Norbert Pohlmann Professor Informationssicherheit Leiter Instituts für Internet-Sicherheit

Ähnliche Dokumente
Hacker als Berufsbild, Stellenmarkt und Excellence Center

Hacker als Berufsbild

Wirkung von IT-Sicherheitsmaßnahmen Die neue Herausforderung

Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung!

Paradigmenwechseln in der Cyber Security Wie schützen wir uns in der Zukunft?

Status Quo zur Sicherheit Eine Sichtweise

Immer noch nicht sicher? Neue Strategien und Lösungen!

Die Lage der IT-Sicherheit

Internet-Sicherheit Die Herausforderung unserer Zeit

Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung!

Was sind die größten IT-Sicherheitsherausforderungen?

Antivierensoftware ist tot! Wie geht es weiter in der IT-Sicherheit?

Das Manifest zur IT-Sicherheit Situation, Stärken, Vorgehensweisen,

IT-Sicherheit. von Smart Home. Prof. Dr. (TU NN) Norbert Pohlmann

20 Jahre TeleTrusT Deutschland e.v.

Gefahr erkannt, Gefahr gebannt Kommunikationslagebild

Cyber-Praxisansatz IT-Sicherheitsstrategie

Cyber Security Herausforderungen heute und morgen

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Security Kann es Sicherheit im Netz geben?

IT Sicherheit NRW 4.0 Gemeinsam ins digitale Zeitalter. Aber sicher.

AuditChallenge Der große Fallstudien-Wettbewerb in Deutschland, Österreich und der Schweiz

und proaktive IT-Sicherheit

Ein Kommunikationslagebild für mehr IT-Sicherheit

Steht der Untergang des Internets bevor? Wie lässt er sich stoppen?

Lage der IT-Sicherheit im Mittelstand

Sicherheit an erster Stelle bei kritischen Online-Marken-Assets. cscdigitalbrand.services/de

Deutschland auf dem Weg zur digitalen Souveränität

Aktuelle Herausforderungen der IT-Sicherheit Von Ransomware bis Industrie 4.0

CISO Berufsbild im Wandel. Dr. Rolf Reinema. Prof. Dr. Norbert Pohlmann

IT-Sicherheitstechnologie aus Deutschland heutiger Stand und Perspektiven

Der Weg aus dem Fachkräftemangel

Betrugsschutz beim Online-Banking Gefahren und IT-Sicherheitsmaßnahmen

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T F team@csnc.ch

Sicherheits-Tipps für Cloud-Worker

Ihr externer Zugriff auf die elektronischen Angebote der Bibliothek

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Moderne APT-Erkennung: Die Tricks der Angreifer

BlockChain - Sicherheit

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Offensive IT Security

Capture The Flag-Team

IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Cyber Security Challenge Germany 2018

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

Angriffe aus dem Netz - Tätertypen und deren Vorgehensweisen. Prof. Dr. Dirk Koschützki

Web Application Security: SQL-injection, Cross Site Scripting -- w3af

INF. Fachbereich Informatik. FERNUNIVERSITÄT in Hagen D Hagen Sicherheit im Internet. Hauptklausur am

Jedes Unternehmen hat sie - keiner mag sie!

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

IT-Sicherheit auf dem Prüfstand Penetrationstest

LinkedIn - Networking. und Personal Branding 10. Oktober Erica Kessler. Gründerin & CEO. Erica Kessler. CEO & Gründerin

Wie entwickelt sich das Internet in der Zukunft?

Internet-Sicherheit Sicherer Umgang mit dem Internet

Sicheres Verhalten im Internet. Wie einfach sind wir angreifbar und was können wir dagegen tun?

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Ein OpenID-Provider mit Proxy-Funktionalität für den npa

Sicherheitslücken in Webanwendungen -

IT-Security-Symposium 2019 IT- Security im Fokus

Mit sicherer IT im Wettbewerb voraus

RUAG Cyber Security Cyber verstehen. Werte schützen.

TeleTrusT Deutschland e.v. TeleTrusT-Vorkonferenz zur "ehealth 2010" Gesundheitstelematik im Spannungsfeld zwischen Planung und Realisierung

S AP in Zahlen SAP Mitarbeiter weltweit SAP Mitarbeiter in Deutschland Kunden in 190 Ländern weltweit

Allianz für Cyber-Sicherheit

Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

Rede. Klaus Kaiser. Parlamentarischer Staatssekretär für Kultur und Wissenschaft des Landes. Nordrhein-Westfalen. anlässlich der

Elektromobilität bewegt weltweit Internationale Konferenz der Bundesregierung Forum 4: Kompetenzen Ausbildung & Qualifizierung

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Digital aber sicher. Unternehmen wirksam schützen. Allianz für Cyber-Sicherheit

Next Generation IT Security Synchronized Security vs. Best-of-Breed. Christoph Riese Manager Sales Engineering

IT-Security-Symposium Risikofaktor Mitarbeiter Awareness Schulungen zum Thema IT-Sicherheit.

Kein Platz für Spams und Viren Lösungsbeispiele zum wirksamen Schutz vor der Gefahr der Online-Kommunikation

Einstieg in die FEM Präsenzseminar und e-learning Kurs

Cyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen

Web-Sicherheit. Wo lauern Gefahren und wie schütze ich meine Website vor unberechtigtem Zugriff? Ihre Referenten:

splone Penetrationstest Leistungsübersicht

SelfAssessment Erfahrungen mit der Online-Beratung Studieninteressierter Prof. Dr. Lutz F. Hornke

TaxChallenge Der große Fallstudien-Wettbewerb in Deutschland, Österreich und Schweiz

Sicheres Verhalten im Internet. Sind wir einfach angreifbar? Was können wir dagegen tun?

HSR Subversion HowTo. Konfigurationsmanagement HSR MAS SE, September 2009 Seite 1 von 13

Der digitale Wandel: Pharma & Life Sciences

Forschungsmarketing u. Markterschließung für IT-Sicherheitslösungen: Hemmschwellen und Erfolgsfaktoren

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Cyberkriminalität Wie kann ich mich schützen?

IT-Sicherheitsherausforderungen im 21. Jahrhundert

dacoso Technik, die funktioniert. In einer Zusammenarbeit, die Spaß macht. dacoso im Überblick data communication solutions

Ketzerische Gedanken zur IT- Sicherheit. Dr. Nabil Alsabah Bereichsleiter IT-Sicherheit, Bitkom

Agenda 2019 für Service Management: Integration mit Datenschutz macht den Unterschied

lyondellbasell.com Sicherheit im Internet

Mitarbeiter fördern - Qualifizierungen im Kontext Arbeit 4.0

Viren-Terror im Zeitalter von E-Health:

Sicherheit vor den Folgen von Cyberkriminalität Ihr PROVINZIAL Schutzschild

Transkript:

Prof. Dr. (TU NN) Norbert Pohlmann Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit if(is) Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v.

Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 2

Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 3

Professionelle Angreifer greifen alles erfolgreich an! Wer sind die Angreifer? Was ist ihre Motivation? Welche Kompetenzen brauchen sie? Welche Fähigkeiten müssen sie haben? Wie können wir diese Kompetenzen und Fähigkeiten für mehr IT-Sicherheit und Vertrauenswürdigkeit nutzen? 4

Berufskriminelle (Geld, Profit, ) Behörden (Strafverfolgung) Terroristen (Politische Interessen) Vandalen (Zerstörungswut) Hacker sind die Guten Cracker sind die Bösen Spione für Wirtschaft und Regierung (Geld, Informationsgewinn, Kontrolle, ) Hacker (Anerkennung, Herausforderung, ) Was haben die Angreifer gemeinsam? Kompetenzen und Fähigkeiten aber Unterschiedliche Motivation und Ethik Aber: Meist strafbare Handlungen! 5

Hacker sind professionelle IT-Sicherheitsexperten IT-Sicherheitsexperten kennen ihre (eigenen) Werkzeuge IT-Sicherheitsexperten finden (auch neue) Schwachstellen IT-Sicherheitsexperten machen sich nicht strafbar! IT-Sicherheitsexperten können Bedrohungen und Gefahren erkennen, beurteilen und einschätzen IT-Sicherheitsexperten können auch beraten und IT- Sicherheitssysteme entwickeln und so Schäden verhindern 6

Internet-Protokolle (Rechnernetze) (Aufbau des Internets, Schichten, Abläufe, ) Social Engineering (Beeinflussen von Personen, ) Und vieles mehr kann helfen 7

Freude an der Lösung von IT-Security-Problemen Brauchen eine sehr starke Motivation, um viel Energie aufzubringen Übertreten von Grenzen, um Neues zu schaffen Kreativität für neue Ansätze und ungewöhnliche Vorgehensweisen Geistige Klarheit, Geschicklichkeit und Konzentration Verantwortungsvoll mit wichtigen Daten und Sicherheitslücken umgehen 8

Sicherheitslücken finden, um diese schließen zu können und damit erfolgreiche Angriffe zu verhindern. Sicherheitssysteme überwinden, um die Stärke der IT-Sicherheitsmechanismen zu überprüfen. Penetrationstest, Produktevaluierungen, Ein sehr gutes Verständnis für die Möglichkeiten und Grenzen der IT-Sicherheit entwickeln, um dieses für die Entwicklung von innovativen, sicheren und vertrauenswürdigen IT-Sicherheitslösungen nutzen zu können Unternehmen schützen, um das Risiko eines Schadens zu reduzieren 9

Studium an Hochschulen Selbststudium Praxis (Unternehmen, ) Westfälische Hochschule Gelsenkirchen UNI Bochum, Darmstadt, München, Erlangen, FH Offenburg, Albstadt-Sigmaringen, Bücher Gruppen virtuell im Internet Zuhause in der Bude durch learning by doing Weiterbildungen Zertifizierungen, wie z.b. TISP, (ISC) 2, Fernstudiengänge, 10

Sehr hohe Kompetenz im Bereich des Datenschutzes Erfahrungen mit dem Schutz der Privatsphäre Sehr hohes Vertrauen im Bereich der IT-Sicherheit mittelstandsgeprägte Sicherheitsindustrie umfangreiche und kompetente IT-Sicherheitsforschung hohe Kompetenz bei Sicherheitsevaluierungen (BSI, TÜVs, ) offene Kryptopolitik Kulturell gute Voraussetzungen traditionell verlässliche IT-Sicherheit hohes Verständnis für IT-Sicherheit und Datenschutz sehr viel Erfahrung bei der Umsetzung von IT-Sicherheitslösungen 11

IT-Sicherheitskompetenzen Sichere Vernetzung Sicherer Internetzugang Digital Enterprise Security Client- und Serversicherheit Mobile Security Bedeutung für die Zukunft Technologischer Vorsprung in DE Marktstärke der dt. Unternehmen Abstand zwischen Soll- und Ist-Zustand (Δ) ++ + 0! - -- https://www.internet-sicherheit.de/it-sicherheitsstrategie/ 12

Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 13

Entwicklung Arbeitnehmeranzahl Deutschland Bis 2020 werden zwischen 5.000 und 30.000 neue Fachkräfte in der IT-Sicherheit benötigt Anstieg von 2005 bis 2013: ~ 25% Anstieg von 2005 bis 2020: ~ 70% ( best case ) Quelle: statista.de 14

Entwicklung Umsatzvolumen weltweit Weltweiter Umsatz in der IT-Sicherheit steigt von 23,7 (2013) auf 42,8 Milliarden US-Dollar Anstieg von über 80% Quelle: statista.de 15

Frankfurt: 647 684 (HH) Dortmund: 72 72 (DO) 647 (F) 263 (H) 106 (L) 793 (B) München: 1.182 Stuttgart: 727 Hannover: 263 Hamburg: 684 Leipzig: 106 727 (S) 1182 (M) Berlin: 793 Gesamt Marktplatz IT-Sicherheit : 17.588 Stellenangebote 16

17

Frankfurt: 8 583 (HH) Dortmund: 320 320 (Do) 8 (F) 0 (H) 130 (L) 918 (B) München: 1.136 Stuttgart: 190 Hannover: 0 Hamburg: 583 Leipzig: 130 190 (S) 1136 (M) Berlin: 918 18

Angebot Nachfrage 684 (HH) 583 (HH) 72 (DO) 647 (F) 263 (H) 106 (L) 793 (B) 320 (Do) 8 (F) 0 (H) 130 (L) 918 (B) 727 (S) 1182 (M) 190 (S) 1136 (M) 19

Fachoberschulreife Abitur Schüler (14 20) Ausbildung Duales Studium Bachelor Master Studenten (18 30) Arbeitsmarkt Die Cyber Security Challenge findet auch versteckte Cyber Security Talente sehr früh! 20

Hacker als Berufsbild Der Stellenmarkt für IT-Sicherheitsfachleute Excellence Center 21

Junge Menschen (Cyber Security Talente) für die Cyber Security begeistern, um die Zukunft sicherer und vertrauenswürdiger gestalten zu können Professionelle IT-Sicherheitsexzellenz in Deutschland fördern Online-Qualifikation Finale der Challenge und Konferenz 01.11.2014 15.01.2015 heute 22

797 Teilnehmer der Online Challenge 765 (96 %) männlich 32 ( 4 %) weiblich 256 (32 %) Schüler - 42 (16 %) aktiv 541 (68 %) Studierende - 133 (25 %) aktiv Finalisten (10 Schüler und 10 Studierende) Durchschnittsalter Studierende 23,5 Jahre Schüler 17,4 Jahre Punktzahl in der Online Challenge Finalisten 1xAachen 1xErfurt 2xWismar 1xBerlin 1xPotsdam 2xBremen 1xMerseburg 3xMannheim 1xKarlsruhe 1xWuppertal 1xStuttgart 1xBodensee Studierende 230 Punkte (maximal erreichbare Punkte) Schüler 146,9 Punkte (ein Schüler hat auch maximale Punktzahl) 23

Unterschiedliche Schwierigkeitsstufen Abhängig von Dauer zum Lösen und Wissensgrad (subjektive Einschätzung) Leicht (10 Punkte), mittel (20 Punkte), schwer (30 Punkte) Einzel-Challenge (Online Challenge) Schwieriger, da ein breiteres Fachwissen von jedem Einzelnen gefordert wird. Bei anderen CTFs treten Gruppen mit Spezialisten der Teilgebiete gegeneinander an Lösung der Challenge nur komplett mit Mitigation Wie kann der Angriff verhindert werden? Vorort Wettbewerb Im Team gemeinsam Challenges lösen Darstellung des Problems und der Lösung 24

Aufgabenstellung Bruteforce eines Logins auf einer Webseite (ausprobieren von PW). Ein CAPTCHA soll einen Bruteforce verhindern CAPTCHA Die Teilnehmer müssen das CAPTCHA automatisch lösen. Mehrere Schwierigkeitsstufen: Text CAPTCHA (leicht / 10 Punkte), Bild CAPTCHA (mittel / 20 P.), Audio CAPTCHA (schwer / 30 P.) Input Webseite mit verschiedenen Captchas und Loginformularen Lösung Automatische Lösung des Captchas und erfolgreicher Login in eine bereitgestellte Seite. 25

Aufgabenstellung Einhängen in Betriebssystemfunktionen und Mitschneiden der Logindaten vor dem Verschlüsseln (https) und Senden an eine Webseite. Somit können Anmeldedaten im Klartext aus dem Browser ausgelesen werden. Schwierigkeitsstufe: Leicht (10 Punkte) Vorgaben Funktion des Betriebssystems und mögliches Tool zur Umsetzung Lösung Login und Passwort, z.b. von einem E-Mail Account 26

SQL Injection Aufgabenstellung Durch ungefilterte Parameter in URLs sollten die Teilnehmer Abfragen direkt an die Datenbank senden und somit die Sicherheitsüberprüfung der Webseite umgehen. Ziel ist es, Passwörter der Benutzer auszulesen und Informationen über die Datenbank zu erlangen. Schwierigkeitsstufe: Leicht (10 Punkte), Mittel (20 Punkte) Input: Bereitgestellte Login-Seiten Lösung URL-Variablen verändern, z.b. den Benutzernamen: http://192.168.2.30:7070/login.jsp?formname=login&login= [manipulierter Wert]&Password=&FormAction= login&ret_page=&querystring=h 27

Aufgabenstellung Entschlüsseln einer Kommunikation zwischen Smartcard und Administrationstool. Ziel ist es, alle möglichen (4 stelligen) PINs zur Entschlüsselung der Kommunikation herauszufinden. Verschlüsselungsart: 3DES im CBC, damit ist die Key-Länge 24 Zeichen. Schwierigkeitsstufe: Mittel (20 Punkte) Input Kommunikationsmittschnitt von verschlüsselten Daten Lösung Gültige 4 stellige PINs, z.b. 0868 Time :Wed Jun 12 22:31:45 2013 SCardTransmit (handle 0xEA010000): transmitted: 80 C2 00 00 28 D8 00 01 6F 00 F5 EF BF B1 8C 76 16 00 0E 43 6F 6E 74 65 6E 74 4D 61 6E 61 67 65 72 00 C0 4B 4E 7F BD 00 04 4D 53 43 4D received: 61 05 Ausschnitt aus Mitschnitt 28

Aufgabenstellung Analyse eines DNS-Protokollmitschnitts und Rekonstruktion der darin übertragenen Daten Schwierigkeitsstufe: Schwer, 30 Punkte Input Mitschnitt einer Kommunikation (PCAP) Auszug aus Kommunikation Lösung Ein Bild, das über das Protokoll in einzelnen Zeichen übertragen wurde. Die Zeichen für das Bild sind in Base16 codiert und werden einzeln übertragen. 29

Bezeichnung der Challenge Art Lösungen Schülern Lösungen Studenten Captcha_Level_1 easy Web Security Programming 24 92 Captcha_Level_2 medium Web Security Programming 11 53 Captcha_Level_3 hard Web Security Programming 6 27 APDU_Master_Key_Challenge_ Communication_Decryption medium Crypto 1 22 Captcha_Level_4 hard Web Security 5 21 APIMonitor easy Reverse Engineering 10 31 Steganography_Challenge easy Forensic 4 33 Application_Debug_Modification easy Reverse Engineering 9 41 Oracle_SQL_Injection easy Web Security Database 13 62 Schwierigkeitsgrad Oracle_SQL_Injection_- Gather_the_Credentials medium Web Security Database 7 36 APT_Network_Forensic_Challenge hard Forensic Networking Reverse Engineering 3 17 SVG_Hidden_Information easy Fun 14 61 Escape_from_Python_City_2 easy Crypto Programming Fun 4 19 Crypto_Callback_Challenge easy Reverse Engineering Crypto 6 37 30

Besonders relevante Cyber Security Themen identifizieren und diskutieren Probleme beschreiben und gemeinsam Lösungsansätze erarbeiten Etablierte Fachkräfte und junge Cyber Security Talente zusammenbringen Die Möglichkeit zum Netzwerken schaffen 31

Cyber Security Talente Hochschulen Unternehmen, - Geld - Aktion - - Bester Arbeitsgeber DE - Wollen mehr Sicherheit - - Sozial - Freiheit - - Keller - Ruhe - - Zahle viel Geld - Erwarte viel - 32

Der deutsche Markt für IT-Sicherheit ist ein attraktives Arbeitsfeld wird die nächsten Jahre deutlich wachsen bietet jungen Cyber Security Talenten eine gute Zukunftsperspektive nimmt in der Wirtschaft eine immer wichtigere Position ein (Wirtschaftsspionage, Cyber War, ) benötigt die besten Cyber Security Talente Die Cyber Security Challenge findet und fördert Cyber Security Talente frühzeitig bringt diese Cyber Security Talente mit Unternehmen zusammen (Konferenz und Online Plattform) stärkt nationale und europäische Netzwerke http://www.cybersecuritychallenge.de/ 33

Prof. Dr. (TU NN) Norbert Pohlmann Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit if(is) Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback