Sie sind auf Seite 1von 35

GANZHEITLICHE CYBER SICHERHEIT.

Doris Brandl

Thomas Doms Markus Geier

GANZHEITLICHE CYBER SICHERHEIT. Doris Brandl Thomas Doms Markus Geier
Weltweite Datenmenge von 1,4 Zettabyte (21 Nullen) wandert bis 2016 in die „Cloud“
Weltweite Datenmenge von
1,4 Zettabyte (21 Nullen)
wandert bis 2016 in die „Cloud“

Quelle: Gartner

Informationswerte

sind Geld wert

Cybercrime wächst

schneller als Drogenhandel – jährlich um 66%
schneller als Drogenhandel
– jährlich um 66%
NSA: 11 Mrd $ pro Jahr 40.000 Mitarbeiter China UK ? Frankreich Schweden
NSA:
11 Mrd $ pro Jahr
40.000 Mitarbeiter
China
UK
?
Frankreich
Schweden

Daten & Fakten

Daten & Fakten • Über 50.000 neue Viren jeden Tag • NSA spielt Spähsoftware auf 100.000

Über 50.000 neue Viren jeden Tag

NSA spielt Spähsoftware auf 100.000 Computer weltweit. Diese müssen dafür gar nicht im Internet sein.

Super-Malware "BadBIOS" nistet sich im BIOS ein und verbindet sich notfalls auch über Lautsprecher und Mikrofon mit anderen Rechnern.

Steigerung des Datenverlustes um mehr als 30% jährlich

Alle 53 Sekunden wird in Europa ein Laptop gestohlen.

Pro Minute werden 2 Identitäten gestohlen und

misbraucht

Flurry.com sammelt pro Tag 3,5 Milliarden App-Sessions!

Cyber Security Prozess

Analyse • Cyber Security Asses- sments • Bedrohungs- analyse
Analyse
• Cyber
Security
Asses-
sments
• Bedrohungs-
analyse
Optimierung • Security Architektur • Risk Managemen t • Compliance
Optimierung
• Security
Architektur
• Risk
Managemen
t
• Compliance
Screening • Lagebild • Digitaler Wachdienst
Screening
• Lagebild
• Digitaler
Wachdienst
Intervention • Krisen- bewältigung • Notfall- manage- ment
Intervention
• Krisen-
bewältigung
• Notfall-
manage-
ment

Bedrohungsanalyse

Der Baustein enthält folgende Bestandteile:

1.

Erarbeitung des firmenspezifischen Threat Models, Aufnahme der relevanten

Geschäftsprozesse und deren Priorisierung (Schutzbedarf)

Perspektiven der technischen Bedrohungsanalyse:

Angreifertypen, Angriffsszenarien, Angriffsvektoren. Mitteleinsatz

Datenflüsse, betroffene Systeme, Infrastrukturen, Prozesse, Informationen

2.

Erhebung möglicher Schwachstellen und Betroffenheitsgrad mittels Analysetool

Erkennen und Vorhersehen von Bedrohungen, die auf den Geschäftsprozess wirken.

Abschätzung der Eintrittswahrscheinlichkeit von Bedrohungen und des potentiellen Schadens

3.

Auswertung mit Maßnahmenempfehlungen zur Behebungen von Schwachstellen, Bausteine für optimierte Schutzkonzepte (defense in depth)

eine strukturierte und priorisierte Liste von Bedrohungen als Ausgangsbasis für die Minimierung bzw. Eliminierung der Risiken.

Cyber Security Self Assessment

Cyber Security Self Assessment • Einschätzung des Cyber-Sec Reifegrads durch strukturierten Fragenkatalog •

Einschätzung des Cyber-Sec

Reifegrads durch strukturierten

Fragenkatalog

Vergleichbarkeit durch 4-stufiges Bewertungsschema anonymisiertes Benchmarking der Teilnehmer möglich

Basiert auf NIST* Cyber Security

Teilnehmer möglich • Basiert auf NIST* Cyber Security Framework • Referenzierungen zu weiteren Standards sind

Framework

Referenzierungen zu weiteren Standards sind vorhanden (z.B. ISO

27001)

Identifikation von Handlungsfeldern

Ausweis des Reifegrades und der Relevanz

*NIST: National Institute of Standards and Technology

Krisenbewältigung- und prävention

Ziel: Erhöhung der ITNM Prozessreife

Schwachstellen identifizieren durch Self Assessment Tool für Status-Check

Optimierung der Schnittstellen zum BNM

Beispieltemplates aus der TÜV ITNM Toolbox

Funktionsfähige Abläufe durch gezielte Krisentrainings

Gezielte Krisenkommunikation zur Vermeidung von Schäden (Reputation, Rechtsverstöße, Schadensersatzforderungen, etc.)

Gezielte Krisenkommunikation zur Vermeidung von Schäden (Reputation, Rechtsverstöße, Schadensersatzforderungen, etc.)
Gezielte Krisenkommunikation zur Vermeidung von Schäden (Reputation, Rechtsverstöße, Schadensersatzforderungen, etc.)

IT-Sicherheitsgesetz

Ausblick:

IT-Sicherheitsgesetz =

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Ziel:

Verbesserung der IT-Sicherheit bei Unternehmen, verstärkter Schutz der Bürgerinnen und Bürger in einem

sicheren Netz

Verbesserung und Schutz der Verfügbarkeit, Integrität und Vertraulichkeit datenverarbeitender Systeme

IT-Sicherheitsgesetz

Ausblick:

Geplanter Regelungsinhalt, u.a.:

spezielle Sicherungspflichten für Betreiber und Anbieter Kritischer Infrastrukturen

Meldung von IT-Sicherheitsvorfällen an das BSI sowie Information der Nutzer hinsichtlich bekannter Störungen durch Schadprogramme auf

deren datenverarbeitenden Systemen + Bereitstellung einfach bedienbarer

Hilfsmittel für Erkennung und Beseitigung

Aufgabe des BSI: Beratung und Unterstützung bei der Sicherung der Informationstechnik

Telekommunikations- und Telemediendiensteanbieter werden verpflichtet,

IT-Sicherheit nach dem Stand der Technik auch Telekommunikations- und

DV-Systeme gegen unerlaubte Zugriffe zu schützen (nicht nur wie bisher

nur zum Schutz der Vertraulichkeit und zum Schutz personenbezogener Daten)

IT-Sicherheitsgesetz

Ausblick:

Kritische Infrastrukturen im Sinne des IT- Sicherheitsgesetzes

= (…) Einrichtungen, Anlagen (…) in den Sektoren Energie,

Informationstechnik und Telekommunikation, Transport und

Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe

oder erhebliche Störungen der öffentlichen Sicherheit eintreten

würde.

IT-Sicherheitsgesetz

Ausblick:

Herausforderungen:

Telekommunikations- und Telemediendienste sollen Nutzungsdaten zum Schutz der Kunden und zur Beseitigung von Störungen verwenden dürfen

Gefahr vor Missbrauch!

BSI kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen

beraten, unterstützen oder auf qualifizierte Sicherheitsdienstleister

verweisen

Nach welchen Kriterien gilt ein Sicherheitsdienstleister als qualifiziert?

IT-Sicherheitsgesetz

Ausblick:

Konsequenzen, u.a.:

Meldung von IT-Sicherheitsvorfällen

Schutz vor unerlaubte Zugriffe nach dem Stand der Technik

Schutz vor unerlaubte Zugriffe nach dem Stand der Technik Erstellung eines Notfallplanes, Einführung eines

Erstellung eines Notfallplanes, Einführung eines Meldeprozesses, evtl. Hinzuziehung externer Berater notwendig!

IT-Sicherheitsgesetz

Technische und organisatorische Maßnahmen

§ 8a Entwurf IT-Sicherheitsgesetz:

„Betreiber Kritischer Infrastrukturen sind verpflichtet (…) angemessene organisatorische und technische Vorkehrungen und sonstigen Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“

Datenschutz/ Datensicherheit

Technische und organisatorische Maßnahmen

Datenschutz Datensicherheit Geschützt: Geschützt: • Hard-/Software Natürliche Personen • Daten § 9 BDSG
Datenschutz
Datensicherheit
Geschützt:
Geschützt:
• Hard-/Software
Natürliche Personen
• Daten
§ 9 BDSG
nebst
Anlage
Gefahr:
Gefahr:
• Verlust, Zerstörung,
Verletzung von Persön-
lichkeitsrechten
• Missbrauch durch
Unbefugte

Im Fokus steht die einzelne Person

Im Fokus steht das Unternehmen

Technische & organisatorische

Maßnahmen

Technische & organisatorische Maßnahmen

Technische & organisatorische

Maßnahmen

Vertrag zur Auftragsdatenverarbeitung (ADV)

§ 11 Abs. 1 Satz 1 BDSG:

„Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der

Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz

verantwortlich.“

FOLGE:

Auftraggeber ist für die Einhaltung der Vorschriften des BDSG und anderer

Vorschriften über den Datenschutz verantwortlich.

Haftung

Bußgeld

§ 43 Abs. 1 Nr. 2b, Abs. 3 BDSG:

Bußgeld bis zu 50.000 Euro möglich, wer entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Abs. 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim

Auftragnehmer getroffenen technischen und

organisatorischen Maßnahmen überzeugt.

Cyber Security als Pflicht?

Die Business Judgement Rule

Die Business Judgement Rule definiert, wann die Geschäftsleitung mit ausreichender Sorgfalt gehandelt hat. Voraussetzungen:

(1) eine unternehmerische Entscheidung (2) Handeln in gutem Glauben (3) ohne Sonderinteressen und sachfremde Einflüsse (4) zum Wohle des Unternehmens (5) auf der Grundlage angemessener Information

Disziplinen

Disziplinen Prozesse

Prozesse

Disziplinen Prozesse

Realer Cyber-Angriff (1)

Infiltration einer bekannten Web- Site

Meist Admins (=gezielte

Attacke)

Ausspähen des Netzwerk

Zugriffe von Usern mit

Admin-Rechten

auf Web-Site

Kommunikation zu C+C Server

Knacken von Admin-Konten

Über mehrere

Monate

Drive-By

Infektion

Nachladen von Code / Tools

Übertragen von Daten

Realer Cyber-Angriff (2)

Sophisticated

Hätte früher erkannt werden können

IT = „untrusted

Reaktionsfähigkeit

Erkennen & reagieren

Monitoring (APT, IDS) Technik: Logging Prozess: Behandlung von Anomalien & Angriffen
Monitoring
(APT, IDS)
Technik:
Logging
Prozess:
Behandlung
von Anomalien
& Angriffen

CERT

Security

Betrieb

(APT, IDS) Technik: Logging Prozess: Behandlung von Anomalien & Angriffen CERT Security Betrieb Organisation:
(APT, IDS) Technik: Logging Prozess: Behandlung von Anomalien & Angriffen CERT Security Betrieb Organisation:

Organisation:

Schwachstellen (er)kennen

Vulnerability Management Technik: Log-Auswertung Prozess: Regel-Prüfungen
Vulnerability
Management
Technik:
Log-Auswertung
Prozess:
Regel-Prüfungen

Organisation:

Organisation:
Organisation: IS-Organisation
Organisation: IS-Organisation

IS-Organisation

IS-Organisation

Externe Hilfe

Cloud Security Technik: Services SLA Management Prozess: Audits
Cloud Security
Technik:
Services
SLA
Management
Prozess:
Audits

Security

Organisation

Rechtsabteilun

g

Security Technik: Services SLA Management Prozess: Audits Security Organisation Rechtsabteilun g Organisation:
Security Technik: Services SLA Management Prozess: Audits Security Organisation Rechtsabteilun g Organisation:

Organisation:

Ganzheitliche Sicherheitsarchitektur

Network

Security

Betrieb

Sichere

Software-

Entwicklung

Network Security Betrieb Sichere Software- Entwicklung Host Security Mobile Security Security Monitoring

Host

Security

Mobile

Security

Security

Monitoring

Application

Security

Ganzheitliche Cyber Sicherheit

Recht /

Compliance

Prozesse /

Risiko-

Orientierung

Realistische

Umsetzung

GANZHEITLICHE CYBER SICHERHEIT.

Doris Brandl

Thomas Doms Markus Geier

GANZHEITLICHE CYBER SICHERHEIT. Doris Brandl Thomas Doms Markus Geier