informationssicherheit in unternehmen – worum …...integrität und verfügbarkeit • es gibt...

1© ZHAW / SoE / InIT – Marc Rennhard

Prof. Dr. Marc RennhardInstitut für angewandte Informationstechnologie InIT

ZHAW School of Engineering

Informationssicherheit in Unternehmen – Worum geht es

und worauf kommt es an?

53. ITS Techno-Apéro, 20.6.2016


Inhalt und Ziele

• Inhalt• Grundlagen: Ziele der Informationssicherheit, Angreifertypen und

Schutzbedürftigkeit • Einige Beispiele von Attacken und Gegenmassnahmen• Wie sichern Sie Ihr Unternehmen?• Kosten für Informationssicherheit und erfolgter Cyberattacken

• Ziele• Sie erkennen, dass praktisch jede Firma / jedes IT-System eine gewisse

Schutzbedürftigkeit hat• Sie verstehen, dass Informationssicherheit ein sehr vielschichtiges Thema

ist – sowohl bezüglich Angriffen als auch Gegenmassnahmen• Sie sehen aber auch, dass man mit einer strukturierten Herangehensweise

das Problem «in den Griff» kriegen und die Risiken reduzieren kann


Ziele der Informationssicherheit

Bei der Informationssicherheit geht es immer um folgende drei übergeordneten Ziele:

Vertraulichkeit• Sensitive Daten müssen vor unberechtigtem

Lesezugriff geschützt werden• Bsp: Ein Benutzer in einem e-Shop darf nur

seine eigene Bestellhistory anschauen

Verfügbarkeit• Daten und Systeme müssen

verfügbar sein, wenn sie benötigt werden

• Bsp: Die Website einer Auktionsplattform muss 24/7 benutzbar sein

Integrität• Daten und Systeme müssen

vor unberechtigter Modifi-kation geschützt werden

• Bsp: Nur der Administrator einer Webapplikation darf eine neue Version der Applikation installieren


Verschiedene Angreifertypen

Source: ENISA Threat Landscape Report, 2015


Schutzbedürftigkeit

• E-Banking Applikation einer Grossbank• Erwartete Angreifer: Organisierte Cyber Criminals, Mitarbeiter• Schutzbedürftigkeit: Integrität +++ Vertraulichkeit/Verfügbarkeit ++

• Website einer politischen Partei• Erwartete Angreifer: Script Kiddies, Hacktivists• Schutzbedürftigkeit: Integrität/Verfügbarkeit + Vertraulichkeit 0

• Dokumentenmanagementsystem eines KMU • Erwartete Angreifer: Konkurrenten, Mitarbeiter• Schutzbedürftigkeit: Vertraulichkeit/Integrität/Verfügbarkeit +/++

=> Praktisch jedes IT-System hat eine gewisse Schutzbedürftigkeit=> Abhängig vom Wert des Ziels und den erwarteten Angreifertypen


Attacken

Servernetz mit Dokumenten-managementsystem (DMS)

Mitarbeiternetz

Externer Angreifer• Ziel: Zugriff auf Dokumente

Internet

Mobile Mitarbeiter• Daheim, bei Kunden,...


Social Engineering – Phishing

Nicht personalisiert

• Ziel des Angreifers: Benutzername und Passwort von Mitarbeitern zu erhalten, um auf das DMS zuzugreifen


Social Engineering – Spear Phishing

• Beim direkten Angriff auf Mitar-beiter einer Firma wird heute Spear Phishing verwendet

• Angreifer informiert sich zuerstüber die Organisation der Firma

• E-Mail sieht «echt» aus• Wird nur an ausgewählte

interne Mitarbeiter gesendet• Hohe Erfolgswahrscheinlichkeit

• Gegenmassnahmen:• Kaum direkte technische Lösungen• Ausbildung / Awareness der Benutzer• Phishing-resistente Authentisierungsverfahren

01 Z4GH 06 IKDX02 67TS 07 9PL703 UR2A 08 NFLB04 TIQV 09 K91D05 3Z5P 10 HA85


Malware / Ausnutzen von Schwachstellen

• Ziel des Angreifers: Kompromittieren von PCs / Servern, um auf Dokumente zuzugreifen

• Variante 1: Direkte Attacke auf DMS• Schwachstelle im exponierten Webserver oder in

der Webapplikation finden• Ausnutzen der Schwachstelle und dadurch Zugriff

auf Dokumente

• Variante 2: Indirekte Attacke über Mitarbeiter PCs• PC eines Mitarbeiters kompromittieren

§ Z.B. mittels präpariertem E-Mail Attachment§ Erlaubt Zugriff auf DMS mit Rechten des Benutzers

• Malware kann sich zudem intern auf weitere Systeme ausbreiten§ Ziel: direkter Zugriff auf DMS

Symantec Threat Report 2016


Malware / Ausnutzen von Schwachstellen

• Einmal installierte Malware verhält sich unauffällig• Ziel des Angreifers: Möglichst lange auf sensitive

Dokumente zugreifen können

• Detektion primär durch Nebeneffekte der Malware• Suchen von internen Angriffszielen (Scanning)• Upload von Dokumenten an Server des Angreifers

• Gegenmassnahmen:• Ausbildung / Awareness der Benutzer (E-Mail

Attachments)• Malware Scanner (Anti-Virus)• Systeme up-to-date halten (Patching)• Sichere Softwareentwicklung• Monitoring von Log Files und Netzwerkdaten• Penetration Tests ...

M-T

rend

s 201

5: T

hrea

t rep

ort


Diebstahl mobiler Geräte

• Ziel des Angreifers: Diebstahl eines Gerätseines mobilen Mitarbeiters, um auf Dokumente auf dem Gerät zuzugreifen

• Laptop, Smartphone, USB Stick,...

• Ohne spezielle Schutzmassnahmen kann der Angreifer folgendes tun:

• Laptop: Lesen aller Daten auf der Festplatte• USB Stick: Lesen aller Daten auf dem Stick• Smartphones: Zugriff auf alle Daten, wenn

keine Bildschirmsperre verwendet wird

• Gegenmassnahmen:• Regeln für Umgang mit mobilen Geräten• Full-Harddisk Encryption• USB Sticks mit Support für Verschlüsselung

Lookout: Phone Theft in America Report 2014


Wie sichern Sie Ihr Unternehmen?

• Orientieren Sie sich an Standards und Best Practices• IT-Grundschutz-Standards des BSI• ISO/IEC 2700x Reihe: Information Security Management• Diverse NIST Standards• Community Standards, z.B. OWASP• Merkblatt IT-Sicherheit für KMUs (MELANI)

Zentrale Punkte auf dem Weg zu einer guten Strategie:

• Verantwortlichkeiten / Zuständigkeiten festlegen• Chief Information Security Officer (CISO)

• Inventarisierung, Klassifizierung von Systemen und Daten• Die heikelsten Daten / Systeme definieren Ihr Schutzbedürfnis


Wie sichern Sie Ihr Unternehmen?

• Durchführung einer Risikoanalyse• Unter Berücksichtigung realistischer Angreifertypen

• Definieren von technischen und organisatorischen Massnahmen, um die Risiken auf ein akzeptables Niveau zu reduzieren

• Regelmässige Überprüfung der Massnahmen• Audits, Penetration Tests, Backup Recovery, ...

• Kein einmaliger, sondern ein kontinuierlicher Prozess

• Sowohl IT-Landschaft des Unternehmens als auch Angriffstechniken ändern sich


Kosten für Informationssicherheit

• Sehr abhängig von der Art des Unternehmens• Interne/externe IT-Services, Attraktivität des Angriffsziels, ...

• Absolute Zahlen machen wenig Sinn, prozentualer Anteil des IT-Budgets hat sich als sinnvolles Mass erwiesen

• Heute: Im Durchschnitt wird etwa 6 – 8% des gesamten IT-Budgets für Informationssicherheit ausgegeben

• Genügt das? Gartner sagt (2015):• Weltweite Ausgaben für Informationssicherheit: 75 Mia. USD• Weltweite Kosten durch Cyberattacken: 315 Mia. USD• Genügt scheinbar nicht ganz...


Kosten von erfolgten Cyberattacken

• Durchschnittliche Kosten pro Vorfall gem. Studie Kaspersky Lab (USD):

• Beinhaltet: Aufwand für Analyse/Behebung, Umsatzverlust, PR Kosten für Behebung Reputationsschaden,...

• Rangliste der Ursachen:

Damage Control: The Cost of Security Breaches, 2015, Kaspersky Lab


Zusammenfassung

• Übergeordnete Ziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit

• Es gibt ganz unterschiedliche Angreifertypen, die sich bezüglich Motivation, Skills und Ressourcen unterscheiden

• Je nach Szenario sind unterschiedliche Angreifertypen zu erwarten und entsprechend unterschiedlich ist die Schutzbedürftigkeit

• Die Attacken auf Systeme und Daten sind vielfältig• Entsprechend umfassend müssen die Abwehrmassnahmen sein

• Bei der Implementierung einer Informationssicherheitsstrategie sollte man sich an bestehenden Standards und Guidelines orientieren

• Wieviel soll man investieren? Knapp 10% des IT-Budgets sinnvoll...

informationssicherheit in unternehmen – worum …...integrität und verfügbarkeit • es gibt...

Documents