SlideShare une entreprise Scribd logo

Incident response

Digicomp Academy AG
Digicomp Academy AG
Technologie
1  sur  28
Télécharger pour lire hors ligne
Hacking Day 2012 – Future Security Incident Response – so reagieren Sie richtig Christoph Baumgartner - CEO & Inhaber - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
Vorstellung Über mich → Christoph Baumgartner → Studium der Wirtschaftsinformatik Universität Zürich (MSc UZH IS) → Seit 1996 Berater in den Bereichen IT Security und Strategie → Gründer der OneConsult GmbH im Jahr 2003 → Seither CEO und Inhaber → ISECOM Board Member © 2012 OneConsult GmbH 3 www.oneconsult.com
Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ Tätig in allen Branchen → Kompetenz ◦ Mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
Der Fall DigiNotar DigiNotar BV → 1997 gegründet und im Januar 2011 von VASCO Data Security International übernommen → Dienstleistungen für Notare und Betrieb zweier CAs ◦ Sub-CA der offiziellen PKI der holländischen Regierung ◦ Kommerzielle CA Datum Aktienkurs USD → Historie VASCO (Close) ◦ 19. Juli 2011: DigiNotar erkennt Hackerattacke 19.07.2011 13.44 ◦ 30. August 2011: VASCO verfasst Pressemitteilung 30.08.2011 7.01 ◦ 20. September 2011: Insolvenz von DigiNotar 20.09.2011 5.10 → Ausmass 12.06.2012 7.09 ◦ Mehr als 500 gefälschte Zertifikate ausgestellt ◦ Darunter weltbekannte Organisationen wie Facebook, Google, Microsoft, Mozilla, Skype, Thawte, die CIA und der Mossad ◦ Gefälschte Zertifikate nachweislich zum Ausspionieren der iranischen Bevölkerung missbraucht (Mittels Man-in-the-Middle Attacke) © 2012 OneConsult GmbH 7 www.oneconsult.com
Der Fall DigiNotar DigiNotar BV © 2012 OneConsult GmbH 8 www.oneconsult.com
Der Fall DigiNotar Was lief schief? → Mangelhafte Sicherheitsmassnahmen (laut Aussage des Auditors) ◦ In gleicher Domäne ◦ Schwache Passwörter ◦ Mangelhafter Schutz vor Malware ◦ usw. → Versuch, die Hackerattacke ◦ Zu verschweigen ◦ Nach Bekanntwerden deren Folgen zu beschönigen → Folgen ◦ Verlust der Vertrauenswürdigkeit (bei Softwareherstellern & Abstrafung an Börse) ◦ Alle von DigiNotar ausgegebene Zertifikate mussten für ungültig erklärt und von Software erkannt werden -> diverse Patches und Software-Updates ◦ Gesamte Zertifizierungsbranche betroffen: › Aufwand › Image-Schäden © 2012 OneConsult GmbH 9 www.oneconsult.com
Der Fall DigiNotar Richtige Reaktion → Sofortmassnahmen ◦ Zertifikatsausstellung unterbrechen ◦ Hackerattacke stoppen/verhindern (z.B. Systemzugriff via Internet verunmöglichen) ◦ Geschäftsleitung und Inhaber informieren ◦ Untersuchung des Vorfalls initiieren › Vorkommnis › Schadensausmass und Auswirkungen › Kontakt mit Behörden und evtl. mit Spezialisten aufnehmen → Innert 12 h ◦ Andere CAs und Kunden informieren ◦ Medienmitteilung veröffentlichen und laufend aktualisieren (mit Erkenntnissen und News) © 2012 OneConsult GmbH 10 www.oneconsult.com
Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 11 www.oneconsult.com
