Ihre Sicherheit unsere Mission

Transkript

1 Ihre Sicherheit unsere Mission

2 bayme vbm - Roadshow 2014 bayme vbm - Roadshow 2014 Der sichere Hafen für die Unternehmens-IT Dienstag, den 01. April 2014 Bayme vbm - Nürnberg 2

3 Ihre Sicherheit unsere Mission Cyber Security Wo stehen wir? Wohin gehen die Strategien? Welche Aktionen sind jetzt sinnvoll oder notwendig? Dipl.-Inform. Ramon Mörl Geschäftsführer itwatch

4 Kurzvorstellung Ramon Mörl 25 Jahre Erfahrung als Berater in der IT-Sicherheit Leitende Tätigkeiten in Projekten für Firmen wie HP, IBM, Siemens, ICL und Bull in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA Als unabhängiger Evaluator und Berater der Europäischen Union vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig Seit 2002 Geschäftsführer der itwatch GmbH 4

5 Ihre Sicherheit unsere Mission Cyber Security Wo stehen wir? Wohin gehen die Strategien? Welche Aktionen sind jetzt sinnvoll oder notwendig? Dipl.-Inform. Ramon Mörl Geschäftsführer itwatch

6 Bedrohungen Speichermedien Infektion des Anwenders Internet Anwendungen Infektion des Closed Information Networks und Verbreitung darüber hinaus 6

7 Die letzte Bastion: der Anwender Einbinden des Anwenders in die IT-Security zusammen ist man stärker Dialoge in Echtzeit ermöglichen in Anwender-Sprache Selbstfreigabe für den erwachsenen selbstverantwortlichen Nutzer Sensibilisierung für besondere Zusammenhänge Technik besonders schützenswerte Daten (z.b. Passworte) Gesetz... Elektronische Willenserklärung ermöglicht Zustimmung zu Protokollierung Haftungsübergang... Inhaltliche Schulung mit elektronischer Prüfung als Freigabevoraussetzung Compliance Nachweis der rechtssicheren Nutzung Definierte Freiräume schaffen Kooperation VIP: Unsicherheit darf nicht Privileg werden 7

8 Awareness Information in Echtzeit 1. Starten der Dropbox 2. Benutzernachricht Security Awareness in Echtzeit 3. Benutzer darf den Dienst erst nutzen, wenn die Richtlinie akzeptiert ist 8

9 Wir sitzen alle in einem Boot Ich kann auf meiner Seite machen, was ich will. Wer nicht Teil der Lösung ist, der ist Teil des Problems. 9

10 Spyware die Bedrohungslage Spyware gelangt über viele Kanäle auf die Rechner, beispielsweise beim Surfen, per Link in einer , versteckt in Dateien und Archiven oder auch auf USB Sticks. Das Schadprogramm sammelt unter Benutzerberechtigung Informationen aus dem Netz oder über den Rechner und dessen Benutzer. Die Informationen werden versendet, teilweise sogar ohne einen eigenständigen Verbindungsaufbau des Schadprogrammes mit dem Internet. Die Aktionen sind so versteckt, dass der Nutzer sie nicht bemerken kann. Interne Informationen gelangen somit an Unberechtigte - ganz ohne das Wissen des Anwenders. 10

11 Spyware die Bedrohungslage Spyware gelangt über viele Kanäle auf die Rechner, beispielsweise beim Surfen, per Link in einer , versteckt in Dateien und Archiven oder auch auf USB Sticks. Das Schadprogramm sammelt unter Benutzerberechtigung Informationen aus dem Netz oder über den Rechner und dessen Benutzer. Die Informationen werden versendet, teilweise sogar ohne einen eigenständigen Verbindungsaufbau des Schadpro-grammes mit dem Internet. Die Aktionen sind so versteckt, dass der Nutzer sie nicht bemerken kann. Interne Informationen gelangen somit an Unberechtigte - ganz ohne das Wissen des Anwenders. 11

