ein blick auf cybercrime, täter und taten - auch eine ... kongress ein b… · ein blick auf...
TRANSCRIPT
Ein Blick auf CyberCrime, Täter und Taten- auch eine Bedrohung für das Bauwesen?10 Jahre DVP-ZERT® – Der Kongress
20. September 2019
2
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Forensic?
Quelle: NBC Wiki, 2018Quelle: TÜV Rheinland, 2018
vs.
3
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Michael SauermannPartner, Head of Forensic Technology Germany
• Standort Berlin, deutschlandweit tätig
• Diplom Kaufmann
• Dozent für IT-Forensik an der Universität Wismar
Digital Evidence RecoveryGerichtsverwertbare Sicherung digitaler Datenbestände. Als ein häufig unverzichtbares Element bei der Aufklärung wirtschaftskrimineller Handlungen werden (soweit möglich) nicht mehr direkt ansprechbare Daten wiederhergestellt.
Cyber Incident Response & Cybercrime InvestigationUnterstützung bei der Erstreaktion und -beurteilung, Eindämmung, Beweissicherung, Analyse und gerichtsfesten Aufbereitung unterschiedlicher Arten von informations- bzw. datenbezogenen Sicherheitsvorfällen.
Incident Readiness & Incident Litigation Readiness Unterstützung bei der Optimierung des Zusammenspiels von technologischen, organisatorischen und datenschutzrechtlichen Herausforderungen im Zusammenhang mit Cyber Security Incidents und der Beweisführung anhand großer Datenmengen.
eDiscovery / Evidence and Disclosure Management Die Bereitstellung digitaler Beweise und anderer Informationen durch zentral kontrollierte Portalsysteme mit umfassenden Such- und Analysesystemen.
Forensic Data AnalyticsDie Analyse umfangreicher Unternehmensdaten dient der Entdeckung von Schwachstellen in Kontrollsystemen sowie der Aufdeckung von unternehmensschädigenden Handlungen durch interne oder externe Personen oder Organisationen.
Leis
tung
spor
tfolio
KPM
G F
oren
sic
Tech
nolo
gy
4
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
CybercrimeCybercrime umfasst die Straftaten, die sich gegen
— das Internet,— Datennetze,— informationstechnische
Systeme— oder deren Daten
richten oder mittels dieserInformationstechnikbegangen werden.
WirtschaftskriminalitätStraftaten, die in Unternehmen,an Unternehmen und durchUnternehmen begangen werden,beispielsweise:
— Anlagedelikte— Finanzierungsdelikte— Insolvenzdelikte— Arbeitsdelikte— Wettbewerbsdelikte— Gesundheitsdelikte— Etc.
Wirtschaftskriminalität
Wirtschaftskriminalität & Cybercrime
Cybercrime
5
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Post-mortem Analyse
Live (Online) Forensic
Incident Response
Der Begriff Computer-Forensik/IT-Forensik hat sich in den letzten Jahren für den der Nachweis und die Ermittlung von Straftaten im Bereich der Computerkriminalität durchgesetzt.In Anlehnung an die allgemeine Erklärung des lateinischen Worts Forensik ist die Computer-Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt.
Eine BegriffsbestimmungIT-Forensik
Überblick über die aktuelle Risikosituation
7
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
One cannot be
prepared for
something while
secretly believing itwill not happen.Nelson Mandela, 1918 - 2013
Quelle: South African History Online, 2018
8
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
123
e-Crime in der deutschen Wirtschaft 2019Studie
Von Erpressung betroffen
2015: 5%2017: 19%2019: 25%
Gesamtschaden
2017: 22% über 100.000 EUR, 5% über 1 Mio. EUR2019: 40% über 100.000 EUR, 7% über 1 Mio. EUR
Versäumnisse bei Reaktion
2015: 25%2017: 36%2019: 34%
Von e-Crime in den letzten zwei Jahren betroffen
2015: 40%2017: 38%2019: 39%
Allgemeines Risiko fürdeutsche Unternehmen
hoch/sehr hoch2015: 89%2017: 88%2019: 92%
Risiko für das eigeneUnternehmen
hoch/sehr hoch
2015: 39%2017: 48%2019: 52%
https://home.kpmg/de/de/home/themen/2019/07/e-crime-in-der-deutschen-wirtschaft-2019.html
1.001
Unternehmen
9
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
e-Crime Betroffenheit nach Delikttyp
10
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Mögliche Cybercrime-Delikte
Fake PresidentPhishing und Whaling
DatenleckAusspähen oder Abfangen von
Daten
DatendiebstahlMalware/Schadsoftware
Identitäts-diebstahl und -vortäuschung
Computerbetrug
Blockade der Unternehmens-IT
durch Überlastung
(DDoS)
Hacker-Angriff (APT)
Erpressung & Verschlüsselung (Ransomware)
Verletzung von Geschäfts- oder
Betriebs-geheimnissen
Manipulation von
Konto- und Finanzdaten
Erpressung
Verletzung vonUrheberrechten
System-beschädigungenoder Computer-
sabotage
11
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
RansomwareErpressungs-Trojaner
— Emotet E-Mails sind oft Antworten auf echte E-Mails mit echten Geschäftsvorfällen
— Der in einem Word-Dokument versteckte Trojaner lädt Spyware (TrickBot) und Ransomware (Ryuk) nach
— Automatische Ausbreitung über das Unternehmensnetzwerk, z.T. auch manuelle Eingriffe der Angreifer um bspw. Backups zu finden
Quelle: Heise, 06.06.19 - https://bit.ly/2F3Pu6l
Beispiele
Alte Masche Advanced: Emotet
— Ende 2018: Emotet legt die IT-Abteilung eines Klinikums in Bayern lahm, Computer von Krauss Maffei werden für zwei Wochen verschlüsselt
— Mai 2019: Heise wird mit Emotet infiziert, Schaden > 50.000 €
12
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Datendiebstahl & Spionage
Schwer zu erkennen, hohe Kosten— Über verschiedenste Wege verschaffen sich Angreifer
Zugriff auf Daten eines Unternehmens, z.B.— Spear-Phishing— Hacking von E-Mail Servern— Ausnutzen von Schwachstellen in z.B. Funktastaturen
— Beliebte Ziele sind: Adressdaten, Konto- und Kreditkartendaten, Passwörter und sensible Geschäftsinformationen
— Die im Rahmen eines solchen Datenlecks erbeuteten Daten werden z.B. für illegale Aktivitäten wie den Versand von Werbemails, für Zahlungsmittelbetrug oder für Erpressung genutzt
Durchschnittlich EUR 4,11 Millionen Kosten
Versteckte Kosten
13
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Betroffene Informationsarten
14
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Auch eine Bedrohung für das Bauwesen?
