Vortrag: Gefahren und Risiken im Unternehmensnetzwerk Hacker, Online Betrüger und andere Gefahren 31.03.2011 und 6.4.2011
Vorstellung 8com GmbH & Co. KG Götz Schartner Geschäftsführer Penetrationstester Aufgaben IT-Sicherheitsanalysen IT-Sicherheitsforschung IT-Security Awareness Vorträge 2
Inhalte 3
LIVE-Demo LIVE-Demo! Wer von Ihnen hat ein Handy dabei?... oder besser einen Blackberry! 4
LIVE-Demo Handy & Co. Firmware Updates i.d.r. kostenfrei auf Herstellerwebseite) installieren Bluetooth ausschalten oder unsichtbar MMS von unbekannten Absendern nicht öffnen Vertraulichkeit kein GSM sondern UMTS Handy, kein Smartphone verwenden 5
Digitale Kriminalität Digitale Kriminalität Presseberichte Schadensfälle in Deutschland Opfer & Täter 6
Digitale Kriminalität Google Inc. gehackt Januar 2010 chinesische Hacker überwinden die Schutzfunktionen von Google Verursacher war eine Sicherheitslücke im Internet Explorer! 7
... Die Schweizer waren's! Credit Suisse 12.04.2011 Februar 2010 Der Bundesregierung werden gestohlene Daten von 1500 Steuerhinterziehern angeboten! 8
... eine E-Mail war s Emissionshandel Februar 2010 "Hochprofessioneller Angriff Betrüger haben in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Deutschen Emissionshandelsstelle (DEHSt) in Potsdam vorgetäuscht. Darin habe es geheißen, zur Abwehr drohender Hackerangriffe müssten sich die Empfänger neu registrieren. Anschließend hätten die Täter Emissionsrechte auf Konten vor allem in Dänemark und Großbritannien übertragen. Von dort seien sie rasch weiterverkauft worden. 9 "Der Angriff war hochprofessionell", sagte ein DEHSt-Mitarbeiter dem Blatt.
... jetzt wird s professionell Stuxnet Trojaner August 2010 Datendiebstahl und Manipulation Ein neuartiger professionell programmierter Trojaner befiel gezielt Siemens Steuerungs-anlagen, spähte Daten aus und leitete diese weiter. Ziel: Siemens Simatic WinCC und PCS 7 Industrial Automation Software Weiteres: Das BSI hat den Trojaner analysiert und über 25.000 Funktionen entdeckt. Was diese Funktionen bewirken, ist noch nicht bekannt! 10
Digitale Kriminalität Lebensmittelhersteller 11
Lebensmittelhersteller Das Unternehmen Lebensmittelhersteller Standorte einige Mitarbeiter über 2500 Prüfauftrag nach Unstimmigkeiten bei B2B Online Portal 12
Lebensmittelhersteller Problem Prüfung einer externen Revisionsgesellschaft deckte folgendes auf: bei einzelnen Online Bestellungen eines kleineren Großhandelskunden im B2B-Portal des Lebensmittelherstellers stimmten die Bestellpreise nicht Abweichungen von bis zu 15.000,-- pro Bestellung wurden aufgedeckt Der Großhändler hatte eine Möglichkeit gefunden, verdeckte Manipulation in der Preisdatenbank vorzunehmen (SQL-Injection) 13
Lebensmittelhersteller finanzieller Schaden geschätzt seitens der Unternehmensführung etwas über 200.000,-- durch manipulierte Bestellungen 14
Digitale Kriminalität Sondermaschinenbau 15
Maschinenbau Frühjahr 2008: Prüfauftrag Mittelstandunternehmen (250 Mitarbeiter) Kunde hat eine vernünftige Basissicherheit Firewall Antivirus Software Updates werden regelmäßig eingespielt Benutzer haben i.d.r. keine Admin- oder Hauptbenutzerberechtigungen private Benutzung der EDV ist vertraglich verboten 16
Maschinenbau... Fortsetzung: bei einer Netzwerkdatenanalyse fielen 2 IP-Adressen auf, an die ungewöhnliche Daten gesendet worden sind Ziel waren 2 Server in China, Absender waren 3 interne Notebooks des Kunden nach dem Schließen von Dokumenten wurde von den Notebooks eine HTTPS-Verbindung zu den 2 Servern aufgebaut die gespeicherten Dokumente wurden übertragen 17
Maschinenbau... Fortsetzung: ein Notebook-Benutzer war geschäftlich in Hongkong und hatte nach seinem Aufenthalt ein Video über ein stilvolles chinesisches Abendessen per E-Mail zugesandt bekommen das Video hatte er sich dann angesehen und dann an 2 Kollegen weitergeleitet in dem Video war ein Trojanisches Pferd versteckt, welches sich nur mit Benutzerrechten auf dem Computer installierte. vertrauliche Daten wurden an damit Wettbewerber gesendet
