Immer noch nicht sicher? Neue Strategien und Lösungen! Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Immer noch nicht sicher? Situation Wir entwickeln uns zur einer Internet-Gesellschaft (Informationsquelle, ecommerce, egovernment,, eassistenten,, Industrie 4.0, Internet der Dinge, ) Viele lokale Dienste werden an das Internet gebunden (intelligente Analysen Internetkonnektivität) Private- und Unternehmensdaten lagern immer häufiger im Internet (zentrale Speicherung Internetkonnektivität) Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)! Professionelle Hacker greifen alles erfolgreich an! Das Risiko wird immer großer, die Schäden auch! 2
Immer noch nicht sicher? Problemfelder Privatheit und Autonomie Kulturelle Unterschiede Geschäftsmodelle Bezahlen mit persönlichen Daten Staat (NSA, BND, ): Identifizieren von terroristischen Aktivitäten Nutzer: Autonomie im Sinne der Selbstbestimmung Wirtschaftsspionage 51 Milliarden Euro Schaden im Jahr Internet-Kriminalität; ca. 100 Mio. im Jahr (Online Banking, DDoS, ) Cyber War Umsetzung von politischen Zielen ( einfach und preiswert ) Angriffe auf Kritische Infrastrukturen (z.b. Stromversorgung, Wasserversorgung, ) 3
Immer noch nicht sicher? Die größten Herausforderungen IT Sicherheitsprobleme Manipulierte IT und IT Sicherheitstechnologie heute Snowden Neue Gefahren durch mobile Geräte Zeit 4
Immer noch nicht sicher? Evaluierung Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend! Es handelt sich um ein globales Problem! Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten. Immer noch nicht sicher? Nein! Wir brauchen neue Strategien und Lösungen in der IT und IT-Sicherheit, um das Risiko für unsere Gesellschaft auf ein angemessenes Maß zu reduzieren! 5
Neue Strategien und Lösungen Mehr Verschlüsselung statt offen Verschlüsselung für einen nachhaltigen Schutz der Daten (Kommunikation und Speicherung) IPSec (jedes 100. IP-Paket), SSL/TLS (jedes 3. IP-Paket) E-Mail-Verschlüsselung (jede 20. E-Mail),... Chat-Systeme (meist integriert) Festplatten-, Datei-Verschlüsselung, Voraussetzungen: Vertrauenswürdige Verschlüsselungstechnologie (Keine Backdoors, starke Zufallszahlen, korrekte Implementierung, ) Sehr leistungsstarke IT-Sicherheitsindustrie in D IT Security made in Germany Vertrauenswürdige IT-Sicherheitsinfrastruktur (PKI mit RA und CA; Root-Zertifikate, ) 6
Neue Strategien und Lösungen Mehr Vertrauenswürdigkeit statt Gleichgültigkeit Produkthaftung Software und Hardware arbeiten besser zusammen und Sicherheitsprobleme werden einfacher identifiziert und behoben. Evaluierung / Zertifizierung (BSI, ENISA, ISO 27001, eco, ) Unabhängige und qualifizierte Organisationen prüfen (verbessern) die Qualität und Vertrauenswürdigkeit von IT und IT Sicherheit in Produkten und Lösungen. IT-Security Made in Germany Qualitätssiegel für vertrauenswürdige IT-Sicherheitslösungen (Unternehmenshauptsitz in Deutschland, keine Backdoors, Datenschutz, ) 7
Neue Strategien und Lösungen Mehr proaktive statt reaktive IT-Sicherheit (1/2) Reaktive IT-Sicherheitssysteme Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher! Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren. Beispiele für reaktive Sicherheitssysteme sind: Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, Airbag-Methode Wenn s passiert, soll es weniger weh tun 8
Neue Strategien und Lösungen Mehr proaktive statt reaktive IT-Sicherheit (2/2) Proaktive Sicherheitssysteme Proaktive Sicherheitsmechanismen machen IT-Systeme robuster und vertrauenswürdiger. Hier spielen Sicherheitsplattformen auf der Basis von intelligenten kryptographischen Verfahren eine wichtige Rolle. ( Vertrauenswürdige Basis ) ESP-Strategie Verhindern, dass man überhaupt ins Schleudern kommt 9
Neue Strategien und Lösungen Vertrauenswürdige Basis Robustness/Modularity Isolation Trusted Process Integrity Control App Modularization Virtualization Trusted Plattform Trusted Computing Base App Policy Enforcement OS OS Security Kernel / Virtualization Hardware App Trusted Software Layer Security Management App OS Security Module Trusted Virtual Domains Trusted Interaction Remote Attestation, Binding, Sealing Trusted Boot 10
Proaktive IT-Sicherheitssysteme Vertrauenswürdige Basis: Konzept (1/5) 11
Proaktive IT-Sicherheitssysteme Vertrauenswürdige Basis: Konzept (2/5) Aufteilung in verschiedene virtuelle Maschinen ( unterschiedliche Aufgaben und Sicherheitsbedarfe 1 ) 12
Proaktive IT-Sicherheitssysteme Vertrauenswürdige Basis: Konzept (3/5) Aufteilung in verschiedene virtuelle Maschinen ( unterschiedliche Aufgaben und Sicherheitsbedarfe 2 ) 13
Proaktive IT-Sicherheitssysteme Vertrauenswürdige Basis: Konzept (4/5) Wichtige Daten werden besonders in separaten, isolierten virtuellen Maschinen geschützt 14
Proaktive IT-Sicherheitssysteme Vertrauenswürdige Basis: Konzept (5/5) Security Policies und ein Enforcement System sorgen für mehr Sicherheit und Vertrauenswürdigkeit 15
Neue Strategien und Lösungen Mehr Objekt- statt Perimeter-Sicherheit (1/3) Perimeter-Sicherheit (Abschottung Netz ) Abwehrmodell: Schützt eine Anzahl von Computern und Netzwerken mit der Hilfe von Firewall-Systemen, VPNs, Intrusion Detection, usw. Annahme: Die Computer und das Netz sind fest installiert. Bewertung: Die moderne Geschäftswelt nutzt flexible und verteilte mobile Geräte. Perimeter-Sicherheit kann uns nicht, wie in der Vergangenheit, schützen. 16
Neue Strategien und Lösungen Mehr Objekt- statt Perimeter-Sicherheit (2/3) Objekt-Sicherheit (Informationsflusskontrolle) Idee: Domänenorientierte Objektsicherheit, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher IT-Umgebung wie nutzen darf. Object Lifecycle Protection Distributed Policy Enforcement (even on foreigen systems) Kontrolle Erzeugung Vernichtung Verarbeitung 17
Neue Strategien und Lösungen Mehr Zusammenarbeit statt Separation Ungleichgewicht bei Angreifern und Verteidigern im Internet Zusammenarbeit hilft das Ungleichgewicht zu überwinden. Gemeinsame Kompetenzzentren Austausch von Lagebildern Gemeinsame Reaktionen auf Angriffe und Bedrohungen Definition von notwendigen IT-Sicherheitsmechanismen 18
Neue Strategien und Lösungen! Zusammenfassung Immer noch nicht sicher? Die Angriffsmodelle innovieren und Angreifer werden professioneller. Wir kennen die IT-Sicherheitsprobleme, aber heutige IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend! Wir brauchen neue Strategien und Lösungen in der IT-Sicherheit, um in der Zukunft das Internet sicherer und vertrauenswürdiger nutzen zu können! Mehr Verschlüsselung (statt offen) Mehr Vertrauenswürdigkeit (statt Gleichgültigkeit) Mehr proaktive IT-Sicherheit (statt aktive IT-Sicherheit) Mehr Objekt-Sicherheit (statt Perimeter-Sicherheit) Mehr Zusammenarbeit (statt Separation) 19
Immer noch nicht sicher? Neue Strategien und Lösungen! Jetzt geht s los Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de