Title | 9 Vorlesung IT Sicherheit |
---|---|
Course | Grundlagen der Wirtschaftsinformatik |
Institution | Universität Bayreuth |
Pages | 48 |
File Size | 3.2 MB |
File Type | |
Total Downloads | 37 |
Total Views | 160 |
Vorlesungsfolien...
Universität Bayreuth Prof. Dr. Torsten Eymann Kernkompetenzzentrum Finanz- & Informationsmanagement Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT
IT Sicherheit
Lehrstuhl für Betriebswirtschaft VII Wirtschaftsinformatik Betriebswirtschaftliches Forschungszentrum für Fragen der mittelständischen Wirtschaft e.V. www.bwl7.uni-bayreuth.de
Grundlagen der Wirtschaftsinformatik
www.fim-rc.de www.fit.fraunhofer.de/wi
Zahlen und Fakten zu e-Crime weltweit
www.unis.unvienna.org
2 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Zeitalter der Informationsgesellschaft • 21. Jahrhundert als Zeitalter der Informationsgesellschaft • Informations- und Kommunikationstechnik ist omnipräsent (Ubiquitous Computing, „das intelligente Haus“, etc.) • Die elektronische Kommunikation im Alltag eröffnet neue Fragen von Sicherheit und Vertrauen • Herausforderung: Das Internet ist ein offenes System, in dem jeder teilnehmen kann
Welche Auswirkungen hat eine zunehmende Vernetzung der Gesellschaft auf die Anforderungen an IT Sicherheitssysteme?
3 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Aktuelle Entwicklungen
4 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT-Sicherheit als Voraussetzung der Digitalisierung Was sind die größten Unternehmens-Risiken in den nächsten fünf Jahren?
Cyber-Risiken
37%
Politische Risiken (Unruhen, Kriege)
21%
Naturkatastrophen
19%
Terrorismus, Krieg
15%
Betriebs- und Lieferkettenunterbrechnung
11% Quelle: Allianz Barometer 2015
5 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Zahlen und Fakten zu e-Crime in Deutschland Jedes zweite Unternehmen wurde in den letzten zwei Jahren Opfer von digitaler Wirtschaftsspionage (Quelle: Bitkom)
Anteile der betroffenen deutschen Firmen bei Datendiebstahl, Spionage und Sabotage:
51% 28% vermutlich betroffen
betroffen
Die häufigsten e-CrimeDelikte in Deutschland 20132014: Sonstige
Diebstahl 16%
28% 14% ITK-Geräte
Sabotage
Social Engineering
Physische Dokumente
21%
17%
nicht betroffen
Sensible Daten
Abhören 8% Elektronische Kommunikation
6 • Prof. Dr. Torsten Eymann • IT Sicherheit
19%
8% Besprechungen, Telefonate
© Universität Bayreuth
Zahlen und Fakten zu e-Crime in Deutschland Durchschnittliche Schadenshöhe pro e-Crime-Fall bei Unternehmen in Deutschland Verletzung von Geschäfts- und Betriebsgeheimnissen
609.000 € 584.000 €
Verletzung von Urheberrechten Datendiebstal
348.000 €
Erpressung
337.000 €
Ausspähen oder Abfangen von Daten
253.000 €
Systembeschädigung und ComputerSabotage
241.000 €
Computerbetrug Manipulation von Konto- und Finanzdaten
199.000 € 128.000 €
Quelle: KPMG e-Crime 2015
7 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Bei uns ist noch nie etwas passiert“ Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt! Hohe Dunkelziffer unerkannter Angriffe Es wird vermutet, dass 71% aller IT Sicherheitsvorfälle unentdeckt bleiben
Zwei Drittel aller Sicherheitsvorfälle bleiben unentdeckt
Anzahl entdeckter Vorfälle 2014: 42.8 Millionen Vermutete Vorfälle insgesamt: 147,6 Millionen (Quelle: PWC Global State of Information Security® Survey 2015) 8 • Prof. Dr. Torsten Eymann • IT Sicherheit
29% 71%
Anteil entdeckter Vorfälle geschätzter Anteil unentdeckter Vorfälle © Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht." In jedem Unternehmen gibt es eine Menge wertvoller Datenbestände (z.B. Mail Verkehr mit Kunden und Zulieferern, Kundenlisten, Kalkulationen, Angebote und Ausschreibungen, Konstruktionszeichnungen sowie Prozess- und Patentbeschreibungen) Schadensfälle durch IT-bezogene Sicherheitslücken treten Unternehmen jeder Größe regelmäßig auf. 93 Prozent aller Unternehmen haben bereits Erfahrungen damit gesammelt (Quelle: BMWi 2012)