Maschinenbau... Fortsetzung: erste Angebote des chinesischen Wettbewerbers sind bei Kunden eingetroffen Ingenieure unseres Kunden sind sicher, dass die Angebote zu 100% auf den gestohlenen Daten basieren geschätzter finanzieller Schaden (Geschäftsleitung) 2008: 5 bis 10 Millionen 19
Digitale Kriminalität mittelständisches Produktionsunternehmen 20
Produktionsunternehmen Das Unternehmen Produktionsunternehmen Standorte 1x Baden-Württemberg Mitarbeiter 100 21
Produktionsunternehmen Problem Umsatzanteil in der russischen Föderation rund 30% ab 2008 Umsatzrückgang aus der RF auf 2% bei einer Überprüfung stellten wir Spionageprogramme fest alle Angebote und Ausschreibungen des Unternehmens wurden nach Russland übertragen Seit Entdeckung werden wieder normale Umsätze erzielt! 22
Digitale Kriminalität Steuerberater 23
Steuerberater Das Unternehmen Steuerberater Standorte 1x Hessen Mitarbeiter 15 Prüfauftrag nach Erpressung (März 2008) 24
Steuerberater Problem Trojaner auf 12 PCs alle Tastatureingaben alle E-Mails Screenshots alle Office Dokumente wurden an eine IP in Russland übertragen E-Mail mit Androhung der Datenveröffentlichung erreichte die Kanzlei im März 2008 Forderung 100.000,-- Euro Zahlung auf ein Konto in Argentinien 25
Prüfungsstatistik 2009 Erpressung / Datendiebstahl 2008 professionelle Spionage oder Manipulationssoftware 2007 destruktive Schadsoftware 2006 Audits "Privatwirtschaft" 0 50 100 150 200 250 26
Evolution der Digitalen Kriminalität hochlukrativ Die Durchführung solcher Straftaten sind leider technisch sehr einfach Die Kriminellen müssen nicht Vor- Ort sein, also keine klassische Präsenzkriminalität In den seltensten Fällen wird eine Strafverfolgung eingeleitet Organisierte Kriminalität Die Kriminellen sind keine langhaarigen bekifften pizzaessenden Jugendlichen, sondern werden heute der Organisierten Kriminalität zugerechnet auch große Drogenkartelle steigen sukzessive in diese Branche ein! Diese Form der Kriminalität wird extrem wachsen! 27
... wie schützen Sie Ihr Unternehmen? Schutz 28
oder das Versagen einer Antivirus Software AV-Schutz 29
oder das Versagen einer Antivirus Software www.eicar.com www.virustotal.com
Live Hacking 31
seriöse Webseiten LIVE Hacking 1. einfache Wörterbuchattacken VPN-Zugänge SMB-Shares
seriöse Webseiten LIVE Hacking 1. Drive-By Infection Haftungsrisiken
E-Mail 37
E-Mail LIVE Hacking E-Mails 1. Mitlesen von fremden E-Mails 2. Versenden von E-Mails in anderen Namen 3. Achtung: E-Mail Anlagen 38
Inhalte 39
Datenschutz 40
Datenschutz Wenn Sie eine der folgenden Fragen mit JA beantworten, sollten Sie sich mit dem Thema Datenschutz dringend beschäftigen: 1. Erfassen, speichern und verarbeiten Sie Daten von Personen, deren Inhalt mehr als Name und Anschrift aussagen? 2. Sind diese Daten sensibel (z.b. Gesundheitsdaten, Finanzen..)? 3. Haben in Ihrem Hause mehr als 9 Personen (inkl. GF, Minijobs und externe Kräfte) Zugriff auf personenbezogene Daten? 4. Übermitteln Sie personenbezogene Daten an Dritte?
Jugendschutz Sie sind verpflichtet, im Unternehmen den Jugendschutz auch für das Internet zu gewährleisten! 1. Können Minderjährige in Ihrem Unternehmen im Internet surfen? 2. Haben Sie ausreichende Schutzmaßnahmen ergriffen, um den Zugriff von Minderjährigen auf z.b. pornographische Webseiten zu unterbinden?
Schutzmaßnahmen 43
Die 10 Gebote der Internetsicherheit Tipps und Tricks Finden Sie im Handout! 10 Gebote der Internetsicherheit 10 Gebote der Netzwerksicherheit
Schutzmaßnahmen ENDE
... in kurzer Zeit, habe ich Ihnen viele Informationen übermittelt! Gerne stehe ich Ihnen auch nach dem Vortrag persönlich für Fragen zur Verfügung! Sollten Sie keine Zeit haben, freue ich mich auch über einen Kontakt per Telefon oder per E-Mail!
KONTAKT Sparkasse Neuwied - Electronic Banking Hermannstr.20 56564 Neuwied Telefon 02631/8064928 Fax 02631/8064929 ebanking@sparkasse-neuwied.de www.sparkasse-neuwied.de 47