IT-Sicherheit in Lebensräumen - Prof. Norbert Pohlmann

(1)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

IT-Sicherheit

 in Lebensräumen

(2)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 2

Inhalt

IT-Sicherheit

(Situation, Problemfelder, Herausforderungen)

Prinzipielle IT Sicherheitsstrategien

(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)

Neue Strategien und Lösungen

(Verschlüsseln, vertrauen, proaktiv, Objekt, zusammen)

Fazit und Ausblick

(3)

Inhalt

IT-Sicherheit

(Situation, Problemfelder, Herausforderungen)

Prinzipielle IT Sicherheitsstrategien

(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)

Neue Strategien und Lösungen

(Verschlüsseln, vertrauen, proaktiv, Objekt, zusammen)

(4)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT und IT-Sicherheit

 Situation

4 Das Internet ist „der Motor“ und die Basis für das

Wohlergehen unserer modernen und globalen Gesellschaft.

Der Digitalisierungsprozess wird immer schneller und damit auch die Veränderungen in unseren Lebensräumen. Unsere Arbeit, unsere Firmen, unsere Hochschulen, unsere Freizeit, unser ganzes Leben wird sich wandeln.

Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)! Professionelle Hacker greifen alles erfolgreich an! Das Risiko wird immer größer, die Schäden auch!

(5)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Was sind die Problemfelder?

 1. Privatheit und Autonomie

5

Privatheit / Autonomie

Verschiedenen Sichtweisen

Geschäftsmodelle „Bezahlen mit persönlichen Daten“

Staat (NSA, BND, …): Identifizieren von terroristischen Aktivitäten Kulturelle Unterschiede

(Private Daten gehören den Firmen? US 76%, DE 22%)

Nutzer: Autonomie im

(6)

Was sind die Problemfelder?

 2. Wirtschaftsspionage

Wirtschaftsspionage

ca. 51 Milliarden € Schaden pro Jahr

Zum Vergleich:

Internet-Kriminalität: ca. 100 Millionen € pro Jahr

(Online Banking, DDoS, …)

(7)

Was sind die Problemfelder?

 3. Cyberwar

7

Cyberwar

Umsetzung von politischen Zielen  „einfach“ und „preiswert“

Angriffe auf Kritische Infrastrukturen

(8)

Herausforderungen

 IT-Sicherheitssituation (1/7)

Zu viele Schwachstellen in Software

Die Software-Qualität der Betriebssysteme und

Anwendungen ist nicht gut genug!

Fehlerdichte:

Anzahl an Fehlern pro 1.000 Zeilen Code (Lines of Code - LoC).

Betriebssysteme haben mehr als 10 Mio. LoC

 mehr als 3.000 Fehler

(Fehlerdichte 0,3 )

 und damit zu viele Schwachstellen

(9)

Herausforderungen

 IT-Sicherheitssituation (2/7)

Ungenügender Schutz vor Malware (1/2)

Schwache Erkennungsrate bei Anti-Malware Produkten  nur 75 bis 95%!

Bei direkten Angriffen weniger als 27% 0% 27% 100% Day 3 24h Day 14 proactive detection signature-based detection Security gaps

(10)

Herausforderungen

 IT-Sicherheitssituation (3/7)

Ungenügender Schutz vor Malware (2/2)

Jeder 10. Computer hat Malware!

Datendiebstahl/-manipulation (Keylogger, Trojanische Pferde, …) Spammen, Click Fraud, Nutzung von Rechenleistung, …

Datenverschlüsselung / Lösegeld, …

Cyber War (Advanced Persistent Threat - APT) Eine der größten Bedrohungen zurzeit!

Stuxnet, Flame, …

(11)

Herausforderungen

 IT-Sicherheitssituation (4/7)

Identity Management

(2016)

Passworte, Passworte, Passworte, … sind das Mittel im Internet!

Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!

Föderationen sind noch nicht verbreitet genug!

(12)

Herausforderungen

 IT-Sicherheitssituation (5/7)

Webserver Sicherheit

Schlechte Sicherheit auf den Webservern / Webseiten

Heute wird Malware hauptsächlich über Webseiten verteilt

(ca. 2.5 % Malware auf den deutschen gemessen Webseiten)

Gründe für unsichere Webseiten

Viele Webseiten sind nicht sicher implementiert! Patches werden nicht oder sehr spät eingespielt Firmen geben kein Geld für IT-Sicherheit aus!

