9 Vorlesung IT Sicherheit PDF

Preview

Summary

Vorlesungsfolien...

Description

Universität Bayreuth Prof. Dr. Torsten Eymann Kernkompetenzzentrum Finanz- & Informationsmanagement Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT

IT Sicherheit

Lehrstuhl für Betriebswirtschaft VII Wirtschaftsinformatik Betriebswirtschaftliches Forschungszentrum für Fragen der mittelständischen Wirtschaft e.V. www.bwl7.uni-bayreuth.de

Grundlagen der Wirtschaftsinformatik

www.fim-rc.de www.fit.fraunhofer.de/wi

Zahlen und Fakten zu e-Crime weltweit

www.unis.unvienna.org

2 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Zeitalter der Informationsgesellschaft • 21. Jahrhundert als Zeitalter der Informationsgesellschaft • Informations- und Kommunikationstechnik ist omnipräsent (Ubiquitous Computing, „das intelligente Haus“, etc.) • Die elektronische Kommunikation im Alltag eröffnet neue Fragen von Sicherheit und Vertrauen • Herausforderung: Das Internet ist ein offenes System, in dem jeder teilnehmen kann

Welche Auswirkungen hat eine zunehmende Vernetzung der Gesellschaft auf die Anforderungen an IT Sicherheitssysteme?

3 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Aktuelle Entwicklungen

4 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT-Sicherheit als Voraussetzung der Digitalisierung Was sind die größten Unternehmens-Risiken in den nächsten fünf Jahren?

Cyber-Risiken

37%

Politische Risiken (Unruhen, Kriege)

21%

Naturkatastrophen

19%

Terrorismus, Krieg

15%

Betriebs- und Lieferkettenunterbrechnung

11% Quelle: Allianz Barometer 2015

5 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Zahlen und Fakten zu e-Crime in Deutschland Jedes zweite Unternehmen wurde in den letzten zwei Jahren Opfer von digitaler Wirtschaftsspionage (Quelle: Bitkom)

Anteile der betroffenen deutschen Firmen bei Datendiebstahl, Spionage und Sabotage:

51% 28% vermutlich betroffen

betroffen

Die häufigsten e-CrimeDelikte in Deutschland 20132014: Sonstige

Diebstahl 16%

28% 14% ITK-Geräte

Sabotage

Social Engineering

Physische Dokumente

21%

17%

nicht betroffen

Sensible Daten

Abhören 8% Elektronische Kommunikation

6 • Prof. Dr. Torsten Eymann • IT Sicherheit

19%

8% Besprechungen, Telefonate

© Universität Bayreuth

Zahlen und Fakten zu e-Crime in Deutschland Durchschnittliche Schadenshöhe pro e-Crime-Fall bei Unternehmen in Deutschland Verletzung von Geschäfts- und Betriebsgeheimnissen

609.000 € 584.000 €

Verletzung von Urheberrechten Datendiebstal

348.000 €

Erpressung

337.000 €

Ausspähen oder Abfangen von Daten

253.000 €

Systembeschädigung und ComputerSabotage

241.000 €

Computerbetrug Manipulation von Konto- und Finanzdaten

199.000 € 128.000 €

Quelle: KPMG e-Crime 2015

7 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Bei uns ist noch nie etwas passiert“  Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt!  Hohe Dunkelziffer unerkannter Angriffe  Es wird vermutet, dass 71% aller IT Sicherheitsvorfälle unentdeckt bleiben

Zwei Drittel aller Sicherheitsvorfälle bleiben unentdeckt

 Anzahl entdeckter Vorfälle 2014: 42.8 Millionen  Vermutete Vorfälle insgesamt: 147,6 Millionen (Quelle: PWC Global State of Information Security® Survey 2015) 8 • Prof. Dr. Torsten Eymann • IT Sicherheit

29% 71%

Anteil entdeckter Vorfälle geschätzter Anteil unentdeckter Vorfälle © Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht."  In jedem Unternehmen gibt es eine Menge wertvoller Datenbestände (z.B. Mail Verkehr mit Kunden und Zulieferern, Kundenlisten, Kalkulationen, Angebote und Ausschreibungen, Konstruktionszeichnungen sowie Prozess- und Patentbeschreibungen)  Schadensfälle durch IT-bezogene Sicherheitslücken treten Unternehmen jeder Größe regelmäßig auf. 93 Prozent aller Unternehmen haben bereits Erfahrungen damit gesammelt (Quelle: BMWi 2012)

Quelle: Auszug aus Leitfaden Informationssicherheit des Bundesamtes für Sicherheit in der Informationstechnik

9 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Unser Netz ist sicher.“  Die Fähigkeiten und die Möglichkeiten potentieller Angreifer werden oft unterschätzt  Beispiel Bot Netze: Angriffe werden von tausenden (!) Rechnern gleichzeitig verübt  oft werden Angriffe im großen Stil organisiert  Solchen Angriffen ist selbst durch erfahrenes IT Sicherheitspersonal kaum beizukommen

10 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Unsere Mitarbeiter sind vertrauenswürdig.“

Quelle: Bitkom (2014)

11 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Verursacher von IT Sicherheitsvergehen (Bitkom 2015) aktuelle oder ehemalige Mitarbeiter

58%

Unternehmerisches Umfeld

39%

unbekannte Täter/weiß nicht/keine Angabe

18%

Hobby Hacker

17%

Organisierte Kriminalität

11%

Ausländischer Nachrichtendienst 3%

12 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT Sicherheit - Fehleinschätzungen Bedrohung der IT Sicherheit durch die eigenen Mitarbeiter Arten der Bedrohung: • Schwachstellen im System, verursacht durch Fehler und Nachlässigkeiten  entstehen aus Unwissenheit, mangelndem Risikobewusstsein oder Unkonzentriertheit • Absichtliche Angriffe auf die Sicherheit durch böswilliges Verhalten von Insidern („malicious insiders“)  Motive: Bereicherung, Wut, Beeinflussung durch Dritte („social engineering“)

13 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Der IT-Sicherheitsbegriff kann durch die Schutzziele von Systemen definiert werden

Informationssicherheit • Schutz der IT-Systeme vor unabwendbaren Ereignissen • Schutz der IT-Systeme vor absichtlichen Angriffen

Verfügbarkeit • Daten & Verfahren können jederzeit ordnungsgemäß angewendet werden

Vertraulichkeit • Zugriff auf Daten bzw. Informationen nur durch autorisiertes Personal

Integrität • Keine unbefugten Veränderungen oder Manipulationen von Daten Federrath & Pfitzmann (2000)

14 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Definition der IT Sicherheit • „Sicherheit ist die Freiheit von unvertretbaren Risiken“ (DIN 2002) • IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern. • IT-Sicherheit gliedert sich in vier Bereiche o Funktionssicherheit (safety) o Informationssicherheit (security) o Datensicherheit (protection) o Datenschutz (privacy) • IT-Sicherheit ist eine notwendige Voraussetzung für die betriebliche Nutzung von Informationssystemen Quelle: Eckert 2012

15 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Safety vs. Security Funktionssicherheit vs. Informationssicherheit • Wir betrachten im weiteren Verlauf der Vorlesung die Informationssicherheit und die in diesem Kontext von den IT-Systemen ausgehenden Gefahren • Eine aus Fahrlässigkeit oder menschlichem Versagen resultierende Systemstörung ist dabei anders zu bewerten als ein vorsätzlicher Angriff

Quelle: Müller 2003

16 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Funktionssicherheit (safety) • Die realisierte Ist-Funktionalität der Komponenten stimmt mit der spezifischen SollFunktionalität überein • Ein funktionssicheres System nimmt keine funktional unzulässigen Zustände an • Es funktioniert unter allen (normalen) Betriebsbedingungen • Materielle Sicherheit durch bspw.: Backup

