Konsolidierte Gefährdungsmatrix mit Risikobewertung 2016 Die Bereitstellung von Internet-Dienstleistungen ist mit einer Vielzahl wechselnder Gefährdungen verbunden. Einige betreffen unmittelbar die eigene Infrastruktur eines Internet-Service-Providers, andere zielen primär auf die Kundeninfrastruktur, haben jedoch mittelbar ebenfalls Auswirkungen auf den ISP (z. B. Reputation). Kenntnis und Bewertung der aktuellen Gefährdungslage sind Voraussetzung für die Entwicklung wirksamer Gegenmaßnahmen. Die nachfolgende Gefährdungsmatrix ist als gemeinsamer Partnerbeitrag verschiedener ISPs (1&1, Deutsche Telekom, Strato, Telefonica, Unitymedia, Vodafone) in Diskussion mit dem BSI im Rahmen der Allianz für Cybersicherheit entstanden und stellt die Sicht der beteiligten Partner auf die derzeitige Gefährdungslage dar. Es ist beabsichtigt, das Dokument in regelmäßigen Abständen zu aktualisieren. Es richtet sich in erster Linie an vergleichbare IT-Dienstleister mit ähnlichem Fokus. In anderen IT-Sektoren sind ggf. andere Bedrohungsschwerpunkte vorhanden. 1/6 1. Allgemeine Gefährdungen Nachfolgend sind die aus Sicht der beteiligten Provider aktuellen Gefährdungen nebst einer Einschätzung der Eintrittswahrscheinlichkeit sowie der bei Eintritt resultierenden Schadenshöhe aufgeführt. Unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schadenshöhe wurde eine individuelle Risikobewertung der jeweiligen Gefährdung vorgenommen. Gefährdungen, die speziell in Verbindung mit Schadsoftware stehen, werden im nachfolgenden Kapitel 2 behandelt. Kapitel 3 widmet sich den Gefährdungen im Zusammenhang mit mobilen Endgeräten. Gefährdung Trend Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Botnetze Hoch Hoch Hoch Schwachstellen / fehlerhafte Sicherheitsmechanismen in Kommunikationsprotokollen Hoch Hoch Hoch Hoch Hoch Hoch Hoch Hoch Hoch Backdoors in Telekommunikationsequipment Mittel Hoch Hoch Mangelhafte Basis-Sicherheitssoftware (OpenSSL, libc, ...) Mittel Hoch Hoch Web-Applikations-Schwachstellen (bspw. XSS) auf eigenen Portalen Hoch Mittel Hoch DoS-Angriffe auf Infrastruktur (z. B. auf DNS-Server) Hoch Hoch Hoch Hoch Mittel Mittel-Hoch Hoch Mittel Mittel-Hoch Hoch Gering-Hoch Mittel-Hoch Mittel Mittel Mittel Advanced Persistent Threat (APT) (Unentdeckter, geplanter, gezielter Angriff, Kombination verschiedener Angriffsarten und Techniken, häufig über einen längeren Zeitraum) Unauthorisierter Systemzugriff durch angestellte Dritte (physische Hürde bereits genommen) Angriffe auf die eigene Infrastruktur. DNS Reflection / Amplification Angriffe Ausnutzung der eigenen Infrastruktur für DDoS-Angriffe. DDoS-Angriffe auf Kundeninfrastruktur Häufig im Zusammenhang mit Erpressung, z. B. DD4BC. Nutzung von Address-Spoofing als Hilfsmittel (z.B. für DDoS oder Angriff) Unsichere DSL-/ Kabel-Router 2/6 Gefährdung Trend Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Missbrauch von Password-Reset-Funktionen Gering-Mittel Mittel-Hoch Mittel Manipulation von Routing Gering-Mittel Mittel-Hoch Mittel (Manipulation von DNS-Caching-Servern mit dem Ziel, Verbindungen auf maliziöse Server umzuleiten) Gering Mittel-Hoch Mittel Falsche SSL-Zertifikate / kompromittierte SSL-Dienstleister Mittel Hoch Mittel-Hoch Mittel Hoch Mittel-Hoch Hoch Gering Mittel (kleine Fragmente, not-in-order Paketübermittlung, Umgehung von Virensignaturen, DNS-Tunneling, Steganographie, etc.) Gering Mittel Mittel Telefonie DDoS Angriffe gegen Call Center Gering Mittel Mittel Hoch Gering-Hoch Mittel (z.B. bekannte Default-Passwörter, Nicht-abschaltbare Comfort-Funktionen mit Schwachstellen) (mit dem Ziel, Verbindungen zu Stören oder zu maliziösen Servern umzuleiten) DNS-Poisoning Vertrauensverlust des SSL-Dienstleisters neu Unsichere Hotspots (z.B. Session Hijacking) Ausnutzung von Advanced Evasive Technologies Social Engineering gegen Mitarbeiter (z.B. Anrufe bei Mitarbeitern, auch auf CEO Ebene) 3/6 2. Schadsoftware Schadsoftware stellt einen Risiko-Schwerpunkt in der aktuellen Bedrohungslage dar. Die damit verbundenen Gefährdungen können in Relation zum Infektionsverlauf von Schadsoftware in verschiedene Kategorien (Malware-Entwicklung, -Verbreitung, -Rückmeldekanäle) gegliedert werden. Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Hoch Gering-Hoch Mittel-Hoch Gering Hoch Mittel Malware Allgemein: Infektion von IT-Komponenten mit Schadsoftware Malware Manipulierte Firmware (USB-Stick, Maus, Tastatur) MalwareEntwicklung Existenz von Exploit-Kits Hoch Gering-Hoch Mittel-Hoch MalwareVerbreitung Phishing / SPAM Hoch Mittel Hoch MalwareVerbreitung Malvertising Mittel Gering-Hoch Mittel MalwareVerbreitung Spear Phishing gegen Kunden Hoch Gering-Hoch Mittel MalwareVerbreitung Spear Phishing gegen Angestellte Hoch Gering-Hoch Mittel MalwareVerbreitung Gefälschte Software-Updates (Ausnutzung von automatischen Update-Funktionen zur Malware-Infiltration bspw. mittels gefälschter Signaturen) Gering Mittel Mittel MalwareVerbreitung DNS-Typosquatting gegen ISP Gering Mittel Gering-Mittel MalwareVerbreitung Fake Anti-Virus gegen Kunden Mittel Gering-Hoch Mittel MalwareVerbreitung Ransomware Hoch Gering-Hoch Mittel-Hoch MalwareVerbreitung Mehrstufige / Kaskadierte Angriffe Gering-Mittel Gering-Hoch Gering-Mittel neu (auch Verweise auf Drive-by-Exploits) (Malware-Verbreitung über infizierte Werbebanner, insbesondere über „Restplatzbörsen“) (Gezielte Malware-Infiltration) (Gezielte Malware-Infiltration) (Gefälschte Anti-Virus Angebote zur Verbreitung von Malware) 4/6 Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Hoch Mittel Hoch Gering Gering-Hoch Gering Mittel Hoch Mittel-Hoch Hoch Hoch Hoch (Aneinandergereihte, geplante Durchführung mehrerer Aktionen mit dem Ziel der Malware-Verbreitung) MalwareVerbreitung MalwareVerbreitung Bulletproof-Hosting (Angebote von Anbietern, die speziell darauf ausgerichtet sind, den Zugriff von Strafermittlungsbehörden zu verhindern / zu erschweren.) Mobile Datenträger (Verbreitung vom Malware über infizierte mobile Datenträger, bspw. USB-Sticks) MalwareRückmeldekanäle C&C Server im eigenen Netz MalwareRückmeldekanäle Drop-Zones im eigenen Netz (Command&Control Server zur Steuerung von Botnetzen) (Server auf denen gestohlene Daten abgelegt werden) 5/6 3. Mobile Security Die zunehmende Verbreitung mobiler Endgeräte (Smartphones, Tablets) macht diese Geräteklasse ebenfalls für Angreifer attraktiv. Die besonderen, speziell diese Gerätekategorie betreffenden Gefährdungen sind im folgenden aufgeführt. Kategorie Gefährdung Eintrittswahrscheinlichkeit Schadenshöhe Risikobewertung Hoch Mittel Mittel-Hoch Gering Mittel Gering Hoch Gering Mittel Mittel-Hoch Mittel Mittel Mobile Security Allgemein: Unsichere mobile Endgeräte Mobile Security Mobile Plattform DDoS Mobile Security Femtocell Spoofing Mobile Security Maliziöse mobile Anwendungen Mobile Security Verteilung von Malware über AppStores ohne ausreichende Qualitätsüberprüfung Mittel Gering-Mittel Mittel Mobile Security SmiShing Gering Mittel Gering-Mittel (Die Schutzmaßnahmen mobiler Endgeräte befinden sich noch nicht auf dem Niveau stationärer Endgeräte) (Denial of Service Angriffe, die speziell gegen de mobile Netzinfrastruktur gerichtet sind) (Umleitung von Verbindungen mobiler Endgeräte über maliziöse Zwischenstationen) (Verbreitung von URLs maliziöser Webseiten über SMS) 6/6