IT-Sicherheit am Arbeitsplatz - eBusiness

Transcription

IT-Sicherheit am Arbeitsplatz
eBusiness-Lotse Magdeburg
c/o tti Magdeburg GmbH
im eKompetenz-Netzwerk
eKompetenz Netzwerk für Unternehmen
Roland Hallau, Projektleiter
Datenschutzbeauftragter (TÜV), IT
IT-Grundschutz-Experte
Grundschutz Experte (TÜV)
IT-Sicherheit im Alltag eines Unternehmens
Agenda
•
•
•
•
•
•
•
•
•
•
•
•
•
Warum IT-Sicherheit
Praxisbeispiele
Theorie - Sicherheitsstrategie
Viren, Spyware, Trojaner und Rootkits
Firewall
Datensicherung
Passwörter
Konfiguration von Software
Browser-Check
Sicheres Surfen
Lokales Netzwerk
Sicheres Funknetz / WLAN
Grundlegende Empfehlungen
Warum IT-Sicherheit?
Wo ist mein Wo
ist mein
Notebook?
Ursachen für Datenverlust
8%
3%
Hardware, meist Festplatte
13%
42%
Bedienfehler
Softwarefehler/
‐störungen
Viren
34%
Höhere Gewalt
Quelle: www.pro-datenrettung.net
Datensicherung - Zahlen
•
93% der Unternehmen, für die zehn oder mehr Tage
Daten nicht zugänglich, innerhalb eines Jahres in
K k
Konkurs
gehen.
h
50% d
der U
Unternehmen
t
h
gehen
h gleich
l i h iin
Konkurs.
•
Unternehmen, die ihre Daten innerhalb von zehn Tagen
nicht wiederherstellen können, überleben
höchstwahrscheinlich nicht, behaupten die Analytiker
von Strategic Research Institute.
•
Die Wiederherstellung einer Festplatte kann mehrere
Hunderte oder sogar Tausende Euro kosten, und es
gibt keine Garantie, dass die Daten wiederhergestellt
werden können.
© Mathias Rosenthal - Fotolia.com
Quellen: The Cost Of Lost Data, David M. Smith, Home Office Computing Magazine, National Archives & Records Administration in Washington, Strategic Research Institute
Quelle: Magdeburger Volksstimme 16.02.0
09
Praxisbeispiele
Q ll Computerwoche
Quelle:
C
t
h 09.02.2009
09 02 2009
Praxisbeispiele
Praxisbeispiele
Praxisbeispiele
Praxisbeispiele
Praxisbeispiele
Praxisbeispiele - Ransomware
ErpressungsT j
Trojaner
Praxisbeispiel - Ransomware
Praxisbeispiele
Quelle: http://www.e‐commerce‐magazin.de/unternehmen/eleven‐gmbh
Praxisbeispiele
Praxisbeispiele
•
Juni 2007 - Bundeswehr:
Geheimdienstberichte aus Afghanistan auf Backup-Bändern nicht lesbar
•
Juni 2008, Stanford University: 72.000 Angestellten-Profile auf Laptop gestohlen
•
Mai 2008, deutsche Städte und Gemeinden: Daten von 500.000 Bürgern frei im
Internet
•
2005 – 2008, Ministerium Österreich: 82 Laptops verschwunden
•
Oktober 2008, Telekom: 17 Mio. Handy-Kundendaten gestohlen
•
Bank of New York: auf dem Weg zum Datenentsorgungsspezialisten Sicherungsband
mit 4,5 Mio. Kundendaten verloren
Praxisbeispiele
2013 - Statement zum Angriff auf die Website einer Stadt in Sachsen-Anhalt
•
31/May/2013:03:33:59
Anmeldung am CMS (ein Versuch!), gleich richtiges Passwort, Benutzer: admin
•
31/May/2013:03:34:29
die Dateien "k.php.gif
k.php.gif und content.php.gif"
content.php.gif über 'Impressionen'
Impressionen Formular hochgeladen
•
06/Oct/2013:20:03:10
mehrere Versuche, Zugriff auf die MySQL-DB über das "Vereins" Formular zu erlangen mit SQL-Injections
•
06/Oct/2013:20:12:35
Anmeldung am CMS (ein Versuch!), gleich richtiges Passwort, Benutzer: admin
•
06/Oct/2013:20:17:19
wurden die Datei "c99.jpg.php" über das 'Satzungen‚-Formular hochgeladen
•
06/Oct/2013:20:17:26 bis 06/Oct/2013:20:50:51
wurden alle Dateien auf dem Server ersetzt und gelöscht
Datei "c99.jpg.php" scheint eine Art online-FTP gewesen zu sein, mit der alle
Dateien gelöscht wurden. - Angriff aus den Niederlanden
Praxisbeispiele
2012 – Manipulation einer Website
Gründe für Investitionen in IT-Sicherheit
Quelle: InformationWeek
Defizite der IT-Sicherheit im Mittelstand
Quelle: Deutschland sicher im Netz (DsiN)
Verantwortung und Haftung
•
Wer sollte die IT-Sicherheitsrichtlinien festlegen?
•
Wer ist für die Risikoanalyse verantwortlich?
•
Wer haftet, wenn die IT-Notfallvorsorge nicht
eingerichtet ist?
Verantwortung und Haftung
•
In der Regel haftet die Geschäftsleitung, wenn
– nichts geregelt ist,
– nicht nachgewiesen werden kann,
dass etwas geregelt ist,
– etwas geregelt ist, jedoch nicht bekannt ist.
•
Fazit: Dokumentation ist ganz wichtig!!!
IT-Grundschutz - Vorgehensweise
• Vorschläge und Entscheidung für eine ITSicherheitsrichtlinie
• Erstellung einer Übersicht vorhandener IT-Systeme
• A
Ausarbeitung
b it
d
des IT
IT-Sicherheitskonzeptes
Si h h it k
t und
d eines
i
Realisierungsplanes inkl. Maßnahmen zur
Notfallvorsorge und Benutzerinformation
• Vorschläge für Maßnahmen zur kontinuierlichen ITSicherheit
• Dokumentation aller Entscheidungsvorlagen,
E t h id
Entscheidungen
und
d der
d umgesetzten
t t M
Maßnahmen
ß h
des IT-Sicherheitsprozesses
IT-Grundschutz
Q ll www.bsi.de
Quelle:
b id
IT-Grundschutz - Grundwerte
Vertraulichkeit
Daten dürfen nur von Daten
dürfen nur von
berechtigten Personen gelesen werden
Verfügbarkeit
Integrität
Daten und Systeme müssen zur Verfügung stehen
Daten dürfen nur von Befugten in geeigneter Weise verändert werden
IT-Grundschutz - Sicherheits-Leitlinie zur IT Sicherheit
IT-Grundschutz - Sicherheitskonzeption
Q ll www.bsi.de
Quelle:
b id
IT-Grundschutz – Schutzbedarfsfeststellung
•
Was ist zu schützen?
•
Wo sind die zu schützenden Daten?
Ziel ist die Schadensfeststellung bei Verletzung der Grundwerte!
 Vertraulichkeit
 Integrität
 Verfügbarkeit
IT-Grundschutz – Modellierung
Q ll www.bsi.de
Quelle:
b id
Geschäftsprozesse und eBusiness
Geschäftsprozesse
Kunde
Kunde
Unternehmung
Unternehmung
Lieferant
MaterialLieferant- daten
Bestellabwicklung
tendaten
Bestellung
g
bereitstellen
Bestellung
Lieferung
BestellAbwickelung
Beschaffung
Freigabe
Bedarf
aufgetreten
Auftrag
erstellen
Auftrag
Kundendaten
Zeichnungsdokumente
Artikeldaten
Auftrag
bearbeiten
Material
Annahme
Fertigung
VertriebsVertriebs
niederlassung
Gießerei
DV-System
Ware
eingetroffen
Produkt
Produkt
erstellt
M
Maschine
hi
Daten
Funktion
Fertigung
Organisation
Auftragsbearbeitung
ArtikelKunden- daten
daten
Ware
annehmen
product
Ware
angenomen
arrived
Legende
Material
Artikel
versenden
Interne
Geschäftsprozesse
Versand
Versand
DV-Ressourcen bzw.
Maschinenressourcen
Geschäftsprozesse - „Einfache Wertschöpfung“
Quelle: J. Schwab:“Geschäftsprozessmanagement; Hanser Verlag München-Wien“
Geschäftsprozesse - Beispiel reale Auftragsabwicklung
WL
TL
T1
T11 T12 T14
T2
FL
T3
FV
T32 FVP FVT
FWV
FWG
KL
FWG
-Z
OI
FSC 121 174 178 123 126
AZA AZP AZG VB AZB
Pak-
T22 T23 T24 T25 T26 T27 101 102 103 105 109 112 AUV RZ
T261 T263
VT61
PG6 PG9
EK
AZ
PG3 PG4 kerei
techn.
Auftr
Auftr.
BZErf
Erf.
Steuerung
QSE
QSE QSE QSE QSE
M
1
2
3
SB
SB1 SB2 SB3
Versand
EK1 EK2
QSV
QSS
QSV QSV QSV QSV
M
1
2
3
Definitionen:
• Virus (lat. Gift, Schleim)
- selbst verbreitendes Computerprogramm
- verursacht Schaden verschiedenster Art
- infiziert andere Software
- reproduziert sich dadurch
•
Spyware (engl. spy – Spion, ware – aus Software)
- ausspionieren von Daten
Daten, Nutzungsverhalten
- werden an Hersteller gesendet
- Absetzen gezielter Werbung
Definitionen:
• Trojaner
- als nützliche Anwendung getarnt
- Einschleusen von Viren
Viren, Spionageprogrammen
Spionageprogrammen, Backdoors usw
usw.
