IT-Sicherheit

(1)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

(2)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT und IT-Sicherheit

 Situation

2

IT ist „der Motor“ und die Basis für das Wohlergehen unserer modernen und globalen Gesellschaft.

Der Digitalisierungsprozess wird immer schneller und damit auch die Veränderungen in unseren Lebensräumen.

Unsere Arbeit, unsere Firmen, unsere Hochschulen, unsere Freizeit, unser ganzes Leben wird sich wandeln.

Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)! Professionelle Hacker greifen alles erfolgreich an! Das Risiko wird immer größer, die Schäden auch!

(3)

. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Was sind die Problemfelder?

 1. Privatheit und Autonomie

Privatheit / Autonomie

Verschiedenen Sichtweisen

Geschäftsmodelle „Bezahlen mit

persönlichen Daten“

Staat (NSA, BND, …): Identifizieren von terroristischen Aktivitäten Kulturelle Unterschiede

(Private Daten gehören den Firmen? US 76%, DE 22%)

Nutzer: Autonomie im

(4)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Was sind die Problemfelder?

 2. Wirtschaftsspionage

Wirtschaftsspionage

ca. 54 Milliarden € Schaden pro Jahr

Zum Vergleich:

Internet-Kriminalität: ca. 100 Millionen € pro Jahr

(Online Banking, DDoS, …)

(5)

Was sind die Problemfelder?

 3. Cyberwar

Cyberwar

Umsetzung von politischen Zielen  „einfach“ und „preiswert“

Angriffe auf Kritische Infrastrukturen

(6)

Internet-Sicherheit

 Die größten Herausforderungen

IT

Sicherheits-probleme

Zeit

heute

Snowden

Neue Gefahren

durch mobile Geräte

Manipulierte IT und IT Sicherheitstechnologie

(7)

. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit

 Evaluierung der Situation

Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!

Es handelt sich um ein globales Problem

Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten

Wir brauchen innovative Ansätze im Bereich der Internet-Sicherheit,

um das Risiko für unsere Gesellschaft auf ein angemessenes Maß

(8)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 8

Prinzipielle IT Sicherheitsstrategien

 Fokussierung

Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.

Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?

$

(9)

Prinzipielle IT Sicherheitsstrategien



Vermeiden

von Angriffen – (1)

Generell gilt: Das Prinzip der digitalen Sparsamkeit.

 So wenig Daten generieren wie möglich, so viele wie nötig.

Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)

Bewertung der Vermeidung

Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar,

wenn wir IT mit allen Vorteilen nutzen wollen!

Assets

(10)

Prinzipielle IT Sicherheitsstrategien



Entgegenwirken

von Angriffen – (2)

Meist verwendete IT-Sicherheitsstrategie

Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme

(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren

(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme

(Security Kernel, Isolierung u. Separierung, ..) …

Bewertung des Entgegenwirkens

Eine naheliegende IT-Sicherheitsstrategie

Leider stehen zurzeit nicht genug

wirkungsvolle

und

vertrauenswürdige

IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung oder

sind nicht im Einsatz

Direct Threat

Assets

(11)

Prinzipielle Sicherheitsstrategien



Erkennen

von Angriffen – (3)

Erkennen von Angriffen, denen nicht entgegengewirkt werden kann

Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)

Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn

Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden

Bewertung des Erkennens

Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen

Attack trial Monitoring Monitoring Monitoring Assets

$

(12)

Block

Chain



Distributed Ledger

 Übersicht

12

Die „BlockChain“ ist eine spannende und faszinierende IT-Technologie, die das Potential hat, Politik, Verwaltung und Wirtschaftszweige gewaltig auf den Kopf zu stellen.

Die BlockChain-Technologie ist eine Querschnittstechnologie mit hohem disruptiven Potenzial für viele Wirtschaftsbereiche.

Die BlockChain-basierten Systeme könnten in vielen Bereichen zentrale Instanzen ablösen, wie Banken, Notare oder Treuhänder.

Das ist möglich, weil die Validierungsalgorithmen der BlockChain

-Technologie, ganz ohne solche Intermediäre, die Vertrauenswürdigkeit der aufgezeichneten Transaktionsdaten garantieren.

Die BlockChain-Technologie macht IT-Systeme effektiver und sicherer

(13)

Block

Chain

Konzept

 Unterschiedliche Sichtweisen

Für einen Informatiker ist die BlockChain eine einfache Datenstruktur, die Daten sind in einzelnen „Blöcken“ verkettet und in einem

verteilten Netz redundant (mehrfach) verwaltet.

Die Alternative wäre z.B. eine konventionelle Datenbank.

Für die IT-Sicherheitsexperten hat die BlockChain den Vorteil, dass die

Daten in den einzelnen „Blöcken“ manipulationssicher gespeichert

werden können, das heißt, die Teilnehmer an der BlockChain sind in der Lage,

 die Echtheit,

 den Ursprung und

 die Unversehrtheit der gespeicherten Daten zu überprüfen. Die Alternative wäre z.B. ein PKI-System.

Für den Anwendungsdesigner bedeutet die Nutzung der BlockChain -Technologie eine vertrauenswürdige Zusammenarbeit zwischen

verschiedenen Organisationen.

(14)

Block

Chain

-Technologie

 Verteilte Datenbank/

Collaboration-Tool

14

BlockChains

sind fälschungssichere,

verteilte, redundante Datenstrukturen

in denen Transaktionen in der Zeitfolge protokolliert nachvollziehbar, unveränderlich und

ohne zentrale Instanz abgebildet sind.

BlockChain-Technologie

Lassen sich Eigentumsverhältnisse (digital Assets)

direkter und effizienter als bislang sichern und regeln,

da eine lückenlose und unveränderliche Datenaufzeichnung hierfür die Grundlage schafft.

Alle Beglaubigungsprozesse werden schneller, sicherer und billiger.

kryptographische Verfahren

Vielzahl von Teilnehmern gespeichert Art der Verkettung jeder kann Kryptographie überprüfen geeignete Konsensfindungsverfahren

(15)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Block

Chain

Anwendungen

 Krypto-Währung: Bitcoin

Idee:

Bitcoin ist eine Internetwährung, die verteilt,

dezentral und unabhängig von einer Zentralbank

ein globales Zahlungsnetzwerk zur Verfügung stellt.

Verfahren:

Die Funktionsweise des Bitcoin-Systems stellt sicher, dass es in ein paar Jahrzehnten maximal 21.000.000 Bitcoins weltweit geben wird.  Die Node, die beim Mining gewonnen hat, bekommt 12,5 Bitcoins

als Belohnung – Stand 2017

Jede Person hat eine Wallet und der Public-Key entspricht der

Kontonummer. Mit dem Private-Key werden Transaktionen signiert,

um Guthaben auf diesem Bitcoin-Konto an eine andere Adresse zu überweisen (public permissionless Blockchain).

Herausforderungen:

Gesetzliche Grundlage, schwankender Kurs (Zahlungssystem), globale Souveränität, …

(16)

Block

Chain

Anwendungen

 Smart Contracts

16

Idee:

Automatische Umsetzung von Verträgen.

Verfahren:

Programmierbare Verträge werden

durch einen Quelltext (ausführbarer Programmcode) definiert und bei zuvor festgelegten Bedingungen

automatisch auf BlockChain ausgeführt.

Smart Contracts stellen eine Kontroll- oder Geschäftsregel innerhalb eines technischen Protokolls dar.

Beispiel:

Ein geleastes Auto startet nur, wenn die Leasingrate eingegangen ist. Eine entsprechende Anfrage des Autos an die BlockChain würde genügen.

(17)

Block

Chain

Anwendungen

 Supply Chain

Idee: Automatische Produktions-, Bezahl- und Lieferkette. Ablauf

Nach der Bestellung wird die Konstruktion des gewünschten Teils an die BlockChain gesendet (one time use only)

Produktion: Das Teil wird gedruckt (pay per use) Nach dem Druck läuft die Zahlung automatisch.

(18)

Neue Strategien und Lösungen

 Mehr proaktive statt reaktive IT-Sicherheit (1/2)

Reaktive IT-Sicherheitssysteme

Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher!

Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren.

Beispiele für reaktive Sicherheitssysteme sind:

Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …

„Airbag-Methode“

(19)

Neue Strategien und Lösungen

 Mehr proaktive statt reaktive IT-Sicherheit (2/2)

Proaktive Sicherheitssysteme

Proaktive Sicherheitsmechanismen machen IT-Systeme robuster und vertrauenswürdiger.

