Die aktuelle Bedrohungslage in der Informationstechnik Thomas Caspers Bundesamt für Sicherheit in der Informationstechnik Mai 2006
Sichere Informationstechnik für unsere Gesellschaft Bundesamt für Sicherheit in der Informationstechnik (BSI) Zentraler IT-Sicherheitsdienstleister des Bundes Unabhängige und neutrale Stelle 1991 per Gesetz gegründet Jahresbudget 2005: 52 Millionen € 458 Mitarbeiter in Bonn
Eine ganz normale Woche im heise-Newsticker „Trügerische Anti-Spyware“ 24.04.2006 09:57 „Absturz des Internet Explorer durch verschachtelte Objekte“ 24.04.2006 12:47 „Pufferüberlauf und Denial-of-Service in PHP“ 25.04.2006 10:52 „Firefox stolpert über JavaScript“ 25.04.2006 16:32 „Schwachstellen in DNS-Implementierungen diverser Hersteller“ 26.04.2006 11:16 „Phishing: Tatwaffe Telephon“ 26.04.2006 15:56 „Schlechte Erkennungsraten bei Polip.A-Virus“ 27.04.2006 16:01 „Trojaner: Geld oder Dateien!“ 29.04.2006 13:36 „Neue Gefahr durch Bot-Netze mit P2P-Strukturen“ 30.04.2006 12:16 (Quelle: http://www.heise.de/newsticker/archiv/2006/17/)
Lagebericht des BSI Die Lage der IT-Sicherheit in Deutschland 2005 Darstellung des Sachstands Herausforderungen, Trends und Entwicklungen Daraus abgeleitete, notwendige Aktivitäten Informationsquellen Eigene Erkenntnisse und Erhebungen Fachkontakte Externe Studien von IT-Sicherheitsunternehmen http://www.bsi.bund.de/literat/lagebericht
Trends und Entwicklungen Immer ausgefeiltere Angriffstechniken Angriffe werden gezielter durchgeführt Regionalisierung der Schadsoftware Verwendung „unauffälliger“ Schadprogramme Aufbau von kriminellen Infrastrukturen (Bot-Netze) Ziele von IT-Angriffen mit hoher wirtschaftlicher Bedeutung Wirtschaftsspionage Angriffe gegen Infrastrukturen Gezielte Angriffe gegen einzelne Unternehmen Strukturen wie bei der Organisierten Kriminalität Finanzielle Interessen der Täter sind wesentliche Motivation
Die aktuelle Lage im IVBB Informationsverbund Berlin-Bonn (IVBB) Regierungsnetz der Bundesrepublik Deutschland An den Gateways wurden in E-Mails im 1. Quartal 2006 abgefangen Würmer Trojanische Pferde Unbekannte Hybridviren Jokes Macroviren Scriptviren Dateiviren Bootviren 99,04% 0,47% 0,40% 0,04% 0,03% 0,01% 0,01% 0% 0%
Die aktuelle Lage im IVBB Informationsverbund Berlin-Bonn (IVBB) Regierungsnetz der Bundesrepublik Deutschland An den Gateways wurden in E-Mails im 1. Quartal 2006 abgefangen Würmer Trojanische Pferde 99,04% 0,47% Verbreitung geschieht hauptsächlich über Würmer und Trojanische Pferde Das eigentliche Problem: Downloader Gefährdungsgrad schwer definierbar
Phishing Beschaffung kritischer Kundendaten (PIN, TAN) Direkte Ansprache des Bankkunden per E-Mail Dear National City member, This is an official notification that your login & password are out of date. To renew please click Reply in your mail client and mail back following information about your account Name: Account number: Login: Password: Thank you, National City support center
Phishing Beschaffung kritischer Kundendaten (PIN, TAN) Direkte Ansprache des Bankkunden per E-Mail Gefälschte Links in HTML-E-Mails
Phishing Beschaffung kritischer Kundendaten (PIN, TAN) Direkte Ansprache des Bankkunden per E-Mail Gefälschte Links in HTML-E-Mails Einsatz Trojanischer Pferde E-Mail-Anhang Aktive Inhalte von Webseiten Ausnutzen von Schwachstellen in Browsern Gezieltes und unauffälliges Vorgehen Geldtransfers über Strohmänner (Money Mules)
Perspektiven im Bereich Phishing Angriffe gegen Geldinstitute werden schwieriger Sensibilisierung der Kunden iTAN, mTAN, ... Verlagerung der Angriffsziele E-Commerce Online-Auktionshäuser und -Handelsplattformen Aber auch: Kleinere und mittelständische Unternehmen E-Government Professionalisierung der Angriffe Software Engineering Social Engineering
No man is an island John Donne, 1572-1631 (Meditation XVII)
No application is an island Don Box (PDC 2003)
Sicherheit von Anwendungen Applikation Applikation Applikation
Sicherheit von Anwendungen System System Applikation Applikation Applikation
Sicherheit von Anwendungen System System Applikation Netz Applikation Applikation
Sicherheit von Anwendungen System System Applikation Netz Applikation Applikation Angriffe gegen Netze Denial-of-Service, Man-in-the-Middle, ...
Sicherheit von Anwendungen System System Applikation Netz Applikation Applikation Angriffe gegen Systeme Ausführen von Schadcode, Erlangen von Berechtigungen, ...
Sicherheit von Anwendungen System System Applikation Netz Applikation Applikation Angriffe gegen Anwendungen Buffer Overrun, Integer Overflow, Command Injection, Information Disclosure, SQL Injection, ...
IT-Sicherheit beginnt beim Software-Entwickler Aktuelle Bedrohungen zielen nicht mehr nur auf Netze, Betriebssysteme, Systemsoftware oder Standardsoftware Gezielte Angriffe lassen sich unauffällig am besten über Schwachstellen in wenig verbreiteten, hoch spezialisierten und als vertrauenswürdig eingeschätzten Anwendungen realisieren Jeder Software-Entwickler ist für die Sicherheit des Gesamtsystems entscheidend mitverantwortlich IT-Sicherheit muss einen Kernbestandteil des Software-Entwicklungsprozesses bilden
Ihr Beitrag zum NPSI Informationsinfrastrukturen angemessen schützen Wirkungsvoll bei IT-Sicherheitsvorfällen handeln Deutsche IT-Sicherheitskompetenz stärken – international Standards setzen
Weitere Informationen Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.bund.de Die Lage der IT-Sicherheit in Deutschland http://www.bsi.bund.de/literat/lagebericht Nationaler Plan zum Schutz der Informationsinfrastrukturen http://www.bmi.bund.de/Internet/Content/Themen/ Informationsgesellschaft/Sicherheit/NPSI.html A-I3 Arbeitsgruppe Identitätsschutz im Internet http://www.a-i3.org
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Thomas Caspers Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)30-18-9582-5452 Fax: +49 (0)30-1810-9582-5452 thomas.caspers@bsi.bund.de www.bsi.bund.de