Präsi - Konzept - PoC...Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder...

CyberSecurity-Digitalisierung-Awareness

About execure cloud division• Spezialisierte Cloud-&Security-Company «know how & do how», Microsoft Gold Certified Partner

• Fokus (Hybrid)Cloud-Plattform und Lösungen von Microsoft (Azure, MDM EMS, Office 365 etc.)

• Partner für Transformation / Organisationsoptimierung / «Empowering» zur Digitalisierung

• Standardisierung, Konsolidierung, Homogenisierung, Optimierung, Automatisierung

• ICT-Consulting, ICT-Engineering, ICT-Audit, ICT-Coaching, ICT-Optimierung, Business Engineering

• Kunden: Unternehmen von 2 Arbeitsplätzen bis internationale Konzerne

• Seit Juli 2018 Mitglied Swiss-IT-Security-Gruppe (ca. 300 Ma.) www.sits-group.chBrückenschlag (Hybrid) / Public Cloud <> Cybersecurity <> DEV

• Ab Januar 2019: Cloud Division der execure AG www.execure.ch

Themen

Next?AboutCyberSecurity

Digitalisierung

Awareness

CyberSecurity-Digitalisierung Awareness

Publizierter Fachartikel:

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-

gemeinsam-geteilte-verantwortung-security-awareness-7/

CyberSecurity is a shared responsibility -> Technologie kommt ohne Mithilfe durch Schwachstelle Mensch oder «Stand der Technik» an Grenzen

90%

90% Schwachstelle

Mensch

https://fridelonroad.wordpress.com/2017/11/19/cybersecurity-und-sicherheit-ist-eine-gemeinsam-geteilte-verantwortung-security-awareness-7/

CyberSecurity-Digitalisierung Awareness BIM / Digitalisierung

IoT, 5G, Cloud

«Digital Twins / Zwillinge» im Universum von «massiv interconnected everything» & «secure digital services and fabrication»

Digitalisierung & Transformation bei Firmen

«massive interconnection of everything» - unpatched

IoT, 5G, AI, Big Data, machine learning, deep learning

Smart / connected home & everything - unpatched

Umfassende Verbindung virtuelle / physische Welt

Vernetzt I Digitalisiert I Interdisziplinär I Teams

coWorking Offices, «unsichere» Zugänge

Mobility / Teleworking / HomeOffice

Bring your own device (BYOD), App (Store) Security

Device- & speziell Identity-Security >MDM / MAM

Geräte- und Standort-unabhängigkeit

Digitale Aufputschmittel gegen analoge Trägheit

CyberSecurity-Digitalisierung Awareness 2Mio Devices

50’000Mutationen






Wenn Sie denken, dass Technologie Ihre

Sicherheitsprobleme lösen kann

dann verstehen Sie die Grundproblematik

nicht umfassend und verstehen auch

die Technologie nicht genügend tief.

Schlaflos mangels

Cyber-Resilienz







Hochinformiertes

Halb-Wissen







«Gottes-Vertrauen» reicht nicht mehr

«Zero Trust» (Null Vertrauen) ist das

neue «Ave Maria»

gemäss «Stand der Technik»

als einneues «Gebot»

“Gottes-Vertrauen”

“Null-Vertrauen”


CyberCrime ist ein globaler Wirtschaftsfaktor (tax free) mit lohnenswerten Investitionen in immer mächtigeren Angriffsvektoren

-Staats-Spionage 4.0 mit CyberCrime > Internet / Root DNS

-Industrie-Spionage > Industrie-/Root-Hacks > Sollbruch

-Data is new currency > Identity is the new security perimeter

-Security Hygiene is critical > Zero Trust als Awareness

-»Cybercrime as a service» CaaS -> 80 – 200Mia taxfree

-Darknet -> Shop, Parallelwelt, mit auch Bewertung

-Plattform Kapitalismus -> Systemgläubigkeit, FakeNews

-Klassische Viren > neue Ransomware / Malware / USB

>Klassische Schutzmassnahmen haben ausgedient > ATP

-Social Engineering > CxO Fraud, StoryTelling

-Rise of massive Interconnection / dual use > IoT, 5G, AI

-Umfassende Verbindung virtuelle / physische Welt

-Distributed Denial of Service (DDoS) … as a service …

-Reputation Management -> IP, DataBreaches

-Beeinträchtigung des Kerngeschäfts -> Risk Mgt.

-Datenschutz-Regulationen DSGVO / GDPR / DSG

auch z.B. EU Leitlinien zur KI und zum Datenschutz

-CyberSouveranität der Schweiz -> NCS1 / NCS2

-Aus- und Weiterbildungs-Offensiven CyberSec -> auch Ethics

-Mrs. oder Mr. CyberSecurity in der Schweiz



https://fridelonroad.wordpress.com/2018/06/22/cybersecurity-sensibilisierung-und-

staerkung-der-schwachstelle-mensch-zugunsten-der-gesamtsicherheit/

Cyber-Crime

DualUse / DarkSide

https://fridelonroad.wordpress.com/2018/06/22/cybersecurity-sensibilisierung-und-staerkung-der-schwachstelle-mensch-zugunsten-der-gesamtsicherheit/


CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung > Faktor Mensch

-Ca. 90% der erfolgreichen CyberAttacken starten mit einem Email (oder Webseite) > Malware

> Social Engineering > Phishing > Insider-Wissen > Tel-Anrufe Swisscom / Microsoft > CEO-Fraud

-Paradigmenwechsel von Device zu Identity Security und Selbstverantwortung > Zero Trust

-Danach sind bis zu 80% der Fälle dann mittels einfachen oder gestohlenen Kennwörtern

ermöglicht, und mit zu hohen Rechten / Insiderwissen

-Massive Zunahme von CyberAttacken pro Jahr > auch multipliziert durch IoT

-Durchschnittliche Erkennung von komplexen Attacken zwischen einzelnen Wochen bis mehrere

Monate -> Beispiel Cyberangriffe auf RUAG (Dez. 2015 bis Mai 2016)

-Benutzer oder Devices mit zu hohen Rechten oder gar Adminrechten erhöhen Schadenspotential -

> «reduce to the max» rights & access, conditional access CA

-Weiterentwicklung von Device Security zu "user centric" Security / Identity > sicherheitstechnisch

schwächster User mit grösstem Schadenspotenzial

-Security by design / by default > Stand der Technik > «reduce to the max» > GDPR > BIM, IoT,

SmartCity, AI (massive interconnected) -> Resilienz,

-Datensicherheit > Datenschutz > GDPR > Email ist unsicher by design … -> Sharepoint, OneDrive,

OneNote, AIP, EMS MDM, ATP

-Mehrschichtiger, gesamtheitlicher Schutz (multilayered security) > don’t forget: USB-Stick, DVD-CD,

externes unsicheres WLAN, Papier-Shredder gegen Insiderwisen...

-Dokumentation > KnowHow-Transfer > Monitoring, Advanced Threat Protection / Analytics

-ICT Security Policy und Sensibilisierung als effektivste Prävention auf Seite Anwender

-Backup, Backup, Backup, Backup

-HealthCheck, Assessment, Tests, OnlinePrüfung, Security Score Board

Qualität - und darum auch Sicherheit - nimmt vom Stellenwert her zu > auch bei (K)MU

Zukunft? Cyber- und Digitalisierung-Souveränität und Resilienz > in verteilten / massive

interconnected Systemen, BIM > SmartCity > IoT > AI (dual use) > ATP > ATA > WaaS





Seit letztem halben Tag:

- Rund 1Mio neue Devices mit dem Internet verbunden …

- Rund 25’000 neue Malicious Codes / Varianten / Mutationen im Angriff

- Technologie ist am Ende… > Security by design / Advanced Threat Protection

& Faktor Mensch / Mitverantwortung

Im Jahr 2018 (statische Anteile, auch in Kombinationen):

- Cirka 50% finanziell motiviert

- Cirka 30% politisch, «hacktivistisch» oder sozial motiviert

- Cirka 25% Insider Threats und cirka 25% Firmenspionage

- Cirka 20% CyberWar auf Staats-/Regierungs-/Politik-Ebene

- Durchschnittliche Kosten einer CyberAttacke cirka 1Mio $

Stand der Technik

Security by design




https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-

cybersecurity-sensibilisierung-mehrschichtige-sicherheitsstrategie/

«multilayered Security Strategy» -> Intelligente, umfassende Orchestrierung und Kombination zugunsten «Angriffs- und Betriebs-Sicherheit»

«massive interconnected everything / clouds»

Regulation oder Industrie-Standards ? ->

Stand der Technik, Security by design

Beispiel DSGVO / GDPR: Seit Mai 2018 wurden den europäischen

Datenschutzbehörden fast 60'000 Verstösse gemeldet. Bussen wurden aber

noch keine 100 verhängt.

Root-DNS-Attacken 2018 -> DNSSEC, DDoS

Social Engineering, Sextortion, Ransomware, CxO-Frauds

Rise of DDoS-Attacks

Zeitalter von IoT, 5G, Smart Cities -> unpatched, DDoS

«Internet-Redesign» zu sicherem Internet, Security by design Webplattformen

Dual-Use Technologies > AI, ML, Botnets, Industry Hacks, Malicious Mining

Smart xyz

Connected xyz

https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-sensibilisierung-mehrschichtige-sicherheitsstrategie/

«multilayered Security Strategy»

Mensch, Prozesse und Maschine / AI / ML

= 99% Security > Rest im Riskmanagement

Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder

mittels nur einem System lösen, und es gibt keine

Universallösung für alle Sicherheitsprobleme in der Vision

von «Security automation». Die umfassende Verteidigung

mittels einer mehrschichtigen Sicherheit und Ausrichtung auf

«security automation» in der nötigen Tiefe und

Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe

zahlreicher Mechanismen und mehreren Schutzebenen das

Ausmass eines Angriffs und das Schadenspotenzial gedämpft

oder entschleunigt wird, der darauf abzielt, unberechtigten

Zugriff auf personen- oder firmensensitive Informationen zu

erlangen.



https://fridelonroad.wordpress.com/2019/01/16/digitalisierung-%c2%a6-cybersecurity-

sensibilisierung-mehrschichtige-sicherheitsstrategie/


Multilayered Sec

Cyber Resilienz


Angriffsvektoren -> Orchestrierung und Kombination auf der «dunklen Seite der Macht» führt zu sehr «dynamischen Bedrohungslage»

-Managed Security Services (MSS)

-Endpoint Protection > Identity Security

-Data Leak / Loss Prevention (DLP)

-Information Rights Management, Labeling (IRM)

-Advanced Threat Protection (ATP) -> Enterprise Class Technology

-Advanced Monitoring / anomaly detection gegenüber Baselines

-Kombination von Data Protection & Data Security

-Mailsecurity > Collaboration & Datenaustausch ohne unsicheres Mail

-Security Operation Center as a Services (SOCaaS), SIEM

-»Security automation» zugunsten «Angriff- und Betrieb-Sicherheit OT»

-ICT Security Policy / Weisungen für Mitarbeiter / Kennworttrennungen

-Multi Factor Authentication (MFA), Single Sign On (SSO)

-Conditional Access (CA) -> «reduce to the max» access & rights

-CyberSecurity Awareness / Training für Mitarbeiter / Security Hygiene

auch mit z.B. MELANI, digitale Mündigkeit / Maturität, Ethik

-Komplexere Angriffsvektoren und –Anatomien -> Dual Use / AI / ML

«multilayer Security Strategy» -> Security Maturity Model, ISO 27001

-BCM und Krisenmanagement im Rahmen des Risk-Management / ISMS





Angriffsvektoren

CyberWeapon Zero


Angriffsvektoren -> Orchestrierung und Kombination auf der «dunklen Seite der Macht» führt zu sehr «dynamischen Bedrohungslage»

-Managed Security Services (MSS)

-Endpoint Protection > Identity Security

-Data Leak / Loss Prevention (DLP)

-Information Rights Management, Labeling (IRM)

-Advanced Threat Protection (ATP) -> Enterprise Class Technology

-Advanced Monitoring / anomaly detection gegenüber Baselines

-Kombination von Data Protection & Data Security

-Mailsecurity > Collaboration & Datenaustausch ohne unsicheres Mail

-Security Operation Center as a Services (SOCaaS), SIEM

-»Security automation» zugunsten «Angriff- und Betrieb-Sicherheit OT»

-ICT Security Policy / Weisungen für Mitarbeiter / Kennworttrennungen

-Multi Factor Authentication (MFA), Single Sign On (SSO)

-Conditional Access (CA) -> «reduce to the max» access & rights

-CyberSecurity Awareness / Training für Mitarbeiter / Security Hygiene

auch mit z.B. MELANI, digitale Mündigkeit / Maturität, Ethik

-Komplexere Angriffsvektoren und –Anatomien -> Dual Use / AI / ML

«multilayer Security Strategy» -> Security Maturity Model, ISO 27001

-BCM und Krisenmanagement im Rahmen des Risk-Management / ISMS





OSI Layer

Mehrschichten


Data Breaches schon lange auch in der Schweiz angekommen -> Mehrschichtige, orchestrierte Gegenmassnahmen noch lange nicht …

-Beispiele Databreaches / Social Engineering / Disinformation / Fake

-Hochkomplexe Anatomie einer CyberAttacke -> MSS / SOCaaS

-Top 10 Gegenmassnahmen -> z.B. Backup, Klassifizierung, MFA, CA,

Kennworttrennung / PW-Tresor, Monitoring, Mobile Security MDM /

MAM / ATP, APP Store Security, UNLearning Dogma Kennwortdesign

-Frameworks, Methoden, Industrie Standards, Risk Mgt., ISO27001

-Regulationen, Strategie > NCS1 / NCS2 / EU-GDPR / CH-DSG > BDSV

-best practices -> z.B. Datenschutzfolgenabschätzungen, DPO, DNSSEC

-Stand der Technik -> by design / by default / Orchestrierung / Monitor

-Security by design / security by default / Auditing / ISMS / Zero Trust

-Secure Coding, Open Source, Code Offenlegung, Ethics

-Multi Cloud Provider Services und Outsourcing-Vertragsmanagement




cybersecurity-sensibilisierung-festtage-fuer-cybercrime-trotz-

weihnachten/

Massnahmen

Frameworks

https://fridelonroad.wordpress.com/2018/11/28/digitalisierung-%c2%a6-cybersecurity-sensibilisierung-festtage-fuer-cybercrime-trotz-weihnachten/

Data Breaches schon lange auch in der Schweiz angekommen -> Mehrschichtige, orchestrierte Gegenmassnahmen noch lange nicht …

CyberSecurity-Digitalisierung Awareness Cyber Kill Chain

Anatomie

CyberSecurity-Digitalisierung AwarenessCyber Souveränität > Resilienz > Sensibilisierung > UN-learning

> Bildung > Datenschutz > Persönlichkeitsrechte > digitale Mündigkeit

> Mitgestaltung > Mitbestimmung > (Teil)Kontrolle > Transparenz > Vertrauen

Attackers

Anatomie




cybersecurity-sensibilisierung-mehrschichtige-sicherheitsstrategie/


«multilayered Security Strategy»

Mensch, Prozesse und Maschine / AI / ML

= 99% Security > Rest im Riskmanagement

Die Sicherheitsfrage lässt sich nicht auf Knopfdruck oder

mittels nur einem System lösen, und es gibt keine

Universallösung für alle Sicherheitsprobleme in der Vision

von «Security automation». Die umfassende Verteidigung

mittels einer mehrschichtigen Sicherheit und Ausrichtung auf

«security automation» in der nötigen Tiefe und

Ganzheitlichkeit ist jedoch eine Strategie, bei der mithilfe

zahlreicher Mechanismen und mehreren Schutzebenen das

Ausmass eines Angriffs und das Schadenspotenzial gedämpft

oder entschleunigt wird, der darauf abzielt, unberechtigten

Zugriff auf personen- oder firmensensitive Informationen zu

erlangen.

Orchestrierung

(Un)Sec aus Cloud


CyberSecurity-Digitalisierung AwarenessUN-learning… «Platz für neue

Paradigmen…» Cyber Souveränität > Resilienz > Sensibilisierung > UN-learning

> Bildung > Datenschutz > Persönlichkeitsrechte > digitale Mündigkeit

> Mitgestaltung > Mitbestimmung > (Teil)Kontrolle > Transparenz > Vertrauen

(aber Zero Trust …)

https://www.youtube.com/watch?v=pzirMJPoOH0

Reality Check

“let’s face it” …

Wünsche Ihnen

guten Schlaf!

Und Vertrauen!

https://www.youtube.com/watch?v=pzirMJPoOH0

CyberSecurity-Digitalisierung Awareness Guten Schlaf! Trust!

https://www.google.ch/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiG-sSmx-jWAhUFCcAKHRkDDYMQjRwIBw&url=https%3A%2F%2Fwww.stickman.com.au%2Fservices%2Ftransformation%2Fnist-cyber-security-framework%2F&psig=AOvVaw09P8gVdpD9a22z6Wvv3Q8_&ust=1507810854458002

Themen

Next?AboutCyberSecurity

Digitalisierung

Awareness

Fragen?

[email protected]

Fridel Rickenbacher ist ein Schweizer Unternehmer mit Erfahrung als co-founder, Verwaltungsrat, Geschäftsführer, Projektleiter, Auditor und Senior Consultant für auch CyberSecurity- und Datenschutz-Themen (wie DSGVO), mit abgeschlossenen Ausbildungen und diversen Zertifizierungen für Wirtschaftsinformatik, Cloudlösungen, ICT-Coaching, ICT-Engineering, ICT-Auditing, Digitalisierung und Cybersecurity, unteranderem an der Fachhochschule HSLU Luzern und bei Microsoft.Auf seinem ersten Bildungsweg war er tätig in der Bauindustrie bei unterschiedlichen Ingenieurbüro, Architekturbüro, Totalunternehmen und bildete sich aus und weiter als Bauzeichner, Bauleiter, Projektleiter, Immobilien an der Fachhochschule HSLU Luzern und HWZ Baar. Des Weiteren ist er Mitglied und Projektleiter bei diversen Branchen- und Fachverbänden (z.B. auch bauen-digital.ch (Projektleiter «Security & ICT Architektur Framework in BIM») oder 15 Jahre beim SIA.ch in der Informatik Kommission) als „Verbands-Aktivist“ engagiert und tätig in diversen Redaktionen auf seiner wissens- und impuls-vermittelnden Mission "sh@re toevolve". Als Aktionär und Akteur bei z.B. BuildUP AG Schweiz ist er auch monetär überzeugt engagiert.In Gesetzesvernehmlassungen arbeitet er via den Verbänden mit und war aktiv bei z.B. CH-DSG in Anlehnung an DSGVO / GDPR und EPDG.Als Akteur bei «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS)» bringt er sich zudem ein auf Bundesebene bei Workshops, Vernehmlassungen und Inhalten.Seine Impulsartikel und Interviews mit interessanten Menschen und Influencern rund um die Digitalisierung, CyberSecurity, ICT-Fachthemen werden in diversen Print- und Online-Medien publiziert und referenziert.

https://fridelonroad.wordpress.com/

mailto:[email protected]

https://fridelonroad.wordpress.com/

Präsi - Konzept - PoC...Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder...

Documents

Transcript of Präsi - Konzept - PoC...Ausmass eines Angriffs und das Schadenspotenzial gedämpft oder...