IT-Trends Sicherheit - Bochum Auf der sicheren Seite – Mittelstandsgerechte Lösungen zum Webseitenschutz Michael Weirich, eco e.V IT-Trends Sicherheit - Bochum

HTTP vs HTTPS vs 27.03.2019 IT-Trends Sicherheit 2

Keine Verschlüsselung HTTP vs HTTPS vs Keine Verschlüsselung Mit Verschlüsselung 27.03.2019 IT-Trends Sicherheit 3

Wie gut ist Verschlüsselung? Rechenbeispiel AES: 128 bit Schlüssel 128 bit? → Angreifer muss mit einer Bruteforce Attacke bis zu 2¹²⁸ Schlüssel raten Ist das viel? 27.03.2019 IT-Trends Sicherheit 4

AES brechen Heimcomputer kann ~1 Milliarde Schlüssel/s raten →~2³⁰/s Ein Tag hat 60*60*24 Sekunden → 86400s * 2³⁰/s = ~2⁴⁶ Wie lange würde es dauern 2¹²⁸ zu Schlüssel zu probieren? 2¹²⁸ / 2⁴⁶ = ~4835703278458516698824704 Tage = ~13248502132763059448834294 Jahre = ~946321580911647 mal das Alter des Universums 27.03.2019 IT-Trends Sicherheit 5

AES brechen mit mehr Power Spezialcomputer kann 2⁵⁶ Schlüssel/Tag raten Kostet ~10.000€ das Stück 27.03.2019 IT-Trends Sicherheit 6

Spezialcomputer Rechnung Wie lange würde es dauern 2¹²⁸ zu Schlüssel zu probieren? → 2¹²⁸ / 2⁵⁶ = ~4722366482869645213696 Tage = ~12937990364026425243 Jahre = ~924142168 Alter des Universums → Wir brauchen mehr Rechenpower! 27.03.2019 IT-Trends Sicherheit 7

Spezialcomputer Rechnung Große Fabrikhalle voller Spezialcomputer: → 900 000 Stück 12937990364026425243 Jahre / 900 000 → ~14375544848918 Jahre 924142168 Alter des Universums / 900 000 → ~1026 mal Alter des Universums 27.03.2019 IT-Trends Sicherheit 8

Kryptographie gebrochen! 27.03.2019 IT-Trends Sicherheit 9

Viele Fehlerquellen Implementierungsfehler Konfigurationsfehler Designfehler Veraltete Algorithmen Ohne Verschlüsselung braucht ein Angreifer 0 Sekunden! 27.03.2019 IT-Trends Sicherheit 10

Angriffe auf KMU KMUs beliebtes Ziel, weil oft Wissen und Ressourcen zur Schutz vor Cyber-Angriffen fehlen Insbesondere bei IT-fernen Branchen fehlt oft das Bewusstsein für Cyberkriminalität Haupt-Angriffs-Vektor bei KMUs sind Sicherheitslücken bei Webanwendungen und Webservern KMUs beliebtes Ziel, weil oft Wissen und Ressourcen zur Schutz vor Cyber-Angriffen fehlen Insbesondere bei IT-fernen Branchen fehlt oft das Bewusstsein für Cyberkriminalität Haupt-Angriffs-Vektor bei KMUs sind Sicherheitslücken bei Webanwendungen und Webservern 27.03.2019 IT-Trends Sicherheit 11

SIWECOS hilft Projektpartner Unterstützt durch Projekt im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" des BMWi (Sep 2016 – Nov 2018) Initiative „IT-Sicherheit in der Wirtschaft"  Die Initiative „lT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT- Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseinsbildung in der digitalen Wirtschaft beim Thema lT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre lT-Sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar.  27.03.2019 IT-Trends Sicherheit 15

SIWECOS steht für Sichere Webseiten und Content Management Systeme und hilft Unternehmen Sicherheitsprobleme auf Webseiten rasch zu erkennen und zu beheben. 27.03.2019 IT-Trends Sicherheit 16

SIWECOS bietet einen Webseitencheck, der Sicherheitslücken in Content Management Systemen aufdeckt. individuelle Benachrichtigungen und Handlungsempfehlungen zu Sicherheitsproblemen auf Ihrer Webseite. kompetente Ansprechpartner mit jahrelanger Erfahrung im Bereich IT-Sicherheit. und das alles völlig kostenlos 27.03.2019 IT-Trends Sicherheit 17

Schwachstellenscanner HTTP-Security-Header-Scanner TLS-Scanner XSS-Scanner Information-Leakage-Scanner Schadprogramm-Scanner Ergebnisse zielgruppengerecht aufbereitet 27.03.2019 IT-Trends Sicherheit 18

SIWECOS – auf der sicheren Seite Einfache Erklärungen und Beschreibungen – auch für „nicht-Techniker“ Signal-Anzeige für die unterschiedlichen Schwachstellen Zielgruppengerechte Handreichungen und Sicherheitsempfehlungen Umfangreiches SIWECOS WIKI Einfache Registrierung, Implementierung und Nutzung 27.03.2019 IT-Trends Sicherheit 19

SIWECOS CMS-Plugin SIWECOS Nutzung und Anmeldung auch über CMS-Plugins möglich – ohne die Webseite Einfache Implementierung und Nutzung als Add-On der CMS-Installation Aktuelle stehen SIWECOS Plugins für WordPress, Joomla und Contao bereit – weitere folgen. 27.03.2019 IT-Trends Sicherheit 20

Der SIWECOS Hoster-Service Direkte Schnittstelle zu beteiligten Webhostern in Deutschland Aktive Kommunikation von Filter-Regeln zur Abwehr von Angriffen (ModSecurity) Serverseitiger Schutz von Angriffen auf die beim Webhoster installierte Webseiten – bevor die Webseiten-Betreiber infiziert werden können. Ermöglicht den proaktiven Schutz von Millionen installierten CMS-Systemen, ohne dass der Webseiten-Betreiber selbst und sofort aktiv werden muss. Weitere Informationen und Kontakt: https://siwecos.de/service-fuer-webhoster/ hosterservice@siwecos.de Partner und Unterstützer 27.03.2019 IT-Trends Sicherheit 21

Der SIWECOS Hoster-Service Use Case Joomla Incident im Oktober 2016: Abwehr von 37.000 Attacken im Zeitraum 0-6 Uhr (= 148.000 Attacken am Tag) Die Bereinigung eines solchen Angriffs kostet etwa 150€ (2,5 Stunden á 60€), Wenn nur 1% der Angriffe erfolgreich gewesen wäre ergeben sich hier Einsparungen von 225000€ für die betroffenen KMUs Das pro Tag bei diesem einen Hoster! Partner und Unterstützer 27.03.2019 IT-Trends Sicherheit 22

Sicherheitsgewinn durch SIWECOS Steigerung des Sicherheitsniveaus bei KMU Nutzer- und Zielgruppenübergreifende Zusammenarbeit Security by Design 27.03.2019 IT-Trends Sicherheit 23

Kontakt Michael Weirich, eco – Verband der Internetwirtschaft e.V. Lichtstraße 43h 50825 Köln Fon +49 (0) 221 – 7000 48-193 Fax +49 (0) 221 – 7000 48-111 michael.weirich@eco.de https://www.eco.de https://www.siwecos.de 27.03.2019 IT-Trends Sicherheit 24

TLS-Scanner Der TLS-Scanner überprüft den Server ihrer Website auf schwache TLS Konfigurationen: Zertifikats-Probleme Alte Protokollversionen Schwache Verschlüsselungsalgorithmen Der TLS-Scanner schützt Ihren Server von Lauschangriffen 27.03.2019 IT-Trends Sicherheit 25

DOMXSS-Scanner Automatisierte Schwachstellenerkennung im Falle von DOM Cross-Site Scripting (DOMXSS) Sind potentielle Verwundbarkeiten vorhanden Sollte eine Untersuchung von einem Fachexperten durchgeführt werden? Schadcodeausführung auch ohne eine Interaktion des Servers Schutzmechanismen wie Web Application Firewalls (WAF) sind oft wirkungslos 27.03.2019 IT-Trends Sicherheit 26

HTTP-Security-Header-Scanner Prüft Ihren HTTP Header auf unsichere Konfigurationen Prüft Ihre Privatsphäre-Einstellungen Prüft Ihren Clickjacking-Schutz Prüft den Cross-Site-Scripting Schutz im HTTP-Header Der HTTP-Security Header Scanner mildert u. a. Spoofing-Angriffe 27.03.2019 IT-Trends Sicherheit 27

Information-Leakage-Scanner Prüft die Privatsphäre-Einstellungen des Content Management Systems Prüft Ihre Webseite auf maschinell auslesbare E-Mail-Adressen Prüft Ihre Webseite maschinell auslesbare Versions-Angaben oder installierte Plugins Verhindert eine unbewusste Preisgabe Ihrer Daten im Internet an Dritte 27.03.2019 IT-Trends Sicherheit 28