12 Wegschauen Oft tut auch hilft nicht! der Unrecht, der nichts tut! Marc Aurel vertraulich Datenleck Kreditkarten Top Secret 12

13 Schadcode in verschlüsselten Netzen Angriffe auf Anwendungen wie Browser (drive-by-attacken) durch Attachments sind auch über verschlüsselte Netze erfolgreich Schadcode kann sich auch in verschlüsselten Netzen erfolgreich verteilen und seine Schadfunktion ausführen Der Schutz des Clients muss also zwingend mit der gleichen Mechanismusstärke durchgeführt werden, wie der Schutz der Netze 13

14 Die Regeln im Cyber Space Eine Million mal gut verteidigt Dem Gegner genügt ein erfolgreicher Angriff Die Lage ist mehrfach asymmetrisch Der Einsatz, Die Motivation, Der Gewinn und Der Verlust Sind auf beiden Seiten unterschiedlich und je nach Kultur gesellschaftlich unterschiedlich verankert Die physikalischen Grenzen sind keine Grenzen im Cyber Space Gesellschaftlich stilisieren sich einige Datendiebe zu einer Art Robin Hood des digitalen Zeitalters 14

15 Cyber Sicherheit & DLP Schutz gegen Datenklau und Datenverlust (DLP) hat den Datenabfluss über Leckagepunkte im Fokus Cyber Sicherheit schützt vor Angriffen aus dem Cyber Space Unberechtigtes Eindringen aber auch die Verfügbarkeit des Cyber Spaces und die Integrität der dort genutzten Services Beiden gemeinsam ist, dass die Leckagepunkte und die potentiellen Angriffspunkte für das unberechtigte Eindringen im Risikomanagement sehr ähnlich sind 15

16 Einfallstore & Leckagepunkte Devices Kommunikationsschnittstellen Kabelgebunden Funk Mobile Datenträger Applikationen mit Kommunikation Netzwerkkontakte Verdeckte Kanäle und Hintertüren 16

17 Die Problematik Man weiß nie, wo sich Angreifer verstecken! 17

18 Ihre Sicherheit unsere Mission Cyber Security Wo stehen wir? Wohin gehen die Strategien? Welche Aktionen sind jetzt sinnvoll oder notwendig? Dipl.-Inform. Ramon Mörl Geschäftsführer itwatch

19 Sicherheit im Dialog Wollen Sie???.exe öffnen? Nutzung Virtueller Umgebungen für sichere Business Prozesse Virtuelle Betriebssysteme und virtuelle LAN Umgebungen Sicherheit die im Hintergrund arbeitet, ohne Benutzerinteraktion Ja ich möchte.exe öffnen aber sicher! Keine Gefährdung des Netzes Schutz des Anwenders vor Schuld trotz Nicht Wissen Beweissicherung durch Logging der Ereignisse 19

20 Was ist echte Sicherheit? Ein sicheres Auto hat: Sicherheitsgurte Mehrere Airbags Rückspiegel ABS Licht Trotzdem fühlt man sich in diesem Auto in dieser Situation nicht sicher! 20

21 Den Windows-Kern beschützen 21

22 Freiheit von Hintertüren Was macht ein institutioneller Angreifer mit viel Geld, der gerne an Ihre heiligsten Daten kommen möchte? Er baut eine Sicherheitssoftware, die von Ihnen so konfiguriert wird, dass sie die heiligsten Daten erkennt und schützt und Baut eine Hintertüre ein, welche die geschützten Daten über einen verdeckten Kanal ausschleust Populär: der Hollywood Film Das Netz Technisch z.b. für einen hochsicheren Kryptoalgorithmus nachgewiesen in Bruce Schneiers kryptografischen Werken Vertrauensketten bis zum Hersteller z.b. durch unabhängige Organisationen wie das BSI Bundesamt für Sicherheit in der Informationstechnologie Freigaben oder Zulassungen für Verschlusssache 22

