Lagebild zur Bedrohung der IT-Sicherheit

(1)

Institut für Internet-Sicherheit – if(is)

Prof. Dr.

(TU NN)

Norbert Pohlmann

(2)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Inhalt

IT-Sicherheitssituation heute

Smartphones & Co.

Neue Angriffsvektoren

Wie lösen wir das Problem?

Fazit und Ausblick

(3)

ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (1/8)

Zu viele Schwachstellen in Software

Die Software-Qualität der Betriebssysteme und

Anwendungen ist nicht gut genug!

Fehlerdichte:

Anzahl an Fehlern pro 1.000 Zeilen Code (Lines of Code - LoC).

Betriebssysteme haben mehr als 10 Mio. LoC

 mehr als 3.000 Fehler

(Fehlerdichte 0,3 )

(4)

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (2/8)

Ungenügender Schutz vor Malware (1/2)

Schwache Erkennungsrate bei Anti-Malware Produkten  nur 75 bis 95%!

Bei direkten Angriffen weniger als 27% 0% 27% 100% Day 3 24h Day 14 proactive detection signature-based detection Security gaps

(5)

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (3/8)

Ungenügender Schutz vor Malware (2/2)

Jeder 25. Computer hat Malware!

Datendiebstahl/-manipulation (Keylogger, Trojanische Pferde, …) Spammen, Click Fraud, Nutzung von Rechenleistung, …

Datenverschlüsselung / Lösegeld, …

Cyber War (Advanced Persistent Threat - APT) Eine der größten Bedrohungen zurzeit!

Stuxnet, Flame, …

(6)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 6

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (4/8)

Identity Management

(2013)

Passworte, Passworte, Passworte, … sind das Mittel im Internet!

Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!

(7)

Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (5/8)

Webserver Sicherheit

Schlechte Sicherheit auf den Webservern / Webseiten

Heute wird Malware hauptsächlich über Webseiten verteilt

(ca. 2.5 % Malware auf den deutschen gemessenen Webseiten)

Gründe für unsichere Webseiten

Viele Webseiten sind nicht sicher implementiert! Patches werden nicht oder sehr spät eingespielt. Firmen geben kein Geld für IT-Sicherheit aus!

(8)

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (6/8)

E-Mail Sicherheit

(2012)

Wenig verschlüsselte E-Mails (<4 %)

(S/MIME, PGP, …)

Wenig signierte E-Mails (<6 % )

Spam-Anteil größer als 95 %

(in der Infrastruktur – siehe ENISA-Studie)

Keine Beweissicherung

(9)

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (7/8)

Internet-Nutzer

Internet-Nutzer müssen die Gefahren des Internets kennen, sonst schaden sie sich und anderen!

Umfrage BITKOM: (2012)

Fast jeder dritte Internet-Nutzer schützt sich nicht angemessen! - keine Personal Firewall (30 %)

- keine Anti-Malware (28 %)

- gehen sorglos mit E-Mails und Links um - usw.

Studie „Messaging Anti-Abuse Working Group“:

57 Prozent der Befragten haben schon einmal Spam-Mails geöffnet oder einen darin enthaltenen Link angeklickt.

(10)

Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Persönliche Daten

sind ein

Rohstoff

des Internetzeitalters

Die IT-Sicherheitssituation heute

 Eine kritische Bewertung (8/8)

Persönliche Daten

Datenschutz

(11)

m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Smartphone

(12)

Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Am Anfang war …

(13)

(14)

Smartphones und Co.

 Vorteile (1/2)

Das Internet mit seinen zentralen Diensten ist stets und überall verfügbar!

Smartphones sind Always-On

Vielfältige Kommunikationsschnittstellen

UMTS/LTE, WLAN, Bluetooth, Infrarot, NFC, …

Multifunktional

Handy, Navi, Musik/TV-Gerät, Medizin-/Gesundheitsgerät, … Zugang zum Unternehmen, Internet-Dienste, …

universeller Computer/Apps

Einfach, schnell und intelligent über Touchscreens zu bedienen

Einfacher als Notebooks/PCs

Local Based Service

innovative Vor-Ort-Dienste

(15)

Smartphones und Co.

