advertisement

Sicherheitsgipfel - Chancen und Risiken der IT

50 %
50 %
advertisement
Information about Sicherheitsgipfel - Chancen und Risiken der IT

Published on June 17, 2013

Author: FraunhoferAISEC

Source: slideshare.net

Description

Beitrag von Frau Prof. Eckert unter dem Titel "Chancen und Risiken der IT" zum Sicherheitsgipfel der Deutschen Wirtschaft am 15. März 2013
advertisement

Chancen und Risiken der ITClaudia EckertFraunhofer AISECTU MünchenSicherheitsgipfel der Deutschen Wirtschaft, 15.3.20131

1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung

IKT ist Schlüsseltechnologie füralle BranchenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance

Zukunft: Vernetzte Menschen, und Objekte Mobiles Internet: jederzeit, von überall Neue Kommunikationsformen: soziale NetzeIKT ist Innovationstreiber• Gesundheit: z.B. personalisierte Medizin• Mobilität: z.B. Auto• Maschinenbau: z.B. ProduktionIKT als Chance

Sicherheit durch IKT-EinsatzKoordinieren, Steuern, ÜberwachenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance

1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung

IKT benötigt SicherheitSicherheitsbedrohungen Daten sind ein schützenswertes Gut:Manipulationsschutz, Datenvertraulichkeit, Privatsphäre … Daten steuern sicherheitskritische Abläufe/Prozesse:Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...

 Unsichere Software? Schwache Zugangscodes? Mobile Endgeräte? Faktor Mensch? Fehlende Sicherheitsvorgaben? Verletzliche Hardware? Cloud-Computing?Top-Bedrohungen?

Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)Angriffe aus Distanz und geringes Entdeckungsrisiko Jedes 4. Unternehmen war in 2011/12 Opfer vonCyber-AngriffenVeränderungen in der Täterstruktur: vom hochspezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseTatwaffe Internet ist permanent verfügbarGroße Gewinne sind erzielbarSchäden weltweit in 2012: 290 Mrd EuroBedrohungslageDer weltweit durchCyberkriminalitätverursachte Schadenbeträgt rund290 Mrd. €.Damit ist das Geschäft mitden Daten profitabler alsder globale Handel mitMarihuana, Kokain undHeroin zusammen.

Einfallstore für zunehmende Cyber-Attacken Zugangsdaten, Passworte Mobile Endgeräte, …. Manipulierte Hardware Faktor Mensch Unsichere Software:Mail-ServerBedrohungslage

1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: ProblembereichePassworte, Faktor Mensch, Mobile Endgeräte1. Sicherheit braucht Forschung2. Take Home MessageGliederung

 90% der erfolgreichen Angriffe 2012 durch schwacheoder mehrfache verwendete Passwörter: 1 Passwort füralles! 61 % der verwendeten Passwörter bestehen oder sindabgeleitet von Namen, Städten, Wörtern und Zahlen Vorgegebene Passworte werden notiert Nutzung Sozialer Netze Viele Daten über einzelne Nutzer verfügbar:Vorlieben, Geburtsdaten, Namen, …. Automatisiertes Sammeln dieser Daten unddamit automatisiertes PasswortCrackerProblem: Zugangsdaten, Passworte

Technisch und organisatorisch: Passwort ergänzen durch zusätzlichen Mechanismus 2-Faktor-Identitätsprüfung: Zusätzliche Sicherheitscodes eingeben Zusätzliches Token mit PIN-Code Passwort-Richtlinien: festlegen, prüfen, Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-Grundschutzleitfaden des Bundesamts für Sicherheit in der IT(BSI)Passworte: Empfehlungen

Mangelndes Bewusstsein, Bequemlichkeit Wer interessiert sich denn schon für mich?Einfallstor: Zugriff auf Unternehmensdaten Lokale Kopien sensitiver Daten: ungeschützt!Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe über die Behörde,Geschäftsabläufe, Kunden in Sozialen NetzeSicherheitsvorgaben veraltet, unvollständig, unwirksam, ….Problem: Faktor Mensch

Einheitliche Sicherheitsvorgabe: Festlegen und kontrollieren! Sicherheitskonzept mit abgestimmtenMaßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlSchulungen: Zielgruppenspezifisch: Leitungsebene wird häufig gezieltattackiert, targeted attack Mitarbeiter-Background beachtenFaktor Mensch: Empfehlungen

