Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
IT-Sicherheit
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT und IT-Sicherheit
Situation
2IT ist „der Motor“ und die Basis für das Wohlergehen unserer modernen und globalen Gesellschaft.
Der Digitalisierungsprozess wird immer schneller und damit auch die Veränderungen in unseren Lebensräumen.
Unsere Arbeit, unsere Firmen, unsere Hochschulen, unsere Freizeit, unser ganzes Leben wird sich wandeln.
Die IT und IT-Sicherheitstechnologien sind nicht sicher und vertrauenswürdig genug (Widerstandsfähigkeit)! Professionelle Hacker greifen alles erfolgreich an! Das Risiko wird immer größer, die Schäden auch!
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
1. Privatheit und Autonomie
Privatheit / Autonomie
Verschiedenen Sichtweisen
Geschäftsmodelle „Bezahlen mit
persönlichen Daten“
Staat (NSA, BND, …): Identifizieren von terroristischen Aktivitäten Kulturelle Unterschiede
(Private Daten gehören den Firmen? US 76%, DE 22%)
Nutzer: Autonomie im
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
2. Wirtschaftsspionage
Wirtschaftsspionage
ca. 54 Milliarden € Schaden pro Jahr
Zum Vergleich:
Internet-Kriminalität: ca. 100 Millionen € pro Jahr
(Online Banking, DDoS, …)
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Was sind die Problemfelder?
3. Cyberwar
Cyberwar
Umsetzung von politischen Zielen „einfach“ und „preiswert“
Angriffe auf Kritische Infrastrukturen
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Internet-Sicherheit
Die größten Herausforderungen
IT
Sicherheits-probleme
Zeit
heuteSnowden
Neue Gefahrendurch mobile Geräte
Manipulierte IT und IT Sicherheitstechnologie
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Evaluierung der Situation
Wir kennen die IT-Sicherheitsprobleme, doch die heute vorhandenen und genutzten IT-Sicherheitssysteme und IT-Sicherheitsmaßnahmen reduzieren das IT-Sicherheitsrisiko nicht ausreichend!
Es handelt sich um ein globales Problem
Die zukünftigen Angriffe werden die heutigen Schäden noch deutlich überschreiten
Wir brauchen innovative Ansätze im Bereich der Internet-Sicherheit,
um das Risiko für unsere Gesellschaft auf ein angemessenes Maß
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 8
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?
$
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Generell gilt: Das Prinzip der digitalen Sparsamkeit.
So wenig Daten generieren wie möglich, so viele wie nötig.
Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar,
wenn wir IT mit allen Vorteilen nutzen wollen!
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 10
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..) …
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider stehen zurzeit nicht genug
wirkungsvolle
undvertrauenswürdige
IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung odersind nicht im Einsatz
Direct Threat
Assets
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)
Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen
Attack trial Monitoring Monitoring Monitoring Assets
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
Distributed Ledger
Übersicht
12
Die „BlockChain“ ist eine spannende und faszinierende IT-Technologie, die das Potential hat, Politik, Verwaltung und Wirtschaftszweige gewaltig auf den Kopf zu stellen.
Die BlockChain-Technologie ist eine Querschnittstechnologie mit hohem disruptiven Potenzial für viele Wirtschaftsbereiche.
Die BlockChain-basierten Systeme könnten in vielen Bereichen zentrale Instanzen ablösen, wie Banken, Notare oder Treuhänder.
Das ist möglich, weil die Validierungsalgorithmen der BlockChain
-Technologie, ganz ohne solche Intermediäre, die Vertrauenswürdigkeit der aufgezeichneten Transaktionsdaten garantieren.
Die BlockChain-Technologie macht IT-Systeme effektiver und sicherer
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
Konzept
Unterschiedliche Sichtweisen
Für einen Informatiker ist die BlockChain eine einfache Datenstruktur, die Daten sind in einzelnen „Blöcken“ verkettet und in einem
verteilten Netz redundant (mehrfach) verwaltet.
Die Alternative wäre z.B. eine konventionelle Datenbank.
Für die IT-Sicherheitsexperten hat die BlockChain den Vorteil, dass die
Daten in den einzelnen „Blöcken“ manipulationssicher gespeichert
werden können, das heißt, die Teilnehmer an der BlockChain sind in der Lage,
die Echtheit,
den Ursprung und
die Unversehrtheit der gespeicherten Daten zu überprüfen. Die Alternative wäre z.B. ein PKI-System.
Für den Anwendungsdesigner bedeutet die Nutzung der BlockChain -Technologie eine vertrauenswürdige Zusammenarbeit zwischen
verschiedenen Organisationen.
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
-Technologie
Verteilte Datenbank/
Collaboration-Tool
14
BlockChains
sind fälschungssichere,
verteilte, redundante Datenstrukturen
in denen Transaktionen in der Zeitfolge protokolliert nachvollziehbar, unveränderlich und
ohne zentrale Instanz abgebildet sind.
BlockChain-Technologie
Lassen sich Eigentumsverhältnisse (digital Assets)
direkter und effizienter als bislang sichern und regeln,
da eine lückenlose und unveränderliche Datenaufzeichnung hierfür die Grundlage schafft.
Alle Beglaubigungsprozesse werden schneller, sicherer und billiger.
kryptographische Verfahren
Vielzahl von Teilnehmern gespeichert Art der Verkettung jeder kann Kryptographie überprüfen geeignete Konsensfindungsverfahren
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
Anwendungen
Krypto-Währung: Bitcoin
Idee:
Bitcoin ist eine Internetwährung, die verteilt,
dezentral und unabhängig von einer Zentralbank
ein globales Zahlungsnetzwerk zur Verfügung stellt.
Verfahren:
Die Funktionsweise des Bitcoin-Systems stellt sicher, dass es in ein paar Jahrzehnten maximal 21.000.000 Bitcoins weltweit geben wird. Die Node, die beim Mining gewonnen hat, bekommt 12,5 Bitcoins
als Belohnung – Stand 2017
Jede Person hat eine Wallet und der Public-Key entspricht der
Kontonummer. Mit dem Private-Key werden Transaktionen signiert,
um Guthaben auf diesem Bitcoin-Konto an eine andere Adresse zu überweisen (public permissionless Blockchain).
Herausforderungen:
Gesetzliche Grundlage, schwankender Kurs (Zahlungssystem), globale Souveränität, …
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
Anwendungen
Smart Contracts
16
Idee:
Automatische Umsetzung von Verträgen.
Verfahren:
Programmierbare Verträge werden
durch einen Quelltext (ausführbarer Programmcode) definiert und bei zuvor festgelegten Bedingungen
automatisch auf BlockChain ausgeführt.
Smart Contracts stellen eine Kontroll- oder Geschäftsregel innerhalb eines technischen Protokolls dar.
Beispiel:
Ein geleastes Auto startet nur, wenn die Leasingrate eingegangen ist. Eine entsprechende Anfrage des Autos an die BlockChain würde genügen.
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Block
Chain
Anwendungen
Supply Chain
Idee: Automatische Produktions-, Bezahl- und Lieferkette. Ablauf
Nach der Bestellung wird die Konstruktion des gewünschten Teils an die BlockChain gesendet (one time use only)
Produktion: Das Teil wird gedruckt (pay per use) Nach dem Druck läuft die Zahlung automatisch.
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 18
Neue Strategien und Lösungen
Mehr proaktive statt reaktive IT-Sicherheit (1/2)
Reaktive IT-Sicherheitssysteme
Bei reaktiven IT-Sicherheitssystemen rennen wir den IT-Angriffen hinterher!
Das bedeutet, wenn wir einen Angriff erkennen, dann versuchen wir uns so schnell wie möglich zu schützen, um den Schaden zu reduzieren.
Beispiele für reaktive Sicherheitssysteme sind:
Firewall-Systeme Intrusion Detection Anti-Malwareprodukte Anti-Spam /-Phishing, …
„Airbag-Methode“
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Neue Strategien und Lösungen
Mehr proaktive statt reaktive IT-Sicherheit (2/2)
Proaktive Sicherheitssysteme
Proaktive Sicherheitsmechanismen machen IT-Systeme robuster und vertrauenswürdiger.
Hier spielen Sicherheitsplattformen auf der Basis von
intelligenten kryptographischen Verfahren eine wichtige Rolle.
