Cyber-Sicherheitslagebild & IT-Sicherheitslagebild Andreas Könen Bundesamt für Sicherheit in der Informationstechnik 18. Bonner Microsoft Tag für Bundesbehörden 21. und 22. Mai 2014-1-
Allianz für Cyber-Sicherheit -2-
Partner Partner......sind Experten im Bereich Cyber-Sicherheit...leisten freiwillig kostenlose Beiträge zur Allianz...können sich untereinander in Expertenkreisen organisieren Anzahl Partner: 75 Partner der Allianz sind z.b. und viele Weitere... -3-
Multiplikatoren Multiplikatoren......sind Sprachrohr/Vertreter einer ganzen Branche...weisen auf Informationen der Allianz hin...erhöhen die Reichweite der Allianz für Cyber-Sicherheit Anzahl Multiplikatoren: 26 Multiplikatoren der Allianz sind z.b. und viele Weitere... -4-
Registrierte Teilnehmer Registrierte Teilnehmer... erhalten vertrauliche Informationen nehmen am Erfahrungsaustausch teil Anzahl registrierte Teilnehmer: 693 (1028 Personen) Teilnehmer der Allianz sind z.b. und viele weitere... -5-
Kooperationsbasis zwischen Staat, Wirtschaft, Hersteller und Forschung Was bietet die Allianz für Cyber-Sicherheit? zentraler Informationspool Erfahrungsaustausch -6-
Nationales Cyber-Sicherheitslagebild -7-
Motivation Wer die aktuelle Cyber-Sicherheits-Lage nicht ausreichend kennt, weiß vielfach nicht, wie er sich effektiv und nachhaltig gegen potenzielle Cyber-Sicherheits-Angriffe schützen kann. -8-
Gesetzliche Grundlagen Derzeit gibt es kein zentrales, nationales und referenzierbares Cyber-(IT-Sicherheits)lagebild in Deutschland. Aber: Gemäß BSIG 4 ist es bereits heute Aufgabe des BSI, ein Cyber-Sicherheitslagebild für Behörden und für Betreiber Kritischer Infrastrukturen bereitzustellen. Um diesem Auftrag nach zu kommen, erstellt das BSI - mit Unterstützung von Partnern aus Wirtschaft und Wissenschaft - für alle Teilnehmer der Allianz für Cyber-Sicherheit ein solches Cyber-Sicherheitslagebild. -9-
Ziele Was soll mit dem CS-Lagebild erreicht werden? Nachhaltige Verbesserung der Cyber-Sicherheit in Deutschland Argumentationshilfen für die Bereitstellung von Ressourcen durch das Aufzeigen des aktuellen Risikos ermöglichen (Sensibilisierung) eine Referenzquelle für Cyber-Sicherheitszahlen Handlungen gemäß Lage bei den dafür Verantwortlichen auslösen (CISO, Administratoren, Betreibern und Anbietern) Aufzeigen von Wegen aus der Lage durch Empfehlungen und Maßnahmen Was kann nicht erreicht werden? Liefern von absoluten Zahlen Individuelle Risikobewertungen erstellen -10-
Zielgruppen -Hierarchieebenen- -11-
Cyber-Sicherheitslagebild die Quellen Quellen des Bundes Quellen der Allianz Sonstige Quellen Lagezentrum Netze des Bundes Meldestelle Partner der Allianz gemeldete Vorfälle CERTs Hersteller Dienstleister andere kostenlose (OpenSource) oder kostenpflichtige Quellen (z.b. Forschung) Cyber-Sicherheits-Lagebild -12-
Schwachstellen relevanter Produkte 1400 1200 1000 Anzahl der Schwachstellen 800 600 400 200 0 2010 2011 2012 2013 2014 - heute Täglich 2 neue kritische Schwachstellen -13-
Windows XP Mindestens 20% Windows XP-Clients -14-
Ungezielte Cyber-Angriffe in der Fläche Angriffsvektor Surfen (Drive-By-Exploits) Verteilung von Malware mittels manipulierter Webseiten Täglich 500.000 Webseiten mit Drive-By-Exploits, davon zwischen 10.000 und 140.000 in Deutschland beliebt: Manipulation über ungepatchte Content-Management-Systeme (z.b. Joomla, Wordpress) beliebt: Verteilung auch über manipulierte Werbebanner, die auf einer Vielzahl hochfrequentierter Sites angeboten werden Quelle: Cyscon -15-
Malware 10% 30% 20% Direkter Download (URL) Drive-by-Exploit E-Mail-Anhänge Andere (Datenträger etc.) 40% Malware-Verbreitung über Drive-By-Exploit, Download und E-Mail -16-
Malware Schadprogramme gesamt 200.000.000 180.000.000 160.000.000 140.000.000 120.000.000 100.000.000 Windows 80.000.000 60.000.000 40.000.000 20.000.000 0 2006 2007 2008 2009 2010 2011 2012 2013 180.000.000 Malware (Windows) -17-
Mobile Malware 300 250 200 150 100 50 0 Neue Schadsoftware-Familien für mobile Geräte 2013 Quartal 1/13 Quartal 2/13 Quartal 3/13 Android Symbian Others (Windows Phone, Blackberry, ios) 2.000.000 mobile Malware (Android) hohe Verbreitung in China/Russland Malware selten im Google-Play-Store -18-
Botnetze Quelle: BSI -19-
DDoS Angriffsbandbreite: maximal beobachtet: 400 Gbps Durchschnitt in D: 2,5 Gbps Angriffsmethoden Botnetz-Angriffe Reflection Angriffe (DNS, NTP, CHARGEN) Durchschnittliche Dauer 30 Minuten Rent a DDoS 1 Stunde = 5 $, 1 Tag = 100 $ -20-
DDoS Distributed Denial of Service-Angriff US-Banken (Sept. 2012-Juli 2013, danach sporadisch) (>5.000 deutsche Server beteiligt!) Niederländische Banken (April 2013) Belgische Banken (April 2013) DDoS in Deutschland Derzeitiger Erkenntnisstand: Mindestens 10 DDoS-Angriffe pro Tag in Deutschland auf Wirtschaftsunternehmen und Behörden Mind. 2.200 DDoS-Angriffe 2013 in D 2.200 DDoS-Angriffe 2013 in D -21-
APT (Advanced Persistent Threats) Typische Angriffsmethoden Vorbereitung: Social Engineering zu Zielpersonen Angriffsvektor E-Mail mit Malware-Anhang an Zielperson Angriffsvektor Watering-Hole-Angriff mit Malware auf Webseite Anteil in % 100 90 80 70 60 50 40 30 20 10 0 Jan Feb Mär Apr EXE Excel Word PDF RTF Mai Jun Jul Aug Sep Okt Nov Dez -22-
Gezielte Cyber-Spionage-Angriffe - Advanced Persistant Threat - Gezielte Cyber-Spionage-Angriffe - werden zu 2/3 extern entdeckt - werden erst nach Monaten entdeckt -23-
Die 3 Hauptangriffswege von NSA und GCHQ Strategische Aufklärung in Netzen (PRISM, Tempora & Upstream, XKeyscore,...) Individualisierte Angriffe (TAO, Foxacid & Quantum, Mobilkommunikation,...) Manipulation wichtiger IKT-Komponenten und -Systeme (ANT-Produktkatalog, Genie, Bullrun,...) -24-
Cyber-Sicherheitslage Cyber-Angreifer arbeiten arbeitsteilig, teilweise Mitläufer, teilweise hochprofessionell, Angriffs-Werkzeuge reichlich verfügbar, Deutschland: ist massives Ziel für Cyber-Crime, wird breit cyber-ausspioniert, ist Schwellenland für Cyber-Sabotage. Praktisch jedes Unternehmen wird cyber-attackiert, nicht alle merken es, Bundesverwaltung wird permanent cyber-attackiert, die Dimension der Cyber-Angriffe auf Deutschland ist besorgniserregend. -25-
Nationales IT-Sicherheitslagebild -26-
Blaupause Nationales IT-Sicherheitslagebild Akute Warnungen CERT-Meldungen Cyber-Sicherheitslage Monatl. Lagebericht Top-100 Bedrohungen Top-100 Schwachstellen -27-
Quellen des nationalen IT-Sicherheitslagebilds Beiträge aus diversen Lagezentren CERTs, Provider, IT-Sicherheits-Akteure Erfahrungswerte aus IT-Forensik, Sicherheitsrevisionen, Penetrationstests Honey-Pots Meldungen von Sicherheitsvorfällen/Angriffsversuchen Gesetzlich geregelte Meldungen Freiwillige Meldungen Anonyme (branchenspezifische) Umfragen -28-
Weiße Flecken Terra incognita -29-
Terra incognita... Welche Bedrohungen treten am häufigsten auf? Welche Schwachstellen treten am häufigsten auf? Primärkosten bei Cyber-Angriffen Sekundärkosten bei Angriffen Kosten für Präventionsmaßnahmen Branchenspezifischer Umsetzungsstand -30-
Fazit Deutschland Ist massives Ziel für Cyber-Crime Wird breit cyber-ausspioniert Ist Schwellenland für Cyber-Sabotage Praktisch jedes Unternehmen wird im Cyber-Raum attackiert nicht alle merken es! Dimension der Cyber-Angriffe wird langsam sichtbar IT und Internet sind eine Grundlage für unsere wirtschaftliche Stärke Nur gemeinsam können wir dazu beitragen, den Standortvorteil IT-Sicherheit zu stärken -31-
Herzlichen Dank! Bundesamt für Sicherheit in der Informationstechnik (BSI) Andreas Könen Vizepräsident Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5210 Fax: +49 (0)22899-10-9582-5210 Andreas.Koenen@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de -32-