Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
Prof. Dr.
(TU NN)Norbert Pohlmann
Lagebild zur Bedrohung der
Unternehmenssicherheit
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheitssituation heute
Smartphones & Co.
Neue Angriffsvektoren
Wie lösen wir das Problem?
Fazit und Ausblick
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (1/6)
Zu viele Schwachstellen in Software
Die Software-Qualität der Betriebssysteme und
Anwendungen ist nicht gut genug!
Fehlerdichte:
Anzahl an Fehlern pro 1.000 Zeilen Code (Lines of Code - LoC).
Betriebssysteme haben mehr als 10 Mio. LoC
mehr als 3.000 Fehler
(Fehlerdichte 0,3 )
und damit zu viele Schwachstellen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (2/6)
Ungenügender Schutz vor Malware (1/2)
Schwache Erkennungsrate bei Anti-Malware Produkten nur 75 bis 95%!
Bei direkten Angriffen weniger als 27% 0% 27% 100% Day 3 24h Day 14 proactive detection signature-based detection Security gaps
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (3/6)
Ungenügender Schutz vor Malware (2/2)
Jeder 25. Computer hat Malware!
Datendiebstahl/-manipulation (Keylogger, Trojanische Pferde, …) Spammen, Click Fraud, Nutzung von Rechenleistung, …
Datenverschlüsselung / Lösegeld, …
Cyber War (Advanced Persistent Threat - APT) Eine der größten Bedrohungen zurzeit!
Stuxnet, Flame, ….
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 6
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (4/6)
Identity Management
(2012)
Passworte, Passworte, Passworte, … sind das Mittel im Internet!
Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (5/6)
Webserver Sicherheit
Schlechte Sicherheit auf den Webservern / Webseiten
Heute wird Malware hauptsächlich über Webseiten verteilt
(ca. 2.5 % Malware auf den deutschen gemessen Webseiten)
Gründe für unsichere Webseiten
Viele Webseiten sind nicht sicher implementiert! Patches werden nicht oder sehr spät eingespielt Firmen geben kein Geld für IT-Sicherheit aus!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (6/6)
Internet-Nutzer
Internet-Nutzer müssen die Gefahren des Internets kennen, sonst schaden sie sich und anderen!
Umfrage BITKOM: (2012)
Fast jeder dritte Internet-Nutzer schützt sich nicht angemessen! - keine Personal Firewall (30 %)
- keine Anti-Malware (28 %)
- gehen sorglos mit E-Mails und Links um - usw.
Studie „Messaging Anti-Abuse Working Group“:
57 Prozent der Befragten haben schon einmal Spam-Mails geöffnet oder einen darin enthaltenen Link angeklickt.
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Smartphone
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Am Anfang war …
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Smartphones und Co.
Vorteile (1/2)
Das Internet mit seinen zentralen Diensten ist stets und überall verfügbar!
Smartphones sind Always-On
Vielfältige Kommunikationsschnittstellen
UMTS/LTE, WLAN, Bluetooth, NFC, …
Multifunktional
Handy, Navi, Musik/TV-Gerät, Medizin-/Gesundheitsgerät, … Zugang zum Unternehmen, Internet-Dienste, …
universeller Computer/Apps
Einfach, schnell und intelligent über Touchscreens zu bedienen
Einfacher als Notebooks/PCs
Local Based Service
innovative Vor-Ort-Dienste
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Smartphones und Co.
Vorteile (2/2)
Immer leistungsstärkere mobile Geräte im Hosentaschenformat Beispiel am Samsung Exynos 4412 (Plattform S3):
4x1.4 GHz CPU mit integrierter Hochleistungs-Grafikeinheit inkl. 3D Beschleunigung,
1 GB Ram +
HD 720p Display
64 Gbyte eMMC Speicher + 64GB MicroSD
LTE 100 MBit
8 MPx Kamera inkl. FULL HD 1920 × 1080 Video de/encoding …
Optimale auf einander abgestimmte Leistung, bei minimalem Energieverbrauch
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Smartphones und Co.
Steigender Wert
Für viele „wichtige“ Personen schon das einzige IT-Gerät Alle wichtigen Daten sind auf dem mobilen Gerät
Preislisten, Finanzdaten, Strategiedaten, … E-Mails, SMS, …
Kontakte, …
Positionsdaten, …
Zugangsdaten (Unternehmen, soziale Netze, Banken, …)
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Sicherheitslücken
Neue
Angriffsvektoren
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Verlieren der mobilen Geräte (1/8)
Ständig wechselnde unsichere Umgebungen
Flughäfen, Bahnhöfe, Cafés, …
… im Vergleich zum Computer auf dem Schreibtisch!
Die Wahrscheinlichkeit des unabsichtlichen Verlustes wird deutlich höher!
Handy-Statistik Taxis in London: 60.000 im Jahr
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Bewegungsprofilbildung (2/8)
Das Smartphone ist auch ein Ortungsgerät
(Basis-Stationen (GSM, UMTS/LTE), GPS, Hotspots, … bieten Geodaten) Über kostenlose Apps kommen „viele“ an die Positionen des Besitzers
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Apps als Spyware (3/8)
Trend: Masse statt Klasse
Mehr als 500.000 Apps (pro: Apple Store, Play Store, …) Geschäftsmodell: App gegen „persönliche“ Daten
Unnötige Informationsweitergabe der Apps (Telefonbuch, Geodaten, …) Jeder sagt ja (Zustimmungspflicht)!
Apps als Malware (Diktier-App, …)
Die Malfunktion in der App läuft unsichtbar im Hintergrund
Spyware
Die Spyware läuft unsichtbar im Hintergrund Mitlesen von SMSs, …
Nutzen als flexible remote Wanze …
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Öffentliche Einsicht (4/8)
Einfache Möglichkeit der Einsichtnahme in der Öffentlichkeit Flughäfen, Bahnhöfe, Cafés, …
Die Nachbarn im Flugzeug, in der Bahn, im Bus, auf … … Konferenz, Tagungen, usw.
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Falsche /manipulierte Hotspots (5/8)
Hotspots werden verwendet, um mal schnell E-Mails zu checken, insbesondere auch im Ausland.
Wir können nicht einfach entscheiden, wem ein Hotspot gehört und ob er
vertrauenswürdig arbeitet. Man-In-The-Middle Angriff (Passwörter, Übernahme von Sessions, …)
Jailbreak von iPhones …
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Bring Your Own Devices (6/8)
Die meisten mobilen Geräte werden für den Konsumer-Markt erstellt (Apple iPhone 4S: mehr als 250 Mio. Geräte)
Strategie: Dümmster anzunehmender Benutzer
Erst mal funktioniert alles, wenn der Benutzer mehr Sicherheit möchte, dann muss er Einschränkungen vornehmen
Business-Strategie:
Es funktioniert erst mal gar nichts und der Benutzer muss Funktionen freischalten!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Lagebild zur Bedrohung
Störungen im Minutentakt (8/8)
E-Mail, Facebook, Twitter, Chatprogramme, Spiegel, … Berufliche Dinge, aber zunehmend auch private Ereignisse
Wie arbeitet das Gehirn?
Die Infos vom Kurzzeitgedächtnis müssen ins Langzeitgedächtnis Das braucht Zeit!
Mit diesem Übergang werden die Synapsen gebildet
Dadurch wird
individuelles Wissen vereint Das unterscheidet uns
vom sogenanntem Google-Wissen!
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Wie lösen wir das Problem?
Mensch
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Sicherheit von Smartphones & Co
Übersicht (1/2)
Mobile Device Management Systeme (Afaria, MobileIron, Ubitex, …) Remote Löschen und Deaktivieren
Kennwortrichtlinien umsetzen
Installation von Apps beschränken
Verschlüsselung der gespeicherten Daten Wiederfinden über Geodaten
Backups …
Sichere Nutzung von Unternehmensressourcen
VPN-Zugänge
Unternehmensemails Kalender
Kontakte
Web-basierte Unternehmensdienste wie z.B. CRM Ins Internet (Hotspot, …)
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Sicherheit von Smartphones & Co
Übersicht (2/2)
Vertrauenswürdige App-Stores
Herstellererklärung (Daten, die genutzt werden; Funktionen, …)
Testen der Apps (Verhalten, O/Q-Code-Analyse, Kommunikation, …) Reputationssystem
…
Aufklärung der Nutzer
Verlust, Einsichtnahme, Positionierung, … Vertrauenswürdige Hotspots, …
Nutzung von Apps und deren Gefahren …
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Trusted Smartphone
Sicherheitslösung für die Zukunft
Vertrauenswürdige Systeme und Sicherheitsplattformen Isolation kritischer Komponenten
Kontrolle aller Informationsflüsse zwischen den Komponenten sowie Kontrolle des Zugriffs von Komponenten auf Hardwareschnittstellen. Integritätsprüfung der verwendeten Komponenten.
Private App Business App Platform OS
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Trusted Smartphone
Hypervisor / μKernel
Aspekte:Wiederverwendung von Treibern
Performance-Probleme (Akku-Laufzeiten) kaum verfügbarer Hardware-Spezifikationen schnelle Hardware-Entwicklungszyklen Apps Middleware Kernel Apps Middleware Kernel Domain A Domain B Hypervisor / μKernel
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Trusted Smartphone
Trennung auf Middleware - Capabilities
Aspekte:
Sehr gute Performance
Keine Probleme mit Akku-Laufzeiten
BizzTrust (Sirrix AG, Fraunhofer SIT)
Apps Middleware Kernel Apps Domain A Domain B Extension
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
OpenID-Provider
Neuer Personalausweis
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Der Marktplatz IT-Sicherheit
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de