Konsolidierte Gefährdungsmatrix mit Risikobewertung 2015

Transkript

1 Konsolidierte Gefährdungsmatrix mit Risikobewertung 2015 Die Bereitstellung von Internet-Dienstleistungen ist mit einer Vielzahl wechselnder Gefährdungen verbunden. Einige betreffen unmittelbar die eigene Infrastruktur eines Internet-Service-Providers, andere zielen primär auf die Kundeninfrastruktur, haben jedoch mittelbar ebenfalls Auswirkungen auf den ISP (z. B. Reputation). Kenntnis und Bewertung der aktuellen Gefährdungslage sind Voraussetzung für die Entwicklung wirksamer Gegenmaßnahmen. Die nachfolgende Gefährdungsmatrix ist als gemeinsamer Partnerbeitrag verschiedener ISPs (1&1, Kabel Deutschland, Strato, Telekom, Unitymedia KabelBW, Vodafone) in Diskussion mit dem BSI im Rahmen der Allianz für Cybersicherheit entstanden und stellt die Sicht der beteiligten Partner auf die derzeitige Gefährdungslage dar. Es ist beabsichtigt, das Dokument in regelmäßigen Abständen zu aktualisieren. Es richtet sich in erster Linie an vergleichbare IT-Dienstleister mit ähnlichem Fokus. In anderen IT-Sektoren sind ggf. andere Bedrohungsschwerpunkte vorhanden. 1/6

2 1. Allgemeine Gefährdungen Nachfolgend sind die aus Sicht der beteiligten Provider aktuellen Gefährdungen nebst einer Einschätzung der Eintrittswahrscheinlichkeit sowie der bei Eintritt resultierenden Schadenshöhe aufgeführt. Unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schadenshöhe wurde eine individuelle Risikobewertung der jeweiligen Gefährdung vorgenommen. Gefährdungen, die speziell in Verbindung mit Schadsoftware stehen, werden im nachfolgenden Kapitel 2 behandelt. Kapitel 3 widmet sich den Gefährdungen im Zusammenhang mit mobilen Endgeräten. Gefährdung Trend Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Botnetze Schwachstellen / fehlerhafte Sicherheitsmechanismen in Kommunikationsprotokollen Advanced Persistent Threat (APT) (Unentdeckter, geplanter, gezielter Angriff, Kombination verschiedener Angriffsarten und Techniken, häufig über einen längeren Zeitraum) Unauthorisierter Systemzugriff durch angestellte Dritte (physische Hürde bereits genommen) Backdoors in Telekommunikationsequipment Mittel Hoch Hoch Mangelhafte Basis-Sicherheitssoftware (OpenSSL, libc,...) Mittel Hoch Hoch Web-Applikations-Schwachstellen (bspw. XSS) auf eigenen Portalen Hoch Mittel Hoch DoS-Angriffe auf Infrastruktur (z. B. auf DNS-Server) Angriffe auf die eigene Infrastruktur. DNS Reflection / Amplification Angriffe Ausnutzung der eigenen Infrastruktur für DDoS-Angriffe. DDoS-Angriffe auf Kundeninfrastruktur Häufig im Zusammenhang mit Erpressung, z. B. DD4BC. Nutzung von Address-Spoofing als Hilfsmittel (z.b. für DDoS oder Angriff) Hoch Mittel Mittel-Hoch Hoch Mittel Mittel-Hoch Hoch Gering-Hoch Mittel-Hoch Unsichere DSL-/ Kabel-Router Mittel Mittel-Hoch Mittel-Hoch 2/6

3 Gefährdung Trend Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung (z.b. bekannte Default-Passwörter, Nicht-abschaltbare Comfort-Funktionen mit Schwachstellen) Missbrauch von Password-Reset-Funktionen Gering-Mittel Mittel-Hoch Mittel Manipulation von Routing (mit dem Ziel, Verbindungen zu Stören oder zu maliziösen Servern umzuleiten) DNS-Poisoning (Manipulation von DNS-Caching-Servern mit dem Ziel, Verbindungen auf maliziöse Server umzuleiten) Gering-Mittel Mittel-Hoch Mittel Gering Mittel-Hoch Mittel Falsche SSL-Zertifikate / kompromittierte SSL-Dienstleister Hoch Mittel Mittel-Hoch Unsichere Hotspots (z.b. Session Hijacking) Ausnutzung von Advanced Evasive Technologies (kleine Fragmente, not-in-order Paketübermittlung, Umgehung von Virensignaturen, DNS-Tunneling, Steganographie, etc.) Hoch Gering Mittel Gering Mittel Mittel Telefonie DDoS Angriffe gegen Call Center Gering Mittel Mittel Social Engineering gegen Mitarbeiter neu Mittel Gering-Hoch Mittel 3/6

