Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

Transkript

1 Risiken und Schutz im Cyber-Raum Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

2 Stahlwerk in Deutschland durch APT-Angriff beschädigt Quelle: BSI: Die Lage der IT-Sicherheit 2014, ,9% der Unternehmen in D von Spionage betroffen weitere 27,4% haben den Verdacht betroffen zu sein Quelle: CorporateTrust GmbH: Studie Industriespionage 2014, gestohlener Datensatz verursacht 140 Folgekosten Quelle: Ponemon Institute LLC / IBM: 2014 Cost of Data Breach Study Germany, Sony Pictures, Heartbleed, Fappening, DDoS, TV5,

3 Cyber-Sicherheits-Umfrage 2014 Frage: War Ihre Institution in den letzten 3 Jahren das Ziel von Cyber-Angriffen? Auch interessant: 35% der Angriffe erfolgreich weitere 12% evtl. erfolgreich Nein (29%) 56% Ja Unbekannt (15%) Quelle: Allianz für Cyber-Sicherheit / BSI, Cyber-Sicherheits-Umfrage 2014 ( )

4 BITKOM Studie 2015 Frage: War Ihr Unternehmen innerhalb der letzten 2 Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage Betroffen betroffen? Nicht (21%) betroffen 51% Vermutlich betroffen (28%) Quelle: Bitkom Research, Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl ( )

5 Ursachen Schwachstellen in Standardsoftware» Standardsoftware und andere - enthält Schwachstellen, davon ist ein Teil als kritisch einzustufen Hier berücksichtigt: Adobe Reader / Flash, Mozilla Firefox / Thunderbird, Microsoft Internet Explorer, Microsoft Windows / Office, Linux Kernel, Apple OS X / Safari / Quicktime, Google Chrome, Oracle Java/JRE» Verfügbare Patches werden nicht immer zeitnah eingespielt» Auch nicht mehr supportete Software verbeitet eingesetzt

6 Ursache Werkzeug Schadsoftware (Malware)» Software-Schwachstellen Malware» Je nach Quelle unterschiedlich aber in der Größenordnung:» Mehrere hundert Mio. Schadsoftware-Varianten pro Jahr, mehrere hunderttausend pro Tag» Verbreitungswege» Drive-By-Exploits / Exploit-Kits, Anhänge, Datenträger,...» Probleme» Bei Masseninfektionen : Zeitspanne zwischen erstem Einsatz einer Malware-Variante und (sicherer) Erkennung durch AV-Produkte» Bei gezielten Angriffen: Geringe, weil gezielte Verbreitung AV-Hersteller können Samples erst spät / nach Entdeckung erhalten

7 Auswirkungen» Sabotage des betroffenen Systems (z.b. Ransomware)» Missbrauch des Systems z.b. als Botnet-Client DDoS-Angriffe» Datenabfluss (z.b. im privaten Umfeld Banking-Daten)» Datenabfluss Cyber-/Wirtschafts-Spionage» Missbrauch des Systems zur weitergehenden Infiltration APT

8 APT der Gegenentwurf zu Ransomware» hier gibt es nichts zu sehen Ziel: unbemerkte Infiltration» höherer Kenntnisstand der Angreifer, i.d.r. sehr professionelle Vorgehensweise ernst zu nehmende Bedrohung für die IT-Sicherheit einer Behörde oder Firma» Das Opfer erlangt häufig erst nach relativ langer Zeit durch externe Quellen Kenntnis über den erfolgten Angriff» Im Fokus von APT-Angriffen stehen vorrangig die folgenden Branchen» Rüstungsindustrie, Hochtechnologiebranche (Automobil-/Schiffbau, Raumfahrt), Forschungseinrichtungen, Öffentliche Verwaltung

9 Verbreitungsweg Mobile Datenträger» Auch nicht vernetzte Systeme gefährdet Mythos Air-Gap Bild Quelle: Vasilius / Fotolia.com

10 Verbreitungsweg Mobile Datenträger» Lösung!?!» wird tatsächlich angewandt» pragmatisch aber drastisch Ausdrücklich nicht zur Nachahmung empfohlen! Versiegelte USB-Ports bleiben i.d.r. permanent unbrauchbar. Es gibt andere Lösungen für dieses Problem. Bild Quelle: fefufoto / Fotolia.com

11 Cyber-Sicherheits-Umfrage 2014 Wenn Unternehmen betroffen waren was waren die Ursachen? Software-Schwachstellen 25% Software-Schwachstellen (0-day) 19% Fehlkonfiguration von Systemen 18% Unbeabsichtigtes Fehlverhalten (Soc.Eng.) 15% Sonstiges 10% Unbeabsichtigtes Fehlverhalten Vorsätzliches Fehlverhalten (Innentäter) 8% 5% Quelle: Allianz für Cyber-Sicherheit / BSI, Cyber-Sicherheits-Umfrage 2014 ( )

12 BITKOM Studie Milliarden Euro Schaden pro Jahr durch: (Auszug)» Platz 1: Umsatzeinbußen durch nachgemachte Produkte» Platz 2: Patentrechtsverletzungen» Platz 3: Ausfall, Diebstahl oder Schädigung von IT-Systemen, Produktions oder Betriebsabläufen Aus BSI und BITKOM Studien ergibt sich auch:» Zumindest die üblichen technischen Maßnahmen (AV, Firewall) zur IT-Sicherheit werden bereits verbreitet umgesetzt» Defizite eher im Bereich ISMS, Org./Personelle Sicherheit Quelle: Bitkom Research, Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl ( )

13 Cyber-Sicherheits-Umfrage 2014 Welche Maßnahmen ergreifen Unternehmen zur IT-Sicherheit? Absicherung von Netzübergängen 95% Abwehr von Malware (Dezentral) 86% Patchmanagement 74% Segmentierung von Netzen 73% Mitarbeitersensibilisierung 62% Schulungen für IT-Personal 49% Betrieb eines strukturierten ISMS Mehrfaktorauthentifizierung Einsatz sicherer Web-Browser 47% 37% 25% Quelle: Allianz für Cyber-Sicherheit / BSI, Cyber-Sicherheits-Umfrage 2014 ( )

14 Ursachen Mangelnde Mitarbeitersensibilisierung Symbolbild (Situation nachgestellt, keine echten Passwörter)

15 Ursachen Organisatorische Defizite BITKOM Pressemeldung Sicherer -Versand ist die große Ausnahme vom :» Zwei Drittel der Beschäftigten können s nicht verschlüsseln» Nur jeder siebte Berufstätigte verschickt verschlüsselte Nachrichten Problem: Nicht jeder muss immer alles verschlüsseln wo sinnvoll SOLLTE aber jeder die Möglichkeit haben Verschlüsselung zu nutzen!

16 Was können wir tun?

17 IT-/Cyber-Sicherheit strukturiert angehen - ISMS» ISMS: Informations-Sicherheits-Management-System» Strukturierte Betrachtung / Bewertung der Werte, Risiken» Einbeziehen der bekannten Bedrohungslage / Gefährdungen» Berücksichtigung weiterer z.b. regulatorischer Rahmenbedingungen» Ableitung / Bestimmung der entsprechenden» organisatorischen» personellen» technischen Maßnahmen» Strukturierte und Dokumentierte Umsetzung» Kontinuierliche Prüfung und Verbesserung

18 IT-/Cyber-Sicherheit strukturiert angehen - Standards» Ziel sollte sein:» IT-Grundschutz / ISO27001 oder äquivalenter Stand» Idealfall: Zertifizierung» Schrittweise Umsetzung» Zahlreiche andere (einfachere?) Möglichkeiten für den Einstieg Möglichst schnell ein BasisSchutzniveau erreichen

19 Die Lage beobachten und bewerten

20

21 Allianz für Cyber-Sicherheit BITKOM, BDI ZVEI, VOICE BMI, BSI DIHK, GI VDMA

22 auch hier & heute beteiligt» IHK Nürnberg für Mittelfranken (Multiplikator)» Network Box Deutschland GmbH (Partner)» DigiTrace GmbH (Partner)

23 1200 Teilnehmer 2300 Accounts 99 Partner 36 Multiplikatoren

24 Kontakt zur Allianz für Cyber-Sicherheit Bundesamt für Sicherheit in der Informationstechnik (BSI) Geschäftsstelle Allianz für Cyber-Sicherheit Godesberger Allee Bonn Tel.: Fax: +49 (0) (0)