Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
Paradigmenwechsel
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 2
Inhalt
Einschätzung
Veränderung der Randbedingungen
(IT-Sicherheit und Datenschutz)
Paradigmenwechsel in der IT-Sicherheit
Fazit und Ausblick
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 3
Cloud Computing
Einschätzung
Cloud Computing wird ein wichtiger Aspekt
in der IT Zukunft sein!
IT
Sicherheit
und
Vertrauenswürdigkeit
sind die Enabler für:
wie schnell
und
wie tief
die Nutzung von Cloud Computing sein wird,
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 4
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (1/6)
Probleme:
Zu viele Schwachstellen in Software
(Level der Software-Qualität)
Die Software-Qualität der Betriebssysteme und Anwendungen sind nicht „sicher“ (hoch) genug!
Fehlerdichte:
Anzahl an Fehlern pro 1.000 Zeilen Code (Lines of Code - LoC). Betriebssysteme haben mehr als 10 Mio. LoC
mehr als 3.000 Fehler
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 5
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (2/6)
Probleme:
Ungenügender Schutz vor Malware
Schwache Erkennungsrate bei
Anti-Malware Produkten nur 75 bis 95%!
Bei direkten Angriffen weniger als 27%
Jeder 25. Computer hat Malware!
Datendiebstahl/-manipulation (Keylogger, Trojanisches Pferde) Spammen, Click Fraud, Nutzung von Rechenleistung, …
Datenverschlüsselung / Lösegeld, …
Advanced Persistent Threat (APT)
Eine der größten Bedrohungen zurzeit!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 6
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (3/6)
Probleme:
Identity Management
(2012)
Passworte, Passworte, Passworte, … sind das Mittel im Internet!
Identifikationsbereiche liegen im Unternehmens- und Kundenumfeld, nicht international!
Föderationen sind noch nicht verbreitet genug!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 7
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (4/6)
Probleme:
Webserver Sicherheit
Schlechte Sicherheit auf den Webservern / Webseiten (2.5 % Malware)
Heute wird Malware hauptsächlich über Webseiten verteilt Viele Webseiten sind nicht sicher aufgebaut!
Patches werden nicht oder sehr spät eingespielt
Gründe
Firmen geben kein Geld für IT-Sicherheit aus! Mitarbeiter haben keine Zeit (Geld)
Verantwortliche kennen das Problem nicht!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (5/6)
Probleme:
Gefahren mobiler Geräte
Ständig wechselnde
unsichere Umgebungen (Flughäfen, Bahnhöfe , …) …
… damit wird die Wahrscheinlichkeit des Verlustes deutlich höher!
(Handy-Statistik Taxis in London, Notebook-Statistik Flughäfen)
Bewegungsprofilbildung (siehe Google, Apple, …)
Immer wertvollere Daten und Dienste stehen auf mobilen Geräten zur Verfügung.
Geräte sind außerhalb des kontrollierten Bereichs der Organisation
(Bring Your Own Devices / Consumerisation)
Öffentliche Einsicht
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 9
Die IT-Sicherheitssituation heute
Eine kritische Bewertung (6/6)
Probleme:
Internet-Nutzer
Internet-Nutzer müssen die Gefahren des Internets kennen, sonst schaden sie sich und anderen!
Umfrage BITKOM:
Jeder dritte Internet-Nutzer schützt sich nicht angemessen! - keine Personal Firewall
- keine Anti-Malware
- gehen sorglos mit E-Mails und Links um - usw.
Studie „Messaging Anti-Abuse Working Group“:
57 Prozent der Befragten haben schon einmal Spam-Mails geöffnet oder einen darin enthaltenen Link angeklickt.
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 10
Persönliche Daten
sind ein
Rohstoff
des Internetzeitalters
Die Datenschutzsituation heute
Eine kritische Bewertung
Persönliche Daten
Datenschutz
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 11
Kultur-Unterschiede
Privacy Paranoia - Exkurs: 1/2
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 12
Kultur-Unterschiede
Privacy Paranoia - Exkurs: 2/2
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 13
Paradigmenwechsel in der IT-Sec
Weitere Notwendigkeit
Grundlegende Rahmenbedingungen haben sich geändert! Radikale Veränderung in der IT
Mobile Geräte, Cloud Computing, Soziale Netze, …
Internet der Dinge: SmartGrid, SmartCar, SmartTraffic, …
Die zu schützenden Werte steigen ständig und ändern sich mit der Zeit
Bits und Bytes:
von Daten, Informationen, Wissen, ... zu Intelligenzen Von überall zugreifbar (Cloud Computing, …)
Die Angriffsmodelle innovieren und Angreifer werden professioneller Angreifer arbeiten im Versteckten von überall in der Welt
Nutzen sehr viele Computer (Malware, Botnetzte, …) mit unbegrenzter Leistung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 14
Paradigmenwechsel
– (1)
Mehr Vertrauenswürdigkeit
Welchen Firmen können wir vertrauen?
Evaluierung /Zertifizierung (eco, BSI, ENISA, ISO 27001, …)
Produkthaftung
Geschäftsmodell vs. IT Sicherheit
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 15
Paradigmenwechsel
– (2)
Mehr Objekt-Sicherheit (1/2)
Heute unzureichende Sicherheitsmodelle (inhärente Schwachstellen)
Perimeter-Sicherheit (Abschottung „Netz“) Abwehrmodell: Verhindern, dass
Fremde aus dem Internet ins eigene Unternehmensnetz zugreifen können (Abschottung) und
dass die ausgetauschten Daten nicht von anderen gelesen und manipuliert werden können.
IT-Sicherheitsmechanismen: Firewall- und VPN-Systeme, … Bewertung: Immer offenere Unternehmensnetzte
(Mobilfunk - UMTS, LTE, … , WLAN, ….)
Zugriffskontrolle (Abschottung „Rechner“)
Idee: Nur Autorisierte haben Zugriff auf ein Rechnersystem
Bewertung: fehlende IDM-Lösungen; Sicherheitslösungen laufen „auf“ den komplexen Betriebssystemen (Malware)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 16
Paradigmenwechsel
– (2)
Mehr Objekt-Sicherheit (2/2)
Objekt-Sicherheit (Informationsflusskontrolle)Idee: Domänenorientierten Objektsicherheit, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher
IT-Umgebung wie nutzen darf.
Object Lifecycle Protection
Distributed Policy Enforcement (even on foreigen systems)
Erzeugung
Verarbeitung Vernichtung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 17
Paradigmenwechsel – (3)
Mehr proaktive IT-Sicherheit (1/2)
Reaktive IT-Sicherheitssysteme
Wir rennen den IT-Angriffen hinterher!
Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir so schnell wie möglich zu schützen.
Beispiele für reaktive Sicherheitssysteme sind:
Firewall-Systeme Indrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …
„Airbag-Methode“
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 18
Paradigmenwechsel – (3)
Mehr proaktive IT-Sicherheit (2/2)
Proaktive Sicherheitssysteme
Es ist viel besser, wenn wir proaktive Sicherheitsmechanismen etablieren und nutzen.
Und hier spielt eine Sicherheitsplattform auf der Basis von Trusted Computing eine wichtige Rolle.
„ESP-Strategie“
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 19
Paradigmenwechsel – (3)
Security Kernel (Vertrauenswürdige Basis)
Hardware
OS OS
Turaya Security Kernel
App
Isolation Policy EnforcementApp
App
Modularization Trusted Computing Base (TCB) Virtualization Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 20
Paradigmenwechsel – (3)
Sicherstellung der Integrität
Essentielle Voraussetzung
Manipulationsfreies Hardwaremodul
(z.B. TPM)
Integrität während des Bootprozesses
(Trused Boot)
Integration von Integritätskontrolle in Systeme Secure Binding
Bindung des Systemstarts an vertrauenswürdigen Zustand
Start des Security Kernels ausschließlich bei Manipulationsfreiheit Remote Attestation
Ermöglicht entfernte Integritäts-Prüfung
Kommunikation nur mit vertrauenswürdigen Systemen Isolation fehlerhafter Systeme
OS
Turaya Security Kernel
Hardware
OS
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 21
Paradigmenwechsel – (3)
Vertrauenswürdige Cloud Rechner
TVD TVD App OS App OS App OS App OS App OS App OS Virtualization Policy Enforcement Virtualization Policy Enforcement TVD
Integrity Proof Integrity Proof
Trusted Cloud Manager
TVD = Trusted Virtual Domains
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 22
Paradigmenwechsel – (3)
Vertrauenswürdige Endsysteme
TVD = Trusted Virtual Domains
Trusted Desktop System
TVD TVD TVD App OS App OS App OS App OS
Turaya Security Kernel
Policy Enforcement
Trusted GUI
Integrity Proof
Virtualization and Isloation
Trusted Organisation
Manager
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 23
Paradigmenwechsel – (3)
Proaktive Cloud Sicherheit
TVD = Trusted Virtual Domains
TVD TVD TVD App OS App OS App OS App OS
Turaya Security Kernel
Policy Enforcement Trusted GUI
Integrity Proof Virtualization and Isloation
TVD TVD App OS App OS App OS App OS App OS TVD App OS
Trusted Desktop System
Virtualization
Policy Enforcement
Virtualization
Policy Enforcement Integrity Proof Integrity Proof
Trusted Organisation
Manager
Trusted Cloud Manager
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 24
Paradigmenwechsel in der IT-Sec
Fazit und Ausblick
Grundlegende Rahmenbedingungen haben sich geändert!
Radikale Veränderung in der IT (Mobile Geräte, Cloud, Soziale Netze, ...)
Die zu schützenden Werte steigen ständig und ändern sich mit der Zeit
(Bits und Bytes: von Daten, Informationen, Wissen, ... zu Intelligenzen)
Die Angriffsmodelle innovieren und Angreifer werden professioneller.
Mit der Zeit werden die IT-Sicherheits- und Datenschutzprobleme immer größer!
Wir brauchen Paradigmenwechsel in der IT-Sicherheit , um in der Zukunft das Internet vertrauenswürdige nutzen zu können!
Mehr Vertrauenswürdigkeit
Mehr Objekt-Sicherheit (Informationsflusskontrolle)
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de