Informatiksicherheit: Quo vadis?

Ähnliche Dokumente
IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

Informations- und Netzwerksicherheit: Ein Überblick. B. Plattner / H. Lubich Sicherheit in Datennetzen Einführung 1

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2)

TeleTrusT Deutschland e.v. TeleTrusT-Vorkonferenz zur "ehealth 2010" Gesundheitstelematik im Spannungsfeld zwischen Planung und Realisierung

Software-Qualität Ausgewählte Kapitel

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

SICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2

Kryptographie und IT-Sicherheit

Diskussionsforum 4: Verschlüsselung und elektronische Signatur

Praktikum IT-Sicherheit SS Einführungsveranstaltung

Immer noch nicht sicher? Neue Strategien und Lösungen!

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Datenschutz Forum Schweiz. SuisseID

Status Quo zur Sicherheit Eine Sichtweise

Inhaltsverzeichnis. I Grundlagen der Datensicherheitstechnik 1

Virtual Private Networks

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Kryptografie und Public-Key-lnfrastrukturen im Internet

Die virtuelle Poststelle eine zentrale Security Plattform

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Sichere Kommunikation: Realität? Illusion? Teufelswerk?

Datensicherheit. Vorlesung 7: Wintersemester 2017/2018 h_da. Heiko Weber, Lehrbeauftragter

Sichere und integre IT-Systeme

Cloud Computing Chancen und Risiken für KMUs.

Lage der IT-Sicherheit im Mittelstand

Denn es geh t um ihr Geld: Kryptographie

Achtung: Diese Beispielklausur deckt nur den Teil 2 der Klausur ab. Die 180 Minuten sind für die gesamte Klausur also Teil 1 und 2.

Vorlesung Netzsicherheit

Schwerpunkt: Records Management

Was sind die größten IT-Sicherheitsherausforderungen?

Risiken bei der Übermittlung von Geschäftsdokumenten 21. Juni 2017, Basel

Vielen Dank für Ihre Aufmerksamkeit!

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 18. Oktober 2017 WS 2017/2018

FireWall Möglichkeiten und Grenzen

2. DsiNsights Breakfast. Einfach. Sicher. Verschlüsseln. 20. Mai 2015

Geleitwort des Reihenherausgebers... 5

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

20 Jahre TeleTrusT Deutschland e.v.

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Security by Design. und Sicherheit in der Weiterbildung. Christoph Weinmann. Secorvo Security Consulting GmbH

1 Einleitung. 2 Rechtliche Voraussetzungen

Sicherheit in Ad-hoc-Netzen

IT-Sicherheit. Konzept -Verfahren - Protokolle von Prof. Dr. Claudia Eckert Technische Universität Darmstadt Studienausgabe

Post-Quanten Kryptografie. Chancen und Risiken in der IT-Sicherheit. Stefan Schubert Institut für IT-Sicherheitsforschung

SIWECOS KMU Webseiten-Check 2018

Maßnahmenermittlung nach dem Stand der Technik

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Umfassende Sicherheit - Safety meets Security -

Abwehr von Spam und Malware in s. Christian Grimm DFN-Nutzergruppe Hochschulverwaltung 10. Mai 2010, Berlin

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Übersicht über die IT- Sicherheitsstandards

Einführung in das Nachmittagsprogramm. Prof. Dr. B. M. Hämmerli

IT-Security in der Automation: Verdrängen hilft nicht!

Kein Platz für Spams und Viren Lösungsbeispiele zum wirksamen Schutz vor der Gefahr der Online-Kommunikation

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

als sichere Variante in Ihrer Digitalisierungsstrategie! DOXNET, Baden-Baden, 26. Juni 2018

Proseminar Datenschutz in der Anwendungsentwicklung. VoIP und Datenschutz. Junlin Huang Dresden,

E-Business auf dem Prüfstand Bedarfsgerechte Entwicklung von IT Infrastrukturen

Separierung/Isolation Steffen Heyde secunet

Sicherheitsdomänen im Energieinformationsnetz

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

PCI/DSS Security Compliance im Zahlungsverkehr mit HSMs

Outsourcing virtueller Infrastrukturen. IT-Trends-Sicherheit

Wo fängt IT-Sicherheit an oder wo hört sie auf?

