Content uploaded by Jasmin Sunitsch
Author content
All content in this area was uploaded by Jasmin Sunitsch on Jul 05, 2018
Content may be subject to copyright.
INFORMATIONSTECHNISCHE
BEDROHUNGEN DER VERWALTUNG
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government (MNr.:13315)
Modul Kolloquium Informatik WSIII
Prüfer Prof. Dr. Timo Kahl
Informationssicherheit in Behörden
Problemstellung Fallbeispiele
Bedrohungen
(Verwaltungen)
Untersuchung
Schadsoftware
LOCKY
Agenda
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Schlusswort
Einleitung
Mit der Modernisierung der Verwaltung und dem wachsendem digitalen
Datenbestand steigen die Anforderungen an die Informationssicherheit!
Ergebnis einer Umfrage der Sächsischen Anstalt f. komm. Datenverarbeitung
-IT-Sicherheitskonzepte bisher in nur ca. 30% aller Verwaltungen vertreten
-Nur 20% der Verwaltungen verfügen über einen IT-Sicherheitsbeauftragten
(vgl. Sächsische Anstalt für kommunale Datenverarbeitung - Anstalt des öffentlichen Rechts, 2015)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Problemstellung
Gesetzliche Verpflichtung zur Aufbewahrung
Unter Anderem
−§ 110a SGB IV Sozialgesetzbuch
−§18 Registratur Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien
−bis zur Aussonderung in vollständigem Umfang zu sichern!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Motivation
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
1. •Existieren Bedrohungen in der Verwaltung?
2. •Gibt es Verfahren, um Daten zu schützen?
3. •Ist es möglich, präventiv zu agieren?
Bekannte Bedrohungen
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Bedrohungen - Datenverlust
Wie entsteht Datenverlust in der Verwaltung?
−Unbefugter Zugriff
−Physikalische Fehler auf Medien
−Bewusste Manipulation
−Mechanische, Fehler der Hardware
−Menschliche Fehler
−Feuer, Wasser, etc. durch unsachgemäße Behandlung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - BKA Infrastruktur
2016 LKW Anschlag auf Weihnachtsmarkt Berlin
−BKA-Hinweisportal nach US-Vorbild Boston Cloud 2013 - Bomben Anschlag
−Videos, Fotos und Textnachrichten von Beobachtungen des Anschlags
BKA-Portal nach Zusammenbruch der Infrastruktur durch
einen DDos Angriff von 17 - 19:30 Uhr:
offline
(vgl. Bundeskriminalamt, 2016)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - Sorglosigkeit
2016 Sorglosigkeit - Windows XP und veralteter XFS-Standard
−95% aller Geldautomaten weltweit laut Kaspersky im Jahr 2016 betroffen
−Verbindung via USB-Stick und Befehligen ohne Passwortsicherung
−Kaum Physischer Sicherung
−Black-Box zur Fernwartung installierbar, Zugriff auch auf andere Geldautomaten
Steuerung der Geldausgabe ohne Karte möglich
(vgl. Olga Kochetova, Kapsersky Analystin , 2016)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - Link in E-Mail
2015 Cyberattacke Bundestag –Schadprogramm per Link in Mail
−2013 Trotz Microsofts Warnung 2013
−2014 Noch immer mehr als 5000 Computer Systeme der Bundestagsverwaltung und der Abgeordneten
im März 2014 noch immer mit Windows XP
−2015 Cyber-Angriff durch Schadsoftware, Link kam per E-Mail
Zusammenbruch der Infrastruktur
Bundestag offline
(vgl. N24, Die Welt, 2015)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel Schadsoftware
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Untersuchung der
Ransomware LOCKY
Die fragwürdige E-Mail
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Check
Kein Inhalt! HTML Block!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Header
Delivered-To: c4trix@gmail.com
Received: by 10.55.26.153 with SMTP id l25csp1119334qkh;
Mon, 30 May 2016 19:09:07 -0700 (PDT)
X-Received: by 10.28.185.202 with SMTP id j193mr2371949wmf.83.1464660547256;
Mon, 30 May 2016 19:09:07 -0700 (PDT)
Return-Path: <no_reply@ing-diba.com>
Received: from earth.planetary-networks.de (earth.planetary-networks.de. [178.23.124.70])
by mx.google.com with ESMTPS id kg2si47679826wjb.195.2016.05.30.19.09.07
for <c4trix@gmail.com>
(Version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 Bits=128/128); […]
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Header Formatierung
<HTML><HEAD><TITLE>Unbenanntes Dokument</TITLE>
<META charset=3Dutf-8></HEAD>
<BODY>
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D610 align=3Dcenter bord=er=3D0>
<TBODY>
<TR>
<TD height=3D434 background=3Dhttp://i.imgur.com/3LZeCzN.jpg> </T=
D></TR>
<TR>
<TD height=3D80 background=3Dhttp://i.imgur.com/PmYZdVm.jpg><STRONG>
<DIV style=3D"FONT-SIZE: 18px; FONT-FAMILY: Arial; COLOR: rgb(0,0,102)=; MARGIN-LEFT: 98px;
MARGIN-TOP: 2px">Jasmin Sunitsch,</DIV></STRONG><=/TD></TR>
<TR>
<TD height=3D610 background=3Dhttp://i.imgur.com/CC7qD5H.jpg> </T=D></TR>
<TR>
<TD align=3Dcenter>
<DIV style=3D"MARGIN-TOP: 20px"><IMG src=3D"http://i.imgur.com/HcpQ57d=
=2Ejpg"></DIV></TD></TR></TBODY></TABLE></BODY></HTML> [ … ]
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Rekonstruktion
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Jasmin Sunitsch
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Vorsicht mit JavaScript!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Versand der „aktualisierten“ Daten an
die die Domain Laevorotatory.cc
-Danach Weiterleitung zur originalen
Webseite Ing-Diba. de
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Phishing-Server entlarven via Whois
Abbildung: Abfrage von www.United-Domains.de abgerufen am 08.12.2016
Ergebnis: Kein Domain-Verwalter registriert!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Beispiel Whois mit Admin-C
- Identifizierung des Inhabers
- Straffverfolgung möglich
- Schadensansprüche geltend machen
Abbildung: Abfrage von www.United-Domains.de abgerufen am 08.12.2016
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot LOCKY
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schadcode geblockt, bei Aktivierung erfolgt
Infektion!
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot LOCKY
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Nach RSA-2048 und AES-128 Verfahren verschlüsselte Dateien.
D5CACF80B0D0D0S03(16 Stellen PK+)xxxx.LOCKY
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot Textdatei: LOCKY_recover_instructions.txt
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Handlungsempfehlung
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Handlungsempfehlung
Sicherheitsziele definieren
Zweck der Schutzziele
−Ausfallsicherheit vermeiden
−Mindestens eine Kopie des Originals besitzen
−Möglichkeiten der Mögliche Bedrohungen
−Risiko Manipulation und Datenverlust minimieren
−Feuer, Diebstahl und der Bedienungsfehler
−Schutz vor Reputationsschäden
•Ursprung der
Daten
sichergestellt
•Unverändert
•Aktuell
•Autorisierter
Zugriff
•Erreichbarkeit
Verfügbarkeit Vertraulichkeit
AuthentizitätIntegrität
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
ISMS konzeptionieren
Konzept für ein ISMS
Informationssicherheits-Management-System
Umsetzung mit Verinice, SerNet, Göttingen, 170MB, GPLv3
Redundanz
Planung
Kontrollieren & Steuern
Ist-Aufnahme
Riskio-Analyse
Strategie
Umsetzung
Controlling
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Mögliche Bedrohungen durch Prävention minimieren
Regelwerk IT-Grundschutz-Kataloge anwenden!
●Ehemals IT-Grundschutzhandbuch, bis 2005
●„IT-Grundschutz umfasst Standard-Sicherheitsmaßnahmen für typische IT-
Systeme mit ‚normalem’ (mittleren) Schutzbedarf“.
●Deckt übliche 80% der üblichen Gefährdungslagen ab
●Digitaler Katalog anwendbar mit GSTOOL (BSI) oder Verinice
●Zertifizierung gemäß ISO/IEC 27001 bei TÜV und weiteren akkreditierten
Stellen Kosten, individuell
Vgl. Bundesamt für Sicherheit in der Informatik, BSI.de/Grundschutz-Kataloge, abgerufen, 02.09.2016
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Planung & Umsetzung
Ziel Redundanz
- Vollsicherung
- Inkrementelle Sicherung
- Versionierung
- Snapshot-Sicherung
- Externe Kopien
- Fernbackups
Nachvollziehbarkeit
- Dokumentation
- Prozessabbildung
- Maßnahmenkataloge
Kontrollieren & Steuern
- Geheimhaltung
- Zugangskontrolle
- Hybridverfahren
- Biometrische Verfahren
- Protokolle
- Schutzmaßnamen
- Umsetzung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Mögliche Bedrohungen durch Prävention minimieren
Strukturierte Abläufe in Prozessketten abbilden & Reaktionen auslösen
−Rollen für Mitarbeiter, Vorgesetzte
−Jeder Rollenträger erhält Handlungsanweisungen, Aufgaben
−Maßnahmen zum Schutz vor Alarmfällen
−Empfiehlt Handlungsmaßnahmen in Alarm- und Riskiofällen
−Vollständige Dokumentation der Infrastruktur
−Reaktionen und Verständigung weiterer Rollenträger beim Alarmfall
−Alarmierung Externer, Rettungspersonal, THW, Feuerwehr etc.
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Beispiel: Personalausfall
- Handlungsempfehlungen der Software Verinice
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Empfehlung
Mögliche Bedrohungen durch Prävention minimieren
Beispiel: Sorglosigkeit
- Handlungsempfehlungen der Software Verinice
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Empfehlung
Mögliche Bedrohungen durch Prävention minimieren
Empfehlung
Prävention durch Vorsichtsmaßnahmen
Beispiel: Identitätsschutz
- Handlungsempfehlungen der Software Verinice z.B. Hash, Verschlüsselung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schlussfolgerung & Gesamtzusammenhang
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schlusswort & Fazit
Fragestellung beantwortet
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
1. •Existieren Bedrohungen in der Verwaltung?
2. •Gibt es Verfahren, um Daten zu schützen?
3. •Ist es möglich, präventiv zu agieren?
Schlussfolgerung & Gesamtzusammenhang
Reputationsschäden
Kosten Infrastruktur Menschenleben
Strukturierte Vorsichtsmaßnahmen
- Prozessketten ermöglichen Kontrolle
- Kostenlos möglich (VERNICE)
- Zertifizierung möglich (ISO27001)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Vortrag Jasmin Sunitsch
Kontakt info@Netz-Planet.de
Webauftritt Netz-Planet.de
Quellen Logo - Hochschule-Rhein-Waal.de
Abbildungen wenn nicht anders gekennzeichnet,
gehören der Vortragenden.
Alle Quellenangaben sind auf den jeweiligen Folien
genannt.
Informationssicherheit in Behörden
INFORMATIONSTECHNISCHE BEDROHUNGEN DER
VERWALTUNG