IT-Sicherheit an Hochschulen - Hochschulverwaltung ·...
Transcript of IT-Sicherheit an Hochschulen - Hochschulverwaltung ·...
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen
Reiner Schmidt, CIO der HS Ansbach
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Hochschule trotz(t) IT-Sicherheit
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Inhalt
• Bedeutung/Bereiche der IT-Sicherheit • Historischer Rückblick • Status Quo • IT-Sicherheit generell • IT-Sicherheit an Hochschulen • Ansätze/Lösungen
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Wieso ist IT-Sicherheit wichtig?
„Ein Großteil der Industrieproduk2on und insbesondere der Exporte Deutschlands hängen heute vom Einsatz moderner Informa2ons-‐ und Kommunika2onstechnologien (IKT) ab. IKT sind die Grundlage der wirtschaAlichen Leistungsfähigkeit jeder IndustrienaGon und bilden die Basis für eine große Zahl an Dienstleistungen. Sie wirken zusammen mit den ProdukGonstechnologien, Material-‐ und WerkstoSechnologie, den opGschen Technologien und der Mikrosystemtechnik. Im Maschinen-‐ und Anlagenbau sind Steuerung, Test-‐ und Prüfeinrichtungen ohne IKT undenkbar, die Chemische Industrie baut ihre Verfahrenstechnik auf IKT auf, in KraAfahrzeugen besGmmen sie miXlerweile alle wichGgen FunkGonen – Antrieb, KommunikaGon, Komfort und Sicherheit. IKT sind die Schlüsseltechnologien für InnovaGonen.“ Quelle: hXp://www.bmbf.de/de/398.php (Stand: 17.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit - Bereiche
Technische Sicherheit
IT -‐ Sicherheit
Ökonomische Sicherheit
Organisatorische Sicherheit
JurisGsche Sicherheit
Archivierung Backup Firewall PKI ...
Kundenbindung Patentschutz Versicherung
...
Compliance Datenschutz
Policiy Richtlinien Schulungen Kontrollen
...
IT-‐Sicherheit: • AuthenGzität • Integrität • Vertraulichkeit • Verfügbarkeit
IT-‐Sicherheit ist kein Produkt – IT-‐Sicherheit ist ein Prozess
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Historischer Rückblick
"Wer vor der Vergangenheit die Augen verschließt, wird blind für die Gegenwart.“
Richard von Weizsäcker
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Historischer Rückblick
Palaquium gu*a, der GuXaperchabaum
ENIGMA (griechisch „Rätsel“)
Echelon
NSA
1850 1918
1950 2014
UdSSR -‐ Sputnik
USA -‐ Advanced
Research Projects Agency" (ARPA)
1957
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Historischer Rückblick
AgrargesellschaA $ Boden / Klima
InformaGonsgesellschaA $ 10110111 è Daten / Wissen
IndustriegesellschaA $ Energie / Rohstoffe
Human Brain 1.0
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo
Entscheidungsträger
Quelle: Dr. Gerry McCartney 2014: PUTTING THE “I” BACK IN CIO: BIG DATA, BIG CHANGES. (Unveröffentlichtes Manuskript). EDUCAUSE 2014 Orlando
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo - Daten
Bis zu 200 Mio. SMS pro Tag durch die NSA abgefangen
Quelle: Bilder vom Gartner CIO Symposium 2013 Barcelona (Reiner Schmidt)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo – Data
• Big Data • Cloud • Graphen • Social Media
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo – Cloud
Public Cloud Private Cloud ?
DatenklassifikaGon
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo – Big Data
Facebook TwiXer
Ein echtes Spannungsfeld zwischen Datenschutz und IT-‐Sicherheit
1) Quelle: IT-‐Sicherheit Eine neue Philosophie hält Einzug.. hXp://www.wiwo.de/technologie/digitale-‐welt/it-‐sicherheit-‐das-‐neue-‐konzept-‐heisst-‐big-‐data/6289994-‐2.html. 14..November 2014
91% der Angriffe führen binnen Stunden zu Datenverlusten; 79% werden erst nach Wochen oder später entdeckt. Weniger als 1% der Cyberkriminellen wird gefasst.1)
Log-‐Files &
Graphen +
IT-‐Sicherheit braucht Big Data
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo - Angriffsvektoren
Louis Marinos, ENISA: ENISA Threat Landscape 2014 (Dezember 2014), hXp://www.enisa.europa.eu/acGviGes/risk-‐management/evolving-‐threat-‐environment/enisa-‐threat-‐landscape/enisa-‐threat-‐landscape-‐2014 (Stand 15.05.2015)
European Union Agency for Network and InformaGon Security Threat Landscape 2014
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo – Malware samples
Malware-‐Signaturen (AV-‐Test)
HP Security Research: Cyber Risk Report 2015, hXp://info.hpenterprisesecurity.com/LP_460192_Cross_CyberriskFullReport_0315_gate (Stand 15.05.2015)
Prognose für 2015: “If we consider that 200 million number, we see that to reach it over the year, AV-‐Test—or any reputable anG-‐malware vendor— should be capable of processing an average of 600,000 samples every single day.”
Reagieren und Probleme lösen: “The focus for organizaGons is not just how to protect, but rather how to respond and remediate aXacks— understanding with certainty that aXacks will be successful if carefully planned and executed.”
Weniger als 40% der Android-‐Devices mit Malware-‐Schutz: “While we can expect more than 90 percent of Windows systems to be protected by security soAware, the overall protecGon level of Android devices is lower. We esGmate that just below 40 percent of Android devices have some kind of anG-‐malware soluGon installed”
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo - NSA
BIOS
BIOS Boot-‐ROM
BIOS Boot-‐ROM
SW-‐Einschleusen bis 13 km KarGerung m. Drohnen
Radarsender – Signalanalyse (EU-‐Vertr. Washington) Passive Audiowanzen (Radar)
BIOS Firmware HD – MBR WMI Funksender Mini-‐Computer-‐Implantat Ungenutzte Wireless IF
HW-‐Implantate für Monitor und Tastatur mit Radar (1 kW)
Implantate: iPhone Windows Mobile, SIM, Notebooks
Funk-‐Zellen-‐Simulatoren (Merkel) Ortung
Zufallszahlen? (RSA) 10 Mio. $
NSA-‐Skandal: hXp://www.heise.de/extras/Gmeline/ (Stand 15.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Staus Quo - Wer kontrolliert das Internet?
Internet Governance
IETF Internet Engineering Task Force
ICANN Internet CorporaGon for assigned Names and Numbers
ITU InternaGonal TelecommunicaGon Union
Vorwiegend technische Belange Adressierung
Teil der UN Jedes Land hat eine SGmme
Konferenz in Dubai, Dez. 2012 Thema – Mehr Kontrolle im Internet Dafür: Arabische Staaten, Russland,
China,... (Mehrzahl) Dagegen: EU-‐Länder, USA, ... DebaXe noch nicht beendet
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
...
Status Quo an Hochschulen
A
B
C
Anarchie
BürokraGe
Chaos
Art. 5, Abs. 3 – GG WirtschaAlich
Erfolgsgetrieben ?
Staatliche Hochschulen VerwaltungsvorschriAen
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo an Hochschulen
GSM / UMTS / LTE
WLAN
Bluetooth
Mobilisierung. Virtualisierung.
USB
Kamera(s) Adressdaten Zugangsdaten Firmendaten ...
Aber auch: Digital MarkeGng (SMS)
BYOD (Bring Your Own Device) Po
licies u
nd Regelun
gen zw
ingend
nöG
g!
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo an Hochschulen
Mobile Devices
Notebook
Netbook TableX
Smartphone
Windows Unix Android IOS
Store oder Market?
The cumulaGve Android threat volume Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE – Trend Micro Security PredicGons for 2015 and Beyond, hXp://www.trendmicro.com/cloud-‐content/us/pdfs/ security-‐intelligence/reports/ rpt-‐the-‐invisible-‐becomes-‐visible.pdf (Stand 17.05.2015)
BYOD (Bring Your Own Device)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Status Quo an Hochschulen
BYOS -‐ Bring Your Own Service
BYOE? (Bring Your Own Everything)
Quelle: hXp://ethority.de/social-‐media-‐prisma/. 14. November 2014
Also bleiben wir dabei: BYOD! (Bring Your Own DestrucGon)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell – dokumentierte Internetangriffe
Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE – Trend Micro Security PredicGons for 2015 and Beyond, hXp://www.trendmicro.com/cloud-‐content/us/pdfs/security-‐intelligence/reports/rpt-‐the-‐invisible-‐becomes-‐visible.pdf (Stand 17.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell – dokumentierte Internetangriffe
Quelle: hXp://www.idtheAcenter.org/images/breach/20052013UPDATEDSummary.jpg (Stand 17.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell Angebot und Nachfrage
Quelle: Trend Micro: THE INVISIBLE BECOMES VISIBLE – Trend Micro Security PredicGons for 2015 and Beyond, hXp://www.trendmicro.com/cloud-‐content/us/pdfs/security-‐intelligence/reports/rpt-‐the-‐invisible-‐becomes-‐visible.pdf (Stand 17.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell Akteure und deren Aktionen
THREAT Akteure THREAT AkGonen
Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hXp://www.verizonenterprise.com/DBIR/2015/ (Stand 17.05.2015)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell Top Ten der Malware-Schleudern
„44% of all web aXacks came from resources located in the USA and Germany.“
„87% of noGficaGons about aXacks blocked by anGvirus components were received from online resources located in 10 countries. This is 5 percentage points more than in the previous year.“
Quelle: Kaspersky: KASPERSKY SECURITY BULLETIN 2014/2015, hXp://media.kaspersky.com/de/business-‐security/Kaspersky Lab Security Report 2014_2015_screen.pdf (Stand 17.05.2015)
TOP 10 DER LÄNDER, AUF DEREN RESSOURCEN SCHADPROGRAMME UNTERGEBRACHT SIND
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit generell Wo ist das Infektionsrisiko gering?