(
Vertrauenswürdige Basis
)
„ESP-Strategie“
Prof . Nor bert Pohl m ann , Ins titut für Intern et -Si cherh eit -if (is) , W e stf älische Hoc hsch ule, Gels enkir chen OS 20
Neue Strategien und Lösungen
Vertrauenswürdige Basis
Hardware
OS OS
Security Kernel / Virtualization
App
Isolation Policy EnforcementApp
Modularization Trusted Computing Base VirtualizationTrusted Software Layer
App
Security Module Trusted Boot Remote Attestation, Binding, Sealing … Trusted Plattform Integrity Control Robustness/Modularity Trusted Interaction Trusted Process Security ManagementApp
App
Trusted Virtual Domains. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Neue Strategien und Lösungen
Mehr
Objekt-
statt
Perimeter-
Sicherheit (1/2)
Perimeter-Sicherheit (Abschottung „Netz“)
Abwehrmodell:
Schützt eine Anzahl von Computern und Netzwerken mit der Hilfe von Firewall-Systemen, VPNs, Intrusion Detection, usw. Annahme: Die Computer und das Netz sind fest installiert.
Bewertung:
Die moderne Geschäftswelt nutzt flexible und verteilte mobile Geräte.
Perimeter-Sicherheit kann uns nicht, wie in der Vergangenheit, schützen.
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 22
Neue Strategien und Lösungen
Mehr
Objekt-
statt
Perimeter-
Sicherheit (2/2)
Objekt-Sicherheit (Informationsflusskontrolle)
Idee: Domänenorientierte Objektsicherheit, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher
IT-Umgebung wie nutzen darf.
Object Lifecycle Protection
Distributed Policy Enforcement (even on foreigen systems)
Erzeugung
Verarbeitung Vernichtung
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Neue Strategien und Lösungen
Mehr
Zusammenarbeit
statt
Separation
Ungleichgewicht bei Angreifern und Verteidigern im Internet
Zusammenarbeit hilft das Ungleichgewicht zu überwinden.
Gemeinsame Kompetenzzentren Austausch von Lagebildern
Gemeinsame Reaktionen auf Angriffe und Bedrohungen Definition von notwendigen IT-Sicherheitsmechanismen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Roboter
Sicherheit und Vertrauenswürdigkeit
24
Die Hausroboter:
… Teppiche saugen, den Rasen mähen, die Fenster putzen, Vorlesen, Überwachen, dass wir nicht hilflos auf dem Boden liegen oder den Herd nicht ausgeschalten haben …
Killerroboter oder Waffensysteme:
… Killerroboter werden bei Kriegshandlungen genutzt … sie sind
leistungsstark und mehr oder weniger unverletzbar ... sie werden z.B. genutzt, um Bomben zu entschärfen und halfen dabei, den
Heckenschützen in Dallas zu töten. Moderne Drohnen sind heutzutage für
viele Eliminierungen von Kriminellen, Terroristen und Soldaten verantwortlich.
Industrieroboter:
… Industrieroboter können kontinuierlich arbeiten, präzise verfahren und Aufgaben schnell erledigen, wie z.B. Autos schweißen und montieren, Mülltonnen leeren, Patienten operieren, usw.
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Roboter
Herausforderungen
Unversehrtheit von Menschen
Bis jetzt war der Schaden eher finanzieller Natur! Qualität der Software
IT-Security-Maßnahmen (gehen „Hacking“) Safety-Maßnahmen (Schutz von Lebewesen) …
Ethik
Was soll ein Roboter dürfen? Menschen erschießen?
Entscheiden, wer bei einem Unfall streben soll? …
Prof . Nor bert Pohl m ann , M a ik H eidisch, In stitu t für Inter net -S iche rheit -if (i s), W estf ä lisch e Ho chsc hule
Die gesamte Netzwerk-Sicherheitslage im Überblick Reporting und Alarmierungen
Zugang zu Experten-Know-how
Passive Netzwerk-Monitoring-Lösung
Erkennung von neuen und gezielten Angriffen durch Verhaltensanalysen
Verhinderung von Angriffen durch Steigerung der Netzwerk-Resistenz
Aufdecken und Beseitigen von Schwachstellen
Priorisierung und Handlungsempfehlungen
Hocheffiziente und intelligente Netzwerkanalyse in Deutschland entwickelt ohne Backdoors
Extreme Detailtiefe bei geringen Datenmengen, ewig speicherbar und Datenschutzkonform
Einfach zu implementieren mit geringstem Pflegeaufwand
Ziele der Technologie
Die persönliche Landkarte Ihres Netzwerks
Das Wertversprechen
26
Mehr Informationen finden Sie unter
www.finally-safe.com/spotuation
https://www.finally-safe.com/startseite.html
Optimierte Strategien und Lösungen!
. Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir
chen Identifikation/Authentifikation - Signatur
XignQR
Einfach, schnell, benutzerfreundlich & sicher Adaptive Authentifizierung und rechtlich
bindende e-Unterschriften ohne Passwort, TAN oder Zusatzhardware
Identity- & Accessmanagement as a Service oder on-premise
Flexibel und schnelle Integration
Unzählige Anwendungsfälle vom Login an PC oder Webseite, über Transaktionen und Dokumentensignaturen
Modernste Identifikationsverfahren,
z.B. Video-Ident oder Gebrauchsmuster https://www.xignsys.com/
Optimierte Strategien und Lösungen!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Optimierte Strategien und Lösungen!
Startups aus dem
if
(
is
)
– (3/3)
Quvert: Eine moderne Kommunikationsplattform (Chat) smart, effizient und sicher
Verschlüsselung der Kommunikation (geht nicht ohne) Organisationsorientierung
jede Firma verwaltet die eigene Kommunikation
Aber, auch sichere Inter-Organisationskommunikation möglich Features
Identity-Management (vertrauenswürdig)
Verfügbarkeitsstatus (Auto, Flugzeug, Urlaub, …) Knowhow Attribute – wie Ressourcen und Wissen Nachweisbarkeit von Geschäftsprozessen
Urlaubsanträge Dienstreisen Budget Usw. 28
Quvert
http://quvert.de/Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
Mit Sicherheit in die Zukunft!
IT-Sicherheit
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Anhang / Credits
Quellen Bildmaterial Eingebettete Piktogramme:• Institut für Internet-Sicherheit – if(is)
Wir empfehlen • Kostenlose App securityNews
• 7. Sinn im Internet (Cyberschutzraum)
https://www.youtube.com/channel/UCEMkHjW9dHcWfek_En3xhjg
•
• Cybärcast – Der IT-Sicherheit Podcast
https://podcast.internet-sicherheit.de/
• Master Internet-Sicherheit
https://it-sicherheit.de/master-studieren/
Besuchen und abonnieren Sie uns :-) WWW https://www.internet-sicherheit.de Facebook https://www.facebook.com/Internet.Sicherheit.ifis Twitter https://twitter.com/_ifis Google+ https://plus.google.com/107690471983651262369/posts YouTube https://www.youtube.com/user/InternetSicherheitDE/
Prof. Norbert Pohlmann
https://norbert-pohlmann.com/
Der Marktplatz IT-Sicherheit (IT-Sicherheits-) Anbieter, Lösungen, Jobs,
Veranstaltungen und Hilfestellungen (Ratgeber, IT-Sicherheitstipps, Glossar, u.v.m.) leicht & einfach finden.
https://www.it-sicherheit.de/
. Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Literatur
Artikel:H.B. Dhia, N. Pohlmann: „Intelligente Helfer als persönliche Assistenten. Wie sicher und
vertrauenswürdig sind Roboter?“, IT-Sicherheit – Fachmagazin für Informationssicherheit und Compliance, DATAKONTEXT-Fachverlag, 4/2016
https://norbert-pohlmann.com/app/uploads/2017/03/350-Intelligente-Helfer-als-persönliche-Assistenten-Wie-sicher-und-vertrauenswürdig-sind-Roboter-Prof.-Norbert-Pohlmann.pdf
N. Pohlmann: „Cyber Security“, WISU – Das Wirtschaftsstudium, Lange Verlag, 2/2015
https://norbert-pohlmann.com/app/uploads/2015/08/331-Cyber-Security-Die-Herausforderung-unserer-Gesellschaft-Prof.-Norbert-Pohlmann.pdf