Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an?

Ähnliche Dokumente
CYBER TELEKOM DR. MARKUS SCHMALL

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Hendrik Pilz Director Technical Lab / Mobile Security hpilz@av-test.de. Mobile Security - Eine Marktübersicht

Wie Unternehmen 2014 kompromittiert werden

Compass Security AG [The ICT-Security Experts]

IBM Security Systems: Intelligente Sicherheit für die Cloud

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Live Hacking auf eine Citrix Umgebung

Cnlab / CSI Demo Smart-Phone: Ein tragbares Risiko?

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Wie steht es um die Sicherheit in Software?

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Internet Datasafe Sicherheitstechnische Herausforderungen

MySQL Security. DOAG 2013 Datenbank. 14. Mai 2013, Düsseldorf. Oli Sennhauser

IT Best Practice Rules

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Information Security Management

Advanced Persistent Threat

Schutz vor Cyber-Angriffen Wunsch oder Realität?

Anatomie eines Cyberspionage Angriffs

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

SCHUTZ VON SERVERN, ARBEITSPLATZRECHNERN UND ENDGERÄTEN ENDPOINT SECURITY NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Avira Professional / Server Security. Date

CYBER T-Systems. RSA Security Summit, München, 12. Mai 2014 Michael Uebel michael.uebel@t-systems.com

Reale Angriffsszenarien - Überblick

am Beispiel - SQL Injection

2. Automotive SupplierS Day. Security

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

Einführung in die IT Landschaft an der ZHAW

SOCIAL ENGINEERING AWARENESS CYBER TECHNICAL CONSULTING PHISHING-ANGRIFFE STRIKEFORCE UND GEGENMASSNAHMEN GLOBAL CYBERSECURITY

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Häufigste Security-Lücken

Complete User Protection

IT-SECURITY. Detect. Act. Protect.

Einführung in die IT Landschaft an der ZHAW

Internetkriminalität

IT-Security Portfolio

Aktuelle Probleme der IT Sicherheit

IT-SICHERHEIT UND MOBILE SECURITY

Penetrationtests: Praxisnahe IT-Sicherheit

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Breaking Your SAP in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben

Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit

Big Data im Bereich Information Security

Urs Iten Siemens, Global Portfolio Management - Data Centers. siemens.com/datacenters Unrestricted Siemens AG All rights reserved

Sicherheit wird messbar Lösungsansätze und Methoden. Case. 15. September 2009, Hotel St. Gotthard, Zürich

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

mobile Geschäftsanwendungen

Risiko-Management für IT-Unternehmen

Data At Rest Protection. Disk- und Fileverschlüsselung. 22. Mai 2008

Zusammenfassung IT SEC + MAN

Aktuelle Bedrohungslage

Ein Vortrag von Marko Rogge. Hacking Security Journalismus

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Cyber-Sicherheits-Exposition

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Sichere PCs und Laptops

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Aktuelle Sicherheitsprobleme im Internet

Sicherheit und Datenschutz in der Cloud

Identity Theft Der richtige Schutz vor Identitätsdiebstahl

Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager ekobliska@symantec.com

Die neue KASPERSKY ENDPOINT SECURITY FOR BUSINESS

APTs in der Praxis. 5. Mai 2015 Ulrich Bayer, SBA Research

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Ist meine WebSite noch sicher?

was ist ein backup? Unter Backup ist eine Rücksicherung der Daten zu verstehen.

Web Application Security Wir sind bestens vor Angriffen gesichert, wir haben eine Firewall!

1. Geschäftsführung einbinden

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt

Security IBM Corporation

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Denken wie ein Hacker

Penetrationtests: Praxisnahe IT-Sicherheit

Schon mal gehackt worden? Und wenn nein woher wissen Sie das?

Penetrationstests mit Metasploit

Moderner Schutz gegen aktuelle Bedrohungen

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Fraud Prevention for Endpoints.

