IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

Transkript

1 IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision

2 Bundesamt für Sicherheit in der Informationstechnik Bundesbehörde im Geschäftsbereich des Bundesministerium des Inneren 1991 als nationale Behörde für IT-Sicherheit gegründet ( BSI Gesetz ) über 500 Mitarbeiter (2010) Haushaltsvolumen: T (2009) Standort: Bonn zentraler IT-Sicherheitsdienstleister des Bundes unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft Marc Schober, BSI 2

3 IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober, BSI 3

4 Lageberichte des BSI Die Lage der IT-Sicherheit in Deutschland aktuell: 2009, erscheint im 2-jährigen Turnus + aktuelle Quartalslageberichte z.b. Q4/2010 Internet-Kriminalität wird zunehmend professionalisiert Zunahme der Wirtschaftskriminalität zur Erlangung von Wettbewerbsvorteilen Schäden in Milliardenhöhe durch Schadprogramme Vorstellung Lagebericht 2011 am ! Marc Schober, BSI 4

5 Bedrohungen Höhere Gewalt..., Blitz, Feuer, Wasser,... Organisatorische Mängel..., Unzureichende Schulung der Mitarbeiter, Menschliche Fehlhandlungen..., Server im laufenden Betrieb ausschalten, Technisches Versagen..., Defekte Datenträger,... Vorsätzliche Handlungen..., Sabotage, Schadprogramme gibt es überall relevante Erkennen! Marc Schober, BSI 5

6 Vorsätzliche Handlungen: Angreifer Script Kiddies Einzelpersonen mit Angriffs-Tools Hacktivisten größere Gruppen, lockere Organisation Hacker / Cracker Einzelne und/oder Kleingruppen Wirtschaftskriminelle Organisierte Kriminaltität z.b. Spam und Botnetbetreiber, Phishing Kartenbetrug, Wirtschaftsspionage Staaten / Organisationen Angreifer Sichtbarkeit Wirkung Marc Schober, BSI 6

7 Vorsätzliche Handlungen: Motivation Spaß & Langeweile Profilierung Hackerfolg als Leistung Politische Motivation bzw. moralische Gründe z.b. DDoS Angriffe auf aus aktuellen Anlässen unbeliebte Unternehmen, Einrichtungen oder Organisationen Finanzielle Interessen in beliebigem Umfang z.b. Aufbau und Vermietung von Botnetzen zum Spamversand oder als Angriffsmittel für Dritte Kreditkartenbetrug, Klickbetrug, (Wirtschafts)Spionage (gezielte) Sabotage von fremden IT-Systemen Marc Schober, BSI 7

8 Vorsätzliche Handlungen: Methoden Angriffe mittels... (gezielte) s mit Schadcode sog. Backdoors / Trojaner in angehängten Dateien (gezielte) Phishing-Mails mit Links zu Websites oft auch massenhaft in Verbindung mit Spam manipulierten (seriösen) Websites zur unbemerkten Verteilung von Schadcode sog. Drive-by-Downloads Angriffe durch... Bot-Netze z.b. für DDoS Angriffe oder Spam direkte Methoden z.b. MySQL-injection Gemeinsamkeit der meisten Methoden: Ausnutzen von Schwachstellen in (weit verbreiteter) Software Marc Schober, BSI 8

9 IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober, BSI 9

10 IKT-Abhängigkeiten im Unternehmen IT als Medium (Netzwerke / Internet)... zu den Beschaffungsmärkten zu den Absatzmärkten für das Marketing zur Informationsbeschaffung zur innerbetrieblichen Kommunikation IT als Betriebsmittel z.b. in der Prozessteuerung IT als Wissen Sie genau wo IT einen Beitrag zum Unternehmenserfolg leistet? Wer schützt ihre Unternehmens-IT und wie? Marc Schober, BSI 10

11 Sicherheit vs. Aufwand Absolut perfekte (Informations)Sicherheit ist nicht erreichbar! 100% Sicherheitsniveau hoch normal sehr hoch Aufwand & Ressourcen Nach BSI Standard S.32 zuerst elementare (einfache) Maßnahmen realisieren um schnell ein grundlegendes Sicherheitsniveau zu erreichen; erst danach in aufwändige Sicherheitsinfrastrukturen investieren Marc Schober, BSI 11

12 BSI IT-Grundschutz EINE Möglichkeit: Umsetzung des BSI IT-Grundschutz einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen Hilfsmittel BSI Standards bis Grundschutz Kataloge Leitfaden Informationssicherheit Anwendungsbeispiele z.b. GS-Profil für den Mittelstand Marc Schober, BSI 12

13 BSI IT-Grundschutz 100% sehr hoch hoch Sicherheitsniveau normal Grundschutz Aufwand & Ressourcen Nach BSI Standard S.32 Marc Schober, BSI 13

14 Begleitend - Einsatz von Sicherheitslösungen am Arbeitsplatz Verschlüsselung zum Schutz vor Datenverlust z.b. bei USB-Sticks, Notebooks, Smartphones,... Kontrolle von Schnittstellen z.b. USB-Sticks (technisch) verbieten Selektiver Zugang zu Netzwerken Muss wirklich jeder Rechner jederzeit in alle Netzwerke und/oder das Internet? Und natürlich Anti-Viren-Software & Firewalls Viele vergleichbare Maßnahmen mit geringem bzw. moderatem Aufwand möglich! Marc Schober, BSI 14

15 Cyber-Sicherheitsstrategie 10 strategische Ziele zur Stärkung der IT-Sicherheit in Deutschland, u.a.: veröffentlicht: Schutz Kritischer Informationsinfrastrukturen Sichere IT-Systeme in Deutschland Mehr Sicherheit auf IT-Systemen der Bürger und von KMUs Initiativen für zielgerichtete Bündelung von Informations- und Beratungsangeboten... Stärkung der IT-Sicherheit in der öffentlichen Verwaltung Nationales Cyber-Abwehrzentrum ( ) Marc Schober, BSI 15

16 Vielen Dank für Ihre Aufmerksamkeit????? Die Lage ist ernst aber nicht aussichtslos! IT-Sicherheit als gemeinsame Herausforderung für Staat UND Wirtschaft! Marc Schober, BSI 16