Upload
thomas-klueppel
View
150
Download
0
Embed Size (px)
Citation preview
IT Sicherheit 2020 was kommt auf uns zu?
Düsseldorf, 18. Februar 2015
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 1
Über …
Beruflicher Werdegang• Internal Audit Director, IT Auditor und Certified
Fraud Auditor mit 12 Jahren Erfahrung• CIO, IT Manager seit 13 Jahren
Arbeitsschwerpunkte• IT Management permanent und interimistisch
(Führung, Restrukturierung, Transformation, Kostensenkung)
• Projektmanagement• Management der Digitalen Transformation
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 2
Die Bedrohungslage & Wer bedroht uns?
• Staaten
•Hackaktivisten
• Insider
•Organisierte Kriminalität
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 3
Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Schaden bei Störung der Infrastrukturen (WAN) ist erheblich. Lobbyarbeit für IT Sicherheit.
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 4
Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Brandgefährlich in High-Tech Sektor oder bei Auslandsproduktion in politischen Märkten (China, RUS, …)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 5
Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Für die Privatwirtschaft brandgefährlich (Datenlecks oder Lahmlegen einer Volkswirtschaft)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 6
Die Bedrohungslage - Hackaktivisten
Ziele
• Machtdemonstration
• Aufdecken von Sicherheits-
problemen
Für die Privatwirtschaft nur gefährlich, wenn Unternehmen negativer Gegenstand des öffentlichenInteresses ist oder wird
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 7
Die Bedrohungslage - Insider
Ziele
• Geld verdienen („Der Deutsche der aus der Kälte kam“)
• Geltungsdrang und Rache
• Nachlässigkeit in Führung und Coding
Hat jedes Projekt / jeder Change einen Testpunkt Sicherheit? Wird das nach dem 4-Augen-Prinzip geprüft? Haben Sie relevante Mitarbeiter sensibilisiert?
//
Zwei „/“ machen denUnterschied!!!
//
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 8
Organisierte Kriminalität –Big Data mit personenbezogenen Daten
Für die Privatwirtschaft gefährlich, wenn Daten zur Erpressung erlangt und ggf. publiziertwerden – das kann Ihr Geschäftsmodell zerstören
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 9
Organisierte Kriminalität – Smartfactory
Smart Factory – offen und vernetztZiele
• Verzögerung der Produktion
• Zerstören von Anlagen (Chemie!)
• Ausspähen von Wissen
• Produktion mit schlechten
Qualitäten (Substandard)
Für die Privatwirtschaft brandgefährlich, weil häufig noch vernachlässigtes Feld der Sicherheit.Beispiele: kein Virenschutz, Netz nicht separiert, offene Standards und Schnittstellen (physisch!)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 10
Organisierte Kriminalität ….Stuxnet war intelligent – Regin ist heimtückisch
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 11
Organisierte Kriminalität ….
Wenn Ihr führerloses Fahrzeug wendet und direkt in die Garage der Diebe fährt … ODERLicht aus! Wirlpool an …!
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst
12
Herausforderungen 2020 - 4 Thesen
1. Die unheilige Allianz aus rasant zunehmenden neuen Technologien, Bedrohungen und stagnierenden IT Budgets
2. Traditionelle Control-Frameworks versagen
3. Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen
4. IT Sicherheit ist Chefsache auf C-Level und wird zum Aufsichtsratsthema
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 13
Die unheilige Allianz aus rasant zunehmenden neuen Technologien, Bedrohungen und stagnierenden IT Budgets
Cloud und Virtualisierung
Big Data – Daten als Asset
Digitalisierung – Aufbrechen der Unternehmensgrenzen „API“
Mobility und Social Media
Innovation vor Sicherheit
IT Budgets wachsen seit 2009 um durchschnittlich 1,2%
Häufig gibt es kein separates Budget für Sicherheit
Cyberattacken nehmen sprunghaft zu
Quelle CSC 14
Traditionelle Control-Frameworks versagen
IT war bis zur Internet Economy hinter der Firewall
Die Welt ist größer geworden, die Unternehmen mussten sich öffnen …
Quelle Accenture
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 15
Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen
Cloud und Virtualisierung
• Cloud • ist preiswert, schnell und flexibel• Sicherheit findet „draußen“ beim
Provider statt oder bei dessen Zulieferern
• Sicher, dass kein Datendieb zugreift? („class break“)?
• Virtualisierung• Flexibel, Freeze und Recovery sind
schnell• Architektur ist fließend, sicher, dass
Sicherheit berücksichtigt wird?
Big Data
• Daten werden zur Umsatzquelle
• Schönes Angriffsziel um konzentriert an Daten zu kommen
• Vielleicht reicht auch der Screenshot der Auswertung …
• Innovation vor Security (Beispiel File Share Hadoop Cluster in der Cloud, Zugriff über Konsolen braucht exzessive Rechte auf dem Client
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 16
Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen
Digitalisierung
• Digitalisierung bedeutet• Öffnung relativ sicherer Systeme• Aufbrechen sicherer Architekturen in
Services• Hohe Innovationsgeschwindigkeit mit
Risiko der Instabilität• API nach außen und orchestrierte
Services mit schnellen Deploymentssind ein Paradies für Kriminelle
• Komplexe Sicherheitsmechanismen sind öffentlich (oAuth, Tokens, …) „Once compromised the wholeworld will be infected ..“
Mobility und Social Media
• Mobility • ist wunderbar produktiv• Daten verlassen das Haus• Einfallstor für Kriminelle• Ein Smartphone verliert man schnell …
oder verkauft es mit vollen Rechten
• Social Media• Die Preisgabe von Wissen und
Verbreitung von Schäden par Exzellence• Wer darauf verzichtet riskiert, dass die
„Digital natives“ ein öffentliches Tool oder einen Dienst in der Public Cloud nutzen
Gen. K. Alexander, US Cyber Command
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 17
Risiken wachsen schneller als die Fähigkeiten der meisten IT Abteilungen
Innovation vor Sicherheit
• Webtechnologien (Java, HTML, Frameworks) wurden nicht unter Sicherheitsaspekten entwickelt) NERD-Stuff
• IT-Abteilungen stehen unter Druck zu liefern. Projektinflation.
• Traditionelle Projekte enthalten fast nie ein Abnahmekriterium „Sicherheit“
• Agilere Methoden• Scrum• Continuous Deployment ….
erst recht nicht!
Ein Sicherheitscheck in einem gut geführten Unternehmen ergibthäufig über 1.200 Findings im Netzwerkund 500 in Webtechnologien und SAP …
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 18
IT Sicherheit ist Chefsache auf C-Level und für Aufsichtsräte
• Die Digitalisierung der Wirtschaft schreitet voran
• Digitale Wirtschaft macht IT von der Serviceorganisation zum Produktionsfaktor
• Cyberthreats nehmen zu und können verheerende Wirkung haben für die Produktion und den Ruf des Unternehmens
• Aufsichtsräte werden IT affiner und daher verstärkt Fragen stellen (Wie sicher ist eigentlich ….) und Aussagen zur Sicherheit hinterfragen
• Der C-Level muss dann auskunftsfähig sein.
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 19
One last thing …
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 20
Cyberthreats
Was müssen wir tun?
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 21
Die Herausforderungen sind komplex …
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 22
IT Sicherheit ist Chefsache auf C-Level und wird zum Aufsichtsratsthema
• Sicherheit ist Chefsache, weil Cyberthreats zu große Folgen haben können
• Größere Organisationen brauchen einen CISO (Corprate Information Security Officer), der auf Augenhöhe mit IT und den Innovatoren kommuniziert
• IT Sicherheit wird nicht nur ein Thema sein, „wenn der Laden steht“ oder es um das Budget geht
• Der Aufsichtsrat beschäftigt sich künftig proaktiv mit IT Themen
• In der Digital Economy werden IT Performance und Sicherheit ein stetes Thema für die Führungs- und Aufsichtsgremien sein –periodisch wie klassische Produktionsdaten heute
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 23
IT Sicherheit muss systematisch und proaktiv betrieben werden
ErgebnisSecurity Heatmap
ErgebnisSecurity Roadmap
ErgebnisSecurity Operating
ErgebnisContinuousImprovement
IDENTIFY PROTECT DETECT RESPOND RECOVER
Germany Organisation
Governance
Policies
Technologien
Factory
Kundendaten
Server
Netzwerke
Access Control
Testproced.
Menschen
Awareness
Schulungen
Selektion
Kontrollen
MAY JUN JUL AUG SEP
Germany Organisation
Governance
Policies
Technologien
Factory
Kundendaten
Server
Netzwerke
Access Control
Testproced.
Menschen
Awareness
Schulungen
Selektion
Kontrollen
0
10
Risikoorientiert
Business Prozessbezogen
Business Impactbezogen
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 24
IT Sicherheit braucht Prinzipien
• Die üblichen Normen (ISO = Ist Schon Obsolet) und Frameworks helfen häufig „nur“ zum Nachweis der Compliance (Beispielhaft MA Risk für Banken, ISO 27001)
• Traditionelle Policies und Procedures folgen der irrationalen Phantasie der Vorhersehbarkeit und Stabilität
• Ergänzt werden müssen sie durch ein Set von „GUIDING PRINCIPLES“, die• Flexibles Eingehen auf neue Technologien und Bedrohungslagen ermöglichen• den Mitarbeitern im Tagesgeschäft sofort präsent und anwendbar sind.
• Effektive Kontrollen, die gut eingeführt und durchführbar sind:• Reality Check mit Key-usern und IT Staff – nicht nur Management• Externe (Kunden, Lieferanten und Infrastruktur Provider) müssen einbezogen werden
• Benutzer müssen Gelegenheit haben die Kontrollen selbst durchzuführen, z.B.• Built in in Code Review (Scrum, …) und Test bzw. Abnahmekriterien für Projekte
• Prozesse zur kontinuierlichen Verbesserung (Verhalten, Technologie) von Kontrollen, z.B.• Klassisches KVP präventiv und • ITIL für Incidents (Analyze, Repaire, Detect, Prevent)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 25
IT Sicherheit – Exkurs: wie handelt man bei akuten Bedrohungen?
Das Bundeskriminalamt (BKA) hat folgendes GUIDING PRINCIPLE
- Ein definierter Kreis (zuständige Führungskraft und Experten) trifft sich sofort zum stand-up Meeting
- Der Kreis wird durch den zusammengerufen, der die Lage erkannt hat
- Bezogen auf die Lage werden ggf. weitere Experten hinzugezogen
- Sofortmaßnahmen werden eingeleitet
- Der weitere Kommunikationsweg, z.B: Warnungen an Mitbetroffene und hierarchische Eskalation wird festgelegt bis hin zur Formulierung
Beispiel: Der Vertriebsinnendienst hat es gern, wenn er vor den Kundenbeschwerden weiß, dass die On-line Services unter einer DoS Attacke zusammengebrochen sind …
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 26
IT Sicherheit braucht Managementsysteme
• Sicherheitsrelevante Daten, Ereignisse und Logs müssen zugänglich sein in einer Datenbank
• Die Auswertung erfolgt durch „real-time analytics“• Auswertungen stehen per Dashboard den Administratoren zur Verfügung• Die Systeme werden laufend verbessert (bspw. selbstlernende Systeme –
die Algorithmen gibt es heute schon in Microsoft Azure)• Das Management (CIO, CISO, Internal Audit) erhält daraus Alerts und ein
Exception Reporting• Ad-hoc Analysen als drill-down sind im Verdachtsfall möglich (Beispiel: IP-
Adressen aus dem Vertrieb laden ungewöhnlich umfangreiche Konditionsdaten)
• Mobile Device Management (Verschlüsselung, Remote Admin, Selbstlöschung im Verlustfall)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 27
IT Sicherheit nur selektiv outsourcen
Outsourcing empfehlenswert Interne Skills (Retained Organisation)
• CISO („Chief Information Security Officer“)
• IT-Sicherheitsadministratoren• Steuerung der Outsorcingpartner
• Steuerung der vernetzten Partner
• Einleitung von Sofortmaßnahmen
• Sicherheitsberatung zur ganzheitlichen Architektur und Projektmanagement
• Sicherheitsaudits durch technische Spezialisten (z.B. Secunet, i.d.R. keine WP)
• Sicherheitstechnologien und Appliances mit permanenten Updates (bspw. gegen Denial ofService Attacken) extern beziehen
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 28
IT Sicherheit braucht Menschen
• Technologie allein reicht nicht:• Laufend neue Bedrohungslagen können nicht antizipiert werden
• Neue Technologien, digitale Innovationen und Inflation der Änderungen führen zu permanenten IDENTIFY – PROTECT – RESPOND – RECOVER –Prozessen
• Virtualisierung der Sicherheit (Mobil, Cloud, digitale Vernetzung) werden durch Externe (Kunden, Lieferanten, Provider) beeinflusst– dies muss durch hoch und aktuell qualifizierte Mitarbeiter gemanaged werden
• Anwender und Administratoren müssen periodisch geschult und im Bedrohungsfall informiert werden
In kritischen Positionen muss HR bei der Auswahl über die üblichen Instrumente hinausgehen (Führungszeugnis, Hintergrund, Umfeld, …)
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 29
Zum AbschlussDurchschnittlich wird ein Unternehmen einmal pro Jahr zum Ziel ernsthafter Attacken …
… Sorgen Sie dennoch vor …
… ein gezielter Angriff kann selbst bei einem Mittelständler schnell einen sechs bis siebenstelligen Schaden anrichten …
… Ihre Thesen und Fragen …
.. Kann ich noch etwas für Sie tun? …
Thomas Klüppel | +49 163.7187544 | [email protected] | Selder 12, 47918 Tönisvorst 30