Quelle: Handelsblatt, 01.11.18 - https://bit.ly/2K2QBWP
Quelle: Futurezone.at, 02.05.19 - https://bit.ly/2MmcAtb
15
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Ziele
Auch Kriminelle betreiben EntwicklungsarbeitDigitale Bedrohungslage
Isolierte Kriminelle „Script Kiddies“
Organisierte Kriminalität Nationalstaaten Hacktivisten Insiders
Wachstum der Kooperation zwischen den Kriminellen
Entwicklung von Cybercrime-as-a-Service
Diebstahl der Identität
Möglichkeit zur Selbstdarstellung
Erschleichung von Dienstleistungen
Geistiges Eigentum Finanzinformationen Zugriff auf
Unternehmensstrategie Liquidität
Monetärer Gewinn durch den Verkauf von bestehenden Hackertools an Dritte
Angr
eifer
Ständige Weiterentwicklung
der Angreifer-Profile
und der Betrugsszenarien
16
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Wo geht die Reise hin?
Quelle: IT-Zoom.de, 23.01.19 - https://bit.ly/2YbEFKV
Quelle: Handwerk.com, 17.07.19 - https://bit.ly/2LOkAnq
Computersabotage Ransomware
Datenleck
Datenmanipulation
Malware
Was tun?Prävention und Reaktion
18
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Versäumnisse beim Umgang mit e-CrimeStudie e-Crime 2019
17%Unklare Informationslage
17%Unklare Verantwortlichkeiten/Fehler in der Kommunikationskette
15%Unzureichend definierte Sofortmaßnahmen
14%Bei der unternehmensinternen Kommunikation der Vorkommnisse
13%Dauer bis zur Umsetzung nötiger Sofortmaßnahmen
In zwei von drei Fällen geben die Betroffenen an, dass es keine Versäumnisse beim Umgang mit
dem Angriff gab.
Folglich kann vielen Versäumnissen durch Trainings und Implementierung von
Krisenreaktions- und Kommunikationsplänen vorgebeugt
werden.!
Mangelhafte Kommunikation und Abstimmung sind häufig Grundlage der
meistgenannten Versäumnisse.
19
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Schnelle und effektive Erkennung und erste Eindämmung von Cyber-Sicherheitsvorfällen.
— 24/7 Forensic Hotline— Erstgespräch zur technischen und
organisatorischen Situationserfassung und Schadensbegrenzung
Detektion
Ursachenuntersuchung, vollständige Eindämmung, Wiederherstellung des normalen Geschäftsbetriebs und Krisenmanagement.
— Identifikation des Angriffsvektors— Forensische Sicherung und Analyse— Eindämmung des
Schadens/Wiederaufbau— Crisis Management
Reaktion
Vorbereitung eines Unternehmens auf Cyber-Sicherheitsvorfälle und Einleitung von präventiven Maßnahmen zum Schutz vor diesen.
— Incident und Forensic Readiness— Bestimmung des Cyber Security-
Reifegrads und Ableitung von Optimierungspotential
— Cyber Insurance
Prävention
Cyber Forensic Zyklus
2 | 3 |1 |
20
Document Classification: KPMG Public
© 2019 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
Erstellung eines LagebildsAuf Basis einer gemeinsamen Vorfallsaufnahme und Nutzung von Erfahrungen aus vorherigen Fällen
Eindämmung des VorfallsDurch risikoorientiere und situationsgerechte Maßnahmen
Analysen zur Untersuchung von Vorfallsausmaß und HergangFestplattenforensik, RAM-Forensik und Netzwerkforensik
Reaktionsteam aktivieren 24/7 Team
Reaktion: Der Ernstfall ist eingetroffen
Datensicherung vor-OrtForensische Sicherung untersuchungsrelevanter Daten
Ergreifen von Sofort-Maßnahmen und Definition nächster Schritte
Empfehlungen zum weiteren VorgehenPassgenaue Empfehlungen auf Basis von Organisations-Erfahrungen
Vielen Dankfür Ihre Aufmerksamkeit!
Document Classification: KPMG Public
© 2018 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der NameKPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
The KPMG name and logo are registered trademarks or trademarks of KPMG International.
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.
kpmg.com/socialmedia kpmg.com/app
Michael SauermannPartner, Head of Forensic TechnologyT +49 30 2068 [email protected]
KPMG AG WirtschaftsprüfungsgesellschaftKlingelhöferstraße 1810785 Berlin
0800-SOS KPMG
+49 800 [email protected]
24/7