Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt
Fraunhofer Gesellschaft Forschen für die Praxis Technische Innovation zur Steigerung der Wettbewerbsfähigkeit Deutschlands und Europas Gegründet 1949 Europas größte Einrichtung für angewandte Forschung 18 000 Mitarbeiter 60 Institute + 20 Forschungsgruppen Jährliches Budget ca. 1,65 Mrd Niederlassungen in EU, USA, Asien, Naher Osten Institutionelle Förderung (1/3) plus Auftragsforschung für Industrie (1/3) und öffentliche Hand (1/3) http://www.fraunhofer.de 2
Fraunhofer Institut für Sichere Informationstechnologie SIT Darmstadt und SIT München Berlin Gegründet: 1961 als DRZ Leitung: Prof. Dr. Michael Waidner Birlinghoven Darmstadt München Gegründet: 2008 Leitung: Prof. Dr. Claudia Eckert Spin offs: 75 R&D 25 IT + Admin 2 Lehrstühle Prof. Sadeghi Prof. Waidner BMBF ECSPRIDE 3
Überblick Trends und Themen in der IT Sicherheit Sensibilisierung und Schulung zur Sicherung der Informationssicherheit 4
Strategie der Fraunhofer Gesellschaft Relevante Megatrends bis zum Jahr 2050 Demographischer Wandel Urbanisierung Globalisierung Energie und Ressourcen Umwelt und Klimaschutz Gesundheit Mobilität Wissensgesellschaft Leben und Arbeiten 5
Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenexplosion Datenexplosion und Datenanalyse 2020: 35 Trillionen GB an digitaler Information (IDC 2010) Neue Quellen Endbenutzer: unstrukturiert, social networks Sensoren Oftmals sehr sensitiv (vertraulich, integer) Problematisch: Qualität, Rechte, Provenance, Lebenszyklus (insb. Löschung) Chance und Gefahr durch neue Algorithmen und Architekturen für Suche, Data Mining, Analytics 6
Wohin geht die Informationssicherheit? Wichtige IT Trends: Cloud Computing Cloud Computing und Mobile Endgeräte Kostenreduktion durch Economies of Scale Abhängigkeit von IT außerhalb eigener Kontrolle IT geteilt mit potentiellen Angreifern Neue Systemmanagement Tools & Prozesse Problematisch regulatorische / forensische Situation Konvergenz von PC, Telefon, Konsole, Sensoren,... Universelles Cloud Dienstezugangsgerät Konsumerisierung von IT Endgeräten Industrialisierung von IT Services Deperimeterisierung ( Jericho Forum ) 7
Wohin geht die Informationssicherheit? Wichtige IT Trends: Future Internet Vernetzte kritische Infrastrukturen Energie, Wasser, Strom, Produktion, Logistik, Krankenversorgung, Polizei, Absicherung existierender Systeme sehr komplex und oft sehr teuer Neue IT Architekturen: Dezentral, Autonomisch, Internet der Dinge und Dienste: Future Internet, Ambient Intelligence, Smarter Planet, Vernetzung von Nicht IT Gegenständen RFID Tags in Produkten Car to X Kommunikation Soziale Netzwerke 8
Wohin geht die Informationssicherheit? Wichtige IT Trends: Compliance Compliance und Komplexität International mehr und komplexere Gesetze Aufkommen von Haftungsregeln für Datenschutz und Datensicherheit Analogie zur Sicherheitsgurtpflicht in den 50er 70er Jahren Steigende Kosten und Risiken von Unsicherheit Wachsende Bedeutung von Secure Engineering Ausbildung, Methoden, Tools Wirtschaftlichkeitsbetrachtungen von IT Sicherheit Benutzbarkeit von IT Sicherheit 9
Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenschutz Datenschutz Renaissance nach 9/11 Zunehmender Konsens Beispiel: Entwurf des Neuen Personalausweises in Deutschland Zielkonflikt im Web 2.0 / Soziale Netzwerke Selbstbestimmung über eigene Daten Veröffentlichung von user generated Content Bayrisches Staatsministerium des Inneren Daten im Cloud Computing Daten in Geodaten / Bilddatenbanken Vorratsdatenspeicherung 10
Wohin geht die Informationssicherheit? Wichtige IT Trends: Cybersecurity Cyber Sicherheit Angreifer Organisiert finanziell / politisch motiviert ressourcen mächtig Advanced Persistent Threats MGM 1962 Joseph Wiseman as Dr. No 11
Sensibilisierung und Schulung zur Sicherung der Informationssicherheit
Herausforderung: Ganzheitliche Informationssicherheit 13
Bewertung der Risiken für die Informationssicherheit Platz 1: Fehler der eigenen Mitarbeiter Quelle: <kes>/microsoft Sicherheitsstudie 4/2010 14