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Mobile Security. Astaro 2011 MR Datentechnik 1

Risikoanalyse mit der OCTAVE-Methode

und proaktive IT-Sicherheit

Eigenleben und Sicherheit von Kennwörtern. Infotag,

Bring Your Own Device

am Beispiel - SQL Injection

Transkript:

Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an? 53. ITS Techno-Apéro, 20.6.2016 Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW School of Engineering 1

Inhalt und Ziele Inhalt Grundlagen: Ziele der Informationssicherheit, Angreifertypen und Schutzbedürftigkeit Einige Beispiele von Attacken und Gegenmassnahmen Wie sichern Sie Ihr Unternehmen? Kosten für Informationssicherheit und erfolgter Cyberattacken Ziele Sie erkennen, dass praktisch jede Firma / jedes IT-System eine gewisse Schutzbedürftigkeit hat Sie verstehen, dass Informationssicherheit ein sehr vielschichtiges Thema ist sowohl bezüglich Angriffen als auch Gegenmassnahmen Sie sehen aber auch, dass man mit einer strukturierten Herangehensweise das Problem «in den Griff» kriegen und die Risiken reduzieren kann 2

Ziele der Informationssicherheit Bei der Informationssicherheit geht es immer um folgende drei übergeordneten Ziele: Verfügbarkeit Daten und Systeme müssen verfügbar sein, wenn sie benötigt werden Bsp: Die Website einer Auktionsplattform muss 24/7 benutzbar sein Integrität Daten und Systeme müssen vor unberechtigter Modifikation geschützt werden Bsp: Nur der Administrator einer Webapplikation darf eine neue Version der Applikation installieren Vertraulichkeit Sensitive Daten müssen vor unberechtigtem Lesezugriff geschützt werden Bsp: Ein Benutzer in einem e-shop darf nur seine eigene Bestellhistory anschauen 3

Verschiedene Angreifertypen Source: ENISA Threat Landscape Report, 2015 4

Schutzbedürftigkeit E-Banking Applikation einer Grossbank Erwartete Angreifer: Organisierte Cyber Criminals, Mitarbeiter Schutzbedürftigkeit: Integrität +++ Vertraulichkeit/Verfügbarkeit ++ Website einer politischen Partei Erwartete Angreifer: Script Kiddies, Hacktivists Schutzbedürftigkeit: Integrität/Verfügbarkeit + Vertraulichkeit 0 Dokumentenmanagementsystem eines KMU Erwartete Angreifer: Konkurrenten, Mitarbeiter Schutzbedürftigkeit: Vertraulichkeit/Integrität/Verfügbarkeit +/++ => Praktisch jedes IT-System hat eine gewisse Schutzbedürftigkeit => Abhängig vom Wert des Ziels und den erwarteten Angreifertypen 5

Attacken Externer Angreifer Ziel: Zugriff auf Dokumente Mobile Mitarbeiter Daheim, bei Kunden,... Mitarbeiternetz Internet Servernetz mit Dokumentenmanagementsystem (DMS) 6

Social Engineering Phishing Ziel des Angreifers: Benutzername und Passwort von Mitarbeitern zu erhalten, um auf das DMS zuzugreifen Nicht personalisiert 7

Social Engineering Spear Phishing Beim direkten Angriff auf Mitarbeiter einer Firma wird heute Spear Phishing verwendet Angreifer informiert sich zuerst über die Organisation der Firma E-Mail sieht «echt» aus Wird nur an ausgewählte interne Mitarbeiter gesendet Hohe Erfolgswahrscheinlichkeit Gegenmassnahmen: Kaum direkte technische Lösungen Ausbildung / Awareness der Benutzer Phishing-resistente Authentisierungsverfahren 01 Z4GH 06 IKDX 02 67TS 07 9PL7 03 UR2A 08 NFLB 04 TIQV 09 K91D 05 3Z5P 10 HA85 8

Malware / Ausnutzen von Schwachstellen Ziel des Angreifers: Kompromittieren von PCs / Servern, um auf Dokumente zuzugreifen Variante 1: Direkte Attacke auf DMS Schwachstelle im exponierten Webserver oder in der Webapplikation finden Ausnutzen der Schwachstelle und dadurch Zugriff auf Dokumente Symantec Threat Report 2016 Variante 2: Indirekte Attacke über Mitarbeiter PCs PC eines Mitarbeiters kompromittieren Z.B. mittels präpariertem E-Mail Attachment Erlaubt Zugriff auf DMS mit Rechten des Benutzers Malware kann sich zudem intern auf weitere Systeme ausbreiten Ziel: direkter Zugriff auf DMS 9

