IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen?

Transkript

1 Fokus Datenklau Risiken Rechtslage Gegenstrategien IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen? Donnerstag 19. Mai Flemings Deluxe Hotel, Wien City

2 Statement SOFTWARE Bei kaum einem anderem Produkt lässt sich Qualität so schwer beurteilen und herstellen wie bei Software. Die Schwierigkeiten sind so groß, dass die Menschheit gelernt hat, mit schlechten Komponenten zu leben. Seite 2 Quelle IX-Magazin 1/2011

3 Überblick Allgemeines IT in Sicherheit Datenklau Kosten Zertifizierung Zusammenfassung Seite 3

4 Allgemeines Seite 4

5 Wolfgang Prentner Promotion an der TU-Wien im Sicherheitsbereich IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit (seit 1998) Gesellschafter der ZTPRENTNERIT GmbH (1999) Vorsitzender der Bundesfachgruppe IT der Bundeskammer der Arch+Ing (2003-4/2011, Stv) E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker (seit 2003) Mitglied der Plattform Digitales Österreich im Bundeskanzleramt (seit 2004) Seite 5

6 Warum IT-Ziviltechniker? Facheinschlägiges Studium (!) Fachliche Kompetenz Objektivität Unabhängigkeit Staatliche Befugnis Hohe Akzeptanz beim Kunden Verschwiegenheitsverpflichtung gemäß ZTG Haftungsübernahme im Schadensfall (Mio. 1,5 pro Fall) Seite 6

7 Befugnis nach Ziviltechnikergesetz Beraten Planen Prüfen Überwachen und Koordinieren Treuhandschaften Urkundsfähigkeit - Zertifizierung nach ZTG 4 Abs. 3 Abgrenzung zum Gewerbe keine ausführenden Tätigkeiten keine Störungsbehebung aber z.b. Störungsanalyse kein Vertrieb von Software und Hardware, daher kein Interessenskonflikt mit gewerblichen Unternehmen Seite 7

8 Haftung des IT-Ziviltechniker 1. Öffentliche Urkunde gemäß Ziviltechnikergesetz zum heutigen Stand der Technik 2. Erhöhte Beweiskraft vor Gerichten im Streitfall 3. Haftung insbesondere nach 1299 ABGB für Sachverständigentätigkeit für grobe und leichte Fahrlässigkeit sowie 4. Haftungsübernahme je Schadensfall von 1,5 Mio. Euro durch die Berufshaftpflichtversicherung Seite 8

9 Kunden im IT-Sicherheitsbereich Kammern Behörden Handel Finanzsektor Energiesektor Gesundheitsbereich Seite 9

10 Daten 1. Was sind sensible Unternehmensdaten? 2. Wo sind sensible Daten gespeichert? 3. Wer verwendet sensible Daten? 4. Wie erstelle ich eine Richtlinie um sensible Daten zu schützen? 5. Welche Werkzeuge setze ich dafür ein? Seite 10

11 Wachstumsbranche Datendiebstahl Datendiebstahl Bundeskriminalamt (D) warnt Datendiebstahl Hacker beklauen Millionen Playstation-Kunden Datendiebstahl Chinesen sollen auch Morgan Stanley gehackt haben Datendiebstahl Sicherheitsexperten warnen vor kostenlosen WLAN Datendiebstahl Industriespionage: SAP muss 1,3 Milliarden Dollar an Oracle zahlen Seite 11

12 Kriminalitätsstatistik BKA/D (2009) Computerbetrug: Fälle (plus 35%) Kreditkartenbetrug: Fälle (plus 6,1%) Kreditkarten-Informationen: "Handelsware im Internet", Seite 12

13 Internet-Sicherheit On the Internet, nobody knows you are a dog. Seite 13

14 Realer Terrorismus im Internet Weitere Beispiele: CIO Land, CIO KH, BM LV, aktuelle Bedrohungen wie Stuxnet-Wurm Seite 14

15 Hacker kaperten Homepage der dt. Atomlobby Seite 15

16 Stuxnet - Computerwurm karikatur-cartoon.de Seite 16

17 Sony Playstation Hack 77 Mio. Betroffene weltweit, in Österreich Seite 17 de.toonpool.com

18 Datenklau I: unbeabsichtigt Seite 18

19 Datenklau II: vorsätzlich Steuer-CD: Datendieb soll Administrator in Bank gewesen sein. 09. Februar 2010, 12:28. Seite 19