Situativ richtig reagieren Grundsätze → Keine Organisation ist vor Security Incidents gefeit → Je grösser, erfolgreicher und/oder bekannter eine Organisation, desto höher die Eintrittswahrscheinlichkeit von Security Incidents → Es gibt bei Hacker- und Malware-Attacken oder Datendiebstahl nicht das eine richtige Vorgehen, sondern es geht darum, die Strategie mit den geringsten (potenziell) unerwünschten Nebenwirkungen zu erkennen und konsequent umzusetzen. © 2012 OneConsult GmbH 12 www.oneconsult.com
Situativ richtig reagieren Incident Response-Prozess Alarmieren Incident Response Reflektieren optimieren Incident Response Reagieren analysieren © 2012 OneConsult GmbH 13 www.oneconsult.com
Situativ richtig reagieren Phase 1: Alarmieren Alarmieren → Wen informieren? Incident Response Reflektieren optimieren ◦ Informationssicherheitsverantwortlichen (CISO, SSO, Leiter IT, CIO, etc.) oder Vorgesetzten Incident Response Reagieren analysieren ◦ Nicht Geschäftsleitung (weil anderer Fokus, wird anschliessend vom Informationssicherheitsverantwortlichen informiert) → Information über ◦ Typ des Vorfalls ◦ Zeitpunkt (Vorfall bzw. Entdeckung) ◦ Auswirkungen / Schaden bisher (soweit abschätzbar) © 2012 OneConsult GmbH 14 www.oneconsult.com
Situativ richtig reagieren Phase 2: Reflektieren (1) Alarmieren → Nachdenken! Incident Response optimieren Reflektieren → Folgende Punkte klären ◦ Höhe Schadensausmass in zeitlicher Abhängigkeit? ◦ Nur direkte Schadensbegrenzung oder rechtliche Incident Response analysieren Reagieren Schritte gegen Verursacher offenhalten? ◦ Höhe des Risikos von Kollateralschäden? ◦ Mögliche Lösungsansätze › technische, › organisatorische, › oder rechtliche und deren direkte und indirekte Konsequenzen › rechtliche, › finanzielle, › und Firmen-Image-relevant ◦ Lösung mit Bordmitteln möglich oder externe Hilfe benötigt? © 2012 OneConsult GmbH 15 www.oneconsult.com
Situativ richtig reagieren Phase 2: Reflektieren (2) Alarmieren → Juristische Stolpersteine Incident Response Reflektieren optimieren ◦ Rechtsabteilung/Juristen nach Möglichkeit in Entscheidungsfindung einbeziehen Incident Response Reagieren analysieren ◦ Spezialisten für forensische Analysen beiziehen → Informationspolitik: Vorfall kommunizieren oder verheimlichen? © 2012 OneConsult GmbH 16 www.oneconsult.com
Situativ richtig reagieren Phase 3: Reagieren Alarmieren → Sobald Entscheid gefallen ist, Massnahme(n) Incident Response Reflektieren optimieren ◦ kommunizieren (intern und evtl. extern), ◦ umsetzen, Incident Response analysieren Reagieren ◦ und dokumentieren → Zeit messen Entscheidungs- Alarmierung Umsetzung findung © 2012 OneConsult GmbH 17 www.oneconsult.com
Situativ richtig reagieren Phase 4: Incident Response analysieren Alarmieren → Erwartungen erfüllt? Incident Response Reflektieren optimieren ◦ Qualität der Massnahme(n) ◦ Aufwand und Kosten Incident Response analysieren Reagieren ◦ Dauer ◦ Auswirkungen → Verbesserungspotential? ◦ Alarmierungsprozess ◦ Ausbildung ◦ Ressourcenplanung ◦ Kommunikation ◦ etc. © 2012 OneConsult GmbH 18 www.oneconsult.com
Situativ richtig reagieren Phase 5: Incident Response optimieren Alarmieren → Optimierungen durchführen Incident Response Reflektieren optimieren ◦ Organisation › Aufbau (Organigramm) Incident Response analysieren Reagieren › Ablauf (Prozesse) › Vorgaben ◦ Ressourcen › Human Resources › Hard- und Software › Services © 2012 OneConsult GmbH 19 www.oneconsult.com
Situativ richtig reagieren Beispiel 1: Hacker- und Malware-Attacke → Prämisse: Verzicht auf strafrechtliche Verfolgung zugunsten möglichst rascher Wieder-Verfügbarkeit → Vorgehen 1. Betroffenes System temporär vom Netz nehmen (evtl. Ersatzsystem oder Info-Seite aufschalten) 2. Letzte nicht kompromittierte Datensicherung einspielen 3. System härten 4. System mittels eines Security Scan oder Penetration Test auf Sicherheitslücken überprüfen 5. Falls nötig erneut härten und überprüfen 6. System wieder ans Netz anschliessen © 2012 OneConsult GmbH 20 www.oneconsult.com
Situativ richtig reagieren Beispiel 2: Datendiebstahl → Prämisse: (un)bekannte Person(en) in-Flagranti ertappt → Vorgehen 1. Sicherheitsdienst oder den Informationssicherheitsverantwortlichen rufen lassen 2. Betroffene(n) Person(en) nach Möglichkeit verbal an weiteren Mani- pulationen und am Verlassen des Raumes hindern, ohne hand- greiflich zu werden! → Vermeintliche Heldentaten sind hier fehl am Platz! © 2012 OneConsult GmbH 21 www.oneconsult.com
Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 22 www.oneconsult.com
Massnahmen Technische Massnahmen → Systemhärtung → Redundante Systeme/Komponenten → Ersatzsysteme/-komponenten (vor-Ort/beim Lieferanten) → Firewalls (Network- & Data Centric) → Netzwerkzonierung → Schutz vor Malware → Intrusion Detection & Prevention Systeme (Netzwerk- und Host- basiert) → Access, Transaction & Network Logging & Monitoring → Datenverschlüsselung → Backup → Load Balancer → Kameraüberwachung → … © 2012 OneConsult GmbH 23 www.oneconsult.com
Massnahmen Organisatorisch/konzeptionelle Massnahmen (1) → Risikoanalyse und -beurteilung ◦ Welchen Gefahren ist das Unternehmen ausgesetzt? ◦ Wie hoch sind Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe? → Klassifikation von Informationen/Daten ◦ Was ist schützenswert? ◦ Wie hoch ist der Schutzbedarf? → Dokumente ◦ Informations-/IT-Sicherheitsstrategie ◦ Zielgruppengerechte Reglemente und Handlungsanweisungen ◦ Setup- und Hardening Guides ◦ … © 2012 OneConsult GmbH 24 www.oneconsult.com
Massnahmen Organisatorisch/konzeptionelle Massnahmen (2) → Security Awareness → Change Management Prozess ◦ Was? ◦ Wann? ◦ Wer? ◦ Ausnahmen? → Notfallszenarien ◦ Detaillierte Notfallpläne ◦ Notfallübungen → Hilfestellung zu möglichen Massnahmen beispielsweise in ◦ ISO/IEC Normenfamilie 2700x ◦ BSI-Standards 100-x © 2012 OneConsult GmbH 25 www.oneconsult.com
Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 26 www.oneconsult.com
Fazit Fazit → Jeden kann es treffen → Zuerst denken dann handeln → Strategie mit den geringsten (potenziell) unerwünschten Nebenwirkungen erkennen und konsequent umsetzen → Präventive Massnahmen treffen → Übung macht den Meister © 2012 OneConsult GmbH 27 www.oneconsult.com
© 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Christoph Baumgartner MSc UZH IS, OPST CEO & Owner christoph.baumgartner@oneconsult.com +41 79 256 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com

Recommandé

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Does audit make us more secure
Does audit make us more secureDoes audit make us more secure
Does audit make us more secureEnterpriseGRC Solutions, Inc.
 
Implementing Enterprise Risk Management with ISO 31000:2009
Implementing Enterprise Risk Management with ISO 31000:2009Implementing Enterprise Risk Management with ISO 31000:2009
Implementing Enterprise Risk Management with ISO 31000:2009Goutama Bachtiar
 
ERM - Überblick
ERM - ÜberblickERM - Überblick
ERM - Überblicklehrerfreund
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 

Recommandé

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Does audit make us more secure
Does audit make us more secureDoes audit make us more secure
Does audit make us more secureEnterpriseGRC Solutions, Inc.
 
Implementing Enterprise Risk Management with ISO 31000:2009
Implementing Enterprise Risk Management with ISO 31000:2009Implementing Enterprise Risk Management with ISO 31000:2009
Implementing Enterprise Risk Management with ISO 31000:2009Goutama Bachtiar
 
ERM - Überblick
ERM - ÜberblickERM - Überblick
ERM - Überblicklehrerfreund
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeQumram
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeHumoback
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesOPITZ CONSULTING Deutschland
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Christopher Kampshoff
 
Digitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und ITDigitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und ITGenerali Deutschland
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer HandEnde zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer HandDell Technologies
 
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?Rene Buest
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitFraunhofer Institute for Secure Information Technology
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightRaffael Marty
 
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012IKS Gesellschaft für Informations- und Kommunikationssysteme mbH
 
OC|Webcast Smart Innovation am 7. April 2020
OC|Webcast Smart Innovation am 7. April 2020OC|Webcast Smart Innovation am 7. April 2020
OC|Webcast Smart Innovation am 7. April 2020OPITZ CONSULTING Deutschland
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmenphilippkumar
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 

Contenu connexe

Similaire à Incident response

Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeQumram
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - GründeHumoback
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Christopher Kampshoff
 
Digitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und ITDigitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und ITGenerali Deutschland
 
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer HandEnde zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer HandDell Technologies
 
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?Rene Buest
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightRaffael Marty
 
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmenphilippkumar
 

Similaire à Incident response (20)

Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - Gründe
 
Web Archivierung - Gründe
Web Archivierung - GründeWeb Archivierung - Gründe
Web Archivierung - Gründe
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
Erfolgsfaktoren von Mobile Wallets (Cebit Präsentation 14)
 
Digitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und ITDigitalisierung in der Versicherungswirtschaft und IT
Digitalisierung in der Versicherungswirtschaft und IT
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 
Ende zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer HandEnde zu Ende IT Sicherheitslösungen aus einer Hand
Ende zu Ende IT Sicherheitslösungen aus einer Hand
 
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
CeBIT Webciety 2013 - Private & Public Cloud: Wohin geht die Reise?
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock Insight
 
Bernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert: Code of conduct zum Datenschutz
Bernd Fuhlert: Code of conduct zum Datenschutz
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
 
OC|Webcast Smart Innovation am 7. April 2020
OC|Webcast Smart Innovation am 7. April 2020OC|Webcast Smart Innovation am 7. April 2020
OC|Webcast Smart Innovation am 7. April 2020
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
 

Plus de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Plus de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Incident response

  • 1. Hacking Day 2012 – Future Security Incident Response – so reagieren Sie richtig Christoph Baumgartner - CEO & Inhaber - OneConsult GmbH © 2012 OneConsult GmbH 14. Juni 2012 www.oneconsult.com
  • 2. Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 2 www.oneconsult.com
  • 3. Vorstellung Über mich → Christoph Baumgartner → Studium der Wirtschaftsinformatik Universität Zürich (MSc UZH IS) → Seit 1996 Berater in den Bereichen IT Security und Strategie → Gründer der OneConsult GmbH im Jahr 2003 → Seither CEO und Inhaber → ISECOM Board Member © 2012 OneConsult GmbH 3 www.oneconsult.com
  • 4. Vorstellung OneConsult GmbH → IT Security Consulting & strategische Beratung → Kein Verkauf von Hard- und Software → Kunden ◦ Hunderte Unternehmen und Konzerne in Europa und Übersee ◦ Tätig in allen Branchen → Kompetenz ◦ Mehr als 500 technische Security Audits (davon 450 OSSTMM konform) ◦ Dutzende konzeptionelle Projekte → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Deutschland: Büro in München ◦ Österreich: Büro in Wien © 2012 OneConsult GmbH 4 www.oneconsult.com
  • 5. Vorstellung Unsere Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning → Consulting ◦ Secure Software Development ◦ Strategy & Organisation ◦ Coaching ◦ Policies & Guidelines ◦ Processes & Documentation → Security as a Service ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2012 OneConsult GmbH 5 www.oneconsult.com
  • 6. Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 6 www.oneconsult.com
  • 7. Der Fall DigiNotar DigiNotar BV → 1997 gegründet und im Januar 2011 von VASCO Data Security International übernommen → Dienstleistungen für Notare und Betrieb zweier CAs ◦ Sub-CA der offiziellen PKI der holländischen Regierung ◦ Kommerzielle CA Datum Aktienkurs USD → Historie VASCO (Close) ◦ 19. Juli 2011: DigiNotar erkennt Hackerattacke 19.07.2011 13.44 ◦ 30. August 2011: VASCO verfasst Pressemitteilung 30.08.2011 7.01 ◦ 20. September 2011: Insolvenz von DigiNotar 20.09.2011 5.10 → Ausmass 12.06.2012 7.09 ◦ Mehr als 500 gefälschte Zertifikate ausgestellt ◦ Darunter weltbekannte Organisationen wie Facebook, Google, Microsoft, Mozilla, Skype, Thawte, die CIA und der Mossad ◦ Gefälschte Zertifikate nachweislich zum Ausspionieren der iranischen Bevölkerung missbraucht (Mittels Man-in-the-Middle Attacke) © 2012 OneConsult GmbH 7 www.oneconsult.com
  • 8. Der Fall DigiNotar DigiNotar BV © 2012 OneConsult GmbH 8 www.oneconsult.com
  • 9. Der Fall DigiNotar Was lief schief? → Mangelhafte Sicherheitsmassnahmen (laut Aussage des Auditors) ◦ In gleicher Domäne ◦ Schwache Passwörter ◦ Mangelhafter Schutz vor Malware ◦ usw. → Versuch, die Hackerattacke ◦ Zu verschweigen ◦ Nach Bekanntwerden deren Folgen zu beschönigen → Folgen ◦ Verlust der Vertrauenswürdigkeit (bei Softwareherstellern & Abstrafung an Börse) ◦ Alle von DigiNotar ausgegebene Zertifikate mussten für ungültig erklärt und von Software erkannt werden -> diverse Patches und Software-Updates ◦ Gesamte Zertifizierungsbranche betroffen: › Aufwand › Image-Schäden © 2012 OneConsult GmbH 9 www.oneconsult.com
  • 10. Der Fall DigiNotar Richtige Reaktion → Sofortmassnahmen ◦ Zertifikatsausstellung unterbrechen ◦ Hackerattacke stoppen/verhindern (z.B. Systemzugriff via Internet verunmöglichen) ◦ Geschäftsleitung und Inhaber informieren ◦ Untersuchung des Vorfalls initiieren › Vorkommnis › Schadensausmass und Auswirkungen › Kontakt mit Behörden und evtl. mit Spezialisten aufnehmen → Innert 12 h ◦ Andere CAs und Kunden informieren ◦ Medienmitteilung veröffentlichen und laufend aktualisieren (mit Erkenntnissen und News) © 2012 OneConsult GmbH 10 www.oneconsult.com
  • 11. Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 11 www.oneconsult.com
  • 12. Situativ richtig reagieren Grundsätze → Keine Organisation ist vor Security Incidents gefeit → Je grösser, erfolgreicher und/oder bekannter eine Organisation, desto höher die Eintrittswahrscheinlichkeit von Security Incidents → Es gibt bei Hacker- und Malware-Attacken oder Datendiebstahl nicht das eine richtige Vorgehen, sondern es geht darum, die Strategie mit den geringsten (potenziell) unerwünschten Nebenwirkungen zu erkennen und konsequent umzusetzen. © 2012 OneConsult GmbH 12 www.oneconsult.com
  • 13. Situativ richtig reagieren Incident Response-Prozess Alarmieren Incident Response Reflektieren optimieren Incident Response Reagieren analysieren © 2012 OneConsult GmbH 13 www.oneconsult.com
  • 14. Situativ richtig reagieren Phase 1: Alarmieren Alarmieren → Wen informieren? Incident Response Reflektieren optimieren ◦ Informationssicherheitsverantwortlichen (CISO, SSO, Leiter IT, CIO, etc.) oder Vorgesetzten Incident Response Reagieren analysieren ◦ Nicht Geschäftsleitung (weil anderer Fokus, wird anschliessend vom Informationssicherheitsverantwortlichen informiert) → Information über ◦ Typ des Vorfalls ◦ Zeitpunkt (Vorfall bzw. Entdeckung) ◦ Auswirkungen / Schaden bisher (soweit abschätzbar) © 2012 OneConsult GmbH 14 www.oneconsult.com
  • 15. Situativ richtig reagieren Phase 2: Reflektieren (1) Alarmieren → Nachdenken! Incident Response optimieren Reflektieren → Folgende Punkte klären ◦ Höhe Schadensausmass in zeitlicher Abhängigkeit? ◦ Nur direkte Schadensbegrenzung oder rechtliche Incident Response analysieren Reagieren Schritte gegen Verursacher offenhalten? ◦ Höhe des Risikos von Kollateralschäden? ◦ Mögliche Lösungsansätze › technische, › organisatorische, › oder rechtliche und deren direkte und indirekte Konsequenzen › rechtliche, › finanzielle, › und Firmen-Image-relevant ◦ Lösung mit Bordmitteln möglich oder externe Hilfe benötigt? © 2012 OneConsult GmbH 15 www.oneconsult.com
  • 16. Situativ richtig reagieren Phase 2: Reflektieren (2) Alarmieren → Juristische Stolpersteine Incident Response Reflektieren optimieren ◦ Rechtsabteilung/Juristen nach Möglichkeit in Entscheidungsfindung einbeziehen Incident Response Reagieren analysieren ◦ Spezialisten für forensische Analysen beiziehen → Informationspolitik: Vorfall kommunizieren oder verheimlichen? © 2012 OneConsult GmbH 16 www.oneconsult.com
  • 17. Situativ richtig reagieren Phase 3: Reagieren Alarmieren → Sobald Entscheid gefallen ist, Massnahme(n) Incident Response Reflektieren optimieren ◦ kommunizieren (intern und evtl. extern), ◦ umsetzen, Incident Response analysieren Reagieren ◦ und dokumentieren → Zeit messen Entscheidungs- Alarmierung Umsetzung findung © 2012 OneConsult GmbH 17 www.oneconsult.com
  • 18. Situativ richtig reagieren Phase 4: Incident Response analysieren Alarmieren → Erwartungen erfüllt? Incident Response Reflektieren optimieren ◦ Qualität der Massnahme(n) ◦ Aufwand und Kosten Incident Response analysieren Reagieren ◦ Dauer ◦ Auswirkungen → Verbesserungspotential? ◦ Alarmierungsprozess ◦ Ausbildung ◦ Ressourcenplanung ◦ Kommunikation ◦ etc. © 2012 OneConsult GmbH 18 www.oneconsult.com
  • 19. Situativ richtig reagieren Phase 5: Incident Response optimieren Alarmieren → Optimierungen durchführen Incident Response Reflektieren optimieren ◦ Organisation › Aufbau (Organigramm) Incident Response analysieren Reagieren › Ablauf (Prozesse) › Vorgaben ◦ Ressourcen › Human Resources › Hard- und Software › Services © 2012 OneConsult GmbH 19 www.oneconsult.com
