Sicherheit im Firmennetzwerk

Transkript

1 Sicherheit im Firmennetzwerk Hacker, Online Betrüger und andere Gefahren

2 Vorstellung 8com GmbH & Co. KG Götz Schartner Geschäftsführer lizenzierter BSI IT-Grundschutzauditor Penetrationstester Aufgaben IT-Sicherheitsanalysen IT-Sicherheitsforschung IT-Security Awareness Vorträge 2

3 Inhalte Logik und Wissen Sind Sie sicher, dass Sie sicher sind? Warum eigentlich? AntiVirus Schutz... oder trügerische Sicherheit Austricksen leicht gemacht! Digitale Kriminalität Schadensfälle in Deutschland Opfer und Täter Phishing Webbrowserphishing Angriffe auf Firmennetze per Webbrowser per Schutzmaßnahmen 10 Gebote der Internetsicherheit Aufklärung, Aufklärung und Aufkl 3

4 Inhalte

5 Wissen Wissen 5

6 chinesische Weisheit Wenn Du Deinen Feind kennst und Dich selbst kennst, brauchst Du das Ergebnis von hundert Schlachten nicht zu fürchten China, General Sun Tzu, ca. 500 vor Christi 6

7 ... Wissen Wissen Sie: Welche Gefahren drohen, wenn Sie eine Anlage öffnen? Welche Gefahren drohen, wenn Sie im Internet surfen? Wer die Kriminellen sind, welche die Sicherheit Ihres Unternehmens bedrohen? IT-Sicherheit beginnt mit Wissen! 7

8 Interpretationen Interpretationen: 100 Schuss aus einer großkalibrigen Waffe werden auf einen Menschen abgegeben, 99 verfehlen, einer trifft in die Stirn! kumulative Bewertung 99mal konnte der Penetrationsbewertungsschema Der Mensch ist tot Mensch ausweichen 99mal hat der Mörder daneben geschossen Bewertung: gut bis sehr gut 8

9 LIVE-Demo LIVE-Demo! Wer von Ihnen hat ein Handy dabei?... oder besser einen Blackberry! 9

10 LIVE-Demo Handy & Co. Firmware Updates i.d.r. kostenfrei auf Herstellerwebseite) installieren Bluetooth ausschalten oder unsichtbar MMS von unbekannten Absendern nicht öffnen Vertraulichkeit kein GSM sondern UMTS Handy, kein Smartphone verwenden 10

11 Digitale Kriminalität Digitale Kriminalität Schadensfälle in Deutschland Opfer & Täter 11

12 Digitale Kriminalität Lebensmittelhersteller 12

13 Lebensmittelhersteller Das Unternehmen Lebensmittelhersteller Standorte einige Mitarbeiter über 2500 Prüfauftrag nach Unstimmigkeiten bei B2B Online Portal 13

14 Lebensmittelhersteller Problem Prüfung einer externen Revisionsgesellschaft deckte folgendes auf: bei einzelnen Online Bestellungen eines kleineren Großhandelskunden im B2B-Portal des Lebensmittelherstellers stimmten die Bestellpreise nicht Abweichungen von bis zu ,-- pro Bestellung wurden aufgedeckt Der Großhändler hatte eine Möglichkeit gefunden, verdeckte Manipulation in der Preisdatenbank vorzunehmen (SQL-Injection) 14

15 Lebensmittelhersteller finanzieller Schaden geschätzt seitens der Unternehmensführung etwas über ,-- durch manipulierte Bestellungen 15

16 Digitale Kriminalität Sondermaschinenbau 16

17 Maschinenbau Frühjahr 2008: Prüfauftrag Mittelstandunternehmen (250 Mitarbeiter) Kunde hat eine vernünftige Basissicherheit Firewall Antivirus Software Updates werden regelmäßig eingespielt Benutzer haben i.d.r. keine Admin- oder Hauptbenutzerberechtigungen private Benutzung der EDV ist vertraglich verboten 17

18 Maschinenbau... Fortsetzung: bei einer Netzwerkdatenanalyse fielen 2 IP-Adressen auf, an die ungewöhnliche Daten gesendet worden sind Ziel waren 2 Server in China, Absender waren 3 interne Notebooks des Kunden nach dem Schließen von Dokumenten wurde von den Notebooks eine HTTPS-Verbindung zu den 2 Servern aufgebaut die gespeicherten Dokumente wurden übertragen 18