Hier spielen Sicherheitsplattformen auf der Basis von

intelligenten kryptographischen Verfahren eine wichtige Rolle.

(

Vertrauenswürdige Basis

)

„ESP-Strategie“

(20)

 Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen OS 20

Neue Strategien und Lösungen

 Vertrauenswürdige Basis

Hardware

OS OS

Security Kernel / Virtualization

App

Isolation Policy Enforcement

App

Modularization Trusted Computing Base Virtualization

Trusted Software Layer

App

Security Module Trusted Boot Remote Attestation, Binding, Sealing … Trusted Plattform Integrity Control Robustness/Modularity Trusted Interaction Trusted Process Security Management

App

Trusted Virtual Domains

(21)

Neue Strategien und Lösungen

 Mehr

Objekt-

statt

Perimeter-

Sicherheit (1/2)

Perimeter-Sicherheit (Abschottung „Netz“)

Abwehrmodell:

Schützt eine Anzahl von Computern und Netzwerken mit der Hilfe von Firewall-Systemen, VPNs, Intrusion Detection, usw. Annahme: Die Computer und das Netz sind fest installiert.

Bewertung:

Die moderne Geschäftswelt nutzt flexible und verteilte mobile Geräte.

Perimeter-Sicherheit kann uns nicht, wie in der Vergangenheit, schützen.

(22)

Neue Strategien und Lösungen

 Mehr

Objekt-

statt

Perimeter-

Sicherheit (2/2)

Objekt-Sicherheit (Informationsflusskontrolle)

Idee: Domänenorientierte Objektsicherheit, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher

IT-Umgebung wie nutzen darf.

Object Lifecycle Protection

Distributed Policy Enforcement (even on foreigen systems)

Erzeugung

Verarbeitung Vernichtung

(23)

Neue Strategien und Lösungen

 Mehr

Zusammenarbeit

statt

Separation

Ungleichgewicht bei Angreifern und Verteidigern im Internet

Zusammenarbeit hilft das Ungleichgewicht zu überwinden.

Gemeinsame Kompetenzzentren Austausch von Lagebildern

Gemeinsame Reaktionen auf Angriffe und Bedrohungen Definition von notwendigen IT-Sicherheitsmechanismen

(24)

Roboter

 Sicherheit und Vertrauenswürdigkeit

24

Die Hausroboter:

… Teppiche saugen, den Rasen mähen, die Fenster putzen, Vorlesen, Überwachen, dass wir nicht hilflos auf dem Boden liegen oder den Herd nicht ausgeschalten haben …

Killerroboter oder Waffensysteme:

… Killerroboter werden bei Kriegshandlungen genutzt … sie sind

leistungsstark und mehr oder weniger unverletzbar ... sie werden z.B. genutzt, um Bomben zu entschärfen und halfen dabei, den

Heckenschützen in Dallas zu töten. Moderne Drohnen sind heutzutage für

viele Eliminierungen von Kriminellen, Terroristen und Soldaten verantwortlich.

Industrieroboter:

… Industrieroboter können kontinuierlich arbeiten, präzise verfahren und Aufgaben schnell erledigen, wie z.B. Autos schweißen und montieren, Mülltonnen leeren, Patienten operieren, usw.

(25)

Roboter

 Herausforderungen

Unversehrtheit von Menschen

Bis jetzt war der Schaden eher finanzieller Natur! Qualität der Software

IT-Security-Maßnahmen (gehen „Hacking“) Safety-Maßnahmen (Schutz von Lebewesen) …

Ethik

Was soll ein Roboter dürfen? Menschen erschießen?

Entscheiden, wer bei einem Unfall streben soll? …

(26)

 Prof . Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule

 Die gesamte Netzwerk-Sicherheitslage im Überblick  Reporting und Alarmierungen

 Zugang zu Experten-Know-how

 Passive Netzwerk-Monitoring-Lösung

 Erkennung von neuen und gezielten Angriffen durch Verhaltensanalysen

 Verhinderung von Angriffen durch Steigerung der Netzwerk-Resistenz

 Aufdecken und Beseitigen von Schwachstellen

 Priorisierung und Handlungsempfehlungen

 Hocheffiziente und intelligente Netzwerkanalyse in Deutschland entwickelt ohne Backdoors

 Extreme Detailtiefe bei geringen Datenmengen, ewig speicherbar und Datenschutzkonform

 Einfach zu implementieren mit geringstem Pflegeaufwand

Ziele der Technologie

Die persönliche Landkarte Ihres Netzwerks

Das Wertversprechen

26

Mehr Informationen finden Sie unter

www.finally-safe.com/spotuation

https://www.finally-safe.com/startseite.html

Optimierte Strategien und Lösungen!

(27)

. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir

chen Identifikation/Authentifikation - Signatur

 XignQR

Einfach, schnell, benutzerfreundlich & sicher Adaptive Authentifizierung und rechtlich

bindende e-Unterschriften ohne Passwort, TAN oder Zusatzhardware

Identity- & Accessmanagement as a Service oder on-premise

Flexibel und schnelle Integration

Unzählige Anwendungsfälle vom Login an PC oder Webseite, über Transaktionen und Dokumentensignaturen

Modernste Identifikationsverfahren,

z.B. Video-Ident oder Gebrauchsmuster https://www.xignsys.com/

Optimierte Strategien und Lösungen!

(28)

Optimierte Strategien und Lösungen!

 Startups aus dem

if

(

is

)

– (3/3)

Quvert: Eine moderne Kommunikationsplattform (Chat)  smart, effizient und sicher

Verschlüsselung der Kommunikation (geht nicht ohne) Organisationsorientierung

 jede Firma verwaltet die eigene Kommunikation

Aber, auch sichere Inter-Organisationskommunikation möglich Features

Identity-Management (vertrauenswürdig)

Verfügbarkeitsstatus (Auto, Flugzeug, Urlaub, …) Knowhow Attribute – wie Ressourcen und Wissen Nachweisbarkeit von Geschäftsprozessen

Urlaubsanträge Dienstreisen Budget Usw. 28

Quvert

http://quvert.de/

(29)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

Mit Sicherheit in die Zukunft!

IT-Sicherheit

(30)

Anhang / Credits

Quellen Bildmaterial Eingebettete Piktogramme:

• Institut für Internet-Sicherheit – if(is)

Wir empfehlen • Kostenlose App securityNews

• 7. Sinn im Internet (Cyberschutzraum)

https://www.youtube.com/channel/UCEMkHjW9dHcWfek_En3xhjg

•

• Cybärcast – Der IT-Sicherheit Podcast

https://podcast.internet-sicherheit.de/

• Master Internet-Sicherheit

https://it-sicherheit.de/master-studieren/

Besuchen und abonnieren Sie uns :-) WWW https://www.internet-sicherheit.de Facebook https://www.facebook.com/Internet.Sicherheit.ifis Twitter https://twitter.com/_ifis Google+ https://plus.google.com/107690471983651262369/posts YouTube https://www.youtube.com/user/InternetSicherheitDE/

Prof. Norbert Pohlmann

https://norbert-pohlmann.com/

Der Marktplatz IT-Sicherheit (IT-Sicherheits-) Anbieter, Lösungen, Jobs,

Veranstaltungen und Hilfestellungen (Ratgeber, IT-Sicherheitstipps, Glossar, u.v.m.) leicht & einfach finden.

https://www.it-sicherheit.de/

(31)

Literatur

Artikel:

H.B. Dhia, N. Pohlmann: „Intelligente Helfer als persönliche Assistenten. Wie sicher und

vertrauenswürdig sind Roboter?“, IT-Sicherheit – Fachmagazin für Informationssicherheit und Compliance, DATAKONTEXT-Fachverlag, 4/2016

https://norbert-pohlmann.com/app/uploads/2017/03/350-Intelligente-Helfer-als-persönliche-Assistenten-Wie-sicher-und-vertrauenswürdig-sind-Roboter-Prof.-Norbert-Pohlmann.pdf

N. Pohlmann: „Cyber Security“, WISU – Das Wirtschaftsstudium, Lange Verlag, 2/2015

https://norbert-pohlmann.com/app/uploads/2015/08/331-Cyber-Security-Die-Herausforderung-unserer-Gesellschaft-Prof.-Norbert-Pohlmann.pdf