SIWECOS auf der sicheren Seite Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.
KMUs als Ziel Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden. Robert Mueller (Direktor des FBI, 2012) 04.10.17 2
KMUs als Ziel 04.10.17 3
KMUs als Ziel Viele Risiken lassen sich mit einfachen Mitteln mindern: Steigerung des Bewusstseins für Cyber-Bedrohungen IT-Sicherheit und Betreuung der IT-Infrastruktur zur Chefsache machen Bewusster Umgang mit persönlichen Daten Zeitnahe, im Idealfall automatisierte Sicherheits-Updates Fehlende und fortwährend Schulung und Sensibilisierung aller Mitarbeiter Sichere Zertifikate und Webserver-Verschlüsselung, Sicher konfigurierte Webserver und Webseiten 04.10.17 4
IT-Sicherheit in der Wirtschaft" Projekt im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" des BMWi (Sep 2016 Nov 2018) Initiative IT-Sicherheit in der Wirtschaft" Die Initiative lt-sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemein-sam mit IT- Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseins-bildung in der digitalen Wirtschaft beim Thema lt-sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre lt-sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar. Partner und Unterstützer 04.10.17 5
SIWECOS auf der sicheren Seite Projektdauer: September 2016 Oktober 2018 Projektpartner: eco e.v. & Ruhr Universität Bochum Unterstützer: CMS-Garden & Hackmanit Ziele: Langfristige Erhöhung der Webseitensicherheit bei kleinen und mittelständischen Unternehmen Hilfe für KMUs bei der Erkennung und Behebung von Sicherheitslücken auf ihren Webseiten Stärkung des Bewusstseins für die Relevanz von IT-Sicherheit bei KMUs Partner und Unterstützer 04.10.17 6
SIWECOS auf der sicheren Seite Kostenloser Webseiten-Scanner für KMUs und andere Webseitenbetreiber Registrierung über die Projekt-Webseite oder spezielle CMS-Plugins Täglicher Scan von bis zu 10 registrierten Webseiten pro Nutzer Benachrichtigung des Webseitenbetreibers bei kritischen Problemen SIWECOS Hoster-Service direkter Schutz vor Cyberangriffen beim Webhoster SIWECOS steht für Sichere Webseiten und Content Management Systeme Partner und Unterstützer 04.10.17 7
SIWECOS auf der sicheren Seite Einfache Erklärungen und Beschreibungen auch für nicht-techniker Signal-Anzeige für die unterschiedlichen Schwachstellen Zielgruppengerechte Handreichungen und Sicherheitsempfehlungen Umfangreiches SIWECOS WIKI Einfache Registrierung, Implementierung und Nutzung 04.10.17 8
Risiko Webseite Poodle: Schwachstelle in der SSLv3 Spezifikation Heartbleed: Gravierender Programmierfehler in OpenSSL SSL: Seit vielen Jahren unsicher und wird dennoch zu oft eingesetzt auch bei Unternehmen DROWN: Decrypting RSA with Obsolete and Weakened encryption 04.10.17 9
TLS-Scanner Der TLS-Scanner überprüft den Server ihrer Website auf schwache TLS Konfigurationen: - Zertifikats-Probleme - Alte Protokollversionen - Schwache Verschlüsselungsalgorithmen Der TLS-Scanner schützt Ihren Server von Lauschangriffen 04.10.17 10
DOMXSS-Scanner Automatisierte Schwachstellenerkennung im Falle von DOM Cross-Site Scripting (DOMXSS) Sind potentielle Verwundbarkeiten vorhanden Sollte eine Untersuchung von einem Fachexperten durchgeführt werden? Schadcodeausführung auch ohne eine Interaktion des Servers Schutzmechanismen wie Web Application Firewalls (WAF) sind oft wirkungslos 04.10.17 11
HTTP-Security-Header-Scanner Prüft Ihren HTTP Header auf unsichere Konfigurationen Prüft Ihre Privatsphäre-Einstellungen Prüft Ihren Clickjacking-Schutz Prüft den Cross-Site-Scripting Schutz im HTTP-Header Der HTTP-Security Header Scanner mildert u. a. Spoofing-Angriffe 04.10.17 12
Information-Leakage-Scanner Prüft die Privatsphäre-Einstellungen des Content Management Systems Prüft Ihre Webseite auf maschinell auslesbare E-Mail-Adressen Prüft Ihre Webseite maschinell auslesbare Versions-Angaben oder installierte Plugins Verhindert eine unbewusste Preisgabe Ihrer Daten im Internet an Dritte 04.10.17 13
Einfallstor Webseite 97% der Angriffe* erfolgen auf Sicherheitslücken bei weit verbreiteter Standardsoftware Standard-CMS werden auch von Unternehmen besonders häufig eingesetzt Die meisten Cyber-Angriffe erfolgen weiterhin gestreut, nicht gezielt *Cisco Security Report 2014 Quelle: h2p://www.webkalkulator.com/cmsvergleich Quelle: G Data Marktanteile CMS, März 2017 Viele Sicherheitsprobleme lassen sich mit schnellen Updates ausschließen Bei IT-Security spricht man eher von Stunden, als von Tagen oder Wochen 04.10.17 14
SIWECOS CMS-Plugin SIWECOS Nutzung und Anmeldung auch über CMS-Plugins möglich ohne die Webseite Einfache Implementierung und Nutzung als Add-On der CMS-Installation Aktuelle stehen SIWECOS Plugins für WordPress, Joomla und Contao bereit weitere folgen. 04.10.17 15
Der SIWECOS Hoster-Service Direkte Schnittstelle zu beteiligten Webhostern in Deutschland Aktive Kommunikation von Filter-Regeln zur Abwehr von Angriffen Serverseitiger Schutz von Angriffen auf die beim Webhoster installierte Webseiten bevor die Webseiten-Betreiber infiziert werden können. Ermöglicht den proaktiven Schutz von Millionen installierten CMS-Systemen, ohne dass der Webseiten-Betreiber selbst und sofort aktiv werden muss. Weitere Informationen und Kontakt: https://siwecos.de/service-fuer-webhoster/ hosterservice@siwecos.de Partner und Unterstützer 04.10.17 16
Der SIWECOS Hoster-Service Use Case Joomla Incident im Oktober 2016: Abwehr von 37.000 Attacken im Zeitraum 0-6 Uhr (= 148.000 Attacken am Tag) Die Bereinigung eines solchen Angriffs kostet etwa 150 (2,5 Stunden á 60 ), Wenn nur 1% der Angriffe erfolgreich gewesen wäre ergeben sich hier Einsparungen von 225000 für die betroffenen KMUs Das pro Tag bei diesem einen Hoster! Partner und Unterstützer 04.10.17 17
SIWECOS - Ausblick Integration der Initiative-S als zusätzlichen Scanner in SIWECOS Einsatz verbesserter Scanner-Technologie zur Erkennung von Exploits auf Webseiten, Migration der bestehenden Initiative-S Nutzer Bereitstellen eines SIWECOS Webseiten Siegels wie bereits bei der Initiative-S. Stetige Verbesserung der bestehenden SIWECOS Scanner Weitere CMS Plugins (Drupal, Typo3 usw.) Verfügbarkeit der CMS-Plugins direkt im Hosting-Paket SIWECOS Roadshows: Sensibilisierung von KMUs vor Ort in allen Regionen Deutschlands Kostenlose Weiterführung SIWECOS auch nach Förderende Ende Oktober 2018! Partner und Unterstützer 04.10.17 18
Kontakt: Peter Meyer, Projektleiter SIWECOS eco Verband der Internetwirtschaft e.v. https://www.eco.de info@siwecos.de h.ps://www.siwecos.de Lichtstraße 43h 50825 Köln Fon +49 (0) 221 7000 48-194 Fax +49 (0) 221 7000 48-111 peter.meyer@eco.de 04.10.17 19