Ihre Sicherheit unsere Mission
Ihre Sicherheit unsere Mission Hat Snowden die IT-Welt verändert? Cyber Security blockierende Faktoren und Lösungen Dipl.-Inform. Ramon Mörl Geschäftsführer itwatch itwatch GmbH München 2000-2012 2000-2013 2
Kurzvorstellung Ramon Mörl 25 Jahre Erfahrung als Berater in der IT-Sicherheit Leitende Tätigkeiten in Projekten für Firmen wie HP, IBM, Siemens, ICL und Bull in Belgien, Deutschland, Frankreich, Italien, Österreich, Schweiz und USA Als unabhängiger Evaluator und Berater der Europäischen Union vor allem im Bereich der ECMA und ISO-Standards für die IT-Sicherheit tätig Seit 2002 Geschäftsführer der itwatch GmbH 3
Rückblick: Vor 2 Jahren Task Force IT-Security gegründet durch ehem. Bundesminister für Wirtschaft und Technologie Rainer Brüderle: wir müssen anfangen Erfolgreiche Angriffe auf internationalen Elektronik-Konzern (mehrfach), internationale SSL-Zertifikate, deutsche Behörden 4
Grenzen der organisatorischen Umsetzung Was der Anwender nicht sieht oder weiß davor kann er nicht schützen 5
Vor einem Jahr Ich kann auf meiner Seite machen, was ich will. 6
Wir sitzen alle in einem Boot Ich kann auf meiner Seite machen, was ich will. Wer nicht Teil der Lösung ist, der ist Teil des Problems. 7
Rückblick: Im vergangenen Jahr Flächendeckender Rollout der Premium Edition der itwatch Enterprise Security Suite im Zielbetrieb HERKULES auf 140.000 Clients durch die BWI wird begonnen Aktuell positiv beendet Workshop auf der it-sa 2012: Skalierbares Schnittstellenmanagement für Herkules APC 8
Rückblick: Im vergangenen Jahr Flächendeckender Rollout der Premium Edition der itwatch Enterprise Security Suite im Zielbetrieb HERKULES auf 140.000 Clients durch die BWI wird begonnen Nutzen Aktuell Sie positiv den Workshop beendet Innere Sicherheit mit praktischen Projektberichten Workshop auf der und it-sa der 2012: Vernetzung Skalierbares mit Schnittstellen- itwatch-kunden im Rahmen management der it-sa für am Herkules APC 10. und 11. Oktober in Nürnberg 9
Die Erfahrungen aus 10 Jahren BW Die Erfahrungen aus 10 Jahren und ca 20 Projekten bei der Bundeswehr und vielen weiteren Kunden: Für die komplexen Themen der IT-Sicherheit benötigt man: Ein gutes Produkt Einen Hersteller als Partner, der das Produkt in den nächsten Jahren immer auf dem Stand der Technik hält Zuhören kann und die Herausforderungen löst Anwender/Kunden, die echte IT-Sicherheit umsetzen wollen 10
Was ist echte Sicherheit? Ein sicheres Auto hat: Sicherheitsgurte Mehrere Airbags Rückspiegel ABS Licht Trotzdem fühlt man sich in diesem Auto in dieser Situation nicht sicher! 11
Was ist echte Sicherheit? Nur weil man an irgendeiner Stelle ein Passwort eintippen muss ist ein System noch nicht sicher Eine Verschlüsselung alleine ist noch nicht sicher Wo liegen die Schlüssel wer hat Zugriff wer erzeugt die Schlüssel Den vollständigen Artikel finden Sie unter http://www.itwatch.de/download/transparent.pdf 12
Und heute? Patriot Act Wirtschaftsspionage Follow the Money Eingebaute Schwachstellen in Krypto-Software Tracfin NSA Snowden PRISM Edgehill Bullrun GCHQ Erfassen von Verbindungsdaten Verwaltungsvereinbarung Entschlüsselung der Netz- Kommunikation XKeyscore Tempora PRISM Swift- Druckerverkehr der Banken ausgelesen 13
Den Bock zum Gärtner machen NSA sammelt riesige Datenmengen zum Wohle der Nation Programm PRISM bzw. Upstream Kommunikation: E-Mails, Telefonate Personenbezogene Daten: Bankdaten, Patientenakten Nachrichten aus sozialen Netzwerken Lieferant der Daten: Große amerikanische Internet-Dienste (Microsoft, Apple, Yahoo, Google, Facebook, Twitter) Quelle: Süddeutsche Zeitung, 12.06.2013 14
Den Bock zum Gärtner machen Rechtliche Grundlage zum Datensammeln in den USA: Patriot Act Zugriff auf Daten zum Schutz vor terroristischen Anschlägen Großer Spielraum für amerikanische Behörden Problematik für europäische Institutionen und Unternehmen europäische und deutsche Grundrechte greifen nicht Keine globale Grundrechtecharta zum Schutz personenbezogener Daten Eingebaute Hintertüren Quelle: Handelsblatt, 11.06.2013 Technologie deutscher und europäischer Anbieter ist bei Cloud-Speicherung und vertraulicher Kommunikation sicherer Datenschutzniveau auf EU- Ebene und höher 15
Den Bock zum Gärtner machen Vorsicht beim Einsatz von Diensten großer amerikanischer Anbieter Problematik Verschlüsselung: Verschlüsselung muss sicher sein Angebote durch beispielsweise SAP, Microsoft oder Oracle gewähren diese meist nicht durchgehend Problematik Cloud-Dienste: Wo werden die Daten gespeichert? Welche Rechtsordnung verwendet der Anbieter? Quelle: Handelsblatt, 11.06.2013 16
Viviane Reding im Interview Viviane Reding, Vizepräsidentin der Europäischen Kommission und Kommissarin für das Ressort Justiz, Grundrechte und Bürgerschaft: der Patriot Act erlaubt denen alles zu machen Die EU-Kommissarin sieht im Kampf gegen Spähprogramm nur eine rein kontinentale Lösung Quelle der Zitate: Süddeutschem Zeitung, 07./08.09.2013 17
Mitlesen verschlüsselter Daten Geheimdienste lesen auch verschlüsselte Daten mit Quelle: Süddeutsche Zeitung, 07.09.2013 18
NSA spionierte bei Vereinten Nationen Quelle: NSA spionierte auch bei den Vereinten Nationen, Süddeutsche Zeitung, 26.08.2013 Chinesischer Geheimdienst hat ebenfalls spioniert Yahoo gibt zu Geld für Anpassung der eigenen Technologie an PRISM erhalten zu haben NSA gibt für solche Anpassungen viele Millionen aus. 19
UK: Im Sinne des Economic Well-Being Im Sinne des economic well-being Wirtschaftsspionage? Quelle: Zeit online, 14.08.2013, URL: http://www.zeit.de/digital/datenschutz/2013-08/gchq-ueberwachung-nsa Aus SZ vom 29.8.13 "Giganten der Schattenwelt... und betreiben vielleicht sogar Wirtschaftsspionage" "...Seit dem Amtsantritt des Außenministers William Hague 2010 taucht in den Power-Point-Präsentationen des Geheimdienstes der Punkt "economic-well-being" auf. Das lässt sich auch mit Wirtschaftsspionage übersetzen." 20
USA Economic Well-Being Die Welt 24.9.2013 : Brasiliens Präsidentin [Fr. Rousseff Anm.] spricht vor der UN-Versammlung wohl vor allem über die NSA Falls sich die Fakten in dem Artikel bestätigen wird offensichtlich, "...dass das Motiv für diese Spionage nicht Sicherheit oder der Kampf gegen den Terrorismus ist, sondern wirtschaftliches und strategisches Interesse." 21
Den Bock zum Gärtner machen Amerikanische Unternehmen unterstützen den US-Geheimdienst Ausnutzung noch nicht geschlossener Software- Schwachstellen [ ] Einbau versteckter Funktionen in die Software amerikanischer Anbieter Wer liest mit? Datenlieferanten Microsoft McAfee Quelle: Süddeutsche.de, 14.06.2013, URL: http://sz.de/1.1697261 22
Ein Maß für alle? Im Fall von Facebook und Google stehen die angebotenen Services meist ohne Bezahlung zur Verfügung und finanzieren sich über Werbung und die Weitergabe der Daten ganz ohne Nachrichtendienste. Apple und Microsoft bieten Ihre Betriebssysteme, Produkte und weiteren Lösungen nicht kostenfrei zur Nutzung an. Der Kunde gibt sein Geld für Themen aus, bei denen er sich darüber im Klaren ist, dass er potentiell Zusatzlösungen benötigt, da der Fokus auf Stabilität, Komfort etc. liegt. Insbesondere im professionellen Umfeld muss zusätzlich in die IT- Sicherheit investiert werden. Völlig anders ist die Situation bei IT-Sicherheitsprodukten. Der Kunde kauft diese Produkte nur zu dem Zweck die Schwachstellen in seinen IT- Systemen zu schließen. Insbesondere bei Verschlüsselung-, DLP- und Labelling-Lösungen gibt der Kunde dem Produkt, welches er erworben hat, explizit alle vertraulichen Daten preis und erwartet den Schutz dieser liegt damit aber teilweise falsch. 23
Ein Maß für alle? Es ist falsch Facebook, Yahoo, Google, Microsoft und McAfee mit dem gleichen Maß zu messen Bereits in der Watergate Affäre war einer der besten Tipps zum Verständnis der Zusammenhänge: Folge dem Geld! Kostenfreie Services sind anders zu bewerten als Sicherheitsprodukte, die man bezahlt hat und deren Auftrag der Schutz der Daten und nicht deren Weitergabe ist. 24
