Datenklau? Das wüsste ich doch! Internetkriminalität Hacker und Datenklauer im (Firmen-) Netz Ransbach-Baumbach, 20. November 2014 Dr. Michael Falk, Senior Manager KPMG Security Consulting
KPMG Dienstleistungen im Bereich Security Consulting Unternehmensdarstellung KPMG Security Consulting Über 100 Mitarbeiter im Bereich Security Consulting/ Datenschutz und Datensicherheit Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren ISO-27001-Auditoren für Audits auf der Basis von IT- Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) 3 Mitarbeiter, die Teile von BSI IT-Grundschutz mitgeschrieben haben Großer Pool an zertifizierten Experten (CISA, CISM, CRISC, CISSP, CEH, LPT und weitere) Über 20 spezialisierte Penetrationstester Zugang zum weltweiten KPMG-internen Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen mit 145.000 Mitarbeitern in 152 Ländern. Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungs- und Beratungsunternehmen und ist mit 8.400 Mitarbeitern an 25 Standorten präsent. Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzern- und Jahresabschlüssen. Tax steht für die steuerberatende Tätigkeit von KPMG. Der Bereich Advisory bündelt unser hohes fachliches Know-how zu betriebswirtschaftlichen, regulatorischen und transaktionsorientierten Themen. Für wesentliche Branchen unserer Wirtschaft haben wir eine geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier laufen die Erfahrungen unserer Experten weltweit zusammen und tragen zusätzlich zur Beratungsqualität bei. 1
KPMG Dienstleistungen im Bereich Security Consulting KPMG Security Consulting Security Consulting Über 100 Mitarbeiter im Bereich Security Consulting/ Datenschutz und Datensicherheit Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren ISO-27001-Auditoren für Audits auf der Basis von IT- Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) 3 Mitarbeiter, die Teile von BSI IT-Grundschutz mitgeschrieben haben Großer Pool an zertifizierten Experten (CISA, CISM, CRISC, CISSP, CEH, LPT und weitere) Unsere engagierten Mitarbeiter und ausgewiesenen Experten im Umfeld der IT-Sicherheit greifen auf Erfahrungen aus vergangenen Projekten und Partnerschaften zu anderen Institutionen zurück. KPMG stellt Experten in den Arbeitskreisen Cyber-Sicherheit, Cyber-Lagebild, Cyber-Forensik in der Allianz für Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). KPMG stellt den Sprecher des Arbeitskreises Identity Management und Security der DSAG. KPMG besitzt Expertise aus mehr als eintausend Penetrationstests und Schwachstellenanalysen in klassischen Netzen, Anwendungen und Webanwendungen. KPMG ist dauerhaft Dienstleister für Penetrationstests und Sicherheitsanalysen für viele privatwirtschaftliche Unternehmen und öffentliche Institutionen. KPMG ist Zertifizierungsstelle für Informationssicherheit nach ISO/IEC 27001 (KPMG Cert GmbH). KPMG-Mitarbeiter haben bereits mehrere Bausteine des BSI IT-Grundschutz verfasst, und tragen regelmäßig auf Veranstaltungen des BSI vor. KPMG besitzt über 15 Jahre Erfahrung in der Schulung von IT-Sicherheit, Sicherheitsmanagement, ISO/IEC 27001 und BSI IT-Grundschutz. Über 20 spezialisierte Penetrationstester Zugang zum weltweiten KPMG-internen Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern 2
Aktuelle Bedrohungslage
Was ist Internetkriminalität? KPMG e-crime Studie 2013: Eckdaten und ausgewählte Ergebnisse Anstieg von e-crime-delikten erwartet Gezielte Angriffe durch neue Technologien e-crime eine globale Herausforderung Ein Viertel der befragten Unternehmen war in den vergangenen zwei Jahren von e- Crime betroffen. Zu Recht sehen daher mehr als 80 Prozent der befragten Unternehmen für die Gesamtwirtschaft ein hohes bis sehr hohes Risiko, in e-crime-vorfälle involviert zu werden. Die zunehmende Verbreitung komplexer Technologien im Zuge der mobilen Telekommunikation bereitet somit die Angriffsmöglichkeiten für die komplexeren Deliktstypen. Die Angreifer werden dabei professioneller und führen die Angriffe zunehmend gezielt auf bestimmte Geschäftsbereiche oder Daten hin aus. Die Gefahrenquellen für e-crime werden inzwischen vermehrt länderspezifisch gesehen, die größten Gefahren werden mit China, Russland und dem übrigen Osteuropa verbunden. Bei den tatsächlichen Tätern besetzen die unbekannten Externen die vorderste Position. Hohe Schäden, hohe Kosten Unternehmen erfassen die Schäden durch e-crime-delikte mittlerweile detaillierter, berücksichtigen diese aber noch nicht ausreichend im (IT-) Risikomanagement. Einige Deliktstypen traten innerhalb von zwei Jahren bis zu 50 Mal auf, wobei im Einzelfall Schäden von mehr als einer Million Euro auftraten. Prävention lückenhaft Nach wie vor bereiten den Unternehmen Unachtsamkeit und mangelndes Risikobewusstsein Schwierigkeiten. Die Hälfte der befragten Unternehmen hat die Erfahrung gemacht, dass es eine Herausforderung ist, kompetentes Personal für die Prävention, Erkennung und Reaktion auf e-crime zu finden. Die Gefahr von Reputationsschäden wird unterschätzt Der potentielle Schaden durch Reputationsverlust kann immens sein. Dennoch wird das Risiko durch Unternehmen unterschätzt. Insbesondere Unternehmen der Branchen Medien und Verlage, Energie und Finanzdienstleistungen befürchten Reputationsschäden. 4
Was ist Internetkriminalität? Aktuelle Bedrohungslage (Zahlen aus 2010-2014) 83% der befragten Unternehmen glauben, dass ein gezielter Angriff (APT) bei Ihnen stattgefunden hat. Quelle: Ponemon Studie Bei der Analyse von 900 erfolgreichen Angriffen fand man in 90% der Fälle Hinweise in den Log Dateien, wobei nur 5% der Unternehmen den Angriff erkannt haben. Quelle: Verizon Data Breach Report Private Geräte werden von 95% der Nutzer (auch) dienstlich genutzt. Quelle: IDC 2007 wurden für das Bundesland Nordrhein-Westfalen bereits 34.000 Fälle von Cybercrime registriert 2012 waren es bereits 64.000 Fälle (Tendenz stark steigend). Quelle: Strafverfolgungsstatistik Nordrhein-Westfalen, 2012 5
Warum sind die an Daten interessiert? Die Motivation der Angreifer Computerbetrug Betrügerische Handlungen unter Ausnutzung von Informationstechnologien und der Manipulation von Datenverarbeitungssystemen bzw. -prozessen Verletzung von Urheberrechten Verstoß gegen die Verwertungsrechte von urheberrechtlich geschützten elektronischen Daten Ausspähen oder Abfangen von Daten Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten die sich gerade in der Übermittlung befinden, aber auch von natürlichen Gesprächen über technische Hilfsmittel Manipulation von Konto- und Finanzdaten Unberechtigte Veränderung von Konto- und Finanzdaten in Buchhaltungs- oder Zahlungssystemen Kurzdefinitionen in Anlehnung an Straftatbestände Verletzung von Geschäfts- oder Betriebsgeheimnissen Unbefugte Aneignung und Weitergabe von vertraulichen oder geheimen Informationen unter Nutzung elektronischer Mittel Systembeschädigungen oder Computersabotage Störung von Datenverarbeitungsprozessen, z.b. durch Beschädigung oder Manipulation von Computern, Netzwerken oder Datenträgern Datendiebstahl Unberechtigte Aneignung von Daten Erpressung Erpressung unter Androhung von e-crime-handlungen 6
Thesen & Lösungsansätze
Aktuelle Risiken in der IT-Sicherheit Sicherheitsmanagement These: Technische Sicherheit (alleine) hilft uns weiter 8
Aktuelle Risiken in der IT-Sicherheit Sicherheitsmanagement If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology. BRUCE SCHNEIER, IN "SECRETS AND LIES", 2000 A fool with a tool is still a fool. GRADY BOOCH, ONE OF THE ORIGINAL AUTHORS OF THE UNIFIED MODELING LANGUAGE (UML) 9
Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist These: Nur 5% Ihrer Informationen & Daten sind kritisch und besonders schützenswert. 10
Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist Kronjuwelen im Mittelstand Konstruktionszeichnungen (CAD, Schaltpläne, Aufbaupläne, techn. Dokumentation) Forschung & Entwicklung (Prototypen, Produktinnovationen, Patente, Formeln, Rezepturen) Verfahrensbeschreibungen (Produktionsverfahren, Fertigungsdaten) Stücklisten / Objektlisten Preiskalkulationen (kundenspezifisch), Herstellungskosten Kundenprojekte (Angebotsanfragen, Ausschreibungen, Angebote, Aufträge, Verträge) Kundendaten Medizinische Unterlagen (Patientenakten, Befunde) Daten der Geschäftsführung (Strategie, Unternehmensausrichtung) Kommunikationsdaten (Telefonate, Videokonferenzen, E-Mails) Prüfergebnisse (Interne Revision, QM, Lebensmittelkontrolleure, Aufsichtsbehörden) Personalabrechnung ( Wer verdient wie viel? ) Personenbezogene Daten (Personaldaten / Bundesdatenschutzgesetz) 11
Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist These: Mit 20 Schutzmaßnahmen lassen sich 94% aller Cyber- Bedrohungen abwehren! 12
Aktuelle Risiken in der IT-Sicherheit Handlungsfelder im Mittelstand Risikoorientierte Vorgehensweise Berechtigungsmanagement Netzwerksicherheit Sichere Systemkonfig. (Härtung) Schutz vor Schadsoftware Qualifikation & Awareness 13
Viel Spaß mit Mark Semmler! These: Bis 2015 werden 80% aller erfolgreichen Angriffe durch Ausnutzen von wohlbekannten Schwachstellen erfolgen. Quelle: Gartner Top Security Trends 2012 & 2013 14
Vielen Dank Für weitere Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Ihr Kontakt Dr. Michael Falk Senior Manager, Security Consulting KPMG AG Wirtschaftsprüfungsgesellschaft The Squaire Am Flughafen 60549 Frankfurt am Main Tel. +49 69 9587-3680 Mobile +49 152 090 878 62 E-Mail mfalk@kpmg.com www.kpmg.de