Sicherheitsgipfel - Chancen und Risiken der IT

467 Aufrufe

Veröffentlicht am

Beitrag von Frau Prof. Eckert unter dem Titel "Chancen und Risiken der IT" zum Sicherheitsgipfel der Deutschen Wirtschaft am 15. März 2013

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
467
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sicherheitsgipfel - Chancen und Risiken der IT

  1. 1. Chancen und Risiken der ITClaudia EckertFraunhofer AISECTU MünchenSicherheitsgipfel der Deutschen Wirtschaft, 15.3.20131
  2. 2. 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  3. 3. IKT ist Schlüsseltechnologie füralle BranchenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance
  4. 4. Zukunft: Vernetzte Menschen, und Objekte Mobiles Internet: jederzeit, von überall Neue Kommunikationsformen: soziale NetzeIKT ist Innovationstreiber• Gesundheit: z.B. personalisierte Medizin• Mobilität: z.B. Auto• Maschinenbau: z.B. ProduktionIKT als Chance
  5. 5. Sicherheit durch IKT-EinsatzKoordinieren, Steuern, ÜberwachenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance
  6. 6. 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  7. 7. IKT benötigt SicherheitSicherheitsbedrohungen Daten sind ein schützenswertes Gut:Manipulationsschutz, Datenvertraulichkeit, Privatsphäre … Daten steuern sicherheitskritische Abläufe/Prozesse:Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...
  8. 8.  Unsichere Software? Schwache Zugangscodes? Mobile Endgeräte? Faktor Mensch? Fehlende Sicherheitsvorgaben? Verletzliche Hardware? Cloud-Computing?Top-Bedrohungen?
  9. 9. Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)Angriffe aus Distanz und geringes Entdeckungsrisiko Jedes 4. Unternehmen war in 2011/12 Opfer vonCyber-AngriffenVeränderungen in der Täterstruktur: vom hochspezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseTatwaffe Internet ist permanent verfügbarGroße Gewinne sind erzielbarSchäden weltweit in 2012: 290 Mrd EuroBedrohungslageDer weltweit durchCyberkriminalitätverursachte Schadenbeträgt rund290 Mrd. €.Damit ist das Geschäft mitden Daten profitabler alsder globale Handel mitMarihuana, Kokain undHeroin zusammen.
  10. 10. Einfallstore für zunehmende Cyber-Attacken Zugangsdaten, Passworte Mobile Endgeräte, …. Manipulierte Hardware Faktor Mensch Unsichere Software:Mail-ServerBedrohungslage
  11. 11. 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: ProblembereichePassworte, Faktor Mensch, Mobile Endgeräte1. Sicherheit braucht Forschung2. Take Home MessageGliederung
  12. 12.  90% der erfolgreichen Angriffe 2012 durch schwacheoder mehrfache verwendete Passwörter: 1 Passwort füralles! 61 % der verwendeten Passwörter bestehen oder sindabgeleitet von Namen, Städten, Wörtern und Zahlen Vorgegebene Passworte werden notiert Nutzung Sozialer Netze Viele Daten über einzelne Nutzer verfügbar:Vorlieben, Geburtsdaten, Namen, …. Automatisiertes Sammeln dieser Daten unddamit automatisiertes PasswortCrackerProblem: Zugangsdaten, Passworte
  13. 13. Technisch und organisatorisch: Passwort ergänzen durch zusätzlichen Mechanismus 2-Faktor-Identitätsprüfung: Zusätzliche Sicherheitscodes eingeben Zusätzliches Token mit PIN-Code Passwort-Richtlinien: festlegen, prüfen, Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-Grundschutzleitfaden des Bundesamts für Sicherheit in der IT(BSI)Passworte: Empfehlungen
  14. 14. Mangelndes Bewusstsein, Bequemlichkeit Wer interessiert sich denn schon für mich?Einfallstor: Zugriff auf Unternehmensdaten Lokale Kopien sensitiver Daten: ungeschützt!Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe über die Behörde,Geschäftsabläufe, Kunden in Sozialen NetzeSicherheitsvorgaben veraltet, unvollständig, unwirksam, ….Problem: Faktor Mensch
  15. 15. Einheitliche Sicherheitsvorgabe: Festlegen und kontrollieren! Sicherheitskonzept mit abgestimmtenMaßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlSchulungen: Zielgruppenspezifisch: Leitungsebene wird häufig gezieltattackiert, targeted attack Mitarbeiter-Background beachtenFaktor Mensch: Empfehlungen
  16. 16. Milieus, Sinus-Studie 2011
  17. 17. Verlust / Diebstahl des Gerätes: Alle gespeicherten Daten in Händen Dritter E-Mails, Kontakte, SMS, DokumenteUnbemerkte Manipulation: Versenden gespeicherten Daten an Angreifer Mithören von Umgebungsgesprächen, TelefonatenNiedriges Schutzniveau : Angriffssoftware im Internet frei verfügbar Einfache Infektion des Zielobjektes über bösartige AppsProblem: Mobile Endgeräte
  18. 18. Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungMobile Endgeräte
  19. 19. Organisatorisch: Regelungen zum Gebrauch von mobilen Geräten Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung BYOD: dienstlichen Nutzung von privaten Geräten festlegenTechnisch: Gerätekonfiguration u.a. Benutzeridentifizierung: SIM/PIN, Gerätepasswort Speicherverschlüsselung, eMail-Verschlüsselung Fernwartung: MDM, RemoteWipe etc. VPNMobile Endgeräte: Empfehlungen
  20. 20. 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  21. 21. Sichere IKT brauchtinnovative LösungenSicherheit braucht Forschung
  22. 22. Beispiel: Sensorik (Steuereinheiten) im Auto Viele vernetzte Steuereinheiten GSM-Modul: FerndiagnoseSoftware-Updates Problem: fehlende KontrollenManipulieren, Betriebssicherheit störenHerausforderungen: Manipulationsresistente Hardware Sichere Komponenten-IdentifikationProblem: Unsichere Sensorik, Komponenten
  23. 23. Lösungsansätze:• Angriffs-resistente(re) Architekturen• Z.B. Gegen so genannte Seitenkanalangriffe• Verschleiern von Verhaltens-Charakteristika• Energie-sparende Verschlüsselung• Entwicklung robuster• Hardware-Sicherheitschipsz.B. im FahrzeugForschung:Sichere Eingebettete Komponenten
  24. 24. ProblemNachbau von High-Tech KomponenteLösungSecure Element als Hardwareanker für FirmwareAuthentifizierung zwischen Firmware und HardwareSoftware Obfuskation für FirmwareForschung: Konkrete LösungenBeispiel Produktschutz
  25. 25. Beispiel: Web-Anwendungen Problem: ProgrammierungEinschleusen von Viren, Trojanern Problem: mangelhafte KontrollenIdentitätsdiebstahl, DatenzugriffeHerausforderungen: Zuverlässige Abschottungen (Kaskadeneffekte) Selbst-Überwachung (Aufbau eines ‘Immunsystems’) Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )Problem: Unsichere Software
  26. 26. Lösungsansätze:• Isolierung von kritischen Anwendungen• Monitor-Komponente:• Erkennt Manipulationen• Erkennt Einbruchsversuche• Leitet Abwehrmaßnahmen ein• Sichere Ein-/Ausgabe• u.a. kein PhishingForschung:Sichere Software-Architekturenz.B. L4Linuxmit Android Patchesz.B. AndroidPlattformHypervisor mit VMI MonitorHardware, z.B. HSM, Multi-Corez.B. AppsSicheresBetriebssystem
  27. 27. Sicherheitslösung für Mobile EndgeräteTrust | me (http://ais.ec/trustme) Einrichtung verschiedener isolierterUmgebungen für den privaten undgeschäftlichen Bereich Einfacher Wechsel zwischen denUmgebungen Vertrauliche Daten bleiben vor demZugriff Dritter geschützt. Sicherheitsrelevante Daten wie PINs undPasswörter werden verschlüsselt in zBeiner MicroSD-Karte abgelegt.Forschung: Konkrete LösungenBeispiel: Trust | me
  28. 28. Sicherheitscheck für Android-AppsForschung: Konkrete LösungenBeispiel: AppRay
  29. 29. 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  30. 30. IKT ist InnovationsmotorEnergie, Mobilität, Gesundheit, ProduktionIKT ist verletzlichVerletzlichkeit der Nutzer, der GesellschaftIKT benötigt IT-SicherheitJeder kann beitragen: Zugangsdaten, Sensibilisierung,Gezielte Maßnahmen mit großen Effekten!Take Home MessageSicherheit benötigt ForschungSichere Hardware, Sichere Software-Architekturen, Analysen
  31. 31. Bitte beachtenSinnvolle Integration, überprüfte Wirksamkeit
  32. 32. Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de

×