@-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cyber Crime – Das ist dieWirklichkeit - auch das Handwerk ist betroffen
Firmenportrait Juni 2002 gegründet Sitz: Leichlingen/Rheinland IT-Strategie- und Technologieberatung kein HW- oder SW-Vertrieb Beratungsschwerpunkte IT-Risikomanagement IT-Outsourcing Zielgruppe: Mittelständische bis große Organisationen
IT Risikomanagement Bewusster Umgang mit den Risiken, die sich für Unternehmen und Organisationen durch den Einsatz von IT ergeben können
IT Risikomanagement Betrachtung der IT aus dem Blickwinkel Risiken für das Geschäft durch unzureichende: Verfügbarkeit Business Continuity Sicherheit Business Security Regelwerke Business Compliance
IT Risikomanagement Zentrale Fragestellungen: welche gesetzlichen Auflagen gibt es? welche vertraglichen Vereinbarungen? welche Geschäftsprozesse welche Fertigungsprozesse welche Daten sind für den Unternehmenserfolg besonders wichtig und wie groß ist die Abhängigkeit dieser Prozesse von der IT und den begleitenden Prozessen?
Compliance Datenschutz @-yet Bausteine IT Risikomanagement Business und IT Security Business Continuity Compliance Datenschutz Incidence Response IT-Forensik
IT und Risikomanagement Aufgaben von IT Risikomanagement: Schutz vor Verlust von Know-how Ihr spezielles Firmen Know-how Wertschöpfung Die Firma kann nicht mehr arbeiten wg. IT Ausfall Schutz vor Risiken, die sich vertraglich z.B. Kunden-/Lieferantenauflagen etc. gesetzlich z.B. Datenschutzgesetz aus der IT ergeben können.
IT und Risikomanagement Elemente von IT-Risikomanagement Business Continuity Business Security Business Compliance – Datenschutz IT-Forensik/incidence response Wenn was passiert ist…
Zentraler Baustein von IT-Risikomanagement: Business Security
Warum Business Security? Auf Servern, Endgeräten und in Netzen liegen Kundeninformationen Private Informationen – Datenschutz Kunden Informationen - Datenschutz Ratings Auskünfte Gesellschafterinformationen M&A Informationen usw. Zugang zu Bankverbindungen! Produktentwicklungen – Know-how etc.
Warum Business Security? Gesetzliche Vorgaben Datenschutz Impressum verbotene email Werbung etc.
Warum Business Security? die Risiken nehmen zu die Bedrohungslage ist wirklich ernst es kann jeden treffen Oft gehört: Wer interessiert sich für uns? Antwort: der ganze Planet! Bei uns ist noch nie was passiert! Antwort: das wissen Sie gar nicht! 100% Sicherheit gibt es nicht! Antwort: stimmt, aber 10-20% sind aber definitiv zu wenig!
Wer greift an? Staaten Wettbewerber organisierte Kriminalität/Mafia befürchtet: Terroristen sonstige
Motive der Angreifer vor allem wirtschaftliche – Geld!!! Rache Wirtschaftsspionage/Konkurrenzausspähung Erpressung: Bsp. Locky Geld: Bsp. CEO Fraud Rache der ex-Mitarbeiter oder unzufriedene Kunde „Spaß am Hacken“ „beleidigt“ sein und vieles Unvorstellbares mehr
Was wird abgegriffen? Unternehmens Know-how Einkaufsinformationen Produktneuentwicklungen Einkaufsinformationen M&A Informationen Kontendaten Kundendaten – Datenschutz!! Unternehmensstrategie etc.
Wie wird angegriffen?
Wie wird angegriffen? Hackingangriff von außen Informationsbeschaffung von innen Ausnutzen physischer und organisatorischer Schwachstellen - Social Engineering Datenträgerklau Smartphones, Pads, Notebooks etc. immer mehr über Websites und –shops Portale Cloud APPS und Mobiles
Beispiel: Password-Cracking Systematisches Ausprobieren von Passwörtern mit Offline- Wörterbuch bzw. Brute Force Kopie der verschlüsselten Passwortdatei bzw. Ergebnis von Sniffing Verschlüsseln gebräuchlicher Worte und Vergleich mit den Einträgen in der Passwortdatei (z.B. mit dem frei erhältlichen Programm Crack) 14 Stellen unter 1 min Sicher erst ab 18 Stellen
Mobile Endgeräte als Angriffsfläche
Mobile Kommunikation Unternehmer, Geschäftsführer, Vertriebler, Ingenieure, Techniker sind oft in Hotels Restaurants/Cafes Flughafen Lounges Bahnhöfen und Zügen Kongresszentren etc. Ohne mobile Endgeräte geht nichts mehr
Was ist alles möglich?
Exkurs APPs
Sicherheit von Apps Viele Apps übermitteln vertrauliche Daten eindeutige Gerätekennungen Aufenthaltsort gespeicherte Kontakte E-Mail-Passwörter Kaum Möglichkeiten Apps zu überwachen was wird übermittelt? worauf wird zugegriffen? was passiert sonst noch?
Cloud
Typische Cloudlösungen Dropbox iCloud Google Amazon EC2 Skydrive Strato Hidrive und viele mehr!
Cloud Sicherheit in der Cloud – geht das? im Prinzip und von den Möglichkeiten her: ja!!! aber… … die Wirklichkeit sieht leider katastrophal aus!
Online Banking Mobile Payment
Online Banking HBCI kann derzeit als einziges sicheres Verfahren gelten Bei allen anderen Verfahren liegen Schadensfälle vor
Online Banking Welche Verfahren gibt es? Wie sicher sind diese PIN/TAN klassisch Internet TAN´s per Liste unsicher PIN/iTAN Indiziertes Verfahren TAN´s per Liste, aber durchnummeriert PIN/mTAN Mobiles TAN-Verfahren, TAN´s via SMS nach Zahlungsauftrag
Online Banking Welche Verfahren gibt es? Wie sicher sind diese? Sma@rtTAN Plus Online Auftragserfassung Bank schickt TAN an Kunde Eingabe mittels Kartenleser und Karte Relativ sicher Sma@rtTAN optic Auftragserfassung wie Sm@rtTAN, TAN mittels Codegenerator, Lesegerät und Karte ziemlich sicher HBCI Ohne TAN, mit Lesegerät und Karte Generiert die Schlüssel selber und kommuniziert über verschlüsselte Wege sehr sicher
Mobile Payment Endgeräte sind grundsätzlich unsicher Nutzung freier WLAN´s ist grundsätzlich problematisch Sie wissen nie so ganz genau, wer der „Besitzer“ ist Payment APPS mehrere geprüft keine war wirklich gut manche haarsträubend schlecht
Mobile Payment Sicherheit mit Biometrie? NFC? Sie haben 10 Finger und 2 Augen und das wars NFC? Taschendiebstahl selbst für Gichtkranke einfach
Live
Was tun?
Ganzheitliche Betrachtung Business Security Physische Sicherheit Gebäude- und Zugangsschutz Geräteschutz Informations-Sicherheit State-of-the-Art Security Produkte & Technologien Organisatorische Sicherheit Security Policies, Prozesse, System- und Gerätemanagemnt Mitarbeiter+Management Awareness 35
Vorgehensweise Bestimmen Sie Ihren Schutzbedarf Welche Daten sind für ein Unternehmen wie wichtig? Datenklassifikation, ISMS Wer darf auf welche Daten zugreifen und wer entscheidet das? Welche Prozesse sind wie wichtig? Business Impact Analyse Ab wann verliert ein Unternehmen Geld, wenn Prozesse stehenbleiben? Welche gesetzlichen Mindestauflagen müssen erfüllt sein. z.B. Datenschutz/BDSG
Vorgehensweise Statusfeststellung: wo stehen Sie? Status organisatorische Sicherheit Policies Awareness @-yet tools: Social Engineering/Phishing Policy Check Status physische Sicherheit Gebäudeschutz @-yet tool: Social Engineering Status IT-Sicherheit @-yet tools Onsite- und Offsite-Pentests Infrastruktur- und Continuitycheck
Was wollten wir Ihnen vermitteln Security zu vernachlässigen ist fahrlässig kann existentiell werden vor der Implementierung von Schutzmechanismen und –maßnahmen kommt erst die Definition der Sicherheitsziele die Technik ist komplex, aber beherrschbar aber ohne Organisation und bewusstes Umgehen mit der IT ist sie wertlos
Erste Schritte WLAN Hotspots, deren Betreiber man nicht kennt, meiden Lange, möglichst 18-stellige, komplexe PW nutzen sicheres Onlinebanking nutzen HBCI und Tan Generator Alle Festplatten sollten verschlüsselt sein Alle Sicherheitspatche der Hersteller umgehend installieren Firewall immer auf dem neuesten Stand halten Virenscanner und Spamfilter immer aktuell halten Vorsicht vor Webseiten und Apps, die man nicht kennt und nicht unbedingt braucht Clouds möglichst nur verschlüsselt nutzen Wichtig: nur wenn Sie den Schlüssel selber haben, ist Verschlüsselung zu trauen – wie beim eigenen Haus möglichst täglich Backup … und ganz einfach Vorsicht walten lassen
Vielen Dank für Ihre Aufmerksamkeit! Ihre Fragen bitte … Vielen Dank für Ihre Aufmerksamkeit! Wolfgang Straßer wolfgang.strasser@add-yet.de