Cyber-Praxisansatz - Prof. Dr. Norbert Pohlmann -

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Cyber-Praxisansatz

 IT-Sicherheitsstrategie

Kooperation:

 ASW Bundesverband

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit NRW 4.0

 Gesellschaftliche Sichtweisen

Wirtschaftsspionage

Faktor Mensch

Cyberwar

Privatheit / Autonomie

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit

 Die größten Herausforderungen

3

Unzureichende Softwarequalität

(0,5 Fehler auf 1.000 LoC..)

Manipulierte IT und IT

Sicherheitstechnologie

(Zufallszahlen, Backdoors, …)

Ungenügender Schutz

vor Malware

(nur 45 % Erkennung)

Unsichere Webserver

(2,5 % verteilen Schadsoftware)

Internet-Nutzer sind

nicht sensibilisiert genug

(24 % „klicken“ Spam-Mails)

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit Deutschland

 Besondere Stärken und Möglichkeiten

Sehr hohe Kompetenz im Bereich des Datenschutzes



Erfahrungen mit dem Schutz der Privatsphäre

Sehr hohes Vertrauen im Bereich der IT-Sicherheit



mittelstandsgeprägte IT-Sicherheitsindustrie



umfangreiche und kompetente IT-Sicherheitsforschung



hohe Kompetenz bei IT-Sicherheitsevaluierungen (BSI, „TÜVs“, …)



offene Kryptopolitik

Kulturell gute Voraussetzungen



traditionell verlässliche IT-Sicherheit



hohes Verständnis für IT-Sicherheit und Datenschutz

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

5

Technologieanalyse IT-Sicherheit in DE

Bedeutung für die

Zukunft

Technologischer

Vorsprung in DE

Marktstärke der dt.

Unternehmen

Abstand zwischen

Soll- und

Ist-Zustand (Δ)

S

ICHERE

A

NBINDUNG MOBILER

U

SER

/ T

ELEARBEITER

L

AYER

3-VPN

L

AYER

2-E

NCRYPTION

D

ATENDIODE

F

IREWALL

IPS/IDS

S

ICHERER

B

ROWSER

/R

E

C

O

BS

V

IRTUELLE

S

CHLEUSE

A

UTHENTIFIKATION

S

ICHERE

A

NBINDUNG ZWISCHEN

A

NBIETER UND

A

NWENDER

H

ARDWARE

-S

ICHERHEITSMODUL

(HSM)

P

UBLIC

-K

EY

-I

NFRASTRUKTUR

(PKI)

AV

UND

P

ERSONAL

F

IREWALL

E

XPLOIT

P

ROTECTION

/

S

ICHERER

B

ROWSER

D

EVICE UND

P

ORTKONTROLLE

F

ULL

D

ISK

E

NCRYPTION

F

ILE

& F

OLDER

E

NCRYPTION

V

OLL

-V

IRTUALISIERUNG

/ T

RUSTED

C

OMPUTING

,

S

EPERATION

D

ATA

L

EAKAGE

P

REVENTION

E-M

AIL

-V

ERSCHLÜSSELUNG

S

ICHERES

L

OGON

(S

MARTCARD ETC

.)

R

EMOTE

A

CCESS

/

S

ECURED

VPN

A

PP

S

ECURITY

/

S

ECURE

M

ARKETPLACE

S

ICHERE

P

LATTFORM

C

LOUD

E

NCRYPTION

V

OICE

E

NCRYPTION

S

ECURE

I

NSTANT

M

ESSAGING

M

OBILE

D

EVICE

M

ANAGEMENT

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit Deutschland

 Kompetenzen und IT-Sicherheitstechnologien

Sicherheitskern

(Sicheres Booten, Separierungstechnologien, …)

Security Token

(Smartcards, Hardware-Sicherheitsmodule, …)

Verschlüsselungstechnologien

(Kommunikations- und

Objektverschlüsselung, Kryptohardware)

Proaktive IT-Sicherheitstechnologien zur Exploitbekämpfung

Technologie zur Abwehr von Schadsoftware

Höherwertige Firewall-Technologien

Technologien für sichere Identitäten

(PKI, TrustCenter)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Kernklassen

Einordnung von Wirkungsklassen

 TTT-Modell

100%

70%

27%

3%

+ Infrastrukturkosten

0,01%

Prozentualer Anteil:

7

https://www.teletrust.de/it-sicherheitsstrategie/

Bürger mit privater Nutzung

Wirkungsklasse 0

• Gefahren: Privatsphäre, Cybercrime

• Kosten: Grundbetrag +5% (vertrauenswürdige IT-Sicherheitstechnologien)

Unternehmen, Organisationen, Behörden

Wirkungsklasse 1

• Gefahren: Privatsphäre, Cybercrime mit höherem Gefährdungsgrad,

gesetzlicher Datenschutz

• Schutzbedarf: mittel

• Kosten: Grundbetrag +10% (Punktuell vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)

Unternehmen, Organisationen, Behörden, Infrastruktur

Wirkungsklasse 2

• Gefahren: Cybercrime, gezielte Angriffe auf Werte des Unternehmens,

Industriespionage

• Schutzbedarf: hoch

• Kosten: Grundbetrag +20% (Einige vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)

Unternehmen, Organisationen, Behörden, Infrastruktur

Wirkungsklasse 3

• Gefahren: Wirtschaftsspionage (Nachrichtendienste) und Cyberattacken,

Cyberwar (Sabotagen)

• Schutzbedarf: sehr hoch, inkl. VS-NfD

• Kosten: Grundbetrag +50% (Möglichst viel vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)

Verschlusssachen

Wirkungsklasse 4

• Nationale Sicherheit

• Schutzbedarf: gemäß Geheimschutzordnung GSO, ab VS/V

• Kosten: Grundbetrag +400%

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT Security Replaceability

 Zusammenarbeit mit den IT-Marktführern

Die IT-Markführer stellen offene Schnittstellen zur Verfügung, die

eine Austauschbarkeit von IT-Sicherheitstechnologien

einfach und

nachhaltig

in den IT-Produkten und -Lösungen möglich macht.

Beispiele:

Krypto-Technologien

Algorithmen (Private/Public-Key-Verfahren, Hashfunktionen, …)

Zufallszahlengeneratoren

…

Weitere IT-Sicherheitslösungen

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT Security Replaceability

 Vorteile

9

Die IT-Markführer schaffen deutlich mehr Vertrauenswürdigkeit

für ihre IT-Lösungen

Die Kunden können entscheiden, welche IT-Sicherheitstechnologien

sie einsetzen wollen (abhängig vom Schutzbedarf – TTT-Modell)

Die deutsche IT-Sicherheitsindustrie hat einen einfachen Zugang zum

globalen Markt

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Ergebnisse der Technologieanalyse

 Defizite in einigen Bereichen

► Stärken und Schwächen der deutschen IT-Sicherheitsindustrie

werden sichtbar

Deutsche Firmen haben klar technologische Defizite

Lücken bei Basistechnologien und Know-how

Besonders die Lücke im Soll-Ist-Vergleich ist kritisch

Marktmacht aus den USA

Stärken fördern und Schwächen kompensieren

▪ IT-Sicherheitslösungen, die

den aktuellen Angriffen

angemessen entgegenwirken

▪ leicht integrierbar in

die Anwendungen

▪ leicht bedienbare

und managementbare

IT-Sicherheitslösungen

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Verantwortung wahrnehmen für

mehr Sicherheit und Vertrauenswürdigkeit

Cyber-Praxisansatz

 IT-Sicherheitsstrategie

Kooperation:

 ASW Bundesverband

, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Anhang / Credits

Quellen Bildmaterial

Eingebettete Piktogramme:

• Institut für Internet-Sicherheit – if(is)

• Icon made by Freepik from www.flaticon.com

Wir empfehlen unsere kostenlose App securityNews

• Kostenlose App vom Institut für Internet-Sicherheit

• Aktuelle Sicherheitshinweise für Smartphone, Tablet, PC und Mac

• Warnung vor Sicherheitslücken in Standardsoftware, dank

Schwachstellenampel

• Konkrete Anweisungen für Privatanwender und Unternehmen

Besuchen und abonnieren Sie uns :-)

WWW

https://www.internet-sicherheit.de

Facebook

https://www.facebook.com/Internet.Sicherheit.ifis

Twitter

https://twitter.com/_ifis

Google+

https://plus.google.com/107690471983651262369/posts

YouTube

https://www.youtube.com/user/InternetSicherheitDE/

IT-Sicherheitsstrategie für Deutschland