Allianz der Wissenschaftsorganisationen...12. Tagung der DFN-Nutzergruppe Hochschulverwaltung...
Transcript of Allianz der Wissenschaftsorganisationen...12. Tagung der DFN-Nutzergruppe Hochschulverwaltung...
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 1
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 1
Prof. Dr. Rainer W. GerlingIT-SicherheitsbeauftragterMax-Planck-Gesellschaft
IT-Sicherheit in der Hochschule: Ein Lagebild
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 2
�Wissenschaftspolitik� Forschungsförderung� strukturelle Weiterentwicklung des Wissenschaftssystems� http://www.mpg.de/allianz
Allianz der Wissenschaftsorganisationen
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 2
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 3
�Die Allianz gründet in 2008 auf Initiative
des DLR, der FhG und der MPG den
Arbeitskreis Informationssicherheit der
(außeruniversitären) deutschen
Forschungseinrichtungen (AKIF)
�Mitglieder sind um die 80 außeruniversitäre
Forschungseinrichtungen� Über die HRK seit 2014 auch die Hochschulen
� Derzeit etwa 40 Hochschulen
� Ziel des Arbeitskreises ist die Erhöhung der
IT-Sicherheit in den Forschungseinrichtungen
AKIF
Hintergrund: http://magazin.spiegel.de/EpubDelivery/spiegel/pdf/52715129
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 4
�Grundlegende Dokumente zur IT-Sicherheit
� Austausch über IT-Sicherheit(svorfälle)� Aufbau der vertrauensvollen Zusammenarbeit
� Austausch von Lageeinschätzungen mit dem nationalen CyberAZ� Basiert auf dem Traffic Light Protocol
� Konkretisierung für Forschungseinrichtungen/Hochschulen
� Aufbau einer sicheren Kommunikationsinfrastruktur� Verschlüsselte Mailinglisten
� Verschlüsselter Fileserver
Arbeit des AKIF
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 3
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 5
� Es gab zwei Rundschreiben der HRK� RS 25/2014 vom 27.10.2014
IT-Sicherheit an Hochschulen und Forschungseinrichtungen
� RS 26/2014 vom 19.11.2014
IT-Sicherheit an Hochschulen/Mit Bitte um Weiterleitung an den
IT-Sicherheitsbeauftragten oder den den IT-Verantwortlichen
(Chief Information Officer und/oder Leiterin bzw. Leiter des
Hochschulrechenzentrums) Ihrer Hochschule
�Mitglied werden kann die/der IT-Sicherheitsbeauftragte der
Hochschule� Zugang auf ein Informationsportal
� Verteilung sensibler Information über Angriffe gegen Hochschulen� S/Mime Zertifikat erforderlich
AKIF für die Hochschulen
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 6
� Signatur-basierte Mechanismen� Virenscanner� Intrusion-Detection-Systeme� Lange Reaktionszeiten (mehrere Stunden)� Volumenprobleme (200.000 neue Malware-Proben am Tag)
� Webbasierte Prüfung
� Intelligence-basierte Mechanismen� Listen mit IP-Adressen� Listen mit Domain-Namen� Listen mit Dateien (in Form von Hash-Werten)� Lange Reaktionszeiten (mehrere Tage bis Monate)
� Verhaltens-basierte Mechanismen� Beobachtung der Rechner� Anomalie-basierte Intrusion-Detection-Systeme� Kurze Reaktionszeiten
Schutz vor Schadsoftware
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 4
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 7
� Phishing� Richtet sich an „alle“
� Gier-Schalter oder Angst/Panik-Schalter
� Spearphishing� Richtet sich an Einzelne oder Gruppen
� Passt gut in den individuellen Kontext (Social Engineering)
� „Watering Hole“ Angriff� Tiere sind beim Trinken am Wasserloch arglos und angreifbar
� Welche Web-Seiten besuchen die Beschäftigten meines Opfers?� Die Webseite des Pizza-Dienstes ist u.U. leichter anzugreifen, als die IT-
Infrastruktur des High-Tech-Unternehmen
� „Verlorene“ USB-Sticks� Auf dem Parkplatz des Unternehmens
Angriffsarten
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 8
� Ein Kollege in einer Uni
klickt auf den Link und
gibt seine Daten ein.
� Im Laufe der Nacht gab
es dann 7 Anmeldungen
aus Ägypten und Nigeria
beim Webmail-Server
�Dabei wurden 379 Mails verfasst, einige davon mit vielen Adressen
im BCC.
�Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten
Mails
Beispiel: Spam-Mail
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 5
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 9
� Spearphishing� Der Kontext ist richtig
�Gefälschte Absender Adresse� Man kennt den Absender
� Typisch ein Dateianhang� pdf oder Office
� Seit 2010 mehr Office
�Nach der Infektion ruhig verhalten, um nicht aufzufallen
�Dann im Unternehmen auf die wirklichen Ziele ausbreiten� Microsoft Mechanismen (smb)� Passworte sniffen/knacken
Angriffsdateien
Qu
ell
e:
le B
lon
de
et
al.
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 10
Aktuelles Beispiel: Anfang 2015
Quelle: https://phishing.vcu.edu/2015/01/07/good-article-targeted-phishing-scam-1715/
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 6
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 11
Primärere Angriffsziele
humanintelligence
signalintelligence
OrganisierteKriminalität
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 12
Anatomie eines Angriffs
Dropzone
Command & ControlC2
Angreifer
Opfer
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 7
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 13
Regierungsbotnets?
� Clevere Domain Namen: �
�
�
�
�
�
�
� Fallen bei einer Durchsicht nicht auf!
�Wer sind die aktuellen Angreifer? Dokumente lesen!!� Ghostnet, Mandian APT1, Norton …
� Crowdstrike: Putter Panda, Bear, Kitten, Tiger, Chollima …
� Angegriffen werden dienstliche/berufliche E-Mail-Adressen
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 14
� Zugriffe auf IP-Adressen und Domain-Namen werden protokolliert
�Die Log-Dateien werden ausgewertet
� Verdächtige Rechner forensisch untersucht� Dabei ergeben sich u.U. neue IP-Adressen und Domain-Namen
� Die Schadsoftware wird von aktuellen Virenscannern nicht erkannt!
�Die Erkennungsmechanismen werden ständig „optimiert“
Der Prozess
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 8
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 15
� Kennen Sie Ihre Kronjuwelen (=besonderes kritische und wichtige
Daten)?
�Welche Daten verursachen bei Verlust/Kopie den größten Schaden?
� Klassifizierung der Daten, Netze und Anwendungen ist eine
Grundvoraussetzung für ein Risikomanagement� Die Klassifizierung macht die Fachabteilung und nicht die IT !
Kronjuwelen
Bil
d:
Wik
ipe
dia
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 16
Firewall
Inter-
net
???-Server
VPN-Gateway
Hochschulnetz
DMZ
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 9
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 17
Kronjuwelen der Hochschule
Inter-
netHochschulnetz
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 18
Kronjuwelen der Hochschule
Inter-
netHochschulnetz
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 10
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 19
Administration
Inter-
net
AdministrationsnetzAdministrator-
arbeitsplatz
Hochschulnetz
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 20
Maßnahmen
� Alle IP-Adressen, die aus den diversen Spionage-Reports kommen,
sollten geloggt/geblockt werden� In der Hochschule kein Problem; mobil nicht trivial
� Log-Dateien geben Hinweise auf potentiell infizierte Rechner
� Alle Domain-Namen, die aus den diversen Spionage-Reports
kommen, sollten geloggt/geblockt werden� Können die Hochschulen das technisch? Moderne Firewalls und Proxies
erforderlich.
�Mailserver sollten ausführbare Anhänge blockieren.
�Monitoren Sie (ungewöhnliche) Datenflüsse im Unternehmen
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 11
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 21
� Sichere Kommunikationsstrukturen aufbauen� Innerhalb der Hochschule
� Zwischen den Hochschulen
� Technische Möglichkeiten zum Loggen schaffen
� Technische Möglichkeiten zum Sperren schaffen
� Sicherheitsmaßnahmen erhöhen, z.B. � Separates Management-Netz
� Firewalls restriktiver einrichten
� Netze optimaler strukturieren
� IT-Sicherheit als eine Grundlage qualitativ hochwertiger Forschung� Grundawareness
Was muss getan werden
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 22
�Muss jeder Server ins Internet kommen können?� Der AD-Server kann per http in die Welt kommunizieren?
�Müssen die Namen der Server die Funktion verraten?
�Die Hochschulfirewall lässt nur erforderlichen Datenverkehr durch.
�Muss jeder Beschäftigte im Internet surfen können?� Kann man den Browser „einsperren“?
(http://www.sirrix.de/content/pages/BitBox.htm)
� Zwei Browser Strategie
�Verschlüsseln, verschlüsseln, verschlüsseln …
IT-Sicherheitsüberlegungen
12. Tagung der DFN-Nutzergruppe Hochschulverwaltung Bochum, 18. Mai 2015
© 2015 Rainer W. Gerling/MPG. Alle Rechte vorbehalten. 12
M A X - P L A N C K - G E S E L L S C H A F T | Rainer W. Gerling, Sicherheit trotz(t) IT, Bochum, 2015 | SEITE 23
Vielen Dank für Ihre
Aufmerksamkeit !
http://www.mpg.de/7854031/datensicherheit_wissenschaft