informationssicherheit in unternehmen – worum …...integrität und verfügbarkeit • es gibt...
TRANSCRIPT
1© ZHAW / SoE / InIT – Marc Rennhard
Prof. Dr. Marc RennhardInstitut für angewandte Informationstechnologie InIT
ZHAW School of Engineering
Informationssicherheit in Unternehmen – Worum geht es
und worauf kommt es an?
53. ITS Techno-Apéro, 20.6.2016
2© ZHAW / SoE / InIT – Marc Rennhard
Inhalt und Ziele
• Inhalt• Grundlagen: Ziele der Informationssicherheit, Angreifertypen und
Schutzbedürftigkeit • Einige Beispiele von Attacken und Gegenmassnahmen• Wie sichern Sie Ihr Unternehmen?• Kosten für Informationssicherheit und erfolgter Cyberattacken
• Ziele• Sie erkennen, dass praktisch jede Firma / jedes IT-System eine gewisse
Schutzbedürftigkeit hat• Sie verstehen, dass Informationssicherheit ein sehr vielschichtiges Thema
ist – sowohl bezüglich Angriffen als auch Gegenmassnahmen• Sie sehen aber auch, dass man mit einer strukturierten Herangehensweise
das Problem «in den Griff» kriegen und die Risiken reduzieren kann
3© ZHAW / SoE / InIT – Marc Rennhard
Ziele der Informationssicherheit
Bei der Informationssicherheit geht es immer um folgende drei übergeordneten Ziele:
Vertraulichkeit• Sensitive Daten müssen vor unberechtigtem
Lesezugriff geschützt werden• Bsp: Ein Benutzer in einem e-Shop darf nur
seine eigene Bestellhistory anschauen
Verfügbarkeit• Daten und Systeme müssen
verfügbar sein, wenn sie benötigt werden
• Bsp: Die Website einer Auktionsplattform muss 24/7 benutzbar sein
Integrität• Daten und Systeme müssen
vor unberechtigter Modifi-kation geschützt werden
• Bsp: Nur der Administrator einer Webapplikation darf eine neue Version der Applikation installieren
4© ZHAW / SoE / InIT – Marc Rennhard
Verschiedene Angreifertypen
Source: ENISA Threat Landscape Report, 2015
5© ZHAW / SoE / InIT – Marc Rennhard
Schutzbedürftigkeit
• E-Banking Applikation einer Grossbank• Erwartete Angreifer: Organisierte Cyber Criminals, Mitarbeiter• Schutzbedürftigkeit: Integrität +++ Vertraulichkeit/Verfügbarkeit ++
• Website einer politischen Partei• Erwartete Angreifer: Script Kiddies, Hacktivists• Schutzbedürftigkeit: Integrität/Verfügbarkeit + Vertraulichkeit 0
• Dokumentenmanagementsystem eines KMU • Erwartete Angreifer: Konkurrenten, Mitarbeiter• Schutzbedürftigkeit: Vertraulichkeit/Integrität/Verfügbarkeit +/++
=> Praktisch jedes IT-System hat eine gewisse Schutzbedürftigkeit=> Abhängig vom Wert des Ziels und den erwarteten Angreifertypen
6© ZHAW / SoE / InIT – Marc Rennhard
Attacken
Servernetz mit Dokumenten-managementsystem (DMS)
Mitarbeiternetz
Externer Angreifer• Ziel: Zugriff auf Dokumente
Internet
Mobile Mitarbeiter• Daheim, bei Kunden,...
7© ZHAW / SoE / InIT – Marc Rennhard
Social Engineering – Phishing
Nicht personalisiert
• Ziel des Angreifers: Benutzername und Passwort von Mitarbeitern zu erhalten, um auf das DMS zuzugreifen
8© ZHAW / SoE / InIT – Marc Rennhard
Social Engineering – Spear Phishing
• Beim direkten Angriff auf Mitar-beiter einer Firma wird heute Spear Phishing verwendet
• Angreifer informiert sich zuerstüber die Organisation der Firma
• E-Mail sieht «echt» aus• Wird nur an ausgewählte
interne Mitarbeiter gesendet• Hohe Erfolgswahrscheinlichkeit
• Gegenmassnahmen:• Kaum direkte technische Lösungen• Ausbildung / Awareness der Benutzer• Phishing-resistente Authentisierungsverfahren
01 Z4GH 06 IKDX02 67TS 07 9PL703 UR2A 08 NFLB04 TIQV 09 K91D05 3Z5P 10 HA85
9© ZHAW / SoE / InIT – Marc Rennhard
Malware / Ausnutzen von Schwachstellen
• Ziel des Angreifers: Kompromittieren von PCs / Servern, um auf Dokumente zuzugreifen
• Variante 1: Direkte Attacke auf DMS• Schwachstelle im exponierten Webserver oder in
der Webapplikation finden• Ausnutzen der Schwachstelle und dadurch Zugriff
auf Dokumente
• Variante 2: Indirekte Attacke über Mitarbeiter PCs• PC eines Mitarbeiters kompromittieren
§ Z.B. mittels präpariertem E-Mail Attachment§ Erlaubt Zugriff auf DMS mit Rechten des Benutzers
• Malware kann sich zudem intern auf weitere Systeme ausbreiten§ Ziel: direkter Zugriff auf DMS
Symantec Threat Report 2016
10© ZHAW / SoE / InIT – Marc Rennhard
Malware / Ausnutzen von Schwachstellen
• Einmal installierte Malware verhält sich unauffällig• Ziel des Angreifers: Möglichst lange auf sensitive
Dokumente zugreifen können
• Detektion primär durch Nebeneffekte der Malware• Suchen von internen Angriffszielen (Scanning)• Upload von Dokumenten an Server des Angreifers
• Gegenmassnahmen:• Ausbildung / Awareness der Benutzer (E-Mail
Attachments)• Malware Scanner (Anti-Virus)• Systeme up-to-date halten (Patching)• Sichere Softwareentwicklung• Monitoring von Log Files und Netzwerkdaten• Penetration Tests ...
M-T
rend
s 201
5: T
hrea
t rep
ort
11© ZHAW / SoE / InIT – Marc Rennhard
Diebstahl mobiler Geräte
• Ziel des Angreifers: Diebstahl eines Gerätseines mobilen Mitarbeiters, um auf Dokumente auf dem Gerät zuzugreifen
• Laptop, Smartphone, USB Stick,...
• Ohne spezielle Schutzmassnahmen kann der Angreifer folgendes tun:
• Laptop: Lesen aller Daten auf der Festplatte• USB Stick: Lesen aller Daten auf dem Stick• Smartphones: Zugriff auf alle Daten, wenn
keine Bildschirmsperre verwendet wird
• Gegenmassnahmen:• Regeln für Umgang mit mobilen Geräten• Full-Harddisk Encryption• USB Sticks mit Support für Verschlüsselung
Lookout: Phone Theft in America Report 2014
12© ZHAW / SoE / InIT – Marc Rennhard
Wie sichern Sie Ihr Unternehmen?
• Orientieren Sie sich an Standards und Best Practices• IT-Grundschutz-Standards des BSI• ISO/IEC 2700x Reihe: Information Security Management• Diverse NIST Standards• Community Standards, z.B. OWASP• Merkblatt IT-Sicherheit für KMUs (MELANI)
Zentrale Punkte auf dem Weg zu einer guten Strategie:
• Verantwortlichkeiten / Zuständigkeiten festlegen• Chief Information Security Officer (CISO)
• Inventarisierung, Klassifizierung von Systemen und Daten• Die heikelsten Daten / Systeme definieren Ihr Schutzbedürfnis
13© ZHAW / SoE / InIT – Marc Rennhard
Wie sichern Sie Ihr Unternehmen?
• Durchführung einer Risikoanalyse• Unter Berücksichtigung realistischer Angreifertypen
• Definieren von technischen und organisatorischen Massnahmen, um die Risiken auf ein akzeptables Niveau zu reduzieren
• Regelmässige Überprüfung der Massnahmen• Audits, Penetration Tests, Backup Recovery, ...
• Kein einmaliger, sondern ein kontinuierlicher Prozess
• Sowohl IT-Landschaft des Unternehmens als auch Angriffstechniken ändern sich
14© ZHAW / SoE / InIT – Marc Rennhard
Kosten für Informationssicherheit
• Sehr abhängig von der Art des Unternehmens• Interne/externe IT-Services, Attraktivität des Angriffsziels, ...
• Absolute Zahlen machen wenig Sinn, prozentualer Anteil des IT-Budgets hat sich als sinnvolles Mass erwiesen
• Heute: Im Durchschnitt wird etwa 6 – 8% des gesamten IT-Budgets für Informationssicherheit ausgegeben
• Genügt das? Gartner sagt (2015):• Weltweite Ausgaben für Informationssicherheit: 75 Mia. USD• Weltweite Kosten durch Cyberattacken: 315 Mia. USD• Genügt scheinbar nicht ganz...
15© ZHAW / SoE / InIT – Marc Rennhard
Kosten von erfolgten Cyberattacken
• Durchschnittliche Kosten pro Vorfall gem. Studie Kaspersky Lab (USD):
• Beinhaltet: Aufwand für Analyse/Behebung, Umsatzverlust, PR Kosten für Behebung Reputationsschaden,...
• Rangliste der Ursachen:
Damage Control: The Cost of Security Breaches, 2015, Kaspersky Lab
16© ZHAW / SoE / InIT – Marc Rennhard
Zusammenfassung
• Übergeordnete Ziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit
• Es gibt ganz unterschiedliche Angreifertypen, die sich bezüglich Motivation, Skills und Ressourcen unterscheiden
• Je nach Szenario sind unterschiedliche Angreifertypen zu erwarten und entsprechend unterschiedlich ist die Schutzbedürftigkeit
• Die Attacken auf Systeme und Daten sind vielfältig• Entsprechend umfassend müssen die Abwehrmassnahmen sein
• Bei der Implementierung einer Informationssicherheitsstrategie sollte man sich an bestehenden Standards und Guidelines orientieren
• Wieviel soll man investieren? Knapp 10% des IT-Budgets sinnvoll...