Prof. Dr.
(TU NN)Norbert Pohlmann
IT-Sicherheitsherausforderungen
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Problemfelder, Herausforderungen)
Prinzipielle IT Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Selbstschutz
(Basisschutz, richtiges Verhalten, …)
Innovationen im Bereich IT-Sicherheit
(spotuation, Xign, Quvert, …)
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Problemfelder, Herausforderungen)
Prinzipielle IT Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Selbstschutz
(Basisschutz, richtiges Verhalten, …)
Innovationen im Bereich IT-Sicherheit
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Situation
Wir entwickeln uns zur einer Internet-Gesellschaft
(Informationsquelle, eCommerce, eGovernment, …, eAssistenten, …, Industrie 4.0, Internet der Dinge, …)
Viele lokale Dienste werden an das Internet gebunden
(intelligente Analysen Internetkonnektivität)
Private- und Unternehmensdaten „lagern“ immer häufiger im Internet (zentrale Speicherung Internetkonnektivität)
Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)!
Professionelle Hacker greifen alles erfolgreich an!
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
1. Privatheit und Autonomie
Privatheit / Autonomie
Verschiedenen Sichtweisen
Geschäftsmodelle „Bezahlen mit persönlichen Daten“ Kulturelle Unterschiede(Private Daten gehören den Firmen? US 76%, DE 22%)
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
2. Wirtschaftsspionage
Wirtschaftsspionage
ca. 51 Milliarden € Schaden pro Jahr
Zum Vergleich:
Internet-Kriminalität: ca. 100 Millionen € pro Jahr
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
3. Cyberwar
Cyberwar
Umsetzung von politischen Zielen Einfach und „preiswert“
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Die größten Herausforderungen
Unzureichende Softwarequalität
(0,5 Fehler auf 1.000 LoC..)
Manipulierte IT und IT Sicherheitstechnologie (Zufallszahlen, Backdoors, …) Ungenügender Schutz vor Malware (nur 45 % Erkennung) Unsichere Webserver (2,5 % verteilen Schadsoftware) Internet-Nutzer sind
nicht sensibilisiert genug
(24 % „klicken“ Spam-Mails) Risiko
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Aktuelle Herausforderungen
mit aktuellen Risiken
Kein internationales Identity Management
(Passworte für die Authentifikation im Internet, …)
Neue Gefahren durch mobile Geräte
(BYOD, Masse statt Klasse, Tracking, Verlust/Diebstahl, …)
Ein zu hohes Risiko bei der Kommunikation
(E-Mail, Web, Chat, …)
Cloud Computing ist eine große Herausforderung
(Session Hijacking, Ort der Speicherung, …)
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Aktuelle Herausforderungen
mit zukünftigen großen Risiken
Industrie 4.0
Komplexe Anlagen und Steuerungsgeräte werden an das Internet gekoppelt
Internet der Dinge (Internet of Things: IoT)
Beinahe alle Geräte in allen Lebensbereichen erhalten Internetkonnektivität
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Evaluierung der Situation
Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!
Es handelt sich um ein globales Problem
Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten
Wir brauchen innovative Ansätze im Bereich der Internet-Sicherheit,
um das Risiko für unsere Gesellschaft auf ein angemessenes Maß
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Problemfelder, Herausforderungen)
Prinzipielle IT Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Selbstschutz
(Basisschutz, richtiges Verhalten, …)
Innovationen im Bereich IT-Sicherheit
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Generell gilt: Das Prinzip der digitalen Sparsamkeit.
So wenig Daten generieren wie möglich, so viele wie nötig.
Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!
Ist nur begrenzt umsetzbar,
Assets
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..)
… Direct
Threat
Assets
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)
Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich,
Attack trial Monitoring Monitoring Monitoring Assets
$
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Problemfelder, Herausforderungen)
Prinzipielle IT Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Selbstschutz
(Basisschutz, richtiges Verhalten, …)
Innovationen im Bereich IT-Sicherheit
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Basisschutz für den Computer (1/2)
Sicherheit durch Einschränkung – Benutzerrechte Eingeschränkte Benutzerkonten schützen
das Gesamtsystem!
Potentiell gefährliche Aktivitäten (auch unabsichtliche) werden im Vorhinein blockiert!
Virenschutzprogramme / Anti-Malware Programme
Überwachen fortlaufend die Aktivitäten des Computers Muss zur zuverlässigen Arbeit aktuell sein
Automatische Updates aktivieren
Personal Firewall
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Basisschutz für den Computer (2/2)
Anti-Spyware (Anti-Malware)
Spyware installiert sich als Anhängsel von Software oder über Sicherheitslücken
Vorsorge ist besser als Nachsorge:
Aufmerksamkeit beim Installieren von Programmen
Ist Ihr PC up-to-date?
Sicherheitslücken untergraben Anti-Malware-Programme Angriffe zielen auf Fehler in Computerprogrammen ab Malware verbreitet sich über Schwachstellen
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Browsereinstellungen
Im Browser werden standardmäßig temporäre Dateien angelegt: Cookies, Cache, Logins
Temporäre Dateien regelmäßig löschen
Deaktivieren Sie Funktionen wie „Passwörter speichern“ oder „Auto-Vervollständigung“.
