Agenda Internet-Sicherheit: Quo vadis? Internet-Sicherheit: quo vadis? IT-Sicherheit auf einem Bierdeckel Die eco-umfrage "Internet-Sicherheit 2012" Veranstaltung: VDE Köln in der Pallas GmbH 22. März 2012 Das Boom-Thema "Mobile Device Security" Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH und Leiter Kompetenzgruppe Sicherheit im eco Verband Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de Agenda Internet-Sicherheit: quo vadis? IT-Sicherheit auf einem Bierdeckel Die eco-umfrage "Internet-Sicherheit 2012" Das Boom-Thema "Mobile Device Security" IT-Sicherheit ist ein komplexes Thema Die Grundschutz-Kataloge des BSI Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, die praktisch für jedes IT-System zu beachten sind. (Ausgabe 2011, Seite 13) Im Handbuch: 570 Gefährdungen 1.312 Maßnahmen 4.068 Seiten DIN A4...
Aus: secure-it.nrw INFODIENST 04/2005 für die Anwender Quo vadis? Frau Professorin Eckert ist Leiterin des Fachgebiets "Sicherheit in der Informatik" an der TU München und Leiterin der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit ("AISEC") Empfehlungen für die Weitere IT-Sicherheit Backup und Restore Einmal pro Woche (SOHO) - bis täglich (andere Unternehmen) Türen und Rechner abschließen Passwörter, Bildschirmschoner mit Passwort nach 10 Minuten Vertrauliches verschlüsseln Rechte Maust., Eigenschaften, Erweitert, Inhalt verschlüsseln Vertrauliches sicher löschen auf Download-Plattformen* nach "Sicheres Löschen" suchen Aufpassen nicht wahllos klicken und immer vorsichtig bleiben *) www.winload.de, www.zdnet.de, www.download-tipp.de, www.heise.de
Aufpassen: Das Sicherheits-Bewusstsein Aufpassen: Das Sicherheits-Bewusstsein Nicht aufgepasst, am falschen Ende gespart: Versteckte Unsicherheit! Empfehlungen für die Internet-Sicherheit Aufpassen! Vorschussbetrug (Nigeria Connection) Virenscanner einsetzen mindestens täglich aktualisiert Firewall einsetzen möglichst mehrstufig Spamfilter einsetzen gegen Effizienzverlust Nur neueste Programm-Versionen nutzen: Patchen Beispiel: Stadt Ennigerloh (2002) Schaden: 145.000 Fernzugriff: Authentifizierung und verschlüsselte Verbindung (siehe Mobile Device Security)
Spam: Gute Nachrichten 75 % zu 95 % Spam: Das ist Faktor 6,3! Pallas-Messungen: 5 Jahre Postfach-Spam Rustock Abschaltung Spam-Entwicklung in einem Spamsammler bei Pallas Weltweite Entwicklung Gesamt-Spam in % aller Emails nach Commtouch Patchen Nicht gepatcht: (Digitaler) Wurm im Krankenhaus
Was Pallas konkret macht: Beispiel EVK Managed Security Service für das Evangelische Krankenhaus Düsseldorf (EVK) Betrieb der IT-Sicherheitssysteme, 24x7-Systemüberwachung, Support Firewallservice verhindert unautorisierten Zugriff aus dem Internet Email-Virenschutz Email-Spamschutz Web-Virenschutz URL-Filter schützt vor gefährlichen Webseiten VPN-Verbindungen sichere Verbindungen über das Internet durch Verschlüsselung Starke Authentifizierung beim Zugriff auf sensible Daten Pallas Referenzen Managed Security Service, Security Consulting, Secure Hosting & Applications Kunden Engagement Leitung Kompetenzgruppe Sicherheit Mitglied I+K-Ausschuss Initiativen IT-Sicherheit Agenda Internet-Sicherheit: quo vadis? Eco-Umfrage Internet-Sicherheit 2012: Statistik 269 Teilnehmer (270 in 2010; 264 in 2009) IT-Sicherheit auf einem Bierdeckel Die eco-umfrage "Internet-Sicherheit 2012" Das Boom-Thema "Mobile Device Security"
Allgemeine Sicherheitsthemen Organisation: Wichtigkeit der Themen Wieder kaum verändertes Ergebnis (wie im Vorjahr) Dunkelgrün: Sehr wichtig Hellgrün: Wichtig Rot: Gar nicht wichtig Technik: Wichtigkeit der Themen Verseuchte Webserver (Q1/2011) zweitstärkste Entwicklung 2012 2011 Großer Rückfall Großer Sprung 2012 erstmalig dabei Dunkelgrün: Sehr wichtig Hellgrün: Wichtig Rot: Gar nicht wichtig Aus: Microsoft Security Intelligence Report, Vol. 11
Was tun? Cloud Security Agenda Nutzer Vertrag, SLA Kontrolle Portabilität Experte Überprüfung Zertifizierung Internet-Sicherheit: quo vadis? IT-Sicherheit auf einem Bierdeckel Die eco-umfrage "Internet-Sicherheit 2012" Das Boom-Thema "Mobile Device Security" Anbieter Sicherheitsmanagement Sicherheitsarchitektur Sicherheitsbetrieb Datenschutz Nach: BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Quo vadis IT: Bewegte Zeiten Ausgangssituation Mobile Devices Bring Your Own Device Business Unternehmen stehen vor der Herausforderung, unterschiedliche mobile Endgeräte mit verschiedenen Betriebssystemen in ihre Netzwerkinfrastruktur zu integrieren. Work-Life Integration Consumerization Clouds Mobil Devices Da schützenswerte Informationen das Firmennetz verlassen, sind Werkzeuge für die Administratoren notwendig, die die Datensicherheit der Endgeräte gewährleisten und ihre Verwaltung ermöglichen. Was den Markt treibt Social Media www.pallas.de
Was kann passieren? Starke Entwicklung! Smartphones/Pads haben eingebaute Sicherheit Verlust des Gerätewertes Dieb kann Zugangsdaten für Angriffe nutzen: WLAN, VPN, Mailkonto, Internet-Plattformen, Finanzdaten, Vertrauliche Daten auf dem Gerät gelangen in fremde Hände, private und berufliche Smartphone ruft teure, gebührenpflichtige Nummern an Smartphone wird Abhörwanze und Überwachungskamera Trojaner (und andere Malware) wachsende Bedeutung (Android paar Tausend gegen 70 Mio für PC) Von Haus aus bessere Backup-Möglichkeiten Meist "Sandboxes" für die Apps SW-Verteilung zentral kontrolliert: "Walled Garden" Apps aus der Ferne zu löschen: "Remote Kill-Switch" Keine Monokultur, deshalb besser gerüstet gegen Angriffe (D 02/2012: Apple ios 47 %, Android 39 % nach icrossing) ios und Android gründen beide in Unix-Varianten, sicherer als Windows (aber auch beschränkter) aber eben auch eingebaute Angriffsflächen Einbindung von Mobile Devices in die Unternehmensinfrastruktur Gateways Mobile Device Daten Anwendungen Kommunikation Wireless LAN Mobilfunk Bluetooth Firmen-Infrastruktur Mail-Server Gateways VPN-Device Schutz auf dem Gerät Ende-zu-Ende Verschlüsselung Sicherung Zugang Firmennetz Künftig große Bedeutung Sicherer Zugang, da kein direkter Zugriff auf (Exchange) Server Verschlüsselte Verbindung zwischen Endgerät und Gateway www.pallas.de
aber auch eingebaute Angriffsflächen Schutz auf dem Mobile Device Mobile Device Daten Anwendungen Kommunikation Wireless LAN Mobilfunk Bluetooth Firmen-Infrastruktur Mail-Server Gateways VPN-Device Schutz auf dem Gerät Ende-zu-Ende Verschlüsselung Sicherung Zugang Firmennetz Unbedingt Nie unbeaufsichtigt lassen Apps nur aus vertrauenswürdigen Quellen laden Updates machen Display-Sperre mit Kennwort (Zugangscode) Automatische Display-Abschaltung nach ein paar Minuten Geräteverschlüsselung Gerätelöschung nach 10 Falscheingaben des Kennworts Gegebenenfalls Management-Plattform mit zentral durchgesetzten Richtlinien Malware-Schutz (jedenfalls Android) Fernlöschungsoption Informationen zur Internet-Sicherheit Aktuelle Meldungen www.heise.de/security: Nachrichten im Web www.buerger-cert.de: Newsletter Sicher ist, dass nichts sicher ist. Selbst das nicht. Joachim Ringelnatz Allgemeine Informationen www.bsi.de, www.bsi-fuer-buerger.de www.sicher-im-netz.de Verschiedenes sicherheit.eco.de/dokumente (Dokumente eco Kompetenzgruppe Sicherheit) www.botfrei.de (Anti Botnetz Beratungszentrum, eco / BSI) www.heise.de/security/hilfe (Erste Hilfe vom Heise Verlag) www.kes.info (<kes> Die Zeitschrift für Informations-Sicherheit) www.av-test.org (z.b. Test von Malware-Schutz für Mobile Devices)
Dr. Kurt Brand Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de