Redundanz

Brandschutz

Quelle: Müller 2003

17 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Informationssicherheit (security) - Schwachstellen, Bedrohungen und Angriffe • Schwachstelle (weakness) Eine Schwäche eines Systems oder ein Punkt, an dem das System verwundbar werden kann, und dazu führt, dass angestrebte Schutzziele nicht erreicht werden • Bedrohung (threat) Eine Bedrohung des Systems zielt darauf ab, eine oder mehrere Schwachstellen auszunutzen (Fahrlässigkeit, Vorsatz, Technisches Versagen, Organisatorische Mängel) • Angriff (attack) o Web-und netzwerkbasierte Angriffe o Malware o Sicherheitsangriffe o Missbrauch von Ressourcen- und Dienstleistungsverfügbarkeit o Mutwillige Datenzerstörung und unbeabsichtigter Datenverlust o Angriffe auf die Integrität von Laufwerkdaten Quelle: Eckert 2012

18 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Epochen der IT Sicherheit

Internet 1.0 Menschliche Interaktion 19 • Prof. Dr. Torsten Eymann • IT Sicherheit

Internet 2.0

Internet 3.0 Automatisierung © Universität Bayreuth

Gefahren und Schutzmechanismen Internet 1.0 • Annahme: „Gute“ Bürger sind drinnen  Herausforderung: Verteidigung der „Burg“ von außen: nicht berechtigte Bürger bleiben draußen o von innen: ein Bürger „spioniert“ die anderen nicht aus o

• Angreifer Modell: o von außen: „Outsiders“ oder „Intruders“ o von innen: „Insiders“ oder „Saboteurs“

Internet 1.0

• Lösung: „reaktives“ Vorgehen o gegen Outsider: strenge Zugangskontrolle (Firewalls) o gegen Insider: strenge Bestrafung

20 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 1.0 Schutz durch Authentifikation  Überprüfung der Identität  Grundlegende Möglichkeiten der Authentifikation:  Wissen: Passwörter  Besitz: Tokens, Smartcards, Zertifikate  Sein: Biometrie

Internet 1.0

Schutz durch Zugangskontrollen (Firewalls) Schutz durch geheime Kommunikation mit Hilfe von Verschlüsselung

21 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen • Errichtung von Barrieren im System • Nur Berechtigten ist der Zugang erlaubt  vorherige Authentifizierung notwendig • Autorisierung ist das Recht einer Einheit, auf eine Systemressource zuzugreifen  Wer darf im System worauf zugreifen? o Systemadministrator

zulässiger Informationsfluss

Autorisierungsverfahren streng geheim

geheim

vertraulich unklassifiziert

o User

Quelle: Eymann 2011

22 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 2.0 • Nutzer sind zunehmend untereinander vernetzt (soziale Netzwerke, WhatsApp) • Nutzer sind nicht mehr nur passive Konsumenten von Informationen, sondern können interagieren und eigene Inhalte (Kommentare, Bilder, Videos) einbringen

Internet 2.0

• Internet als infrastrukturelle Grundlage für Transaktionen ermöglicht eine neue Form des globalen Wirtschaftens

• Durch die zunehmende Vernetzung nimmt jedoch auch die Verwundbarkeit der Teilnehmer zu • Neue Formen der organisierten Kriminalität als Folge der Vernetzung: das Darknet ist Sammelpunkt für kriminelle Aktivitäten aller Art

23 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Schutz der Vertraulichkeit durch verschlüsselte Kommunikation • Kryptographie ist die Wissenschaft zur Geheimhaltung von Nachrichten und der damit verbundenen algorithmischen Mechanismen zur Informationssicherung • Ziel: Vertraulichkeit von Daten Funktionsweise • Nachricht liegt als Klartext (K) vor • Sender verschlüsselt Klartext (KS) und verschickt Schlüsseltext • Empfänger kann Vorgang wieder umkehren (SK) Quelle: Eckert 2012

24 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Schutz durch Verschlüsselung Schutz durch Verschlüsselung – Beispiel Caesar-Chiffre

Problem: Per Häufigkeitsanalyse lösbar

 Technisches Wettrüsten von Angreifern und Verteidigern 25 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Schutz durch Verschlüsselung Data Encryption with Symmetric Key Cryptography

Alice encypts the message and sends it to Bob

26 • Prof. Dr. Torsten Eymann • IT Sicherheit

Bob uses the same key to decrypt the message

© Universität Bayreuth

Schutz durch Verschlüsselung Data Encryption with Symmetric Key block cipher

Problem: Quickly increasing computing power: "brute-force-attacks"

27 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 2.0 Gefahren • Zunehmende Vernetzung bietet mehr Möglichkeiten für das Kompromittieren/Angreifen von Daten und Systemen durch Malware und unberechtigten Zugriff

Internet 2.0

 Schwachstelle Mensch, nicht Technik: „Social Engineering“, Phishing

28 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 2.0 Man-in-the-Middle Attack o

„Impersonation“ von Kommunikationspartnern

o

Sicherheitsrelevante Informationen (z.B. Passwort, Nutzerdaten) werden abgefangen und später verwendet

29 • Prof. Dr. Torsten Eymann • IT Sicherheit

Internet 2.0

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 2.0 Phishing • Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Nutzers zu gelangen o

o

Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank

Internet 2.0

Phishing Mails fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben

30 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Schutz durch Verschlüsselung Data Encryption with Asymmetric Keys

Distinctive keys: private key and public key

Message is locked with a public key and can be unlocked only with the corresponding private key

Bob can the access message with private key

31 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Schutz durch Verschlüsselung Electronic integrity checking with Hash Functions This creates a compressed image of the message Pass message through algorithm (hash function)

Integrity check: run the hash function again

32 • Prof. Dr. Torsten Eymann • IT Sicherheit

Compare the results

If both are the same, the original message has not been changed

© Universität Bayreuth

Schutz durch Verschlüsselung

33 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Phishing-Mail

34 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) • Mobile, smarte Geräte sind in den Alltag integriert und untereinander vernetzt (Smartphones, Wearables) • Nutzer generieren ständig große Datenmengen, auch über persönliche Gewohnheiten (z.B Aufenthaltsorte, Fitnesszustand, Freunde, Einkaufsgewohnheiten)

Internet 3.0

• Smart Devices ermöglichen neue Technologien: Smart Homes, Smart Metering, Intelligent Cars

35 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Gefahren • Moderne, intelligente Industrieanalagen basieren auf cyberphysischen Systemen: Verbindung von softwaretechnischen Komponenten mit mechanischen und elektronischen Teilen, die über eine Dateninfrastruktur, wie z. B. das Internet, kommunizieren  Durch Verbindung mit dem Internet immer und von jedem angreifbar

Internet 3.0

• Neu sind Angriffe auf die IT Infrastruktur o Um Unternehmen zu schädigen, werden deren IT Ressourcen angegriffen o Denial of Service Attacks überfluten Server mit Anfragen und legen so die IT Infrastruktur lahm 36 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf die IT Infrastruktur: Denial of Service Attacks • Unbefugte Beeinträchtigung der Funktionalität der IT Infrastruktur • Absichtliche Überflutung von Servern mit einer Masse an Anfragen

Internet 3.0

• Gegenmaßnahmen o Redundanz von Ressourcen o Notfallpläne  Handlungsrichtlinien

37 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf die IT Infrastruktur: Denial of Service Attacks

38 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf Industrieanlagen: Beispiel Stuxnet

39 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Gefahren und Schutzmechanismen Angriffe auf Medizingeräte

40 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

Sicherheitstacho - Cyber-Angriffe in Echtzeit

Quelle: http://www.sicherheitstacho.eu

41 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

New large-scale attacks on IT Security The „Heartbleed“ Bug • A very serious vulnerability in the popular OpenSSL cryptographic software library • SSL/TLS provides communication security for applications such as web, Email, instant messaging (IM) • Heartbleed bug allows to read the memory of the systems protected by the vulnerable versions of the OpenSSL software sensitive information stored on the servers can be stolen, including passwords, data, and even the web server certificate's private key 42 • Prof. Dr. Torsten Eymann • IT Sicherheit

© Universität Bayreuth

IT-Sicherheit als Voraussetzung der Digitalisierung Fazit • Zunehmende Mobilität und Vernetzung stellen hohe Anforderungen an die Sicherheit von IT Systemen o