Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber...
Transcript of Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber...
![Page 1: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/1.jpg)
Daten-Security in der Lebensmittelbranche
FOTEC Forschungs- und Technologietransfer GmbHManuel Fasching, MSc
ecoplus. Lebensmittel Cluster NiederösterreichDI Katharina Wörndl, MSc
Wir starten pünktlich um 15:00 Uhr.
![Page 2: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/2.jpg)
Agenda
• Einführung von ERP Systemen• Sicherheit im Web
![Page 3: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/3.jpg)
Inhalt
• Die 10 kritischsten Sicherheitsrisiken• Zugriffskontrolle – Identifizierung, Authentifizierung, Autorisierung• Schutz von sensiblen Daten• Sichere Datenübertragung• Internet der Dinge (IoT)• Blockchain
![Page 4: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/4.jpg)
Data Breaches (Datendiebstahle) und Hacks
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
![Page 5: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/5.jpg)
Konsequenzen
• Sensible Daten werden gestohlen• E-Mail Adressen und Passwörter• Kreditkarteninformationen
• Bei Mehrfachverwendung der gleichen E-Mail/Passwort Kombinationkönnen weitere Accounts gehackt werden
• Schaden kostet Geld• Imageverlust für das Unternehmen
![Page 6: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/6.jpg)
Sieben häufige Gründe, die in Unternehmen von heute zu großen Sicherheitslücken führen
• Das schwächste Glied der Kette sind Endanwender• Bei Schutz gibt es keine Mauern mehr• Mobilgeräte entwickeln sich schnell zur idealen Angriffsfläche• Verlust eines Mobilgeräts• Lücken im System• Cyberkriminelle werden erheblich unterschätzt• User können mit diesen neuen Taktiken nicht mithalten
![Page 7: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/7.jpg)
Risiken für das eigene Unternehmen
• Jedes Unternehmen ist einzigartig, so sind es auch die Threat Aktoren, deren Ziele und Sicherheitsverletzungen
• Unterscheidung ob ich ein CMS (Content Management System) für einen Webauftritt der Firma verwende oder das gleiche CMS für sensible Daten verwende (Login, persönliche Daten)
• Risiken und dessen Auswirkungen müssen definiert und eingestuft werden
![Page 8: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/8.jpg)
Je älter die Applikation, desto …
• mehr Wissen existiert • mehr Angriffs-Software existiert• mehr Schwachstellen sind offengelegt• weniger Verteidigung-Wissen standen den SW-Entwicklern zur Verfügung
![Page 9: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/9.jpg)
Schutz vor wen: Thread Aktoren
• Cyber-TerroristenZiele: Schaden und Zerstörung anrichten
• Regierungsgesponserte AktorenZiele: Spionage, Diebstahl
• Organisierte Cyber-KriminelleZiele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten)
• HacktivistenZiele: Geheimnisse aufdecken
• InsiderZiele: Zugriff innerhalb der Organisation bekommen
• Script KiddiesZiele: Angriff von Computersystemen und Netzwerken, Vandalismus
• Interne Benutzerfehler (Unbeabsichtigt)
![Page 10: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/10.jpg)
Unterschiedliche Angriffswege
https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
![Page 11: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/11.jpg)
Die 10 kritischsten Sicherheitsrisiken – OWASP TOP 10
https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf
![Page 12: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/12.jpg)
Injection
• Angreifer modifiziert Parameter und trickst somit das Programm aus um ungewollte Befehle auszuführen
Befehl Benutzereingabe Interpreter
![Page 13: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/13.jpg)
Fehler in der Authentifizierung und Session Management
• IdentifizierungWer bin ich …
• AuthentifizierungIch bin …
• AutorisierungIch darf …
![Page 14: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/14.jpg)
Fehler in der Authentifizierung und Session Management
• Multi-factor authentication• Passwort-Manager verwenden• Keine komplexen Passwörter selbst ausdenken, die schwer merkbar sind• Besser ist eine Kombination aus verschiedenen wenig gebräuchlichen Wörtern• Passwörter NIE mehrfach verwenden (Anderes Passwort für jeden Account)• Verwendung von JWT – Jason Web Tokens
![Page 15: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/15.jpg)
Angriffspunkte
• Schwache Passwörter• Passwort-Zurücksetzen Prozess• Brute-force Attacken• Angriffe, die nicht bemerkt werden
![Page 16: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/16.jpg)
Pwned
• https://haveibeenpwned.com/Passwords• https://haveibeenpwned.com
![Page 17: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/17.jpg)
Absicherungen
• Brute Force Schutz• Einfügen Funktion erlauben, Passwort-Manager benötigen diese Funktionalität• Option zum Passwort anzeigen anbieten• Geschützte Passwörter sollten gegen Offline Attacken resistent sein• Bedrohungsbäume entwerfen
![Page 19: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/19.jpg)
Verlust der Vertraulichkeit sensibler Daten
• Schutz am Client (Browser)• Schutz während der Datenübertragung
• Verwendung von SSL/TLS
• Schutz am Server• Schutz der Prozesse• Schutz des Speichers (Datenbank)
![Page 20: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/20.jpg)
Begriffsdefinitionen
• SSL steht für „Secure Sockets Layer“ und ist eine Standardtechnologie für die Absicherung von Internetverbindungen und den Schutz sensibler Daten
• TLS ist eine aktualisierte Version von SSL, die höhere Sicherheit bietet (SSL ist als Begriff am häufigsten und wird daher noch immer verwendet, auch wenn TLS gemeint ist)
• HTTPS wird in der URL angezeigt, wenn eine Webseite durch ein SSL-Zertifikat geschützt ist
![Page 21: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/21.jpg)
Unsichere Übertragung
• Keine SSL/TLS Verschlüsselung bei der Übertragung bedeutet, dass ein Angreifer sensitive Daten auslesen/mitlesen kann
• Zum Beispiel Benutzername und Passwort beim Login
• Schutz während der Datenübertragung• Verwendung von SSL/TLS
• Angreifer kann eine Sitzung übernehmen
![Page 22: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/22.jpg)
Zertifikate
![Page 23: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/23.jpg)
Zertifikat Error
![Page 26: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/26.jpg)
IoT - Internet of Things (Internet der Dinge)
• Waschmaschinen, die sich vom Büro aus einschalten lassen• Kühlschränke, die den Besitzer alarmieren, wenn die Milch aus ist• Drucker bestellt automatisch Druckerpatronen nach• Automatische Einstellung eines Bürostuhles• Paketverfolgung• ...
Diese Geräte können nicht nur das eigene Netzwerk schädigen, sondern auch zu einem Angriffspunkt für das Internet selbst werden
![Page 27: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/27.jpg)
Der Begriff IoT
• EN: Internet of Things - IoT• DE: Internet der Dinge – IdD• “Sensors and actuators embedded in physical objects are linked through wired and
wireless networks”• Sammelbegriff für Technologien, die es ermöglichen „Dinge“ (physische und virtuelle
Gegenstände) global miteinander zu vernetzen und diese durch Informations- und Kommunikationstechniken miteinander zusammenarbeiten lassen
• Der Begriff wurde 1999 eingeführt (RFID Tags)
![Page 28: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/28.jpg)
Ziele des Internets der Dinge
• Automatisierte Erfassung von relevanten Informationen aus der realen Welt• Verknüpfung von Daten• Verfügbar machen der Informationen über ein Netzwerk• Reale Dinge stellen ihre Zustandsinformationen für die Weiterverarbeitung im
Netzwerk zur Verfügung• Speicherung von aktuelle Nutzdaten• Speicherung von Umweltbedingungen• Datenaustausch untereinander• Früherkennung von Austausch und Wartung
![Page 29: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/29.jpg)
Was macht ein IoT Gerät?
• Sammelt Daten• Versendet Daten über das INTERNET• Empfängt Daten über das INTERNET• Führt Kommandos aus• Ist mit beliebigen elektronischen Systeme vernetzt• Unterstützt Menschen bei seinen Tätigkeiten
![Page 30: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/30.jpg)
Eine Webcam ist auch ein IoT Device
• Vielen Geräten sieht man auf den ersten Blick nicht an, dass sie alle Eigenschaften eines klassischen IoT-Devices haben
• Webcam, die als Security-Cam oder Ähnliches beworben wird und IP-fähig ist• Meist nicht nur lokal erreichbar, sondern auch über ein Webportal• Zugriff kann über ein Smartphone erfolgen (Meistens gibt es entsprechende Apps
dazu)• Da die Kamera auch aus dem Internet erreichbar ist und Steuerbefehle von außen
entgegen nimmt, ist sie per Definition auch ein IoT-Gerät
![Page 31: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/31.jpg)
IoT Gerätetypen
• Steuerungseinheiten von Industriemaschinen• Simple Sensoren• Elektronik kann beispielsweise folgendes sein
• Linux-Board • Single-Chip-Controller mit Netzwerk-Interface
• Eine IP-fähige Webcam ist auch ein IoT Gerät• Meist auch über ein Webportal erreichbar• Zugriff per Smartphone-App
![Page 32: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/32.jpg)
Industrie 4.0
• Vernetzung: Steuerungen, Sensoren mechanische Komponenten und Menschen werden vernetzt. Die Kommunikation wird über das Internet der Dinge aufgebaut.
• Transparenz der Information: Aufnahme von Sensordaten, um Parameter für einen Produktionsregelkreis zu bekommen. Damit ist ein genaueres virtuelles Abbild der Produktionswirklichkeit zu erreichen
• Technische Assistenz: Menschliche Arbeiter werden durch technische Unterstützung entlastet. Diese technische Unterstützung umfasst eine intelligente Visualisierung ebenso wie die Abnahme von repetitiven oder gefährlichen Arbeiten.
• Dezentrale Entscheidungen: Kleine Steuerungseinheiten sollen Entscheidungen selbst fällen können, nur in Ausnahmefällen muss einen übergeordnete Stelle eine Entscheidung treffen.
![Page 33: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/33.jpg)
Gefährdete Kandidaten
• Festplatten mit Cloudfunktion• Webcams• Netzwerkdrucker• NAS-Geräte• Digitale Videorecorder
![Page 34: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/34.jpg)
Bedrohungen
Mirai• Befällt Webcams und Videorecorder• Nutzt diese Geräte, um Server im Internet durch millionenfache Anfragen lahmzulegen• Verhältnismäßig wenig eigener Rechnerleistung von Hackern• Aufbau von Bot-Netzwerken• 2016 rund 500.000 kompromittierte IoT-Geräte weltweit
![Page 35: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/35.jpg)
Shodan
• Suchmaschine ähnlich wie Google• Gerätetypen oder spezifische Geräte können gesucht werden• Filter nach geografische Einschränkungen und Betriebssysteme, aber auch nach
offene Ports• Überblick über offene Ports, ungesicherte Zugänge (Datenbanken) und bekannte,
bereits ausgenutzte Schwachstellen• Keine Direktbetrachtung, sondern spiegelt das wieder, was Shodan beim letzten
Besuch (Crawling) vorgefunden hat• Crawler versucht über IoT- und Datenbank-Kommunikationsprotokollen und
Netzwerkprotokollen und Netzerk-Port möglichst viel über das Gerät herauszufinden
![Page 36: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/36.jpg)
Insecam
https://www.insecam.org/
• Macht auf mangelndes Sicherheitsbewusstsein im Netz aufmerksam• Webseite sammelt offene IP-Kameras• Streamt den Inhalt der gesammelten IP-Kameras• Oft ungeschützte billige Überwachungskameras
![Page 37: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/37.jpg)
IoT – beliebte Angriffsziele
• Billige IoT-Devices• Vernetzte Büro-Geräte• Produktionsanlagen und Systemen in der Lieferkette
![Page 38: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/38.jpg)
IoT – Herausforderung
• Schnell wachsende Zahl von Gadgets zu intelligenten Geräten• Hersteller bringen neue Produkte schneller auf den Markt• Sicherheit wird wenig Priorität eingeräumt• Immer mehr Heimgeräte können mit dem Internet verbunden werden
• Oft nicht für den Nutzer relevant, sondern bewusst auf die Datenerfassung ausgerichtet
• Mangel an Bewusstsein bei Verbrauchern und Unternehmen• Vorteile von IoT-Technologien in Bezug auf Komfort und Kosteneinsparung
überwiegen die potenziellen Risiken• Unsichere Netzwerke, über die die Daten übertragen werden
![Page 39: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/39.jpg)
IoT – Must Have
• Verschlüsselung in Geräte einbauen• Bestimmtes Sicherheitsniveau einhalten• Keine Standardpasswörter vergeben (0000, 1234)• Geräte mit individuellen Standardpasswörtern versehen• Benutzer dazu auffordern Passwörter zu ändern (Passwortrichtlinien vorgeben)• Sichere Datenübertragung• Sichere End-to-End-Infrastruktur
![Page 40: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/40.jpg)
Beispiel Farbwechsellampe
• Einfache Farbwechsellampe• Zur App-Steuerung ist ein vollständiger TCP/IP-Stack eingebaut• Meist ohne jegliche Absicherung• Kann als Sprungbrett verwendet werden, wenn dieses vom Internet aus erreichbar ist• LÖSUNG: Nicht aus dem Internet erreichbar machen!
![Page 41: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/41.jpg)
Gefahr Netzbetreiberschnittstelle
Beispiel Telekom 2016• Rund eine Millionen Router wurden durch einen Angriff auf einen Fernwartungs-Port gekapert• Der Angriff wollte eine Lücke im TR-069-Befehl für das Setzen eines NTP-Servers ausnutzen, um
eine Datei von einer fremdem Domain per wget herunterzuladen und auszuführen • Angriffsversuch im Minutentakt auf Port 7547• Router stürzten aber „nur“ ab (Durch die Häufigkeit der Angriffe und einer Verwundbarkeit in der
Interpretation von TR-069-Befehlen)• Router waren immun gegen den Code-Injection-Angriffsversuch• TR-069-Port hätte über das Internet nicht von arbiträren IP-Adressen erreichbar sein dürfen
![Page 42: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/42.jpg)
Rubberducky
• Sieht aus wie ein USB-Stick• Gibt sich als Keyboard aus• Führt unbemerkt Befehle aus• Befehle können einfach mit einem
Texteditor wie z.B. Notepad vorgegeben werden
• Beispiele• Hintergrundbild ändern• WiFi Netzwerkpasswörter auslesen
und per E-Mail versenden
![Page 43: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/43.jpg)
Sicherheitslücken (Vulnerability)
• Updaten, Updaten, Updaten• Regelmäßig auf Schwachstellen prüfen und diese auch Ernst nehmen• Veraltete Systeme, für die keine Updates mehr verfügbar sind austauschen• Sicherheit bereits in der Entwicklung (Software Lifecycle Management) und zu Begin
von neuen System-Architekturen und Planungen einbinden (Security First)
![Page 44: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/44.jpg)
Blockchain
• Blockchain ist eine verkette Folge von Datenblöcken• Daten werden NICHT zentral sondern dezentral gespeichert• Alle Teilnehmer besitzen die gleichen Daten• Durch kryptische Verfahren wird sicher gestellt, dass die Blockchain nachträglich nicht
verändert werden kann• Daten sind von allen Beteiligten einsehbar (Können jedoch verschlüsselt
abgespeichert werden)• Durch digitale Signaturen sind Informationen nachvollziebar
![Page 45: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/45.jpg)
Blockchain
• Nachverfolgbarkeit und Transparenz (Gefälschte Komponenten)• Digitaler Zwilling - Lückenlose Dokumentation• Datensicherheit durch krypto. Algorithmen• Einfache und eindeutige Geräteidentifikation• Einbindung Dritter nicht erforderlich• Erhöhter Automatisierungsgrad
• Automatisierte Transaktionen zwischen Geräten• Dienstleistungsaufträge durch Maschine selbst
• Vordefinierte Regeln durch Computercode (Smart Contract)© Elenabsl - stock.adobe.com
![Page 46: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/46.jpg)
Blockchain Beispiele
• Transparente Lieferkette (Nachverfolgung welchen Web ein Lebensmittel zu welcher Zeit genommen hat und ob Bedingungen wie Temperaturvorgaben eingehalten wurden)
• Tachostand bei Autos• Baumaschine (wie oft und wie lange das Gerät benutzt wurde)• Gesundheitsbranche (Digitaler Patientenakt)• Öffentlicher Sektor – Automatisierte Steuererklärung• Elektromobilität – Unkomplizierte Abrechnungsmodelle für Ladestationen• Stromzähler – Automatisiertes Auslesen und Abrechnen von digitalen Stromzählern
![Page 47: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/47.jpg)
Reale Blockchain Applikationen
• Mobilio – Punkte verdienen indem beim Autofahren das Smartphone nicht benutzt wird
• Everledger - Echtheit und Herkunft von Wertgegenständen nachweisen• Fizzy - Versicherung gegen Flugverspätungen• KodakOne - eine Plattform zum Schutz des Urheberrechtes• Modum - Supplychain Management Kühlung währen des Transportes
![Page 48: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/48.jpg)
https://www.provenance.org/tracking_tuna_on_the_blockchain
Thunfisch Nachverfolgung auf der Blockchain
![Page 49: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/49.jpg)
Blockchain Entscheidungsbaum
Abbildung 1 – vgl. Gervais, Wüst, 2017, Do you need a Blockchain?, S.3, https://eprint.iacr.org/2017/375.pdf
![Page 50: Daten-Security in der Lebensmittelbranche · Ziele: Spionage, Diebstahl • Organisierte Cyber -Kriminelle Ziele: Finanzieller Gewinn (Geld, Verkauf von sensitiven Daten) • Hacktivisten](https://reader033.fdocument.pub/reader033/viewer/2022050421/5f902b846a2d716b48502721/html5/thumbnails/50.jpg)
Nächster Termin
22. Juni 2020 15:00-17:30
• QM-Systeme
An Microsoft Teams-Besprechung teilnehmen
Unterlagen erhalten Sie per E-Mail.
Markus [email protected]+43 2622 90333 130
Katharina Wörndl+43 2742 [email protected]