Verantwortliche kennen das Problem nicht!

(13)

Herausforderungen

 IT-Sicherheitssituation (6/7)

Gefahren mobiler Geräte

Verlieren der mobilen Geräte

Ständig wechselnde unsichere Umgebungen (Flughäfen, Bahnhöfe, Cafés, …) …

… damit wird die Wahrscheinlichkeit des Verlustes deutlich höher!

(Handy-Statistik Taxis in London, Notebook-Statistik Flughäfen)

Bewegungsprofilbildung / Always-On

Apps als Spyware

Öffentliche Einsicht

Falsche oder manipulierte Hotspots

(Vertrauenswürdigkeit)

(14)

Herausforderungen

 IT-Sicherheitssituation (7/7)

Cloud Computing ist eine Herausforderung

Dauerhafter und attraktiver zentraler Angriffspunkt

Vernetzung bietet zusätzliche Angriffspunkte

Identitätsdiebstahl, Session-Hijacking, …

Schwachstellen bei Shared Services, Abgrenzung der Unternehmensdaten

Ich kenne die Orte, wo meine Daten gespeichert sind nicht!

Wie kann ich sicher sein, dass die Daten noch existieren?

Wie kann ich sicher sein, dass keiner meine Daten liest?

Datenverlust (Platten-, Datenbank-, Anwendungsfehler, …)

Datenlecks (Datenbank, Betriebssystem, …) – Hacker! …

(15)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 15

Persönlichen Daten sind ein Rohstoff

des Internetzeitalters

Herausforderungen

 Datenschutzsituation (1/5)

Persönliche Daten

(16)

Geschäftsmodell: „Bezahlen mit persönlichen Daten“

Soziale Netzwerke (Facebook, …), E-Mail-Dienste (Google , …), …

verdienen ihr Geld vor allem mit Werbung !

Je besser die Internet-Diensteanbieter die Internet-Nutzer kennen, desto mehr Geld können sie verdienen.

Die Nutzer zahlen kein Geld für den Internet-Dienst!

Die Nutzer stimmen über die AGBs zu, dass der Internet-Betreiber alle persönliche Daten für eine Profilbildung nutzen darf und

damit Werbegeld einnehmen kann.

Die Internet-Diensteanbieter verdienen mit individualisierter Werbung sehr viel Geld (Google 2014 ca. 66 Milliarden US-Dollar!).

aber

individualisierte Werbung ist auch ein Feature, was viele Internet-Nutzer sehr gut finden!

Herausforderungen

(17)

Beispiel: Google (1/2)

Bei der Nutzung vieler Google-Dienste weiß Google:

wer man ist und wo man wohnt (Buzz, Checkout, Gmail, Profiles etc.)

welche sozialen Kontakte man pflegt (Buzz, Gmail, Orkut, Talk, Voice etc.)

wo man sich gerade aufhält (Ortung per GSM-Zelle, GPS oder WLAN bei Google’s mobilen Diensten wie Latitude, Navigation oder Near me now …)

wo man hin will (Earth, Maps, Navigation etc.)

welche Termine man hat (Kalender, Sync etc.)

welche Interessen man hat (diverse Suchdienste sowie weitere Dienste und Produkte wie Analytics, Blogger.com, Buzz, Chrome, Gmail, Groups,

iGoogle, Knol, YouTube u.v.m.)

wie die Bankverbindung lautet (Checkout)

Herausforderungen

(18)

Beispiel: Google (2/2)

Bei der Nutzung vieler Google-Dienste weiß Google:

wer die Partner bei Finanzgeschäften sind, was man kauft, wie viel man dafür ausgibt und wann Geschäfte abgewickelt werden (Checkout)

welche und wie viele Aktien(-fonds) man besitzt und was man diesbezüglich für Transaktionen abwickelt (Finance)

wie die eigene DNS aussieht und was für Krankheiten man hat oder hatte, einschließlich entsprechender Therapien (Health)

wie man aussieht (Buzz, Gmail, Picasa, Profiles etc.)

welche Daten man allgemein am eigenen Rechner bearbeitet

(Chrome OS und weitere Cloud Computing-Angebote)

usw.

Herausforderungen

 Datenschutzsituation (4/5)

Studie: Google – die zwei Seiten des mächtigen Internet-Konzerns

(19)

Probleme:

Spuren des Users im Internet

Browser (Cookies, Browser-History, spezielle Toolbars, …) Webserver (Log, Google-Analytics, Proxy-Server, …)

Mail-, SIP-, DNS-Server, …

Router, IDS, Firewalls, … (Infrastrukturkomponenten)

SmartPhones (IDs, Positionsbestimmung: GPS, GSM und WLAN)

Gefällt-Mir-Button …

Herausforderungen

 Datenschutzsituation (5/5)

91.51.162.241 - - [12/Sep/2009:11:41:32 +0200] „GET /fileadmin/template/images/partner/logo-ifis-lehre.gif“ HTTP/1.1“ 200 2069 „http://www.internet- sicherheit.de/forschung/aktuelle-forschungsprojekte/internet-fruehwarnsysteme/“ „Mozilla/5.0 (X11;U;Linux i686; de-DE; rv:1.9.0.13) Gecko/2009082610 Gentoo Firefox/3.0.13“

(20)

IT-Sicherheit

 Evaluierung der Situation

20 Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen

und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!

Es handelt sich um ein globales Problem

Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten.

Wir brauchen innovative Ansätze im Bereich der Internet-Sicherheit,

um das Risiko für unsere Gesellschaft auf ein angemessenes Maß

(21)

Inhalt

IT-Sicherheit

(Situation, Problemfelder, Herausforderungen)

Prinzipielle IT Sicherheitsstrategien

(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)

Neue Strategien und Lösungen

(Verschlüsseln, vertrauen, proaktiv, Objekt, zusammen)

(22)

Prinzipielle IT Sicherheitsstrategien

 Fokussierung

Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.

Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?

$

(23)

Prinzipielle IT Sicherheitsstrategien



Vermeiden

von Angriffen – (1)

Generell gilt: Das Prinzip der digitalen Sparsamkeit.

 So wenig Daten generieren wie möglich, so viele wie nötig.

Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)

Bewertung der Vermeidung

Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!

Ist nur begrenzt umsetzbar,

wenn wir IT mit allen Vorteilen nutzen wollen!

Assets

(24)

Prinzipielle IT Sicherheitsstrategien



Entgegenwirken

von Angriffen – (2)

Meist verwendete IT-Sicherheitsstrategie

Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme

(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren

(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme

(Security Kernel, Isolierung u. Separierung, ..) …

Bewertung des Entgegenwirkens

Eine naheliegende IT-Sicherheitsstrategie

Leider stehen zurzeit nicht genug

wirkungsvolle

und

vertrauenswürdige

IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung oder sind im Einsatz

Direct Threat

Assets

(25)

Prinzipielle Sicherheitsstrategien



Erkennen

von Angriffen – (3)

Erkennen von Angriffen, denen nicht entgegengewirkt werden kann

Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)

Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn

Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden

Bewertung des Erkennens

Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen

Attack trial Monitoring Monitoring Monitoring Assets

$

(26)

Inhalt

IT-Sicherheit

(Situation, Problemfelder, Herausforderungen)

Prinzipielle IT Sicherheitsstrategien

(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)

Neue Strategien und Lösungen

(Verschlüsseln, vertrauen, proaktiv, Objekt, zusammen)

(27)

Neue Strategien und Lösungen

 Mehr

Verschlüsselung

statt

offen

27 Verschlüsselung für einen nachhaltigen Schutz der Daten

(Kommunikation und Speicherung)

IPSec (jedes 100. IP-Paket), SSL/TLS (jedes 3. IP-Paket) E-Mail-Verschlüsselung (jede 20. E-Mail), ...

Chat-Systeme (meist integriert)

Festplatten-, Datei-Verschlüsselung, …

Voraussetzungen:

Vertrauenswürdige Verschlüsselungstechnologie

(Keine Backdoors, starke Zufallszahlen, korrekte Implementierung, …)  Sehr leistungsstarke IT-Sicherheitsindustrie in D

 IT Security made in Germany

Vertrauenswürdige IT-Sicherheitsinfrastruktur

(28)

Neue Strategien und Lösungen

 Mehr Vertrauenswürdigkeit statt Gleichgültigkeit

Produkthaftung

Software und Hardware arbeiten besser zusammen und Sicherheitsprobleme werden einfacher

identifiziert und behoben.

