Internet in Zeiten von Pest und Cholera Wer traut sich noch raus?

Transkript

1 Internet in Zeiten von Pest und Cholera Wer traut sich noch raus? Markus Bernhammer Vorstand 1

2 Agenda Risiken außerhalb des Perimeters Surfen im Internet- Geht das auch sicher? Browser in the Box- Der neue Ansatz für sicheres Surfen Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit BizzTrust- Geschäftliches und Privates trennen Sirrix - Kurzvorstellung 2

3 Risiken außerhalb des Perimeters Bekannte Angriffe und Schwachpunkte 3

4 ..fahren in einer offenen Kutsche und hoffen, dass es nicht regnet. 4

5 Antivirensoftware ist tot -Paradigmenwechsel in der IT 5

6 Advanced persistant threats Advanced Persistent Threat (APT) zu deutsch "fortgeschrittene, andauernde Bedrohung" ist ein häufig im Bereich der Cyber Bedrohung (Cyber- Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden, Groß- und Mittelstandsunternehmen aller Branchen, welche aufgrund ihres Technologievorsprungs potenzielle Opfer darstellen. [1] Im Zuge eines solchen Angriffes gehen die Angreifer sehr zielgerichtet vor und nehmen gegebenenfalls ebenso großen Aufwand auf sich, um nach dem ersten Eindringen in einen Rechner weiter in die lokale IT-Infrastruktur des Opfers vorzudringen. Das Ziel eines APT ist es, möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen (Internet Spionage) oder anderweitig Schaden anzurichten. [2][3] Typisch für klassische APT-Angriffe ist, dass die Täter sehr viel Zeit und Handarbeit investieren und Werkzeuge bevorzugen, die nur für einzelne, spezifische Aufgaben geeignet sind. 6

7 Gefahrenschwerpunkt Internet 7

8 Gefahrenschwerpunkt Internet 8

9 Gefahrenschwerpunkt Internet Das größte Einfallstor für Gefährdungen aus dem Internet ist der Web-Browser Web-Browser Sicherheit muss im Fokus aller Endpoint-Security Anstrengungen stehen 9

10 Verlorene Daten auf Smartphones

11 Sicherheitslücken in Smartphone Apps

12 Surfen im Internet- Geht das auch sicher? Browser in the Box- Der neue Ansatz für sicheres Surfen 12

13 Das Internet ist aus dem Alltag nicht wegzudenken. INTRANET Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte Browserbasierte in-house Anwendungen s INTERNET Recherchen, Nachrichten... 13

14 Bisherige Ansätze der Bedrohungsabwehr Kein Internet am Arbeitsplatz - Sicherheit: Abgesetzte Rechner für Internet Zugang Höherer Aufwand für den Mitarbeiter und zusätzliche Kosten für separate Systeme Internet mit reduziertem Funktionsumfang Sicherheit: Abgeschaltete aktive Inhalte Eingeschränkter Komfort für den Benutzer, niedrige Sicherheit. Alternative Browserhersteller Sicherheit: Diverse Sandboxing-Verfahren und schnelleres Patchmanagement Begrenzte Kapselung vieler Elemente, Sicherheit von O/S und Browser abhängig Terminalserver Sicherheit: Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer Hohe Kosten für Bereitstellung, Komforteinschränkungen für den Benutzer, hohe Sicherheit 14

15 Browser in the Box: Sicherer Browser für den Client Technologie Browserkapselung durch Virtualisierung Eigenschaften 1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten Trennung von Arbeitsplatzumgebung und Internet Transparent für den Anwender 2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen Leicht zu installieren und zentral zu administrieren Sicherheit 15

16 BitBox Enterprise: Isolation auf Rechnerebene Anwenderkonto ANWENDUNG ANWENDUNG BitBox Konto VirtualBox GEHÄRTETES LINUX WEB-BROWSER Windows BitBox Services Intranet 16

17 Browser in the Box Enterprise: Isolation auf Netzwerkebene VirtualBox GEHÄRTETES LINUX WEB-BROWSER BitBox-Konto VirtualBox GEHÄRTETES LINUX LINUX VPN-Client VirtualBox internes Netzwerk Intranet IPSEC Web- Gateway 17

18 BitBox Enterprise: Einfache Administration Active Directory Drucker Server BitBox Internes Netzwerk DMZ Tunnel Web-Gateway Managementsystem 18

19 Sichere Zwischenablage Informationsflusskontrolle Unidirektional (Arbeitsplatz BitBox oder BitBox Arbeitsplatz) Bidirektional (Arbeitsplatz BitBox ) Zentral administrierbar Optionale Bestätigung durch den Benutzer beim Einfügen Kein unbemerkter Informationsfluss z.b. durch Schadsoftware im Gast, die die Zwischenablage ausliest 19

20 BitBox Client: Komforteigenschaften Benutzerkomfort Hohe Transparenz durch Seamless-Mode Unterstützung von aktiven Inhalten Plug-Ins, persistente Lesezeichen, Drucken und Download richtliniengesteuert möglich Host - Plattformen Windows (XP, Vista, 7) Linux 20

21 BitBox Sicherheitseigenschaften Sicherheit Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt Gehärtetes Linux als Gastsystem Kapselung in virtuelle Maschine (VM) Isolierter Browser in the Box-Benutzerkontext Start immer von einem sauberen Snapshot Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus BitBox werden ins Internet geleitet und umgekehrt Sicheres Drucken Down- und Upload richtliniengesteuert möglich 21

22 Sicheres Surfen im Internet für Client/Server Infrastrukturen Trennung von Intranet und Internet Nachhaltiger Schutz gegen ZeroDay Exploits und Advanced persistant threats Einfacher RollOut Zentrales Management Schutz vor Datendiebstahl Erhöhung der Betriebsssicherheit Download unter: browser-in-the-box.de 22

23 Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit BizzTrust- Geschäftliches und Privates trennen 23

24 Gefährdungen für Smartphones (1/2) Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, ) Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.b. Passwörter, PINs, Zugangscredentials, Webzugriffe, ), abgehörte Telefonate Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, ) 24

25 Gefährdungen für Smartphones (2/2) Exploits von App-Fehlern Direkter Zugriff auf App-Daten Indirekter Zugriff auf Daten anderer Apps Risiko Preisgabe vertraulicher Daten Exploits von Android-Fehlern Zugriff auf kryptographische Schlüssel Umgehung von Isolations- und Verschlüsselungsmechamismen Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) 25

26 Stark steigende Anzahl von Android-Malware 26

27 Angriffsvektoren für Malware 3rd Party Apps Browser Multimedia/PDF Kommunikationsdienste Fernwartung Betriebssystem Benutzer 27

28 BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen Business- und Private-Umgebung Benutzer hat volle Kontrolle über die private Umgebung Unternehmen hat volle Kontrolle über die berufliche Umgebung Strikte Trennung Trennung von Apps und Benutzerdaten Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung Optionale Trennung von Kontakten und Kalendereinträgen Business-Apps haben keinen direkten Zugriff auf das Internet 28

29 Sicherheitsarchitektur mit Type Enforcement Business (classified) Personal (unclassified) App App App App App App Hardend Android Middleware With Security Extensions TURAYA Security Kernel & Type Enforcement Smartphone Hardware Sicherheitskern 29

30 Sicherheitsarchitektur mit Type Enforcement Business App App App App App App Android Middleware With Security Extensions Security Kernel & Type Enforcement Smartphone Hardware Private Vorteile Einfachere Portierung Geringer Ressoucenverbrauch Nachteile Größere TCB Beispiele BizzTrust (Sirrix/Fraunhofer SIT) BlackBerry Balance 30

31 BizzTrust Infrastruktur Administration HTTPs Internet Trusted Objects Manager Intern Cert Apps Profile Trusted Channel IPSec VPN Gateway Intern BizzTrust DMZ 31

32 BizzTrust- Funktionen (Client) Data at Rest Verschlüsselung der Benutzerdaten auf dem Smartphone Trennung von nicht-sensitiven und sensitiven Apps ( Personal vs. Business ) kein Durchgriff über standardisierte Android-Schnittstellen (z.b. Zugriff auf Kontakte durch andere Apps) kein Durchgriff durch Exploits in der Middleware Typesicherheit für ausgeführte Apps (Schutz vor böswilligen Apps) 32

33 BizzTrust- Funktionen (Client) Data at Move Verschlüsselung der Kommunikation mit der Unternehmensinfrastruktur über einen IPSec-Tunnel. Mails, Kontakte- und Kalendersynchronisation Zugriff auf das Intranet Optionale verschlüsselte VoIP-Telefonie ins Unternehmensnetz oder zu anderen BizzTrust-Geräten des Unternehmens möglich Optional Internetzugriff über Unternehmens-Firewall 33

34 Unterstützung Geräte und Android Versionen Standardhardware Aktuelle Version basierend auf Android SE 4.2 Momentan unterstützte Geräte: Nexus Galaxy, Nexus S, Nexus 4, Nexus 10 (Tablet), Samsung Galaxy S4 mini Weitere geplante Geräte: Sony Xperia Z, HTC One u.w. 34

35 BizzTrust: Zentrales Management Benutzer- / Geräteverwaltung VPN mit vollautomatischem Zertifikats-Deployment Firmwareupdate 35

36 BizzTrust: Enterprise AppStore Zentrale Verwaltung von Apps Automatisches Signieren hochgeladener Apps und push auf alle Geräte 36

37 BizzTrust: Mobile Device Management Zentrale Verwaltung der MDM Schnittstelle Erste Funktionen verfügbar Erweiterung auf zusätzliche Funktionen möglich 37

38 Zusammenfassung Gehärtetes Betriebssystem Schutz vor Exploits Strenge Isolation Schutz vor Datensaugern Kommunikationsverschlüsselung Datenverschlüsselung Sichere Telephonie 38