VI. Public-Key Kryptographie

Messbare Sicherheit?

Seminarvortrag Digital Signatures

Am Arbeitsplatz und unterwegs sind Ihre Daten sicher! Stephan Maihoff Berlin, 23. April 2008

IT Security. Infos und Tipps von Sophos und Ihrem RZ-Team. Hochschule Amberg-Weiden

Digitale Signaturen. Proseminar Kryptographie und Datensicherheit SoSe Sandra Niemeyer

Christoph Sorge. Universität des Saarlandes. IT-Sicherheitsanforderungen für elektronische Akten

secunet Security Networks AG A priori Policies zum Schutz von Fahrzeug Bordnetzen

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

Vorlesung Rechnernetze

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Zukunft der Forschung und Lehre in der Automatisierungstechnik. Prof. Dr.-Ing. Michael Weyrich

Leitfaden zur IT-Sicherheit für Anwender. PRESS Professional Learning

Net4You Internet GmbH. Herausforderung Sicherheit DI Martin Zandonella, CEO

All Ip SecurIty 2.0 IT-SIcherheIT: herausforderungen unserer Kunden bei der VoIP-IP MIgraTIon. lead: MArtIn lutz

IT Sicherheit und Datenschutz

Stefan Vogt Sales Engineer. Sophos Central & Sophos Wireless

WAGNER IT SYSTEMS MANAGED CLOUD-SPACE

IT-Sicherheit in der Produktion

IKT Sicherheit und Awareness

Mittelstand im Visier von virtuellen Angreifern

Was heißt Digitalisierung für KMU in den Regionen? Gerhard Laga, WKÖ E-Center

Infoveranstaltung IT-Sicherheit für KMU: Angriffe auf und Schutzmaßnahmen für mobile Endgeräte

Transkript:

Informatiksicherheit: Quo vadis? PD Dr. Rolf Oppliger esecurity Technologies Rolf Oppliger (www.esecurity.ch) Thunstrasse 57b, CH-3074 Muri b. Bern E-Mail: rolf.oppliger@esecurtiy.ch 2000 esecurity Technologies Rolf Oppliger Folie 1 Übersicht Was ist Informatiksicherheit? Was haben wir erreicht? Was wollen wir? Was hält uns zurück? Was bringt die Zukunft? 2000 esecurity Technologies Rolf Oppliger Folie 2

Was ist Informatiksicherheit? 1/7 Boden Information Kapital Arbeit Information stellt einen vierten, Boden, Kapital und Arbeit ergänzenden Produktionsfaktor dar. Unsere Gesellschaft ist daran, sich von einer Industrie- zu einer Informationsgesellschaft zu wandeln. 2000 esecurity Technologies Rolf Oppliger Folie 3 Was ist Informatiksicherheit? 2/7 Die Informatik ist die Wissenschaft, die sich mit der systematischen und möglichst automatisierten Speicherung, Verarbeitung und Übertragung von Informationen (d.h. informationstragenden Daten) befasst. Die Informatiksicherheit (bzw. IT-Sicherheit) befasst sich mit der Sicherheit in der Informatik, d.h. mit der sicheren Speicherung, Verarbeitung und Übertragung von Information....11100110101111110000110101100011011001000100111110000100100111... 2000 esecurity Technologies Rolf Oppliger Folie 4

Was ist Informatiksicherheit? 3/7 Dabei entsprechen dem deutschen Sicherheitsbegriff in der englischen Sprache zwei Bedeutungen: - Sicherheit im Sinne von safety bezieht sich auf die Zuverlässigkeit eines Systems, d.h. auf dessen Ablauf- und Ausfallsicherheit. - Sicherheit im Sinne von security bezieht sich auf den Schutz eines Systems vor beabsichtigten Störungen und Angriffen. Zuweilen werden die zwei Bedeutungen auch unter dem deutschen Begriff Verlässlichkeit subsummiert. 2000 esecurity Technologies Rolf Oppliger Folie 5 Was ist Informatiksicherheit? 4/7 Aspekte der Informatiksicherheit: - Verfügbarkeit - Vertraulichkeit - Integrität - Authentizität - Verbindlichkeit - Anonymität -... 2000 esecurity Technologies Rolf Oppliger Folie 6

Was ist Informatiksicherheit? 5/7 Sicherheit kann als Zustand des Nichtvorhanden- oder Geschütztseins vor Bedrohungen und Risiken umschrieben werden. Sicherheit ist als subjektiv wahrnehmbare Grösse weder direkt sicht- noch messbar. Was als sicher oder unsicher zu bezeichnen ist, hängt auch vom Betrachter und dessen individuellen Risikobereitschaft ab (z.b. Fliegen). 2000 esecurity Technologies Rolf Oppliger Folie 7 Was ist Informatiksicherheit? 6/7 Sicherheit ist relativ und immer situationsbezogen (bzw. abhängig von der aktuellen Bedrohungslage). Bis heute fehlt eine (brauchbare) Metrik für Informatiksicherheit, d.h. Informatiksicherheit wird in der Praxis durch Räuber-und-Gendarm -Spiele approximiert (z.b. durch den Einsatz von Tiger Teams). Solche Spiele und Approximationen hat es immer schon gegeben (z.b. Geldtransporte im Wilden Westen, einbruchsichere Safes, ausbruchsichere Gefängnisse,... ). 2000 esecurity Technologies Rolf Oppliger Folie 8

Was ist Informatiksicherheit? 7/7 Beispiel eines approximativ ausbruchsicheren Gefängnisses 2000 esecurity Technologies Rolf Oppliger Folie 9 Was haben wir erreicht? 1/5 Schwerpunktthemen der Informatiksicherheit in der Vergangenheit: - Physikalische Sicherheit (z.b. Rechenzentren) - Kryptologie (z.b. Verschlüsselungen, digitale Signaturen,... ) - Authentifikationsverfahren ( was ich weiss, was ich habe, wer ich bin bzw. wo ich bin ) - Zugriffskontrollen (z.b. DAC, MAC,... ) - Evaluation und Zertifikation von IT-Produkten und -Systemen (z.b. TCSEC, ITSEC, CC,... ) - Datenbanksicherheit (z.b. Inferenzproblem) - Softwareanomalien und -manipulationen (z.b. Computerviren) -... 2000 esecurity Technologies Rolf Oppliger Folie 10

Was haben wir erreicht? 2/5 Aktuelle Produkte -Landschaft: Firewalls (statische und dynamische Paketfilterung, Proxy Server,... ) IPSec (Virtuell private Netze) SSL/TLS Sicheres E-Mail (z.b. PGP, S/MIME,... ) Authentifikationssysteme (z.b. Kerberos,... ) PKI Sicherheitsscanner und IDS 2000 esecurity Technologies Rolf Oppliger Folie 11 Was haben wir erreicht? 3/5 Zwischen Theorie und Praxis gibt es ein (über-) grosses Delta: - In der Theorie gibt es gute Verschlüsselungssysteme. - In der Praxis wird nicht oder nur mit ungenügend starken Verschlüsselungssystemen gearbeitet. - In der Theorie kennt man Authentifikationsverfahren mit beweisbaren Sicherheitseigenschaften (z.b. ZKIPS). - In der Praxis werden Passwörter eingesetzt. - In der Theorie gibt es einen Bedarf nach korrigierten Softwareversionen. - In der Praxis werden Patches kaum installiert. 2000 esecurity Technologies Rolf Oppliger Folie 12

Was haben wir erreicht? 4/5 Für die bis heute erstaunlich geringe Zahl von Zwischenfällen gibt es zwei mögliche Begründungen (neben einer hohen Dunkelziffer): - Die Räuber sind nicht gut genug. - Die Räuber sind zwar gut genug, aus ihrer Sicht gibt es aber im Internet (immer noch) zuwenig zu holen. Die zweite Begründung ist wahrscheinlicher. Damit haben wir eine extrem gefährliche Ausgangslage für den elektronsichen Handel und die elektronische Geschäftsabwicklung im Internet. 2000 esecurity Technologies Rolf Oppliger Folie 13 Was haben wir erreicht? 5/5 Prognose: Sobald sich der Internet-basierte E-Commerce durchzusetzen beginnt, werden die Räuber angreifen und die Gedarmerie wird beginnen, ihre aus der Theorie bekannten Sicherheitstechnologien besser und konsequenter einzusetzen. Besser wäre ein proaktiver Einsatz von Sicherheitstechnologien bereits in der Entwurfsphase von Produkten und Applikationen (die Entwicklung einer sicheren Applikation muss nicht notwendigerweise viel aufwendiger sein als die Entwicklung einer unsicheren Applikation). 2000 esecurity Technologies Rolf Oppliger Folie 14

Was wollen wir? 1/2 Analogie: Briefpost Computersicherheit Kommunikationssicherheit Sicherheitsleitbild (-politik) Sicherheitsstragie Sicherheitsplan Organisatorische Sicherheit Rechtliche Sicherheit 2000 esecurity Technologies Rolf Oppliger Folie 15 Was wollen wir? 2/2 Man kann viel lernen aus der Art und Weise, wie man für andere Infrastrukturen Sicherheit bzw. Verlässlichkeit zu erreichen versucht. Beispiel Strassenverkehr: Fahrzeugprüfungen Fahrerprüfungen Ausbildungsprogramme Bauliche Massnahmen Gesetzliche Vorgaben Polizeiliche Kontrollen... 2000 esecurity Technologies Rolf Oppliger Folie 16

Was hält uns zurück? 1/2 Es gibt eine asymmetrische Lastverteilung zwischen einem Räuber und der Gendarmerie (der Räuber muss nur eine Verwundbarkeit finden und ausnutzen). Bis heute gibt es keine (Produkte-) Haftung für fehlerhafte Software. Diese Situation macht es schwierig, Softwarehersteller für Verwundbarkeiten in ihren Produkten in die Pflicht zu nehmen. Soziale Komponente in einem Informatiksystem (als sozio-technisches System) kann immer angegriffen werden (z.b. Social Engineering). 2000 esecurity Technologies Rolf Oppliger Folie 17 Was hält uns zurück? 2/2 Zwei natürliche Feinde der Informatiksicherheit: Komplexität (z.b. W2K) Geschwindigkeit (z.b. Beta-Test -Effekt, Sicherheit-in- Version-2 -Effekt,... ) 2000 esecurity Technologies Rolf Oppliger Folie 18

Was bringt die Zukunft? 1/3 Bis vor wenigen Jahren ist die Informatiksicherheit (bzw. IT-Sicherheit) noch ein Fachgebiet gewesen, das mit Ausnahme von ein paar wenigen Forschungsinstituten (vorwiegend im militärischen Bereich) niemanden ernsthaft interessiert hat. Dieses Bild hat sich mit dem Aufkommen des Internet und World Wide Web (WWW), bzw. des elektronischen Handels (E-Commerce) und der elektronischen Geschäftsabwicklung (E-Business) im Internet grundlegend und nachhaltig geändert. 2000 esecurity Technologies Rolf Oppliger Folie 19 Was bringt die Zukunft? 2/3 Zum ersten Mal sind heute mögliche finanzielle Verluste und entsprechende Risiken durch nicht oder zu schlecht gesicherte Applikationen und Applikationsprogramme quantifizierbar. Entsprechende Medienberichte gleichen oft Berichten über Überfälle auf Banken und Geldtransporte im Wilden Westen. 2000 esecurity Technologies Rolf Oppliger Folie 20

Was bringt die Zukunft? 3/3 Die Sicherheit ist heute eine der grundlegenden Anforderungen (neben der Skalierbarkeit). Davon zeugen viele Konferenzen und Fachtagungen zu diesen Themen. Diese Tendenz wir sich - mit der zunehmenden Finanzrelevanz von entsprechenden Applikationen - in Zukunft noch verstärken. Entsprechend wichtig wird ein proaktiver Einsatz von präventiven Sicherheitstechnologien, sowie ein zusätzlicher Einsatz von detektiven und reaktiven Sicherheitstechnologien. 2000 esecurity Technologies Rolf Oppliger Folie 21 Fragen und Antworten 2000 esecurity Technologies Rolf Oppliger Folie 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback