Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
The Cloud, mobile Live and Security
Security – steigende Sicherheitsanforderungen
im Bereich der mobilen Datenkommunikation
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen
Institut für Internet-Sicherheit
Übersicht (
www.internet-sicherheit.de
)
2 Hochschullehrer und ca. 48 Mitarbeiter (16WM / 22 HW / 8AA)
Internet: Research, Situation Awareness, Early Warning
Internet Analysis System (IAS) , Internet Availability System LogData AS, IDS, … for real time analysis
Deutscher Internet-Index (DIX)
Trusted Computing
Turaya (Security Platform based on TPM) TNC, TPM and VoIP, TC-App., …
Anti-Spam / Botnet Detection
Distributed IP Reputation Systems, blacklist, …
Other actual topics:
SmartPhone Security, Identity Management, German ID card, …
2
Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen
Der Marktplatz IT-Sicherheit
www.it-sicherheit.de
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 4
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 5
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 6
The Cloud, mobile Live and Security
Motivation
Veränderung, Fortschritt, Zukunft
Entwicklung zur vernetzten Informations- und Wissensgesellschaft.
IT ist eine sich verändernde Herausforderung
Das Internet geht über alle Grenzen und Kulturen hinaus! Zeit und Raum werden überwunden!
Immer schnellere Entwicklung und Veränderung in der IT.
Die Nutzer müssen immer wieder neues Wissen erwerben, wie sie sich angemessen verhalten können.
Die zu schützenden Werte steigen ständig.
Die Werte, die wir schützen müssen, ändern sich mit der Zeit.
Die Angriffsmodelle innovieren und Angreifer werden professioneller. IT-Sicherheitsmechanismen werden komplexer, intelligenter und
verteilter.
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 7
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 8
Wenn ich Angreifer wäre …
Angriffsziele
… würde ich:
Schwächen ausnutzen,
den geringsten Widerstand wählen,
um
Identitäten zu klauen,
Informationen zu stehlen,
…
… weil ich:
Geld verdienen möchte!
Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen 9
Wenn ich Angreifer wäre …
Angriffsfläche
© simscript.com
ODER
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 10
Wenn ich Angreifer wäre …
Aktuelle allgemeine Schwachstellen
Computer-Sicherheit Software-Qualität
Schwache Erkennungsrate bei Anti-Malware Produkten
… Identity Management Webserver Sicherheit E-Mail Sicherheit Internet-Nutzer …
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 11
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 12
Die Cloud und die Globalität
Zentrale Datenverfügbarkeit
Vorteile:
Flexibilität
(von überall, zur jeder Zeit und vielen mit unterschiedlichen Geräten) Geschwindigkeit, Dienste sind sofort nutzbar
Hohe Verfügbarkeit, die ein Unternehmen selbst umsetzen kann …
Nachteile:
Dauerhafter zentraler Angriffspunkt
Vernetzung bietet zusätzliche Angriffspunkte
Ich kenne die Orte, wo meine Daten gespeichert sind nicht! Wie kann ich sicher sein, dass die Daten noch existieren? …
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 13
Die Cloud und die Globalität
Exkurs: Privacy Paranoia 1/4
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 14
Die Cloud und die Globalität
Exkurs: Privacy Paranoia 2/4
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 15
Die Cloud und die Globalität
Exkurs: Privacy Paranoia 3/4
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 16
Die Cloud und die Globalität
Exkurs: Privacy Paranoia 4/4
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen
Die Cloud und die Globalität
Bedrohung
Gefahren beim Cloud-Computing
Identitätsdiebstahl Session-Hijacking
Schwachstellen bei Shared Services, Abgrenzung der Unternehmensdaten
Datenverlust (Platten-, Datenbank-, Anwendungsfehler, …) Datenlecks (Datenbank, Betriebssystem, …)
Angriffe auf die Kommunikationsdaten …
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 18
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 19
Mobile Live
Totale Vernetzung
Vorteile von SmartPhones
Das Internet mit seinen Diensten, ist für mich immer verfügbar!
Sehr leistungsstarke Endgeräte, die ich immer dabei habe
Einfach und schnell zu bedienen (besser als Notebooks/PCs)
Local Based Service Multifunktional
(Handy, Computer, Navi, Musik/TV-Gerät, Zugang zum Unternehmen, …) …
© Alex Slobodkin | istockphoto
Flexible IT Geräte und Dienste für flexible Arbeitsverhältnisse
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen
Mobile Live
Bedrohung
Gefahren mobiler Geräte
Ständig wechselnde unsichere Umgebungen (Flughäfen, Bahnhöfen , …) …
… damit wird die Wahrscheinlichkeit des Verlustes deutlich höher!
Bewegungsprofilbildung
Immer wertvollere Daten und Dienste stehen auf mobilen Geräten zur Verfügung.
Öffentliche Einsicht
Geräte sind außerhalb des
kontrollierten Bereichs der Organisation Zugangspunkt zu Organisationsdaten
Gefahren werden ins eigenen Netz verschleppt.
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 21
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von
digitaler Sicherheit in Unternehmen
Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen 22
Selbstverständnis Sicherheit
Problemstellung
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 23
Selbstverständnis Sicherheit
Sensibilisierung (1/2)
Grundsätzliche Problemstellung
Totale DigitalisierungImmer neue Technologien Fehlendes Verständnis Fehlende Akzeptanz
Problemstellung Mittelstand
Gefahr durch Mitarbeiter-Fehlverhalten Gefahr durch Unachtsamkeit
Gefahr durch falsche Einstellungen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 24
Selbstverständnis Sicherheit
Sensibilisierung (2/2)
Es fehlt eine Sicherheitskultur!!!
Ein Mitarbeiter, der sensibilisiert ist und auf seine Sicherheit achtet,
bringt Sicherheit ins Unternehmen!
bemerkt Sicherheitslücken im Unternehmen!
gibt sein Wissen weiter an Kollegen Qualifizierte Diskussion!
Das Unternehmen sollte aktiv eine Sicherheitskultur bei den
Mitarbeitern schaffen, um sich somit selbst zu schützen!
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 25
Inhalt
Motivation
Wenn ich Angreifer wäre …
Die Cloud und die Globalität
Mobile Live
Security - Selbstverständnis von digitaler
Sicherheit in Unternehmen
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 26
Fazit
Zukunft
Noch stärkere und verteiltere Angriffe über das Internet und auf
vernetzte Systeme (weiterhin auch PDF, Mail, Malware, …)
Steigende Kriminalitätsrate im Internet
Organisierte Kriminalität (sehr erfolgreiches Geschäftsmodell)
Sicherheit von Daten in der Cloud definiert sich auch über das
Vertrauen zum Anbieter!
Die Cloud ist zukunftsweisend, aber auch eine Herausforderung
für die Sicherheit
IT-Sicherheitsmechanismen erhalten eine noch stärkere
Bedeutung (IdM, Verschlüsselung, Signatur, Firewall, IDS,
Trusted Computing, …)
Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 27
Fazit
Mehr Sicherheit notwendig
Die Cloud in Kombination mit Mobilität benötigt deutlich
mehr Sicherheit und Vertrauenswürdigkeit, durch
gute und sichere Soft- und Hardware
hohes Sicherheitsbewusstsein der Nutzer vertrauenswürdige Anbieter
Anbieter, die Verantwortung übernehmen
Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen
http://www.internet-sicherheit.de