CEBIT 2015

Inhalt

Seite

Rückblick / Ausblick 20 Jahre 3

Cyber Defense neu denken 8

Bedrohungen – Threat vs. Advanced Persistent Threat 19

Aus Daten Informationen machen –Ein 360° Blick

23

Auf Informationen unverzüglich reagieren –It’s all about preparation

28

Advanced Persitent Cyber Defense Architektur 32

3

Rückblick ´95

■ Win 3.1 � Win95

■ NCSA Mosaic � Netscape

■ PC = 486er

■ Internet an Universitäten

■ Linux! (Slackware) Mail = Pine

■ DVD/Farbmonitore werden populär/Nadeldrucker � Tintenstrahldrucker

■ E-Mail/Mobiltelefone werden populär

■ Gründung ebay

■ Microsoft sieht das Internet als Bedrohung der eigenen Marktmachtund betreibt zunächst MSN als geschlossenen „Konkurrenzdienst“

4

Ausblick

■ Einschätzung zur Entwicklung der Risiken – KPMG Studie März 2015:

■ 70% sehen das Risiko in den nächsten 2 Jahren allgemein hoch / sehr hoch

■ 47% sehen das Risiko in den nächsten 2 Jahren für das eigene Unternehmen hoch / sehr hoch

� ca. 7 von 10 Unternehmen werden als sehr bedroht gesehen. ca. 5 von 10 Unternehmen denken, dass die bei den 3 nicht-Betroffenen dabei sind.

� 2 irren sich.

5

Ausblick - Trends

■ Big Data – auch „Security Data“ � Information Overload

■ Lösungsdiversifizierung � Spezialisierung vs. Übersicht

■ Auflösung der Grenze zwischen beruflicher und privater IT � persönliche Betroffenheit

■ Auflösung der Grenze zwischen „Cyber-Raum“ und „Realraum“ � „materielle“ Gefahren aus Cyber-Bedrohungen

■ Daten als wertvoller Rohstoff � Datenschutz?

■ Staaten beanspruchen Daten � Sicherheit für Freiheit

■ Kommerzialisierung der Angriffe � „bigger weapons“, „persistent action“

■ Verbreiterung der Spektren von Angriffsmotiven und Angreifertypen(„Hobby“ � „Geld“ � „Hacktivsten“/„Staaten“/„Terroristen“/„Organisiertes Verbrechen“)

■ Veränderung des Beratungsansatzes � Beschaffung von Informationen vs. Schaffen von Transparenz

6

Ausblick – einzelne Herausforderungen

■ Home-Office � Mobile/Everywhere Office

■ Interne/externe Mitarbeiter � virtuelle Projektteams

■ IAM � Identity Mensch: �/Identity aktiver Komponenten: ?� Access: dynamisch/attributiert

■ Bring your own device � use only your own devices

■ Industrie 4.0 � In-Component Firewalls, etc� Dynamic Grid-Based Production/Federated Production

■ Individualisierte Produktion � buy data/3-D print yourself

� personell pharma

� personell food

� personell electronic devices?

■ Persönliche technische externe „Ergänzungen“ Google-Glass � Cyborg-Ansätze: intelligente Prothesen, Chip-Implantate…

■ Datenspuren werden „hinterlassen“ � Daten werden aktiv „gewonnen“

■ Data Protection � Data Management/Pay-by-data

■ Big Data � Global Data (Pool Access?)

■ Business Intelligence � Federated Production Data Chain

■ Passwords � Biometrie (no multi faktor authentication)

■ Access to Data � Keyless Physical Access (Home, Car, Office..)

■ Steigende Bereitschaft zum Preisgeben von Informationen bei mangelnder Awareness/Risikobewusstsein � Social Networks

7

Ausblick Spezialaspekt - Datenschutz zum Datenmanagemen t?

PersönlichesDaten-

management

Vitaldaten „sein“

Besitzdaten „haben“

Verhaltensdaten „tun“

Vernetzungsdaten „teilhaben“

BewegungsmusterKoordinatenKaufverhalten

PulsFingerabdruck

Biometrie Gesicht & Körper

PKWHausKonten & Karten

VerbindungsdatenSoziale NetzeBerufliche Tätigkeit

Missbrauch/Nutzen/Wert!Durch Dritte � Selbst!

Einzeldatum � Verknüpfung!

8

„Cyber Defense“ neu denken?

■ Duden: cy|ber -, Cy|ber - [ˈsa͜ibɐ̯…]Wortbildungselement mit der Bedeutung »die von Computern erzeugte virtuelle Scheinwelt betreffend« aus Kybernetik - [englisch cybernetics, 1948 geprägt von dem amerikanischen Mathematiker N. Wiener (1894–1964), zu griechisch kybernētikḗ (téchnē) = Steuermannskunst, zu: kybernḗtēs = Steuermann, zu: kybernãn = steuern] wissenschaftliche Forschungsrichtung, die Systeme verschiedenster Art (z. B. biologische, technische, soziologische Systeme) auf selbsttätige Regelungs- und Steuerungsmechanismen hin untersucht

■ BSI: Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Damit wird praktisch die gesamte moderne Informations- und Kommunikationstechnik zu einem Teil des Cyber-Raums.

Was ist neu daran?Was ist eigentlich „Cyber“? Alter IT-Sec Wein in neu gelabelten Schläuchen?

9

„Cyber Defense“ neu denken?

Ist „Cyber Security“ eigentlich mehr als eine andere Bezeichnung für „IT Sicherheit“ oder „Informationssicherheit“?

„Cyberspace“ wird üblicherweise verstanden als der „vi rtuelle“ (Daten)Raum und „Cyber Threats“ sind dementsprechend Bedrohungen in diesem Raum, also Bedrohungen für di e Sicherheit von Daten – ausgehend von Angreifern die „im Cyberspa ce“ agieren, vielleicht sogar „Cyberterroristen“ sind…

10

„Cyber Defense“ neu denken?

… aber wie sinnvoll ist diese Erweiterung der „IT Sich erheit“ - die gleichzeitig eine Abgrenzung auf „den Cyberraum“ ist – e igentlich?

11

„Cyber Defense“ neu denken?

Fahren Sie mit ihrem Auto im Cyber-Raum oder in der realen Welt?Beides!!

12

„Cyber Defense“ neu denken?

Und in 10-20 Jahren? „Autonomes Fahren“ vs. „Vernetztes Fahren“

Quelle: Daimler Benz AG

13

„Cyber Defense“ neu denken?

„Cyber Threat? Cyber Defense?“

Quelle: FAZ/AP

14

„Cyber Defense“ neu denken? - privat

Cyber Lifeaid? Cyber Threat? Cyber Defense?

Quelle: Zuhause.de

Quelle: Siemens serve@home

Quelle: welt.de

Bewegung, Position, Gewicht

Aktivität, Zustand, Inhalt,…

Hauttemperatur, Atmung, Bewegungsaktivität..

15

„Cyber Defense“ neu denken? - beruflich

Cyber Arbeitsplatz ?

„Cyber Windel“ � „Cyber-Anzug“ (Mimik, Gestik, Fortbewegung und Kommunikation)

„Fußbodensensor“ � Cyber-Büro-Gestaltung via badges(Steuerung Licht, Temperatur, Tischhöhe…)

16

„Cyber Defense“ neu denken? – industriell

„Cyber“ Threat? – Wie virtuell sind die Ziele?

Infrastruktur,Industrieanlagen,Smart-Grids

Banken

Produktion

Angriffs-Know-how?Technisch � Business-Prozesse� Defense-Know-how muss dem folgen!!

17

„Cyber Defense“ neu denken?

� Die Abgrenzung eines scheinbar virtuellen Raumes geg enüber einem „realen“ Raum ist obsolet geworden.

Jeder von uns lebt in einem komplexen Geflecht von „Räumen“ privat, öffentlich, beruflich…, usw.

Der „Netz Raum“ ist auch nur ein weiterer dieser Räume , und durch Smartphones, Playstations, Workstations, Indu strie 4.0 und dasInternet der Dinge schon lange genauso mit allen an deren Räumen verwoben wie diese untereinander.

18

„Cyber Defense“ neu denken?

Was bedeutet das für die „Cyber Security“?

1. Wir müssen uns nicht erst in den „Cyber Space“ bege ben, damit „Cyber Threats“ und in der Folge „Cyber Security“ für uns relevant werden, wir sind schon da . Permanent.

2. Der Angreifer ist auch schon da. Angriffe können sich auf Daten beziehen aber ebenso auf Industrieanlagen oder auf Leib und Leben.

3. Ebenso wie die Angriffe muss daher die Abwehr der Bedrohungen umfassend gedacht werden – unter Einbeziehung aller verfügbaren Informationen über die „Kern“-IT-Security Produkte hinaus, orientiert an den Geschäftszielen und –werten und durch eine Orchestrierung der Technik mit den Prozessen und den handelnden Menschen.

Cyber Threat

19

„Klassische“ Bedrohungen –Klassische Verteidigungs-maßnahmen

20

„Klassische“ Bedrohungen – Klassische Verteidigungsmaß nahmen

■ Perimeterschutz (Firewall, ACLs, Anti-Virus, ..)

■ Signaturbasierte Verteidigung (Anti-Virus, Intrusion Detection)

� Die Grundidee:wir erkennen den Angreifer am „Burgwall“ und halten ihn dort auf.

Advanced Threats(Ad-hoc oder Persistent)

21

Neue Bedrohungen durch fortgeschrittene Einzelaktionen und gezielte, langanhaltende, professionalisierte Angriffe.

22

Advanced Threats (Ad-hoc oder Persistent)

Neue Bedrohungen durch fortgeschrittene Einzel-aktionen und gezielte, langanhaltende, professionalisierte Angriffe. Der Angreifer „ist schon da“.

� Die Verteidigung muss mit neuen Techniken und Methoden nachrüsten –basierend auf Anomalien, Verhalten

Aus Daten Informationen machen –Ein 360° Blick

Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren der Daten

24

Aus Daten Informationen machen – Ein 360° Blick

Das „Lagebild“ ergibt sich aus dem Zusammenfassen und Interpretieren der Daten� Daten – Informationen – Wissen – Weisheit!

Signaturen zur Geschwindigkeit

Daten zu Zeit

und Strecke

25

■ Administrator loggt sich im Urlaub ein

■ Mitarbeiter ist laut Kartenzutrittssystem am Standort Hamburg, greift aber mit einer IP Adresse aus München auf das Firmennetzwerk zu

■ Ein Zugriff auf die (Konfiguration der) industriellen Produktionsanlagen erfolgt aus dem Office/Business Segment des Unternehmens

■ Ein Fernwartungs-Zugriff durch einen externen Servicer auf industrielle Produktions-anlagen erfolgt ohne bzw. trotz abgelehntem Change Request

■ Mehrere Change Requests, die sich auf dasselbe Asset beziehen, und wiederholt abgelehnt werden, werden (inhaltlich leicht verändert) immer wieder gestellt und dabei unterschiedlichen Approvern vorgelegt

■ Auf einer kritischen Anwendung entsteht wiederholt dieselbe Art von Störung und das entsprechende Incident-Ticket wird immer wieder von demselben Administrator geschlossen. (ohne Angabe des Hintergrunds)

■ Zeitnahe, vergleichbare Verstöße gegen Sicherheitsrichtlinien gehen von Arbeitsplatz-Rechnern aus, deren inhaber alle kurz vorher einen Anruf/eine Mail/einen Brief von einem unbekannten Absender erhalten haben.

■ Kompletter Lifecycle eines Accounts wird an einem Tag durchlaufen

■ ….

Beispiele für „verbundene“ Kontrollenund Anomalien

26

Die Techniken zum Daten-Sammeln sind Installiert – So What?

■ Nur ein sehr kleiner Teil der Terrabytes an Log-Daten ist relevant – welcher?

■ Neben Events sind auch Zustands-Informationen sicherheitsrelevant – welcher Zusammenhang besteht?

■ Neben Sicherheits-Daten werden als Kontextinformationen Strukturdaten benötigt – welche und woher?

� Für ein erfolgreiches Data Analytics / Security Information und Event Management ist es erforderlich…

… vom Risikoszenario her fachliche Use-Cases zu den Bedrohungen definieren,

… aus den fachlichen Use-Cases technische Use-Cases abzuleiten, um die benötigten Datentypen zu identifizieren

… alle benötigten Datenquellen bereit zu stellen und passend zu den technischen Use-Cases zu konfigurieren

… dabei bedarfsgerecht auch externe Informationen einzubinden

… die Daten aus den verschiedenen Quellen anhand von Korrelationsregeln und Anomalie-Bewertungen zusammen zu führen,

… die Bewertungsmethoden in Echt- oder Nahzeit anzuwenden

… um rechtzeitig eine bewertete Information zu erhalten, damit dann…

Auf Informationen unverzüglich reagieren – It’s all aboutpreparation

Für eine gute „Cyber Threat Responsiveness“ müssen aus den Erkenntnissen Taten folgen

28

Ziel von ACD ist die Schadensminimierung durch die Verringerung der Verweil- und Reaktionszeit

Angreifersicht

Unternehmersicht

Eindringen eines Angreifers

Verweilzeit

Angriff beginntAngriffsziel

erreicht

Erkennen des Angriffs

Beendigung des Angriffs

Angriff läuftOrientierung

Reaktionszeit

29

“Responsiveness” ist eine Frage der Orchestrierung vo n Technik, Organisation, Prozessen und Mitarbeitern!

� Für eine gute „Cyber Threat Responsiveness“ müssen aus den Erkenntnissen Taten folgen – unverzüglich, zielgericht et, professionell.

30

Die Informationen liegen vor – So What?

■ Nicht alles was beachtenswert ist, ist ein unmittelbarer Alarm – welche Reaktionstypen und Adressaten sind vorzusehen?

■ Auf manches muss allerdings ad-hoc reagiert werden – durch wen, wie wird informiert, welche CERT-Prozesse greifen?

■ Nach dem Bannen unmittelbarer Gefahren, ist ggf. noch eine „lessons learned“ zu verarbeiten –was ergibt die root-cause Analyse?

� Für eine insgesamt erfolgreiche Reaktion ist es erforderlich…

… vorab die Beteiligten und ihre Aufgaben zu definieren

… die Reaktionstypen und -prozesse festzulegen

… sie zu trainieren

… sie regelmäßig zu aktualisieren

… die Erkenntnisse über abgewehrte Angriffe, ihre Ursachen und Eigenheiten wieder in die Methodik einfließen zu lassen

… um Gefahren erfolgreich und nachhaltig abzuwehren also eine „Advanced Persistent Defense“ zu etablieren.

Advanced Persistent Cyber Defense (APCD)

31

Auf das Gesamtbild kommt es an –APCD - Architektur

32

Basis- Architektur einer Advanced Persistent Defense

■ Requirement Identification

■ Data Classification

■ Governance

■ Security Organisation

■ Security Management

■ Security Tools

■ General Infrastructure

■ IT Objects

Perimeter DefenseFirewalls, ACL, Anti-Virus, etc.

Cyber Threat ResponsivenessOrganisation, Processes, Trainings, Stresstesting

Cyber Threat DetectionData Analytics, SIEM, Intelligence■ Configuration based■ Signature based■ Anomalie based■ Event based

Eine fortgeschrittene und nachhaltige Abwehrstrategie bezieht ein ganzes Portfolio von spezifischen Informationen, Verfahren und Werkzeugen mit ein.