 Vorteile (2/2)

Immer leistungsstärkere mobile Geräte im Hosentaschenformat Beispiel am Samsung Exynos 4412 (Plattform S3):

4x1.4 GHz CPU mit integrierter Hochleistungs-Grafikeinheit inkl. 3D Beschleunigung,

1 GB Ram +

HD 720p Display

64 Gbyte eMMC Speicher + 64GB MicroSD

LTE 100 MBit

8 MPx Kamera inkl. FULL HD 1920 × 1080 Video de/encoding …

Optimale auf einander abgestimmte Leistung, bei minimalem Energieverbrauch

(16)

Smartphones und Co.

 Steigender Wert

Für viele „wichtige“ Personen schon das einzige IT-Gerät Alle wichtigen Daten sind auf dem mobilen Gerät

Preislisten, Finanzdaten, Strategiedaten, … E-Mails, SMS, …

Kontakte, …

Positionsdaten, …

Zugangsdaten (Unternehmen, soziale Netze, Banken, …)

(17)

Sicherheitslücken

Neue

Angriffsvektoren

(18)

Lagebild zur Bedrohung

 Verlieren der mobilen Geräte (1/8)

Ständig wechselnde unsichere Umgebungen

Flughäfen, Bahnhöfe, Cafés, …

… im Vergleich zum Computer auf dem Schreibtisch!

Die Wahrscheinlichkeit des unabsichtlichen Verlustes wird deutlich höher!

Handy-Statistik Taxis in London: 120.000 im Jahr

(19)

Lagebild zur Bedrohung

 Bewegungsprofilbildung (2/8)

Das Smartphone ist auch ein Ortungsgerät

(Basis-Stationen (GSM, UMTS/LTE), GPS, Hotspots, … bieten Geodaten) Über kostenlose Apps kommen „viele“ an die Positionen des Besitzers

(20)

Lagebild zur Bedrohung

 Apps als Spyware (3/8)

Trend: Masse statt Klasse

Mehr als 800.000 Apps (pro: Apple Store, Play Store, …) Geschäftsmodell: App gegen „persönliche“ Daten

Unnötige Informationsweitergabe der Apps (Telefonbuch, Geodaten, …) Jeder sagt ja (Zustimmungspflicht)!

Apps als Malware (Diktier-App, …)

Die Malfunktion in der App läuft unsichtbar im Hintergrund

Spyware

Die Spyware läuft unsichtbar im Hintergrund Mitlesen von SMSs, …

Nutzen als flexible remote Wanze …

(21)

Lagebild zur Bedrohung

 Öffentliche Einsicht (4/8)

Einfache Möglichkeit der Einsichtnahme in der Öffentlichkeit Flughäfen, Bahnhöfe, Cafés, …

Die Nachbarn im Flugzeug, in der Bahn, im Bus, auf … … Konferenz, Tagungen, usw.

(22)

Lagebild zur Bedrohung

 Falsche /manipulierte Hotspots (5/8)

Hotspots werden verwendet, um mal schnell E-Mails zu checken, insbesondere auch im Ausland.

Wir können nicht einfach entscheiden, wem ein Hotspot gehört und ob er

vertrauenswürdig arbeitet. Man-In-The-Middle Angriff (Passwörter, Übernahme von Sessions, …)

Jailbreak von iPhones …

(23)

Lagebild zur Bedrohung

 Bring Your Own Devices (6/8)

Die meisten mobilen Geräte werden für den Konsumer-Markt erstellt (Apple iPhone 4S: mehr als 250 Mio. Geräte)

Strategie: Dümmster anzunehmender Benutzer

Erst mal funktioniert alles, wenn der Benutzer mehr Sicherheit möchte, dann muss er Einschränkungen vornehmen

Business-Strategie:

Es funktioniert erst mal gar nichts und der Benutzer muss Funktionen freischalten!

