Allianz der Wissenschaftsorganisationen...12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015 © 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 1 M A X -P

12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015

© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 1

M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 1

Prof. Dr. Rainer W. GerlingIT-SicherheitsbeauftragterMax-Planck-Gesellschaft

IT-Sicherheit in der Hochschule: Ein Lagebild


�Wissenschaftspolitik� Forschungsförderung� strukturelle Weiterentwicklung des Wissenschaftssystems� http://www.mpg.de/allianz

Allianz der Wissenschaftsorganisationen




�Die Allianz gründet in 2008 auf Initiative

des DLR, der FhG und der MPG den

Arbeitskreis Informationssicherheit der

(außeruniversitären) deutschen

Forschungseinrichtungen (AKIF)

�Mitglieder sind um die 80 außeruniversitäre

Forschungseinrichtungen� Über die HRK seit 2014 auch die Hochschulen

� Derzeit etwa 40 Hochschulen

� Ziel des Arbeitskreises ist die Erhöhung der

IT-Sicherheit in den Forschungseinrichtungen

AKIF

Hintergrund: http://magazin.spiegel.de/EpubDelivery/spiegel/pdf/52715129


�Grundlegende Dokumente zur IT-Sicherheit

� Austausch über IT-Sicherheit(svorfälle)� Aufbau der vertrauensvollen Zusammenarbeit

� Austausch von Lageeinschätzungen mit dem nationalen CyberAZ� Basiert auf dem Traffic Light Protocol

� Konkretisierung für Forschungseinrichtungen/Hochschulen

� Aufbau einer sicheren Kommunikationsinfrastruktur� Verschlüsselte Mailinglisten

� Verschlüsselter Fileserver

Arbeit des AKIF




� Es gab zwei Rundschreiben der HRK� RS 25/2014 vom 27.10.2014

IT-Sicherheit an Hochschulen und Forschungseinrichtungen

� RS 26/2014 vom 19.11.2014

IT-Sicherheit an Hochschulen/Mit Bitte um Weiterleitung an den

IT-Sicherheitsbeauftragten oder den den IT-Verantwortlichen

(Chief Information Officer und/oder Leiterin bzw. Leiter des

Hochschulrechenzentrums) Ihrer Hochschule

�Mitglied werden kann die/der IT-Sicherheitsbeauftragte der

Hochschule� Zugang auf ein Informationsportal

� Verteilung sensibler Information über Angriffe gegen Hochschulen� S/Mime Zertifikat erforderlich

AKIF für die Hochschulen


� Signatur-basierte Mechanismen� Virenscanner� Intrusion-Detection-Systeme� Lange Reaktionszeiten (mehrere Stunden)� Volumenprobleme (200.000 neue Malware-Proben am Tag)

� Webbasierte Prüfung

� Intelligence-basierte Mechanismen� Listen mit IP-Adressen� Listen mit Domain-Namen� Listen mit Dateien (in Form von Hash-Werten)� Lange Reaktionszeiten (mehrere Tage bis Monate)

� Verhaltens-basierte Mechanismen� Beobachtung der Rechner� Anomalie-basierte Intrusion-Detection-Systeme� Kurze Reaktionszeiten

Schutz vor Schadsoftware




� Phishing� Richtet sich an „alle“

� Gier-Schalter oder Angst/Panik-Schalter

� Spearphishing� Richtet sich an Einzelne oder Gruppen

� Passt gut in den individuellen Kontext (Social Engineering)

� „Watering Hole“ Angriff� Tiere sind beim Trinken am Wasserloch arglos und angreifbar

� Welche Web-Seiten besuchen die Beschäftigten meines Opfers?� Die Webseite des Pizza-Dienstes ist u.U. leichter anzugreifen, als die IT-

Infrastruktur des High-Tech-Unternehmen

� „Verlorene“ USB-Sticks� Auf dem Parkplatz des Unternehmens

Angriffsarten


� Ein Kollege in einer Uni

klickt auf den Link und

gibt seine Daten ein.

� Im Laufe der Nacht gab

es dann 7 Anmeldungen

aus Ägypten und Nigeria

beim Webmail-Server

�Dabei wurden 379 Mails verfasst, einige davon mit vielen Adressen

im BCC.

�Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten

Mails

Beispiel: Spam-Mail




� Spearphishing� Der Kontext ist richtig

�Gefälschte Absender Adresse� Man kennt den Absender

� Typisch ein Dateianhang� pdf oder Office

� Seit 2010 mehr Office

�Nach der Infektion ruhig verhalten, um nicht aufzufallen

�Dann im Unternehmen auf die wirklichen Ziele ausbreiten� Microsoft Mechanismen (smb)� Passworte sniffen/knacken

Angriffsdateien

Qu

ell

e:

le B

lon

de

et

al.


Aktuelles Beispiel: Anfang 2015

Quelle: https://phishing.vcu.edu/2015/01/07/good-article-targeted-phishing-scam-1715/




Primärere Angriffsziele

humanintelligence

signalintelligence

OrganisierteKriminalität


Anatomie eines Angriffs

Dropzone

Command & ControlC2

Angreifer

Opfer




Regierungsbotnets?

� Clevere Domain Namen: �

�

�

�

�

�

�

� Fallen bei einer Durchsicht nicht auf!

�Wer sind die aktuellen Angreifer? Dokumente lesen!!� Ghostnet, Mandian APT1, Norton …

� Crowdstrike: Putter Panda, Bear, Kitten, Tiger, Chollima …

� Angegriffen werden dienstliche/berufliche E-Mail-Adressen


� Zugriffe auf IP-Adressen und Domain-Namen werden protokolliert

�Die Log-Dateien werden ausgewertet

� Verdächtige Rechner forensisch untersucht� Dabei ergeben sich u.U. neue IP-Adressen und Domain-Namen

� Die Schadsoftware wird von aktuellen Virenscannern nicht erkannt!

�Die Erkennungsmechanismen werden ständig „optimiert“

Der Prozess




� Kennen Sie Ihre Kronjuwelen (=besonderes kritische und wichtige

Daten)?

�Welche Daten verursachen bei Verlust/Kopie den größten Schaden?

� Klassifizierung der Daten, Netze und Anwendungen ist eine

Grundvoraussetzung für ein Risikomanagement� Die Klassifizierung macht die Fachabteilung und nicht die IT !

Kronjuwelen

Bil

d:

Wik

ipe

dia


Firewall

Inter-

net

???-Server

VPN-Gateway

Hochschulnetz

DMZ




Kronjuwelen der Hochschule

Inter-

netHochschulnetz


Kronjuwelen der Hochschule

Inter-

netHochschulnetz




Administration

Inter-

net

AdministrationsnetzAdministrator-

arbeitsplatz

Hochschulnetz


Maßnahmen

� Alle IP-Adressen, die aus den diversen Spionage-Reports kommen,

sollten geloggt/geblockt werden� In der Hochschule kein Problem; mobil nicht trivial

� Log-Dateien geben Hinweise auf potentiell infizierte Rechner

� Alle Domain-Namen, die aus den diversen Spionage-Reports

kommen, sollten geloggt/geblockt werden� Können die Hochschulen das technisch? Moderne Firewalls und Proxies

erforderlich.

�Mailserver sollten ausführbare Anhänge blockieren.

�Monitoren Sie (ungewöhnliche) Datenflüsse im Unternehmen




� Sichere Kommunikationsstrukturen aufbauen� Innerhalb der Hochschule

� Zwischen den Hochschulen

� Technische Möglichkeiten zum Loggen schaffen

� Technische Möglichkeiten zum Sperren schaffen

� Sicherheitsmaßnahmen erhöhen, z.B. � Separates Management-Netz

� Firewalls restriktiver einrichten

� Netze optimaler strukturieren

� IT-Sicherheit als eine Grundlage qualitativ hochwertiger Forschung� Grundawareness

Was muss getan werden


�Muss jeder Server ins Internet kommen können?� Der AD-Server kann per http in die Welt kommunizieren?

�Müssen die Namen der Server die Funktion verraten?

�Die Hochschulfirewall lässt nur erforderlichen Datenverkehr durch.

�Muss jeder Beschäftigte im Internet surfen können?� Kann man den Browser „einsperren“?

(http://www.sirrix.de/content/pages/BitBox.htm)

� Zwei Browser Strategie

�Verschlüsseln, verschlüsseln, verschlüsseln …

IT-Sicherheitsüberlegungen




Vielen Dank für Ihre

Aufmerksamkeit !

http://www.mpg.de/7854031/datensicherheit_wissenschaft

Documents

Allianz der Wissenschaftsorganisationen...12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015 © 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 1 M A X -P