SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

Transkript

1 SIWECOS auf der sicheren Seite Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

2 KMUs als Ziel Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden. Robert Mueller (Direktor des FBI, 2012)

3 KMUs als Ziel

4 KMUs als Ziel Viele Risiken lassen sich mit einfachen Mitteln mindern: Steigerung des Bewusstseins für Cyber-Bedrohungen IT-Sicherheit und Betreuung der IT-Infrastruktur zur Chefsache machen Bewusster Umgang mit persönlichen Daten Zeitnahe, im Idealfall automatisierte Sicherheits-Updates Fehlende und fortwährend Schulung und Sensibilisierung aller Mitarbeiter Sichere Zertifikate und Webserver-Verschlüsselung, Sicher konfigurierte Webserver und Webseiten

5 IT-Sicherheit in der Wirtschaft" Projekt im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" des BMWi (Sep 2016 Nov 2018) Initiative IT-Sicherheit in der Wirtschaft" Die Initiative lt-sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemein-sam mit IT- Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseins-bildung in der digitalen Wirtschaft beim Thema lt-sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre lt-sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: abrufbar. Partner und Unterstützer

6 SIWECOS auf der sicheren Seite Projektdauer: September 2016 Oktober 2018 Projektpartner: eco e.v. & Ruhr Universität Bochum Unterstützer: CMS-Garden & Hackmanit Ziele: Langfristige Erhöhung der Webseitensicherheit bei kleinen und mittelständischen Unternehmen Hilfe für KMUs bei der Erkennung und Behebung von Sicherheitslücken auf ihren Webseiten Stärkung des Bewusstseins für die Relevanz von IT-Sicherheit bei KMUs Partner und Unterstützer

7 SIWECOS auf der sicheren Seite Kostenloser Webseiten-Scanner für KMUs und andere Webseitenbetreiber Registrierung über die Projekt-Webseite oder spezielle CMS-Plugins Täglicher Scan von bis zu 10 registrierten Webseiten pro Nutzer Benachrichtigung des Webseitenbetreibers bei kritischen Problemen SIWECOS Hoster-Service direkter Schutz vor Cyberangriffen beim Webhoster SIWECOS steht für Sichere Webseiten und Content Management Systeme Partner und Unterstützer

8 SIWECOS auf der sicheren Seite Einfache Erklärungen und Beschreibungen auch für nicht-techniker Signal-Anzeige für die unterschiedlichen Schwachstellen Zielgruppengerechte Handreichungen und Sicherheitsempfehlungen Umfangreiches SIWECOS WIKI Einfache Registrierung, Implementierung und Nutzung

9 Risiko Webseite Poodle: Schwachstelle in der SSLv3 Spezifikation Heartbleed: Gravierender Programmierfehler in OpenSSL SSL: Seit vielen Jahren unsicher und wird dennoch zu oft eingesetzt auch bei Unternehmen DROWN: Decrypting RSA with Obsolete and Weakened encryption

10 TLS-Scanner Der TLS-Scanner überprüft den Server ihrer Website auf schwache TLS Konfigurationen: - Zertifikats-Probleme - Alte Protokollversionen - Schwache Verschlüsselungsalgorithmen Der TLS-Scanner schützt Ihren Server von Lauschangriffen

11 DOMXSS-Scanner Automatisierte Schwachstellenerkennung im Falle von DOM Cross-Site Scripting (DOMXSS) Sind potentielle Verwundbarkeiten vorhanden Sollte eine Untersuchung von einem Fachexperten durchgeführt werden? Schadcodeausführung auch ohne eine Interaktion des Servers Schutzmechanismen wie Web Application Firewalls (WAF) sind oft wirkungslos

12 HTTP-Security-Header-Scanner Prüft Ihren HTTP Header auf unsichere Konfigurationen Prüft Ihre Privatsphäre-Einstellungen Prüft Ihren Clickjacking-Schutz Prüft den Cross-Site-Scripting Schutz im HTTP-Header Der HTTP-Security Header Scanner mildert u. a. Spoofing-Angriffe

13 Information-Leakage-Scanner Prüft die Privatsphäre-Einstellungen des Content Management Systems Prüft Ihre Webseite auf maschinell auslesbare -Adressen Prüft Ihre Webseite maschinell auslesbare Versions-Angaben oder installierte Plugins Verhindert eine unbewusste Preisgabe Ihrer Daten im Internet an Dritte

14 Einfallstor Webseite 97% der Angriffe* erfolgen auf Sicherheitslücken bei weit verbreiteter Standardsoftware Standard-CMS werden auch von Unternehmen besonders häufig eingesetzt Die meisten Cyber-Angriffe erfolgen weiterhin gestreut, nicht gezielt *Cisco Security Report 2014 Quelle: h2p:// Quelle: G Data Marktanteile CMS, März 2017 Viele Sicherheitsprobleme lassen sich mit schnellen Updates ausschließen Bei IT-Security spricht man eher von Stunden, als von Tagen oder Wochen

15 SIWECOS CMS-Plugin SIWECOS Nutzung und Anmeldung auch über CMS-Plugins möglich ohne die Webseite Einfache Implementierung und Nutzung als Add-On der CMS-Installation Aktuelle stehen SIWECOS Plugins für WordPress, Joomla und Contao bereit weitere folgen

16 Der SIWECOS Hoster-Service Direkte Schnittstelle zu beteiligten Webhostern in Deutschland Aktive Kommunikation von Filter-Regeln zur Abwehr von Angriffen Serverseitiger Schutz von Angriffen auf die beim Webhoster installierte Webseiten bevor die Webseiten-Betreiber infiziert werden können. Ermöglicht den proaktiven Schutz von Millionen installierten CMS-Systemen, ohne dass der Webseiten-Betreiber selbst und sofort aktiv werden muss. Weitere Informationen und Kontakt: Partner und Unterstützer

17 Der SIWECOS Hoster-Service Use Case Joomla Incident im Oktober 2016: Abwehr von Attacken im Zeitraum 0-6 Uhr (= Attacken am Tag) Die Bereinigung eines solchen Angriffs kostet etwa 150 (2,5 Stunden á 60 ), Wenn nur 1% der Angriffe erfolgreich gewesen wäre ergeben sich hier Einsparungen von für die betroffenen KMUs Das pro Tag bei diesem einen Hoster! Partner und Unterstützer

18 SIWECOS - Ausblick Integration der Initiative-S als zusätzlichen Scanner in SIWECOS Einsatz verbesserter Scanner-Technologie zur Erkennung von Exploits auf Webseiten, Migration der bestehenden Initiative-S Nutzer Bereitstellen eines SIWECOS Webseiten Siegels wie bereits bei der Initiative-S. Stetige Verbesserung der bestehenden SIWECOS Scanner Weitere CMS Plugins (Drupal, Typo3 usw.) Verfügbarkeit der CMS-Plugins direkt im Hosting-Paket SIWECOS Roadshows: Sensibilisierung von KMUs vor Ort in allen Regionen Deutschlands Kostenlose Weiterführung SIWECOS auch nach Förderende Ende Oktober 2018! Partner und Unterstützer

19 Kontakt: Peter Meyer, Projektleiter SIWECOS eco Verband der Internetwirtschaft e.v. h.ps:// Lichtstraße 43h Köln Fon +49 (0) Fax +49 (0)