Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?

IT Sicherheit 2020 was kommt auf uns zu?

Düsseldorf, 18. Februar 2015

Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 1

Über …

Beruflicher Werdegang• Internal Audit Director, IT Auditor und Certified

Fraud Auditor mit 12 Jahren Erfahrung• CIO, IT Manager seit 13 Jahren

Arbeitsschwerpunkte• IT Management permanent und interimistisch

(Führung, Restrukturierung, Transformation, Kostensenkung)

• Projektmanagement• Management der Digitalen Transformation


Die Bedrohungslage & Wer bedroht uns?

• Staaten

•Hackaktivisten

• Insider

•Organisierte Kriminalität


Die Bedrohungslage - Staaten

Ziele

• Machtdemonstration

• Erkenntnisse für Politik und

Wirtschaft

• Cyberwar

Schaden bei Störung der Infrastrukturen (WAN) ist erheblich. Lobbyarbeit für IT Sicherheit.



Ziele



Wirtschaft

• Cyberwar

Brandgefährlich in High-Tech Sektor oder bei Auslandsproduktion in politischen Märkten (China, RUS, …)



Ziele



Wirtschaft

• Cyberwar

Für die Privatwirtschaft brandgefährlich (Datenlecks oder Lahmlegen einer Volkswirtschaft)


Die Bedrohungslage - Hackaktivisten

Ziele


• Aufdecken von Sicherheits-

problemen

Für die Privatwirtschaft nur gefährlich, wenn Unternehmen negativer Gegenstand des öffentlichenInteresses ist oder wird


Die Bedrohungslage - Insider

Ziele

• Geld verdienen („Der Deutsche der aus der Kälte kam“)

• Geltungsdrang und Rache

• Nachlässigkeit in Führung und Coding

Hat jedes Projekt / jeder Change einen Testpunkt Sicherheit? Wird das nach dem 4-Augen-Prinzip geprüft? Haben Sie relevante Mitarbeiter sensibilisiert?

//

Zwei „/“ machen denUnterschied!!!

//


Organisierte Kriminalität –Big Data mit personenbezogenen Daten

Für die Privatwirtschaft gefährlich, wenn Daten zur Erpressung erlangt und ggf. publiziertwerden – das kann Ihr Geschäftsmodell zerstören


Organisierte Kriminalität – Smartfactory

Smart Factory – offen und vernetztZiele

• Verzögerung der Produktion

• Zerstören von Anlagen (Chemie!)

• Ausspähen von Wissen

• Produktion mit schlechten

Qualitäten (Substandard)

Für die Privatwirtschaft brandgefährlich, weil häufig noch vernachlässigtes Feld der Sicherheit.Beispiele: kein Virenschutz, Netz nicht separiert, offene Standards und Schnittstellen (physisch!)


Organisierte Kriminalität ….Stuxnet war intelligent – Regin ist heimtückisch


Organisierte Kriminalität ….

Wenn Ihr führerloses Fahrzeug wendet und direkt in die Garage der Diebe fährt … ODERLicht aus! Wirlpool an …!

Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst

12

Herausforderungen 2020 - 4 Thesen

1. Die unheilige Allianz aus rasant zunehmenden neuen Technologien, Bedrohungen und stagnierenden IT Budgets

2. Traditionelle Control-Frameworks versagen

3. Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen

4. IT Sicherheit ist Chefsache auf C-Level und wird zum Aufsichtsratsthema


Die unheilige Allianz aus rasant zunehmenden neuen Technologien, Bedrohungen und stagnierenden IT Budgets

Cloud und Virtualisierung

Big Data – Daten als Asset

Digitalisierung – Aufbrechen der Unternehmensgrenzen „API“

Mobility und Social Media

Innovation vor Sicherheit

IT Budgets wachsen seit 2009 um durchschnittlich 1,2%

Häufig gibt es kein separates Budget für Sicherheit

Cyberattacken nehmen sprunghaft zu

Quelle CSC 14

Traditionelle Control-Frameworks versagen

IT war bis zur Internet Economy hinter der Firewall

Die Welt ist größer geworden, die Unternehmen mussten sich öffnen …

Quelle Accenture


Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen

Cloud und Virtualisierung

• Cloud • ist preiswert, schnell und flexibel• Sicherheit findet „draußen“ beim

Provider statt oder bei dessen Zulieferern

• Sicher, dass kein Datendieb zugreift? („class break“)?

• Virtualisierung• Flexibel, Freeze und Recovery sind

schnell• Architektur ist fließend, sicher, dass

Sicherheit berücksichtigt wird?

Big Data

• Daten werden zur Umsatzquelle

• Schönes Angriffsziel um konzentriert an Daten zu kommen

• Vielleicht reicht auch der Screenshot der Auswertung …

• Innovation vor Security (Beispiel File Share Hadoop Cluster in der Cloud, Zugriff über Konsolen braucht exzessive Rechte auf dem Client



Digitalisierung

• Digitalisierung bedeutet• Öffnung relativ sicherer Systeme• Aufbrechen sicherer Architekturen in

Services• Hohe Innovationsgeschwindigkeit mit

Risiko der Instabilität• API nach außen und orchestrierte

Services mit schnellen Deploymentssind ein Paradies für Kriminelle

• Komplexe Sicherheitsmechanismen sind öffentlich (oAuth, Tokens, …) „Once compromised the wholeworld will be infected ..“

Mobility und Social Media

• Mobility • ist wunderbar produktiv• Daten verlassen das Haus• Einfallstor für Kriminelle• Ein Smartphone verliert man schnell …

oder verkauft es mit vollen Rechten

• Social Media• Die Preisgabe von Wissen und

Verbreitung von Schäden par Exzellence• Wer darauf verzichtet riskiert, dass die

„Digital natives“ ein öffentliches Tool oder einen Dienst in der Public Cloud nutzen

Gen. K. Alexander, US Cyber Command



Innovation vor Sicherheit

• Webtechnologien (Java, HTML, Frameworks) wurden nicht unter Sicherheitsaspekten entwickelt) NERD-Stuff

• IT-Abteilungen stehen unter Druck zu liefern. Projektinflation.

• Traditionelle Projekte enthalten fast nie ein Abnahmekriterium „Sicherheit“

• Agilere Methoden• Scrum• Continuous Deployment ….

erst recht nicht!

Ein Sicherheitscheck in einem gut geführten Unternehmen ergibthäufig über 1.200 Findings im Netzwerkund 500 in Webtechnologien und SAP …


IT Sicherheit ist Chefsache auf C-Level und für Aufsichtsräte

• Die Digitalisierung der Wirtschaft schreitet voran

• Digitale Wirtschaft macht IT von der Serviceorganisation zum Produktionsfaktor

• Cyberthreats nehmen zu und können verheerende Wirkung haben für die Produktion und den Ruf des Unternehmens

• Aufsichtsräte werden IT affiner und daher verstärkt Fragen stellen (Wie sicher ist eigentlich ….) und Aussagen zur Sicherheit hinterfragen

• Der C-Level muss dann auskunftsfähig sein.


One last thing …


Cyberthreats

Was müssen wir tun?


Die Herausforderungen sind komplex …


IT Sicherheit ist Chefsache auf C-Level und wird zum Aufsichtsratsthema

• Sicherheit ist Chefsache, weil Cyberthreats zu große Folgen haben können

• Größere Organisationen brauchen einen CISO (Corprate Information Security Officer), der auf Augenhöhe mit IT und den Innovatoren kommuniziert

• IT Sicherheit wird nicht nur ein Thema sein, „wenn der Laden steht“ oder es um das Budget geht

• Der Aufsichtsrat beschäftigt sich künftig proaktiv mit IT Themen

• In der Digital Economy werden IT Performance und Sicherheit ein stetes Thema für die Führungs- und Aufsichtsgremien sein –periodisch wie klassische Produktionsdaten heute


IT Sicherheit muss systematisch und proaktiv betrieben werden

ErgebnisSecurity Heatmap

ErgebnisSecurity Roadmap

ErgebnisSecurity Operating

ErgebnisContinuousImprovement

IDENTIFY PROTECT DETECT RESPOND RECOVER

Germany Organisation

Governance

Policies

Technologien

Factory

Kundendaten

Server

Netzwerke

Access Control

Testproced.

Menschen

Awareness

Schulungen

Selektion

Kontrollen

MAY JUN JUL AUG SEP

Germany Organisation

Governance

Policies

Technologien

Factory

Kundendaten

Server

Netzwerke

Access Control

Testproced.

Menschen

Awareness

Schulungen

Selektion

Kontrollen

0

10

Risikoorientiert

Business Prozessbezogen

Business Impactbezogen


IT Sicherheit braucht Prinzipien

• Die üblichen Normen (ISO = Ist Schon Obsolet) und Frameworks helfen häufig „nur“ zum Nachweis der Compliance (Beispielhaft MA Risk für Banken, ISO 27001)

• Traditionelle Policies und Procedures folgen der irrationalen Phantasie der Vorhersehbarkeit und Stabilität

• Ergänzt werden müssen sie durch ein Set von „GUIDING PRINCIPLES“, die• Flexibles Eingehen auf neue Technologien und Bedrohungslagen ermöglichen• den Mitarbeitern im Tagesgeschäft sofort präsent und anwendbar sind.

• Effektive Kontrollen, die gut eingeführt und durchführbar sind:• Reality Check mit Key-usern und IT Staff – nicht nur Management• Externe (Kunden, Lieferanten und Infrastruktur Provider) müssen einbezogen werden

• Benutzer müssen Gelegenheit haben die Kontrollen selbst durchzuführen, z.B.• Built in in Code Review (Scrum, …) und Test bzw. Abnahmekriterien für Projekte

• Prozesse zur kontinuierlichen Verbesserung (Verhalten, Technologie) von Kontrollen, z.B.• Klassisches KVP präventiv und • ITIL für Incidents (Analyze, Repaire, Detect, Prevent)


IT Sicherheit – Exkurs: wie handelt man bei akuten Bedrohungen?

Das Bundeskriminalamt (BKA) hat folgendes GUIDING PRINCIPLE

- Ein definierter Kreis (zuständige Führungskraft und Experten) trifft sich sofort zum stand-up Meeting

- Der Kreis wird durch den zusammengerufen, der die Lage erkannt hat

- Bezogen auf die Lage werden ggf. weitere Experten hinzugezogen

- Sofortmaßnahmen werden eingeleitet

- Der weitere Kommunikationsweg, z.B: Warnungen an Mitbetroffene und hierarchische Eskalation wird festgelegt bis hin zur Formulierung

Beispiel: Der Vertriebsinnendienst hat es gern, wenn er vor den Kundenbeschwerden weiß, dass die On-line Services unter einer DoS Attacke zusammengebrochen sind …


IT Sicherheit braucht Managementsysteme

• Sicherheitsrelevante Daten, Ereignisse und Logs müssen zugänglich sein in einer Datenbank

• Die Auswertung erfolgt durch „real-time analytics“• Auswertungen stehen per Dashboard den Administratoren zur Verfügung• Die Systeme werden laufend verbessert (bspw. selbstlernende Systeme –

die Algorithmen gibt es heute schon in Microsoft Azure)• Das Management (CIO, CISO, Internal Audit) erhält daraus Alerts und ein

Exception Reporting• Ad-hoc Analysen als drill-down sind im Verdachtsfall möglich (Beispiel: IP-

Adressen aus dem Vertrieb laden ungewöhnlich umfangreiche Konditionsdaten)

• Mobile Device Management (Verschlüsselung, Remote Admin, Selbstlöschung im Verlustfall)


IT Sicherheit nur selektiv outsourcen

Outsourcing empfehlenswert Interne Skills (Retained Organisation)

• CISO („Chief Information Security Officer“)

• IT-Sicherheitsadministratoren• Steuerung der Outsorcingpartner

• Steuerung der vernetzten Partner

• Einleitung von Sofortmaßnahmen

• Sicherheitsberatung zur ganzheitlichen Architektur und Projektmanagement

• Sicherheitsaudits durch technische Spezialisten (z.B. Secunet, i.d.R. keine WP)

• Sicherheitstechnologien und Appliances mit permanenten Updates (bspw. gegen Denial ofService Attacken) extern beziehen


IT Sicherheit braucht Menschen

• Technologie allein reicht nicht:• Laufend neue Bedrohungslagen können nicht antizipiert werden

• Neue Technologien, digitale Innovationen und Inflation der Änderungen führen zu permanenten IDENTIFY – PROTECT – RESPOND – RECOVER –Prozessen

• Virtualisierung der Sicherheit (Mobil, Cloud, digitale Vernetzung) werden durch Externe (Kunden, Lieferanten, Provider) beeinflusst– dies muss durch hoch und aktuell qualifizierte Mitarbeiter gemanaged werden

• Anwender und Administratoren müssen periodisch geschult und im Bedrohungsfall informiert werden

In kritischen Positionen muss HR bei der Auswahl über die üblichen Instrumente hinausgehen (Führungszeugnis, Hintergrund, Umfeld, …)


Zum AbschlussDurchschnittlich wird ein Unternehmen einmal pro Jahr zum Ziel ernsthafter Attacken …

… Sorgen Sie dennoch vor …

… ein gezielter Angriff kann selbst bei einem Mittelständler schnell einen sechs bis siebenstelligen Schaden anrichten …

… Ihre Thesen und Fragen …

.. Kann ich noch etwas für Sie tun? …
