Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)
Norbert Pohlmann
Ohne IT-Sicherheit gelingt keine
nachhaltige Digitalisierung!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT und IT-Sicherheit
Situation
2
IT ist „der Motor“ und die Basis für das Wohlergehen
unserer modernen und globalen Gesellschaft.
Der Digitalisierungsprozess wird immer schneller und
damit auch die Veränderungen in unseren Lebensräumen.
Unsere Arbeit, unsere Firmen, unsere Hochschulen, unsere
Freizeit, unser ganzes Leben wird sich wandeln.
Die IT und IT-Sicherheitstechnologien sind nicht sicher
und vertrauenswürdig genug (Widerstandsfähigkeit)!
Professionelle Hacker greifen alles erfolgreich an!
Das Risiko wird immer größer, die Schäden auch!
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
1. Privatheit und Autonomie
Privatheit / Autonomie
Verschiedenen Sichtweisen
Geschäftsmodelle
„Bezahlen mit
persönlichen Daten“
Staat
(NSA, BND, …)
: Identifizieren
von terroristischen Aktivitäten
Kulturelle Unterschiede
(Private Daten gehören den
Firmen? US 76%, DE 22%)
Nutzer: Autonomie im
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
2. Wirtschaftsspionage
Wirtschaftsspionage
ca. 54 Milliarden € Schaden pro Jahr
Zum Vergleich:
Internet-Kriminalität: ca. 100 Millionen € pro Jahr
(Online Banking, DDoS, …)
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
3. Cyberwar
Cyberwar
Umsetzung von politischen Zielen
„einfach“ und „preiswert“
Angriffe auf Kritische Infrastrukturen
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Internet-Sicherheit
Die größten Herausforderungen
IT
Sicherheits-probleme
Zeit
heute
Snowden
Neue Gefahren
durch mobile Geräte
Manipulierte IT und IT
Sicherheitstechnologie
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Evaluierung der Situation
Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen
und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen
reduzieren das IT-Sicherheitsrisiko nicht ausreichend!
Es handelt sich um ein globales Problem
Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich
überschreiten
Wir brauchen innovative Ansätze
im Bereich der Internet-Sicherheit,
um das Risiko für unsere Gesellschaft
auf ein angemessenes Maß
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
8
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in
Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie
können diese angemessen geschützt werden?
$
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Generell gilt: Das Prinzip der digitalen Sparsamkeit.
So wenig Daten generieren wie möglich, so viele wie nötig.
Keine Technologie und Produkte mit Schwachstellen verwenden
(z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!
Ist nur begrenzt umsetzbar,
wenn wir IT mit allen Vorteilen nutzen wollen!
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
10
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
Beispiele, bei denen ein hoher Nachholbedarf besteht:
Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...)
Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …)
Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..)
…
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider stehen zurzeit nicht genug
wirkungsvolle
und
vertrauenswürdige
IT-Sicherheitstechnologien, -lösungen und
-produkte zur Verfügung oder sind nicht im Einsatz
Direct
Threat
Assets
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu
minimieren (APT)
Generell IT-Sicherheitssysteme,
die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen
oder Anomalien erkannt werden
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich,
hat aber definierte Grenzen
Attack
trial
Monitoring
Monitoring
Monitoring
Assets
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
12
Neue Strategien und Lösungen!
Ideen
Mehr
Verschlüsselung
(statt offen)
Mehr
Vertrauenswürdigkeit
(statt Gleichgültigkeit)
Mehr
proaktive IT-Sicherheit
(statt aktive IT-Sicherheit)
Mehr
Objekt-Sicherheit
(statt Perimeter-Sicherheit)
Mehr
Zusammenarbeit
(statt Separation)
…
. Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Durchschnittlicher Umsatz p.A. in Mrd.
Euro der befragten Unternehmen
Ø 59,15 Mrd. EUR
min: 3,8 Mrd. EUR
Prof . Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Durchschnittliche Anzahl der Mitarbeiter
im Konzern (gesamt)
Ø 157.716
14
min: 5.500
. Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Durchschnittliche Anzahl der
IT-Mitarbeiter im Konzern (gesamt)
Ø 3.538
min: 800
Prof . Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Durchschnittliche Anzahl der
IT-Security-Mitarbeiter im Konzern (gesamt)
Ø 131
16
min: 3
. Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Anzahl der IT-Security-Mitarbeiter aller
DAX30 auf Basis des Durchschnitts
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Höhe IT-Budget vs. IT-Sicherheitsbudget
im Durchschnitt
18
Höhe des IT-Budget in
EUR:
Ø 991 Mio. EUR
Höhe des
IT-Sicherheitsbudgets
prozentual:
Ø 6,8%
Höhe des
IT-Sicherheitsbudgets in EUR:
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Gesamtmarkt für IT-Sicherheit in
Deutschland
Zum Vergleich:
Ausgaben für IT-Sicherheit weltweit >1 Billion Dollar
(Zeitraum: 2017 bis 2021)
Prof . Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Ausgaben im Mittel pro Kopf für IT und
IT-Sicherheit
Ø IT:
9.112 €
20
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Relevanz bei der Größe von
Marktanbietern
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Wichtigkeit von Start-Ups und
Bereitschaft deren Produkte zu kaufen
22
58%
(7)
17%
(2)
25%
(3)
0%
100%
sehr hoch
Bedeutung
von Start-Ups
12
gar keine Bedeutung
hoch
weniger hoch
100%
12
75%
(9)
25%
(3)
Nein
Ja
Bereitschaft
Starp-Up-Produkte zu
erwerben
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Beurteilung der Bedeutung von Start-Ups
im Bereich der IT-Sicherheit
Was finden die DAX an Start-Ups gut?
Innovationskraft
Kreativität
Leading Edge Technologien
hohes persönliches Engagement
Nicht eingefahren
Aber:
Viel „Schlangenöl“
Produktreife unbefriedigend
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Sicherheitsanforderungen der Zukunft
in 5 und 10+ Jahren
3-5 Jahren
Simpler, vollkommen transparent und proaktiver als heute
Hoch kollaborativ
Nicht mehr komplex, trotz komplexer Probleme
Mit industriellem Prüfsiegel (nicht BSI)
10+ Jahren
Stark KI getrieben & auf Personen heruntergebrochen
Vollkommen resistent gegen Angreifer
Vollautonome Hacker vs. vollautonome Defense
Nutzer merkt nichts: Nahezu 100% Sicherheit „à la Star Trek“
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)
Norbert Pohlmann
Mit Sicherheit in die Zukunft!
Ohne IT-Sicherheit gelingt keine
nachhaltige Digitalisierung!
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
