Cyber-Sicherheitsrat Deutschland e.V. – Georgenstraße 22 – Berlin

Die vier Phasen der industriellen Revolution Industrie 4.0 Steigende Bedeutung der Schwellenländer E-Mobility: Anteil der Wertschöpfung der Hersteller bis 2025: 9%  Signifikant steigendes Risiko: Datenabfluss

Neue Technologien und Trends… Jede neue Technologie bringt neue Sicherheitsprobleme und Risikoüberlegungen mit sich!

Bedrohungslage Wirtschaft und Bundestag 2016 BMW „connected drive“ hacked (Feb 2015) Die Hackergruppe Carbanak hat mittels Malware von 100 Finanzinstituten in 30 Ländern ca. 1 Mrd. Dollar gestohlen. (Ende 2014) Massive Hacker-Attacke auf den deutschen Bundestag. Hackern gelang es mittels Trojanern auf das gesamte Computernetz des Bundestages (Parlacom) zuzugreifen und sensible Daten zu stehlen. (Mai 2015) Mehr als 140 Millionen Benutzeraccounts der Handelsplattform eBay gestohlen. Mittels interner Zugangsdaten von eBay- Mitarbeitern konnten die Angreifer in das System eindringen.(2014) ZUBI Angriff „remote dongle“ von ARGUS (Nov 2014) 60 Minutes – GM „On Star“ is hacked (Feb 2015) Hacker sind in die Server der Anthem Inc. eingedrungen, dem zweitgrößten Krankenversicherer der USA. Es wurden bis zu 80 Mio. Kundendaten gestohlen. (Jan 2015) 2014 Ashley Madison: Datenhack, Abfluss von Daten von 30 Mio. Nutzer Accounts (Aug 2015) Datenleck beim Spielzeughersteller Vtech: allein in Deutschland Nutzer betroffen (Nov 2015)

Schlagzeilen der letzten Wochen  Dettelbach zahlt Lösegeld nach Cyberangriff (Süddeutsche Zeitung, 04.März 2016)  Cyberangriff auf Krankenhaus :Die neuen Schutzgelderpresser (Handelsblatt, )  Dormagen Cyber-Angriff: Rathaus ergreift weitere Schutzmaßnahmen (RP-Online, )  Cyberangriff auf die Schweiz «Eine so grosse Attacke auf Shops gabs noch nie» (20 Minuten, )  Zentralbankchef von Bangladesch Rücktritt nach Online-Bankraub (tagesschau.de, )

Cyberangriff auf Krankenhäuser Mehrere Krankenhäuser betroffen, u.a. in Neuss, Kleve, Kalkar, Arnsberg, Aachen Ransomware verschlüsselt Dateien, fordert Lösegeld – Angriffsvektor: Öffnen von E- Mail-Anhang, Virenscanner schlägt nicht an Der aktuellste Angriff ist von vor zwei Wochen auf das Krankenhaus in Aachen registriert worden Kein gezielter Angriff auf KRITIS – gestreuter krimineller Angriff, u.a. auch Krankenhaus in Los Angeles betroffen Los Angeles zahlte sogar Lösegeld um die Daten wiederzubekommen

Cyberangriff auf Krankenhäuser Bsp. Neuss -Lukaskrankenhaus Neuss: hoch vernetztes, papierloses Krankenhaus, DSL an jedem Platz, Modellversuch „Visite 2.0“ der Telekom -Folgen: -schwere Fälle (etwa Herzinfarkte) werden abgewiesen -OPs werden verschoben, Bestrahlungen nicht möglich -Informationen müssen per Hand notiert, per Telefon und Fax weitergegeben werden („zurück auf Stand von 2006“) -finanzieller Schaden noch nicht abschätzbar

Organisierte Kriminalität wird digital Traditionelle organisierte Kriminalität Digitalisierung der organisierten Kriminalität ErpressungBlockieren von Logistikketten, Hijacken der Produktionssteuerung Schutzgelderpress ung DDoS-Angriffe auf Websites GeldwäscheGeldwäsche durch digitale Währungen z.B. beim Autokauf FälschungOrganisierter Diebstahl geistigen Eigentums DiebstahlDiebstahl von Kundendaten Organisierte Kriminalität Mit Cyberkriminalität wird seit 2009 mehr Geld verdient als mit klassischem Drogenhandel! 1920 Alkohol, Glücksspiel 1940 Schmarzmärkte in der Nachkriegszeit 1970/80 Ausweitung des globalen Drogenmarktes Gegenwart Organisierter Cybercrime

Unternehmen gehen bewusst Risiken ein Anzeigen 10%, dabei Nichtaufklärungsquote 75% Anzeigen 10%, dabei Nichtaufklärungsquote 75% Durch veränderte sicherheitspolitische Ordnung treten immer mehr Staaten oder terroristische Organisationen als Akteure in Erscheinung Gesamte Fallanzahl von Cyber-Delikten (Quelle: BKA 2014) Bedrohungslage in Deutschland In Dt. Schadenspotential 51 Mrd. EUR (1,6% des BIP) Tatmittel Internet

-50% der angegriffenen Unternehmen sind KMUs - Innerhalb der KMUs sind die Kleinunternehmen am stärksten betroffen -Diese Branchen sind am meisten von Cyber- Angriffen betroffen Quelle: Bitkom Angriffe auf KMUs

Maßnahmen der Wirtschaft gegen Cyber-Angriffe Sensibilisierung und Awareness Schutzbedarf feststellen und Daten klassifizieren Krisen-Kommunikation Verschlüsselung > Beurteilung der Informations- und IT-Sicherheit im Unternehmen durch regelmäßige Cyber-Sicherheitschecks > Frühzeitiges Erkennen von Angriffen: Intrusion Detection, Erkennung von Netzwerk-Anomalien > Schutzbedarfe feststellen und anhand ihrer Kritikalität klassifizieren > Personenbezogene Daten > Ergebnisse aus Forschung und Entwicklung > Kunden- bzw. Vertriebsinformationen > Verschlüsselung von Daten und Kommunikation > Kontinuierlicher Austausch zu Herausforderungen und Lösungen auf staatlicher und nicht-staatlicher Ebene, z.B. im Rahmen einer Mitgliedschaft des Cyber-Sicherheitsrat Deutschland e.V. > Krisenreaktionspläne > Information und Kommunikation > Meldung – LKA? Polizei? Verfassungsschutz? BSI?

Herbst Rund 150 Staaten entwickeln digitale Waffen (Feststellung am Rande der UN-Vollversammlung) Gründung von „Cybereinheiten“ (militärische Einheiten, die digitale Angriffe auf Stromnetze, Kraftwerke, Kommunikationszentren, Bankensysteme, Verkehrssteuerungen etc. planen / testen) Herbst Rund 150 Staaten entwickeln digitale Waffen (Feststellung am Rande der UN-Vollversammlung) Gründung von „Cybereinheiten“ (militärische Einheiten, die digitale Angriffe auf Stromnetze, Kraftwerke, Kommunikationszentren, Bankensysteme, Verkehrssteuerungen etc. planen / testen) Internationale Reaktionen auf Bedrohungen… USA seit 2009 Einführung der Position des „Cyber-Czar“ beim Weißen Haus Project „X“ US-Militär Cyber Programm Budget 2016 Cyber-Sicherheit : 14Mrd. $ Interministeriell verwaltet Israel Cyber –Bureau direkt dem Präsidenten unterstellt: Beratung, Strategie, Legislative Vorbild: USA mit Cyber-Czar 2014 Eröffnung des Be´er Sheeva Cyber-Spark(Kompetenzzentrum an der Ben-Gurion Universität) Großbritannien Cyber-Security Information Sharing Partnership (CISP) von Regierung ins Leben gerufen Echtzeitmonitoring durch britische Polizei, Inlandsgeheimdienst MI5 und Nachrichtendienst GCHQ 600 Mio. EUR zusätzlich in den kommenden Jahren für Cyber-Experten bei den Geheimdiensten

Deutschlands erste Schritte in Richtung Cyber-Sicherheit… „Die IT-Systeme und Infrastrukturen Deutschlands sollen die sichersten weltweit werden. Mit dem IT-Sicherheitsgesetz wollen wir international Vorreiter und Vorbild für die Entwicklung in anderen Ländern sein […]. Die Meldepflicht wird den betroffenen Unternehmen einen deutlichen Mehrwert bringen[…].“ Quelle: Thomas de Maizière, 18. August 2014, Das Netz – Raum der Chancen und der Freiheit. Das IT-Sicherheitsgesetz Unternehmen sollen noch mehr melden, um Lagebild zu generieren es muss jedoch vorrangig nicht um Verwaltung, sondern Bekämpfung von Cyber-Kriminalität gehen Was heißt das für die Unternehmen: Etats bleiben jedoch konstant : 2013(77 Mio.€) 2014(79 Mio.€) Was heißt das für die Unternehmen: „Betreiber … sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung…angemessene …Maßnahmen zum Schutz… zu treffen“ Betreiber von KRITIS und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen Rechtsverordnung kommt in zwei „Körben“ :Korb 1 (Energie, IKT, Ernährung, Wasser), Korb 2 (Finanzen, Gesundheit, Transport/Verkehr) je Korb : 6 Monate für Meldestruktur, 2 Jahre für Stand der Technik

14 Rechtsverordnung Korb 1 – Referentenentwurf -Sektoren: Energie, Wasser, Ernährung, Informationstechnik -Referentenentwurf veröffentlicht - Inkrafttreten voraussichtlich April Nächster Schritt: Anhörung von Bundesländern, Branchenverbänden, Experten

15 Rechtsverordnung Korb 1 – Referentenentwurf -Definition KRITIS über Schwellenwert: sind mehr als Bürger von Versorger abhängig, wird dieser als kritische Infrastruktur definiert -Beispiel Energie: Kraftwerk mit 420MW Stromerzeugung – größtenteils 4 große Energieversorger und Versorger von Großstädten -ca. 650 Unternehmen betroffen

E-Health Gesetz IT-Sicherheitsgesetz Die nationalen und europäischen Themen 2016 Rechtsverordnung Korb IRechtsverordnung Korb II EU NIS-Richtlinie Neuer Grundschutz EU Datenschutzverordnung EU Cybersicherheitsstrategie Nationale Cybersicherheitsstrategie Umsetzungsprozess ISO bis Jan. 2018

Cybersicherheit verlangt nach neuen Instrumenten Chance für Software-Industrie Thema muss trotz nationalem Bezug- international angegangen werden Cyber-Sicherheit: Der Prozess- und Business Enabler 2016

Cyber-Sicherheitsrat Deutschland e.V. Hans-Wilhelm Dünn Generalsekretär Georgenstr Berlin Tel.: +49-(0) Fax.: +49-(0) Homepage: Vielen Dank!