Quelle: Auszug aus Leitfaden Informationssicherheit des Bundesamtes für Sicherheit in der Informationstechnik
9 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Unser Netz ist sicher.“ Die Fähigkeiten und die Möglichkeiten potentieller Angreifer werden oft unterschätzt Beispiel Bot Netze: Angriffe werden von tausenden (!) Rechnern gleichzeitig verübt oft werden Angriffe im großen Stil organisiert Solchen Angriffen ist selbst durch erfahrenes IT Sicherheitspersonal kaum beizukommen
10 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Weit verbreitete Fehleinschätzungen bezüglich des eigenen Schutzbedarfs: • „Unsere Mitarbeiter sind vertrauenswürdig.“
Quelle: Bitkom (2014)
11 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Verursacher von IT Sicherheitsvergehen (Bitkom 2015) aktuelle oder ehemalige Mitarbeiter
58%
Unternehmerisches Umfeld
39%
unbekannte Täter/weiß nicht/keine Angabe
18%
Hobby Hacker
17%
Organisierte Kriminalität
11%
Ausländischer Nachrichtendienst 3%
12 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT Sicherheit - Fehleinschätzungen Bedrohung der IT Sicherheit durch die eigenen Mitarbeiter Arten der Bedrohung: • Schwachstellen im System, verursacht durch Fehler und Nachlässigkeiten entstehen aus Unwissenheit, mangelndem Risikobewusstsein oder Unkonzentriertheit • Absichtliche Angriffe auf die Sicherheit durch böswilliges Verhalten von Insidern („malicious insiders“) Motive: Bereicherung, Wut, Beeinflussung durch Dritte („social engineering“)
13 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Der IT-Sicherheitsbegriff kann durch die Schutzziele von Systemen definiert werden
Informationssicherheit • Schutz der IT-Systeme vor unabwendbaren Ereignissen • Schutz der IT-Systeme vor absichtlichen Angriffen
Verfügbarkeit • Daten & Verfahren können jederzeit ordnungsgemäß angewendet werden
Vertraulichkeit • Zugriff auf Daten bzw. Informationen nur durch autorisiertes Personal
Integrität • Keine unbefugten Veränderungen oder Manipulationen von Daten Federrath & Pfitzmann (2000)
14 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Definition der IT Sicherheit • „Sicherheit ist die Freiheit von unvertretbaren Risiken“ (DIN 2002) • IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern. • IT-Sicherheit gliedert sich in vier Bereiche o Funktionssicherheit (safety) o Informationssicherheit (security) o Datensicherheit (protection) o Datenschutz (privacy) • IT-Sicherheit ist eine notwendige Voraussetzung für die betriebliche Nutzung von Informationssystemen Quelle: Eckert 2012
15 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Safety vs. Security Funktionssicherheit vs. Informationssicherheit • Wir betrachten im weiteren Verlauf der Vorlesung die Informationssicherheit und die in diesem Kontext von den IT-Systemen ausgehenden Gefahren • Eine aus Fahrlässigkeit oder menschlichem Versagen resultierende Systemstörung ist dabei anders zu bewerten als ein vorsätzlicher Angriff
Quelle: Müller 2003
16 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Funktionssicherheit (safety) • Die realisierte Ist-Funktionalität der Komponenten stimmt mit der spezifischen SollFunktionalität überein • Ein funktionssicheres System nimmt keine funktional unzulässigen Zustände an • Es funktioniert unter allen (normalen) Betriebsbedingungen • Materielle Sicherheit durch bspw.: Backup
Redundanz
Brandschutz
Quelle: Müller 2003
17 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Informationssicherheit (security) - Schwachstellen, Bedrohungen und Angriffe • Schwachstelle (weakness) Eine Schwäche eines Systems oder ein Punkt, an dem das System verwundbar werden kann, und dazu führt, dass angestrebte Schutzziele nicht erreicht werden • Bedrohung (threat) Eine Bedrohung des Systems zielt darauf ab, eine oder mehrere Schwachstellen auszunutzen (Fahrlässigkeit, Vorsatz, Technisches Versagen, Organisatorische Mängel) • Angriff (attack) o Web-und netzwerkbasierte Angriffe o Malware o Sicherheitsangriffe o Missbrauch von Ressourcen- und Dienstleistungsverfügbarkeit o Mutwillige Datenzerstörung und unbeabsichtigter Datenverlust o Angriffe auf die Integrität von Laufwerkdaten Quelle: Eckert 2012
18 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Epochen der IT Sicherheit
Internet 1.0 Menschliche Interaktion 19 • Prof. Dr. Torsten Eymann • IT Sicherheit
Internet 2.0
Internet 3.0 Automatisierung © Universität Bayreuth
Gefahren und Schutzmechanismen Internet 1.0 • Annahme: „Gute“ Bürger sind drinnen Herausforderung: Verteidigung der „Burg“ von außen: nicht berechtigte Bürger bleiben draußen o von innen: ein Bürger „spioniert“ die anderen nicht aus o
• Angreifer Modell: o von außen: „Outsiders“ oder „Intruders“ o von innen: „Insiders“ oder „Saboteurs“
Internet 1.0
• Lösung: „reaktives“ Vorgehen o gegen Outsider: strenge Zugangskontrolle (Firewalls) o gegen Insider: strenge Bestrafung
20 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 1.0 Schutz durch Authentifikation Überprüfung der Identität Grundlegende Möglichkeiten der Authentifikation: Wissen: Passwörter Besitz: Tokens, Smartcards, Zertifikate Sein: Biometrie
Internet 1.0
Schutz durch Zugangskontrollen (Firewalls) Schutz durch geheime Kommunikation mit Hilfe von Verschlüsselung
21 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen • Errichtung von Barrieren im System • Nur Berechtigten ist der Zugang erlaubt vorherige Authentifizierung notwendig • Autorisierung ist das Recht einer Einheit, auf eine Systemressource zuzugreifen Wer darf im System worauf zugreifen? o Systemadministrator
zulässiger Informationsfluss
Autorisierungsverfahren streng geheim
geheim
vertraulich unklassifiziert
o User
Quelle: Eymann 2011
22 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 2.0 • Nutzer sind zunehmend untereinander vernetzt (soziale Netzwerke, WhatsApp) • Nutzer sind nicht mehr nur passive Konsumenten von Informationen, sondern können interagieren und eigene Inhalte (Kommentare, Bilder, Videos) einbringen
Internet 2.0
• Internet als infrastrukturelle Grundlage für Transaktionen ermöglicht eine neue Form des globalen Wirtschaftens
• Durch die zunehmende Vernetzung nimmt jedoch auch die Verwundbarkeit der Teilnehmer zu • Neue Formen der organisierten Kriminalität als Folge der Vernetzung: das Darknet ist Sammelpunkt für kriminelle Aktivitäten aller Art
23 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Schutz der Vertraulichkeit durch verschlüsselte Kommunikation • Kryptographie ist die Wissenschaft zur Geheimhaltung von Nachrichten und der damit verbundenen algorithmischen Mechanismen zur Informationssicherung • Ziel: Vertraulichkeit von Daten Funktionsweise • Nachricht liegt als Klartext (K) vor • Sender verschlüsselt Klartext (KS) und verschickt Schlüsseltext • Empfänger kann Vorgang wieder umkehren (SK) Quelle: Eckert 2012
24 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Schutz durch Verschlüsselung Schutz durch Verschlüsselung – Beispiel Caesar-Chiffre
Problem: Per Häufigkeitsanalyse lösbar
Technisches Wettrüsten von Angreifern und Verteidigern 25 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Schutz durch Verschlüsselung Data Encryption with Symmetric Key Cryptography
Alice encypts the message and sends it to Bob
26 • Prof. Dr. Torsten Eymann • IT Sicherheit
Bob uses the same key to decrypt the message
© Universität Bayreuth
Schutz durch Verschlüsselung Data Encryption with Symmetric Key block cipher
Problem: Quickly increasing computing power: "brute-force-attacks"
27 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 2.0 Gefahren • Zunehmende Vernetzung bietet mehr Möglichkeiten für das Kompromittieren/Angreifen von Daten und Systemen durch Malware und unberechtigten Zugriff
Internet 2.0
Schwachstelle Mensch, nicht Technik: „Social Engineering“, Phishing
28 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 2.0 Man-in-the-Middle Attack o
„Impersonation“ von Kommunikationspartnern
o
Sicherheitsrelevante Informationen (z.B. Passwort, Nutzerdaten) werden abgefangen und später verwendet
29 • Prof. Dr. Torsten Eymann • IT Sicherheit
Internet 2.0
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 2.0 Phishing • Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Nutzers zu gelangen o
o
Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank
Internet 2.0
Phishing Mails fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben
30 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Schutz durch Verschlüsselung Data Encryption with Asymmetric Keys
Distinctive keys: private key and public key
Message is locked with a public key and can be unlocked only with the corresponding private key
Bob can the access message with private key
31 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Schutz durch Verschlüsselung Electronic integrity checking with Hash Functions This creates a compressed image of the message Pass message through algorithm (hash function)
Integrity check: run the hash function again
32 • Prof. Dr. Torsten Eymann • IT Sicherheit
Compare the results
If both are the same, the original message has not been changed
© Universität Bayreuth
Schutz durch Verschlüsselung
33 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Phishing-Mail
34 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) • Mobile, smarte Geräte sind in den Alltag integriert und untereinander vernetzt (Smartphones, Wearables) • Nutzer generieren ständig große Datenmengen, auch über persönliche Gewohnheiten (z.B Aufenthaltsorte, Fitnesszustand, Freunde, Einkaufsgewohnheiten)
Internet 3.0
• Smart Devices ermöglichen neue Technologien: Smart Homes, Smart Metering, Intelligent Cars
35 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Gefahren • Moderne, intelligente Industrieanalagen basieren auf cyberphysischen Systemen: Verbindung von softwaretechnischen Komponenten mit mechanischen und elektronischen Teilen, die über eine Dateninfrastruktur, wie z. B. das Internet, kommunizieren Durch Verbindung mit dem Internet immer und von jedem angreifbar
Internet 3.0
• Neu sind Angriffe auf die IT Infrastruktur o Um Unternehmen zu schädigen, werden deren IT Ressourcen angegriffen o Denial of Service Attacks überfluten Server mit Anfragen und legen so die IT Infrastruktur lahm 36 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf die IT Infrastruktur: Denial of Service Attacks • Unbefugte Beeinträchtigung der Funktionalität der IT Infrastruktur • Absichtliche Überflutung von Servern mit einer Masse an Anfragen
Internet 3.0
• Gegenmaßnahmen o Redundanz von Ressourcen o Notfallpläne Handlungsrichtlinien
37 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf die IT Infrastruktur: Denial of Service Attacks
38 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Internet 3.0 (Internet der Dinge) Angriffe auf Industrieanlagen: Beispiel Stuxnet
39 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Gefahren und Schutzmechanismen Angriffe auf Medizingeräte
40 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
Sicherheitstacho - Cyber-Angriffe in Echtzeit
Quelle: http://www.sicherheitstacho.eu
41 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
New large-scale attacks on IT Security The „Heartbleed“ Bug • A very serious vulnerability in the popular OpenSSL cryptographic software library • SSL/TLS provides communication security for applications such as web, Email, instant messaging (IM) • Heartbleed bug allows to read the memory of the systems protected by the vulnerable versions of the OpenSSL software sensitive information stored on the servers can be stolen, including passwords, data, and even the web server certificate's private key 42 • Prof. Dr. Torsten Eymann • IT Sicherheit
© Universität Bayreuth
IT-Sicherheit als Voraussetzung der Digitalisierung Fazit • Zunehmende Mobilität und Vernetzung stellen hohe Anforderungen an die Sicherheit von IT Systemen o