Quelle: Kaspersky: KASPERSKY SECURITY BULLETIN 2014/2015, hXp://media.kaspersky.com/de/business-‐security/Kaspersky Lab Security Report 2014_2015_screen.pdf (Stand 17.05.2015)
INFEKTIONSRISIKO NACH LÄNDERN
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Datenpannen im Vergleich
Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hXp://www.verizonenterprise.com/DBIR/2015/ (Stand 17.05.2015)
Scien2fic Research
Research
Verizon: The 2015 Data Breach InvesGgaGons Report
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
Fehlende Policies (Governance), Awareness, Art. 5 -‐ GG
IT-Sicherheit an Hochschulen Malware-Ereignisse im Vergleich
Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hXp://www.verizonenterprise.com/DBIR/2015/ (Stand 17.05.2015)
„The low average numbers for Financial Services could mean that that industry is beXer at filtering out phishing e-‐mails before they arrive at the malware protecGon appliances, or is aXacked with malware that’s harder to detect. In contrast, the prolific amount of malware hi�ng educa2on ins2tu2ons could be the byproduct of less-‐strict policies and controls, or a sign that Educa2on users are easy pickings for high-‐volume opportunisGc threats.“
FireEye, Palo Alto Networks, Lastline, und ForGnet untersuchen Daten von 10.000 kleinen, MiXleren und großen OrganisaGonen in 61 Ländern quer über die verschiedenen Sektoren (2014).
InvesGGonen in IT-‐Sicherheit
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Neugier?
Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hXp://www.verizonenterprise.com/DBIR/2015/ (Stand 17.05.2015)
Awareness
Test von zwei Sicherheitsfirmen mit 150.000 Mails ergab:
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Reaktionsgeschwindigkeiten im Vergleich
Quelle: Verizon: The 2015 Data Breach InvesGgaGons Report, hXp://www.verizonenterprise.com/DBIR/2015/ (Stand 17.05.2015)
„... UlGmately, the “leader” in near-‐pervasive infecGons across the majority of underlying organizaGons is EducaGon. This should come as no surprise, given the regular influx of unmanaged devices as hordes of innocent youth invade our halls of higher learning.“
(Mobile) Device Management – unmanaged Devices nur bei Studenten?
Average number of botnet triggers in 2014 (for each company)
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen
• InvesGGonen in technische Lösungen und Personal • (Mobile) – Device-‐Management / Asset-‐Management • Organisatorische Regelungen und Policies • Awareness ... Governance!
Aus Verizon-‐Report leitet sich ab:
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Ansätze/Lösungen
Quelle: Werner Wüpper et al. (2012): InformaGonssicherheitsmanagement beginnt beim Management, hXp://www.hk24.de/blob/hhihk24/servicemarken/branchen/medienitdesign/downloads/1152056/21b9e8200477b45b4da1a82eacba10b2/Praxislei�aden_InformaGonssicherheitsmanagement-‐data.pdf (Stand: 17.05.2015)
Organisatorisch
• IT-‐SicherheitsbeauAragter • No�allplan • Risikomanagement • Sicherheitsrichtlinien • Schulungen zur IT-‐Sicherheit • Datensicherungskonzept • Konzept zum Löschen von Daten • DokumentaGon • Aktualität
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Ansätze/Lösungen
Integrierte InformaGonsverarbeitung è Keinen Bereich isoliert sehen!
Governance !
Technisch
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Ansätze/Lösungen Awareness
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Ansätze/Lösungen
Technische Sicherheit
Awareness IT -‐ Sicherheit
Ökonomische Sicherheit
Organisatorische Sicherheit
JurisGsche Sicherheit
Awareness
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen Ansätze/Lösungen
In Form von: • Comic-‐Broschüre • Kalender • Flyer • Plakat • Security-‐Ticker auf Webseite
Quelle: hXps://www.utexas.edu/its/secure/resources/downloads/cybersec_aware_desktop_2011.png (Stand 17.05.2015)
Awareness-‐Kampagnen
12. Tagung der DFN-‐Nutzergruppe Hochschulverwaltung in Bochum • „Sicherheit trotz(t) IT“ • 19.05.2015 •
IT-Sicherheit an Hochschulen
Vielen Dank für Ihre Aufmerksamkeit!
Fragen?