33

Evolution von (Advanced) Cyber Defense

■ Firewalls■ Kombinierte

Virenscanner■ Log-Management

■ Firewalls■ Multiple

Virenscanner■ Log-

Management■ Intrusion-

Detection

■ Firewalls■ Singuläre Viren-

scanner

■ Firewalls■ Multiple

Virenscanner■ SIEM■ Intrusion-

Detection■ Data Leakage

Prevention

■ Firewalls■ Multiple

Virenscanner■ SIEM■ Intrusion-

Detection■ Data Leakage

Prevention■ Anomalie-

Erkennung

■ Firewalls■ Multiple Virenscanner■ SIEM 2.0-

Intelligente Regeln und Verknüpfung mehrerer Datenquellen

■ Intrusion-Detection■ Data Leakage

Prevention■ Threat Intelligence■ Anomalie-Erkennung

Perimeterschutz Signaturen Analyse interner Daten Einbeziehung aller Daten und fachlicher AspekteInformationsmanagement

34

Technische Basis-Architektur einer Advanced Persiste nt Defense (APD)

Zentrale Datenempfänger

Vorfilter

Datenversand mit Bordmitteln

Datengenerator

FilterEngine

Korrelations-Modul

Intelligence Information

Use-Case Teilereignisse

Reaktions-Modul

Korrelierte Use-Case-Ereignisse

Use-Case Direktereignisse

Aufbereitungs-modul

Reporting-modul

SMS

Mail

SOC

Adressaten

Überwachungsobjekte

Datenversender

Datengenerator

Eventversender

Datenerzeugung mit Bordmitteln

Vollablage für forensische Auswertungen

ERP Data

IT Infrastructure-Data Tickets

ZusätzlicheInfo-Quellen

Cockpit

35

Organisatorische Basis-Architektur einer Advanced Pe rsistent Defense (APD)

Input Intelligence Daten

Input Event-Daten

Input Status-Daten

Input ERP-Daten

Input IT-Infrastruktur Daten

Corporate Governance

Prozess-handbuch

RichtlinieSOC Betriebs-

handbuch

Governance

Technische DatenVor-Analyse

Manuelle Informations-Aufbereitung

Verarbeitungs-Regel Modellierung Methoden Definition

Wie hoch schätzen Sie den Reifegrad Ihrer ACD Lösung ein?

Out-of-the-Box konfiguriert

Konfiguriert mit angepassten Regeln

Systemübergreifende Überwachung des Unternehmensnetzwerks

Wie hoch schätzen Sie den Reifegrad Ihrer ACD Lösung ein?

PLAN Identify„Was sind die Kronjuwelen?“„Wo liegen sie?“„Wie sähe ein Angriff aus?“„Welche Daten benötige ich zur Erkennung?“

DO Protect

„Was schütze ich wie?“„Welche Tools benötige ich?“

„Welche Prozesse benötige ich?“

CHECKDetect

Respond

„Was passiert gerade?“„Was wird vorbereitet?“

„Wer agiert“„Wie reagiere ich angemessen?“

ACTRecover„Was muss ich sichern?“„Was waren Ursachen?“„Wie vermeide ich Wiederholung?“„Wie entwickle ich mich weiter?“

Define

Manage Perform

„Readiness“� Präpariertheit (Regelungen, Prozesse…)

„Responsiveness“� Flexibilität und Vernetztheit der Organisation

„Resilience“� Widerstandsfähigkeit der Security-Architektur

„Reproducibility“ � Reifegrad der Abläufe

Die Ziele nochmal als Take-Home-Message:Readiness – Responsiveness – Resilience – Reproducibility

39

KPMG Security Consulting in Deutschland

124 FTE

DRIVEN BY BUSINESSWe work with our clients to move their business forward. Positively managing cyber risk not only helps take control of uncertainty across business; it can be turned into a genuine strategic advantage.RAZOR SHARP INSIGHTSIn a fast-moving digital world of constantly evolving threats and opportunities, you need both agility and assurance.Our people are experts in both cyber security and our priority sectors, which means we give our clients leading edge insight, ideas and proven solutions to act with confidence.SHOULDER TO SHOULDERWe work with our clients as long term partners, giving them advice and challenge to make decisions with confidence. We understand that this area is often clouded by feelings of doubt and vulnerability so we work hand-in-hand with them to turn that into a real sense of security and opportunity.

The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

The KPMG name, logo and “cutting through complexity” are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).

HELPING CLIENTS SPREAD THEIR WINGS

Dr. Sebastian SteffensPartner, Security ConsultingTel +49 69 9587 2424ssteffens@kpmg.com

THANKYOUPRESENTATION BYDr. Sebastian Steffens