2. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
3. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch
• Anzahl der schweren Sicherheitslücken zu hoch
• Angriffswerkzeuge werden ständig verbessert
4. BSI Lagebericht 2014
• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière
• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch
• Anzahl der schweren Sicherheitslücken zu hoch
• Angriffswerkzeuge werden ständig verbessert
• Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur,
Staatliche Stellen, Forschung aber auch Bürgerinnen und
Bürger
5. Vorfälle 2014
Statistik der Bundesverwaltung 2014
• 60.000 verseuchte E-mails pro Monat
• 15-20 neue (dem AV unbekannte) Malware pro Tag
• 1 Angriff pro Tag nachrichtendienstlich
• 3500 Zugriffe auf Schadcodeservern pro Tag
• 1 DoS Angriff pro Monat
• 0 Mobilangriffe
6. Vorfälle 2014
Wirtschaft 2014
• Angriff auf Stahlwerk richtet Schaden an Hochofen an
• Energiebetreiber in DE generiert Probleme in Österreich
• Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an
und zieht Daten ab
• WindigoKampagne infiziert 30000 Linux Rechner in DE
• Bankrott in GB
• Hochfrequenzhandel in USA
9. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
10. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
11. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
12. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
13. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet
14. Angriffskategorien
• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte
Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet
• APT: auf gewisse Bereiche (Rüstung, Hochtechnologie, Autos,
Schiffe, Raumfahrt) gezielt, noch keine Lösung
15. Schwachstellen mit hoher Relevanz
“Hauptproblem: Veraltete Patchstände von OS und Applikationen”
• Microsoft Internet Explorer, Office und Windows
• Adobe Flash und Reader
• Oracle Java
• Mozilla Firefox und Thunderbird
• Apple OS X, Quicktime und Safari
• Google Chrome
• Linux Kernel
• Schwachstellenampel CERT-Bund
16. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
17. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
18. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert
• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551
• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551
• Silverlight CVE-2013-3896/0074
19. Beispiel Exploit Kit Angler
• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert
• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551
• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551
• Silverlight CVE-2013-3896/0074
• Patchlevel
• Adobe Flash – November 2014
• Internet Explorer – MS14-021 21 April 2014 (0-day)
• Silverlight – MS13-087 Oktober 2014
20. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
21. Beispiel Exploit Kit Angler - Update
• Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine
22. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
23. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
24. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
25. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
26. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
27. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen
28. Beispiel Exploit Kit Angler - Update
• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff
• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen
29. Fazit
• Gefahrenlage ist hoch
• Regierung
• Strukturiert sich im Moment
• International Aspekte erschweren
• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten
30. Fazit
• Gefahrenlage ist hoch
• Regierung
• Strukturiert sich im Moment
• International Aspekte erschweren
• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten
• Firmen müssen sich selbst schützen
• BSI (und andere) Vorgaben befolgen
• Aus vergangen Angriffen lernen
• JP Morgan – Angreifer benutzten Username/Passwort gegen Server
• CHS – ‘Heartbleed’ Schwachstelle im VPN Server
• Sony – Wurm verbreitete sich durch SMB mit bekannten Passwörtern