Malware / Ausnutzen von Schwachstellen Einmal installierte Malware verhält sich unauffällig Ziel des Angreifers: Möglichst lange auf sensitive Dokumente zugreifen können Detektion primär durch Nebeneffekte der Malware Suchen von internen Angriffszielen (Scanning) Upload von Dokumenten an Server des Angreifers M-Trends 2015: Threat report Gegenmassnahmen: Ausbildung / Awareness der Benutzer (E-Mail Attachments) Malware Scanner (Anti-Virus) Systeme up-to-date halten (Patching) Sichere Softwareentwicklung Monitoring von Log Files und Netzwerkdaten Penetration Tests... 10

Diebstahl mobiler Geräte Ziel des Angreifers: Diebstahl eines Geräts eines mobilen Mitarbeiters, um auf Dokumente auf dem Gerät zuzugreifen Laptop, Smartphone, USB Stick,... Ohne spezielle Schutzmassnahmen kann der Angreifer folgendes tun: Laptop: Lesen aller Daten auf der Festplatte USB Stick: Lesen aller Daten auf dem Stick Smartphones: Zugriff auf alle Daten, wenn keine Bildschirmsperre verwendet wird Lookout: Phone Theft in America Report 2014 Gegenmassnahmen: Regeln für Umgang mit mobilen Geräten Full-Harddisk Encryption USB Sticks mit Support für Verschlüsselung 11

Wie sichern Sie Ihr Unternehmen? Orientieren Sie sich an Standards und Best Practices IT-Grundschutz-Standards des BSI ISO/IEC 2700x Reihe: Information Security Management Diverse NIST Standards Community Standards, z.b. OWASP Merkblatt IT-Sicherheit für KMUs (MELANI) Zentrale Punkte auf dem Weg zu einer guten Strategie: Verantwortlichkeiten / Zuständigkeiten festlegen Chief Information Security Officer (CISO) Inventarisierung, Klassifizierung von Systemen und Daten Die heikelsten Daten / Systeme definieren Ihr Schutzbedürfnis 12

Wie sichern Sie Ihr Unternehmen? Durchführung einer Risikoanalyse Unter Berücksichtigung realistischer Angreifertypen Definieren von technischen und organisatorischen Massnahmen, um die Risiken auf ein akzeptables Niveau zu reduzieren Regelmässige Überprüfung der Massnahmen Audits, Penetration Tests, Backup Recovery,... Kein einmaliger, sondern ein kontinuierlicher Prozess Sowohl IT-Landschaft des Unternehmens als auch Angriffstechniken ändern sich 13

Kosten für Informationssicherheit Sehr abhängig von der Art des Unternehmens Interne/externe IT-Services, Attraktivität des Angriffsziels,... Absolute Zahlen machen wenig Sinn, prozentualer Anteil des IT-Budgets hat sich als sinnvolles Mass erwiesen Heute: Im Durchschnitt wird etwa 6 8% des gesamten IT-Budgets für Informationssicherheit ausgegeben Genügt das? Gartner sagt (2015): Weltweite Ausgaben für Informationssicherheit: 75 Mia. USD Weltweite Kosten durch Cyberattacken: 315 Mia. USD Genügt scheinbar nicht ganz... 14

Kosten von erfolgten Cyberattacken Durchschnittliche Kosten pro Vorfall gem. Studie Kaspersky Lab (USD): Beinhaltet: Aufwand für Analyse/Behebung, Umsatzverlust, PR Kosten für Behebung Reputationsschaden,... Rangliste der Ursachen: Damage Control: The Cost of Security Breaches, 2015, Kaspersky Lab 15

Zusammenfassung Übergeordnete Ziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit Es gibt ganz unterschiedliche Angreifertypen, die sich bezüglich Motivation, Skills und Ressourcen unterscheiden Je nach Szenario sind unterschiedliche Angreifertypen zu erwarten und entsprechend unterschiedlich ist die Schutzbedürftigkeit Die Attacken auf Systeme und Daten sind vielfältig Entsprechend umfassend müssen die Abwehrmassnahmen sein Bei der Implementierung einer Informationssicherheitsstrategie sollte man sich an bestehenden Standards und Guidelines orientieren Wieviel soll man investieren? Knapp 10% des IT-Budgets sinnvoll... 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback