PresentationPDF Available

Informationssicherheit in Behörden INFORMATIONSTECHNISCHE BEDROHUNGEN DER VERWALTUNG

Authors:

Abstract and Figures

Mit der Modernisierung der Verwaltung und wachsendem digitalen Datenbestand steigen die Anforderungen an die Informationssicherheit. Laut Umfragen der sächsischen Anstalt für kommunale Datenverarbeitung liegen in nur ca. 30% aller Verwaltungen IT-Sicherheitskonzepte vor und nur 20% der Verwaltungen verfügen über einen IT-Sicherheitsbeauftragten. Mit dem Nutzen der elektronischen Kommunikation und digitalem Schriftgut in der öffentlichen-Verwaltung entstehen jedoch auch Pflichten, wie der sichere Umgang mit elektronischen Dokumenten und eine sichere Infrastruktur. Eine dieser Pflichten ist die Informationssicherheit, die u.a. die Verantwortlichkeit und den Umgang mit den Daten der Bürger regelt. Ein weiterer Teilbereich der Informationssicherheit ist die Verfügbarkeit von Informationen. Um die Ausfallsicherheit eines Datenbestandes zu gewährleisten sollte mindestens eine Kopie der Daten existieren. Dabei bieten sich unterschiedliche Datensicherungsmethoden, nachfolgend werden die Gängigsten mit Ihren Vorteilen und Nachteilen aufgezeigt und ein kleiner Einblick in die Welt der IT-Sicherheit gewährt, um zu zeigen warum Datensicherungen überhaupt notwendig sind, wie es möglich ist, sich mit einem Ransomware wie LOCKY zu infizieren und welche Verfahren zur Verfügung stehen um in einer Behörde die Informationssicherheit zu verbessern.
No caption available
… 
No caption available
… 
No caption available
… 
No caption available
… 
No caption available
… 
Content may be subject to copyright.
INFORMATIONSTECHNISCHE
BEDROHUNGEN DER VERWALTUNG
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government (MNr.:13315)
Modul Kolloquium Informatik WSIII
Prüfer Prof. Dr. Timo Kahl
Informationssicherheit in Behörden
Problemstellung Fallbeispiele
Bedrohungen
(Verwaltungen)
Untersuchung
Schadsoftware
LOCKY
Agenda
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Schlusswort
Einleitung
Mit der Modernisierung der Verwaltung und dem wachsendem digitalen
Datenbestand steigen die Anforderungen an die Informationssicherheit!
Ergebnis einer Umfrage der Sächsischen Anstalt f. komm. Datenverarbeitung
-IT-Sicherheitskonzepte bisher in nur ca. 30% aller Verwaltungen vertreten
-Nur 20% der Verwaltungen verfügen über einen IT-Sicherheitsbeauftragten
(vgl. Sächsische Anstalt für kommunale Datenverarbeitung - Anstalt des öffentlichen Rechts, 2015)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Problemstellung
Gesetzliche Verpflichtung zur Aufbewahrung
Unter Anderem
§ 110a SGB IV Sozialgesetzbuch
§18 Registratur Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien
bis zur Aussonderung in vollständigem Umfang zu sichern!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Motivation
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
1. Existieren Bedrohungen in der Verwaltung?
2. Gibt es Verfahren, um Daten zu schützen?
3. Ist es möglich, präventiv zu agieren?
Bekannte Bedrohungen
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Bedrohungen - Datenverlust
Wie entsteht Datenverlust in der Verwaltung?
Unbefugter Zugriff
Physikalische Fehler auf Medien
Bewusste Manipulation
Mechanische, Fehler der Hardware
Menschliche Fehler
Feuer, Wasser, etc. durch unsachgemäße Behandlung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - BKA Infrastruktur
2016 LKW Anschlag auf Weihnachtsmarkt Berlin
BKA-Hinweisportal nach US-Vorbild Boston Cloud 2013 - Bomben Anschlag
Videos, Fotos und Textnachrichten von Beobachtungen des Anschlags
BKA-Portal nach Zusammenbruch der Infrastruktur durch
einen DDos Angriff von 17 - 19:30 Uhr:
offline
(vgl. Bundeskriminalamt, 2016)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - Sorglosigkeit
2016 Sorglosigkeit - Windows XP und veralteter XFS-Standard
95% aller Geldautomaten weltweit laut Kaspersky im Jahr 2016 betroffen
Verbindung via USB-Stick und Befehligen ohne Passwortsicherung
Kaum Physischer Sicherung
Black-Box zur Fernwartung installierbar, Zugriff auch auf andere Geldautomaten
Steuerung der Geldausgabe ohne Karte möglich
(vgl. Olga Kochetova, Kapsersky Analystin , 2016)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Bedrohung - Link in E-Mail
2015 Cyberattacke Bundestag Schadprogramm per Link in Mail
2013 Trotz Microsofts Warnung 2013
2014 Noch immer mehr als 5000 Computer Systeme der Bundestagsverwaltung und der Abgeordneten
im März 2014 noch immer mit Windows XP
2015 Cyber-Angriff durch Schadsoftware, Link kam per E-Mail
Zusammenbruch der Infrastruktur
Bundestag offline
(vgl. N24, Die Welt, 2015)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel Schadsoftware
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Untersuchung der
Ransomware LOCKY
Die fragwürdige E-Mail
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Check
Kein Inhalt! HTML Block!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Header
Delivered-To: c4trix@gmail.com
Received: by 10.55.26.153 with SMTP id l25csp1119334qkh;
Mon, 30 May 2016 19:09:07 -0700 (PDT)
X-Received: by 10.28.185.202 with SMTP id j193mr2371949wmf.83.1464660547256;
Mon, 30 May 2016 19:09:07 -0700 (PDT)
Return-Path: <no_reply@ing-diba.com>
Received: from earth.planetary-networks.de (earth.planetary-networks.de. [178.23.124.70])
by mx.google.com with ESMTPS id kg2si47679826wjb.195.2016.05.30.19.09.07
for <c4trix@gmail.com>
(Version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 Bits=128/128); […]
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
E-Mail Header Formatierung
<HTML><HEAD><TITLE>Unbenanntes Dokument</TITLE>
<META charset=3Dutf-8></HEAD>
<BODY>
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D610 align=3Dcenter bord=er=3D0>
<TBODY>
<TR>
<TD height=3D434 background=3Dhttp://i.imgur.com/3LZeCzN.jpg>&nbsp;</T=
D></TR>
<TR>
<TD height=3D80 background=3Dhttp://i.imgur.com/PmYZdVm.jpg><STRONG>
<DIV style=3D"FONT-SIZE: 18px; FONT-FAMILY: Arial; COLOR: rgb(0,0,102)=; MARGIN-LEFT: 98px;
MARGIN-TOP: 2px">Jasmin Sunitsch,</DIV></STRONG><=/TD></TR>
<TR>
<TD height=3D610 background=3Dhttp://i.imgur.com/CC7qD5H.jpg>&nbsp;</T=D></TR>
<TR>
<TD align=3Dcenter>
<DIV style=3D"MARGIN-TOP: 20px"><IMG src=3D"http://i.imgur.com/HcpQ57d=
=2Ejpg"></DIV></TD></TR></TBODY></TABLE></BODY></HTML> [ … ]
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Rekonstruktion
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Jasmin Sunitsch
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Vorsicht mit JavaScript!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Öffnen der Datei Formular.html
Versand der „aktualisierten“ Daten an
die die Domain Laevorotatory.cc
-Danach Weiterleitung zur originalen
Webseite Ing-Diba. de
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Phishing-Server entlarven via Whois
Abbildung: Abfrage von www.United-Domains.de abgerufen am 08.12.2016
Ergebnis: Kein Domain-Verwalter registriert!
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Beispiel Whois mit Admin-C
- Identifizierung des Inhabers
- Straffverfolgung möglich
- Schadensansprüche geltend machen
Abbildung: Abfrage von www.United-Domains.de abgerufen am 08.12.2016
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot LOCKY
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schadcode geblockt, bei Aktivierung erfolgt
Infektion!
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot LOCKY
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Nach RSA-2048 und AES-128 Verfahren verschlüsselte Dateien.
D5CACF80B0D0D0S03(16 Stellen PK+)xxxx.LOCKY
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Abbildung: Screenshot Textdatei: LOCKY_recover_instructions.txt
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Fallbeispiel RANSOMWARE LOCKY
Untersuchung einer Schadsoftware
Handlungsempfehlung
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Handlungsempfehlung
Sicherheitsziele definieren
Zweck der Schutzziele
Ausfallsicherheit vermeiden
Mindestens eine Kopie des Originals besitzen
Möglichkeiten der Mögliche Bedrohungen
Risiko Manipulation und Datenverlust minimieren
Feuer, Diebstahl und der Bedienungsfehler
Schutz vor Reputationsschäden
Ursprung der
Daten
sichergestellt
Unverändert
Aktuell
Autorisierter
Zugriff
Erreichbarkeit
Verfügbarkeit Vertraulichkeit
AuthentizitätIntegrität
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
ISMS konzeptionieren
Konzept für ein ISMS
Informationssicherheits-Management-System
Umsetzung mit Verinice, SerNet, Göttingen, 170MB, GPLv3
Redundanz
Planung
Kontrollieren & Steuern
Ist-Aufnahme
Riskio-Analyse
Strategie
Umsetzung
Controlling
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Mögliche Bedrohungen durch Prävention minimieren
Regelwerk IT-Grundschutz-Kataloge anwenden!
