Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs Veranstaltung: Pallas Security Break fast 26.09.2017 Referent: Ulrich Gärtner Leiter Vertrieb Pallas GmbH Verwendete Quellen: Dell SonicWALL, Pallas-interne Tools Pallas GmbH Hermülheimer Straße 8a 50321 Brühl Zünslerweg 13 44269 Dortmund information(at)pallas.de http://www.pallas.de
Kurzagenda Einblick in die aktuelle Bedrohungslage Dauerhaft sicher Wenn ja wie?
Einblick in die aktuelle Bedrohungslage Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de
IT-Sicherheit TrendMicro: 59% der deutschen IT-Entscheider erklärten, innerhalb der letzten 12 Monate einen schweren Cyber-Angriff erlitten zu haben. TrendMico, Befragung von 301 IT-Entscheidern in Deutschland (2017) VDI: 100 Milliarden Euro Schaden durch Wirtschaftsspionage in D pro Jahr http://www.faz.net/aktuell/wirtschaft/wirtschaftsspionage-ingenieursverband-100-milliarden-euro-schaden-12782369.html Center for Strategic and International Studies: In keinem Land ist der durch Cyberkriminalität verursachte, wirtschaftliche Schaden - gemessen an der Wirtschaftsleistung - größer als in D http://csis.org/files/attachments/140609_rp_economic_impact_cybercrime_report.pdf Eine Umfrage der eco Kompetenzgruppe Sicherheit
Die Lage der IT-Sicherheit: Expertenantworten 50% Bedrohungslage stark wachsend 40% 30% 20% 10% 2010 2011 2012 2013 2014 2015 65% 60% Sicherheitsausgaben (stark) steigend 70% Auslagerung von Sicherheitsthemen (stark) steigend 55% 50% 45% 40% 2010 2011 2012 2013 2014 2015 60% 50% 40% 30% 20% 2010 2011 2012 2013 2014 2015
Verseuchung von Webservern Q1 2013 Malware Distribution Sites Microsoft Security Intelligence Report, Volume 15: Q1-Q2 2013
Web-Anwendung Aufbau & Soll-Zustand
Web-Anwendung SQL Injection
BadUSB Quelle Bild: http://www.techinsurance.com/blog/data-breach/usb-malware-reminds-us-all-to-stay-paranoid/
BadUSB Wie es funktioniert Quelle Bild: Security Research Labs https://srlabs.de/blog/wp-content/uploads/2014/11/srlabs-badusb-pacsec-v2.pdf
BadUSB Was passieren wird Einstecken des USB-Sticks User soll mal eben etwas für einen Besucher des GF ausdrucken Gefundener USB-Stick Im Vordergrund ist der USB-Stick ein Speicher-Stick Im Hintergrund simuliert der USB-Stick eine Tastatur Per Tastatur-Simulation wird ein Trojaner heruntergeladen und gestartet Trojaner wird nicht durch aktuellen Anti-Virus-Schutz erkannt Trojaner baut Verbindung zum Angreifer auf Angreifer hat volle Remote-Kontrolle über PC des Opfers
Dauerhaft sicher Wenn ja wie? Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information(at)pallas.de http://www.pallas.de
Die tägliche Herausforderung Fakten Systeme mit Internet Kontakt: Ständige Angriffe Sicherheit ist "Running Target": Immer neue Bedrohungen Durchsuchung des IPv4 Internet nach Ports: 45min Administratoren arbeiten uneinheitlich Administratoren machen menschliche Fehler Die Vielzahl von Systemen erschwert die Verwaltung Das Management will Bedrohungen ausschließen Eine ständige Überprüfung auf neue Risiken ist also erforderlich!
IT-Sicherheit: Ein zu komplexes Thema? Die Grundschutz-Kataloge des BSI Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, die praktisch für jedes IT-System zu beachten sind. (Ausgabe 2008, Seite 16) Im Handbuch: 482 Gefährdungen 1.148 Maßnahmen 3.914 Seiten DIN A4...
Wie weit ist Ihr Unternehmen? Wirken geht vor schützen? Bewusstsein schaffen ohne Waffen? Die Leitung hat kein Bewusstsein? Die Mitarbeiter ziehen nicht mit?
Ganzheitliche Sicherheitspolitik Eine schriftlich oder gar in einem Formalismus spezifizierte Sicherheitspolitik existiert für viele (Mittelständische) Organisationen gar nicht Oft sind auch die organisatorischen Regeln, aus denen eine Sicherheitspolitik hervorgehen kann nicht an einer Stelle zentral festgehalten Manche dieser Regeln bilden sich im laufenden Betrieb inoffiziell heraus und werden nirgends schriftlich dokumentiert Menschen sehen Sicherheit als Hemmschuh und sind nicht aware! Stellung des CISOs (Chief Information Security Officer) im Unternehmen zwischen Geschäftsführung und IT nicht abgesichert und nicht akzeptiert
Erfolgreiche Umsetzung Commitment der Unternehmensführung zu IT-Sicherheit Verständnis: IT-Sicherheit stellt den Erfolg sicher Bereitschaft der Mitarbeiter aktivieren Awareness-Schulungen Neutrale Instanz (z.b. CISO, DSB) als Anlaufstelle Aufforderung eigenes Erleben einzubringen und positive Reaktion auf gemeldete Sicherheitsvorfälle Comitment der Mitarbeiter aktiv regelmäßig einfordern, z.b. jährliche Unterzeichnung IT-SiRL
Was ist IT-Sicherheit? Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen Sicherheit muss man schaffen! Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen Sicherheit muss aufrecht erhalten werden! Sicherheit ist ein Prozess!
IT-Sicherheitsprozess (1/2) Bildquelle: DWD
IT-Sicherheitsprozess (2/2) Bildquelle: DWD
IT-Dienstleistung aus Sicht eines Kunden IT-Sicherheit muss: einfach (Usability) dauerhaft (Prozess) bezahlbar (as a Service) skalierbar (Cloud) sein
Wir machen IT-Sicherheit einfach
Gerne beantworte ich Ihre Fragen Ulrich Gärtner, Leiter Vertrieb Pallas GmbH Hermülheimer Straße 8a 50321 Brühl 02232-1896-0 ulrich.gaertner (at) pallas.com http://www.pallas.de