Cybersicherheit - Reale Bedrohung und Schutzkonzepte - KA-IT-Si

Cybersicherheit - Reale
Bedrohung und
Schutzkonzepte
Isabel Münch
Referatsleiterin Allianz für Cyber-Sicherheit,
Penetrationszentrum und IS-Revision
Bundesamt für Sicherheit in der Informationstechnik
5. Tag der IT-Sicherheit
Karlsruhe
04.07.2013
Inhalte
 Überblick
BSI
 Ursachen für Cyber-Probleme
 Lageeinschätzung Cyber-Angriffe
 Allianz für Cyber-Sicherheit
Das BSI
eine Kurzvorstellung
... ist eine unabhängige und neutrale Stelle für Fragen zur
IT-Sicherheit in der Informationsgesellschaft
Gründung 1991 per Gesetz als
nationale Behörde für IT-Sicherheit
 Jahresbudget: € 64 Mio. (2009)
 Mitarbeiter: über 500
 Standort: Bonn

Positionierung, Kunden:
 operativ:
Bundesverwaltung
 kooperativ: Wirtschaft, Wissenschaft
 informativ: Bürger
Ursachen für
Cyber-Probleme
Ursachen für
Cyber-Probleme
 Schwachstellen
in Standardprodukten
 5257
neue Schwachstellen in 2012 = 100 pro Woche
 Kritische Schwachstellen im Jahreszeitraum:









Adobe Reader:
Adobe Flashplayer:
Apple Safari:
Google Chrome:
Linux Kernel:
Microsoft Windows:
Mozilla Firefox:
Oracle Java JDK:
Oracle Java JRE:
Quelle: BSI Schwachstellenampel
52
82
65
141
28
64
129
141
143
Ursachen für
Cyber-Probleme
 Ungepatche
PCs (Bürger/Kleinstunternehmen)
41% angreifbar mit Microsoft XML Core Services ( 3 CVEs)
 36% angreifbar mit Sun Java JRE 1.6.x/6.x
(58 CVEs)
 26% angreifbar mit VLC Media Player 2.x
(23 CVEs)
 17% angreifbar mit Oracle Java JRE SE 1.7.x/7.x (64 CVEs)
 17% angreifbar mit Adobe Flash Player 11.x
(70 CVEs)
 15% angreifbar mit OpenOffice 3.x
( 5 CVEs)
 14% angreifbar mit Adobe Reader X 10.x
(69 CVEs)
 14% angreifbar mit Apple QuickTime 7.x
(26 CVEs)

Quelle: Secunia
Ursachen für Cyber-Probleme
 Vorkonfektionierte Angriffswerkzeuge
Quelle: Contagio
(Exploit Kits)
Ursachen für
Cyber-Probleme
 Industrielle
Fertigung von Malware
Mindestens 36.955.387 neue Malware in 2012
 Gesamtzahl: über 100.000.000

 Malware
Construction Kits (Beispiele)
Winlock Builder (Ramsomware) ~80$
 SpyEye ~150$
 Carberp ~5000$


Polymorphe Verschlüsselung zusätzlich ~1000$
BlackShades (Remote Administration Tool) ~75$
 Beta Bot ~460$
 Citadel (Banking Trojaner) ~3000$
 Zeus/Zbot (Banking Trojaner) ~8000$

Quelle: Symantec, BSI/FKIE
Ursachen für
Cyber-Probleme
Cyber-Angreifer
 Script
Kiddies
 Einzeltäter (Hacker)
 Cyber Researcher
------------------------------------------------------------------------------ Hacktivisten
 Professionelle Cyber-Kriminelle
 Cyber-Wirtschaftsspione
 Nachrichtendienste
------------------------------------------------------------------------------ Zukünftig Cyber-Terroristen und Cyber-War-Staaten?
Isabel Münch
9
Ursachen für
Cyber-Probleme
Cyber-Täter im Hintergrund
 Schwachstellen-Analyst und Schwachstellen-Vertreiber
 Entwickler und Vertreiber von Exploit-Kits
 Entwickler und Vertreiber von Malware Construction Kits
 Dienstleister für polymorphe Verschlüsselung oder
polymorphes Packen von Malware
 Vermieter von Botnetzen für
SPAM- und Malware-Verteilung
 Click-Fraud

 Dienstleister
für DDoS-Angriffe
 Dienstleister für Geldwäsche und -transfer (Money Mules)
Isabel Münch
10
Lageeinschätzung
ungezielter Cyber-Angriffe
Ungezielte Cyber-Angriffe
in der Fläche
 Angriffsvektor
E-Mail

Verteilung von Malware als Anhang von SPAM-Mails

Täglich mehrere SPAM-Wellen in Deutschland mit Malware
(Typisch: 5-6 Wellen pro Tag, bis zu 1.000.000 Mails pro Tag)

Typisch: zum Zeitpunkt der SPAM-Welle wird die Malware
praktisch von keinem AV-Produkt erkannt!
Quelle: eleven, BSI
Ungezielte Cyber-Angriffe
in der Fläche
 Angriffsvektor
Surfen (Drive-By-Exploits)

Verteilung von Malware mittels manipulierter Webseiten

Täglich 500.000 Webseiten mit Drive-By-Exploits,
davon zwischen 10.000 und 40.000 in Deutschland

beliebt: Manipulation über ungepatchte
Content-Management-Systeme (z.B. Joomla, Wordpress)

beliebt: Verteilung auch über manipulierte Werbebanner,
die auf einer Vielzahl hochfrequentierter Sites angeboten
werden
Quelle: Cyscon
Botnetze als Folge
ungezielter Cyber-Angriffe
 Botnetz=Gruppe
gekaperter Rechner unter gemeinsamer
Fernsteuerung (z.B. C&C-Server, Peer-to-Peer-Netz)
 Gesamtzahl
 Kritische
 Lethic:
aktueller Botnetze: ~1150
Botnetze 2012
28% aller SPAM-Mails weltweit
 Festi: 250.000 PCs betroffen, SPAM-Bot
 Zeus: 1100 C&C-Server in 02/2013, Banking-Trojaner
 SpyEye: 57 C&C-Server in 02/2013, Banking-Trojaner
 ZeroAccess: 2.000.000 PCs betroffen, click-fraud
 Flashback: 700.000 MACs betroffen, Password-Stealing
Quelle: Kindsight, Arbor
Botnetze als Folge
ungezielter Cyber-Angriffe
 Botnetz-Trends
 Zunehmend
werden Botnetze aus gekaperten Servern
aufgebaut
 Vorteil
für den Angreifer: Server haben leistungsstarke
Anbindung ans Internet (>1Gbit/s)
 DDoS-Angriffskapazität:
 Aktuell:
>100Gbit/s
DDoS-Angriffe auf US-Banken mit Brobot-Botnetz,
mehrere 10000 Server, mehr als 5000 Server davon in D
Quelle: BSI
Ungezielte Cyber-Angriffe
in der Fläche
 Auswirkungen

Eigenes System unter fremder Kontrolle (RAT)

Diebstahl digitaler Identitäten (Nutzername, Passwort)
(belegte Fälle: >1.100.000 in 2012)

Diebstahl von Geldwerten (Manipulation im Homebanking,
e-Commerce, …)

Missbrauch des eigenen Systems für
SPAM-Verteilung, Klick-Betrug
 Suche und Kaperung weiterer Opfer-PCs
 Überlast-Angriff auf ausgewählte Ziele

Lageeinschätzung
gezielter Cyber-Angriffe
Gezielte Cyber-Angriffe
- Sabotage  Bekannte
Cyber-Sabotage-Aggressoren
Hacktivismus-Gruppierung Anonymous
 Vermutete „staatsnahe“ Gruppierungen u.a. aus






China
Russland
Nordkorea
Iran
Palästina
Cyber-Kriminelle: Cyber-Erpressung
 Nicht zu vernachlässigen: Konkurrenz-Unternehmen

Gezielte Cyber-Angriffe
- Sabotage  Distributed
Denial of Service-Angriff
DNS-Server deutscher Server (September 2012)
 US-Banken (läuft seit September 2012) (>5000 deutsche
Server beteiligt!)
 50Hertz-Portal (Dezember 2012)
 Spamhaus (März 2013) (300Gbit/s!)
 Niederländische Banken (April 2013)
 Belgische Banken (April 2013)

 Hacking
/ Malware
Urananreicherungsanlage (Stuxnet 2010)
 NH-Bank in Südkorea (April 2011)
 Saudi-Aramco (August 2012)
 Südkoreanische Banken und TV-Sender (März 2013)

Gezielte Cyber-Angriffe
- Spionage -
Quelle: Corporate Trust
Gezielte Cyber-Angriffe
- Spionage  Kritische
 2012:
Cyber-Angriffe auf Regierungsnetze
>4000
 Cyber-Spionage
 Die
in deutschen Unternehmen
wenigsten Fälle sind öffentlich bekannt
 Arbeitskreis Cyber-Forensik: mehr als 1000 Fälle
 Sowohl Großunternehmen wie auch KMU betroffen
 Die wenigsten Fälle kommen zur Anzeige
 Die meisten Cyber-Spionage-Fälle werden nur zufällig erkannt
Gezielte Cyber-Angriffe
- Mehrstufige Cyber-Angriffe  Mehrstufiger Angriff
auf Sicherheitsinfrastrukturen:
erst auf Sicherheitsanbieter, dann auf das eigentliche Ziel
RSA
 DigiNotar
 Bit9
 Spamhaus
 DigiD

 Trend:
Kombi-Cyber-Angriff
Erst: Sabotage-Angriff (DDoS) zur Ablenkung
 Dann: gezielter Spionage-Angriffe

Cyber-Sicherheitslage
 Cyber-Angreifer
arbeiten arbeitsteilig, Angriffswerkzeuge
reichlich verfügbar
 Deutschland
ist massives Ziel für Cyber-Crime
 wird breit cyber-ausspioniert
 ist Schwellenland für Cyber-Sabotage
 wird als Relay-Station für internationale
Cyber-Sabotage-Angriffe genutzt

 Praktisch
jedes Unternehmen wird cyber-attackiert, nicht
alle merken es
 Dimension der Cyber-Angriffe wird langsam sichtbar
Kernfragen der
Cyber-Sicherheit
 Wie
cyber-gefährdet ist mein Unternehmen?
 Wie
schütze ich mein Unternehmen angemessen
im Cyber-Raum?
 Mit
wem kann ich Erfahrungen austauschen?
 Wer
hilft meinem Unternehmen?
 Was
kann mein Unternehmen selbst einbringen?
Die Allianz für
Cyber-Sicherheit
Isabel Münch
25
Was bietet die
Allianz für Cyber-Sicherheit?
Kooperationsbasis zwischen
Staat,
Wirtschaft,
Hersteller und
Forschung
zentraler Informationspool
Isabel Münch
Erfahrungsaustausch
26
Allianz für Cyber-Sicherheit
Isabel Münch
27
Zielgruppen
Zahlen und Fakten
(Stand Mai 2013)
 Aktive
Partner: 20
 Partneranträge: 48
 Multiplikatoren: 22
 BDI,
BITKOM
 ZVEI, VOICE
 ISACA, DsiN
 Sicherheitspartnerschaft NRW
 usw.
 Arbeitskreise:
 Experten,
Isabel Münch
3
Forensik, ISP
29
Allianz für Cyber-Sicherheit
März 2012: Ankündigung auf CeBIT
Juni 2012: Beginn der Pilotphase
Oktober 2012: Start auf it-sa
Januar 2013: 1. Cyber-Sicherheits-Tag
Mai 2013: Gründung des Beirats
www.allianz-fuer-cybersicherheit.de
Isabel Münch
30
Informationspool
Institutionen im besonderen staatl.
Interesse (KRITIS, spionagegefährdet, dramatische
Auswirkungen)
Angriffsvektoren,
Angriffsanalysen,
Schwachstellen,
Dienstleistungen
freiwillig registrierte
Teilnehmer
(Deutsche Unternehmen)
Lagebilder,
Warnungen,
Newsletter
Teilnehmer
Empfehlungen,
Analysen,
Meldestelle,
Sensibilisierung
Isabel Münch
31
www.allianz-fuer-cybersicherheit.de
Highlights
Cyber-Sicherheits-Exposition
➢ Basismaßnahmen für Cyber-Sicherheit
➢ Sofortmaßnahmen bei DDoS-Angriffen
➢ Sichere Nutzung von PCs unter
➢
➢
Windows, Ubuntu, Apple OS X Lion
SCADA: Top10 Bedrohungen und Gegenmaßnahmen
------------------------------------------------------------------------➢ Monatliche Lageberichte
➢ Warnungen
➢ Blog
➢ Signaturen
➢
Isabel Münch
33
Erfahrungsaustausch
Insgesamt haben sich über 800
Experten zum Thema
Cyber-Sicherheit ausgetauscht
Cyber-Sicherheits-Tage
 Partner-Treffen
 Branchen-Arbeitskreise
 Internetprovider-Arbeitskreis
 Cyber-Forensiker-Kreis
 Cyber-Experten-Kreis
 Regionale, überregionale Foren
 CS-Fachtagung usw.

Isabel Münch
34
Wie können Unternehmen
teilnehmen?
 Registrierte
Teilnehmer
Personen (CISO, CIO, usw.)
 Anmeldung mit Vertraulichkeitserklärung
 Weiterführende, nicht-öffentliche Informationen
 Aktive Benachrichtigungen über aktuelle Entwicklungen

 Partner
deutsche Institutionen
 Mitarbeit durch kostenlosen Partnerbeitrag (z.B.
Dienstleistung, Bereitstellung exklusiver Informationen oder
ein persönliches Engagement als Foren-Leiter)
 Partnerbeiträge werden für alle Teilnehmer veröffentlicht
 Nutzung Partner-Logo der Allianz

Isabel Münch
35
Ausblick
 Die Allianz
expandiert weiter!
Teilnehmer
 Partner
 Erfahrungsaustausch

 Regionalisierung
(neue regionale Angebote forcieren)
 Schaffung eines gemeinsamen nationalen Cyber-Lagebilds
 Intensivierung von Angebot und Nachfrage
Dienstleistungen
 Produkte

Isabel Münch
36
Nächste Termine
 3.
Partnertag der Allianz, 10.10.2013 auf der it-sa Nürnberg
 3. Teilnehmer-Tag der Allianz zum Schwerpunkt "Cloud
Sicherheit", 6. November 2013 in Göttingen
 2. Cyber-Sicherheitskongress, Bundesakademie für
Sicherheitspolitik +BSI, Frühjahr 2014 in Berlin
 Teilnehmer-Tag der Allianz zum Schwerpunkt
„ICS-Security“, Frühjahr 2014
 Für Teilnehmer der Allianz:
Schulung Open-VAS September 2013
 Seminar Sichere Netzwerkstrukturen Herbst 2013

 ...
Isabel Münch
37
Kontakt
Bundesamt für Sicherheit in der
Informationstechnik (BSI)
Isabel Münch
Referat C 23
Postfach 20 03 63
53133 Bonn
Telefon: +49 (0)228 99 9582 5367
Telefax: +49 (0)228 99 10 9582 5367
[email protected]
www.bsi.bund.de
www.bsi-fuer-buerger.de
Isabel Münch
18.06.13
38