Ehemals IT-Grundschutzhandbuch, bis 2005
„IT-Grundschutz umfasst Standard-Sicherheitsmaßnahmen für typische IT-
Systeme mit ‚normalem’ (mittleren) Schutzbedarf“.
Deckt übliche 80% der üblichen Gefährdungslagen ab
Digitaler Katalog anwendbar mit GSTOOL (BSI) oder Verinice
Zertifizierung gemäß ISO/IEC 27001 bei TÜV und weiteren akkreditierten
Stellen Kosten, individuell
Vgl. Bundesamt für Sicherheit in der Informatik, BSI.de/Grundschutz-Kataloge, abgerufen, 02.09.2016
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Planung & Umsetzung
Ziel Redundanz
- Vollsicherung
- Inkrementelle Sicherung
- Versionierung
- Snapshot-Sicherung
- Externe Kopien
- Fernbackups
Nachvollziehbarkeit
- Dokumentation
- Prozessabbildung
- Maßnahmenkataloge
Kontrollieren & Steuern
- Geheimhaltung
- Zugangskontrolle
- Hybridverfahren
- Biometrische Verfahren
- Protokolle
- Schutzmaßnamen
- Umsetzung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Handlungsempfehlung
Mögliche Bedrohungen durch Prävention minimieren
Strukturierte Abläufe in Prozessketten abbilden & Reaktionen auslösen
Rollen für Mitarbeiter, Vorgesetzte
Jeder Rollenträger erhält Handlungsanweisungen, Aufgaben
Maßnahmen zum Schutz vor Alarmfällen
Empfiehlt Handlungsmaßnahmen in Alarm- und Riskiofällen
Vollständige Dokumentation der Infrastruktur
Reaktionen und Verständigung weiterer Rollenträger beim Alarmfall
Alarmierung Externer, Rettungspersonal, THW, Feuerwehr etc.
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Beispiel: Personalausfall
- Handlungsempfehlungen der Software Verinice
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Empfehlung
Mögliche Bedrohungen durch Prävention minimieren
Beispiel: Sorglosigkeit
- Handlungsempfehlungen der Software Verinice
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Empfehlung
Mögliche Bedrohungen durch Prävention minimieren
Empfehlung
Prävention durch Vorsichtsmaßnahmen
Beispiel: Identitätsschutz
- Handlungsempfehlungen der Software Verinice z.B. Hash, Verschlüsselung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schlussfolgerung & Gesamtzusammenhang
Mögliche Bedrohungen
Fallbeispiele Untersuchung
Fallbeispiel
Schadsoftware Handlungsempfehlung
& Schlussfolgerung
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Schlusswort & Fazit
Fragestellung beantwortet
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
1. Existieren Bedrohungen in der Verwaltung?
2. Gibt es Verfahren, um Daten zu schützen?
3. Ist es möglich, präventiv zu agieren?
Schlussfolgerung & Gesamtzusammenhang
Reputationsschäden
Kosten Infrastruktur Menschenleben
Strukturierte Vorsichtsmaßnahmen
- Prozessketten ermöglichen Kontrolle
- Kostenlos möglich (VERNICE)
- Zertifizierung möglich (ISO27001)
Informationssicherheit in Behörden Jasmin Sunitsch, IT-Systemelektronikerin im Studiengang E-Government
Vortrag Jasmin Sunitsch
Kontakt info@Netz-Planet.de
Webauftritt Netz-Planet.de
Quellen Logo - Hochschule-Rhein-Waal.de
Abbildungen wenn nicht anders gekennzeichnet,
gehören der Vortragenden.
Alle Quellenangaben sind auf den jeweiligen Folien
genannt.
Informationssicherheit in Behörden
INFORMATIONSTECHNISCHE BEDROHUNGEN DER
VERWALTUNG
ResearchGate has not been able to resolve any citations for this publication.
ResearchGate has not been able to resolve any references for this publication.