Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung

Größe: px

Ab Seite anzeigen:

Download "Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung"

Curt Schneider
vor 8 Jahren
Abrufe

1 Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt

2 Fraunhofer Gesellschaft Forschen für die Praxis Technische Innovation zur Steigerung der Wettbewerbsfähigkeit Deutschlands und Europas Gegründet 1949 Europas größte Einrichtung für angewandte Forschung Mitarbeiter 60 Institute + 20 Forschungsgruppen Jährliches Budget ca. 1,65 Mrd Niederlassungen in EU, USA, Asien, Naher Osten Institutionelle Förderung (1/3) plus Auftragsforschung für Industrie (1/3) und öffentliche Hand (1/3) 2

Institute + 20 Forschungsgruppen Jährliches Budget ca.

3 Fraunhofer Institut für Sichere Informationstechnologie SIT Darmstadt und SIT München Berlin Gegründet: 1961 als DRZ Leitung: Prof. Dr. Michael Waidner Birlinghoven Darmstadt München Gegründet: 2008 Leitung: Prof. Dr. Claudia Eckert Spin offs: 75 R&D 25 IT + Admin 2 Lehrstühle Prof. Sadeghi Prof. Waidner BMBF ECSPRIDE 3

Michael Waidner Birlinghoven Darmstadt München Gegründet: 2008 Leitung: Prof. Dr.

4 Überblick Trends und Themen in der IT Sicherheit Sensibilisierung und Schulung zur Sicherung der Informationssicherheit 4

5 Strategie der Fraunhofer Gesellschaft Relevante Megatrends bis zum Jahr 2050 Demographischer Wandel Urbanisierung Globalisierung Energie und Ressourcen Umwelt und Klimaschutz Gesundheit Mobilität Wissensgesellschaft Leben und Arbeiten 5

Globalisierung Energie und Ressourcen Umwelt und

6 Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenexplosion Datenexplosion und Datenanalyse 2020: 35 Trillionen GB an digitaler Information (IDC 2010) Neue Quellen Endbenutzer: unstrukturiert, social networks Sensoren Oftmals sehr sensitiv (vertraulich, integer) Problematisch: Qualität, Rechte, Provenance, Lebenszyklus (insb. Löschung) Chance und Gefahr durch neue Algorithmen und Architekturen für Suche, Data Mining, Analytics 6

Information (IDC 2010) Neue Quellen Endbenutzer: unstrukturiert, social networks Sensoren Oftmals sehr sensitiv

7 Wohin geht die Informationssicherheit? Wichtige IT Trends: Cloud Computing Cloud Computing und Mobile Endgeräte Kostenreduktion durch Economies of Scale Abhängigkeit von IT außerhalb eigener Kontrolle IT geteilt mit potentiellen Angreifern Neue Systemmanagement Tools & Prozesse Problematisch regulatorische / forensische Situation Konvergenz von PC, Telefon, Konsole, Sensoren,... Universelles Cloud Dienstezugangsgerät Konsumerisierung von IT Endgeräten Industrialisierung von IT Services Deperimeterisierung ( Jericho Forum ) 7

IT außerhalb eigener Kontrolle IT geteilt mit potentiellen Angreifern Neue Systemmanagement Tools & Prozesse Problematisch

8 Wohin geht die Informationssicherheit? Wichtige IT Trends: Future Internet Vernetzte kritische Infrastrukturen Energie, Wasser, Strom, Produktion, Logistik, Krankenversorgung, Polizei, Absicherung existierender Systeme sehr komplex und oft sehr teuer Neue IT Architekturen: Dezentral, Autonomisch, Internet der Dinge und Dienste: Future Internet, Ambient Intelligence, Smarter Planet, Vernetzung von Nicht IT Gegenständen RFID Tags in Produkten Car to X Kommunikation Soziale Netzwerke 8

Krankenversorgung, Polizei, Absicherung existierender Systeme sehr komplex und oft sehr teuer Neue IT Architekturen:

9 Wohin geht die Informationssicherheit? Wichtige IT Trends: Compliance Compliance und Komplexität International mehr und komplexere Gesetze Aufkommen von Haftungsregeln für Datenschutz und Datensicherheit Analogie zur Sicherheitsgurtpflicht in den 50er 70er Jahren Steigende Kosten und Risiken von Unsicherheit Wachsende Bedeutung von Secure Engineering Ausbildung, Methoden, Tools Wirtschaftlichkeitsbetrachtungen von IT Sicherheit Benutzbarkeit von IT Sicherheit 9

Haftungsregeln für Datenschutz und Datensicherheit Analogie zur Sicherheitsgurtpflicht in den 50er 70er Jahren

10 Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenschutz Datenschutz Renaissance nach 9/11 Zunehmender Konsens Beispiel: Entwurf des Neuen Personalausweises in Deutschland Zielkonflikt im Web 2.0 / Soziale Netzwerke Selbstbestimmung über eigene Daten Veröffentlichung von user generated Content Bayrisches Staatsministerium des Inneren Daten im Cloud Computing Daten in Geodaten / Bilddatenbanken Vorratsdatenspeicherung 10

Neuen Personalausweises in Deutschland Zielkonflikt im Web 2.

11 Wohin geht die Informationssicherheit? Wichtige IT Trends: Cybersecurity Cyber Sicherheit Angreifer Organisiert finanziell / politisch motiviert ressourcen mächtig Advanced Persistent Threats MGM 1962 Joseph Wiseman as Dr. No 11

Angreifer Organisiert finanziell / politisch motiviert

12 Sensibilisierung und Schulung zur Sicherung der Informationssicherheit

13 Herausforderung: Ganzheitliche Informationssicherheit 13

14 Bewertung der Risiken für die Informationssicherheit Platz 1: Fehler der eigenen Mitarbeiter Quelle: <kes>/microsoft Sicherheitsstudie 4/

15 Gefahren für die Ganzheitliche Informationssicherheit Nachlässigkeit und Fehlverhalten Mangelhafte Entsorgung vertraulicher Daten Ungelöschte Festplatten vom Flohmarkt: 34% (BBC, 2009) Ungelöschte Smartphones im Müll: 43% (BT, 2008) Test mit Realdaten Software Tests mit Produktivdaten: 71% (CIO Magazin, 2009) Besprechungen im öffentlichen Raum Preisabstimmung im Zug zur Produktpräsentation Vergessen Umgebung am Telefon: 68% (Cisco, 2008) Photo: Courtesy Bruce Schneier Falscher Umgang mit Passwörtern (Feldexperiment London, 2008) Ein festes PW dienstlich und privat: 48% Kennen PW von Kollegen: 50% Geben eigenes PW telefonisch an Support: 58% 15

Besprechungen im öffentlichen Raum Preisabstimmung im Zug zur Produktpräsentation Vergessen Umgebung am Telefon: 68% (Cisco, 2008) Photo: Courtesy Bruce Schneier

16 Gefahren für die Ganzheitliche Informationssicherheit Verlorene Mobile Geräte Gefunden (2007) Münchner Taxiunternehmen: PDAs UK Reinigungen: USB Sticks Flughafen Frankfurt: Laptops DB Züge: 669 Laptops Verloren oder gestohlen an US Flughäfen (pro Jahr) Laptops Vergessen in Londoner Taxis (2007): Mobiltelefone Smartphones Laptops USB Sticks 16

500 Laptops DB Züge: 669 Laptops Verloren oder gestohlen an US Flughäfen (pro Jahr) 600.

17 Gefahren für die Ganzheitliche Informationssicherheit Mögliche Ursachen IT Sicherheit ist technikfokussiert Einführung von Firewalls, Virenscannern, IDS Verschlüsselungslösungen Policies an Technik angepasst, nicht an Benutzbarkeit Jean Tinguely, Heureka (Zürihorn) Photo: Micha L. Rieser / IT Sicherheit ist benutzerunfreundlich Zu viele Passwörter Gilt für Endnutzer und für Systemadministratoren Wenig Kenntnis über Sinn und Konzept von Maßnahmen Aberwitzige Sicherheitsabfragen Unsichere Anfangskonfigurationen Social Engineering als Bedrohung nicht ausreichend wahrgenommen 17

L. Rieser / IT Sicherheit ist benutzerunfreundlich Zu viele Passwörter Gilt für Endnutzer und für Systemadministratoren Wenig Kenntnis über Sinn

18 Weg zur ganzheitlichen Informationssicherheit Zusammenspiel von Technik und Nutzerverhalten Sicherheitsniveau kann nur durch Zusammenspiel technischer Maßnahmen und Anhebung des Sicherheitsbewusstseins erhöht werden Menschen in den Fokus der IT Sicherheit rücken Konzertiertes Verhalten der Mitarbeiter fördern Aufmerksamkeit für Social Engineering Sorgfältiger Umgang mit sensiblen Daten (Laptop, Smartphone, ) Berücksichtigung von Sicherheit bei Prozess und Lösungsentwurf Angemessene Verwendung bestehender Sicherheitslösungen 18

rücken Konzertiertes Verhalten der Mitarbeiter fördern Aufmerksamkeit für Social Engineering Sorgfältiger Umgang mit sensiblen Daten

19 Weg zur ganzheitlichen Informationssicherheit Ziele eines Schulungs und Sensibilisierungsprogramms Aufmerksamkeit für IT- Sicherheit erzeugen (Kommunikation der IT- Sicherheitsleitlinien) Gewinnung des Interesses der Mitarbeiter für Sicherheitsmaßnahmen 1. Stufe: Bewusstsein warum Verstehen 2. Stufe: Schulung was Wissen 3. Stufe: Training wie Fähigkeit Vermittlung von Grundwissen Vermittlung von Praxiswissen für angemessene Reaktionen von Mitarbeitern bei Störfällen Aufrechterhaltung des Interesses durch regelmäßige Kampagnen 19

Stufe: Bewusstsein warum Verstehen 2. Stufe: Schulung was Wissen 3.

20 Aufbau einer Sicherheitskultur Der Baustein B1.13 des IT Grundschutzes Aufzeigen von Gefährdungen und Empfehlungen zu Maßnahmen zur Sensibilisierung und Schulung zur Informationssicherheit : Planung und Konzeption von Kampagnen und Schulungen Beschaffung (etwa Auswahl von Trainern) Umsetzung (Aufbau einer Organisation) Betrieb (Durchführung von Schulungen) 20

Sensibilisierung und Schulung zur Informationssicherheit : Planung und Konzeption von

21 Aufbau einer Sicherheitskultur Erfolgsfaktoren Erfolgreiche Schulungsprogramme und Maßnahmen zur Sensibilisierung benötigen: 1. Eine Vision und ein messbares Ziel 2. Eine einheitliche Strategie 3. Einen Unterstützer aus dem oberen Management ( Paten ) und zahlreiche Vorbilder (Führungskräfte) 4. Wenige einfache Regeln 5. Einen präzisen Zuschnitt auf die Unternehmenskultur 6. Einen an Lernzielen orientierten strukturierten Aufbau 7. Eine kontinuierliche Folge verzahnter Einzelmaßnahmen 8. Eine verbindende Klammer (Key Visual, Brand, Claim) 9. Eine geeignete Auswahl von Marketingmaßnahmen ( Form Follows Function ) 10. Eine systematische, begleitende Ergebnismessung 21

22 Angebote des Fraunhofer SIT Schulungen und Sensibilisierungsmaßnahmen Durchführung von Bedarfsanalysen Entwicklung von Konzepten für Schulungen und Sensibilisierungsmaßnahmen Durchführung von Schulungen Entwicklung von Online Seminaren Evaluierung von Schulungsmaßnahmen Durchführung von 22

23 V D Weitere Informationen: sit.fraunhofer.de Meine Koordinaten: michael.waidner@sit.fraunhofer.de Fraunhofer SIT, Rheinstraße 75, D64295 Darmstadt 23

Ähnliche Dokumente

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012. Ammar Alkassar Sirrix AG/TeleTrusT

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012. Ammar Alkassar Sirrix AG/TeleTrusT Der IT-Sicherheitsverband e.v. TeleTrusT-interner Workshop Nürnberg, 21./22.06.2012 Ammar Alkassar Sirrix AG/TeleTrusT Cyberwar, Bring Your Own Device, Big Data: Quo Vadis IT-Security? TeleTrusT Bundesverband