Informationssicherheit für KMU FFHS Referat: Handout Martin Leuthold martin.leuthold@switch.ch Zürich, 1. Dezember 2016
Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun? 4 5 6 7 8 9 10 2
Ziele Diskussion der Lageentwicklung in der Informationssicherheit (Trends, Angreifergruppen, etc.) Was heisst das für Informationssicherheits-Management? Was sind die Herausforderungen für KMU? Was sollen KMU tun? 3
Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun? 4 5 6 7 8 9 10 4
Entwicklung Gefahren & Business Impact Wer? Was? Business impact? CxO Scam Bsp. Deutschland - Bundeswehr - Sicherheitsbehörde (2017: 60 à 400) IoT, OT MedTech FinTech Kunden, Kunden- Daten, Mitarbeitende, Lieferant, F&E- Partner, Finanzieller Schaden(direkt) Finanzieller Schaden (indirekt) Reputationsschaden Vertrauensverlust (Kunden) Vertrauensverlust (Partner) Non-Compliance Strafen & Verfahrenskosten Verlust Innovations-Vorsprung Verlust Wettbewerbsfähigkeit Manipulation IoT Komponenten Störung kritischer Infrastukturen Produktionsunterbruch Source: based on material from www.deloitte.com 5
Whiteboard / Flipchart: Was sind die Auswirkungen auf die Risikolandschaft? Gestern Heute Morgen (Event/y) 12.00 4.00 4 16 Ransomware, 1.00 0.33 0.20 7 10 3 9 12 6 8 1 5 15 13 2 18 DDoS auf E-Shop 19 APT auf IP CxO Fraud Fraudulent Transaction 14 17 20 Produktionsausfall bei Kunde 21 Zerstörung Produktionsanlage Rückruf Wearables 22 Sammelklage 23 0.00 0.01 0.10 1.00 5.00 10.00 50.00 (Mio CHF) 6
Fokusverschiebung im Information Security Management Organisiertes Verbrechen kritsche Angreifergruppe. Bleibende Aufgaben: Grundschutz Betrieb auf Branchen-Niveau. Kontinuierliches Awareness Programm. Zusätzliche Themen: Informationszentrischer Schutz der kritischen Informationen. Komfortable und sichere Lösungen ermöglichen. Neue Konzepte für IoT Angriffe schnell detektieren und sofort reagieren. Regional relevante, hochwertige Threat Intelligence. Zusammenarbeit: Bündelung der Kräfte Information Assets Criminals Source: Roger Halbheer (adaptiert). Terrorists 7
Gestern: Gestaffelte Verteidigung Morgen: Informationszentrischer Schutz Source: https://commons.wikimedia.org/wiki/file:neuf_brisach.jpg / Source: http://www.horus.biz/en/design-and-governance-of-collaborative-business-processes-in-industry-4-0/ 8
Benutzerfreundlich, bezahlbar, betreibbar, sicher sonst droht Schatten-IT 9
Neue Sicherheitskonzepte für IoT nötig? Beispiele Source: http://www.gewinde.ch/img/eichenberger-gewinde-medizinaltechnik800x0.jpg Source: http://s1.srfcdn.ch/images/auftritte/news/bilder/2015/12/17/node_8866160/103794880-3-ger-de/bild_s12.jpg Source: http://home.arcor.de/alepper/kamag2.jpg 10
Detektion, Incident Response, Threat Intelligence: Bsp SWITCH CERT SWITCH-CERT Swiss Universities NREN Financial Services E-Banking Security Registry.ch/.li Incident Handling (Analysis & Coordination) Network Security Monitoring Detection & Notification Forensik Critical Threat Alerting Malware Monitoring Malware Analysis Fraud Detection & Countermeasures DNSfirewall Service (Response Policy Zone) Domain Abuse Phishing & Malware Distribution Notice & Takedown DNS Operations TLD Authoritative NS Secondary NS DNSSEC Key Management Information Services (Security Reports, Security Blog, Security Awareness, CSIRT-Trainings) Community Services for Universities, Banks, Hoster Working Groups / Info Events FIRST TF-CSIRT Partner & Cooperation Network APWG ENISA Law Enforcement Cooperation Regulator Cooperation Swiss CSIRT Forum Swiss Internet Security Alliance 3 rd party Cooperations 11
Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun? 4 5 6 7 8 9 10 12
Fragen Welches sind die 10 wichtigsten Massnahmen, die Sie in Ihrem Unternehmen umsetzen um sich vor Angriffen aus dem Internet zu schützen? Quellen für KMU IT-Security Leitfäden (folgende 3 Slides) ISSS / Infosurance: https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/kmubetreiben/infrastruktur-und-it/fachgerechte-it-infrastruktur/itsicherheit.html MELANI / GovCERT.ch: https://www.melani.admin.ch/melani/de/home/dokumentation/ checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html Zentral: Information Risk Management aufbauen & Geschäftsleitung einbinden 13
Infosurance / ISSS: 10 Punkte für KMU: Grundschutz 1. Pflichtenheft für IT-Verantwortliche 2. Regelmässige Datensicherung mittels Backup (inkl. Offline-Kopie wegen Ransomware) 3. Aktuelles Antivirus-Programm 4. Internetzugang mit Firewall schützen 5. Alle Software aktuell halten 6. Starke Passwörter verwenden 7. Mobile Geräte schützen 8. IT-Benutzerrichtlinien bekannt machen (Awareness) 9. Umgebung der IT-Infrastruktur schützen 10. Dokumente und Datenträger ordnen 14
MELANI / GovCERT.ch: Organisatorische Massnahmen Regeln der IT- und IT-Sicherheits-Verantwortlichkeiten Regelmässige Schulung der Mitarbeitenden in IT und IT- Sicherheit (kontinuierliche Awareness-Massnahmen) Regeln der Zuständigkeiten mit dem/den IT-Dienstleister/n Informationssicherheits-Risikomanagement mit Einbezug der Geschäftsleitung (Review) Passwortpolicy und Umsetzung: Komplexität ist wichtig! Prozesssicherheit bei Zahlungsvorgängen (e-banking): Einschränkung der Funktionen auf das notwendige Minimum Mindestens 4-Augenprinzip & wenn möglich Verwendung verschiedener Verträge für Freigaben 15
MELANI / GovCERT.ch Technische Massnahmen Virenschutz auf jedem Computer Regelmässiges Backup aller Daten (offline; Überprüfung) Logdateien (wichtige Systeme/Applikationen) aufbewahren (mindesten 6 Mte) Least Privilege, Must Have Prinzip bei Zugriffsberechtigungen Netzwerk segmentieren Spamfilter verwenden Schädliche E-Mail-Anhänge & solche mit aktiven Inhalten (Makros) blockieren Personal Firewall auf dem Computer & zusätzliche Firewall am Internetzugang Starke Authentisierung bei Remote Zugängen (z.b. VPN) Passwort-Policy-Umsetzung technisch erzwingen Regelmässige, zeitnahe Softwareupdates (wenn möglich automatisch) Vorsicht bei Verwendung von Cloud-Diensten Verschlüsselung von Daten (mobile Geräte, Cloud) Webauftritt: Content Management System auf aktuellem Stand halten 16
Kontakt cert@switch.ch http://www.switch.ch/security/contact/ http://securityblog.switch.ch @switchcert Martin Leuthold, Head of Security / CISO E-Mail martin.leuthold@switch.ch Mobile +41 79 276 25 71 Business +41 58 268 15 61 17
Working for a better digital world