Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr. PIA Die IT-Security Awareness Kampagne der Bundeswehr

Transkript

1 und Nutzung der Bundeswehr PIA Die IT-Security Awareness Kampagne der Bundeswehr

2 IT-Sicherheit WIESO, WESHALB, WARUM?

3 IT-Sicherheit im Spannungsfeld

4 Quelle: Spiegel Online = Unbekannte hatten einen Trojaner ins Netzwerk geschleust und Daten abgezweigt.

5 Deutsche Unternehmen unter Phishing-Beschuss: Viele Angriffe sind erfolgreich. Wie man Mitarbeiter besser sensibilisieren kann, wollen Wissenschaftler von der Uni Bonn erforschen mit simulierten Mail-Attacken auf Unternehmen. Phishing-Mails sollen Nutzer auf manipulierte Webseiten locken und sie verleiten, sensible Daten preiszugeben. Sie sind eigentlich ein alter Hut. Trotzdem fällt noch immer jeder siebente Nutzer auf solche Mails herein, so eine Studie zu Phishing-Mails von Google aus dem letzten Jahr. "Gute" Phishing-Mails hätten sogar eine Erfolgsquote von 45 Prozent, heißt es in der Studie. Quelle: Februar 2015

6

7 Vorfälle Das Bundesamt für Sicherheit in der Informationstechnik (BSI) - entdeckt im Durchschnitt ca. 70 kompromittierte s pro Stunde im deutschen Behördennetz. - beobachtet ca. 5 zielgerichtete Computerspionage Angriffe täglich. - protokolliert ca blockierte Zugriffsversuche aus Behördennetzen auf kompromittierte Webseiten pro Monat. - verzeichnet einen Anstieg von ca. 150 % bei privaten Hilfeersuchen an das BSI Service Center.

8 33% der Bevölkerung geht jedoch davon aus, dass man absolute Sicherheit schaffen kann. 60% der deutschen Bevölkerung sehen die Verantwortung betreffend Sicherheit und Datenschutz im Internet primär bei der Wirtschaft und/oder beim Staat, der die erforderlichen Rahmenbedingungen schaffen soll. 80% der Deutschen sind online 50% der Nutzer wissen nicht was sie selbst für den Schutz ihrer Daten tun können 33% wären die Hilfe von anderen im Internet verloren. 50% der Bevölkerung ist überzeugt: Absolute Sicherheit im Internet kann und wird es nicht geben! Quelle: Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI) v. Feb % der deutschen Bevölkerung sind mit dem Thema Sicherheit und Datenschutz im Internet überfordert und fühlen sich daher verunsichert.

9 Bedrohungen und Gegenmaßnahmen gehärtete zentrale Netzübergänge Reduzierung dezentraler Netzübergänge Cyber-Raum krimineller Innentäter unbedarfter Mitarbeiter externe Gefahren/ Angriffe technische IT-Sicherheitsmaßnahmen, u.a.: systemweite Sensorik Virenscanner Schnittstellenüberwachung Festplattenverschlüsselung

10 Organisatorische Maßnahmen Maßnahmen der Bundeswehr: - Aufstellung des Computer Emergency Response Team (CERTBw) im IT-ZentrumBw vor mehr als 10 Jahren. -

11 Auftrag des CERTBw Das CERTBw ist die zentrale Einrichtung der Bundeswehr für die Überwachung, Erhaltung und Wiederherstellung der IT-Sicherheit im Einsatz und im Grundbetrieb. (Computer Security) Incident Management, Netzwerkmonitoring und Analyse der korrelierten Ereignisse, Maßnahmen zur IT-Sicherheitsvorsorge und Beratung bei der Umsetzung, Unterstützung bei der IT-gestützten Ermittlung in disziplinarrechtlichen Angelegenheiten, Zusammenarbeit mit CERT BWI, CERT Bund...

12 CERTBw im Einsatz

13 Organisatorische Maßnahmen Maßnahmen der Bundeswehr: - Aufstellung des Computer Emergency Response Team (CERTBw) im IT-ZentrumBw vor mehr als 10 Jahren. - Einrichtung eines Risk Management Board (RMB) für das IT-System der Bundeswehr. - Laufende Teilnahme an nationalen und internationalen Übungen im Bereich Cyber Defence. -

14 Cyber Defence Übungen Beispiele für die deutsche Teilnahme an nationalen und internationalen Cyber Defence Übungen: - Lükex (nationale, länderübergreifende Krisenmanagementübung) - Cyber Coalition (NATO) - Cyber Endeavour (PfP, US-EUCOM im Rahmen Combined Endeavor) - Locked Shields (multinational, NATO CCD COE, EST) -.

15 Organisatorische Maßnahmen Maßnahmen der Bundeswehr: - Aufstellung des Computer Emergency Response Team (CERTBw) im IT-ZentrumBw vor mehr als 10 Jahren. - Einrichtung eines Risk Management Board (RMB) für das IT-System der Bundeswehr. - Laufende Teilnahme an nationalen und internationalen Übungen im Bereich Cyber Defence. - Seit 2010 Durchführung von zentralen IT-Security Awareness Maßnahmen (PIA-Tage, IT-SecAw TagBw).

