IT-Sicherheitstechnologie aus Deutschland heutiger Stand und Perspektiven

Transkript

1 IT-Sicherheitstechnologie aus Deutschland heutiger Stand und Perspektiven Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen

2 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 2

3 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 3

4 IT-Sicherheitstechnologie aus Deutschland (Motivation) Wir haben in Deutschland als internetaffines Land, kulturell bedingt, aber auch als Know-How-Land höhere Anforderungen an die IT-Sicherheit als andere Länder! 4

5 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 5

6 Die IT-Sicherheitssituation ~ 1990: Kommunikationssicherheit IT-Trend: Mit dem PC kam eine Individualisierung und Dezentralisierung der IT. Der Wunsch, diese dezentralen IT-Systeme über Leitungen oder Daten-Netze, wie X.25-Netz zu verbinden. IT-Sicherheitstrend: Mit Leitungsverschlüsselung (Modem, 2 MBit/s, ) und X.25-Verschlüsselungsgeräten die neuen Sicherheitsprobleme lösen. Unsere Einstellung: Wir müssen uns beeilen, sonst sind alle IT-Sicherheitsprobleme gelöst. 6

7 Die IT-Sicherheitssituation ~ 2000: Perimeter Sicherheit IT-Trend: Unternehmen haben sich ans Internet angeschlossen, um am - und Web-System teilhaben zu können. Zusätzlich wurden Niederlassungen über das Verbundnetz Internet einfach angebunden. IT-Sicherheitstrend: Perimeter Sicherheit Abwehrmodell: Firewall- und VPN-Systeme Digitale Signatur, -Sicherheit, PKI Unsere Einstellung: Wir haben die IT-Sicherheitsprobleme im Griff! 7

8 Die IT-Sicherheitssituation ~ 2010: Malware / Software-Updates IT-Trend: Immer mehr PCs, Notebooks, SmartPhones zunehmend über GSM, UMTS, LTE, Hotspots, (gehen an der zentralen Firewall vorbei) ins Internet Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer (die Marktführer im SW-Bereich erkennen, dass es einen SW- Entwicklungsprozess gibt :-) ) IT-Sicherheitstrend: Verteilte Softwareangriffe mit Hilfe von Malware Anti-Malware, Software-Upgrades und Personal Firewalls Generierung der Sicherheitslage Unsere Einstellung: Die IT-Sicherheitsprobleme wachsen uns über den Kopf! 8

9 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 9

10 Die IT-Sicherheitssituation heute Eine kritische Bewertung (1/6) Probleme: Zu viele Schwachstellen in Software (Level der Software-Qualität) Die Software-Qualität der Betriebssysteme und Anwendungen sind nicht sicher (hoch) genug! Fehlerdichte: Anzahl an Fehlern pro Zeilen Code (Lines of Code - LoC). Betriebssysteme haben mehr als 10 Mio. LoC mehr als Fehler (Fehlerdichte 0,3 ) und damit zu viele Schwachstellen 10

11 Die IT-Sicherheitssituation heute Eine kritische Bewertung (2/6) Probleme: Ungenügender Schutz vor Malware Schwache Erkennungsrate bei Anti-Malware Produkten nur 75 bis 95%! Bei direkten Angriffen weniger als 27% Jeder 25. Computer hat Malware! Datendiebstahl/-manipulation (Keylogger, Trojanische Pferde, ) Spammen, Click Fraud, Nutzung von Rechenleistung, Datenverschlüsselung / Lösegeld, Cyber War (Advanced Persistent Threat - APT) Eine der größten Bedrohungen zurzeit! McAfee; GDATA 11

12 Die IT-Sicherheitssituation heute Eine kritische Bewertung (3/6) Probleme: Identity Management (2012) Passworte, Passworte, Passworte, sind das Mittel im Internet! Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international! Föderationen sind noch nicht verbreitet genug! 12

13 Die IT-Sicherheitssituation heute Eine kritische Bewertung (4/6) Probleme: Webserver Sicherheit Schlechte Sicherheit auf den Webservern / Webseiten Heute wird Malware hauptsächlich über Webseiten verteilt (ca. 2.5 % Malware auf den deutschen gemessen Webseiten) Viele Webseiten sind nicht sicher aufgebaut! Patches werden nicht oder sehr spät eingespielt Gründe Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld) Verantwortliche kennen das Problem nicht! 13

14 Die IT-Sicherheitssituation heute Eine kritische Bewertung (5/6) Probleme: Gefahren mobiler Geräte Ständig wechselnde unsichere Umgebungen (Flughäfen, Bahnhöfe, ) damit wird die Wahrscheinlichkeit des Verlustes deutlich höher! (Handy-Statistik Taxis in London, Notebook-Statistik Flughäfen) Bewegungsprofilbildung (siehe Google, Apple, ) Immer wertvollere Daten und Dienste stehen auf mobilen Geräten zur Verfügung. Öffentliche Einsicht Geräte sind außerhalb des kontrollierten Bereichs der Organisation (Bring Your Own Devices / Consumerisation) 14