Gefahren für die Ganzheitliche Informationssicherheit Nachlässigkeit und Fehlverhalten Mangelhafte Entsorgung vertraulicher Daten Ungelöschte Festplatten vom Flohmarkt: 34% (BBC, 2009) Ungelöschte Smartphones im Müll: 43% (BT, 2008) Test mit Realdaten Software Tests mit Produktivdaten: 71% (CIO Magazin, 2009) Besprechungen im öffentlichen Raum Preisabstimmung im Zug zur Produktpräsentation Vergessen Umgebung am Telefon: 68% (Cisco, 2008) Photo: Courtesy Bruce Schneier Falscher Umgang mit Passwörtern (Feldexperiment London, 2008) Ein festes PW dienstlich und privat: 48% Kennen PW von Kollegen: 50% Geben eigenes PW telefonisch an Support: 58% 15
Gefahren für die Ganzheitliche Informationssicherheit Verlorene Mobile Geräte Gefunden (2007) Münchner Taxiunternehmen: 3.800 PDAs UK Reinigungen: 9.000 USB Sticks Flughafen Frankfurt: 1.500 Laptops DB Züge: 669 Laptops Verloren oder gestohlen an US Flughäfen (pro Jahr) 600.000 Laptops Vergessen in Londoner Taxis (2007): 110.000 Mobiltelefone 10.000 Smartphones 6.000 Laptops 1.800 USB Sticks 16
Gefahren für die Ganzheitliche Informationssicherheit Mögliche Ursachen IT Sicherheit ist technikfokussiert Einführung von Firewalls, Virenscannern, IDS Verschlüsselungslösungen Policies an Technik angepasst, nicht an Benutzbarkeit Jean Tinguely, Heureka (Zürihorn) Photo: Micha L. Rieser / IT Sicherheit ist benutzerunfreundlich Zu viele Passwörter Gilt für Endnutzer und für Systemadministratoren Wenig Kenntnis über Sinn und Konzept von Maßnahmen Aberwitzige Sicherheitsabfragen Unsichere Anfangskonfigurationen Social Engineering als Bedrohung nicht ausreichend wahrgenommen 17
Weg zur ganzheitlichen Informationssicherheit Zusammenspiel von Technik und Nutzerverhalten Sicherheitsniveau kann nur durch Zusammenspiel technischer Maßnahmen und Anhebung des Sicherheitsbewusstseins erhöht werden Menschen in den Fokus der IT Sicherheit rücken Konzertiertes Verhalten der Mitarbeiter fördern Aufmerksamkeit für Social Engineering Sorgfältiger Umgang mit sensiblen Daten (Laptop, Smartphone, ) Berücksichtigung von Sicherheit bei Prozess und Lösungsentwurf Angemessene Verwendung bestehender Sicherheitslösungen 18
Weg zur ganzheitlichen Informationssicherheit Ziele eines Schulungs und Sensibilisierungsprogramms Aufmerksamkeit für IT- Sicherheit erzeugen (Kommunikation der IT- Sicherheitsleitlinien) Gewinnung des Interesses der Mitarbeiter für Sicherheitsmaßnahmen 1. Stufe: Bewusstsein warum Verstehen 2. Stufe: Schulung was Wissen 3. Stufe: Training wie Fähigkeit Vermittlung von Grundwissen Vermittlung von Praxiswissen für angemessene Reaktionen von Mitarbeitern bei Störfällen Aufrechterhaltung des Interesses durch regelmäßige Kampagnen 19
Aufbau einer Sicherheitskultur Der Baustein B1.13 des IT Grundschutzes Aufzeigen von Gefährdungen und Empfehlungen zu Maßnahmen zur Sensibilisierung und Schulung zur Informationssicherheit : Planung und Konzeption von Kampagnen und Schulungen Beschaffung (etwa Auswahl von Trainern) Umsetzung (Aufbau einer Organisation) Betrieb (Durchführung von Schulungen) 20
Aufbau einer Sicherheitskultur Erfolgsfaktoren Erfolgreiche Schulungsprogramme und Maßnahmen zur Sensibilisierung benötigen: 1. Eine Vision und ein messbares Ziel 2. Eine einheitliche Strategie 3. Einen Unterstützer aus dem oberen Management ( Paten ) und zahlreiche Vorbilder (Führungskräfte) 4. Wenige einfache Regeln 5. Einen präzisen Zuschnitt auf die Unternehmenskultur 6. Einen an Lernzielen orientierten strukturierten Aufbau 7. Eine kontinuierliche Folge verzahnter Einzelmaßnahmen 8. Eine verbindende Klammer (Key Visual, Brand, Claim) 9. Eine geeignete Auswahl von Marketingmaßnahmen ( Form Follows Function ) 10. Eine systematische, begleitende Ergebnismessung 21
Angebote des Fraunhofer SIT Schulungen und Sensibilisierungsmaßnahmen Durchführung von Bedarfsanalysen Entwicklung von Konzepten für Schulungen und Sensibilisierungsmaßnahmen Durchführung von Schulungen Entwicklung von Online Seminaren Evaluierung von Schulungsmaßnahmen Durchführung von 22
V D Weitere Informationen: sit.fraunhofer.de www.cased.de Meine Koordinaten: michael.waidner@sit.fraunhofer.de +49 6151 869 250 Fraunhofer SIT, Rheinstraße 75, D64295 Darmstadt 23