4 2. Schadsoftware Schadsoftware stellt einen Risiko-Schwerpunkt in der aktuellen Bedrohungslage dar. Die damit verbundenen Gefährdungen können in Relation zum Infektionsverlauf von Schadsoftware in verschiedene Kategorien (Entwicklung, -, -Rückmeldekanäle) gegliedert werden. Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Malware Allgemein: Infektion von IT-Komponenten mit Schadsoftware Hoch Gering-Hoch Mittel-Hoch Malware Manipulierte Firmware (USB-Stick, Maus, Tastatur) neu Gering Hoch Mittel Entwicklung Existenz von Exploit-Kits Hoch Gering-Hoch Mittel-Hoch Phishing / SPAM (auch Verweise auf Drive-by-Exploits) Malvertising ( über infizierte Werbebanner, insbesondere über Restplatzbörsen ) Spear Phishing gegen Kunden (Gezielte Infiltration) Spear Phishing gegen Angestellte (Gezielte Infiltration) Gefälschte Software-Updates (Ausnutzung von automatischen Update-Funktionen zur Infiltration bspw. mittels gefälschter Signaturen) Hoch Mittel Hoch Mittel Gering-Hoch Mittel Hoch Gering-Hoch Mittel Hoch Gering-Hoch Mittel Gering Mittel Mittel DNS-Typosquatting gegen ISP Gering Mittel Gering-Mittel Fake Anti-Virus gegen Kunden (Gefälschte Anti-Virus Angebote zur von Malware) Mittel Gering-Hoch Mittel Ransomware Hoch Gering-Hoch Mittel-Hoch Mehrstufige / Kaskadierte Angriffe Gering-Mittel Gering-Hoch Gering-Mittel 4/6

5 Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Rückmeldekanäle Rückmeldekanäle (Aneinandergereihte, geplante Durchführung mehrerer Aktionen mit dem Ziel der ) Bulletproof-Hosting (Angebote von Anbietern, die speziell darauf ausgerichtet sind, den Zugriff von Strafermittlungsbehörden zu verhindern / zu erschweren.) Datenträger ( vom Malware über infizierte mobile Datenträger, bspw. USB-Sticks) Hoch Mittel Hoch Gering Gering-Hoch Gering C&C Server (Command&Control Server zur Steuerung von Botnetzen) Mittel Hoch Mittel-Hoch Drop-Zones (Server auf denen gestohlene Daten abgelegt werden) 5/6

6 3. Die zunehmende mobiler Endgeräte (Smartphones, Tablets) macht diese Geräteklasse ebenfalls für Angreifer attraktiv. Die besonderen, speziell diese Gerätekategorie betreffenden Gefährdungen sind im folgenden aufgeführt. Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Allgemein: Unsichere mobile Endgeräte (Die Schutzmaßnahmen mobiler Endgeräte befinden sich noch nicht auf dem Niveau stationärer Endgeräte) Plattform DDoS (Denial of Service Angriffe, die speziell gegen de mobile Netzinfrastruktur gerichtet sind) Femtocell Spoofing (Umleitung von Verbindungen mobiler Endgeräte über maliziöse Zwischenstationen) Hoch Mittel Mittel-Hoch Gering Mittel Gering Hoch Gering Mittel Maliziöse mobile Anwendungen Mittel-Hoch Mittel Mittel Verteilung von Malware über AppStores ohne ausreichende Qualitätsüberprüfung SmiShing ( von URLs maliziöser Webseiten über SMS) Mittel Gering-Mittel Mittel Gering Mittel Gering-Mittel 6/6