Milieus, Sinus-Studie 2011

Verlust / Diebstahl des Gerätes: Alle gespeicherten Daten in Händen Dritter E-Mails, Kontakte, SMS, DokumenteUnbemerkte Manipulation: Versenden gespeicherten Daten an Angreifer Mithören von Umgebungsgesprächen, TelefonatenNiedriges Schutzniveau : Angriffssoftware im Internet frei verfügbar Einfache Infektion des Zielobjektes über bösartige AppsProblem: Mobile Endgeräte

Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungMobile Endgeräte

Organisatorisch: Regelungen zum Gebrauch von mobilen Geräten Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung BYOD: dienstlichen Nutzung von privaten Geräten festlegenTechnisch: Gerätekonfiguration u.a. Benutzeridentifizierung: SIM/PIN, Gerätepasswort Speicherverschlüsselung, eMail-Verschlüsselung Fernwartung: MDM, RemoteWipe etc. VPNMobile Endgeräte: Empfehlungen

1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung

Sichere IKT brauchtinnovative LösungenSicherheit braucht Forschung

Beispiel: Sensorik (Steuereinheiten) im Auto Viele vernetzte Steuereinheiten GSM-Modul: FerndiagnoseSoftware-Updates Problem: fehlende KontrollenManipulieren, Betriebssicherheit störenHerausforderungen: Manipulationsresistente Hardware Sichere Komponenten-IdentifikationProblem: Unsichere Sensorik, Komponenten

Lösungsansätze:• Angriffs-resistente(re) Architekturen• Z.B. Gegen so genannte Seitenkanalangriffe• Verschleiern von Verhaltens-Charakteristika• Energie-sparende Verschlüsselung• Entwicklung robuster• Hardware-Sicherheitschipsz.B. im FahrzeugForschung:Sichere Eingebettete Komponenten

ProblemNachbau von High-Tech KomponenteLösungSecure Element als Hardwareanker für FirmwareAuthentifizierung zwischen Firmware und HardwareSoftware Obfuskation für FirmwareForschung: Konkrete LösungenBeispiel Produktschutz

Beispiel: Web-Anwendungen Problem: ProgrammierungEinschleusen von Viren, Trojanern Problem: mangelhafte KontrollenIdentitätsdiebstahl, DatenzugriffeHerausforderungen: Zuverlässige Abschottungen (Kaskadeneffekte) Selbst-Überwachung (Aufbau eines ‘Immunsystems’) Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )Problem: Unsichere Software

Lösungsansätze:• Isolierung von kritischen Anwendungen• Monitor-Komponente:• Erkennt Manipulationen• Erkennt Einbruchsversuche• Leitet Abwehrmaßnahmen ein• Sichere Ein-/Ausgabe• u.a. kein PhishingForschung:Sichere Software-Architekturenz.B. L4Linuxmit Android Patchesz.B. AndroidPlattformHypervisor mit VMI MonitorHardware, z.B. HSM, Multi-Corez.B. AppsSicheresBetriebssystem

Sicherheitslösung für Mobile EndgeräteTrust | me (http://ais.ec/trustme) Einrichtung verschiedener isolierterUmgebungen für den privaten undgeschäftlichen Bereich Einfacher Wechsel zwischen denUmgebungen Vertrauliche Daten bleiben vor demZugriff Dritter geschützt. Sicherheitsrelevante Daten wie PINs undPasswörter werden verschlüsselt in zBeiner MicroSD-Karte abgelegt.Forschung: Konkrete LösungenBeispiel: Trust | me

Sicherheitscheck für Android-AppsForschung: Konkrete LösungenBeispiel: AppRay

1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung

IKT ist InnovationsmotorEnergie, Mobilität, Gesundheit, ProduktionIKT ist verletzlichVerletzlichkeit der Nutzer, der GesellschaftIKT benötigt IT-SicherheitJeder kann beitragen: Zugangsdaten, Sensibilisierung,Gezielte Maßnahmen mit großen Effekten!Take Home MessageSicherheit benötigt ForschungSichere Hardware, Sichere Software-Architekturen, Analysen

Bitte beachtenSinnvolle Integration, überprüfte Wirksamkeit

Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

Add a comment