Was läuft gut und was läuft falsch in der IT Security? Success Stories und Holzwege für 2017 23. November 2017 Köln 2
Kurzvorstellung Ramon Mörl 30 Jahre Erfahrung als Berater in der IT-Sicherheit Leitende Tätigkeiten in Projekten für Firmen wie HP, IBM, Siemens, ICL und Bull in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA Als unabhängiger Evaluator und Berater der Europäischen Union vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig Seit 2002 Geschäftsführer der itwatch GmbH 3
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Politischer Wille Koalitionsvertrag der letzten Legislatur: Digitale Souveränität, Mehr Sicherheit für KMU Sicherheitsgesetz mehr Sicherheit für Kritische Infrastrukturen Brigitte Zypries auf dem Polizeikongress: Verschlüsselung ist gelöst, Volksverschlüsselung der Fraunhofer SIT in Darmstadt 30 Mio BMBF Gelder für Forschung für mehr IT- Sicherheit 6
Digital first, Bedenken second Quelle: https://www.it-zoom.de/mobile-business/e/digital-first-bedenken-second-17640/ 7
Schutz im Cyberraum "Die Gewährleistung von Freiheit und Sicherheit zählt zu den Kernaufgaben des Staates. Dies gilt auch im Cyber-Raum. Aufgabe des Staates ist es daher, die Bürgerinnen und Bürger und Unternehmen in Deutschland gegen Bedrohungen aus dem Cyber-Raum zu schützen, sowie Straftaten im Cyber-Raum zu verhindern und zu verfolgen." Quelle: BMI Strategie Papier S. 8 8
Deutschland und der Cyberraum Quelle: https://www.bundeswehrkarriere.de/it/cyber-und-it-faehigkeiten-der-streitkraefte 9
Cybersicherheit bei der Bundeswehr "Auch die Bundeswehr muss ihren Beitrag für die Sicherheitsarchitektur in Deutschland ausbauen und sich auf die neuen Bedrohungen aus dem Cyber- und Informationsraum einstellen. "Die Bundeswehr muss daher die eigene Handlungsfähigkeit im CIR sicherstellen und zukünftig einen an Bedeutung zunehmenden Beitrag zur gesamtstaatlichen Sicherheitsvorsorge leisten. "Mit dem Aufbau des militärischen Organisations-bereiches CIR soll der Cyber- und Informationsraum als Operationsraum bzw. militärische Dimension angemessen abgebildet werden. "Ziel ist es, Informationsdominanz im Operationsraum zu erreichen, um Entscheidungsprozesse zu optimieren und Einsatzwirkung zu maximieren." Quelle: http://cir.bundeswehr.de/portal/a/cir/start/ 10
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Success Story IT-Sicherheit Gute Steuereinnahmen Produkt wird mit Venture Kapital gebaut Zertifiziert Marketingkampagne wird gestartet Unternehmen verkauft nach Code aus dem Internet oder aus anderen Quellen wird zu einer Lösung zusammen gebaut, die einen konkreten Angriff verhindert Pflicht zu Patchen Defizit bei Zielgruppe festgestellt (z.b. Bürger) Initiative für Schutz und Haftung für Sicherheit initiiert Maßnahme: IoT Devices müssen patchbar sein Die Schwachstelle BadUSB liegt am patchen 12
Wann entsteht konkreter Schutz? Identifikation einer Schwachstelle Idee wie man sich besser schützen kann Ausgabe von Forschungsgeldern Marktrecherche über verschiedene Verfahren Beschreibung von IT-Sicherheitsanforderungen Durchführung einer Beschaffung / Ausschreibung Prüfen einer konkreten Lösung gegen Angriffe / Schwachstellenanalyse Zertifizierung eines Produktes Penetrationstest Beschreibung eines Betriebskonzeptes Implementierung von Schutzmaßnahmen 13
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Bsp: Silodenken CEO CSO CIO IoT Produktion IoT Produkte Werkschutz CISO CSO CSO Zuerst: Jede Abteilung handelt für sich Ist in dieser Struktur zielgerichtete fachübergreifende Zusammenarbeit für das querschnittliche Thema Cyber Security möglich? Auf welchen Antrag hin wird das Budget für eine Maßnahme freigegeben? 15
IT Schutz. Ist unsere IT gut geschützt???? 16
Kommunikation Wie heißt das Land? Ma c'ubah than!! Yucatán gehört jetzt Spanien!!!! Hernán Cortes, spanischer Eroberer aus dem 16. Jhd. Eingeborener 1970 erforschten Linguisten die Maya Dialekte und fanden heraus: "Ma c'ubah than" heißt Ich versteh Dich nicht" 17
Gesellschaftlicher Konsens Allen ist klar, dass ein AKW nicht einfach mit seinen produktiven Elementen an das Internet angeschlossen werden sollte.? Wo liegt aber nun die Grenze zwischen einem AKW und einen privaten internetfähigen Kühlschrank? 18
Vertrauen in Standardlieferung 19
Wir sitzen alle in einem Boot Ich kann auf meiner Seite machen, was ich will. 20
Wegschauen hilft nicht! Wegschauen hilft nicht! vertraulich Datenleck Kreditkarten Top Secret 21
Wo muss man hinschauen? Man weiß nie, wo sich Angreifer verstecken! 22
In jede Maus reinschauen? Hübsche Maus ist zusätzlich eine gefälschte Tastatur siehe BadUSB auf der Black Hat 2014 in Las Vegas und hat eine WLAN Karte mit eingebaut Platz ist genug 23
Was ist wie sicher? Ein funktionaler Test, ob ein IT-System die gewünschten Leistungen erbringt, arbeitet sukzessive die im Anforderungskatalog definierten Funktionen ab Wenn eine Eingabe (aus einem definierten Wertespektrum) das richtige Ergebnis liefert, kann das Produkt abgenommen werden Der Test gegen die Sicherheitseigenschaften eines Produktes oder einer IT-Infrastruktur ist um Faktor 10 bis 100 teurer Alle Möglichkeiten der Falscheingabe & des Mitlesens von Daten auf dem Kommunikationsweg, des Wiedereinspielens müssen berücksichtigt werden Es muss auch versucht werden die Sicherheitsanker der Systeme zu penetrieren (wie sicher ist Windows 7, 8, 10; Android 4, 6 oder IOS oder in welchem Betriebsmodus) 24
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Die tägliche Dosis IT-Sicherheit 26
Zu komplex oder falsch verstanden PAPA!!! Das Puzzle ist mir zu schwierig. 27
Software fälscht jede Stimme VoCo Quelle: http://androidmag.de/news/voco-neue-adobe-software-kann-stimmen-faelschen/ 28
Den vollständigen Artikel finden Sie unter http://www.itwatch.de/download/transparent.pdf 29
Name/ Passwort.. Mechanismusstärke Two Factor Hardware Token Metrik für die Robustheit des Schutzes? MaRisk BDSG Compliance Funktionalität 30
Name/ Passwort.. Two Factor Robustheit Hardware Token Funktion ohne Schutz ist wertlos! Funktionalität
Name/ Passwort.. Two Factor Robustheit Hardware Token Vertrauenskette Eine Vertrauenskette ist nur so stark, wie ihr schwächstes Element! Erreichtes Niveau Funktionalität
Polizei nutzt umstrittene Software Quelle: https://www.welt.de/wirtschaft/article149558656/polizei-nutzt-umstrittene-software-zur-datensicherung.html 33
Kaspersky-Verbot für alle US- Bundesbehörden Quelle Text: https://www.golem.de/news/antivirus-us-bundesbehoerden-bekommen-kaspersky-verbot-1709-130041.html Quelle Kaspersky: http://www.t-online.de/digital/sicherheit/id_82168100/behoerden-in-den-usa-bekommen-kasperskyverbot.html QuelleFlaggen: https://www.heise.de/newsticker/meldung/usa-verbieten-behoerden-nutzung-vonrussischer-kaspersky-software-3831122.html (Bild: kremlin.ru CC BY 4.0 (Ausschnitt)) 34
Beispielhafte Schwachstellen in einem Sicherheitsprodukt im zeitlichen Verlauf: 2014: Update für kritische Lücken im Symantec Endpoint Protection Manager (Fabian A. Scherschel; https://www.heise.de/security/meldung/update-fuer-kritische- Luecken-im-Symantec-Endpoint-Protection-Manager- 2114834.html;14.02.2014) 2015: Symantec Endpoint Protection: Gefährlicher Sicherheitslücken Cocktail (Dennis Schirrmacher; https://www.heise.de/security/meldung/symantec-endpoint- Protection-Gefaehrlicher-Sicherheitsluecken-Cocktail-2768461.html; 04.08.2015) 2016: Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton (Dennis Schirrmacher; https://www.heise.de/security/meldung/kritische-lueckegefaehrdet-antiviren-produkte-von-symantec-und-norton-3208967.html; 17.05.2016) 2016: Angreifer können Symantec Endpoint Protection Code unterjubeln (Dennis Schirrmacher, https://www.heise.de/security/meldung/angreifer-koennen- Symantec-Endpoint-Protection-Code-unterjubeln-3143338.html; 18.03.2016) 35
Die wichtigsten sieben Punkte der CIA- Hacker-Dokumente Vault 7 1.False Flag CIA führt Cyberangriffe "unter falscher Flagge" durch und kann Russland und andere Länder als Täter hinstellen 2.Frankfurt US-Geheimdienst betreibt offenbar in Frankfurt verdeckte Basis, von der Hacker-Aktivitäten in Europa, Nahost und Afrika ausgehen. 3.Zero-Day Dutzende Zero-Day" Lücken in Betriebssystemen, die sich gegen ein breites Spektrum an Unternehmensprodukten aus Europa und den USA richten, wie iphone von Apple, Android von Google, Microsoft Windows, Samsung Fernseher, die in verdeckte Mikrofone verwandelt werden können. 4.Kontrolle verloren CIA hat Kontrolle über Mehrheit ihrer Hacking-Werkzeuge verloren, wie bspw. Malware, Viren, Trojaner, ausnutzbare "Zero-Day" Lücken, Malware Fernzugriffssysteme und die zugehörigen Betriebsanleitungen. 5.Über tausend Hacking-Systeme Bis Ende 2016 hatte CIA Hacking-Abteilung über 5.000 registrierte Nutzer, welche über tausend Hacking-Systeme entwickelten, Trojaner, Viren und andere als Cyberwaffen einsetzbare Malware. 6.Konkurrenz zu der NSA CIA installierte ihre "eigene NSA. 7.Die Geister, die ich rief Wenn eine Cyberwaffe erst einmal frei wie ein Geist aus der Flasche ist, kann sie sich innerhalb von Sekunden in der ganzen Welt verbreiten und von anderen Staaten, der Cybermafia und auch individuellen Hackern verwendet werden. Quelle: https://deutsch.rt.com/international/47419-wikileaks-bisher-wichtigsten-punkte-aus-den-cia-dokumenten/ Quelle Bild: https://netzpolitik.org/2017/vault-7-wikileaks-praesentiert-liste-der-cia-hacker-werkzeuge/ 36
Ihre Sicherheit unsere Mission Die beste Verteidigung ist eine gute IT-Sicherheitsarchitektur. Diese ist lückenlos in mehreren Dimensionen: Durchgehende, lückenlose Vertrauenskette Technik Organisation Rechtssicherheit Haftung Lieferkette Zusammenfügen der Sicherheitsprodukte zu einer sicheren, durchgehenden Vertrauenskette - von der Tastatur bis zu den Services und Daten Brückenschlag zwischen Security Awareness und Technischer Lösung Verfolgen der Lieferkette unter Berücksichtigung von überlagernden Rechtsräumen (z.b. patriot act) Wenn die Haftung für erfolgreiche Angriffe nicht durchgesetzt werden kann, muss der proaktive Schutz erhöht werden Integritätskontrolle der fertig integrierten Produkte bis in ihren produktiven Einsatz hinein
Fehlende Metrik Nach der Bewertung der Sicherheit eines Systems nach vordefinierten und verfolgbaren Kriterien sollten natürlich die Testergebnisse für andere wiederverwertbar übergeben werden können. Real werden die Bewertungen nach Entscheidung archiviert aber nicht an andere kommuniziert. Ähnlich wie es Testate für die Erfüllung von 27001, BSI Grundschutz o. äh. gibt, wäre es zwingend notwendig, die Haftung bei Themen wie der haftungsseitig sehr schwierig zu durchschauenden Europäischen Datenschutzgrundverordnung durch Testate und Zertifikate klar zu stellen. Ähnliches gilt für die NIS-Richtlinie und viele andere Regularien aus Kritis o. äh. Weder die Testate noch die Metrik für die Erfüllung des Standes der Technik bezüglich Integrität oder Vertraulichkeit gibt es. Bei Verfügbarkeit gibt es eine einfache Metrik. 38
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Handlungsvarianten Zertifikate wie FIPS, Common Criteria etc. prüfen gegen vordefinierte Protection Profiles (PP)aber nicht gegen die Realität. Der Bedarfsträger kann nicht beurteilen, ob das PP seinen Bedarf an Schutz deckt. ISO 9000-er Serie bestätigt, dass die Qualität, die einmal hergestellt wurde, wieder produziert werden kann ob diese gut oder schlecht war weiß man nicht. ISO 27000-er Serie bestätigt, dass es Prozesse für die geforderten Themen gibt ob die gut oder schlecht sind ist nicht erheblich. Ein geplantes Sicherheitssiegel der Bundesregierung versucht eine binäre Handlungshilfe zu geben. 40
Kundensicht Der Konsument erwartet bei dem Kauf von Sicherheitsprodukten (zu recht?) das Erfüllen eines Handlungsversprechens, dass Die Produkte und Lösungen selbst nicht angreifbar sind Ein Update / Patch Management mit Reaktionszeiten unterlegt ist, so dass über die Dauer eines gültigen Wartungsvertrages der Schutz vor allen im Kontext relevanten Angriffsvektoren aufrecht erhalten bleibt Ein Hinweissystem existiert, welches auf Schwachstellen, die im nahen Handlungskontext entdeckt werden, aber nicht im eigentlichen Produkt abgedeckt werden können, zeitnah aufmerksam macht Der Schutz dem Schutzbedarf des Handlungskontextes automatisch angepasst wird Die Gelder nicht für Fake Security ausgegeben werden 41
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
Fachkräftemangel - hausgemacht Alle Branchen der Sektor öffentliche Auftraggeber und Organisationen aus non-profit beklagen einen signifikanten Fachkräftemangel Cyber Security In der Konsequenz wird zum einen IT-Personal, welches den Unterschied zwischen asymmetrischer und symmetrischer Kryptographie erklären kann zur Fachkraft erklärt. Hilft Das? Woher kommt der Mangel? Zum großen Teil hausgemacht. Auf der kurzen Strecke im Rhein zwischen Kolbenz und Köln liegen die Cyber Security Organisationen von BMVg, Bundesamt für Verfassungsschutz, Bundespolizei, BSI, BWI, T-Systems Alle wollen die gesamte know-how Palette der Cyber security in ihrer Organisation abbilden, weil ES GIBT KEINE VERTRAUENSKETTEN In der Industrie ist das nicht anders. Quelle: https://www.kes.info/archiv/leseproben/2016/stets-bemueht-um-sicherheit-1/ 43
Wo fehlt es an Know-how? Viele IT-Sicherheitsprodukte greifen auf irgendetwas aus dem Internet zurück > Schwachstelle Drittprodukte Hersteller von Non-IT-Security -Produkten haben sich in den IT-Security-Markt bewegt - das ist ja auch nur IT und so schwer kann das nicht sein bis zur Vernetzung Bei Entscheidungsverfahren um make or buy stellt die Robustheit der Lösungen kein wesentliches Ziel dar. D.h. auch in Produkten auf denen steht IT-Sicherheit ist nicht immer das gleiche Maß an IT-Sicherheit drin. Eine Metrik wäre gut, so dass der Konsument ohne eigenes Know-how verlässlich entscheiden kann => Vertrauenswürdige Handlungsketten sind sinnhaft 44
Lösung im Workshop Quelle: https://www.kes.info/archiv/leseproben/2016/stets-bemueht-um-sicherheit-1/ 45
Ihre Sicherheit unsere Mission Agenda: 1. Politischer Wille konkreter Schutz 2. Investition in Schutz wie geht das? 2.1 Was ist eine Success Story 2.2 Welche Holzwege werden oft beschritten 3. Komplexität - Schutz Ergonomie Vergleichbarkeit / Metrik 4. Zertifikate statt Metrik? 5. Fachkräftemangel und die Konsequenzen 6. Diskussion und Fragen
zum Schluss. 47
Demokratie: Schutz für die schwachen Je kleiner ein Unternehmen / eine Organisation, um so weniger kann sie die komplexen Abhängigkeiten der Cyber Security mit eigenem Know-how / eigenen Ressourcen sinnvoll lösen. Klare pragmatisch durchführbare Handlungs-Empfehlungen, die schnell zu sichtbaren Erfolgen führen sind deshalb eine notwendige Hilfestellung für KMU, Kommunen 48
Die Barrieren Vertrauenslieferanten Politik KMU`s Berater Hersteller Verbände Integratoren Zertifizierer Testergebnisse Regulierer vertrauenswürdiger Pfad Handlungsversprechen it Sicherheit Realität 49
Kooperatives Modell Vertrauenslieferanten Know how KMU`s Berater Hersteller Integratoren Know how vertrauenswürdiger Pfad Zertifizierer $ $ 50