19 Maschinenbau... Fortsetzung: ein Notebook-Benutzer war geschäftlich in Hongkong und hatte nach seinem Aufenthalt ein Video über ein stilvolles chinesisches Abendessen per zugesandt bekommen das Video hatte er sich dann angesehen und dann an 2 Kollegen weitergeleitet in dem Video war ein Trojanisches Pferd versteckt, welches sich nur mit Benutzerrechten auf dem Computer installierte. vertrauliche Daten wurden an damit Wettbewerber gesendet

20 Maschinenbau... Fortsetzung: erste Angebote des chinesischen Wettbewerbers sind bei Kunden eingetroffen Ingenieure unseres Kunden sind sicher, dass die Angebote zu 100% auf den gestohlenen Daten basieren geschätzter finanzieller Schaden (Geschäftsleitung) 2008: 5 bis 10 Millionen 20

21 Digitale Kriminalität Steuerberater 21

22 Steuerberater Das Unternehmen Steuerberater Standorte 1x Hessen Mitarbeiter 15 Prüfauftrag nach Erpessung (März 2008) 22

23 Steuerberater Problem Spionagesoftware auf 12 PCs alle Tastatureingaben alle s Screenshots alle Office Dokumente wurden an eine IP in Russland übertragen mit Androhung der Datenveröffentlichung erreichte die Kanzlei im März Forderung ,-- Euro Zahlung auf ein Konto in Argentinien

24 Steuerberater finanzieller Schaden geschätzt seitens der Unternehmensführung

25 Prüfungsstatistik Titel des Diagramms 2009 Erpressung / Datendiebstahl 2008 professionelle Spionage oder Manipulationssoftware 2007 destruktive Schadsoftware 2006 Audits "Privatwirtschaft"

26 Evolution der Digitalen Kriminalität hochlukrativ Die Durchführung solcher Straftaten sind leider technisch sehr einfach Die Kriminellen müssen nicht Vor- Ort sein, also keine klassische Präsenzkriminalität In den seltensten Fällen wird eine Strafverfolgung eingeleitet Organisierte Kriminalität Die Kriminellen sind keine langhaarigen bekifften pizzaessenden Jugendlichen, sondern werden heute der Organisierten Kriminalität zugerechnet auch große Drogenkartelle steigen sukzessive in diese Branche ein! Diese Form der Kriminalität wird extrem wachsen! 26

27 oder das Versagen einer Antivirus Software AV-Schutz 27

28 oder das Versagen einer Antivirus Software

29 Live Hacking 29

30 seriöse Webseiten LIVE Hacking 1. einfache Wörterbuchattacken VPN-Zugänge SMB-Shares 1. einfaches Firewall-Piercing Reverse Shell 1. Port- und Protokolltunnelling 1. http / dns Tunnel

31 Request Port 80 Port 8080 Firewall Internet

32 32

33 LIVE Hacking s 1. Mitlesen von fremden s 1. Versenden von s in anderen Namen 1. Achtung: Anlagen 33

34 Phishing - heute -

35 Phishing Manipulation eines Webbrowsers: Firefox Manipulation Manipulationstrojaner

36 LIVE-Demo Phishing - Ende 36

37 Inhalte COM GmbH & Co. KG

38 Schutzmaßnahmen 38

39 Die 10 Gebote der Internetsicherheit Lernen Sie die Schwächen Ihrer Informationstechnologie kennen! Penetrationstest IT-Security Audits Schaffen Sie ein Sicherheitsbewusstsein bei Ihren Mitarbeitern!

40 Die 10 Gebote der Internetsicherheit 1. Gebot: IT-Sicherheitsmanagement Ohne funktionierendes IT-Sicherheitsmanagement ist es nahezu unmöglich auf Dauer ein akzeptables IT- Sicherheitsniveau im Unternehmen zu erreichen. IT-Sicherheit muss immer unter ökonomischen Gesichtspunkten betrachtet werden! Der Erwerb teuer Schutzhardware und Software ist häufig der falsche Weg!

41 Die 10 Gebote der Internetsicherheit 2. Gebot: Verwenden Sie professionelle Firewalls Verbinden Sie Ihr Netzwerk niemals ohne professionelle Firewall mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall. Private Firewalls und kleine Unternehmensfirewalls können Sie kostenfrei unter prüfen lassen. Große Unternehmensfirewalls sollten regelmäßig professionell geprüft werden!

42 Die 10 Gebote der Internetsicherheit 3. Gebot: keine administrativen Berechtigungen Surfen Sie (und Ihre Mitarbeiter) niemals als administrativer Benutzer im Internet und/oder Empfangen s als administrativer Benutzer! Auch Administratoren dürfen niemals mit administrativen Berechtigungen im Internet surfen oder s empfangen!

43 Die 10 Gebote der Internetsicherheit 4. Gebot: aktuelle Software Setzen Sie nur aktuelle Software ein! Aktualisieren Sie permanent ihr Betriebssystem und ihre Anwendungssoftware! 1. Windows 7 2. Windows Vista 3. ggf. noch Windows XP 4. aktuelle Linux Distributionen Bedenken Sie, jedes fehlende Sicherheitsupdate kann dazu führen, dass trotz aktivierter Firewall und Antivirus Software Ihr Computer/Netzwerk gehackt wird!

44 Die 10 Gebote der Internetsicherheit 5. Gebot: professionelle AntiVirus Software Verwenden Sie eine professionelle AntiVirus Software für Ihren Computer (auch für Ihre Server)!

45 Die 10 Gebote der Internetsicherheit 6. Gebot: s 1. Gehen Sie sorgsam und vorsichtig mit s um! 2. Öffnen Sie nicht jede Anlage! 3. Führen Sie Schritt für Schritt die sichere Kommunikation per Qualifizierter Digitaler Signatur per ein! 4. Arbeiten Sie zumindest mit Anlagen- Verschlüsselungen z.b. Utimaco Private Crypto oder alternativ mit Winzip AES-Verschlüsselungen mit langen und sicheren Kennwort

46 Die 10 Gebote der Internetsicherheit 7. Gebot: vertrauliche Daten Geben Sie niemals vertrauliche Daten weiter! Auch nicht wenn Sie telefonisch dazu aufgefordert werden! Auch nicht, wenn Sie eine Ihrer Hausbank erhalten haben!

47 Die 10 Gebote der Internetsicherheit 8. Gebot: Surfen im Internet a) Erstellen Sie ein VMware oder Virtual PC Image und surfen Sie ausschließlich von diesem im Internet. Wichtig: Das Image nur über einen Player starten, so dass alle Änderungen automatisch zurückgesetzt werden. b) Surfen über spezielle Terminal Server

48 Die 10 Gebote der Internetsicherheit 9. Gebot: Surfen im Internet Installieren Sie niemals Software fragwürdiger Herkunft! 10. Gebot: Schützen Sie Ihr WLAN! WEP, MAC-Address Filter und Hidden SSID können schnell gehackt werden Verwenden Sie die Verschlüsselung WPA2 (notfalls WPA) mit einem 63 Zeichen langen Kennwort!

49 Die 10 Gebote der Internetsicherheit Tipps und Tricks unter 10 Gebote der Internetsicherheit 10 Gebote der Netzwerksicherheit kostenfreier Sicherheitsscanner (für kleine Firewalls)

50 Schutzmaßnahmen ENDE

51 ... in kurzer Zeit, habe ich Ihnen viele Informationen übermittelt! Gerne stehe ich Ihnen auch nach dem Vortrag persönlich für Fragen zur Verfügung! Sollten Sie keine Zeit haben, freue ich mich auch über einen Kontakt per Telefon oder per !

52 Zeit für Ihre Fragen

53 Im Foyer: Hetzelgalerie Neustadt/Weinstraße

54 burek>it_services IT-Support & Datensicherung Hauptstraße Neustadt/Weinstraße ProCERTIS AG Office Speyer / Datenschutz & ISO 27001

55 KONTAKT 8com GmbH & Co. KG Im Ringel Neustadt an der Weinstraße Telefon Fax