Willkommen zum Livehacking

Transkript

1 Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW

2 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur Verfügung!

3 Dürfen wir uns vorstellen? Antago - Wer wir sind und was wir tun

4 Was bietet Ihnen Antago? Die Antago GmbH ist ein europaweit tätiges Unternehmen im Bereich der IT- und Informationssicherheit. Wir bieten Dienstleistungen der Spitzenklasse für die strukturierte, bedarfsorientierte Absicherung von Informationen. Unabhängig, kompetent und fair bieten wir Ihnen: Security Scans und Penetrationstests Kompetente Sicherheitsuntersuchungen von Infrastrukturen, Systemen und Applikationen Informationssicherheitsmanagmentsysteme (ISMS) Analyse und Erarbeitung organisatorischer Sicherheit (auch gem. IT-Grundschutz / ISO 27001) Risikoanalysen und Sicherheitskonzepte Bedarfsorientierte Sicherheit: So wenig wie möglich, so viel wie nötig!. Security Awareness Sensibilität im Unternehmen schaffen die Sicherheitslücke Nr. 1 adressieren. Livehackings und Schulungen Know-How aus erster Hand.

5 Aus der Abteilung Guten Morgen! Willkommen in der Realität (Version 2.0)

6 Die gegenwärtige Situation Albert Anker: Das Mädchen mit den Dominosteinen Quelle: Wikipedia

7 Die gegenwärtige Situation Das Internet war ursprünglich ein reines Forschungsnetz. Als das Fundament des Internets gelegt wurde, vertrauten sich die beteiligten Freaks untereinander. Folge: Auf den Faktor Sicherheit wurde kein Wert gelegt. Dann wurde das Internet vom eigenen Erfolg überrascht - heute tummeln sich x Millionen Menschen im Internet. Deshalb verwenden wir heute Verfahren, die hochgradig unsicher sind. Gleiches gilt für die allermeisten Verfahren und Produkte in der IT der Faktor Sicherheit rückt erst seit wenigen Jahren langsam in den Focus der Hard- und Software-Designer.

8 Beispiel s... Mails werden mit dem Protokoll SMTP versandt. SMTP = Simple Mail Transfer Protocol SMTP ist ein sehr einfaches Protokoll: Klartext-Übertragung, keine Benutzer-Authentifizierung SMTP bedeutet heute Stupid Mail Transfer Protocol Wir übertragen heute völlig ungesichert hochbrisante Daten per Mail, die wir vielleicht noch nicht einmal als Brief (=verschlossener Umschlag!) versenden würden vom Versand als Postkarte ganz zu schweigen.

9

10 Nun eine Frage: Warum ist ein Firmennetz sicher? In jedem Firmennetz werden genau die gleichen (unsicheren, veralteten, überholten, zensiert,...) Verfahren eingesetzt die wir auch im Internet finden. Ein besteht nur ein einziger Unterschied zum Internet: Die Benutzer im internen Netz sind bekannt und es wird ihnen (ein gehöriges Stück weit) vertraut. Deshalb werden umfangreiche Anstrengungen unternommen, um unberechtigten Personen den Zugriff zum Netz zu verwehren: Leitungen sind in Kabelkanälen verlegt, Besucher werden am Empfang registriert, Übergangspunkte zu anderen Netzen werden besonders geschützt,...

11 An was erinnert ein Firmennetz heute?

12 Willkommen im Mittelalter!

13 Aus der Abteilung Spielkind! Wie unsicher können DSL-Router sein?

14 DEMO... nbtscan in Aktion...

15 Oft sind die DSL-Router völlig nutzlos... internes Netz

16 ...z.b. weil sie falsch konfiguriert sind... Oftmals bricht das Feature Fernwartung oder das Feature DMZ-Host dem DSL-Router das Genick... Hier ein Beispiel (DSL-Router der Firma Belkin):

17 ...oder sie schlechte Ideen implementieren... Einige Router implementieren ein so genanntes PPPoE-Tunneling. Hierbei ist der Rechner des Endkunden die PPPoE-Endstelle und der DSL-Router leitet die Pakete einfach weiter. Folge: NAT und Co. des DSL-Routers greifen nicht der Rechner ist völlig ungeschützt. Warum das so ist, können Ihnen nur die Provider sagen...

18 Eigentliche Ursache (I): Falsches Gerät eingesetzt! Nicht alles, was sich Firewall nennt, ist auch eine Firewall. Es gibt grundlegende Unterschiede zwischen DSL-Routern und Firewalls: Flexibilität, Leistungsfähigkeit, Überwachungsfunktionen DMZ, Intrusion-Prevention, Layer-7-Schutzfunktionen... Sobald Dienste im Internet angeboten werden, hat ein DSL-Router ausgespielt. Hier muss eine saubere Lösung her! Fazit: Firewall nicht gleich Firewall!

19 Eigentliche Ursache (II): Fehlendes Know-How Die gesehenen DSL-Router und Server werden wahrscheinlich von besonderen Spezialisten installiert und auch von diesen betreut : der Neffe, der sich so gut mit Computern auskennt der Bekannte, der sich so gut mit dem Internet auskennt der Mitarbeiter, der mal schnell die IT managed der typische IT-Krauter ( Hier gibt's alles! ) Ohne IT läuft nichts in einer Firma. Deshalb gehört die Sicherheit der Daten in die Hände von Spezialisten. Die oft gesehene Kumpel-IT hat besonders in Bezug auf die IT-Sicherheit ausgedient! Fazit: kein Experte in der Firma = externer Experte benötigt!

20 Wie heute leider (zu) viele Unternehmen aussehen...

21

22

23 Aus der Abteilung Es ist machbar! Wie müssen sich Unternehmen schützen?

24 Wo sind Ihre Kundendaten gespeichert?...natürlich auf den Servern!...auf den Backup-Medien (Bänder, DVD's)....vielleicht auf der einen oder anderen Workstation?...uuups, auch auf den Laptops!...Smartphones bitte nicht vergessen!...und dann noch... äääähm... (Haben wir wirklich nichts vergessen???)

25

26

27

28

29

30

31 Informationssicherheit......ist mehr als die Installation einer Firewall....betrifft alle Teile eines Unternehmens...kann nicht auf den Schultern einiger weniger Personen (den Administratoren bzw. den Sicherheitsbeauftragten) abgeladen werden....ist kein Produkt, sondern ein Prozess.

32 Keine Informationssicherheit ohne Organisation Die Menge der Bedrohungen und die Individualität der Informationsverarbeitung erfordern, Gefahren und Maßnahmen sauber zu analysieren und zu planen: Was wird wirklich benötigt? Die Absicherung der Informationen ist nur mit einem Zusammenspiel aus Technik und Organisation effektiv möglich. DieGeschäftsführung steckt ggf. in der persönlichen Haftung, wenn etwas passiert. Die Absicherung durch organisatorische Maßnahmen ist bei weitem günstiger und effektiver als Technik. Fragen Sie sich, ob bereits verbindliche Vorgaben für den Umgang mit der IT-Infrastruktur entwickelt wurden und ob diese ausreichend bekannt sind.

33 So kontaktieren Sie uns Antago: Replacing Luck.

34 Unsere Kontaktdaten wir freuen uns auf Sie! Sie haben Fragen? Sie benötigen weitere Informationen oder ein unverbindliches Angebot? Wir freuen uns auf Sie! Antago GmbH Robert Bosch Straße 7 D Darmstadt Internet: Phone: Fax: sicherheit[at]antago.info

35