  • 20. Situativ richtig reagieren Beispiel 1: Hacker- und Malware-Attacke → Prämisse: Verzicht auf strafrechtliche Verfolgung zugunsten möglichst rascher Wieder-Verfügbarkeit → Vorgehen 1. Betroffenes System temporär vom Netz nehmen (evtl. Ersatzsystem oder Info-Seite aufschalten) 2. Letzte nicht kompromittierte Datensicherung einspielen 3. System härten 4. System mittels eines Security Scan oder Penetration Test auf Sicherheitslücken überprüfen 5. Falls nötig erneut härten und überprüfen 6. System wieder ans Netz anschliessen © 2012 OneConsult GmbH 20 www.oneconsult.com
  • 21. Situativ richtig reagieren Beispiel 2: Datendiebstahl → Prämisse: (un)bekannte Person(en) in-Flagranti ertappt → Vorgehen 1. Sicherheitsdienst oder den Informationssicherheitsverantwortlichen rufen lassen 2. Betroffene(n) Person(en) nach Möglichkeit verbal an weiteren Mani- pulationen und am Verlassen des Raumes hindern, ohne hand- greiflich zu werden! → Vermeintliche Heldentaten sind hier fehl am Platz! © 2012 OneConsult GmbH 21 www.oneconsult.com
  • 22. Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 22 www.oneconsult.com
  • 23. Massnahmen Technische Massnahmen → Systemhärtung → Redundante Systeme/Komponenten → Ersatzsysteme/-komponenten (vor-Ort/beim Lieferanten) → Firewalls (Network- & Data Centric) → Netzwerkzonierung → Schutz vor Malware → Intrusion Detection & Prevention Systeme (Netzwerk- und Host- basiert) → Access, Transaction & Network Logging & Monitoring → Datenverschlüsselung → Backup → Load Balancer → Kameraüberwachung → … © 2012 OneConsult GmbH 23 www.oneconsult.com
  • 24. Massnahmen Organisatorisch/konzeptionelle Massnahmen (1) → Risikoanalyse und -beurteilung ◦ Welchen Gefahren ist das Unternehmen ausgesetzt? ◦ Wie hoch sind Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe? → Klassifikation von Informationen/Daten ◦ Was ist schützenswert? ◦ Wie hoch ist der Schutzbedarf? → Dokumente ◦ Informations-/IT-Sicherheitsstrategie ◦ Zielgruppengerechte Reglemente und Handlungsanweisungen ◦ Setup- und Hardening Guides ◦ … © 2012 OneConsult GmbH 24 www.oneconsult.com
  • 25. Massnahmen Organisatorisch/konzeptionelle Massnahmen (2) → Security Awareness → Change Management Prozess ◦ Was? ◦ Wann? ◦ Wer? ◦ Ausnahmen? → Notfallszenarien ◦ Detaillierte Notfallpläne ◦ Notfallübungen → Hilfestellung zu möglichen Massnahmen beispielsweise in ◦ ISO/IEC Normenfamilie 2700x ◦ BSI-Standards 100-x © 2012 OneConsult GmbH 25 www.oneconsult.com
  • 26. Agenda Agenda → Vorstellung → Der Fall DigiNotar → Situativ richtig reagieren → Massnahmen → Fazit © 2012 OneConsult GmbH 26 www.oneconsult.com
  • 27. Fazit Fazit → Jeden kann es treffen → Zuerst denken dann handeln → Strategie mit den geringsten (potenziell) unerwünschten Nebenwirkungen erkennen und konsequent umsetzen → Präventive Massnahmen treffen → Übung macht den Meister © 2012 OneConsult GmbH 27 www.oneconsult.com
  • 28. © 2012 OneConsult GmbH www.oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Christoph Baumgartner MSc UZH IS, OPST CEO & Owner christoph.baumgartner@oneconsult.com +41 79 256 25 25 Hauptsitz Büro Deutschland Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Karlstraße 35 Wienerbergstraße 11/12A 8800 Thalwil 80333 München 1100 Wien Schweiz Deutschland Österreich Tel +41 43 377 22 22 Tel +49 89 452 35 25 25 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +49 89 452 35 21 10 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.de info@oneconsult.at © 2012 OneConsult GmbH www.oneconsult.com