The Cloud, mobile Live and Security von Prof. Pohlmann

Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

Norbert Pohlmann

The Cloud, mobile Live and Security

Security – steigende Sicherheitsanforderungen

im Bereich der mobilen Datenkommunikation

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen

Institut für Internet-Sicherheit

 Übersicht (

www.internet-sicherheit.de

)

2 Hochschullehrer und ca. 48 Mitarbeiter (16WM / 22 HW / 8AA)

Internet: Research, Situation Awareness, Early Warning

Internet Analysis System (IAS) , Internet Availability System LogData AS, IDS, … for real time analysis

Deutscher Internet-Index (DIX)

Trusted Computing

Turaya (Security Platform based on TPM) TNC, TPM and VoIP, TC-App., …

Anti-Spam / Botnet Detection

Distributed IP Reputation Systems, blacklist, …

Other actual topics:

SmartPhone Security, Identity Management, German ID card, …

2

 Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen

Der Marktplatz IT-Sicherheit

 www.it-sicherheit.de

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 4

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 5

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 6

The Cloud, mobile Live and Security

 Motivation

Veränderung, Fortschritt, Zukunft

Entwicklung zur vernetzten Informations- und Wissensgesellschaft.

IT ist eine sich verändernde Herausforderung

Das Internet geht über alle Grenzen und Kulturen hinaus! Zeit und Raum werden überwunden!

Immer schnellere Entwicklung und Veränderung in der IT.

Die Nutzer müssen immer wieder neues Wissen erwerben, wie sie sich angemessen verhalten können.

Die zu schützenden Werte steigen ständig.

Die Werte, die wir schützen müssen, ändern sich mit der Zeit.

Die Angriffsmodelle innovieren und Angreifer werden professioneller. IT-Sicherheitsmechanismen werden komplexer, intelligenter und

verteilter.

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 7

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 8

Wenn ich Angreifer wäre …

 Angriffsziele

… würde ich:

Schwächen ausnutzen,

den geringsten Widerstand wählen,

um

Identitäten zu klauen,

Informationen zu stehlen,

…

… weil ich:

Geld verdienen möchte!

 Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen 9

Wenn ich Angreifer wäre …

 Angriffsfläche

© simscript.com

ODER

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 10

Wenn ich Angreifer wäre …

 Aktuelle allgemeine Schwachstellen

Computer-Sicherheit Software-Qualität

Schwache Erkennungsrate bei Anti-Malware Produkten

… Identity Management Webserver Sicherheit E-Mail Sicherheit Internet-Nutzer …

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 11

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 12

Die Cloud und die Globalität

 Zentrale Datenverfügbarkeit

Vorteile:

Flexibilität

(von überall, zur jeder Zeit und vielen mit unterschiedlichen Geräten) Geschwindigkeit, Dienste sind sofort nutzbar

Hohe Verfügbarkeit, die ein Unternehmen selbst umsetzen kann …

Nachteile:

Dauerhafter zentraler Angriffspunkt

Vernetzung bietet zusätzliche Angriffspunkte

Ich kenne die Orte, wo meine Daten gespeichert sind nicht! Wie kann ich sicher sein, dass die Daten noch existieren? …

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 13

Die Cloud und die Globalität

 Exkurs: Privacy Paranoia 1/4

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 14

Die Cloud und die Globalität

 Exkurs: Privacy Paranoia 2/4

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 15

Die Cloud und die Globalität

 Exkurs: Privacy Paranoia 3/4

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 16

Die Cloud und die Globalität

 Exkurs: Privacy Paranoia 4/4

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen

Die Cloud und die Globalität

 Bedrohung

Gefahren beim Cloud-Computing

Identitätsdiebstahl Session-Hijacking

Schwachstellen bei Shared Services, Abgrenzung der Unternehmensdaten

Datenverlust (Platten-, Datenbank-, Anwendungsfehler, …) Datenlecks (Datenbank, Betriebssystem, …)

Angriffe auf die Kommunikationsdaten …

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 18

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 19

Mobile Live

 Totale Vernetzung

Vorteile von SmartPhones

Das Internet mit seinen Diensten, ist für mich immer verfügbar!

Sehr leistungsstarke Endgeräte, die ich immer dabei habe

Einfach und schnell zu bedienen (besser als Notebooks/PCs)

Local Based Service Multifunktional

(Handy, Computer, Navi, Musik/TV-Gerät, Zugang zum Unternehmen, …) …

© Alex Slobodkin | istockphoto

Flexible IT Geräte und Dienste für flexible Arbeitsverhältnisse

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen

Mobile Live

 Bedrohung

Gefahren mobiler Geräte

Ständig wechselnde unsichere Umgebungen (Flughäfen, Bahnhöfen , …) …

… damit wird die Wahrscheinlichkeit des Verlustes deutlich höher!

Bewegungsprofilbildung

Immer wertvollere Daten und Dienste stehen auf mobilen Geräten zur Verfügung.

Öffentliche Einsicht

Geräte sind außerhalb des

kontrollierten Bereichs der Organisation Zugangspunkt zu Organisationsdaten

Gefahren werden ins eigenen Netz verschleppt.

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 21

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von

digitaler Sicherheit in Unternehmen

 Prof . Norb ert P ohlm ann , Ins titut für Interne t-Sic herh eit -if (is) , Fac hhochsch ule G else nkirc hen 22

Selbstverständnis Sicherheit

 Problemstellung

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 23

Selbstverständnis Sicherheit

 Sensibilisierung (1/2)

Grundsätzliche Problemstellung

Immer neue Technologien Fehlendes Verständnis Fehlende Akzeptanz

Problemstellung Mittelstand

Gefahr durch Mitarbeiter-Fehlverhalten Gefahr durch Unachtsamkeit

Gefahr durch falsche Einstellungen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 24

Selbstverständnis Sicherheit

 Sensibilisierung (2/2)

Es fehlt eine Sicherheitskultur!!!

Ein Mitarbeiter, der sensibilisiert ist und auf seine Sicherheit achtet,

bringt Sicherheit ins Unternehmen!

bemerkt Sicherheitslücken im Unternehmen!

gibt sein Wissen weiter an Kollegen  Qualifizierte Diskussion!

 Das Unternehmen sollte aktiv eine Sicherheitskultur bei den

Mitarbeitern schaffen, um sich somit selbst zu schützen!

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 25

Inhalt

Motivation

Wenn ich Angreifer wäre …

Die Cloud und die Globalität

Mobile Live

Security - Selbstverständnis von digitaler

Sicherheit in Unternehmen

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 26

Fazit

 Zukunft

Noch stärkere und verteiltere Angriffe über das Internet und auf

vernetzte Systeme (weiterhin auch PDF, Mail, Malware, …)

Steigende Kriminalitätsrate im Internet

 Organisierte Kriminalität (sehr erfolgreiches Geschäftsmodell)

Sicherheit von Daten in der Cloud definiert sich auch über das

Vertrauen zum Anbieter!

Die Cloud ist zukunftsweisend, aber auch eine Herausforderung

für die Sicherheit

IT-Sicherheitsmechanismen erhalten eine noch stärkere

Bedeutung (IdM, Verschlüsselung, Signatur, Firewall, IDS,

Trusted Computing, …)

 Prof . Norbert P ohlm ann , Ins titut für In ternet -Sic herh eit -if (is), Fac hhoc hschule G else nkirc hen 27

Fazit

 Mehr Sicherheit notwendig

Die Cloud in Kombination mit Mobilität benötigt deutlich

mehr Sicherheit und Vertrauenswürdigkeit, durch

gute und sichere Soft- und Hardware

hohes Sicherheitsbewusstsein der Nutzer vertrauenswürdige Anbieter

Anbieter, die Verantwortung übernehmen

Institut für Internet-Sicherheit – if(is) Fachhochschule Gelsenkirchen

http://www.internet-sicherheit.de

Prof. Dr.

Norbert Pohlmann

Vielen Dank für Ihre Aufmerksamkeit

Fragen ?

The Cloud, mobile Live and Security

Security – steigende Sicherheitsanforderungen

im Bereich der mobilen Datenkommunikation