Evaluierung / Zertifizierung

(BSI, ENISA, ISO 27001, eco, …)

Unabhängige und qualifizierte Organisationen prüfen (verbessern) die Qualität und Vertrauenswürdigkeit von IT und IT Sicherheit in Produkten und Lösungen.

IT-Security Made in Germany

Qualitätssiegel für vertrauenswürdige IT-Sicherheitslösungen

(29)

Neue Strategien und Lösungen

 Mehr proaktive statt reaktive IT-Sicherheit (1/2)

Reaktive IT-Sicherheitssysteme

Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher!

Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren.

Beispiele für reaktive Sicherheitssysteme sind:

Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …

„Airbag-Methode“

(30)

Neue Strategien und Lösungen

 Mehr proaktive statt reaktive IT-Sicherheit (2/2)

Proaktive Sicherheitssysteme

Proaktive Sicherheitsmechanismen machen IT-Systeme robuster und vertrauenswürdiger.

Hier spielen Sicherheitsplattformen auf der Basis von

intelligenten kryptographischen Verfahren eine wichtige Rolle.

(

Vertrauenswürdige Basis

)

„ESP-Strategie“

(31)

 Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen OS 31

Neue Strategien und Lösungen

 Vertrauenswürdige Basis

Hardware

OS OS

Security Kernel / Virtualization

App

Isolation Policy Enforcement

App

Modularization Trusted Computing Base Virtualization

Trusted Software Layer

App

Security Module Trusted Boot Remote Attestation, Binding, Sealing … Trusted Plattform Integrity Control Robustness/Modularity Trusted Interaction Trusted Process Security Management

App

Trusted Virtual Domains

(32)

Neue Strategien und Lösungen

 Mehr

Objekt-

statt

Perimeter-

Sicherheit (1/2)

Perimeter-Sicherheit (Abschottung „Netz“)

Abwehrmodell:

Schützt eine Anzahl von Computern und Netzwerken mit der Hilfe von Firewall-Systemen, VPNs, Intrusion Detection, usw. Annahme: Die Computer und das Netz sind fest installiert.

Bewertung:

Die moderne Geschäftswelt nutzt flexible und verteilte mobile Geräte.

Perimeter-Sicherheit kann uns nicht, wie in der Vergangenheit, schützen.

(33)

Neue Strategien und Lösungen

 Mehr

Objekt-

statt

Perimeter-

Sicherheit (2/2)

Objekt-Sicherheit (Informationsflusskontrolle)

Idee: Domänenorientierte Objektsicherheit, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher

IT-Umgebung wie nutzen darf.

Object Lifecycle Protection

Distributed Policy Enforcement (even on foreigen systems)

Erzeugung

Verarbeitung Vernichtung

(34)

Neue Strategien und Lösungen

 Mehr

Zusammenarbeit

statt

Separation

Ungleichgewicht bei Angreifern und Verteidigern im Internet

Zusammenarbeit hilft das Ungleichgewicht zu überwinden.

Gemeinsame Kompetenzzentren Austausch von Lagebildern

Gemeinsame Reaktionen auf Angriffe und Bedrohungen Definition von notwendigen IT-Sicherheitsmechanismen

(35)

Inhalt

IT-Sicherheit

(Situation, Problemfelder, Herausforderungen)

Prinzipielle IT Sicherheitsstrategien

(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)

Neue Strategien und Lösungen

(Verschlüsseln, vertrauen, proaktiv, Objekt, zusammen)

(36)

IT-Sicherheit

 Fazit und Ausblick

Situation?

Die Angriffsmodelle innovieren und Angreifer werden professioneller. Wir kennen die IT-Sicherheitsprobleme, aber

heutige IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!

Wir brauchen neue Strategien und Lösungen in der IT-Sicherheit, um in der Zukunft das Internet sicherer und vertrauenswürdiger nutzen zu können!

Mehr Verschlüsselung (statt offen)

Mehr Vertrauenswürdigkeit (statt Gleichgültigkeit)

Mehr proaktive IT-Sicherheit (statt aktive IT-Sicherheit)

Mehr Objekt-Sicherheit (statt Perimeter-Sicherheit)

Mehr Zusammenarbeit (statt Separation)

(37)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)