Aktive Inhalte
Viele Webseiten ohne aktive Inhalte nicht nutzbar (z.B. JavaScript/Flash) Sperren Sie bei aktuellen Gefahren „Aktive Inhalte“ so lange, bis die
Sicherheitslücke geschlossen ist
Deaktivieren Sie Flash Flashblock installieren als Add-In empfohlen AdBlocker sind empfehlenswert, auch sie erhöhen die Sicherheit
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Richtiges Verhalten
Ins Internet?Erst Sicherheitsupdates installieren
(für Betriebssystem und Anwendungsprogramme) Malwaresignaturen erneuern
Erst dann: E-Mails abrufen, Surfen… Onlinebanking usw.
E-Mail-Kommunikation
Dateianhänge nur mit Bedacht öffnen, auch bei seriöser Quelle Absender fälschen ist einfach – elektronische Postkarten
bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Webseiten mit SSL-Zertifikat
Vorsicht vor SSL-Fake Namen genau vergleichen Im Zweifel: Fingerabdruck vergleichen!
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Starke Passwörter
Absicherung vor unerwünschter Nutzung durch andere
Starke Passwörter enthalten mind. 10 Zeichen (besser mehr), Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
Problem: Sie müssen sie sich gut merken können!
Merkbar durch eine Eselsbrücke und Buchstaben durch Zahlen oder Sonderzeichen ersetzen. Ein Beispiel:
WeaeiGgr,f5eh!
Wer anderen eine Grube gräbt, fällt selbst hinein!
Passwörter nicht weitergeben, nicht aufschreiben
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Zugriffe schützen
Angemessener Schutz:Absicherung des PCs/Notebooks vor unerwünschter Nutzung anderer Verwenden Sie bei Ihrem Windows-Benutzerkonto ein Passwort.
Sperren Sie Ihren Rechner bei jedem Verlassen:
„Windows-Taste + L“ - Lässt niemand anderen an Ihren PC
Transportieren Sie häufig sensible Daten unverschlüsselt?
Dann ist eine Daten- oder Festplattenverschlüsselung erforderlich!
Beim Nutzen des Notebooks/Tablets unterwegs Hotspots sind ein Sicherheitsrisiko
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstschutz
Für Handys und Smartphones/Tablets
Vergeben Sie eine PIN für die SIM-Karte!
Richten Sie eine passwortgeschützte Display-Sperre ein! (Screen-Lock
)
Speziell für Smartphones, Tablets und Notebooks
Verwenden Sie einen Basisschutz und aktivieren Sie automatische Updates!
Schalten Sie nicht benötigte Dienste aus (z.B. WLAN, Bluetooth, GPS)! Verschlüsseln Sie sensible Daten!
Surfen Sie nicht in offenen WLANs!
(automatisches Einloggen ist ein großes Risiko)
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Schutzmaßnahmen
Was man noch selbst tun kann
Sehr wichtig: Sich selbst informieren oder jemanden fragen
Autofahrer sind ebenfalls stets verpflichtet, sich über Änderungen von Regeln im Straßenverkehr zu informieren
Internet-Kompetenz ist in einer digitalen Welt nicht nur sehr hilfreich, sondern heute notwendig
Sicherheitskataloge bieten viele Informationen rund um die Sicherheit im Netz: www.bsi-fuer-buerger.de
Der eigene Verstand ist der wirksamste Schutz
Sicherheitssoftware kann (und soll auch nicht) den Benutzer vor sich selbst schützen
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Das Einmaleins für jeden Internetnutzer
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Inhalt
IT-Sicherheit
(Situation, Problemfelder, Herausforderungen)
Prinzipielle IT Sicherheitsstrategien
(Fokussierung, Vermeiden, Entgegenwirken, Erkennen)
Selbstschutz
(Basisschutz, richtiges Verhalten, …)
Innovationen im Bereich IT-Sicherheit
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Landkarte für‘s Netzwerk
spotuation
Wie wäre es, Sie könnten eine persönliche Landkarte aller Systeme/Netzwerke erzeugen?
Sie könnten jeden Zeitpunkt speichern und miteinander vergleichen! Sie hätten Kennzahlen zur IT-Sicherheit Ihres Unternehmens!
Daten wären dabei vollständig, Datenschutzkonform & unter Ihrer eigenen Kontrolle!
bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Identifikation/Authentifikation - Signatur
Xign
Eine Registrierung, viele Anwendungen & Märkte
Datenschutz &
Datensicherheit Made in Germany
Nicht trackbar
Einfach, schnell & benutzerfreundlich
für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Eine moderne Kommunikationsplattform
smart, effizient und sicher
Effizientere Kommunikation (Chat)
Verschlüsselung der Kommunikation (geht nicht ohne) Organisations-orientierung
jede Firma verwaltet die eigene Kommunikation
Aber, auch sichere Inter-Organisationskommunikation möglich
Features
Identity-Management (vertrauenswürdig)
Verfügbarkeitsstatus (Auto, Flugzeug, Urlaub, …) Knowhow Attribute – wie Ressourcen und Wissen Nachweisbarkeit von Geschäftsprozessen
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen