• Save
Sicherheitsgipfel - Chancen und Risiken der IT
Upcoming SlideShare
Loading in...5
×
 

Sicherheitsgipfel - Chancen und Risiken der IT

on

  • 391 views

Beitrag von Frau Prof. Eckert unter dem Titel "Chancen und Risiken der IT" zum Sicherheitsgipfel der Deutschen Wirtschaft am 15. März 2013

Beitrag von Frau Prof. Eckert unter dem Titel "Chancen und Risiken der IT" zum Sicherheitsgipfel der Deutschen Wirtschaft am 15. März 2013

Statistics

Views

Total Views
391
Views on SlideShare
390
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

http://www.slideee.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Sicherheitsgipfel - Chancen und Risiken der IT Sicherheitsgipfel - Chancen und Risiken der IT Presentation Transcript

  • Chancen und Risiken der ITClaudia EckertFraunhofer AISECTU MünchenSicherheitsgipfel der Deutschen Wirtschaft, 15.3.20131
  • 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  • IKT ist Schlüsseltechnologie füralle BranchenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance
  • Zukunft: Vernetzte Menschen, und Objekte Mobiles Internet: jederzeit, von überall Neue Kommunikationsformen: soziale NetzeIKT ist Innovationstreiber• Gesundheit: z.B. personalisierte Medizin• Mobilität: z.B. Auto• Maschinenbau: z.B. ProduktionIKT als Chance
  • Sicherheit durch IKT-EinsatzKoordinieren, Steuern, ÜberwachenEnergie • Umwelt • Mobilität • Sicherheit • GesundheitIKT als Chance
  • 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  • IKT benötigt SicherheitSicherheitsbedrohungen Daten sind ein schützenswertes Gut:Manipulationsschutz, Datenvertraulichkeit, Privatsphäre … Daten steuern sicherheitskritische Abläufe/Prozesse:Betriebssicherheit, Verfügbarkeit, korrekt & vollständig, aktuell ...
  •  Unsichere Software? Schwache Zugangscodes? Mobile Endgeräte? Faktor Mensch? Fehlende Sicherheitsvorgaben? Verletzliche Hardware? Cloud-Computing?Top-Bedrohungen?
  • Cyber-Angriffe nehmen zu (BKA, BSI, Symantec, ..)Angriffe aus Distanz und geringes Entdeckungsrisiko Jedes 4. Unternehmen war in 2011/12 Opfer vonCyber-AngriffenVeränderungen in der Täterstruktur: vom hochspezialisierten Einzeltäter zum Kriminellen ohne FachkenntnisseTatwaffe Internet ist permanent verfügbarGroße Gewinne sind erzielbarSchäden weltweit in 2012: 290 Mrd EuroBedrohungslageDer weltweit durchCyberkriminalitätverursachte Schadenbeträgt rund290 Mrd. €.Damit ist das Geschäft mitden Daten profitabler alsder globale Handel mitMarihuana, Kokain undHeroin zusammen.
  • Einfallstore für zunehmende Cyber-Attacken Zugangsdaten, Passworte Mobile Endgeräte, …. Manipulierte Hardware Faktor Mensch Unsichere Software:Mail-ServerBedrohungslage
  • 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: ProblembereichePassworte, Faktor Mensch, Mobile Endgeräte1. Sicherheit braucht Forschung2. Take Home MessageGliederung
  •  90% der erfolgreichen Angriffe 2012 durch schwacheoder mehrfache verwendete Passwörter: 1 Passwort füralles! 61 % der verwendeten Passwörter bestehen oder sindabgeleitet von Namen, Städten, Wörtern und Zahlen Vorgegebene Passworte werden notiert Nutzung Sozialer Netze Viele Daten über einzelne Nutzer verfügbar:Vorlieben, Geburtsdaten, Namen, …. Automatisiertes Sammeln dieser Daten unddamit automatisiertes PasswortCrackerProblem: Zugangsdaten, Passworte
  • Technisch und organisatorisch: Passwort ergänzen durch zusätzlichen Mechanismus 2-Faktor-Identitätsprüfung: Zusätzliche Sicherheitscodes eingeben Zusätzliches Token mit PIN-Code Passwort-Richtlinien: festlegen, prüfen, Hilfestellungen geben für ‚gute‘ Passworte, vgl. IT-Grundschutzleitfaden des Bundesamts für Sicherheit in der IT(BSI)Passworte: Empfehlungen
  • Mangelndes Bewusstsein, Bequemlichkeit Wer interessiert sich denn schon für mich?Einfallstor: Zugriff auf Unternehmensdaten Lokale Kopien sensitiver Daten: ungeschützt!Vertrauensselig: Anruf von „System-Administrator“:… ich benötige dringend Ihr Passwort Freizügige Datenweitergabe über die Behörde,Geschäftsabläufe, Kunden in Sozialen NetzeSicherheitsvorgaben veraltet, unvollständig, unwirksam, ….Problem: Faktor Mensch
  • Einheitliche Sicherheitsvorgabe: Festlegen und kontrollieren! Sicherheitskonzept mit abgestimmtenMaßnahmen Einzelmaßnahmen erzeugentrügerisches SicherheitsgefühlSchulungen: Zielgruppenspezifisch: Leitungsebene wird häufig gezieltattackiert, targeted attack Mitarbeiter-Background beachtenFaktor Mensch: Empfehlungen
  • Milieus, Sinus-Studie 2011
  • Verlust / Diebstahl des Gerätes: Alle gespeicherten Daten in Händen Dritter E-Mails, Kontakte, SMS, DokumenteUnbemerkte Manipulation: Versenden gespeicherten Daten an Angreifer Mithören von Umgebungsgesprächen, TelefonatenNiedriges Schutzniveau : Angriffssoftware im Internet frei verfügbar Einfache Infektion des Zielobjektes über bösartige AppsProblem: Mobile Endgeräte
  • Flexispy für iPhone, AndroidÜberwachen von Mobiltelefonen: Live mithören, SMS-lesen, Mails lesen, Raumüberwachung Facebook Chat, WhatsApp Chat Telefonprotokoll, GPS OrtungMobile Endgeräte
  • Organisatorisch: Regelungen zum Gebrauch von mobilen Geräten Vorkonfigurierte, geschützte Dienstgeräte auch für private Nutzung BYOD: dienstlichen Nutzung von privaten Geräten festlegenTechnisch: Gerätekonfiguration u.a. Benutzeridentifizierung: SIM/PIN, Gerätepasswort Speicherverschlüsselung, eMail-Verschlüsselung Fernwartung: MDM, RemoteWipe etc. VPNMobile Endgeräte: Empfehlungen
  • 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  • Sichere IKT brauchtinnovative LösungenSicherheit braucht Forschung
  • Beispiel: Sensorik (Steuereinheiten) im Auto Viele vernetzte Steuereinheiten GSM-Modul: FerndiagnoseSoftware-Updates Problem: fehlende KontrollenManipulieren, Betriebssicherheit störenHerausforderungen: Manipulationsresistente Hardware Sichere Komponenten-IdentifikationProblem: Unsichere Sensorik, Komponenten
  • Lösungsansätze:• Angriffs-resistente(re) Architekturen• Z.B. Gegen so genannte Seitenkanalangriffe• Verschleiern von Verhaltens-Charakteristika• Energie-sparende Verschlüsselung• Entwicklung robuster• Hardware-Sicherheitschipsz.B. im FahrzeugForschung:Sichere Eingebettete Komponenten
  • ProblemNachbau von High-Tech KomponenteLösungSecure Element als Hardwareanker für FirmwareAuthentifizierung zwischen Firmware und HardwareSoftware Obfuskation für FirmwareForschung: Konkrete LösungenBeispiel Produktschutz
  • Beispiel: Web-Anwendungen Problem: ProgrammierungEinschleusen von Viren, Trojanern Problem: mangelhafte KontrollenIdentitätsdiebstahl, DatenzugriffeHerausforderungen: Zuverlässige Abschottungen (Kaskadeneffekte) Selbst-Überwachung (Aufbau eines ‘Immunsystems’) Autonome Reaktion (kontrollierte ‘Selbst-Heilung’ )Problem: Unsichere Software
  • Lösungsansätze:• Isolierung von kritischen Anwendungen• Monitor-Komponente:• Erkennt Manipulationen• Erkennt Einbruchsversuche• Leitet Abwehrmaßnahmen ein• Sichere Ein-/Ausgabe• u.a. kein PhishingForschung:Sichere Software-Architekturenz.B. L4Linuxmit Android Patchesz.B. AndroidPlattformHypervisor mit VMI MonitorHardware, z.B. HSM, Multi-Corez.B. AppsSicheresBetriebssystem
  • Sicherheitslösung für Mobile EndgeräteTrust | me (http://ais.ec/trustme) Einrichtung verschiedener isolierterUmgebungen für den privaten undgeschäftlichen Bereich Einfacher Wechsel zwischen denUmgebungen Vertrauliche Daten bleiben vor demZugriff Dritter geschützt. Sicherheitsrelevante Daten wie PINs undPasswörter werden verschlüsselt in zBeiner MicroSD-Karte abgelegt.Forschung: Konkrete LösungenBeispiel: Trust | me
  • Sicherheitscheck für Android-AppsForschung: Konkrete LösungenBeispiel: AppRay
  • 1. IKT als Chance2. Sicherheitsbedrohungen3. Sicherheit betrifft jeden: Problembereiche undEmpfehlungen4. Sicherheit braucht Forschung5. Take Home MessageGliederung
  • IKT ist InnovationsmotorEnergie, Mobilität, Gesundheit, ProduktionIKT ist verletzlichVerletzlichkeit der Nutzer, der GesellschaftIKT benötigt IT-SicherheitJeder kann beitragen: Zugangsdaten, Sensibilisierung,Gezielte Maßnahmen mit großen Effekten!Take Home MessageSicherheit benötigt ForschungSichere Hardware, Sichere Software-Architekturen, Analysen
  • Bitte beachtenSinnvolle Integration, überprüfte Wirksamkeit
  • Vielen Dank für Ihre Aufmerksamkeit!Claudia EckertFraunhofer AISEC, MünchenTU München, Lehrstuhl für Sicherheit in der InformatikE-Mail: claudia.eckert@aisec.fraunhofer.deInternet: http://www.sec.in.tum.dehttp://www.aisec.fraunhofer.de