20 Datenklau III: Social Engineering Seite 20

21 Datenklau IV: automatisiert Seite 21

22 IT-Sicherheit Seite 22

23 Sicherheitszonen Unternehmens sicherheit Informations sicherheit IT-Sicherheit Seite 23

24 IT-Sicherheit Vertraulichkeit eine bestimmte Information dem zuständigen Anwender Integrität Unversehrtheit und Korrektheit der Daten Information oder Funktion Verfügbarkeit zur rechten Zeit am rechten Ort Seite 24

25 Einordnung Standards und Normen CobIT, ITIL (20000), ISMS (2700x), GSHB, Ö-SHB Organisation Prozess GSHB A 7700 Websicherheit BSI Common Criteria Technologie Seite 25

26 Standards und Ihre Zuordnung ISO 9000 ISO ISO 2700x CobIT INTERNET SICHERHEI TSGURT A 7700, BSI Seite 26

27 Sicherheitsprozess P A D C Plan, Do, Check, Act Seite 27

28 IT-Sicherheitsanforderungen I (Standard) Seite 28

29 IT-Sicherheitsanforderungen II (High Risk) Seite 29

30 Datenklau extern Seite 30

31 1. E-Spionage Informationen sammeln Output Netzwerkplan des Ziel-Unternehmens Außensicht des Angreifers Seite 31

32 1a. E-Spionage Ergebnis Seite 32

33 2. Netzwerk- und Systemsicherheit Port 1337 offen - steht in der Hackerszene für LEET, also Elite Seite 33

34 3. Kommunikation - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) e9 3f f 76 e h.?..?v...E b 32 ba a dd ac c1 6e..2.@...:...n c 41 3d bb f9 15 b7 d0 09 e A=u..1...P ff d1 8d e cd c a...S...n...T: e 10 f c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d f 3e c8 8a 65 ba a f 72 de d6 O>.A...e.../r c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca de <.M...7.F..M.3e df 8f 08 6c c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go??... Client 0090 d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb R..-/... 00a0 2d c b c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d c 80 b4 6e $L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c ef 54 4a d2 71 0f c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\ c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Angreifer banking-server Seite 34

35 4. Applikationssicherheit Login/Doing/Logout Authentifikation Autorisierung Session Management Testen in unfreundlicher Umgebung Auditing Reporting Seite 35

36 Ergebnisse Seite 36

37 Technische Sicherheit Arbeitsplatzcomputer Server Firewall Status: nicht ok (hohes Risiko) Status: nicht ok (hohes Risiko) Status: nicht ok (mittleres Risiko) Seite 37

38 Organisatorische Sicherheit Systemwartung Status: nicht ok (hohes Risiko) Passwort-Handhabung Status: nicht ok (mittleres Risiko) Datensicherung Status: nicht ok (mittleres Risiko) Datenarchivierung Status: nicht ok (mittleres Risiko) Datenträger-Vernichtung Status: ok Virenschutz Status: ok Fernwartung Status: ok Wireless LAN Status: nicht anwendbar Telearbeit bzw. Home-Office Status: nicht anwendbar Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 38

39 IT-Schwachstellen auf Netzwerkebene Seite 39

40 IT-Schwachstellen - Behebungsdauer Seite 40

41 Datenklau - intern Seite 41

42 Neue Bedrohung Professioneller Datenklauer Seite 42

43 Engagement Index Deutschland 2010 Seite 43 GALLUP (D)

44 Datenklau: Mitarbeitermeinungen Unternehmensdaten: Meinungen von Mitarbeitern Die Firma verdient es nicht, sie zu behalten 47% Die Firma kann die Informationen nicht zu mir zurückverfolgen. 49% Ich habe diese Informationen mit erstellt. Die Informationen könnten sich zukünftig als nützlich erweisen. 52% 53% % Alle anderen machen das anscheindend auch. 54% Quelle: heise.de Seite 44

45 Private Internet-Nutzung am Arbeitsplatz Seite 45

46 Der Standard (11. Jänner 2010) Überwachung am Arbeitsplatz nimmt zu! s, Internetnutzung oder etwa Krankenstandstage. Umfrage: 65% plädieren für ein Überwachungsverbot (AK OÖ) Seite 46

47 Ergebnis der Untersuchung I (AK OÖ) 65% traten bei der Befragung für ein Überwachungsverbot ein. 26% gehen davon aus, dass sie am Arbeitsplatz überwacht werden. 4% schließen eine Überwachung definitiv aus. Stichprobe: 600 AK-Mitarbeiter Seite 47

48 Ergebnis der Untersuchung II (AK OÖ) 47% nehmen an, s und Internetnutzung 36% vermuten eine kontinuierliche Beobachtung während der Arbeitszeit. 67% der Beschäftigten in Oberösterreich sind der Ansicht, dass derartige Überwachungen in letzter Zeit stark oder leicht zugenommen haben. 17% glauben, dass die Überwachung nicht ausgeweitet worden sei. Stichprobe: 600 AK-Mitarbeiter Seite 48