15 Die IT-Sicherheitssituation heute Eine kritische Bewertung (6/6) Probleme: Internet-Nutzer Internet-Nutzer müssen die Gefahren des Internets kennen, sonst schaden sie sich und anderen! Umfrage BITKOM: (2012) Fast jeder dritte Internet-Nutzer schützt sich nicht angemessen! - keine Personal Firewall (30 %) - keine Anti-Malware (28 %) - gehen sorglos mit s und Links um - usw. Studie Messaging Anti-Abuse Working Group : 57 Prozent der Befragten haben schon einmal Spam-Mails geöffnet oder einen darin enthaltenen Link angeklickt. 15

16 Kultur-Unterschiede heute Privacy Paranoia Quelle: Ponemon Institute 16

17 Die Situation heute Zusammenfassende Bewertung Bugs Mit der Zeit werden die IT-Sicherheits- und Datenschutzprobleme immer größer! VPN 17

18 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 18

19 Paradigmenwechsel in der IT-Sec Änderungen der Rahmenbedingung (1/2) Grundlegende Rahmenbedingungen haben sich geändert! Das Internet geht über alle Grenzen und Kulturen hinaus! Problem bei der Strafverfolgung Unterschiedliche Auffassungen darüber, was richtig und was falsch ist! Herausforderungen bei verschiedenen Rechtssystemen Radikale Entwicklung und Veränderung in der IT Mobile Geräte, Soziale Netze, Cloud Computing, neue Player, neue Betriebssysteme, neue IT-Konzepte, neue Angriffe Internet der Dinge: SmartGrid, SmartCar, SmartTraffic, SmartHome, z.b. Atomausstieg sorgt für mehr Risiko im Internet Die zu schützenden Werte steigen ständig und ändern sich mit der Zeit Bits und Bytes repräsentieren: von Daten, Informationen, Wissen,... zu Intelligenzen Von überall zugreifbar (Mobile Geräte Cloud Computing, ) 19

20 Paradigmenwechsel in der IT-Sec Änderungen der Rahmenbedingung (2/2) Ungleichgewicht bei Angreifern und Verteidigern im Internet Hoch motivierte und sehr gut ausgebildete Angreifer Die Angriffsmodelle innovieren und Angreifer werden professioneller Angreifer arbeiten im Versteckten von überall in der Welt Nutzen sehr viele Computer (Malware, Botnetzte, ) mit unbegrenzter Leistung 20

21 Paradigmenwechsel (1) Mehr Vertrauenswürdigkeit Welchen Firmen können wir vertrauen? Transparente Gesetze! Geschäftsmodell vs. IT Sicherheit Evaluierung /Zertifizierung (BSI, ENISA, ISO 27001, eco, ) Produkthaftung 21

22 Paradigmenwechsel (2) Mehr proaktive IT-Sicherheit (1/2) Reaktive IT-Sicherheitssysteme Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher! Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir so schnell wie möglich zu schützen, um den Schaden zu reduzieren. Beispiele für reaktive Sicherheitssysteme sind: Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, 22

23 Paradigmenwechsel (2) Mehr proaktive IT-Sicherheit (2/2) Proaktive Sicherheitssysteme Es ist viel besser, wenn wir proaktive Sicherheitsmechanismen etablieren und nutzen, damit unsere IT-Systeme robuster und vertrauenswürdiger werden. Hier spielen Sicherheitsplattformen auf der Basis von intelligenten kryptographischen Verfahren eine wichtige Rolle. ( Vertrauenswürdige Basis ) 23

24 Paradigmenwechsel (2) Vertrauenswürdige Basis Robustness/Modularity Modularization Virtualization Trusted Plattform Trusted Computing Base App Policy Enforcement Isolation OS OS Security Kernel / Virtualization Hardware App Trusted Software Layer Trusted Process Security Management App OS Security Module Integrity Control App Trusted Virtual Domains Trusted Interaction Remote Attestation, Binding, Sealing Trusted Boot 24

25 Inhalt Motivation IT-Sicherheit von 1990 bis 2010 Die Situation heute: Eine kritische Bewertung Paradigmenwechsel in der IT-Sicherheit Fazit und Ausblick 25

26 IT-Sicherheitstechnologien aus D Qualitätssiegel (Die Kriterien) Der Unternehmenshauptsitz muss in Deutschland sein. Die angebotenen Produkte dürfen keine versteckten Zugänge für Dritte enthalten (keine "Backdoors"). Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten. Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden. Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen. 26

27 Vertrauenswürdige IT-Systeme aus Deutschland Hardware Sicherheitsanker: TPM Security & Separation Kernel: MobiCore TURAYA Vertrauenswürdige Systemarchitektur: SINA VirtualWorkstation TrustedDesktop 27

28 IT-Sicherheitstechnologien aus D Fazit Grundlegende Rahmenbedingungen haben sich geändert! Radikale Veränderung in der IT (Mobile Geräte, Cloud, Soziale Netze,...) Die zu schützenden Werte steigen ständig und ändern sich mit der Zeit (Bits und Bytes: von Daten, Informationen, Wissen,... zu Intelligenzen) Die Angriffsmodelle innovieren und Angreifer werden professioneller. Mit der Zeit werden die IT-Sicherheits- und Datenschutzprobleme immer größer! Wir brauchen Paradigmenwechsel in der IT-Sicherheit, um in der Zukunft das Internet vertrauenswürdig nutzen zu können! Mehr Vertrauenswürdigkeit Mehr proaktive IT-Sicherheit 28

29 IT-Sicherheitstechnologie aus Deutschland heutiger Stand und Perspektiven Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen