IT-Sicherheit: Paradigmenwechsel, Stand der Technik, Herausforderungen Prof. Dr. Gabi Dreo Rodosek Lehrstuhl für Kommunikationssysteme und Internet Dienste Sprecherin des Forschungszentrums CODE gabi.dreo@unibw.de 2013 Gabi Dreo Rodosek 1
Zum Einstieg 2013 Gabi Dreo Rodosek 2
Die Wachsende Bedrohung 2013 Gabi Dreo Rodosek 3
Warum soviel? Vernetze Welt 2013 Gabi Dreo Rodosek 4
Der Paradigmenwechsel (1) Neue Angriffsziele für IT-Sicherheitsbedrohungen Internet GSM/UMTS/LTE Home Automation Military SatCom Car2X Software Defined Radio WSN Smart Grid SCADA All-over-IP and IP-over-All Problemstellung: neue Angriffsziele sind nicht ausreichend geschützt! 2013 Gabi Dreo Rodosek 5
Der Paradigmenwechsel (2) IKT-Unterstützung in immer mehr Bereichen (z.b. Energieversorgung, Industriekomplexe, Automobilindustrie, Transport, militärischen Operationen) Potenzielle Gefährdungen aus den klassischen Rechnernetzen finden Einzug in neuen Bereiche Missbrauch des Internets für einen Cyber Angriff stellt ein hohes Risiko dar, da damit fast jedes mit dem Internet verbundene System angegriffen werden kann 2013 Gabi Dreo Rodosek 6
Der Paradigmenwechsel Beispiel: Smart Grid / Smart Meter Manipulation der Sensoren im Grid sowie der WAMSs selbst Manipulation der Steuerung der Verteilung des Stroms Manipulation/ Mitlesen der Datenerfassung, -übermittlung Ausführung von Schadcode auf Smart Metern WAMS - Wide Area Management System Datennetz Stromnetz Erfassung und Analyse von Nutzungsprofilen 2013 Gabi Dreo Rodosek 7
Der Paradigmenwechsel Beispiel: Car-IT, ConnectedDrive 2013 Gabi Dreo Rodosek 8
Der Paradigmenwechsel Beispiel: Netzzentrierte Systeme 2013 Gabi Dreo Rodosek 9
Der Paradigmenwechsel: Beispiel: Soziale Netze IKT als Basis von sozialen Netzen und Social Software, um Netzwerke, Blogs, Videoplattformen, Kurznachrichtendienste usw. zu nutzen aber Vermischung von privaten und dienstlichen Informationen (Profilen) BYOD / BYOS-Problematik Privacy (!) Social Engineering Was wollen Angreifer? Daten, Daten, Daten,... Wer kommuniziert mit wem wie oft, Nutzung von Machine Learning... Keine Selbstbestimmung der Information mehr 2013 Gabi Dreo Rodosek 10
Social Engineering Was ist Social Engineering? Jedes System (auch IT-System) ist für/um Menschen entwickelt Der Mensch als Risikofaktor wird oft unterschätzt Kernelement: Ausnutzen menschlicher Eigenschaften, wie Hilfsbereitschaft, Vertrauen Angst / Respekt vor Autorität Folge: Bei erfolgreichem Aufbau einer Vertrauensbeziehung: Abgreifen von Informationen Übersendung von Trojanern als E-Mail-Anhang zum Ausspähen weiterer Informationen Computer- vs. Human-based Social Engineering 2013 Gabi Dreo Rodosek 11
Social Engineering: Motivierendes Beispiel Datenleck Mitarbeiter Wirtschaftsspiona ge via Web 2.0 (Quelle: managerseminare 03.05.2011, 16:01:00 Uhr URL: http://www.managerseminare.de/ms_artikel/wirtschaftsspionage-via-web-20-datenleck- Mitarbeiter, 205063) Mit Robin Sage möchte jeder gerne befreundet sein. Sie sieht auch einfach nett aus: schwarze Haare mit einer blonden Strähne in der Stirn, dunkle Augen, umrandet von einem dicken Kajalstrich. 266 Freunde zählt die junge Dame auf Facebook. Überwiegend Männer, einige davon in verantwortungsvollen Positionen. Manche plaudern mit ihr über Interna von ihrem Arbeitsplatz, besonders Blauäugige schicken ihr sogar nur um ihr zu gefallen vertrauliche Dokumente zu und laden sie zu Konferenzen ein. Dorthin kommen kann die Dame allerdings nicht: Sie existiert nicht. (Stichwort: Die gefakte Mata Hari ) 2013 Gabi Dreo Rodosek 12
Informations- und Kommunikationstechnologie (IKT) benötigt IT-Sicherheit! Daten- und Informationsvertraulichkeit Prüfbare Identität von Personen und Objekten Manipulationsschutz für Daten, Infrastrukturen, Abläufe 2013 Gabi Dreo Rodosek 13
Herausforderung für die IT-Sicherheit (1) Hochgradig verteilte IT-Systeme (SOA, Cloud, etc.) Dezentrale Nutzung, Verarbeitung: Kontrollmöglichkeiten? Viele Komponenten: Skalierbarkeit? Vielzahl von eingebetteten Komponenten, Sensoren M2M-Kommunikation: Komponenten-Identifikation? Ressourcenschwache Komponenten: Verschlüsseln? Stark vernetzte Systeme Always-on: kaskadierende Schadensausbreitung? Vielzahl von Angriffspunkten: Angriffstoleranz? Frühwarnung? Dynamische, service-orientierte Systeme: Vertrauenswürdigkeit? Robustheit? Selbst-Organisation? Hohe rechtliche und organisatorische Anforderungen: Datenschutz, Compliance, etc. 2013 Gabi Dreo Rodosek 14
Herausforderung für die IT-Sicherheit (2) Um Herausforderungen angehen zu können, sind Kenntnisse über Bedrohungen und über existierende Lösungskonzepte, so wie über Stärken und Schwächen gängiger Sicherheitstechnologien, Methoden, Modelle notwendig Neues Grundrecht: Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG, BvR 370/07, 27.2. 2008) Informationstechnische Systeme sind allgegenwärtig und ihre Nutzung ist für die Lebensführung vieler Bürger von zentraler Bedeutung. (Leitsätze zum Unterteil des Bundesverfassungsgerichts) 2013 Gabi Dreo Rodosek 15
Mobile Geräte: Einleitung Wer von Ihnen besitzt ein Smartphone? Wer von Ihnen hat sein Smartphone gerootet? Wer von Ihnen hat auf dem Smartphone einen Virenscanner oder macht sich Sorgen um die Sicherheit beim Smartphone? 2011 weltweit 1,8 Mrd. mobile Geräte verkauft Marktanteile (1. Quartal 2012) Android 40 % Symbian 24 % ios 22 % Windows Phone 7 % BlackBerry OS 3 % [1] 2013 Gabi Dreo Rodosek 16
Mobile Geräte: Bedrohungspotential Angreifer im Besitz Hardware manipulieren, zerstören und stehlen Gerätemerkmale ausspionieren Nutzungsspuren analysieren Kosten verursachen Wartungsarbeiten Angreifer nicht im Besitz Löschen der Daten Malware Ausspionieren von Passwörtern Denial of Service 2013 Gabi Dreo Rodosek 17
Cyber Attacken Heute (1) 2009: Operation Aurora 2010: Stuxnet 2011: Angriff auf RSA SecurID 2012: Flamer, MiniFlamer 2013 Gabi Dreo Rodosek 18
Cyber Attacken Heute (2) Bankräuber gehen Online Juni 2012 High Roller -Angriff Hacking-Angriff auf Server von Zoll und Polizei ( No-Name- Crew ) Angriffsziel: Ausspähung von Daten! 2013 Gabi Dreo Rodosek 19
Cyber Attacken: Tendenzen Gezielte und spezialisierte Angriffe haben einen starken Zuwachs Signaturbasierter Verfahren können das nicht erkennen Verstärkender Einsatz von Verschlüsselung (Verschleierung), hohe Bandbreiten Analyse der Nutzdaten nicht mehr möglich Angriffe auf Anwendungsebene Können durch auf der Netzebene arbeitende IDS und IPS nicht erkannt werden Angriffe auf sozialer Netze wie Facebook, um gezielt menschliche Schwächen auszunutzen 2013 Gabi Dreo Rodosek 20
Datenschutz It s all about data -> Daten = Währung Woher kommen diese Daten? Suchmaschinen, soziale Netze, Lokation-basierte Information (GPS), Zahlungssysteme/Rabattaktionen, Mobilfunk, Videoüberwachungssysteme, vernetze Autos,... Bis 2020 rechnet man mit 50 Milliarden vernetzter Geräte (Internet of Things) Big Data, Was ist Big? Im Internet anfallende Daten verzehnfachen sich alle 5 Jahre Bis 2020 44 mal so viele Daten wie heute Google hat bereits 2007 20 Pbyte pro Tag an Benutzerdaten verarbeitet 2013 Gabi Dreo Rodosek 21
Die Datenkraken Was macht Google mit gesammelten Daten? Was sammelt Facebook? Alle Interaktionen mit Facebook wie Aufruf von Profilen, Senden von Nachrichten, Anklicken von Werbeanzeigen, Suchanfragen, Meta- Daten über Bilder wie Uhrzeit, Datum, GPS Koordinaten, Informationen vom Rechner bzw. mobilen Gerät wie IP-Adresse, Standort, genutzte Browser, aufgerufene Spiele, Anwendungen, Webseiten, Gefällt mir - Button... 2013 Gabi Dreo Rodosek 22
Digitale Identität: Identität im Netz 2013 Gabi Dreo Rodosek 23
Unterschiedliche Teilidentitäten Datenspuren im täglichen Leben Blogs, Soziale-Netze-Portale, Internet-Communities Finanzamt, Wählerlisten, Anträge bei Behörden Verkehr mit Wirtschaftsunternehmen, Einkäufe im Supermarkt oder Web- Shops Nicht alle Datenspuren werden wissentlich hinterlassen Was weiss der Supermarkt (Rabatt-System) oder der Mobilfunkprovider (Positionsdaten vom Handy)? durch Verkettung von Teilidentitäten Aufbau umfassender Persönlichkeitsprofile möglich! 2013 Gabi Dreo Rodosek 24
Nutzung neuer Medien am Beispiel San-Netz und RAAPIT San-Netz IT-Sicherheitsarchitektur (Technologie, Prozesse, Metriken) 2013 Gabi Dreo Rodosek 25
Zusammenfassende Bemerkungen: It s all about Big Issues Prozesse Auswertung / Visualisierung / Entscheidungsunterstützung Datenkorrelation (Zeit, Ort, Quelle, Person, System...) Vernetzte Systeme? Automatische Konfiguration & Management Big Problems Big Data Big Systems 2013 Gabi Dreo Rodosek 26
Abschließende Bemerkungen Bedrohungen sind mannigfaltig Cyber-Attacken sind anonym, werden immer komplexer und zielgerichteter Internet of Things / Data / Services: Future Internet Cloud Computing und Cloud-basierte Apps Neue Technologien = Neue Bedrohungen! Neue Technologien = Neue Möglichkeiten! Cyber-Abwehr kostet Eine nicht adäquate Cyber-Abwehr kostet mehr! 2013 Gabi Dreo Rodosek 27
Warum Ist eine exzellente Lehre für IT-Sicherheit so wichtig? u. a. für die Abwehr von Cyber Attacken 2013 Gabi Dreo Rodosek 28
Und nun Diskussion 2013 Gabi Dreo Rodosek 29