Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)
Norbert Pohlmann
Cyber-Praxisansatz
IT-Sicherheitsstrategie
Kooperation:
ASW Bundesverband
, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit NRW 4.0
Gesellschaftliche Sichtweisen
Wirtschaftsspionage
Faktor Mensch
Cyberwar
Privatheit / Autonomie
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Die größten Herausforderungen
3
Unzureichende Softwarequalität
(0,5 Fehler auf 1.000 LoC..)
Manipulierte IT und IT
Sicherheitstechnologie
(Zufallszahlen, Backdoors, …)
Ungenügender Schutz
vor Malware
(nur 45 % Erkennung)
Unsichere Webserver
(2,5 % verteilen Schadsoftware)
Internet-Nutzer sind
nicht sensibilisiert genug
(24 % „klicken“ Spam-Mails)
, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit Deutschland
Besondere Stärken und Möglichkeiten
Sehr hohe Kompetenz im Bereich des Datenschutzes
Erfahrungen mit dem Schutz der Privatsphäre
Sehr hohes Vertrauen im Bereich der IT-Sicherheit
mittelstandsgeprägte IT-Sicherheitsindustrie
umfangreiche und kompetente IT-Sicherheitsforschung
hohe Kompetenz bei IT-Sicherheitsevaluierungen (BSI, „TÜVs“, …)
offene Kryptopolitik
Kulturell gute Voraussetzungen
traditionell verlässliche IT-Sicherheit
hohes Verständnis für IT-Sicherheit und Datenschutz
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
5
Technologieanalyse IT-Sicherheit in DE
Bedeutung für die
Zukunft
Technologischer
Vorsprung in DE
Marktstärke der dt.
Unternehmen
Abstand zwischen
Soll- und
Ist-Zustand (Δ)
S
ICHEREA
NBINDUNG MOBILERU
SER/ T
ELEARBEITERL
AYER3-VPN
L
AYER2-E
NCRYPTIOND
ATENDIODEF
IREWALLIPS/IDS
S
ICHERERB
ROWSER/R
EC
OBS
V
IRTUELLES
CHLEUSEA
UTHENTIFIKATIONS
ICHEREA
NBINDUNG ZWISCHENA
NBIETER UNDA
NWENDERH
ARDWARE-S
ICHERHEITSMODUL(HSM)
P
UBLIC-K
EY-I
NFRASTRUKTUR(PKI)
AV
UNDP
ERSONALF
IREWALLE
XPLOITP
ROTECTION/
S
ICHERERB
ROWSERD
EVICE UNDP
ORTKONTROLLEF
ULLD
ISKE
NCRYPTIONF
ILE& F
OLDERE
NCRYPTIONV
OLL-V
IRTUALISIERUNG/ T
RUSTEDC
OMPUTING,
S
EPERATIOND
ATAL
EAKAGEP
REVENTIONE-M
AIL-V
ERSCHLÜSSELUNGS
ICHERESL
OGON(S
MARTCARD ETC.)
R
EMOTEA
CCESS/
S
ECUREDVPN
A
PPS
ECURITY/
S
ECUREM
ARKETPLACES
ICHEREP
LATTFORMC
LOUDE
NCRYPTIONV
OICEE
NCRYPTIONS
ECUREI
NSTANTM
ESSAGINGM
OBILED
EVICEM
ANAGEMENT, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit Deutschland
Kompetenzen und IT-Sicherheitstechnologien
Sicherheitskern
(Sicheres Booten, Separierungstechnologien, …)
Security Token
(Smartcards, Hardware-Sicherheitsmodule, …)
Verschlüsselungstechnologien
(Kommunikations- und
Objektverschlüsselung, Kryptohardware)
Proaktive IT-Sicherheitstechnologien zur Exploitbekämpfung
Technologie zur Abwehr von Schadsoftware
Höherwertige Firewall-Technologien
Technologien für sichere Identitäten
(PKI, TrustCenter)
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Kernklassen
Einordnung von Wirkungsklassen
TTT-Modell
100%
70%
27%
3%
+ Infrastrukturkosten
0,01%
Prozentualer Anteil:
7
https://www.teletrust.de/it-sicherheitsstrategie/
Bürger mit privater Nutzung
Wirkungsklasse 0
• Gefahren: Privatsphäre, Cybercrime
• Kosten: Grundbetrag +5% (vertrauenswürdige IT-Sicherheitstechnologien)
Unternehmen, Organisationen, Behörden
Wirkungsklasse 1
• Gefahren: Privatsphäre, Cybercrime mit höherem Gefährdungsgrad,
gesetzlicher Datenschutz
• Schutzbedarf: mittel
• Kosten: Grundbetrag +10% (Punktuell vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)
Unternehmen, Organisationen, Behörden, Infrastruktur
Wirkungsklasse 2
• Gefahren: Cybercrime, gezielte Angriffe auf Werte des Unternehmens,
Industriespionage
• Schutzbedarf: hoch
• Kosten: Grundbetrag +20% (Einige vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)
Unternehmen, Organisationen, Behörden, Infrastruktur
Wirkungsklasse 3
• Gefahren: Wirtschaftsspionage (Nachrichtendienste) und Cyberattacken,
Cyberwar (Sabotagen)
• Schutzbedarf: sehr hoch, inkl. VS-NfD
• Kosten: Grundbetrag +50% (Möglichst viel vertrauenswürdige IT-Sicherheitstechnologien aus Deutschland)
Verschlusssachen
Wirkungsklasse 4
• Nationale Sicherheit
• Schutzbedarf: gemäß Geheimschutzordnung GSO, ab VS/V
• Kosten: Grundbetrag +400%
, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT Security Replaceability
Zusammenarbeit mit den IT-Marktführern
Die IT-Markführer stellen offene Schnittstellen zur Verfügung, die
eine Austauschbarkeit von IT-Sicherheitstechnologien
einfach und
nachhaltig
in den IT-Produkten und -Lösungen möglich macht.
Beispiele:
Krypto-Technologien
Algorithmen (Private/Public-Key-Verfahren, Hashfunktionen, …)
Zufallszahlengeneratoren
…
Weitere IT-Sicherheitslösungen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT Security Replaceability
Vorteile
9
Die IT-Markführer schaffen deutlich mehr Vertrauenswürdigkeit
für ihre IT-Lösungen
Die Kunden können entscheiden, welche IT-Sicherheitstechnologien
sie einsetzen wollen (abhängig vom Schutzbedarf – TTT-Modell)
Die deutsche IT-Sicherheitsindustrie hat einen einfachen Zugang zum
globalen Markt
, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Ergebnisse der Technologieanalyse
Defizite in einigen Bereichen
► Stärken und Schwächen der deutschen IT-Sicherheitsindustrie
werden sichtbar
Deutsche Firmen haben klar technologische Defizite
Lücken bei Basistechnologien und Know-how
Besonders die Lücke im Soll-Ist-Vergleich ist kritisch
Marktmacht aus den USA
Stärken fördern und Schwächen kompensieren
▪ IT-Sicherheitslösungen, die
den aktuellen Angriffen
angemessen entgegenwirken
▪ leicht integrierbar in
die Anwendungen
▪ leicht bedienbare
und managementbare
IT-Sicherheitslösungen
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)
Norbert Pohlmann
Verantwortung wahrnehmen für
mehr Sicherheit und Vertrauenswürdigkeit
Cyber-Praxisansatz
IT-Sicherheitsstrategie
Kooperation:
ASW Bundesverband
, Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen