Cybersicherheit - Reale Bedrohung und Schutzkonzepte - KA-IT-Si
Transcrição
Cybersicherheit - Reale Bedrohung und Schutzkonzepte - KA-IT-Si
Cybersicherheit - Reale Bedrohung und Schutzkonzepte Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik 5. Tag der IT-Sicherheit Karlsruhe 04.07.2013 Inhalte Überblick BSI Ursachen für Cyber-Probleme Lageeinschätzung Cyber-Angriffe Allianz für Cyber-Sicherheit Das BSI eine Kurzvorstellung ... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft Gründung 1991 per Gesetz als nationale Behörde für IT-Sicherheit Jahresbudget: € 64 Mio. (2009) Mitarbeiter: über 500 Standort: Bonn Positionierung, Kunden: operativ: Bundesverwaltung kooperativ: Wirtschaft, Wissenschaft informativ: Bürger Ursachen für Cyber-Probleme Ursachen für Cyber-Probleme Schwachstellen in Standardprodukten 5257 neue Schwachstellen in 2012 = 100 pro Woche Kritische Schwachstellen im Jahreszeitraum: Adobe Reader: Adobe Flashplayer: Apple Safari: Google Chrome: Linux Kernel: Microsoft Windows: Mozilla Firefox: Oracle Java JDK: Oracle Java JRE: Quelle: BSI Schwachstellenampel 52 82 65 141 28 64 129 141 143 Ursachen für Cyber-Probleme Ungepatche PCs (Bürger/Kleinstunternehmen) 41% angreifbar mit Microsoft XML Core Services ( 3 CVEs) 36% angreifbar mit Sun Java JRE 1.6.x/6.x (58 CVEs) 26% angreifbar mit VLC Media Player 2.x (23 CVEs) 17% angreifbar mit Oracle Java JRE SE 1.7.x/7.x (64 CVEs) 17% angreifbar mit Adobe Flash Player 11.x (70 CVEs) 15% angreifbar mit OpenOffice 3.x ( 5 CVEs) 14% angreifbar mit Adobe Reader X 10.x (69 CVEs) 14% angreifbar mit Apple QuickTime 7.x (26 CVEs) Quelle: Secunia Ursachen für Cyber-Probleme Vorkonfektionierte Angriffswerkzeuge Quelle: Contagio (Exploit Kits) Ursachen für Cyber-Probleme Industrielle Fertigung von Malware Mindestens 36.955.387 neue Malware in 2012 Gesamtzahl: über 100.000.000 Malware Construction Kits (Beispiele) Winlock Builder (Ramsomware) ~80$ SpyEye ~150$ Carberp ~5000$ Polymorphe Verschlüsselung zusätzlich ~1000$ BlackShades (Remote Administration Tool) ~75$ Beta Bot ~460$ Citadel (Banking Trojaner) ~3000$ Zeus/Zbot (Banking Trojaner) ~8000$ Quelle: Symantec, BSI/FKIE Ursachen für Cyber-Probleme Cyber-Angreifer Script Kiddies Einzeltäter (Hacker) Cyber Researcher ------------------------------------------------------------------------------ Hacktivisten Professionelle Cyber-Kriminelle Cyber-Wirtschaftsspione Nachrichtendienste ------------------------------------------------------------------------------ Zukünftig Cyber-Terroristen und Cyber-War-Staaten? Isabel Münch 9 Ursachen für Cyber-Probleme Cyber-Täter im Hintergrund Schwachstellen-Analyst und Schwachstellen-Vertreiber Entwickler und Vertreiber von Exploit-Kits Entwickler und Vertreiber von Malware Construction Kits Dienstleister für polymorphe Verschlüsselung oder polymorphes Packen von Malware Vermieter von Botnetzen für SPAM- und Malware-Verteilung Click-Fraud Dienstleister für DDoS-Angriffe Dienstleister für Geldwäsche und -transfer (Money Mules) Isabel Münch 10 Lageeinschätzung ungezielter Cyber-Angriffe Ungezielte Cyber-Angriffe in der Fläche Angriffsvektor E-Mail Verteilung von Malware als Anhang von SPAM-Mails Täglich mehrere SPAM-Wellen in Deutschland mit Malware (Typisch: 5-6 Wellen pro Tag, bis zu 1.000.000 Mails pro Tag) Typisch: zum Zeitpunkt der SPAM-Welle wird die Malware praktisch von keinem AV-Produkt erkannt! Quelle: eleven, BSI Ungezielte Cyber-Angriffe in der Fläche Angriffsvektor Surfen (Drive-By-Exploits) Verteilung von Malware mittels manipulierter Webseiten Täglich 500.000 Webseiten mit Drive-By-Exploits, davon zwischen 10.000 und 40.000 in Deutschland beliebt: Manipulation über ungepatchte Content-Management-Systeme (z.B. Joomla, Wordpress) beliebt: Verteilung auch über manipulierte Werbebanner, die auf einer Vielzahl hochfrequentierter Sites angeboten werden Quelle: Cyscon Botnetze als Folge ungezielter Cyber-Angriffe Botnetz=Gruppe gekaperter Rechner unter gemeinsamer Fernsteuerung (z.B. C&C-Server, Peer-to-Peer-Netz) Gesamtzahl Kritische Lethic: aktueller Botnetze: ~1150 Botnetze 2012 28% aller SPAM-Mails weltweit Festi: 250.000 PCs betroffen, SPAM-Bot Zeus: 1100 C&C-Server in 02/2013, Banking-Trojaner SpyEye: 57 C&C-Server in 02/2013, Banking-Trojaner ZeroAccess: 2.000.000 PCs betroffen, click-fraud Flashback: 700.000 MACs betroffen, Password-Stealing Quelle: Kindsight, Arbor Botnetze als Folge ungezielter Cyber-Angriffe Botnetz-Trends Zunehmend werden Botnetze aus gekaperten Servern aufgebaut Vorteil für den Angreifer: Server haben leistungsstarke Anbindung ans Internet (>1Gbit/s) DDoS-Angriffskapazität: Aktuell: >100Gbit/s DDoS-Angriffe auf US-Banken mit Brobot-Botnetz, mehrere 10000 Server, mehr als 5000 Server davon in D Quelle: BSI Ungezielte Cyber-Angriffe in der Fläche Auswirkungen Eigenes System unter fremder Kontrolle (RAT) Diebstahl digitaler Identitäten (Nutzername, Passwort) (belegte Fälle: >1.100.000 in 2012) Diebstahl von Geldwerten (Manipulation im Homebanking, e-Commerce, …) Missbrauch des eigenen Systems für SPAM-Verteilung, Klick-Betrug Suche und Kaperung weiterer Opfer-PCs Überlast-Angriff auf ausgewählte Ziele Lageeinschätzung gezielter Cyber-Angriffe Gezielte Cyber-Angriffe - Sabotage Bekannte Cyber-Sabotage-Aggressoren Hacktivismus-Gruppierung Anonymous Vermutete „staatsnahe“ Gruppierungen u.a. aus China Russland Nordkorea Iran Palästina Cyber-Kriminelle: Cyber-Erpressung Nicht zu vernachlässigen: Konkurrenz-Unternehmen Gezielte Cyber-Angriffe - Sabotage Distributed Denial of Service-Angriff DNS-Server deutscher Server (September 2012) US-Banken (läuft seit September 2012) (>5000 deutsche Server beteiligt!) 50Hertz-Portal (Dezember 2012) Spamhaus (März 2013) (300Gbit/s!) Niederländische Banken (April 2013) Belgische Banken (April 2013) Hacking / Malware Urananreicherungsanlage (Stuxnet 2010) NH-Bank in Südkorea (April 2011) Saudi-Aramco (August 2012) Südkoreanische Banken und TV-Sender (März 2013) Gezielte Cyber-Angriffe - Spionage - Quelle: Corporate Trust Gezielte Cyber-Angriffe - Spionage Kritische 2012: Cyber-Angriffe auf Regierungsnetze >4000 Cyber-Spionage Die in deutschen Unternehmen wenigsten Fälle sind öffentlich bekannt Arbeitskreis Cyber-Forensik: mehr als 1000 Fälle Sowohl Großunternehmen wie auch KMU betroffen Die wenigsten Fälle kommen zur Anzeige Die meisten Cyber-Spionage-Fälle werden nur zufällig erkannt Gezielte Cyber-Angriffe - Mehrstufige Cyber-Angriffe Mehrstufiger Angriff auf Sicherheitsinfrastrukturen: erst auf Sicherheitsanbieter, dann auf das eigentliche Ziel RSA DigiNotar Bit9 Spamhaus DigiD Trend: Kombi-Cyber-Angriff Erst: Sabotage-Angriff (DDoS) zur Ablenkung Dann: gezielter Spionage-Angriffe Cyber-Sicherheitslage Cyber-Angreifer arbeiten arbeitsteilig, Angriffswerkzeuge reichlich verfügbar Deutschland ist massives Ziel für Cyber-Crime wird breit cyber-ausspioniert ist Schwellenland für Cyber-Sabotage wird als Relay-Station für internationale Cyber-Sabotage-Angriffe genutzt Praktisch jedes Unternehmen wird cyber-attackiert, nicht alle merken es Dimension der Cyber-Angriffe wird langsam sichtbar Kernfragen der Cyber-Sicherheit Wie cyber-gefährdet ist mein Unternehmen? Wie schütze ich mein Unternehmen angemessen im Cyber-Raum? Mit wem kann ich Erfahrungen austauschen? Wer hilft meinem Unternehmen? Was kann mein Unternehmen selbst einbringen? Die Allianz für Cyber-Sicherheit Isabel Münch 25 Was bietet die Allianz für Cyber-Sicherheit? Kooperationsbasis zwischen Staat, Wirtschaft, Hersteller und Forschung zentraler Informationspool Isabel Münch Erfahrungsaustausch 26 Allianz für Cyber-Sicherheit Isabel Münch 27 Zielgruppen Zahlen und Fakten (Stand Mai 2013) Aktive Partner: 20 Partneranträge: 48 Multiplikatoren: 22 BDI, BITKOM ZVEI, VOICE ISACA, DsiN Sicherheitspartnerschaft NRW usw. Arbeitskreise: Experten, Isabel Münch 3 Forensik, ISP 29 Allianz für Cyber-Sicherheit März 2012: Ankündigung auf CeBIT Juni 2012: Beginn der Pilotphase Oktober 2012: Start auf it-sa Januar 2013: 1. Cyber-Sicherheits-Tag Mai 2013: Gründung des Beirats www.allianz-fuer-cybersicherheit.de Isabel Münch 30 Informationspool Institutionen im besonderen staatl. Interesse (KRITIS, spionagegefährdet, dramatische Auswirkungen) Angriffsvektoren, Angriffsanalysen, Schwachstellen, Dienstleistungen freiwillig registrierte Teilnehmer (Deutsche Unternehmen) Lagebilder, Warnungen, Newsletter Teilnehmer Empfehlungen, Analysen, Meldestelle, Sensibilisierung Isabel Münch 31 www.allianz-fuer-cybersicherheit.de Highlights Cyber-Sicherheits-Exposition ➢ Basismaßnahmen für Cyber-Sicherheit ➢ Sofortmaßnahmen bei DDoS-Angriffen ➢ Sichere Nutzung von PCs unter ➢ ➢ Windows, Ubuntu, Apple OS X Lion SCADA: Top10 Bedrohungen und Gegenmaßnahmen ------------------------------------------------------------------------➢ Monatliche Lageberichte ➢ Warnungen ➢ Blog ➢ Signaturen ➢ Isabel Münch 33 Erfahrungsaustausch Insgesamt haben sich über 800 Experten zum Thema Cyber-Sicherheit ausgetauscht Cyber-Sicherheits-Tage Partner-Treffen Branchen-Arbeitskreise Internetprovider-Arbeitskreis Cyber-Forensiker-Kreis Cyber-Experten-Kreis Regionale, überregionale Foren CS-Fachtagung usw. Isabel Münch 34 Wie können Unternehmen teilnehmen? Registrierte Teilnehmer Personen (CISO, CIO, usw.) Anmeldung mit Vertraulichkeitserklärung Weiterführende, nicht-öffentliche Informationen Aktive Benachrichtigungen über aktuelle Entwicklungen Partner deutsche Institutionen Mitarbeit durch kostenlosen Partnerbeitrag (z.B. Dienstleistung, Bereitstellung exklusiver Informationen oder ein persönliches Engagement als Foren-Leiter) Partnerbeiträge werden für alle Teilnehmer veröffentlicht Nutzung Partner-Logo der Allianz Isabel Münch 35 Ausblick Die Allianz expandiert weiter! Teilnehmer Partner Erfahrungsaustausch Regionalisierung (neue regionale Angebote forcieren) Schaffung eines gemeinsamen nationalen Cyber-Lagebilds Intensivierung von Angebot und Nachfrage Dienstleistungen Produkte Isabel Münch 36 Nächste Termine 3. Partnertag der Allianz, 10.10.2013 auf der it-sa Nürnberg 3. Teilnehmer-Tag der Allianz zum Schwerpunkt "Cloud Sicherheit", 6. November 2013 in Göttingen 2. Cyber-Sicherheitskongress, Bundesakademie für Sicherheitspolitik +BSI, Frühjahr 2014 in Berlin Teilnehmer-Tag der Allianz zum Schwerpunkt „ICS-Security“, Frühjahr 2014 Für Teilnehmer der Allianz: Schulung Open-VAS September 2013 Seminar Sichere Netzwerkstrukturen Herbst 2013 ... Isabel Münch 37 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Isabel Münch Referat C 23 Postfach 20 03 63 53133 Bonn Telefon: +49 (0)228 99 9582 5367 Telefax: +49 (0)228 99 10 9582 5367 [email protected] www.bsi.bund.de www.bsi-fuer-buerger.de Isabel Münch 18.06.13 38