16 Risikofaktor Mensch Der User, der Nutzer Leichtsinn und Ignoranz Der Innentäter Spionage Sabotage Wiki-Leaks Der Mensch, die Technik und die IT-Lösungen Software Mobile Datenträger (USB-Stick etc.) Der Administrator im Zwiespalt Bequemlichkeit; Updates und Patching Troubleshooter und Kenner der workarounds Das Ziel des Social Engineering Ziel der Personalentwicklung: Risikofaktor Mensch minimieren durch: Erziehung, Ausbildung und Sensibilisierung Konzentration von Fähigkeiten Genau hier setzt IT-Security Awareness an!

17 IT-Security Awareness Ziel: Schaffung eines IT-Sicherheits- / IT-Risiko-Bewusstseins

18 IT-Security Awareness in der Bundeswehr Ein kurzer (!) Überblick Vor 2010 Seit 2010 vereinzelte Maßnahmen in der Bundeswehr zentralisierte Maßnahmen für die gesamte Bundeswehr IT-Security Awareness Tage der Bundeswehr Gründung der AG IT-Security Awareness Kampagne

19 25 Mitarbeiter/-innen mit Bundeswehrbezug aus folgenden Bereichen: Ausbildungseinrichtungen (Universitäten Hamburg / München, Führungsunterstützungsschule, Führungsakademie sowie dem Bildungszentrum der Bundeswehr [-> ehemals BAkWVT]) IT-Sicherheitsbeauftragte aus vielen Bereichen der Bundeswehr Computer Emergency Response Team der Bundeswehr (CERTBw) Militärischer Abschirmdienst (MAD) Ämterebene Die AG IT-Security Awareness Rechtsabteilung und BWI (seit 2013)

20 Die erarbeiteten Maßnahmen der AG Den ersten IT-Security Awareness Film der Bundeswehr Veröffentlicht: 24. Mai 2011 Den dazugehörigen Ausbildungsleitfaden Veröffentlicht: 1. März 2012

21 Themenfelder Thema 1: Thema 2: Thema 3: Thema 4: Thema 5: Soziale Netzwerke sicherer Arbeitsplatz, inkl. Umgang mit Passwörtern mobile IT Ausspähen und Kompromittieren sowie Social Engineering im Themenfeld 1 und 5

22 Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind. -Terry Pratchett-

23

24 Chris Richard Heiko Mathias Constantin Marc Andre Tony Olivier Konversation & Interaktion

25 Bildpost bei Facebook kommentiert Fußball Verein Link auf Homepage (Adresse) Heiko erwähnt antwortet liked Kommentar Mathias Stephan Freund liked Kommentar Bruder Sven Profil liked und erwähnt Schwester Familienbild (Verifikation mit Profilbild Sven) liked und erwähnt Andrea Freunde liked und kommentieren Alexander Veronika Thomas Wohnorte / soziale Umgebung

26 Nun bekannt: Name & Anschrift der Familie Telefonnummer der Familie Alter der Schwester (19) & Bruder (17) Alter Person: 22 Adresse Person Dienstgrad: Obergefreiter (Urkunde) Dienstort Leer, als Sanitäter (Kommentar von FB-Freund) Auszeichnung: Gefechtsmedaille (ISAF) Bilder in Uniform Hobby Fußball im Verein (spielt regelmäßig lt. Homepage) Fahrzeug BMW (nach Einsatz neu gekauft -> Bild-/Postkommentar) Werkzeuge: Soz. Netzwerke Internetsuchmaschine / Personensuchmaschine Das Örtliche Telefonbuch Wikipedia Zeitaufwand: ca. 2,5 Std

27 [*] I will see YOU in Facebook! [*]

28 Die IT-Security Awareness Kampagne der Bundeswehr Durch Partnerschaft sicher: IT-Security Awareness!

29 Der Werkzeugkasten Zum Download: 18 neue Filme 17 Plakate 10 Flyer, inkl. Passwortflyer Give-Aways (Druckvorlagen) für: Postkarten / Kalender / Notizblöcke / Tassen sowie den - Kampagnenfahrplan

30

31 Kampagnenmaterial IntranetBw: IT-Sicherheit.Bundeswehr.org Wiki Bw: IT-Security Awareness (Portal)

32

33

34

35

36 Kampagnenmaterial IntranetBw: IT-Sicherheit.Bundeswehr.org Wiki Bw: IT-Security Awareness (Portal)

37

38

39

40

41 Übergreifende Zusammenarbeit Bundespolizei

42 ACT Priorities / TIDE Sprint Berlin Doctrine: Doctrine Proposal to AJOD WG: Apr 2015 MCDC: Multinational Defensive Cyberspace Operations Ed, Tra, Ex: Cyber Coalition Exercise Department Head for CD Ed & Tra Cyber Injects in Military Exercises NATO-wide User Awareness Capability Development: Next Generation NCIRC NATO Cyber Range Capability Identity and Access Management Cryptographic Transformation Doctrine Ed, Tra, & Ex Cap Dev Transformation

43 Fazit - Betrifft uns alle und muss permanent geschaffen/gepflegt werden! - Stärkt das IT-Sicherheits- und IT- Risikobewusstsein! - Trägt zur IT- und Informationssicherheit bei.

44 Vielen Dank für die Aufmerksamkeit! Durch Partnerschaft sicher: IT-Security Awareness! Bundesamt für Ausrüstung, Informationstechnik Fregattenkapitän Ralf Fornefeld Leiter AG IT-Security Awareness Bw BAAINBw I3.1 Hermsdorfer Straße 2 D Lahnstein Tel.: +49(2621) Bw: