NSA, GCHQ, BND? Wie schützt man Betriebsgeheimnisse? Sicherer Zugang im LAN und Mobil? - Kann man die derzeitige Situation noch ignorieren und ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NSA, GCHQ, BND? Wie schützt man
Betriebsgeheimnisse?
Sicherer Zugang im LAN und Mobil?
Kann man die derzeitige Situation noch ignorieren
und welchen Gefahren setzt man sich aus, wenn
man es tut?
Köln, 04. Dezember 2013
Agenda
▪ Wer sind wir?
▪ Einfallstore
▪ Status der Situation
▪ Schlußfolgerungen
2/34 XCOM AG ©
Wer sind wir?
Gegründet 1988
IT-Dienstleister für Banken,
Finanzdienstleister und den Mittelstand
Umsatz 2012: ca. 28 Mio. EUR
Ca. 220 Mitarbeiter an 7 Standorten
Der IT-Dienstleister Hauptsitz in Willich
Aufnahme des Geschäftsbetriebs: 01.12.2005
Hochtechnisierte Vollbank
ca. 150.000 Kunden mit ca. 193.000 Konten
95 Mitarbeiter
Deutschlandweit tätig
Die Bank Hauptsitz in Willich bei Düsseldorf
Weitere Standorte in Frankfurt, Andernach,
Zwickau und in Wien
3/34 XCOM AG ©
Einfallstore
Protokolle, Einfallstor (und es gibt mehrere)
für Hacker!
▪ Protokolle müssen auf allen Ebenen der Hard- und
Software „implementiert“ - also in Software
programmiert oder in Hardwarechips codiert – werden
5/34 XCOM AG ©
Weitere Einfallstore
▪ Betriebssysteme
▪ Treiber
▪ Anwendungen selber
▪ Webseiten
▪ etc.
6/34 XCOM AG ©
Fantasie ? Eher nicht !
▪ http://2600.org/
▪ http://www.binrev.com/forums/
▪ http://packetstormsecurity.com/
▪ http://freeworld.thc.org/
▪ http://phrack.org/
▪ http://www.exploit-db.com/
▪ http://pentest101.blogspot.de/
▪ http://cxsecurity.com/exploit/
▪ http://www.securityfocus.com/
▪ http://www.s3cur1ty.de/
▪ http://www.metasploit.com/
▪ http://ftp4.de.freesbie.org/pub/misc/www.rootshell.com/
▪ http://www.oxid.it/cain.html
▪ http://www.md5crack.com/
▪ ...
7/34 XCOM AG ©Man kann sich dem Thema auch ernsthaft nähern
Hacking: Die Kunst des Exploits
Originaltitel: HACKING: The Art of Exploitation, 2nd Edition
Broschiert: 518 Seiten
Verlag: dpunkt Verlag;
Auflage: Deutsche Ausgabe der 2. amerik. Aufl. (1. September 2008)
Sprache: Deutsch
ISBN-10: 3898645363
ISBN-13: 978-3898645362
8/34 XCOM AG ©Status der Situation und Schlußfolgerungen
Gibt es Überwachung? 10/34 XCOM AG ©
Was hat sich die letzten 18 Monate
geändert? (1)
▪ Rechtswidriger Ankauf von Steuer-CDs durch
Steuerbehörden der BRD auf Bestellung
▪ Die Bundesrepublik Deutschland hat Bankmitarbeiter in der Schweiz
dazu angestiftet, gegen Geld Kundendaten auf CDs zu brennen und
nach Deutschland zu schaffen, z. B.
▫ http://www.sueddeutsche.de/geld/steuerhinterziehung-
schaeuble-wendet-sich-gegen-kauf-von-daten-cd-1.1413322
▫ http://www.spiegel.de/wirtschaft/soziales/schweiz-bankdaten-
dieb-wird-zu-drei-jahren-gefaengnis-verurteilt-a-918001.html
Faktisch stiftet Deutschland damit zum Bruch diverser nationaler Gesetze an,
damit ein Dieb Diebesware an Deutschland verkauft.
▪ BND soll Zugriff auf kompletten Internetverkehr in
Deutschland haben (Spiegel online 13.11.2013)
▪ http://www.spiegel.de/netzwelt/netzpolitik/bnd-soll-sich-zugriff-auf-
internetverkehr-verschafft-haben-a-933333.html
11/34 XCOM AG ©Was hat sich die letzten 18 Monate
geändert? (2)
▪ Bekanntwerden, dass große Nationen mit ihren
Geheimdiensten gezielt alle verfügbaren Informationen
„abgreifen“
Quelle: www.dailytitan.de
12/34 XCOM AG ©Was hat sich die letzten 18 Monate
geändert? (3)
▪ ALLE (!) Geheimdienste greifen auf verfügbaren
Informationen zu
▪ Interstaatlichen Vereinbarungen wie z. B. dem Abhören des
SWIFT-Netzes interessieren keinen mehr, obwohl es
Vereinbarungen zu geordneten Zugriff auf diese Daten gibt
http://www.heise.de/newsticker/meldung/NSA-ueberwacht-internationalen-
Zahlungsverkehr-1956710.html
▪ auch vor der UN macht die NSA nicht halt
http://www.spiegel.de/politik/ausland/nsa-hoerte-zentrale-der-vereinte-
nationen-in-new-york-ab-a-918421.html
▪ der BND arbeitet intensiv mit der NSA zusammen
http://www.spiegel.de/netzwelt/netzpolitik/geheimdienste-bnd-leitet-seit-
2007-daten-an-die-nsa-weiter-a-915589.html
▪ Aktive Wirtschaftsspionage durch Hacker
http://www.spiegel.de/spiegel/print/d-105648238.html
13/34 XCOM AG ©Welche Bedrohungslage entsteht damit für
Unternehmen und deren Geschäftsleiter? (1)
▪ Während in der Vergangenheit der Fokus auf der Abwehr
„privater“ Hacker lag, müssen Unternehmen und ihre
Geschäftsleiter heute von einem, über unbeschränkte IT-
Mittel verfügendem Angreifer ausgehen:
staatliche Geheimdienste, die sich im Zweifelsfall mit
Geheimanweisungen Zugang zu jeder im Internet oder sonstigen
Netzen ausgetauschter Information beschaffen
http://www.heise.de/security/artikel/Todesurteil-fuer-
Verschluesselung-in-den-USA-1972561.html
▪ Weggefallenes rechtsstaatliches Verständnis, solche
Informationen nicht gegen die eigenen Bürger zu verwenden
Nutzung von abgefangenen Informationen – ggfs. aus dem
Kontext herausgerissen – im Zusammenhang mit
Steuern Vertragsauslegungen
Insidergeschäften Korruptionsvorwürfen
Umweltauflagen etc.
Arbeitsrecht
14/34 XCOM AG ©Welche Bedrohungslage entsteht damit für
Unternehmen und deren Geschäftsleiter? (2)
▪ Beispiel: Gesetz zur Abschirmung von Risiken und zur Sanierung und
Abwicklung von Banken
▪ „Sanktionen bei mangelhaftem Risikomanagement“
Artikel 3 und 4, die ab dem 2. Januar 2014 gelten werden, regeln
zudem die Pflichten der Geschäftsleiter von Kredit- und
Finanzdienstleistungsinstituten sowie Versicherungsunternehmen im
Risikomanagement. Diese müssen sicherstellen, dass die
gesetzlichen Vorgaben dazu eingehalten werden. Das Gesetz schafft
die Möglichkeit, Geschäftsleiter bei Pflichtverletzungen im
Risikomanagement, die zu einer ökonomisch sehr angespannten
Situation der Bank beitragen, strafrechtlich zu belangen.“
▪ Und dann ganz genau im ab 2. Jan. 2014 gültigen KWG:
▪ „ §54a Strafvorschriften“
(1) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird
bestraft, wer …
(2) Wer in den Fällen des Absatzes 1 die Gefahr fahrlässig herbeiführt,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
bestraft.
Es ist davon auszugehen, dass ähnliche Vorschriften auf kurz oder
lang für börsennotierte Gesellschaften erlassen werden
15/34 XCOM AG ©Wie macht die NSA (und ihre „Brüder“
GCHQ, BND, etc.) das eigentlich? (1)
▪ Mitschreiben aller Daten an den Austauschknoten der
Internetprovider
▪ Mitschreiben aller Daten direkt in der Infrastruktur der
Internetprovider für den Verkehr, der von einem Kunden
eines Providers zu einem anderen geht und damit nicht über
den Austauschknoten läuft
16/34 XCOM AG ©Wie macht die NSA (und ihre „Brüder“
GCHQ, BND, etc.) das eigentlich? (2)
▪ gezieltes Angreifen von einzelnen Arbeitsplätzen durch
Trojaner („Bundestrojaner“), siehe z. B.
http://de.wikipedia.org/wiki/Online-
Durchsuchung_%28Deutschland%29
▪ gezieltes Angreifen der Infrastruktur einzelner
Unternehmen von aussen, z. B. durch die „Tailored
Access Operations“ (TAO) der NSA
https://netzpolitik.org/2013/nsa-tailored-access-operations-
neue-einblicke-in-die-hacker-einheit/
▪ sicherlich bei Bedarf auch die Bestechung von
Mitarbeitern („social engineering“) und das Einbringen
geeigneter Abhörhardware in die Netzinfrastruktur von
Unternehmen
17/34 XCOM AG ©Wie geht man als Geschäftsleiter mit dieser
Situation systematisch um? (1)
▪ Identifikation des Bedrohungspotentials im Rahmen einer
Gefahrenanalyse
▪ Aufbauend auf der Beantwortung der Frage:
Was kann mir schaden – und wie?
▪ Wettbewerb – Verlust von Betriebsgeheimnissen
▪ persönliche Haftung aus unterstellter Pflichtverletzung
▪ Finanzamt
▪ Aufsichtsbehörden
▪ Mitarbeiter
▪ Betriebsrat
▪ Ehefrauen
▪ Sekretärin
18/34 XCOM AG ©Wie geht man als Geschäftsleiter mit dieser
Situation systematisch um? (2)
▪ Identifikation der relevanten Systeme bzw.
Anwendungen (für alle Firmen geltend)
▪ Kommunikation im lokalen Netzwerk
▪ Mail
▪ im geringerem Umfang: Kalender
▪ Telefonate (Festnetz, VoIP, Mobil)
▪ Buchhaltung und gescannte,
buchhaltungsrelevante Dokumente
▪ Fileserver mit Firmendokumenten
(Angebote, Zeichnungen, etc.)
▪ Archivsystem
▪ Drucker
▪ externe Speicherplätze („Cloud“)
▪ firmenspezifische Anwendungen, die
Firmengeheimnisse beinhalten
19/34 XCOM AG ©Üblicher, aktueller Stand der Systeme
▪ Mail in der Regel intern wie extern
unverschlüsselt
▪ Telefonate: in der Regel
unverschlüsselt (aber vermutlich
in der Praxis bei weitem nicht so
relevant wie die übrigen
Anwendungen)
▪ Buchhaltung und
buchhaltungsrelevante
Dokumente: unverschlüsselt
▪ Fileserver: unverschlüsselt
▪ Kommunikation im Netzwerk:
unverschlüsselt
▪ Druckaufträge an Drucker:
unverschlüsselt
▪ Archiv und Clouds: hoffentlich
schon verschlüsselt
▪ Umgang mit Firmendokumenten
auf USB-Sticks, privaten Mail-
Accounts, etc. sorglos
20/34 XCOM AG ©Notwendiger Ansatz (1)
▪ Physikalischer Zugriffsschutz auf
alle relevanten Komponenten den
Firmennetzwerks
▪ Regelmäßige Prüfung der Integrität
des physikalischen
Zugriffsschutzes.
▪ Angemessene Rechtevergabe auf
alle Dienste und Daten.
▪ Verschlüsselung aller
Kommunikation zwischen allen
Clients (PCs, Tablet, Smartphones,
etc.) und den jeweiligen Servern
▪ Verschlüsselung aller remote-
Zugriffe („VPN“)
▪ Verwendung von „self-encrypting
HDD's“ in Servern und PCs
▪ bei wirklich sicherheitsrelevanten
Daten: Ende-zu-Ende-
Verschlüsselung der Information, z.
B. verschlüsselte Mail von
Geschäftsleiter zu Geschäftsleiter
▪ derzeit offene Flanke: Smartphones
und Tablets
21/34 XCOM AG ©Notwendiger Ansatz (2)
▪ Organisatorische Maßnahmen
▪ Bewusstsein schaffen
▪ Schulung der Mitarbeiter
▪ Auf auffälliges Verhalten achten, manuell oder
automatisiert
▪ Leistungsfähige Firewall, Virenscanner, Intrusion
Detection System etc.
22/34 XCOM AG ©Notwendiger Ansatz (3)
▪ Verschlüsselung, basierend auf „username“ und „Password“,
direkt am Rechner oder Smartphone / Tablet ist ungeeignet
▪ Trojaner ermöglichen das „Abhören“ des Passwortes und
▪ das Kopieren der Schlüsseldatei
▪ Folge:
▪ unbemerktes Mitlesen
▪ unbemerktes Versenden
▪ FAZIT:
▪ Nutzung entsprechend zertifizierter Hardware notwendig
23/34 XCOM AG ©Was bedeutet das?
▪ Aufbau eine Public Key Infrastructure, bestehend aus
Certified Authority, Verzeichnisdiensten und Statusabfragen
für Zertifikate
▪ Verwendung einer Verschlüsselung basierend auf
asymmetrischen Methoden. (Stichwort: X.509-Zertifikate)
CA: certification authority (Quelle: Wikipedia)
RA: registration authority
VA: Validation authority
24/34 XCOM AG ©Das große Scheunentor, das alle ignorieren:
Mail außerhalb des Firmennetzes! (1)
▪ Der Mailstandard heißt „MIME“ („Multipurpose Internet Mail Extension“) – und
ist unverschlüsselt.
▪ Ausnahme: zwei Benutzer haben eine Ende-zu-Ende-Verschlüsselung
vereinbart. Dann wird „unverschlüsselt“ etwas am Client bereits
verschlüsseltes transportiert.
▪ Konsequenz ist, dass wirklich relevante Informationen - wie z. B. Angebote,
die den Wettbewerb gar nichts angehen – unverschlüsselt zu Kunden geschickt
werden.
▪ Damit sind sie für jeden, der die Kommunikation lesen kann, im Klartext
verfügbar.
25/34 XCOM AG ©Das große Scheunentor, das alle ignorieren:
Mail außerhalb des Firmennetzes! (2)
▪ E-Mail bietet sehr wohl einen Standard, der eine verschlüsselten Austausch
zwischen Mailservern erlaubt („S/MIME“).
▪ Dafür müssen jedoch beide Parteien zuverlässige Zertifikate haben, sicher
austauschen und den Mailserver entsprechend konfigurieren.
▪ Da weder zuverlässige Zertifikate in der Fläche verfügbar sind noch die
Konfiguration der Mailserver so einfach ist, entwickelt XCOM eine Box, die vor
den Mailserver gestellt wird und dann eine verschlüsselte Kommunikation mit
Geschäftspartnern erlaubt, die sich auch eine solche Box hinstellen.
(„CryptoMailbox“)
▪ XCOM wird dies auch für den Privatbereich tun. („Volksbox“).
verschlüsseln / entschlüsseln
und
signieren / verifizieren
26/34 XCOM AG ©Bring your own Device – oder das Ende der
Sicherheit – und das nächste Scheunentor!
(Quelle: www.techcrates.com)
27/34 XCOM AG ©Cloud-Dienste?
Das kann doch nicht ihr Ernst sein!
(Quelle: www.docusnap.com)
28/34 XCOM AG ©Und nun?
Was haben wir bisher getan?
Nutzung von Smartcards
(eigene Produktion)
Systemverschlüsselung Eigenes zentrales
Berechtigungsmanagement (CA)
Zutrittsberechtigungen RZ
E-Mail-Verschlüsselung über
S/MIME
Verschlüsselte Backup Daten
Single Sign On
Verfügbarkeit
Kommunikation über SSL
Zertifikate durch eigene PKI Vertraulichkeit Sichere Anbindung
Unversehrtheit Mobile Devices per VPN
Nutzung Heimdal Kerberos Authentizität
Client-Implementierung für
und OpenLDAP (AD-kompatibel) LINUX, MacOS und Windows
2-Faktor-Authentifizierung mit
VPN-Zutritt mit Smartcard
Smartcard und PIN-Pad
30/34 XCOM AG ©Was wollen wir noch machen?
▪ Einsatz von self-encrypting Disks an allen
Arbeitsplätzen und Servern, die nur mit der Smartcard
freigeschaltet werden können
▪ Durchgängige Verschlüsselung aller Verbindungen zu
Servern
▪ Umstellung der remote-Zugriffe auf Smartcard-
Absicherung
▪ Verschlüsselung der Kommunikation mit den Druckern
▪ Verschlüsselung der Mails mit allen Geschäftspartnern
31/34 XCOM AG ©Schlechte Nachrichten, gute Nachrichten
▪ Schlechte Nachricht: Bei gesundem Verstand kann kein
Geschäftsleiter aufgrund der persönlichen Gefährdung
und der Gefährdung für sein Unternehmens NICHT
nichts tun.
▪ Gute Nachricht: Auch wenn man sich nicht gegen einen
ernsthaften Angriff eines Geheimdienstes garantiert
schützen kann, kann man sicherstellen, dass man kein
„Beifang“ wird. Und nebenher kommt man seiner
Pflicht nach, die Firmengeheimnisse ordentlich zu
schützen.
▪ Gute Nachricht: Unter Einsatz frei verfügbarer Technik
– oder gar welcher, die im wesentlichen schon
vorhanden sein dürfte – lässt sich ein hohes Maß von
Sicherheit herstellen.
▪ Schlechte Nachricht: Das kostet Geld und
Bequemlichkeit. Aber es ist billiger als jeder
anzunehmende Schaden.
32/34 XCOM AG ©Jetzt Handlungsbedarf?
Wir bieten an:
▪ Gefahrenanalyse
▪ Konzeption einer angemessenen
Sicherheitsgesamtlösung
▪ Implementierung oder Unterstützung bei der
Implementierung
▪ ggfs. Betrieb – unter den Rahmenbedingungen
einer Bank
33/34 XCOM AG ©Vielen Dank für Ihre Aufmerksamkeit!
Dipl. Kfm.
Christof Roßbroich
Prokurist
Bereichsleiter Marketing & Vertrieb
T +49 2154 9209 9756
M +49 163 5742048
F +49 2154 9209 9755
christof.rossbroich@xcom.de
Bahnstraße 37
47877 Willich
www.xcom.de
34/34 XCOM AG ©Sie können auch lesen