23 Den Bock zum Gärtner machen NSA sammelt riesige Datenmengen zum Wohle der Nation Programm PRISM bzw. Upstream Kommunikation: s, Telefonate Personenbezogene Daten: Bankdaten, Patientenakten Nachrichten aus sozialen Netzwerken Lieferant der Daten: Große amerikanische Internet-Dienste (Microsoft, Apple, Yahoo, Google, Facebook, Twitter) Quelle: Süddeutsche Zeitung,

24 Den Bock zum Gärtner machen Rechtliche Grundlage zum Datensammeln in den USA: Patriot Act Zugriff auf Daten zum Schutz vor terroristischen Anschlägen Großer Spielraum für amerikanische Behörden Problematik für europäische Institutionen und Unternehmen europäische und deutsche Grundrechte greifen nicht Keine globale Grundrechtecharta zum Schutz personenbezogener Daten Eingebaute Hintertüren Quelle: Handelsblatt, Technologie deutscher und europäischer Anbieter ist bei Cloud-Speicherung und vertraulicher Kommunikation sicherer Datenschutzniveau auf EU- Ebene und höher 24

25 Den Bock zum Gärtner machen Vorsicht beim Einsatz von Diensten großer amerikanischer Anbieter Problematik Verschlüsselung: Verschlüsselung muss sicher sein Angebote durch beispielsweise SAP, Microsoft oder Oracle gewähren diese meist nicht durchgehend Problematik Cloud-Dienste: Wo werden die Daten gespeichert? Welche Rechtsordnung verwendet der Anbieter? Quelle: Handelsblatt,

26 Den Bock zum Gärtner machen Amerikanische Unternehmen unterstützen den US-Geheimdienst Ausnutzung noch nicht geschlossener Software- Schwachstellen [ ] Einbau versteckter Funktionen in die Software amerikanischer Anbieter Wer liest mit? Datenlieferanten Microsoft McAfee Quelle: Süddeutsche.de, , URL: 26

27 USA Economic Well-Being Die Welt : Brasiliens Präsidentin [Fr. Rousseff Anm.] spricht vor der UN-Versammlung wohl vor allem über die NSA Falls sich die Fakten in dem Artikel bestätigen wird offensichtlich, "...dass das Motiv für diese Spionage nicht Sicherheit oder der Kampf gegen den Terrorismus ist, sondern wirtschaftliches und strategisches Interesse." 27

28 Ein Maß für alle? Im Fall von Facebook und Google stehen die angebotenen Services meist ohne Bezahlung zur Verfügung und finanzieren sich über Werbung und die Weitergabe der Daten ganz ohne Nachrichtendienste. Apple und Microsoft bieten Ihre Betriebssysteme, Produkte und weiteren Lösungen nicht kostenfrei zur Nutzung an. Der Kunde gibt sein Geld für Themen aus, bei denen er sich darüber im Klaren ist, dass er potentiell Zusatzlösungen benötigt, da der Fokus auf Stabilität, Komfort etc. liegt. Insbesondere im professionellen Umfeld muss zusätzlich in die IT- Sicherheit investiert werden. Völlig anders ist die Situation bei IT-Sicherheitsprodukten. Der Kunde kauft diese Produkte nur zu dem Zweck die Schwachstellen in seinen IT- Systemen zu schließen. Insbesondere bei Verschlüsselung-, DLP- und Labelling-Lösungen gibt der Kunde dem Produkt, welches er erworben hat, explizit alle vertraulichen Daten preis und erwartet den Schutz dieser liegt damit aber teilweise falsch. 28

29 Konsequenzen Sicherheit heißt immer: dass keine unerwünschten nicht dokumentierten Funktionen anwesend sind Qualitätskontrolle für IT-Sicherheit unterscheidet sich deshalb deutlich von QS für IT Wir müssen uns also entweder auf einander verlassen können Oder gegeneinander Schutzmauern aufbauen Auf einander verlassen heißt: eine Maßeinheit für die Sicherheit eines Systems und diesem Standard gemeinsam folgen Polizei z.b. durch gegenseitige Audits BSI ist der Konsens der öffentlichen Hand 29

