Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs

Transkript

1 Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs Veranstaltung: Pallas Security Break fast Referent: Ulrich Gärtner Leiter Vertrieb Pallas GmbH Verwendete Quellen: Dell SonicWALL, Pallas-interne Tools Pallas GmbH Hermülheimer Straße 8a Brühl Zünslerweg Dortmund information(at)pallas.de

2 Kurzagenda Einblick in die aktuelle Bedrohungslage Dauerhaft sicher Wenn ja wie?

3 Einblick in die aktuelle Bedrohungslage Pallas GmbH Hermülheimer Straße 8a Brühl information(at)pallas.de

4 IT-Sicherheit TrendMicro: 59% der deutschen IT-Entscheider erklärten, innerhalb der letzten 12 Monate einen schweren Cyber-Angriff erlitten zu haben. TrendMico, Befragung von 301 IT-Entscheidern in Deutschland (2017) VDI: 100 Milliarden Euro Schaden durch Wirtschaftsspionage in D pro Jahr Center for Strategic and International Studies: In keinem Land ist der durch Cyberkriminalität verursachte, wirtschaftliche Schaden - gemessen an der Wirtschaftsleistung - größer als in D Eine Umfrage der eco Kompetenzgruppe Sicherheit

5 Die Lage der IT-Sicherheit: Expertenantworten 50% Bedrohungslage stark wachsend 40% 30% 20% 10% % 60% Sicherheitsausgaben (stark) steigend 70% Auslagerung von Sicherheitsthemen (stark) steigend 55% 50% 45% 40% % 50% 40% 30% 20%

6 Verseuchung von Webservern Q Malware Distribution Sites Microsoft Security Intelligence Report, Volume 15: Q1-Q2 2013

7 Web-Anwendung Aufbau & Soll-Zustand

8 Web-Anwendung SQL Injection

9 BadUSB Quelle Bild:

10 BadUSB Wie es funktioniert Quelle Bild: Security Research Labs

11 BadUSB Was passieren wird Einstecken des USB-Sticks User soll mal eben etwas für einen Besucher des GF ausdrucken Gefundener USB-Stick Im Vordergrund ist der USB-Stick ein Speicher-Stick Im Hintergrund simuliert der USB-Stick eine Tastatur Per Tastatur-Simulation wird ein Trojaner heruntergeladen und gestartet Trojaner wird nicht durch aktuellen Anti-Virus-Schutz erkannt Trojaner baut Verbindung zum Angreifer auf Angreifer hat volle Remote-Kontrolle über PC des Opfers

12 Dauerhaft sicher Wenn ja wie? Pallas GmbH Hermülheimer Straße 8a Brühl information(at)pallas.de

13 Die tägliche Herausforderung Fakten Systeme mit Internet Kontakt: Ständige Angriffe Sicherheit ist "Running Target": Immer neue Bedrohungen Durchsuchung des IPv4 Internet nach Ports: 45min Administratoren arbeiten uneinheitlich Administratoren machen menschliche Fehler Die Vielzahl von Systemen erschwert die Verwaltung Das Management will Bedrohungen ausschließen Eine ständige Überprüfung auf neue Risiken ist also erforderlich!

14 IT-Sicherheit: Ein zu komplexes Thema? Die Grundschutz-Kataloge des BSI Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, die praktisch für jedes IT-System zu beachten sind. (Ausgabe 2008, Seite 16) Im Handbuch: 482 Gefährdungen Maßnahmen Seiten DIN A4...

15 Wie weit ist Ihr Unternehmen? Wirken geht vor schützen? Bewusstsein schaffen ohne Waffen? Die Leitung hat kein Bewusstsein? Die Mitarbeiter ziehen nicht mit?

16 Ganzheitliche Sicherheitspolitik Eine schriftlich oder gar in einem Formalismus spezifizierte Sicherheitspolitik existiert für viele (Mittelständische) Organisationen gar nicht Oft sind auch die organisatorischen Regeln, aus denen eine Sicherheitspolitik hervorgehen kann nicht an einer Stelle zentral festgehalten Manche dieser Regeln bilden sich im laufenden Betrieb inoffiziell heraus und werden nirgends schriftlich dokumentiert Menschen sehen Sicherheit als Hemmschuh und sind nicht aware! Stellung des CISOs (Chief Information Security Officer) im Unternehmen zwischen Geschäftsführung und IT nicht abgesichert und nicht akzeptiert

17 Erfolgreiche Umsetzung Commitment der Unternehmensführung zu IT-Sicherheit Verständnis: IT-Sicherheit stellt den Erfolg sicher Bereitschaft der Mitarbeiter aktivieren Awareness-Schulungen Neutrale Instanz (z.b. CISO, DSB) als Anlaufstelle Aufforderung eigenes Erleben einzubringen und positive Reaktion auf gemeldete Sicherheitsvorfälle Comitment der Mitarbeiter aktiv regelmäßig einfordern, z.b. jährliche Unterzeichnung IT-SiRL

18 Was ist IT-Sicherheit? Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen Sicherheit muss man schaffen! Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen Sicherheit muss aufrecht erhalten werden! Sicherheit ist ein Prozess!

19 IT-Sicherheitsprozess (1/2) Bildquelle: DWD

20 IT-Sicherheitsprozess (2/2) Bildquelle: DWD

21 IT-Dienstleistung aus Sicht eines Kunden IT-Sicherheit muss: einfach (Usability) dauerhaft (Prozess) bezahlbar (as a Service) skalierbar (Cloud) sein

22 Wir machen IT-Sicherheit einfach

23 Gerne beantworte ich Ihre Fragen Ulrich Gärtner, Leiter Vertrieb Pallas GmbH Hermülheimer Straße 8a Brühl ulrich.gaertner (at) pallas.com