonstige Quellen Lagezentrum Netze des Bundes Meldestelle Partner der Allianz gemeldete Vorfälle CERTs Hersteller Dienstleister andere kostenlose (OpenSource) oder Kostenpflichtige Quellen (z.b. Forschung) Lagebild Cyber-Sicherheit

13 Lagebild Cyber-Sicherheit: Themenlagebilder Technische Ursachen für Cyber-Angriffe Themenlagebild: Schwachstellen Cyber-Angriffsmittel Themenlagebild: Schadprogramme (Malware) Themenlagebild: Botnetze Themenlagebild: Drive-by-Exploits Themenlagebild: Exploit-Kits Themenlagebild: Diebstahl und Missbrauch von Identitäten Auswertung der Vorfälle im Bereich Flächenangriffe und gezielte Angriffe Themenlagebild: Spam Themenlagebild: DDoS Themenlagebild: Gezielte Angriffe (APT) Täterorientierte Cyber-Sicherheitslage, Hacktivismus und Malware-Autoren Themenlagebild: Hacktivismus

14 Schwachstellen Lage / Daten / Fakten. Abbildung: Anzahl aller Schwachstellen der betrachtete Softwareprodukte, Quelle: BSI, Stand: Februar 2015 Abbildung:Anzahl aller entdeckten Schwachstellen bis Februar 2015, in den 13 weitverbreitesten Softwareprodukten, Quelle:BSI, Stand: Februar 2015 Täglich 2 neue kritische Schwachstellen Mindestens 6% Windows XP-Clients in D 11% aller Benutzer arbeiten auf einem ungepatchten Windows-Betriebssystem (Win 7, Win 8, Windows Vista). 5,3% der Nutzer setzen veraltete Systeme ein, für die es keine Updates mehr gibt

15 Schadprogramme Lage Die Gefährdung einer Infektion mit Schadprogrammen ist sehr hoch. Abbildung: Windows-Schadsoftware-Varianten insgesamt Quelle: A V-Test GmbH, Stand: Januar 2015 Infektionen mit Schadsoftware in Deutschland, Quelle: ein AV Hersteller, Stand: März 2015

16 Schadprogramme Fakten Im Januar 2015 wurden in Deutschland von einem einzigen AV- Hersteller allein rund 6,7 Millionen Infektionen durch Schadprogramme gezählt, von wurden rund 34 Millionen Windows-Schadsoftware-Varianten gezählt Täglich werden min neue Schadprogramm-Varianten gesichtet. Die Zeitspanne, bis neue Schadprogramme von AV-Produkten erkannt werden, beträgt mehre Stunden bis hin zu Tagen. In dieser Zeit ist der Rechner ungeschützt. Windows-Plattformen sind von Schadprogrammen mit ca. 95% am allermeisten betroffen. Neue Schadprogramme-Varianten für mobile Endgeräte greifen zu ca. 98% Android Plattformen an Malware-Verbreitung über Drive-By-Exploit, Download und Tägl. min neue Schadprogramm-Varianten In den letzten 12 Monaten: Malware (Windows)

17 Schadprogramme Mobile Endgeräte Über Apps werden derzeit die meisten Schadprogramme auf mobilen Endgeräte verbreitet Abbildung: Anzahl schadhafter Android-Applikationen, Quelle: AV TEST GmbH, Stand: März 2015 Die blaue Linie ist hier die Anzahl neuer Varianten pro Monat, die rote Linie die Gesamtsumme aller bekannten Varianten schadhafter Android-Apps. mehr als verschied. mobile Malware (Android). andere mobile Plattformen (Apple ios, Windows Phone) nur jeweils weniger als 10 gefährliche Apps bekannt.

18 Schwachstellen: Exploit-Kits Lage / Daten / Fakten Häufigste Exploit-Kits Detektionen in D: Angler, Sweet Orange, Nuclear Exploit-Kit Angler EK seit Monaten für 50-80% der Detektionen in D verantwortlich Schwachstellen: / : 3 0-Day-Schwachstellen in Adobe Flash Player Verwendung im Angler sowie dem HanJuan Exploit-Kit bekannt. Folge: u.a. Schadsoftware-Infektion (Bedep) mit Ziel Klickbetrug. Anzeichen für Ausnutzung einer dieser Schwachstellen bereits in (2 Monate vor dem Sicherheitsupdate) Bedrohungseinschätzung nach Anwendungen: Adobe Reader / Acrobat Adobe Flash Fa. Adobe Gesamtbedrohung durch Exploit-Kits Lageänderung im Herbst 2014 Nutzung neuer Exploits Nutzung 0-Day-Exploits Angriffskampagnen mittels bekannter Webseiten Microsoft Internet Explorer Microsoft Silverlight Oracle Java Häufung neuer Exploits in sehr kurzem Zeitraum sehr auffällig Erhebliche Verschärfung der aktuellen Bedrohungslage

19 Anzahl. Angriffsbandbreite: DDoS Lage / Daten / Fakten Jan. - heute: ca Angriffe in D, in Q wurden mehr als Angriffe registriert, d. h. mehr als 190 Angriffe pro Tag maximal beobachtet: 400 Gbps Durchschnitt in D: 2,5 Gbps Reduzierung gegenüber 2014: Q unter 500 kpps Angriffsmethoden Botnetz-Angriffe Reflection Angriffe (DNS, NTP (rückläufig), CHARGEN, UDP-basiert) Reduzierung gegenüber 2014: Q unter 500 kpps Motivation Sabotage (politischen bzw. ideologischen Auseinandersetzung) Manipulation bzw. Störung von Online-Games bzw. Online-Wetten Vandalismus bzw. Demonstration von DDoS Fähigkeiten Dauer / Durchschnittliche Dauer Wenige Minuten mehrere Tage Durchschnitt Minuten Kosten Täter: Rent a DdoS: 1 Stunde = 5 $, 1 Tag = $ Opfer: in der Regel deutlich höher (direkte Kosten, akute Umsatzausfälle, langfristige Umsatzausfälle durch Kundenverlust Reputationsverlust)

20 APT Lage / Daten / Fakten Gezielte Cyber-Spionage-Angriffe - werden zu 2/3 extern entdeckt - werden erst nach Monaten entdeckt

21 APT Branchen / Angriffsmethoden Bevorzugte Branchen Rüstungsindustrie Hochtechnologiebranche: Auto, Schiffbau und Raumfahrt Forschungseinrichtungen Öffentliche Verwaltung Vorgehensweise bei APT-Angriffen Typische Angriffsmethoden (sehr professionelle Vorgehensweise des Angreifers): Vorbereitung: Social Engineering zu Zielpersonen Angriffsvektor mit Malware-Anhang an Zielperson Angriffsvektor Watering-Hole-Angriff mit Malware auf Webseite

22 Cyber-Sicherheitslage: Gesamtüberblick Angriffsmittel

23 Lagebild Cyber-Sicherheit: Trend- Überblick / Gefährdungsbarometer

24 Bedrohung vs. Schutz? Bedrohungen entwickeln sich schneller als potentielle Schutzmaßnahmen! (?)* *) PwC_Defending yesterday_

25 Vom Cybersicherheits-Lagebild zum IT-Sicherheitslagebild der nächste Schritt: 3 Beispiele

26 Lagebild IT-Sicherheit: Weiße Flecken: Beispiel I: Bedrohungen Schwachstellen Welche Bedrohungen treten am häufigsten auf? Täglich (z.b. Malware-Attacke, Drive-By-Exploit) Monatlich (z.b. Cross-Site Scripting) Jährlich (z.b. Laptop-Diebstahl, APT-Angriff) Treten selten auf (z.b. flächendeckender Stromausfall, Brand im Rechenzentrum) Welche Schwachstellen treten am häufigsten auf? Client, Server, Webserver, Virtualisierung, Cloud Organisation, Infrastruktur, Technik Personalwesen... Aus der Praxis für die Praxis

27 Lagebild IT-Sicherheit: Weiße Flecken: Beispiel II: Kosten Kosten für Präventionsmaßnahmen Malware-Schutz, SPAM-Schutz, DOS-Schutz,... Firewall, Logdatenauswertung, Primärkosten bei Cyber-Angriffen Verluste durch Betriebsunterbrechung, Produktionsausfall Wettbewerbsnachteile durch Know-How-Abfluss Wettbewerbsnachteile durch Image-Verlust Sekundärkosten bei Angriffen Kosten für forensische Untersuchungen Kosten für die Bereinigung der Systeme Grad und Umfang der Investitionen/des Investments in Prävention, Detektion und Reaktion als wirtschaftlich begründbar und risikominimierend?

28 Lagebild IT-Sicherheit: Weiße Flecken: Beispiel III: Branchen Wie stark ist die Branche gefährdet? Wie gut ist die Branche geschützt? Was ist sicher genug für die Branche? Benchmarks für die Branche fehlen. Branchenzuschnitt erforderliche Detailinformationen (Bspl. IT-SiG: KRITIS)

29 Zusammenfassung Die Cybersicherheitslage in D ist bedrohlich! Deutschland ist massives Ziel für Cyber-Crime wird breit cyber-ausspioniert ist Schwellenland für Cyber-Sabotage die Dimension der Cyber-Angriffe auf Deutschland ist besorgniserregend Praktisch jedes Unternehmen wird cyber-attackiert, nicht alle merken es Es gibt noch eine Vielzahl von notwendigen Erweiterungen Die Lage kann nur in Zusammenarbeit bewältigt werden

30 Fazit I Deutschland braucht: Cyber-Risiken bewusste Entscheider ein Nationales Cyber-Sicherheitslagebild Daraus abgeleiteten, gemeinsam erarbeiteten Stand der Technik Cyber-Sicherheit Vertrauenswürdige Anbieter von Cyber-Sicherheits- Produkten und -Dienstleistungen

31 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Klaus Keus Godesberger Allee Bonn Tel.: +49 (0) Fax: +49 (0)