39 Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht 39

40 Notebook Diebstahl immer noch 70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes. 40

41 Highlights von TrustedDisk (I) Hoher Einsatzkomfort Device-Vollverschlüsselung für Windows 7 Im Hintergrund, dadurch Weiterarbeit möglich Verschlüsselung von Systempartitionen und mobilen Speichergeräten Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement Hohe Sicherheit Umfassende Pre-Boot Authentication Mehrstufige Authentifizierung per Hardwaretoken und PIN Sichere Zufallszahlengenerierung, flexible Umverschlüsselung Für den VS-NfD Einsatz unter Windows 7 zugelassen 41

42 Highlights von TrustedDisk (II) Weitere Funktionen außerhalb der Zulassung Stealth-Mode Smart-Lock Linux Version (Versionsstand nicht aktuell) Unterstützung PKCS #11 Verwendung Middleware ( CardOS API) 42

43 TrustedDisk-Einsatzmöglichkeiten Einzelplatzversion ohne zentrales Management Für Behörden und Unternehmen empfohlen bis ca. 30 Clients SmartCard Authentisierung Für den VS-NfD Einsatz zugelassen Zentrales Management über TrustedObjects Manager Für Behörden und Unternehmen mit mehr als 30 Clients Zusätzliche Funktionen gegenüber der Einzelplatz-Version Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben 43

44 Zentrales Management über TrustedObjects Manager Zentrale Verwaltung: Zentrales Benutzer-Management Anbindung an Verzeichnisdienste (LDAP) Zentrale Protokollierung der Events Integrierte CA Unterstützung existierender CAs Flexibles Rechtemanagement mit Remote-Änderung von Benutzerrechten 44

45 Festplattenverschlüsselung für hohe Sicherheitsanforderungen Verschlüsselung von Festplatten und mobilen Speichergeräten Zulassung für Geheimhaltungsgrad VS NfD Sichere Authentisierung mittels SmartCard Flexibler RollOut inkl. SmartCard-Personalisierung Zentrales Management Roadmap 2014: Anbindung an DFN-PKI Generierung und Zertifizierung von Signatur-, TrustedDisk- und Verschlüsselungsschlüssel Verwendung der TrustedDisk SmartCard für weitere Anwendungen Benutzerauthentifikation Verschlüsselung 45

46 Sirrix- Kurzvorstellung 46

47 Sirrix Historie Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in Saarbrücken Start des operativen Geschäftes in 2005 Erfolgreich im Projektgeschäft Aufbau Geschäftsbereich ComSec Realisierung von vielen Projekten im IT-Sicherheitsbereich Beteiligung an Forschungsprojekten 47

48 Sirrix Historie und Zukunft 2006 Projektstart für die Turaya Sicherheitsinfrastruktur 2009 Entwicklungsstart für kommerzielle Standardprodukte (TrustedVPN) 2010 Entwicklungsstart der Produktfamilie TrustedDesktop 2011 Produktfreigabe Browser in the Box Enterprise Gemeinsame Entwicklung von BizzTrust mit dem Fraunhofer Institut 2012 Bekanntmachung und Start des Sirrix Partner Programms Produktfreigabe von TrustedDisk 2013 Vorstellung BizzTrust 2014 Produktfreigabe BizzTrust Vorstellung PanBox 48

49 Hauptsitz in Saarbrücken EMV-isolierte Entwicklungsbereiche Infrastruktur für VS-Entwicklungen bis SG Niederlassung in Bochum Hochsicherheitsgebäude mit abstrahlgeschützter Infrastruktur. Standort Darmstadt Im Gebäude der Fraunhofer Gesellschaft HQ in Saarbrücken Vorstand: Ammar Alkassar CEO Christian Stüble CTO Markus Bernhammer CSO NL in Bochum Aufsichtsrat: Dipl.-Ing. Harald Stöber, Düsseldorf (Vorsitzender) Dipl.-Kfm. Hans-Joachim Kraemer, München (stellv. Vors.) Agenda 49

50 2014 ı Classification: Public Produktlinie Sprachverschlüsselungssysteme ISDN/VoIP/GSM TETRA/BO S-D/SNS NATO -SCIP Fax Encryption Systeme Radio Encryption Systeme Module für VHF/UHF Radios Handsets für HF-Radios T URAYA T M TrustedInfrastructure TrustedO bjects Manager TrustedVPN TrustedDesktop TrustedServer T URAYA TM SecurityKernel TURAYA TM Embedded TURAYA TM Mobile Brow ser in the Box Secure Brow sing TrustedDisk HardDisk&USB-Encryption Mobile Device Security TrustedMobile io S/Android BizzTrust TrustedO bjects Manager Management for Appliances, Policies, User, Trusted Domains, 50

51 Sirrix AG Im Stadtwald D Saarbrücken T 0681 / F 0681 / E W info@sirrix.de 51