30 Sicherheit der Lösung Welche Lösung setze ich ein? Ein paar Skripte aus der Computerzeitung? Ein paar Entwickler in Bejing, Haifa, Moskau bauen Software und verkaufen sie über OEM / diverse Produktnamen BSI, Nachrichtendienst, Militär, LKA haben da schon mal draufgeschaut und nutzen es selbst in D Sicherheit entsteht durch die Funktion die NICHT vorhanden ist! 30

31 Ihre Sicherheit unsere Mission Cyber Security Wo stehen wir? Wohin gehen die Strategien? Welche Aktionen sind jetzt sinnvoll oder notwendig? Dipl.-Inform. Ramon Mörl Geschäftsführer itwatch

32 Echtzeitereignismonitor Kaskadierende Echtzeitkonsole aller Ereignisse im Netz Beliebige Aktionen können an die Ereignisse geknüpft werden Autostart des Virenscanners auf externen Laufwerken Überprüfung der Security-Einstellungen für Kommunikation oder Drittprodukte Benutzerantragsdialoge in Echtzeit abhängig von frei definierbaren Parametern alle Anforderungen bei dem Betrieb von Devices aus Sicht des System-Managements Unerwünschte Netzwerke verbieten oder in Echtzeit geeignete Vorkehrungen treffen Alerting nach definierbaren Schwellwerten auch netzwerkweit konsolidiert Reporting mit vordefinierten Reports 32

33 Port und Device Kontrolle Devices sind alle eingebauten oder externen Geräte wie Memory Sticks, Modems, Drucker, Scanner, PDAs, Handys etc. Schnittstellen sind alle Ports, über welche moderne PCs verfügen: USB, PCMCIA, Bluetooth, WLAN, Firewire, Infrarot etc. Definieren Sie, welcher Benutzer welches Device wann und wo unter welchen Umständen einsetzen darf Überzeugen Sie sich VOR der Nutzung von der Integrität der Inhalte schützen Sie sich damit vor unerwünschten U3 oder anderen Technologien 33

34 Applikationskontrolle Inventar alle Anwendungen in Echtzeit mit Eigenschaften (Version etc.) einsammeln. Jede Anwendung eindeutig authentisieren. Monitoring Anwendung Start und kritische Dateizugriffe der Anwendung Blocking White- und / oder Black List mit Echtzeit-Umschaltung der gültigen Policy. Verwendung der Anwendung abhängig vom Systemzustand (Skype) Content Filter für Anwendungen, so werden Restriktionen (z.b. für Browser) und erweiterte Anwendungs-Rechte unabhängig von den Rechten des Anwenders umgesetzt Kommunikationsanwendungen Lese-Verbot für sensible Dateien Schreibverbot für ausführbare Dateien 34

35 Dateninhaltskontrolle Kontrolle des Datei-Austausches mit Devices Medien Netz-Laufwerken Citrix Terminalserver Über Anwendungen Content Filter kontrollieren jeweils beim Lesen oder Schreiben jede einzelne Datei, komprimiert, verschlüsselt oder zu Archiven gepackt nach bestimmten Dateitypen oder Inhalten (Pattern) individuell Pattern Prüfung Schutz vor vorgetäuschten Namen Kontrolle besonderer Inhalte z.b. firmenvertraulich. Shadowing - Protokollierung kritischer Inhalte 35

36 Viruelle Schleuse 36

37 Vertraulichkeit gewährleisten 37

38 Was ist echte Sicherheit? Den vollständigen Artikel finden Sie unter 38

39 Verschlüsselung BDSG 9: personenbezogenen Daten auf mobilem Datenträger nur verschlüsselt erlauben vertrauliche Daten aus dem Netz nur verschlüsselt mitnehmen? Firmenschlüssel beschützen die Daten sicher bei Lagerung außer Haus vor Fremdnutzung Erlauben Sie einzelnen Benutzern eigene Schlüssel zu vergeben oder bestimmte Dateien unverschlüsselt mitzunehmen steuern Sie, abhängig von den Datei-Inhalten, die Vertraulichkeit der Information Schlüsselhinterlegung zur Reduzierung der Help Desk Kosten lokal und Für den Notfall zentral Identische Vertraulichkeits-Richtlinien auf allen mobilen Datenträgern (CD/DVD, SD Karten...) 39

