IT-Sicherheitslage. Die aktuelle. Prof. Dr. Norbert Pohlmann

Transkript

1 Die aktuelle IT-Sicherheitslage Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen

2 Institut für Internet-Sicherheit Übersicht ( 2 Hochschullehrer und ca. 40 Mitarbeiter (18WM / 13HW / 9AA) Internet: Research, Situation Awareness, Early Warning Internet Analysis System (IAS), Internet Availability System LogData AS, IDS, for real time analysis Trusted Computing Turaya (Security Platform based on TPM) TNC, TPM and VoIP, TC-App., Anti-Spam / Botnet Detection Distributed IP Reputation Systems, blacklist, Other actual topics: SmartPhone Security, Identity Management, German ID card, Ab Herbst 2010: Master Internet-Sicherheit 2

3 Der Marktplatz IT-Sicherheit 3

4 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 4

5 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 5

6 IT-Sicherheit u. Vertrauenswürdigkeit Motivation Veränderung, Fortschritt, Zukunft Entwicklung zur vernetzten Informations- und Wissensgesellschaft. IT-Sicherheit ist eine sich verändernde Herausforderung Das Internet geht über alle Grenzen und Kulturen hinaus! Zeit und Raum werden überwunden! Immer schnellere Entwicklung und Veränderung in der IT. Die Nutzer müssen immer wieder neues Wissen erwerben, wie sie sich angemessen verhalten können. Die zu schützenden Werte steigen ständig. Die Werte, die wir schützen müssen, ändern sich mit der Zeit. Die Angriffsmodelle innovieren und Angreifer werden professioneller. IT-Sicherheitsmechanismen werden komplexer, intelligenter und verteilter. Mit der Zeit werden die Sicherheitsprobleme immer größer! 6

7 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 7

8 Lage der IT Sicherheit ~ 1990: Kommunikationssicherheit IT-Trend: Mit dem PC kam eine Individualisierung und Dezentralisierung der IT. Der Wunsch, diese dezentralen IT-Systeme über Leitungen oder Daten- Netze, wie X.25-Netz zu verbinden. IT-Sicherheitstrend: Mit Leitungsverschlüsselung (Modem, 2 MBit/s, ) und X.25-Verschlüsselungsgeräten die neuen Sicherheitsprobleme lösen. Unsere Einstellung: Wir müssen uns beeilen, sonst sind alle IT-Sicherheitsprobleme gelöst. 8

9 Lage der IT Sicherheit ~ 2000: Perimeter Sicherheit IT-Trend: Unternehmen haben sich ans Internet angeschlossen, um am - und Web-System teilhaben zu können. Zusätzlich wurden Niederlassungen über das Verbundnetz Internet einfach angebunden. IT-Sicherheitstrend: Abwehrmodell: Firewall- und VPN-Systeme Digitale Signatur, -Sicherheit, PKI Unsere Einstellung: Wir haben die IT-Sicherheitsprobleme im Griff! 9

10 Lage der IT Sicherheit ~ 2010: Malware / Software-Updates IT-Trend: Immer mehr PCs, Notebooks, SmartPhones zunehmend über GSM, UMTS, Hotspots, (an der zentralen Firewall vorbei) ins Internet Die Anzahl der Schwachstellen durch Softwarefehler wird immer größer (die Marktführer im SW-Bereich erkennen, dass es einen SW- Entwicklungsprozess gibt :-) ) IT-Sicherheitstrend: Verteilte Softwareangriffe mit Hilfe von Trojanischen Pferden Anti-Malware, Software-Upgrades und Personal Firewalls Generierung der Sicherheitslage Unsere Einstellung: Die IT-Sicherheitsprobleme wachsen uns über den Kopf! 10

11 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 11

12 Die Situation heute Eine kritische Bewertung (1/5) Probleme: Computer-Sicherheit Die Software-Qualität ist nicht sicher genug! Schwache Erkennungsrate bei Anti-Malware nur 75 bis 90%! Jeder 25. Computer hat Malware! Die Nutzer sind nicht gut genug vorbereitet Mitarbeiter müssen die Gefahren des Internets kennen, sonst schaden sie der eigenen Firma! Soziale Netzwerke Mitarbeiter können sich über Soziale Netzwerke sehr schnell neues Wissen aneignen und Informationen beschaffen. Aber! Vertrauliche Informationen sollen nicht besprochen werden! 12

13 Die Situation heute Eine kritische Bewertung (2/5) Probleme: Sicherheit Verschlüsselte s weniger als 4 % (S/MIME, PGP, ) Signaturen unter s weniger als 6 % (Finanzbereich deutlich mehr) Spam-Anteil größer als 95 % (in der Infrastruktur siehe ENISA-Studie) Was kommt in der Zukunft? D SSL-Verschlüsselung zwischen den Gateways, Zustell-Garantie Verpflichtende Authentifizierung, Sichere Dokumentenablage Der Online Brief der Deutschen Post AG Hybridmodell 13

14 Die Situation heute Eine kritische Bewertung (3/5) Probleme: Identity Management Passworte, Passworte, Passworte, sind das Mittel im Internet! Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international! Föderationen sind noch nicht verbreitet genug! Was kommt in D? npa (Neue Personalausweis mit Authentikationsfunktion) 14

15 Die Situation heute Eine kritische Bewertung (4/5) Probleme: Webserver Sicherheit Schlechte Sicherheit auf den Webservern / Webseiten Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut! Patches werden nicht oder sehr spät eingespielt Gründe Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld) Verantwortliche kennen das Problem nicht! 15

16 Die Situation heute Eine kritische Bewertung (5/5) Der Level an IT-Sicherheit und Vertrauenswürdigkeit unserer IT-Systeme ist heute ungenügend! Lösungsansätze: Herstellerverantwortung IT-Sicherheitsanspruch / IT-Sicherheitsbranche Trusted Computing Karl12 Dreamstime.com 16

17 Sicherheitsplattform Turaya Architektur und Technologie 1/3 Herkömmliche Hardware CPU / Hardware Devices TPM Höchster Schutz durch hardwarebasierte Sicherheit Vorteile der Trusted-Computing-Technologie nutzen 17

18 Sicherheitsplattform Turaya Architektur und Technologie 2/3 Virtualisierungslayer zur Isolation... Schutz der Applikationen Schutz der Anwenderdaten Schutz vor Manipulationen einer Applikation (bspw.: Browser)... mittels moderner Virtualisierungstechniken Mikrokern-Architektur Verwendbarkeit existierender Komponenten in Compartments 18

19 Sicherheitsplattform Turaya Architektur und Technologie 3/3 Sicherheitsplattform (Trusted Software Layer) Authentifikation einzelner Compartments Binden von Daten an einzelne Compartments Trusted Path Zwischen Anwender & Applikation / Applikation & Smartcard Sicheres Policy Enforcement Starke Isolierung 19

20 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 20

21 Schnellere Innovation Intelligente IT-Geräte und flexible IT Dienste Fähige Personen für schnelle Innovationen Olegbabich Dreamstime.com, Xy Dreamstime.com Flexible IT Geräte und Dienste für flexible Arbeitsverhältnisse Alex Slobodkin istockphoto 21

22 Alterspyramide Sichere/vertrauenswürdige Zusammenarbeit Doppelt so viele Menschen verlassen das Berufsleben Fjvsoares Dreamstime.com, Andresr Dreamstime.com Offene Objekt-Sicherheit weniger Perimeter-Sicherheit by Danny de Wit 22

23 Mehr CPUs, mehr Leistung Trusted Computing in allen Dingen Internet der Dinge Spontane verteilte Anwendungen istockphoto.com, Yanko Design 23

24 Mehr künstliche Intelligenz IT Fee Software Assistent Mehr Power, mehr Intelligenz Für jeden eine Gute IT Fee Geo Images istockphoto.com, Yanko Design 24

25 Clevere und komplexerer Angriffsmodelle Die digitale Welt ist so gefährlich, wie die Hilfsmittel, die sie verwendet! simscript.com 25

26 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 26

27 Aktuelle IT-Sicherheitslage Zusammenfassung Wir müssen etwas tun, um unsere Zukunft sicherer und vertrauenswürdiger zu gestalten. Dazu brauchen wir einen Quantensprung in der Sicherheitstechnologie, in der Vorgehensweise und in der Zusammenarbeit mit anderen. Die Zukunft beginnt jetzt, also lassen Sie uns anfangen! 27

28 Inhalt Motivation IT-Sicherheit von 1990 bis heute Die Situation heute: Eine kritische Bewertung Ein Blick in die Zukunft Ausblick Buch: Sicher im Internet 28

29 Das Einmaleins für jeden Internetnutzer Tipps und Tricks für das digitale Leben 29

30 Die aktuelle IT-Sicherheitslage Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen