QSM

Schutz von ITK-Systemen (Informations- und Kommunikationssystemen) gegen eine Vielzahl verschiedenster Gefahren und Angriffe

Schutz von Daten und Infos, Wissen jeglicher Art in jeglicher Form

Datenträger, Filme, Texte

Schutz von internet-basierten Systemen und Anwendungen von Systemen, die mit dem Internet verbunden sind. (Gefahren aus dem Internet)

• Sicheheit von Rechenzentren

• System- und Anwendungssicherheit

• Netzwerksicherheit

• Mobile Sicherheit

• IoT Sicherheit

VS-NfD = Verschlusssache - nur für den Dienstgebrauch

VS-Vertr = Verschlusssache - Vertraulich

Geh = Geheim

Str. Geh. = Streng Geheim

VIVA

• Vertraulichkeit: Informationen nur an Befugte

• Integrität (Unversehrtheit): Informationen werden nur befugtermaßen verändert oder gelöscht

• Verfügbarkeit (und Wiederherstellbarkeit): Informationen trotz Störung zugreifbar

• Authenzität: Infos stammen von angegeben Autor

• Internet ist eine zentrale Infrastruktur

• ABhängigkeit enorm gestiegen

• Komplexität steigert sich stetig

• Immer mehr e-Commerce

• Immer mehr social-media

• Cyber-Kriminelle gut organisiert und vorbereitet

• fehlende oder unzureichend umgesetzte Sicherheitsmaßnahme

• Software-Fehler, der Angriffslücke bedeutet

Software, die Schwachstelle nutzt um Zugriff auf Zielsystem zu erlangen

Enthält Schadcode, der nach Ausnutzungvon Schwachstelle den Angriff ausführt

Häufigste Schwachstellen Typen in 2019

• Code Execution / Injection

• Cross-site Scripting

• (Buffer) - Overflow

• Denial of Service (DOS)

• Distributed Denial of Service (DDOS)

Zero-Day-Exploits ist ein Exploit, für den es noch keine entsprechende Patches gibt. Entwickler haben also keine Zeit, die Sicherheitslücke zu beheben. Damit sind aber auch Exploits gemeint, die auf für den Hersteller unbekannten Schwachstellen basieren.

Eavesdropping

• Abhören von Datenpaketen

• Angreifer verbindet sich mit Netzwerken des Opfers

• auf dem Weg durch das Netzwerk sammelt und extrahiert er IP-Pakete, um Identitätsdaten zu klauen

• Angreifer können unverschlüsselten Datenverkehr mitlesen

Supply-Chain Attack

• Vertrauensbeziehung zwischen Nutzen und Softwareanbietern ausgenutzt

• Angreifer kompromittieren Updateumgebung eines Softwareherstellers

• Implementieren Schadcode in Updates, Software-Releases oder Sicherheitspatches

• Kombination aus den Begriffen Roboter und Netzwerk

• Gruppe ferngesteuerter Computer, die für die Ausführung bösartiger Aufgaben koordiniert werden

• Ein einzelnes Botnet kann zwischen einigen hundert und mehreren Millionen Geräten umfassen, die im Allgemeinen als Bots bezeichnet werden.

Botnet Architekur

• Botmaster => Ausführender Mensch

• Command and Control Architectures => Bots verbinden sich direkt miteinander oder laufen über Server -> Organisationsstruktur

• Malicious Activities -> Arten von Angriffen => Spam-Mails, DDOS-Attacken, Systeminfektionen, Phishing

• Targets -> Angriffsziele => Computer, Server, Handys, Websites, Unternehmen, krit. Infrastruktur

• DDOS-Attacke

• Cryptocurrency Mining: PC wird zum Minen von Crypto ausgebeutet

• E-Mail Spamming: Versenden von Massen an Spam-Mails

Mirai Botnet - ca. 3 Mio Bots, dadrunter zahlreiche unsicher konfigurierte IoT-Geräte, wird zur Miete angeboten (Crime as a Service = Darknet)

• Angreifer gibt sich als vertrauenswürdige Person des Unternehmens aus

• täuschst andere MA und zwingt diese zu Handlungen im Sinne des Angreifers

• Angreifer verleitet Opfer dazu, vertrauliche Infos preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware zu installieren

CEO FRAUD

• bekannteste Form

• Kriminelle geben sich als CEO, Anwalt, Kunde aus

• verlangen Informationen oder Anweisungen

• Zielperson durch Recherche im Internet ermittelt

• Täter tragen erforderliche Informationen über Monate zusammen

Schulung von MA

• Implementierung von Risikobewusstsein in den Köpfen

• MA müssen über Wert von Daten aufgeklärt werden

Beschäftigte auf den Prüfstand stellen

• MA einen Test unterziehen, um zu sehen, ob Sie im Fall eines echten Angriffs sich richtig verhalten

• Cyberkriminelle

• Terroristen

• Nachrichtendienste

• Hacker Kids

• Mitbewerber

• Beschäftigte

Absichten

• Kontrolle über Systeme

• Sabotage

• Löse- und Schweigegeld

• Kreditkartendaten

• Bankdaten

• Identitätsdiebstahl

• intime Infos

• Kunden-, Lieferanten- und Mitarbeiterdaten

• Soziale Gründe (Rache u. Frust)

• Ausschreibungen

• Verschlusssachen

• Gesetzesentwürfe

• Unternehmenspläne

1. Identifizierung des Ziels (Reconnaissance)

2. Vorbereitung des Angriffs (Weaponization)

3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery)

4. Das systematische Aufspüren von Sicherheitslücken (Exploiation)

5. Implementierung einer Backdoor (Installation)

6. Fernsteuerung des Zielsystems (C&C)

7. Zielerreichung (Actions on objective)

Angriffsstrategie

• Angreifer wählt Ziel aus

• legt Profil über Opfer an

• Alle Kontaktdaten werden gezielt recherchiert

Abwehrstrategie

• Verteidiger minimiert öffentliche Informationen

• wertet Zugriffe aus, um verdächtige Aktivitäten aufzudecken

Angriffsstrategie

• Angreifer sucht geeignetes Tool aus

• Whal ist abhängig von Ziel

Abwehrstrategie

• Verteidiger sucht Spuren von Angriffsversuchen

• analysiert Malware

• prüft den typischen Einsatzzweck

Angriffsstrategie

• Angreifer führt Cyberangriff aus

• wählt Medium der Infektion aus

  • USB-Stick, E-Mail, soz. Netzwerke

Abwehrstrategie

• Verteidiger überwacht Angriffswege und analysiert entdeckte Angriffe

Angriffsstrategie

• Suche nach Lücken im System

• Angreifer richtet sich auf technische Komprimitierung aus

• Einflussfaktor ist die mangelnde Sensibilisierung der MA

Abwehrstrategie

• Verteidiger beseitigt organisatorische sowie technische Schwachstellen

• sensibilisiert Nutzer

  
  

Angriffsstrategie

• ohne Kenntnis des Betroffenen erfolgt Implementierung des Schadprogramms

• Unterwanderung des Systems

Abwehrstrategie

• Verteidiger überprüft Installationen, Aktivitäten und blockiert verdächtige Handlungen

Angriffsstrategie

• Angreifer sucht und öffnet Kommunikationskanäle, um Schadsoftware zu steuern

• nutzt etablierte Kanäle

• im Idealfall nutzt er Verschlpsselungstechniken um im Verborgenen zu handeln

Abwehrstrategie

• untersucht Malware

• Kanäle aufspüren, blockieren und zurückzuverfolgen

Angriffsstrategie

• wenn Angreifer Zugang hat, wird Angriff konkretisiert

• Spionage, Sabotage und Datendiebstahl

• Angreifer will immer tiefer ins System, um so lange wie möglich unentdeckt zu bleiben

Abwehrstrategie

• Verteidiger untersucht Malware, um Kanäle aufzuspüren, zu blockieren und zurückzuverfolgen

• Stillstand des Geschäfts

• Verlust von relevanten Daten

• Lösegeldforderungen

• Vertrauensverlust ggü. Kunden

• Kosten für Benachrichtigung Betroffener Kunden / Lieferanten

• Sanktionen durch Behörden

• Untersagung des Betriebs

• bietet umfangreiche Spionagefunktionen, Prozessliste, Softwareinternalisierung

• kopiert Passwörter aus Browsern und Mail-Clients

• wird ständig modifiziert

• wird selten von Virenschutzprogrammen erkannt

• Emotet sucht Backup-Dateien im System, greift Systeme an und löscht oder verschlüsselt diese

• mehrere Schichten mit jeweils eigenen Sicherheitskontrollen, die an vielen Stellen im Systemen installiert werden

• Durch Redundanz soll Angreifer, der eine Sicherheitskontrolle überwindet, spätestens an der nächsten zum Stehen kommen

3 typische Layer

• Nutzung von VPN

• Sandboxing (Einsatz zu testender Software in abgetrennter Netzwerkumgebung)

• Multi-Faktor Authetifizierung

• Anti-Malware-Tools (Virenschutz)

Vorsorgen

• Anti Malware Tools

• Datenzentrierte Security

• Sandboxing

Erkennen

• Intrusion-Detecion-Systeme (IDS)

• Lagging udn Auditing

• Zentraler Syslog Server

• SIEM-Service

Abwehren

• Intrusion-Prevention-Systeme (IPS)

• Anti-Spam Gateway

• Firewalls

Ausspähen und Abfangen von Daten gemäß § 202a und § 202b STGB

Vorbereiten solcher Taten § 202c STGB

IT-Sicherheitsgesetz -> definiert Vorgaben zur Verbesserung der IT-Security für die Betreiber von kritischer Infrastruktur

-> § 8 BSI-Gesetz Einführung von BSI-Mindeststandards für die Bundesverwaltung

KRITIS-Sektoren:

• Ernährung

• Wasser

• Energie

• Transport

• Verkehr

• Gesundheit

Nutzt ein Rahmenwerk von Ressourcen, um die Ziele einer Organisation zu erreichen, es ist also ein System in dem die verschiedenen Maßnahmen zum Management einer Organisation zusammenwirken.

• Richtlinien

• Verfahren

• Prozesse

• Ressourcen

Ein Management-System ist ein Verfahren zur Zielerreichung mittels einer Politik bzw. Strategie… moderne Management-Systeme haben immer einen Rückkopplungsprozess, bekannt als ständiger Verbesserungsprozess, den sogennanten PDCA-Cycle

PDCA-Cycle (Plan, Do, Check, Act)

Planungsphase (PLAN)

• Festlegen des ISMS

• Ermittlung relevanter Sicherheitsziele und Strategien

• Erstellung Informationssicherheitspolitik

• Auswahl geeigneter Sicherheitsmaßnahmen

Durchführungsphase (DO)

• Umsetzen und Betreiben des ISMS

• Sicherheitsmaßnahmen realisieren

• Informationssicherheit im laufenden Betrieb inklusive in Notfällen gewährleisten

Überprüfungsphase (CHECK)

• Überwachung und Überprüfen des ISMS

• Wirksamkeit

• Sinnhaftigkeit

• Einhaltung der Sicherheitsmaßnahmen

• Kenntnis von Sicherheitsvorfällen

• Kenntnis “GOOD PRACTICES”

Handlungsphase (ACT)

• Instandhalten und Verbessern

• Reaktion auf erkannte Fehler

• Reaktion auf Schwachstellen

• Beseitigung der Gefährdungsursachen

• erneute Planung

ISMS (Information Security Management System ist kein technisches System, sondern definiert Regeln, Methoden und Abläufe, um die Informationssicherheit in einer Organisation zu gewährleisten, zu steuern, zu kontrollieren und kontinuierlich zu verbessern.

Das ISMS kann und soll als Teile des Managementsystems einer Organisation angesehen werden. Ziel ist die Sicherstellung einer angemessenen Infromationssicherheit, also insbesondere die Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb einer Organisation in der es zur Anwendung kommt.

1. BSI Standard 200-1, der den Aufbau des ISMS beschreibt

2. BSI Standard 200-2, der die sog. IT-Grundschutz Methodik, welche Vorgehensweise erhält

3. BSI-Standard 200-3, der die Vorgehensweise einer erweiterten Risikoanalyse beschreibt

4. Das IT-Grundschutz-Kompendium, welches die Baustein, Gefährungs- und Maßnahmenkataloge enthält

In der Praxis bietet der IT Grundschutz 3 Möglichkeiten zur Umsetzung

• Basis Absicherung: Relevante Geschäftsprozesse mit Basismaßnahmen absichern

• Kern-Absicherung: detail. Sicherheitsmaßnahmen fpr besonders wichtige Prozesse und Risikoogjekte

• Standard-Absicherung: empfohlene IT-Grundschutz-Vorgehensweise umfasst Schutz aller Prozesse und Bereche des Unternehmens

• Standard-Sicherheitsmaßnahmen werden konkret und detailiiert beschrieben

• Sicherheitskonzepte sind erweiterbar, aktualisierbar und kompakt, da sie auf existierende Referenzquellen verweisen.

• umzusetzende Sicherheitsmaßnahmen sind praxiserprobt und so ausgewählt, dass ihre Umsetzung möglichst kostengünstig möglich ist.

kurzes, prägnantes Dokument von ca. 10 Seiten, das Anforderungen der Organisation an Informationssicherheit enthält und allgemeinverständlich die Ziele und Mittel zur Erreichung eines höheren Sicherheitsniveaus darstellt. Neben den angestrebten Informationssicherheitszielen enthält sie auch die grundlegende Sicherheitsstrategie. Sie wird von allen Mitarbeitern zur Kenntnis gegeben.