(24)

Lagebild zur Bedrohung

(25)

(26)

Lagebild zur Bedrohung

 Störungen im Minutentakt (8/8)

E-Mail, Facebook, Twitter, Chatprogramme, Spiegel, … Berufliche Dinge, aber zunehmend auch private Ereignisse

Wie arbeitet das Gehirn?

Die Infos vom Kurzzeitgedächtnis müssen ins Langzeitgedächtnis Das braucht Zeit!

Mit diesem Übergang werden die Synapsen gebildet

Dadurch wird

individuelles Wissen vereint Das unterscheidet uns

vom sogenanntem Google-Wissen!

(27)

Schutzmaßnahmen

im Businessumfeld

(28)

Sicherheit von Smartphones & Co

 Übersicht (1/2)

Mobile Device Management Systeme (Afaria, MobileIron, Ubitex, …) Remote Löschen und Deaktivieren

Kennwortrichtlinien umsetzen

Installation von Apps beschränken (White- und Blacklisting von Apps Verschlüsselung der gespeicherten Daten

Wiederfinden über Geodaten Backups

…

Sichere Nutzung von Unternehmensressourcen

VPN-Zugänge

Unternehmensemails Kalender

Kontakte

Web-basierte Unternehmensdienste wie z.B. CRM Ins Internet (Hotspot, …)

(29)

Sicherheit von Smartphones & Co

 Übersicht (2/2)

Aufklärung der Nutzer

Verlust, Einsichtnahme, Positionierung, … Vertrauenswürdige Hotspots, …

Nutzung von Apps und deren Gefahren …

Vertrauenswürdige App-Stores

Herstellererklärung (Daten, die genutzt werden; Funktionen, …)

Testen der Apps (Verhalten, O/Q-Code-Analyse, Kommunikation, …) Reputationssystem

…

Mensch

(30)

Trusted Smartphone

 Sicherheitslösung für die Zukunft

Vertrauenswürdige Systeme und Sicherheitsplattformen Isolation kritischer Komponenten

Kontrolle aller Informationsflüsse zwischen den Komponenten sowie Kontrolle des Zugriffs von Komponenten auf Hardwareschnittstellen. Integritätsprüfung der verwendeten Komponenten.

Private App Business App Platform OS

(31)

Trusted Smartphone

 Hypervisor / μKernel

Aspekte:

Wiederverwendung von Treibern

Performance-Probleme (Akku-Laufzeiten) kaum verfügbarer Hardware-Spezifikationen schnelle Hardware-Entwicklungszyklen Apps Middleware Kernel Apps Middleware Kernel Domain A Domain B Hypervisor / μKernel

(32)

Trusted Smartphone

 Trennung auf Middleware - Capabilities

Aspekte:

Sehr gute Performance

Keine Probleme mit Akku-Laufzeiten

BizzTrust (Sirrix AG)

Apps Middleware Kernel Apps Domain A Domain B Extension

(33)

(34)

Lagebild zur Bedrohung der IT-Sicherheit

 Fazit und Ausblick

Grundlegende Rahmenbedingungen haben sich geändert!

Radikale Veränderung in der IT (Mobile Geräte, Cloud, Soziale Netze, ...)

Die zu schützenden Werte steigen ständig und ändern sich mit der Zeit Die Angriffsmodelle innovieren und Angreifer werden professioneller.

Mit der Zeit werden die IT-Sicherheits- und Datenschutzprobleme immer größer!

Wir brauchen Paradigmenwechsel in der IT-Sicherheit,

um in der Zukunft das Internet vertrauenswürdig nutzen zu können! Mehr Vertrauenswürdigkeit statt Gleichgültigkeit

Mehr proaktive statt aktive IT-Sicherheit Mehr Objekt- statt Perimeter-Sicherheit

Mehr Zusammenarbeit statt Separation

(35)

Der Marktplatz IT-Sicherheit

(36)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)