40 Mobile Verschlüsselung Bei der mobilen Verschlüsselung sind die Use Cases zum internen Datentransport und zum Austausch mit Partnern, sowie die Einbindung in die Enterprise Umgebung wesentlich. Daraus ergeben sich folgende Anforderungen: Verschlüsselung der Datei nicht der Partition Wirksamer Schutz vor Spyware und USB-Dumpern Verschlüsselung aller Dateitypen Einfache / Intuitive Handhabung Nutzung direkt vom Datenträger ohne Installation am PC Unterschiedliche Schlüssel je nach Nutzung auf einem Datenträger Vergabe eigener Schlüssel, frei definierbare Komplexität des Schlüssels Aufwertung mit firmenspezifischen Hinweisen und Richtlinien Verwendbar auch für Rückgabe von Daten auf anderem Datenträger 40

41 Sichere Verschlüsselung in die Cloud mit PDWatch2Go Drag & Drop: Automatische Verschlüsselung in die Cloud Lokales Verzeichnis Cloud 41

42 Cloud: Die Daten entscheiden! 42

43 Die wichtigen Schritte Risiko Monitoring, um die realen Abweichungen vom organisatorisch definierten Standard - vollständig anonymisiert aufzunehmen (Verstöße gegen Verbote) Zeitintervalle (3 oder 6 Monate) definieren in welchen die Verstöße gegen Verbote analysiert werden Zu jeder identifizierten Klasse von Verstößen die geeignete Maßnahme und den Zeithorizont definieren Mögliche Reaktionen Verstöße akzeptieren (z.b. wg. geringer Anzahl und geringem Risiko) evtl Richtlinie ändern Risiko detaillierter monitoren Security Awareness in Echtzeit Nachricht an den Anwender definieren, um aufzuklären, Gründe zu erheben, Freigaben zu beantragen 80% bis 100% der nicht betriebsbedingten Verstöße werden verhindert Verhindern durch Blockieren 43

44 Partner von itwatch Microsoft und itwatch arbeiten Hand in Hand - Gemeinsam stellen die Unternehmen das sichere Windows 8 Tablet vor v.l.n.r.: Ramon Mörl (Geschäftsführer itwatch GmbH, München) und Michael Kranawetter (Head of Information Security, Chief Security Advisor Germany, Microsoft Deutschland GmbH, Unterschleißheim) Vom BMWI gefördert: Gemeinsames Forschungsprojekt von itwatch und WIBU Systems Zusammen mit T-Systems und weiteren Herstellern hat itwatch das hardwareunabhängige durch das BSI VS-NfD-zugelassene Notebook und Tablet entwickelt. 44

45 itwatch unterstützt aktiv 45

46 Security Suite der itwatch DeviceWatch ApplicationWatch XRayWatch Gerätekontrolle Applikationskontrolle Dateien, Inhalte blockieren und auditieren PDWatch CDWatch DEvCon ReCAppS DataEx PrintWatch AwareWatch ReplicationWatch CryptWatch Verschlüsselung mobil, lokal und zentral Medienbasierter Schutz kaskadierende Device Event Konsole Virtuelle Schleuse Sicher löschen und formatieren DLP Kontrolle über gedruckte Dokumente Security Awareness in Echtzeit Sichere Datenreplikation Verschlüsselung auf unsicheren Drittrechnern alle Module - ein einziger Agent

47 Vielen Besten Dank Dank für Ihre für Ihre Aufmerksamkeit! 47 ct 1/2003