Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an? 53. ITS Techno-Apéro, 20.6.2016 Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW School of Engineering 1
Inhalt und Ziele Inhalt Grundlagen: Ziele der Informationssicherheit, Angreifertypen und Schutzbedürftigkeit Einige Beispiele von Attacken und Gegenmassnahmen Wie sichern Sie Ihr Unternehmen? Kosten für Informationssicherheit und erfolgter Cyberattacken Ziele Sie erkennen, dass praktisch jede Firma / jedes IT-System eine gewisse Schutzbedürftigkeit hat Sie verstehen, dass Informationssicherheit ein sehr vielschichtiges Thema ist sowohl bezüglich Angriffen als auch Gegenmassnahmen Sie sehen aber auch, dass man mit einer strukturierten Herangehensweise das Problem «in den Griff» kriegen und die Risiken reduzieren kann 2
Ziele der Informationssicherheit Bei der Informationssicherheit geht es immer um folgende drei übergeordneten Ziele: Verfügbarkeit Daten und Systeme müssen verfügbar sein, wenn sie benötigt werden Bsp: Die Website einer Auktionsplattform muss 24/7 benutzbar sein Integrität Daten und Systeme müssen vor unberechtigter Modifikation geschützt werden Bsp: Nur der Administrator einer Webapplikation darf eine neue Version der Applikation installieren Vertraulichkeit Sensitive Daten müssen vor unberechtigtem Lesezugriff geschützt werden Bsp: Ein Benutzer in einem e-shop darf nur seine eigene Bestellhistory anschauen 3
Verschiedene Angreifertypen Source: ENISA Threat Landscape Report, 2015 4
Schutzbedürftigkeit E-Banking Applikation einer Grossbank Erwartete Angreifer: Organisierte Cyber Criminals, Mitarbeiter Schutzbedürftigkeit: Integrität +++ Vertraulichkeit/Verfügbarkeit ++ Website einer politischen Partei Erwartete Angreifer: Script Kiddies, Hacktivists Schutzbedürftigkeit: Integrität/Verfügbarkeit + Vertraulichkeit 0 Dokumentenmanagementsystem eines KMU Erwartete Angreifer: Konkurrenten, Mitarbeiter Schutzbedürftigkeit: Vertraulichkeit/Integrität/Verfügbarkeit +/++ => Praktisch jedes IT-System hat eine gewisse Schutzbedürftigkeit => Abhängig vom Wert des Ziels und den erwarteten Angreifertypen 5
Attacken Externer Angreifer Ziel: Zugriff auf Dokumente Mobile Mitarbeiter Daheim, bei Kunden,... Mitarbeiternetz Internet Servernetz mit Dokumentenmanagementsystem (DMS) 6
Social Engineering Phishing Ziel des Angreifers: Benutzername und Passwort von Mitarbeitern zu erhalten, um auf das DMS zuzugreifen Nicht personalisiert 7
Social Engineering Spear Phishing Beim direkten Angriff auf Mitarbeiter einer Firma wird heute Spear Phishing verwendet Angreifer informiert sich zuerst über die Organisation der Firma E-Mail sieht «echt» aus Wird nur an ausgewählte interne Mitarbeiter gesendet Hohe Erfolgswahrscheinlichkeit Gegenmassnahmen: Kaum direkte technische Lösungen Ausbildung / Awareness der Benutzer Phishing-resistente Authentisierungsverfahren 01 Z4GH 06 IKDX 02 67TS 07 9PL7 03 UR2A 08 NFLB 04 TIQV 09 K91D 05 3Z5P 10 HA85 8
Malware / Ausnutzen von Schwachstellen Ziel des Angreifers: Kompromittieren von PCs / Servern, um auf Dokumente zuzugreifen Variante 1: Direkte Attacke auf DMS Schwachstelle im exponierten Webserver oder in der Webapplikation finden Ausnutzen der Schwachstelle und dadurch Zugriff auf Dokumente Symantec Threat Report 2016 Variante 2: Indirekte Attacke über Mitarbeiter PCs PC eines Mitarbeiters kompromittieren Z.B. mittels präpariertem E-Mail Attachment Erlaubt Zugriff auf DMS mit Rechten des Benutzers Malware kann sich zudem intern auf weitere Systeme ausbreiten Ziel: direkter Zugriff auf DMS 9
Malware / Ausnutzen von Schwachstellen Einmal installierte Malware verhält sich unauffällig Ziel des Angreifers: Möglichst lange auf sensitive Dokumente zugreifen können Detektion primär durch Nebeneffekte der Malware Suchen von internen Angriffszielen (Scanning) Upload von Dokumenten an Server des Angreifers M-Trends 2015: Threat report Gegenmassnahmen: Ausbildung / Awareness der Benutzer (E-Mail Attachments) Malware Scanner (Anti-Virus) Systeme up-to-date halten (Patching) Sichere Softwareentwicklung Monitoring von Log Files und Netzwerkdaten Penetration Tests... 10
Diebstahl mobiler Geräte Ziel des Angreifers: Diebstahl eines Geräts eines mobilen Mitarbeiters, um auf Dokumente auf dem Gerät zuzugreifen Laptop, Smartphone, USB Stick,... Ohne spezielle Schutzmassnahmen kann der Angreifer folgendes tun: Laptop: Lesen aller Daten auf der Festplatte USB Stick: Lesen aller Daten auf dem Stick Smartphones: Zugriff auf alle Daten, wenn keine Bildschirmsperre verwendet wird Lookout: Phone Theft in America Report 2014 Gegenmassnahmen: Regeln für Umgang mit mobilen Geräten Full-Harddisk Encryption USB Sticks mit Support für Verschlüsselung 11
Wie sichern Sie Ihr Unternehmen? Orientieren Sie sich an Standards und Best Practices IT-Grundschutz-Standards des BSI ISO/IEC 2700x Reihe: Information Security Management Diverse NIST Standards Community Standards, z.b. OWASP Merkblatt IT-Sicherheit für KMUs (MELANI) Zentrale Punkte auf dem Weg zu einer guten Strategie: Verantwortlichkeiten / Zuständigkeiten festlegen Chief Information Security Officer (CISO) Inventarisierung, Klassifizierung von Systemen und Daten Die heikelsten Daten / Systeme definieren Ihr Schutzbedürfnis 12
Wie sichern Sie Ihr Unternehmen? Durchführung einer Risikoanalyse Unter Berücksichtigung realistischer Angreifertypen Definieren von technischen und organisatorischen Massnahmen, um die Risiken auf ein akzeptables Niveau zu reduzieren Regelmässige Überprüfung der Massnahmen Audits, Penetration Tests, Backup Recovery,... Kein einmaliger, sondern ein kontinuierlicher Prozess Sowohl IT-Landschaft des Unternehmens als auch Angriffstechniken ändern sich 13
Kosten für Informationssicherheit Sehr abhängig von der Art des Unternehmens Interne/externe IT-Services, Attraktivität des Angriffsziels,... Absolute Zahlen machen wenig Sinn, prozentualer Anteil des IT-Budgets hat sich als sinnvolles Mass erwiesen Heute: Im Durchschnitt wird etwa 6 8% des gesamten IT-Budgets für Informationssicherheit ausgegeben Genügt das? Gartner sagt (2015): Weltweite Ausgaben für Informationssicherheit: 75 Mia. USD Weltweite Kosten durch Cyberattacken: 315 Mia. USD Genügt scheinbar nicht ganz... 14
Kosten von erfolgten Cyberattacken Durchschnittliche Kosten pro Vorfall gem. Studie Kaspersky Lab (USD): Beinhaltet: Aufwand für Analyse/Behebung, Umsatzverlust, PR Kosten für Behebung Reputationsschaden,... Rangliste der Ursachen: Damage Control: The Cost of Security Breaches, 2015, Kaspersky Lab 15
Zusammenfassung Übergeordnete Ziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit Es gibt ganz unterschiedliche Angreifertypen, die sich bezüglich Motivation, Skills und Ressourcen unterscheiden Je nach Szenario sind unterschiedliche Angreifertypen zu erwarten und entsprechend unterschiedlich ist die Schutzbedürftigkeit Die Attacken auf Systeme und Daten sind vielfältig Entsprechend umfassend müssen die Abwehrmassnahmen sein Bei der Implementierung einer Informationssicherheitsstrategie sollte man sich an bestehenden Standards und Guidelines orientieren Wieviel soll man investieren? Knapp 10% des IT-Budgets sinnvoll... 16