Moderne Angriffsvektoren. by menoora consulting gmbh

Transkript

1 Moderne Angriffsvektoren by menoora consulting gmbh

2 Über Uns

3 Über Uns Security Assessments Legaler und illegaler Zutritt zum Unternehmen Analyse der Effizienz der physikalischen Infrastruktur und des existierenden Sicherheitsdienstes Angriff auf die Mitarbeiter Mittels Social Engineering Techniken versuchen wir an vertrauliche Informationen (z.b. Username und Passwort) zu gelangen Diebstahl Aneignung von Hardware (z. B. Notebooks, Tablet PCs)und vertrauliche Informationen (z. B.CDs, Dokumente) Dokumentation aller Zugriffe auf geschäftskritische Systeme Angriffsziele sind z. B. Zugriff auf Personaldaten, Strategien, Entwicklungsdaten Information Security Management ISMS Planung und Implementierung ISMS Standortbestimmung und Überprüfung Ist Analyse des ISMS Gap Analyse (Soll Ist Vergleich) Schließen aller Lücken Definition und Erledigung der Schwachpunkte Ermittlung der Effizienz des ISMS und der ergriffenen Pre Zertifizierung nach ISO/IEC Security Awareness Kampagnen Informieren (Motivierend Verständnis schaffen) Emotionen wecken (eine persönliche Beziehung zu dem Thema herstellen und damit eine positive Einstellung zum Thema Sicherheit vermitteln) Motivieren (einen Anreiz zur Verhaltensänderung bieten) Nachhaltigkeit schaffen (Behalten des Gelernten) Datenschutz Security Services IT Technologie IT Prozesse Objektsicherheit Standortbestimmung und Überprüfung Außenhautabsicherung Zutrittskontrollle Einbruchsmeldetechnik Videoüberwachung Objektschutz Implementierte Prozesse Penetration Tests Beratung bei der Verarbeitung von personenbezogenen Daten Implementierung von Richtlinien zum sicheren Umgang mit personenbezogenen Daten Erstellen, Umsetzen und Kontrolle des Datenschutzkonzeptes Durchführung von Datenschutz Schulungen Ansprechpartner für Mitarbeiter und gegenüber externen Stellen BlackBox Tests WhiteBox Tests Web Application Hacking Secure Development LifeCycle

4 Industriespionage

5 bei uns passiert so etwas nicht!

6 Varianten der Wirtschaftsspionage Nachrichtendienstlich Gesteuerte Wirtschaftsspionage Die staatlich gelenkte oder gestützte, Von Nachrichtendiensten fremder Staaten ausgehende Ausforschung von Wirtschaftsunternehmen und wissenschaftlichen Einrichtungen PRISM, Tempora.

7 Varianten der Wirtschaftsspionage Konkurrenzspionage Die gesetzwidrige Ausforschung eines Unternehmens durch einen Wettbewerber (Diebstahl von Know how).

8 Zahlen Fall und Schadensanalyse Uni Lüneburg Erste bundesweite Studie auf wissenschaftlicher Basis Gefahr für die Wirtschaft durch Wirtschaftsspionage (Nachrichtendienste oder Konkurrenz) 2 von 3 Firmen (vorwiegend KMU) schon Opfer eines unfreundlichen Informationsabflusses Täter: Insbesondere eigene Mitarbeiter (Vorsatz, Fahrlässigkeit, Irrtum), Konkurrenz, Kooperationspartner Firmen mit Auslandsbeziehungen besonders gefährdet Gefahr droht in erster Linie aus dem europäischen Ausland, gefolgt von USA / Kanada und Ländern aus Fernost Gefährdungspotenzial Dtschld. 50 Mrd. Schaden: 4 Mrd. allein in Baden Württemberg, 6 Mrd. in Bayern 2011

9 Fall 1 Neue Tricks Alte Methoden

10 Der Ablauf 12. November November November 2011

11 Der Ablauf 22. November November November 2011

12 Die Analyse Cleverness Unternehmenskultur Kriminelle Energie Kommunikation Reputationsverlust

13 Fall 2 Vermeidbar!!!

14 Der Ablauf International agierender Hersteller von Kleinhandwerksgeräten Hohe Anzahl an Gerätedefekten 3 Monate nach Launch eines neuen Gerätes Überprüfung der Geräte Sehr, sehr gute Kopien unter dem gleichen Label Auswertung Datenzugriffe, Personenkreise Werksstudenten im Schwäbischen Stammwerk Einschaltung des Verfassungsschutzes

15 Die Analyse Prozessfehler Unternehmenskultur Kriminelle Energie Kommunikation Imageschaden

16 Fall 3 Zufällig entdeckt!

17 Der Ablauf International agierende Hotelkette Location Frankfurt Durchführung PCI 2.0 Audit Durchführung von anschließendem Security Assessments Diebstahl von Kreditkarten Daten

18 Die Analyse Richtige Zeitpunkt Technisch sehr ausgereift Dreistigkeit Direkte Ansprache Sensibilität mangelhaft Vorhandenen Prozesse suboptimal

19 Moderne Angriffsvektoren

20 Lauschangriffe auf Ihr Büro Kompromittierende Abstrahlung Getarnte Lauschmittel Drahtgebundene und drahtlose Videoaufzeichnung Stift mit eingebauter Wanze Knopflochkamera Drahtgebundene und drahtlose Audioaufzeichnung Abhören mit Richtmikrofonen Körperschallmikrofon Unbefugter externer Zugriff auf Computer in kabellosen Netzwerken (Wireless LAN) Computerviren, Trojaner, Spyware, Backdoor- Programme Tastatur-Monitoring Angriffe auf die Telekommunikationsanlage (TK) Außentäter Wesentliche Gefährdungen in einer ISDN-TK-Anlage öffentliches Netz TK-Rechner Leistungs - missbrauch Abhören von Informationen im TK-System 2 3 Unbefugter Zugang zur Administration 1 Unter Ausnutzung der Freisprecheinrichtung kann das Mobiltelefon von außen auf Mithören geschaltet werden. TK-Anschlussdose Raumüberwachung Durch Röntgen sichtbar gemachte Wanzen in einer TK- Anschlussdose Computer mit sog. Key- Catcher (links) und ohne (rechts) 4 Abhören - Raum / Gespräch 5 Zugriff auf Datenspeicher 6 Zugriff über Administrationsport Innentäter

21 Phishing Mails/Seiten Versand von Extern Kombination von SocialEngineering und Technischen Maßnahmen Versand von Intern Sensibilisierung der Mitarbeiter (z. B. Ankdg. Standortschließung)

22 QR Codes Smartphone affine Nutzer mögen QR Codes Sehr hohe Vertrauensquote QR Code können Schadcode nachladen (Android) Aktuell gepatchte Geräte Workaround Umleitung auf einen anderen Browser

23 Viren, Würmer, Trojaner Bundestrojaner Stuxnet 20MB groß, Mikrofon, Screenshots, Backdoor zum Nachladen von Code Duqu (C++ Code) Flame Kommerzielle Spyware (z. B. Spectorsoft.com)

24 Smartphones Rechtliche Aspekte (Wem gehören die Daten, Steuerliche Betrachtung, Arbeitszeitschutzgesetz, Support, Kosten Apps ) IOS vs. Android Updates Schadsoftware vs. Schutzmaßnahmen Bluejacking Verschlüsselung Geotracking

25 Cloud Security Sicherheitsgedanken Private Cloud Firmeneigene Cloud Externe Cloud Dienste

26 Networking Verhalten

27 Kommunikationsverhalten

28 Verhalten Unterwegs Flug nach London 12. März 2013

29 Verhalten Unterwegs

30 Physischer Zutritt Zutrittskontrollen Absicherung Zugänge Installierte Schlösser (Widerstandsklassen?) Sicherheitsbereiche extra Absicherung Empfangspersonal Zuverlässigkeit Sicherheitsdienst, Reinigungsdienst Prozesse, z. B. Begleitung Besucher

31 Organisationsdefizite Regelmäßige Auditierung / Penetrationstests Leitlinien / Richtlinien Überprüfung Outsourcingverträge (Tests) Durchführung Regelmäßige Schulungen (Neue, bestehende Mitarbeiter) Screening Administratoren Neueinstellungen Check gegen die AntiTerrordatei Existieren Ein/Austrittsregelungen Prozesse für Externe Mitarbeiter Zugriffsrechte, Zutrittsrechte, Platzierung, Verschwiegenheitsvereinbarungen, Verhaltenskodex Notfallpläne (BCM) z. B. Strom (Angriffe), Forensik, PR

32 Strategien

33 Lösungsansätze Know how Schutz ist Managementaufgabe Sicherheitsbewusstsein schaffen (bei allen Mitarbeitern) Sicherheitsgedanke ist integraler Bestandteil der Firmenphilosophie Konzentration auf realistische Ziele Kein absoluter Schutz möglich daher nur wichtige Bereiche schützen ( Kronjuwelen ) Sicherheitsmaßnahmen aufeinander abstimmen Personell (z.b. Überprüfungen beim Auswahlverfahren Background Check), Technisch (z.b. Zugangskontrolle), Organisatorisch (z.b. Sicherheitsanweisung/Zugriffsberechtigung) und Rechtlich (z.b. interne und externe Geheimhaltungsklauseln) Professionelle Behandlung von Verdachtsfällen

34 Security ist ein Prozess

35 menoora consulting gmbh weidensteige 8/ calw Tel