sicherheit und vertrauen - herausforderungen und chancen in einer digitalen gesellschaft
TRANSCRIPT
0 0 0 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Herausforderungen und Chancen in einer digitalen Gesellschaft
Sicherheit und Vertrauen -
1 1 1 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Wir leben in einer beschleunigten Zeit und offenen Welt
Glokalisierung
Urbanisierung
Beschleunigung Smart Zero
Stark steigende Volatilität
Globalisierung
Kürzere Entwicklungszyklen
Big Data Benutzerzentrierte Mobilität
Cloud
2 2 2 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Aktuelle Trends lenken den Blick auf die IKT-Sicherheit
Gefahren und aktuelle
Entwicklungen
3 3 3 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Aktuelle Entwicklungen: ein mehrfaches Aufrütteln
Snowden-Effekte
Befreundete Geheimdienste erweisen sich als Datenkraken
und spähen alles und jeden aus. Ein Admin kann so ziemlich alles
tun.
E-Mail- und Datenklau-Effekt
16+19 Mio. E-Mail-Identitäten werden gekapert, 1,2 Mrd.
Benutzerdaten gestohlen. Dabei wird teilweise schleppend
informiert.
Heartbleed-Effekt
Breit verwendete und ver-trauenswürdige Technologien erweisen sich als Einfallstor.
WhatsApp-Effekt
Unternehmen wechseln von heute auf morgen den Besitzer
und ändern die Spielregeln.
4 4 4 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Der Schaden ist beträchtlich
51 Milliarden Schäden durch Wirtschaftsspionage pro Jahr
61% der Spionage- und Sabotageakte betreffen mittelständische Unternehmen
Dramatische Imageschäden
Wie stellt sich eine Firma dazu auf - In ihrer IT - In ihren Produkten
Quelle: BITKOM – Presseinformation 16. April 2015 (http://www.bitkom.org/de/presse/8477_82074.aspx)
5 5 5 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Aktuelle Sicherheitslage
Sicherheit aktuell – ausgewählte
Schwachstellen
6 6 6 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Technische Möglichkeiten – versteckte Prozesse
Versteckte und ineinander verzahnte Prozesse im Betriebssystem führen Funktionen aus, über die der Nutzer keinen Einblick und auch keinen Einfluss hat.
7 7 7 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Technische Möglichkeiten – Physikalische Nebeneffekte
Zum Beispiel ermöglicht Backscattering Unbefugten, über die Stromversorgung Signale zu messen bzw. zu interpretieren, die durch die Elektronik des Computers ausgelöst werden (insbesondere durch den Hauptprozessor).
8 8 8 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Technische Möglichkeiten – Intelligente Sensoren
Mittels Hardware für eine Gestensteuerung lassen sich 3D-Bilder der sichtbaren Umgebung in Echtzeit generieren. Ganz ohne Wissen des Nutzers!
9 9 9 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Technische Möglichkeiten – Fahrzeug-WLAN
Unzureichend geschützte Drahtlose Netze in Fahrzeugen ermöglichen das Auslesen und Manipulieren des Fahrzeugs und der Benutzerdaten durch Unbefugte.
10 10 10 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Angriffspunkte End2End: Endpunkt – Übertragung - Rechenzentrum
Zugriff auf kritische Daten Admins können auf sensible Daten unbemerkt zugreifen
Daten werden abgefangen Ausgehende Daten können abgefangen, mitgelesen und manipuliert werden
Hackerangriffe Durch nicht durchgängiges Monitoring werden Hackerangriffe erleichtert; Logs können verfälscht werden Physikalischer Zugriff
auf Systeme durch unzureichend gesicherte Zugriffsprozesse
Remote Zugriff Übernahme und Steuerung der Systeme durch Fernzugriff
Bildschirminhalte können mitgelesen werden
Webcam und Mikrofon (intern/extern) können aktiviert und gesteuert werden (Raumüberwachung möglich)
Externe HDD, USB können Viren und Backdoors unbemerkt installieren
Maus- und Tastatureingaben können mitgelesen werden
Hauptspeicher speichert Daten unverschlüsselt
Interne Datenträger (HDD, SSD, DVD) sind trotz Verschlüsselung lesbar
BIOS, OS, Treiber, Anwendung Können Backdoors enthalten
Kommunikation (Internet/LAN/WAN) Backdoors in aktiven / passiven Netzwerk-Komponenten
Extranet Intranet Cloud Internet
11 11 11 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Wie gehen wir mit den Herausforderungen um?
Wie wir wieder Herr der (Sicherheits-)
Lage werden: Lösungskonzept
Digitale Souveränität
12 12 12 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
IKT-Sicherheit durchgängig gestalten
Vertraulichkeit
Klassifizierung von Information. Diese
muss gegen unerlaubte Nutzung und
Verteilung geschützt werden.
Verfügbarkeit
Integrität
Autorisierte Nutzer müssen zu jeder
Zeit verlässlichen Zugriff haben auf IT
Services, Daten und andere IT Fkt.
Alle Daten müssen vollständig /
verlässlich sein und dürfen nur
definiert verändert werden (können).
Endgerät Übertragung Rechenzentrum
Menschen Technologien Prozesse
Generierung Veränderung Entsorgung
Technische Maßnahmen unterstützen und
ergänzen organisatorische Maßnahmen
13 13 13 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Ein Beispiel
Sicherheit beim Geldtransport Fahrer in einem speziell geschützten Fahrzeug
Kein zugriff auf den Inhalt von Geldkassetten
Sicherheit im Rechenzentrum Administratoren im gesicherten Gebäude, Racks sind
mehr oder weniger gut geschützt
Administratoren haben Zugriff auf die Systeme (insbes. über Netzwerke) und damit auf die Daten
Digitale Souveränität verhindert jeden Zugriff (logisch oder physisch) durch Rechenzentrums-Angestellte aufgrund technischer Restriktionen.
16 16 16 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Vorteile - PalmSecure ID Match
Keine Speicherung von persönlichen
biometrischen Daten auf Servern oder in der Cloud
Kein Missbrauch im positiven (Pin und Karte
weitergeben) oder negativen Sinne (Pin
und Karte werden gestohlen) möglich
Verwendung erfolgt intuitiv, berührungslos
und hygienisch
Verarbeitung ist mit allen Datenschutz-
richtlinien konform, da die biometrischen
Daten nicht das Gerät verlassen
17 17 17 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Stealth Data Center – Portscans laufen ins Leere
IP verschlüsselt
Storage
verschlüsselt
Secure
Middleware
Admin
Angreifer
VPN
Server
gekapselt
Rechenzentrum
Viren/
Trojaner
Kapselung Anwender
19 19 19 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Gekapselte Anwendungen werden im Rechenzentrum ausgeführt und über eine verschlüsselte Verbindung zur Verwendung am Client übertragen
Lokale Speicherung von Dokumenten kann verhindert werden (USB /HDD)
Anwesenheitssensor Bildschirm wird gesperrt, sobald sich der Benutzer vom Gerät entfernt
Client Sicherheit
Sicherheitscontainer verstärkt die Anwendungsisolierung und reduziert Angriffsmöglichkeiten
Kompatibilität zu allen Windows Programmen
Einfache & sichere Anmeldung PalmSecure™ ist im Gerät integriert
20 20 20 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Internet
Das umfassende Lösungskonzept: Endgerät – Übertragung – Rechenzentrum
Digitale Souveränität
HTTPS/SSL
Endgerät
Rechenzentrum
Rechenzentrum
Geheimdienste,
Organisierte Kriminalität
Industriespionage
Basis für die Digitale Souveränität
21 21 21 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Ausblick
Ausblick
22 22 22 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Einmaliger Ansatz „Made in Germany“: Endgerät – Übertragung – Rechenzentrum
Ganzheitliches Lösungspaket, das alle Sicherheitsaspekte sowie Prozesse vom Endgerät über den Transport bis hin zum Rechenzentrum abdeckt
Sichere Lösung auf Basis der bestehenden Infrastrukturen und Technologien
Forschung und Entwicklung zur Sicherheitstechnologie in Deutschland und mit deutschen Partnern („Made in Germany“)
Fujitsu bietet als einziges Unternehmen in Deutschland alle Kompetenzen (Hardware und Softwarebereitstellung, Prozesse, Qualitätssicherung, Service, Support und Betrieb) vernetzt aus einer Hand
Jahrzehntelange, praxisbewährte Erfahrungen in den relevanten Themen
Unterliegt keinen internationalen Reglementierungen (z. B. Patriot Act)
23 23 23 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
24 24 24 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Beiträge von Fujitsu zur Digitalen Souveränität
Steigerung der Digitalen Kompetenz Nachhaltige Verbesserung der
digitalen Kompetenz der Akteure durch Beratung, Schulung usw.
Mit diesen Beiträgen ist Fujitsu Enabler für die
Digitale Souveränität
Nutzungsrechte & Patente Fujitsu ist Inhaber einer Vielzahl
von Patenten für moderne IT-Sicherheitstechnologie
Forschungs- & Entwicklungsarbeit „Made in Germany“
Fujitsu produziert und forscht seit vielen Jahren erfolgreich im
IT-Sicherheitsumfeld am Standort Deutschland in Augsburg
Erprobte IT- und Sicherheitstechnik und Methodenkompetenz
Fujitsu verfügt in diesem Feld über einen Wettbewerbsvorsprung und hat das in
verschiedenen Projekten, wie z. B. Palm Secure, nachgewiesen
Hardware, Software und Services Umfangreiches, erprobtes Portfolio, so
dass eine Realisierung in kurzer Zeit möglich ist
25 25 25 1. Vertrauensdiensteworkshop für die Träger 2. der Gesetzlichen Unfallversicherung; 1. Juli 2015, Berlin
Lokale Sicherheit – Beispiel Palm Vein für Endgerät & RZ
Genauigkeit
Ease
of
Use
Gesichts-erkennung
Finger- Abdruck
Palm Vein (Handvene)
hoch
hoch niedrig
Stimm-erkennung
Unterschrift Iris/Retina
Fingervene
False Acceptance Rate (FAR) & False Rejection Rate Comparison (FRR)
Authentisierungs-methode
FAR (%) = bei FRR (%) =
Gesichtserkennung ~ 1.3 ~ 2.6
Stimmerkennung ~ 0.01 ~ 0.3
Fingerabdruck ~ 0.001 ~ 0.1
Fingervene ~ 0.0001 ~ 0.01
Iris/Retina ~ 0.0001 ~ 0.01
Fujitsu Palm Vein <0.00008 ~ 0.01