Allianz für Cyber-Sicherheit

Transkript

1 Allianz für Cyber-Sicherheit Dr. Hartmut Isselhorst Bundesamt für Sicherheit in der Informationstechnik 03. März 2012

2 Agenda Aktuelle Entwicklungen der Gefährdungslage Kooperationsangebot: Allianz für Cyber-Sicherheit (Dr. Isselhorst) Cyber-Sicherheits-Informationen (Fr. Jaschob) Praxisbeispiel: BSI-Empfehlung zur Cyber-Sicherheit (Fischer) Hintergrundinformationen: Lebenszyklus einer Schwachstelle (Hillebrand) Praxisbeispiel: BSI-Analyse zur Cyber-Sicherheit (Fischer) Ausblick und Diskussion 2

3 Die gute alte Zeit IKARUS Security Software GmbH

4 ... und heute 2012 IKARUS Security Software GmbH

5 Wer sind die Angreifer?» Hacker» Cyber-Aktivisten» Cyber-Kriminelle» Konkurrenzspione im Cyber-Raum» Staatliche Nachrichtendienste im Cyber-Raum» Staatliche Aggressoren als Cyber-War» Zukünftig: Cyber-Terrorismus? 5

6 Motivation Warum sind Cyber-Angriffe so attraktiv? Angriffe aus der Distanz, kein Vor-Ort-Risiko Optimale Tarnungsoptionen, geringes Entdeckungsrisiko Parallele Angriffe Alles auf verschiedene Ziele mit Verbindung zum Internet ist attackierbar Angriffsmittel Große sind permanent verfügbar/beschaffbar finanzielle Gewinne sind erzielbar 6

7 Phishing-Beute Quelle: 7

8 Arbeitsplatz Banking-Trojaner Zeus Von einer einzelnen Tätergruppe wurden 2010 mit Zeus innerhalb von drei Monaten 7 Millionen Euro erbeutet Quelle: 8

9 Problem Schwachstellen Fehler und Schwachstellen in Software Umfang und Komplexität heutiger Software verhindert Fehlerfreiheit Kritisches Zeitfenster der Schutzlosigkeit Schwachstelle gefunden Patch installiert dauert Wochen bis Monate Wie findet ein Angreifer Schwachstellen? Veröffentlichte noch offene Schwachstelle (einfach) Schwachstelle kaufen (einfach und billig) Programme manuell oder automatisiert testen (aufwändig) Sourcecode systematisch durchsuchen (aufwändig) 9

10 Inoffizieller Markt für Schwachstellen 10

11 Angriffsmittel Was braucht der Angreifer? Schadprogramm Verteilweg ( , SPAM, Webserver, Soziale Netze, Chats, USB) Command&Control-Server zur Angriffssteuerung Dropzone-Server zum Speichern gestohlener Daten Botnetz (gekaperte Rechner) für Massenangriffe Wie kommt man an Angriffsmittel? Mieten, kaufen Baukasten nutzen, programmieren / selbst aufbauen Hacken, übernehmen 11

12 Generierung von Schadprogrammen - mit Komfort und Support - Preisliste Crimepack: Phoenix Exploits Kit: Adrenaline: (inkl. 24x7-Support) Eleonore Exploits Pack Eleonore Exploits Pack YES Exploit System Quelle: Pandalabs $400 $400 $3.500 $700 $1.200 $800 12

13 Angriff auf Sicherheitsstrukturen im Internet Angriffe auf Sicherheitsinfrastrukturen: RSA-Token: Angriff über manipulierte mit Flash-Malware in Excel-Tabelle. (Folgeangriff auf Lockheed-Martin?) Certification Authorities: Comodo, DigiNotar über 500 gefälschte SSL-Zertifikate erzeugt. Angriff auf Verisign (zentrale CA im Internet) Code-Signing-Stelle (Taiwan): signierte Malware in Stuxnet und Duqu 13

14 Internet-Angriff Angriff Surfen Server Home Surfen 14

15 Die Allianz für Cyber-Sicherheit 15

16 Mitglieder der Allianz für Cyber-Sicherheit Handlungspartner zur Gestaltung der Cyber-Sicherheit Hersteller und Dienstleister für Cyber-Sicherheit Internet-Infrastrukturbetreiber Hochschulen, Forschungseinrichtungen Transferpartner als Multiplikatoren für Cyber-Sicherheit Verbände und Initiativen regionale IHK Medien Umsetzungspartner für Cyber-Sicherheit CERT-Verbund UP-KRITIS und Vertreter ausgewählter Unternehmen Aufsichtsbehörden BSI als Kompetenzpartner und neutrale Institution 16

17 BSI-Informationsnetzwerk CERTs - Cert-Verbund Deutschland - Europäischer CERT-Verbund - Lagezentren der Wirtschaft - Sicherheitsdienstleister Hersteller - Microsoft, Google - Adobe, Apple, SAP - Mozilla, Oracle - AV-Hersteller (Avira, Symantec,..) - Cyber-Sicherheitsdienstleister Dienste - Cyber-Abwehrzentrum - Ausländische Dienste und Partner - F, GB, NL, US,... - NATO, EU,... Unternehmen - UP KRITIS - Großindustrie (ausbaufähig) - Rüstungsindustrie (ausbaufähig) Forschungseinrichtungen - Uni Bonn, Uni Karlsruhe - RWTH Aachen, Uni Bochum - FH Gelsenkirchen 17

18 Zielgruppen-Angreifer-Modell Schadenspotenzial CyberCyberAktivisten Kriminelle CyberND Bürger KMU Verwaltung Großunternehmen Institutionen im staatl. Interesse Kritische Infrastrukturen 18

19 Informationen zur Cyber-Sicherheit 19

20 Leistungsversprechen des BSI 20

21 Leistungsversprechen der Wirtschaft 21

22 Voraussetzungen und Anforderungen an die Partner 22

23 Fragen und Diskussion Wir würden uns über viele interessante Beiträge und eine gute Zusammenarbeit mit Ihnen freuen. i s o f n s b e d. d n u i.b 23

24 Agenda Aktuelle Entwicklungen der Gefährdungslage Kooperationsangebot: Allianz für Cyber-Sicherheit (Dr. Isselhorst) Cyber-Sicherheits-Informationen (Fr. Jaschob) Praxisbeispiel: BSI-Empfehlung zur Cyber-Sicherheit (Fischer) Hintergrundinformationen: Lebenszyklus einer Schwachstelle (Hillebrand) Praxisbeispiel: BSI-Analyse zur Cyber-Sicherheit (Fischer) Ausblick und Diskussion 24

25 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Hartmut Isselhorst Godesberger Allee Bonn Tel: +49 (0)