Gründung von CODE Auf der Gründungsveranstaltung des CODE sagt ein MdB: es geht um die Souveränität 2013 wurde an der Universität der Bundeswehr München das Forschungszentrum CODE (Cyper Operations Defence) gegründet. Das Forschungszentrum vereint fakultätsübergreifend Experten aus unterschiedlichen wissenschaftlichen Disziplinen und integriert Fachleute aus Wirtschaft und staatlichen Einrichtungen. CODE verfolgt das Ziel, innovative technische Neuerungen und Konzepte zum Schutz von Daten, Software und Systemen, unter Beachtung gesetzlicher und betriebswirtschaftlicher Rahmenbedingungen, ganzheitlich, integrativ und interdisziplinär zu verwirklichen. von unseren Beamten würde ich mir wünschen dass sie IT-Sicherheitslösungen national einkaufen von ihren Vorgesetzten, dass sie dieses Verhalten gut heißen und fördern 25
Cyber Security im roten Rathaus Auf der Cyber Security Veranstaltung im roten Rathaus in Berlin sagt ein MdB: wenn ich mir etwas wünschen dürfte: IT-Sicherheitsprodukte vorrangig aus nationaler Herstellung beschaffen Auf die Frage aus dem Publikum nach der Beschaffung Beamte tun das was man ihnen sagt Aus der Beschaffung wird gemeldet, dass die Beschaffung von IT-Sicherheitsprodukten nach vielen unterschiedlichen Kriterien insbesondere wenn (auch nur in kleinen Teilen) VS betroffen ist national besetzt werden sollte Warum passiert es dann nicht? 26
Wegschauen Oft tut auch hilft nicht! der Unrecht, der nichts tut! Marc Aurel vertraulich Datenleck Kreditkarten Top Secret 27
Die Problematik Man weiß nie, wo sich Angreifer verstecken! 28
Der Status Quo itwatch hat bereits seit 2003 Projektfreigaben für Installationen bis GEHEIM (Verschlusssache), NATO restricted itwatch Produkte erfüllen die Mindeststandards des BSI seit 2011 Seit 2011 können alle Berechtigten über das Kaufhaus des Bundes die Produkte und Dienstleistungen der itwatch direkt beziehen itwatch hat ein Standardprodukt mit mehreren Millionen Clients aktiv allein innerhalb der Bundesbehörden über 300.000 Clients Der Austausch von (Teilen von) Policies wird unterstützt 29
Partner von itwatch Microsoft und itwatch arbeiten Hand in Hand - Gemeinsam stellen die Unternehmen das sichere Windows 8 Tablet vor v.l.n.r.: Ramon Mörl (Geschäftsführer itwatch GmbH, München) und Michael Kranawetter (Head of Information Security, Chief Security Advisor Germany, Microsoft Deutschland GmbH, Unterschleißheim) Vom BMWI gefördert: Gemeinsames Forschungsprojekt von itwatch und WIBU Systems Zusammen mit T-Systems und weiteren Herstellern hat itwatch das hardwareunabhängige durch das BSI VS-NfD-zugelassene Notebook und Tablet entwickelt. 30
itwatch unterstützt aktiv 31
Die itwatch Enterprise Security Suite DeviceWatch Gerätekontrolle ApplicationWatch Applikationskontrolle XRayWatch Dateien, Inhalte blockieren und auditieren PDWatch Verschlüsselung Mobil, lokal und zentral CDWatch Medienbasierter Schutz DEvCon Event Console & Echtzeit Monitor ReCApps Virtuelle Schleuse dataex Sicher löschen und formatieren PrintWatch Druckkontrolle mit Beweissicherung AwareWatch Sicherheitsawareness in Echtzeit ReplicationWatch Sichere Datenreplikation Alle Module - ein einziger Agent! 32
Wer nutzt das schon? Bundespolizei, BKA, Polizei Bayern, Sachsen, Thüringen, Ministerien für Verteidigung (seit 2003) Innen Außen Wirtschaft Justiz Forschung Verkehr Landwirtschaft und Forsten Städtebau DVZ Bundeswehr (160.000 Lizenzen in ca. 20 Einzelprojekten) Verfassungsschutz Nachrichtendienst Rentenversicherung Rechnungshöfe Landratsämter, Kommunen und Städte (Stuttgart, Augsburg ) Energieversorger und Kernkraftwerke Allianz AG (120.000 Lizenzen) 33
Besuchen Sie uns! Weitere Vorträge von itwatch auf der it-sa: Snowdens Enthüllungen und die Auswirkungen auf Cyber Sicherheit und KMU am Donnerstag, den 10.10.2013 ab 10.50 Uhr im NCC West, Raum Zürich im Rahmen des IHK-IT-Sicherheitsforums für kleine und mittlere Unternehmen: Verschlüsselung in der Praxis 34
Vielen Dank Besten für Dank Ihre Aufmerksamkeit für Ihre Aufmerksamkeit! Besuchen Sie itwatch in Halle 12, Stand 301! ct 1/2003 35