Download - BSI Lagebericht 2014
BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert
BSI Lagebericht 2014• Bundesamt für Sicherheit in der Informationstechnik
• Bundesministerium des Inneren – Minister Maizière• 2014, 2013 (kurz), 2011, 2009, 2007 – Anfang 2015 wieder
• Die Lage der IT-Sicherheit in Deutschland 2014
• Aktuelle Gefährdungslage: kritisch• Anzahl der schweren Sicherheitslücken zu hoch• Angriffswerkzeuge werden ständig verbessert
• Ziele der Angriffe: Wirtschaft, Kritische Infrastruktur, Staatliche Stellen, Forschung aber auch Bürgerinnen und Bürger
Vorfälle 2014Statistik der Bundesverwaltung 2014
• 60.000 verseuchte E-mails pro Monat
• 15-20 neue (dem AV unbekannte) Malware pro Tag
• 1 Angriff pro Tag nachrichtendienstlich
• 3500 Zugriffe auf Schadcodeservern pro Tag
• 1 DoS Angriff pro Monat
• 0 Mobilangriffe
Vorfälle 2014Wirtschaft 2014
• Angriff auf Stahlwerk richtet Schaden an Hochofen an
• Energiebetreiber in DE generiert Probleme in Österreich
• Dragonfly Gruppe greift mehrere Duzend Industrieanlagen an und zieht Daten ab
• WindigoKampagne infiziert 30000 Linux Rechner in DE
• Bankrott in GB
• Hochfrequenzhandel in USA
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet
Angriffskategorien• Spam: unter Kontrolle
• Malware: Defensive Tools mit zweifelhafter Wirkhaftigkeit
• Drive-by und ExploitKits: nutzen typischerweise bekannte Schwachstellen und können mit Patchen abgedeckt werden
• Botnetze: über 1 Million Maschinen in DE
• Social Engineering: Benutzerausbildung hilft
• Identitätsverwaltung: problematisch Username/Passwort
• DoS: in DE nicht besonders verbreitet
• APT: auf gewisse Bereiche (Rüstung, Hochtechnologie, Autos, Schiffe, Raumfahrt) gezielt, noch keine Lösung
Schwachstellen mit hoher Relevanz“Hauptproblem: Veraltete Patchstände von OS und Applikationen”
• Microsoft Internet Explorer, Office und Windows
• Adobe Flash und Reader
• Oracle Java
• Mozilla Firefox und Thunderbird
• Apple OS X, Quicktime und Safari
• Google Chrome
• Linux Kernel
• Schwachstellenampel CERT-Bund
Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074
Beispiel Exploit Kit Angler• Zuletzt genutzt ISC (Bind9) Website – 22. Dezember
• ISC Website basiert auf Wordpress, WP backdoor installiert
• Attackvektor unbekannt, wahrscheinlich durch WP plugin
• Angler Exploitkit installiert• Adobe Flash CVE-2014-8440/8439/0515/0497 + CVE-2013-2551• Internet Explorer CVE-2014-1776/0322 + CVE-2013-2551• Silverlight CVE-2013-3896/0074
• Patchlevel• Adobe Flash – November 2014• Internet Explorer – MS14-021 21 April 2014 (0-day)• Silverlight – MS13-087 Oktober 2014
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
Beispiel Exploit Kit Angler - Update• Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen
Beispiel Exploit Kit Angler - Update• Januar 2015: Angler und Exploits für 2 * 0-days
• 0-day: bekannte Schwachstelle ohne Patch
• Security Researcher Kafeine - @kafeine
• CVE-2015-0310 – APSB14-02 22. Januar
• CVE-2015-0311 – APSB14-03 +- 24. Januar
• Flash unter Google Chrome nicht angegriffen
• EMET verhindert Angriff• Enhanced Mitigation Experience Toolkit – Zwangsjacke für Windows
• Attack Kampagnen haben schon angefangen
Fazit• Gefahrenlage ist hoch
• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten
Fazit• Gefahrenlage ist hoch
• Regierung• Strukturiert sich im Moment• International Aspekte erschweren• In den nächsten 10 Jahren ist keine aktive Hilfe zu erwarten
• Firmen müssen sich selbst schützen• BSI (und andere) Vorgaben befolgen • Aus vergangen Angriffen lernen
• JP Morgan – Angreifer benutzten Username/Passwort gegen Server• CHS – ‘Heartbleed’ Schwachstelle im VPN Server• Sony – Wurm verbreitete sich durch SMB mit bekannten Passwörtern
Prioritäten1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar
Prioritäten1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar
3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI
Prioritäten1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar
3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich
Prioritäten1. Identitätsmanagement verbessern
• 2FA einsetzen
2. Patchlage verbessern – Microsoft, Adobe, Oracle• Fokus auf Exploit verfügbar
3. Robust konfigurieren• Software deinstallieren wo möglich • Neuste Versionen einsetzen• Aktiv auf Sandboxing achten
• Google Chrome Browser, Office 2013, Adobe Reader XI• EMET oder ähnlich
4. Anomalien erkennen
Resourcen• BSI -
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
• CERT-Bund: https://www.cert-bund.de/schwachstellenampel
• Microsoft - https://technet.microsoft.com/library/security
• Adobe - http://blogs.adobe.com/psirt
• Apple - http://support.apple.com/en-us/HT1222
• Oracle Java - http://www.oracle.com/technetwork/topics/security/alerts-086861.html
• Microsoft EMET - https://technet.microsoft.com/en-us/security/jj653751