Cyberraum und Cybersicherheit: eine neue politische Dimension

Transkript

1 Cyberraum und Cybersicherheit: eine neue politische Dimension Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Internationaler Club La Redoute, 26. Mai 2014

2 IT = Alltag 2

3 Einflussfaktoren Technologieentwicklung Bedarf Gefährdungslage Loveletter Virus Stuxnet Politischer Rahmen 3

4 Einflussfaktoren Technologieentwicklung und Bedarf Bedarf Mobilität Leichte Bedienbarkeit/ Nutzerfreundlichkeit Verfügbarkeit Technologieentwicklung Schnelle Innovationszyklen IT-Durchdringung und Vernetzung steigen Komplexität und Interdependenzen steigen 4

5 Smart Grid - Vom passiven zum intelligenten Verteilnetz Versorgungssicherheit Paradigmenwechsel: Zukünftig folgt der Verbrauch der Erzeugung Strom Information Quelle: Infineon AG Intelligente Messsysteme sind nötig, um bedarfs- und angebotsgerechtes Last- und Einspeisemanagement auch im Verteilnetz durchführen zu können. [EnWG und EEG-Novelle: IT-Sicherheit verankert] 5

6 Einflussfaktor Gefährdungslage Gefährdungslage Lage hält mit der Technologieentwicklung Schritt 1990er Jahre: Breitenangriffe im Loveletter Virus Stuxnet Stil des Loveletter Virus Heute: zunehmende IT-Durchdringung und Vernetzung mehr Angriffsziele und -punkte Angriffe können hochprofessionell sein Angriffstools lassen sich mit Support im Netz kaufen und mit geringem Wissen anwenden 6

7 Cyber-Angriffe Angriffsszenarien Zeroday Exploit Trojaner Schwachstellen Backdoors/ Manipulation von Hard- und Software... IT-Systeme Schadensszenarien Cyber-Spionage Cyber-Sabotage Identitätsdiebstahl Cyber- Erpressung... 7

8 Überblick der Fakten und Zahlen Quelle: Zusammenfassung der Cyber-Sicherheitslage, Stand Februar 2014

9 Malware 10% 30% 20% Direkter Download (URL) Drive-by-Exploit -Anhänge Andere (Datenträger etc.) 40% Malware-Verbreitung über Drive-By-Exploit, Download und 9

10 Mobile Malware Neue Schadsoftware-Familien für mobile Geräte Android Symbian Others (Windows Phone, Blackberry, ios) 50 0 Quartal 1/13 Quartal 2/13 Quartal 3/ mobile Malware (Android) hohe Verbreitung in China/Russland Malware selten im Google-Play-Store 10

11 Identitätsdiebstahl - -Warndienst - 21 Millionen -Adressen und Passwörter Gestohlen (Drive-By, Trojaner, Hacking,...) Mißbraucht (SPAM-Versand) Ermittelt/Entdeckt (Staatsanwaltschaft, Unterstützung BSI) Relevanz geprüft (BSI) Gewarnt (BSI und Provider: -Warndienst) Zahl übersteigt Identitätsdiebstahl Homebanking Einschätzung Polizeien: steigende Zahl von Vorfällen BSI als Zentralstelle für Bürger-Warnung Ursache: digitale Sorglosigkeit der Bürger, unsichere PCs 11

12 Zwölf Maßnahmen zur Absicherung gegen Angriffe aus dem Internet (1) Sicherheitsupdates installieren (2) Virenschutzprogramm nutzen (3) Personal Firewall nutzen (4) Benutzerkonto mit eingeschränkten Rechten für Zugriff auf das Internet (5) Zurückhaltung bei der Weitergabe persönlicher Daten (6) Modernen Internet-Browser mit Filtermechanismus nutzen (7) Sichere Passwörter anwenden (8) Über verschlüsselte Verbindungen kommunizieren (9) Nicht benötigte Programme deinstallieren (10) Backups regelmäßig erstellen (11) WLAN-Verbindungen verschlüsseln (12) Sicherheitsstatus des Computers überprüfen 12

13 Einflussfaktor politischer Rahmen Politischer Rahmen Cyber-Sicherheitsstrategie 2011 u.a. Gründung Cyber-Abwehrzentrum Neuaufstellung in der 18. Legislaturperiode Zuständigkeiten: BMI, BMWi, BMVI Koalitionsvertrag: IT-Sicherheitsgesetz, Digitale Agenda... NSA-Diskussion Untersuchungsausschuss 13

14 Entwicklung des BSI Änderungen 2009 Schutz der Netze des Bundes Zentrale Meldestelle Verbindliche Mindeststandards Warn- und Beratungsfunktion Prüfung, Zertifizierung & Akkreditierung Errichtung des BSI CERT- Bund Verantwortung Regierungsnetze Trojanerangriffe Regierungsnetze Novellierung des BSIG Koordination des CAZ ? Perspektive: IT-Sicherheitsgesetz Smart Meter/Smart Grids... BSI: IT-Sicherheitsdienstleister, IT-Sicherheitsgestalter, IT-Sicherheitsregulierer 14

15 Maßnahmen zur Verbesserung der Risikosituation im Cyberraum Sechs zentrale Zielsetzungen (1) Vertrauenswürdige Kryptotechnologien durchgängig zur Anwendung bringen (2) Vertrauenswürdige Hersteller und Produkte identifizieren (3) Technologische Souveränität (4) Unterstützung der Bürgerinnen und Bürger beim Selbstschutz (5) Unterstützung der Wirtschaft beim Selbstschutz (6) Stärkere Einflussnahme durch Standardisierung und Zertifizierung BSI 15

16 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Michael Hange Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)