Cybersecurity wird in allen Bereichen ein Thema - und es gewinnt mit Big Data, Factory 4.0, Internet of Things und der Digitalisierung von Geschäftsmodellen an Bedeutung. Für CIO und Aufsichtsräte gleichermaßen;
Was ist zu tun?
Cybersecurity & It Sicherheit 2020 was kommt auf uns zu?
1. IT Sicherheit 2020 was
kommt auf uns zu?
Düsseldorf, 18. Februar 2015
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 1
2. Über …
Beruflicher Werdegang
• Internal Audit Director, IT Auditor und Certified
Fraud Auditor mit 12 Jahren Erfahrung
• CIO, IT Manager seit 13 Jahren
Arbeitsschwerpunkte
• IT Management permanent und interimistisch
(Führung, Restrukturierung, Transformation,
Kostensenkung)
• Projektmanagement
• Management der Digitalen Transformation
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 2
3. Die Bedrohungslage & Wer bedroht uns?
•Staaten
•Hackaktivisten
•Insider
•Organisierte Kriminalität
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 3
4. Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Schaden bei Störung der Infrastrukturen (WAN) ist erheblich. Lobbyarbeit für IT Sicherheit.
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 4
5. Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Brandgefährlich in High-Tech Sektor oder bei Auslandsproduktion in politischen Märkten (China,
RUS, …)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 5
6. Die Bedrohungslage - Staaten
Ziele
• Machtdemonstration
• Erkenntnisse für Politik und
Wirtschaft
• Cyberwar
Für die Privatwirtschaft brandgefährlich (Datenlecks oder Lahmlegen einer Volkswirtschaft)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 6
7. Die Bedrohungslage - Hackaktivisten
Ziele
• Machtdemonstration
• Aufdecken von Sicherheits-
problemen
Für die Privatwirtschaft nur gefährlich, wenn Unternehmen negativer Gegenstand des öffentlichen
Interesses ist oder wird
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 7
8. Die Bedrohungslage - Insider
Ziele
• Geld verdienen („Der Deutsche der aus der Kälte kam“)
• Geltungsdrang und Rache
• Nachlässigkeit in Führung und Coding
Hat jedes Projekt / jeder Change einen Testpunkt Sicherheit?
Wird das nach dem 4-Augen-Prinzip geprüft? Haben Sie relevante Mitarbeiter sensibilisiert?
//
Zwei „/“ machen den
Unterschied!!!
//
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 8
9. Organisierte Kriminalität –
Big Data mit personenbezogenen Daten
Für die Privatwirtschaft gefährlich, wenn Daten zur Erpressung erlangt und ggf. publiziert
werden – das kann Ihr Geschäftsmodell zerstören
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 9
10. Organisierte Kriminalität – Smartfactory
Smart Factory – offen und vernetztZiele
• Verzögerung der Produktion
• Zerstören von Anlagen (Chemie!)
• Ausspähen von Wissen
• Produktion mit schlechten
Qualitäten (Substandard)
Für die Privatwirtschaft brandgefährlich, weil häufig noch vernachlässigtes Feld der Sicherheit.
Beispiele: kein Virenschutz, Netz nicht separiert, offene Standards und Schnittstellen (physisch!)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 10
11. Organisierte Kriminalität ….
Stuxnet war intelligent – Regin ist heimtückisch
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 11
12. Organisierte Kriminalität ….
Wenn Ihr führerloses Fahrzeug wendet und direkt in die Garage der Diebe fährt … ODER
Licht aus! Wirlpool an …!
Thomas Klüppel | +49 163.7187544 |
thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst
12
13. Herausforderungen 2020 - 4 Thesen
1. Die unheilige Allianz aus rasant zunehmenden neuen Technologien,
Bedrohungen und stagnierenden IT Budgets
2. Traditionelle Control-Frameworks versagen
3. Risiken wachsen schneller als die Fähigkeiten der meisten IT
Abteilungen
4. IT Sicherheit ist Chefsache auf C-Level und wird zum
Aufsichtsratsthema
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 13
14. Die unheilige Allianz aus rasant zunehmenden neuen Technologien,
Bedrohungen und stagnierenden IT Budgets
Cloud und Virtualisierung
Big Data – Daten als Asset
Digitalisierung – Aufbrechen der
Unternehmensgrenzen „API“
Mobility und Social Media
Innovation vor Sicherheit
IT Budgets wachsen seit 2009
um durchschnittlich 1,2%
Häufig gibt es kein separates
Budget für Sicherheit
Cyberattacken nehmen
sprunghaft zu
Quelle CSC 14
15. Traditionelle Control-Frameworks versagen
IT war bis zur Internet Economy hinter
der Firewall
Die Welt ist größer geworden, die
Unternehmen mussten sich öffnen …
Quelle Accenture
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 15
16. Risiken wachsen schneller als die Fähigkeiten der meisten IT
Abteilungen
Cloud und Virtualisierung
• Cloud
• ist preiswert, schnell und flexibel
• Sicherheit findet „draußen“ beim
Provider statt oder bei dessen
Zulieferern
• Sicher, dass kein Datendieb zugreift?
(„class break“)?
• Virtualisierung
• Flexibel, Freeze und Recovery sind
schnell
• Architektur ist fließend, sicher, dass
Sicherheit berücksichtigt wird?
Big Data
• Daten werden zur Umsatzquelle
• Schönes Angriffsziel um
konzentriert an Daten zu kommen
• Vielleicht reicht auch der
Screenshot der Auswertung …
• Innovation vor Security (Beispiel
File Share Hadoop Cluster in der
Cloud, Zugriff über Konsolen
braucht exzessive Rechte auf dem
Client
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 16
17. Risiken wachsen schneller als die Fähigkeiten der meisten IT
Abteilungen
Digitalisierung
• Digitalisierung bedeutet
• Öffnung relativ sicherer Systeme
• Aufbrechen sicherer Architekturen in
Services
• Hohe Innovationsgeschwindigkeit mit
Risiko der Instabilität
• API nach außen und orchestrierte
Services mit schnellen Deployments
sind ein Paradies für Kriminelle
• Komplexe Sicherheitsmechanismen
sind öffentlich (oAuth, Tokens, …)
„Once compromised the whole
world will be infected ..“
Mobility und Social Media
• Mobility
• ist wunderbar produktiv
• Daten verlassen das Haus
• Einfallstor für Kriminelle
• Ein Smartphone verliert man schnell …
oder verkauft es mit vollen Rechten
• Social Media
• Die Preisgabe von Wissen und
Verbreitung von Schäden par Exzellence
• Wer darauf verzichtet riskiert, dass die
„Digital natives“ ein öffentliches Tool
oder einen Dienst in der Public Cloud
nutzen
Gen. K. Alexander, US Cyber Command
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 17
18. Risiken wachsen schneller als die Fähigkeiten der meisten IT
Abteilungen
Innovation vor Sicherheit
• Webtechnologien (Java, HTML, Frameworks) wurden nicht unter
Sicherheitsaspekten entwickelt) NERD-Stuff
• IT-Abteilungen stehen unter Druck zu liefern. Projektinflation.
• Traditionelle Projekte enthalten fast nie ein Abnahmekriterium
„Sicherheit“
• Agilere Methoden
• Scrum
• Continuous Deployment ….
erst recht nicht!
Ein Sicherheitscheck in einem
gut geführten Unternehmen ergibt
häufig über 1.200 Findings im Netzwerk
und 500 in Webtechnologien und SAP …
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 18
19. IT Sicherheit ist Chefsache auf C-Level und für Aufsichtsräte
• Die Digitalisierung der Wirtschaft schreitet voran
• Digitale Wirtschaft macht IT von der Serviceorganisation zum
Produktionsfaktor
• Cyberthreats nehmen zu und können verheerende Wirkung haben für
die Produktion und den Ruf des Unternehmens
• Aufsichtsräte werden IT affiner und daher verstärkt Fragen stellen
(Wie sicher ist eigentlich ….) und Aussagen zur Sicherheit hinterfragen
• Der C-Level muss dann auskunftsfähig sein.
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 19
20. One last thing …
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 20
21. Cyberthreats
Was müssen wir tun?
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 21
22. Die Herausforderungen sind komplex …
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 22
23. IT Sicherheit ist Chefsache auf C-Level und wird zum
Aufsichtsratsthema
• Sicherheit ist Chefsache, weil Cyberthreats zu große Folgen haben können
• Größere Organisationen brauchen einen CISO (Corprate Information
Security Officer), der auf Augenhöhe mit IT und den Innovatoren
kommuniziert
• IT Sicherheit wird nicht nur ein Thema sein, „wenn der Laden steht“ oder es
um das Budget geht
• Der Aufsichtsrat beschäftigt sich künftig proaktiv mit IT Themen
• In der Digital Economy werden IT Performance und Sicherheit ein stetes
Thema für die Führungs- und Aufsichtsgremien sein –periodisch wie
klassische Produktionsdaten heute
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 23
24. IT Sicherheit muss systematisch und proaktiv betrieben werden
Ergebnis
Security Heatmap
Ergebnis
Security Roadmap
Ergebnis
Security Operating
Ergebnis
Continuous
Improvement
IDENTIFY PROTECT DETECT RESPOND RECOVER
Germany Organisation
Governance
Policies
Technologien
Factory
Kundendaten
Server
Netzwerke
Access Control
Testproced.
Menschen
Awareness
Schulungen
Selektion
Kontrollen
MAY JUN JUL AUG SEP
Germany Organisation
Governance
Policies
Technologien
Factory
Kundendaten
Server
Netzwerke
Access Control
Testproced.
Menschen
Awareness
Schulungen
Selektion
Kontrollen
0
10
Risikoorientiert
Business Prozess
bezogen
Business Impact
bezogen
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 24
25. IT Sicherheit braucht Prinzipien
• Die üblichen Normen (ISO = Ist Schon Obsolet) und Frameworks helfen häufig „nur“ zum
Nachweis der Compliance (Beispielhaft MA Risk für Banken, ISO 27001)
• Traditionelle Policies und Procedures folgen der irrationalen Phantasie der
Vorhersehbarkeit und Stabilität
• Ergänzt werden müssen sie durch ein Set von „GUIDING PRINCIPLES“, die
• Flexibles Eingehen auf neue Technologien und Bedrohungslagen ermöglichen
• den Mitarbeitern im Tagesgeschäft sofort präsent und anwendbar sind.
• Effektive Kontrollen, die gut eingeführt und durchführbar sind:
• Reality Check mit Key-usern und IT Staff – nicht nur Management
• Externe (Kunden, Lieferanten und Infrastruktur Provider) müssen einbezogen werden
• Benutzer müssen Gelegenheit haben die Kontrollen selbst durchzuführen, z.B.
• Built in in Code Review (Scrum, …) und Test bzw. Abnahmekriterien für Projekte
• Prozesse zur kontinuierlichen Verbesserung (Verhalten, Technologie) von Kontrollen, z.B.
• Klassisches KVP präventiv und
• ITIL für Incidents (Analyze, Repaire, Detect, Prevent)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 25
26. IT Sicherheit – Exkurs: wie handelt man bei akuten Bedrohungen?
Das Bundeskriminalamt (BKA) hat folgendes GUIDING PRINCIPLE
- Ein definierter Kreis (zuständige Führungskraft und Experten) trifft sich
sofort zum stand-up Meeting
- Der Kreis wird durch den zusammengerufen, der die Lage erkannt hat
- Bezogen auf die Lage werden ggf. weitere Experten hinzugezogen
- Sofortmaßnahmen werden eingeleitet
- Der weitere Kommunikationsweg, z.B: Warnungen an Mitbetroffene und
hierarchische Eskalation wird festgelegt bis hin zur Formulierung
Beispiel: Der Vertriebsinnendienst hat es gern, wenn er vor den
Kundenbeschwerden weiß, dass die On-line Services unter einer DoS Attacke
zusammengebrochen sind …
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 26
27. IT Sicherheit braucht Managementsysteme
• Sicherheitsrelevante Daten, Ereignisse und Logs müssen zugänglich sein in
einer Datenbank
• Die Auswertung erfolgt durch „real-time analytics“
• Auswertungen stehen per Dashboard den Administratoren zur Verfügung
• Die Systeme werden laufend verbessert (bspw. selbstlernende Systeme –
die Algorithmen gibt es heute schon in Microsoft Azure)
• Das Management (CIO, CISO, Internal Audit) erhält daraus Alerts und ein
Exception Reporting
• Ad-hoc Analysen als drill-down sind im Verdachtsfall möglich (Beispiel: IP-
Adressen aus dem Vertrieb laden ungewöhnlich umfangreiche
Konditionsdaten)
• Mobile Device Management (Verschlüsselung, Remote Admin,
Selbstlöschung im Verlustfall)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 27
28. IT Sicherheit nur selektiv outsourcen
Outsourcing empfehlenswert Interne Skills (Retained Organisation)
• CISO („Chief Information
Security Officer“)
• IT-Sicherheitsadministratoren
• Steuerung der Outsorcingpartner
• Steuerung der vernetzten Partner
• Einleitung von Sofortmaßnahmen
• Sicherheitsberatung zur
ganzheitlichen Architektur und
Projektmanagement
• Sicherheitsaudits durch technische
Spezialisten (z.B. Secunet, i.d.R.
keine WP)
• Sicherheitstechnologien und
Appliances mit permanenten
Updates (bspw. gegen Denial of
Service Attacken) extern beziehen
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 28
29. IT Sicherheit braucht Menschen
• Technologie allein reicht nicht:
• Laufend neue Bedrohungslagen können nicht antizipiert werden
• Neue Technologien, digitale Innovationen und Inflation der Änderungen
führen zu permanenten IDENTIFY – PROTECT – RESPOND – RECOVER –
Prozessen
• Virtualisierung der Sicherheit (Mobil, Cloud, digitale Vernetzung) werden
durch Externe (Kunden, Lieferanten, Provider) beeinflusst– dies muss durch
hoch und aktuell qualifizierte Mitarbeiter gemanaged werden
• Anwender und Administratoren müssen periodisch geschult und im
Bedrohungsfall informiert werden
In kritischen Positionen muss HR bei der Auswahl über die üblichen
Instrumente hinausgehen (Führungszeugnis, Hintergrund, Umfeld, …)
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 29
30. Zum Abschluss
Durchschnittlich wird ein Unternehmen einmal pro Jahr zum Ziel
ernsthafter Attacken …
… Sorgen Sie dennoch vor …
… ein gezielter Angriff kann selbst bei einem Mittelständler schnell
einen sechs bis siebenstelligen Schaden anrichten …
… Ihre Thesen und Fragen …
.. Kann ich noch etwas für Sie tun? …
Thomas Klüppel | +49 163.7187544 | thomas.klueppel@outlook.com | Selder 12, 47918 Tönisvorst 30
Notas do Editor
Besonders zeichnen sich autoritäre Staaten aus
Russland
China
In Sektoren mit „Interessen“ (Maut, Bau, High Tech, Kopierer)
Dort verschwimmen die Interessen organisierter Kriminalität ( Verschaffung privatwirtschaftlicher Vorteile mit
Staatlich geförderter Spionage (bspw. Wissen für den industriellen Aufbau oder Vorteile im Wettbewerb zu erlangen.
Neue Dimension, weil immer stärker insistierrt wird, die Daten im Land zu halten (bisher eher lax)
Bei Cyberattacken verweisen auf meinen Aufsatz DDOS und mal ein Bildchen aus dem Woddokument einblenden (Arbor)
Hier verweilen wir – um zu sehen, wo sich andere wiederfinden
Wie sieht es bei Ihnen aus
Wie sieht es bei Ihnen aus
AR Inoffizielle Umfrage beim Verband der Aufsichtsräte bestätigt das
Beispiel Recover
Einer der großen RZ Dienstleister (HP)
- nicht nötig, machen wir täglich
Darauf bestanden – nichta geht im ersten Schritt
14 Tage später neuer Versuch – geht aber Recovery dauert mindestens 48 Stunden
- zu lang, weil Business nicht verträgt – neues Sizing
Bei Externen: enthalten Ihre Verträge ausreichende Prüfungsrechte / Einblick in Prüfungsergebnisse Dritter mit ausreichendem Dewtail und Vereinbarung über Realisation von Maßnahmen?
Sicherheitstechnologien werden immer umfangreicher und schwerer zu administrieren.
Häufig haben IT Abteilungen nicht die Ressourcen kritische Updates vorzunehmen und ZU TESTEN!!!!