Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
Prof. Dr.
(TU NN)Norbert Pohlmann
Unternehmen brauchen einen
sicheren und vertrauenswürdigen
Digitalisierungsprozess
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT und IT-Sicherheit
Situation
2IT ist „der Motor“ und die Basis für das Wohlergehen unserer modernen und globalen Gesellschaft.
Der Digitalisierungsprozess wird immer schneller und damit auch die Veränderungen in unseren Lebensräumen.
Unsere Arbeit, unsere Firmen, unsere Hochschulen, unsere Freizeit, unser ganzes Leben wird sich wandeln.
Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)! Professionelle Hacker greifen alles erfolgreich an! Das Risiko wird immer größer, die Schäden auch!
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
1. Privatheit und Autonomie
Privatheit / Autonomie
Verschiedenen Sichtweisen
Geschäftsmodelle „Bezahlen mit
persönlichen Daten“
Staat (NSA, BND, …): Identifizieren von terroristischen Aktivitäten Kulturelle Unterschiede
(Private Daten gehören den Firmen? US 76%, DE 22%)
Nutzer: Autonomie im
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
2. Wirtschaftsspionage
Wirtschaftsspionage
ca. 55 Milliarden € Schaden pro Jahr
Zum Vergleich:
Internet-Kriminalität: ca. 100 Millionen € pro Jahr
(Online Banking, DDoS, …)
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
3. Cyberwar
Cyberwar
Umsetzung von politischen Zielen „einfach“ und „preiswert“
Angriffe auf Kritische Infrastrukturen
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Internet-Sicherheit
Die größten Herausforderungen
IT
Sicherheits-probleme
Zeit
heuteSnowden
Neue Gefahren durch mobile GeräteManipulierte IT und IT Sicherheitstechnologie
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Evaluierung der Situation
Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!
Es handelt sich um ein globales Problem
Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten
Wir brauchen innovative Ansätze im Bereich der Internet-Sicherheit,
um das Risiko für unsere Gesellschaft auf ein angemessenes Maß
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 8
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?
$
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Generell gilt: Das Prinzip der digitalen Sparsamkeit.
So wenig Daten generieren wie möglich, so viele wie nötig.
Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!
Ist nur begrenzt umsetzbar,
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 10
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..) …
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider stehen zurzeit nicht genug
wirkungsvolle
undvertrauenswürdige
IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung odersind nicht im Einsatz
Direct Threat
Assets
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)
Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich,
Attack trial Monitoring Monitoring Monitoring Assets
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
Distributed Ledger
Übersicht
12
Die „BlockChain“ ist eine spannende und faszinierende IT-Technologie, die das Potential hat, Politik, Verwaltung und Wirtschaftszweige gewaltig auf den Kopf zu stellen.
Die BlockChain-Technologie ist eine Querschnittstechnologie mit hohem disruptiven Potenzial für viele Wirtschaftsbereiche.
Die BlockChain-basierten Systeme könnten in vielen Bereichen zentrale Instanzen ablösen, wie Banken, Notare oder Treuhänder.
Das ist möglich, weil die Validierungsalgorithmen der BlockChain
-Technologie, ganz ohne solche Intermediäre, die Vertrauenswürdigkeit der aufgezeichneten Transaktionsdaten garantieren.
Die BlockChain-Technologie macht IT-Systeme effektiver und sicherer
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
Konzept
Unterschiedliche Sichtweisen
Für einen Informatiker ist die BlockChain eine einfache Datenstruktur, die Daten sind in einzelnen „Blöcken“ verkettet und in einem
verteilten Netz redundant (mehrfach) verwaltet.
Die Alternative wäre z.B. eine konventionelle Datenbank.
Für die IT-Sicherheitsexperten hat die BlockChain den Vorteil, dass die
Daten in den einzelnen „Blöcken“ manipulationssicher gespeichert
werden können, das heißt, die Teilnehmer an der BlockChain sind in der Lage,
die Echtheit,
den Ursprung und
die Unversehrtheit der gespeicherten Daten zu überprüfen.
Die Alternative wäre z.B. ein PKI-System.
Für den Anwendungsdesigner bedeutet die Nutzung der BlockChain -Technologie eine vertrauenswürdige Zusammenarbeit zwischen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
-Technologie
Verteilte Datenbank/
Collaboration-Tool
14
BlockChains
sind fälschungssichere,
verteilte, redundante Datenstrukturen
in denen Transaktionen in der Zeitfolge protokolliert nachvollziehbar, unveränderlich und
ohne zentrale Instanz abgebildet sind.
BlockChain-Technologie
Lassen sich Eigentumsverhältnisse (digital Assets)
direkter und effizienter als bislang sichern und regeln,
da eine lückenlose und unveränderliche Datenaufzeichnung hierfür die Grundlage schafft.
Alle Beglaubigungsprozesse werden schneller, sicherer und billiger.
kryptographische Verfahren
Vielzahl von Teilnehmern gespeichert Art der Verkettung jeder kann Kryptographie überprüfen geeignete Konsensfindungsverfahren
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
Anwendungen
Krypto-Währung: Bitcoin
Idee:Bitcoin ist eine Internetwährung, die verteilt,
dezentral und unabhängig von einer Zentralbank
ein globales Zahlungsnetzwerk zur Verfügung stellt.
Verfahren:
Die Funktionsweise des Bitcoin-Systems stellt sicher, dass es in ein paar Jahrzehnten maximal 21.000.000 Bitcoins weltweit geben wird. Die Node, die beim Mining gewonnen hat, bekommt 12,5 Bitcoins
als Belohnung – Stand 2017
Jede Person hat eine Wallet und der Public-Key entspricht der
Kontonummer. Mit dem Private-Key werden Transaktionen signiert,
um Guthaben auf diesem Bitcoin-Konto an eine andere Adresse zu überweisen (public permissionless Blockchain).
Herausforderungen:
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
Anwendungen
Smart Contracts
16 Idee:Automatische Umsetzung von Verträgen.
Verfahren:
Programmierbare Verträge werden
durch einen Quelltext (ausführbarer Programmcode) definiert und bei zuvor festgelegten Bedingungen
automatisch auf BlockChain ausgeführt.
Smart Contracts stellen eine Kontroll- oder Geschäftsregel innerhalb eines technischen Protokolls dar.
Beispiel:
Ein geleastes Auto startet nur, wenn die Leasingrate eingegangen ist. Eine entsprechende Anfrage des Autos an die BlockChain würde genügen.
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
BlockChain
Anwendungen
Supply Chain
Idee: Automatische Produktions-, Bezahl- und Lieferkette. Ablauf
Nach der Bestellung wird die Konstruktion des gewünschten Teils an die BlockChain gesendet (one time use only)
Produktion: Das Teil wird gedruckt (pay per use) Nach dem Druck läuft die Zahlung automatisch.
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 18
Neue Strategien und Lösungen!
Ideen
Mehr
Verschlüsselung
(statt offen)
Mehr
Vertrauenswürdigkeit
(statt Gleichgültigkeit)
Mehr
proaktive IT-Sicherheit
(statt aktive IT-Sicherheit)
Mehr
Objekt-Sicherheit
(statt Perimeter-Sicherheit)
Mehr
Zusammenarbeit
(statt Separation)
…
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
Prof. Dr.
(TU NN)Norbert Pohlmann
Mit Sicherheit in die Zukunft!
Unternehmen brauchen einen
sicheren und vertrauenswürdigen
Digitalisierungsprozess
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Anhang / Credits
Quellen Bildmaterial Eingebettete Piktogramme:• Institut für Internet-Sicherheit – if(is)
Wir empfehlen • Kostenlose App securityNews
• 7. Sinn im Internet (Cyberschutzraum)
https://www.youtube.com/channel/UCEMkHjW9dHcWfek_En3xhjg
•
• Cybärcast – Der IT-Sicherheit Podcast
https://podcast.internet-sicherheit.de/
• Master Internet-Sicherheit
https://it-sicherheit.de/master-studieren/
Besuchen und abonnieren Sie uns :-)
WWW https://www.internet-sicherheit.de Facebook https://www.facebook.com/Internet.Sicherheit.ifis Twitter https://twitter.com/_ifis Google+ https://plus.google.com/107690471983651262369/posts YouTube https://www.youtube.com/user/InternetSicherheitDE/
Prof. Norbert Pohlmann
https://norbert-pohlmann.com/
Der Marktplatz IT-Sicherheit
(IT-Sicherheits-) Anbieter, Lösungen, Jobs,
Veranstaltungen und Hilfestellungen (Ratgeber, IT-Sicherheitstipps, Glossar, u.v.m.) leicht & einfach finden.
https://www.it-sicherheit.de/
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Literatur
Artikel:R. Palkovits, N. Pohlmann, I. Schwedt: „Blockchain-Technologie revolutioniert das digitale Business: Vertrauenswürdige Zusammenarbeit ohne zentrale Instanz“, IT-Sicherheit –
Fachmagazin für Informationssicherheit und Compliance, DATAKONTEXT-Fachverlag, 2/2017
https://norbert-pohlmann.com/app/uploads/2017/07/357-Blockchain-Technologie-revolutioniert-das-digitale-Business-Vertrauensw%C3%BCrdige-Zusammenarbeit-ohne-zentrale-Instanz-Prof.-Norbert-Pohlmann.pdf
N. Pohlmann: „Cyber Security“, WISU – Das Wirtschaftsstudium, Lange Verlag, 2/2015
https://norbert-pohlmann.com/app/uploads/2015/08/331-Cyber-Security-Die-Herausforderung-unserer-Gesellschaft-Prof.-Norbert-Pohlmann.pdf
Präsentationen:
InnoZent Veranstaltung
Vortrag: „Blockchain Technologien und ihr Potenzial, ganze Branchen auf den Kopf zu stellen…“ Paderborn, 10.2017
https://norbert-pohlmann.com/app/uploads/2017/10/335-Blockchain-Technologien-und-ihr-Potenzial-ganze-Branchen-auf-den-Kopf-zu-stellen-Prof.-Norbert-Pohlmann.pdf