49 Schutz gegen internen Datenklau Seite 49

50 Data Loss Prevention (DLP) Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützen und je nach Ausprägung direkt oder indirekt die Integrität und Zuordenbarkeit sicher stellt. Quelle: Seite 50

51 Bedrohungsbereiche (Threat Coverage) Endpunkt (PC) Device Kontrolle Daten Kontrolle Applikationen Kontrolle Netzwerk Mail Web Instant Message,... Storage Archive/Backup Filesystem Datenbanken,... Seite 51

52 Data Loss Prevention Systeme I Seite 52

53 Mitarbeiter Benachrichtigung Seite 53

54 Rechtliche Aspekte Seite 54

55 Verschuldensfrage bei Angriffen Verschulden Auftraggeber (verflochtene Unternehmen) Entwickler (Anwendung und DB) Netzwerk/Infrastruktur (FW/Router/System) Betreiber/Outsourcer (lokal, international, Cloud) Haftung Gewährleistung Schadenersatz Seite 55

56 Strafbestimmungen Seite 56

57 Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 57

58 Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis ,- Mediengesetz 7 bis ,- Telekommunikationsgesetz 109 bis ,- Seite 58

59 Kosten Seite 59

60 Aufwandsverteilung Applikationsanalyse Kommunikationsanalyse Netzwerkanalyse Seite 60

61 Kosten Sicherheitsaudits Standard Sicherheitsaudit bis Spezielle Sicherheitsaudits bis Spezielle Sicherheitsüberwachung mit staatl. anerk. Zertifikat und Haftungsübernahme bis pro Jahr Seite 61

62 Zertifizierung Seite 62

63 Sicherheitssiegel ELBA-internet Seite 63

64 Sicherheitszertifikat staatlich anerkannt. Seite 64

65 Zusammenfassung Wie rüste ich meine IT gegen Angriffe von innen und außen? Seite 65

66 Abwehr - interne Angriffe Regelungen und Richtlinien (Auszug) Benutzungsregelung Passwortrichtlinie (Benutzer und Admins) Eintritt und Austritt Dienstleistervertrag Protokollierung (revisionssicher) Einschränkung von Passwörtern Technologien (Auszug) Interne Firewalls, IDS Verschlüsselung Auditing Data Loss Prevention Seite 66

67 Nacktscanner Seite 67

68 Abwehr externer Angriffe Regelungen und Richtlinien (Auszug) Periodische Logfile Analyse Wartung (Auszug) Zeitnahe Updates Technologien (Auszug) Firewalls Virenschutz Spamfilter IDS/IPS Sichere Software Entwicklung Auditing und Zertifizierung Seite 68

69 Top 5 Probleme 1. Klassiker unbewusst offene Dienste. 2. Nicht aktueller Patchlevel von Serversoftware. Buffer Overflows, Code Injection und DoS-Angriffen, Nicht korrekt programmierte Webanwendungen. SQL-Injections, Cross-Site-Scripting, Falsch oder nicht korrekt konfigurierte Serversoftware Quelle für Informationen über das System: Banner 5. Verwenden nicht aktueller oder ausreichender Sicherheitsmechanismen Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. Stand Seite 69

70 Seite 70

71 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 71

72 Top Ten Sicherheitsprobleme 2010 A1 - SQL injection, OS Command injection A2 - Cross Site Scripting (XSS) Cross-site scripting A3 - Broken Authentication and Session Management A4 - Insecure Direct Object References A5 - Cross Site Request Forgery A6 - Security Misconfiguration - No direct mappings A7 - Failure to Restrict URL Access A8 - Unvalidated Redirects and Forwards A9 - Insecure Cryptographic Storage A10 - Insufficient Transport Layer Protection OWASP Seite 72

73 Standards und Normen Seite 73

74 Ebenen 1. IT-Governance 2. IT-Compliance 3. IT-Informationssicherheit 4. IT-Sicherheit Seite 74

75 ZTPRENTNERIT - Know-How, Ausbildung und Zertifizierungen Organisation/Prozess ZTP - COBIT ZTP - ITIL (ISO 20000) ZTP - ISMS (ISO ) ZTP - Österreichisches Sicherheitshandbuch ZTP - IT-Grundschutz-Katalog Technik ZTP - ÖNORM A 7700, AT ZTP - Sicherheit von Webanwendungen, BSI ZTP - Common Criteria. INT ZTP - IT-Grundschutz-Katalog, BSI ZTP - CISCO, Vmware,., INT Seite 75