- Schadfunktionen z.B. Datenklau, Fernsteuerung des PCs,
Installation von Dialern, Abschalten Firewall / Antivirenprogr.
•
Rootkits (engl. etwa Administratorbausatz)
- Sammlung von Softwarewerkzeugen
Softwarewerkzeugen, um weitere schadhafte
Aktionen zu verbergen
- Virenscanner meist nicht ausreichend
•
Basisschutz:
- Antivirenprogramm (aktiv, aktuelle Updates)
 Update vor allen anderen Aktivitäten!
- diverse Bestenlisten im Internet
•
Links:
- www.computerbild.de
- www.zdnet.de
- www.testberichte.de
- www.chip.de
- www.com-magazin.de
- www.av-test.org
www av test org
- www.viruslist.com/de
Sicherheits-Check
•
Basis-Check mit Live-CD
 Boot-CD, Scannen bei ausgeschaltetem Betriebssystem
 z.B. mit Insert Security-CD (www.inside-security.de) oder
Kaspersky Rescue Disk (www
(www.kaspersky.de)
kaspersky de)
•
Viren-Check
 Scannen bei "aktivem" Betriebssystem
 z.B. mit Microworld Antivirus Toolkit Utility (Kaspersky-Technologie)
(www.mwti.net/products/mwav/mwav.asp)
Sicherheits-Check
•
Spyware-Check z.B. mit
 Spybot Search & Destroy (www.safer-networking.org)
 AdwCleaner (https://toolslib.net/downloads)
 Ad-Aware
Ad Aware (www.lavasoft.de)
(www lavasoft de)
 Xpy (www.xp-antispy.org)
•
Trojaner-Check
 Hinweis: "heimisch" in den Autostart-Bereichen von Windows
 z.B. mit Hijack This
(http://www.trendmicro.de/produkte/kostenlose-tools-und-services/)
Weitere Hinweise:
•
Online-Prüfung von Dateien
 www.virustotal.com
 http://virusscan.jotti.org/de
•
HOAX-Meldungen checken
(
(www2.tu-berlin.de/www/software/hoax.shtml)
)
•
Beschreibung von Viren auf Websites der Hersteller von Antiviren-Programmen,
auch Angebot von Tools zum Entfernen
Firewall
•
regelt Zugriff zwischen Rechnernetzen
•
optimal ist Kombination aus
Internetschutz-Software („Firewall“),
Virenschutz-Programm
Virenschutz
Programm und Anti
AntiSpionage-Software („Anti-Spyware“)
Quelle: www.computerbild.de
Firewall
•
Personal-Firewall
 Software lokal auf dem PC
 Verbindungskontrolle zwischen PC und Netzwerk
•
Netzwerk-/Hardware-Firewall
 separate Hardware
Hardware, die mindestens 2 Netzwerke voneinander trennt zz.B.
B
Router
Firewall
•
Softwarebasierend oft in Security-Suiten eingebettet
•
Bestenlisten im Internet, Beispiele
 Gdata Internet Security – www.gdata.de
 BitDefender – www.bitdefender.de
 Kaspersky – www.kaspersky.de
www kaspersky de
 Norton Internet Security – www.symantec.de
www avira de
 Avira Premium Security Suite – www.avira.de
Firewall
Firewall
fehlende Updates beim BS Windows
Windows IT-Sicherheit im Alltag eines Unternehmens
Datensicherung - Übersicht gesetzlicher Anforderungen
•
HGB - Handelsgesetzbuch
•
GoBD (vormals GDPdU)
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern
Büchern, Aufzeichnungen und Unterlagen
in elektronischer Form sowie zum Datenzugriff
•
GoBS
Grundsätze ordnungsgemäßer DV-gestützter
Buchführungssysteme
•
SigG
g - Signaturgesetz
g
g
•
SigV - Signaturverordnung
Datensicherung - Anforderungen an den Datenzugriff
•
Lesbarmachung und Datenzugriff
•
Unterlagen jederzeit verfügbar, unverzüglich lesbar und maschinell auswertbar
•
Einsicht in gespeicherte Daten und Nutzung des DV-Systems
•
Kosten trägt das Unternehmen
•
unmittelbarer, mittelbarer Datenzugriff
unmittelbarer
Datenzugriff, Datenträgerüberlassung
– unmittelbar:
Vorort, Nur-Lesezugriff
– mittelbar:
Unternehmen wertet Daten nach Vorgaben
g
aus
– Datenträgerüberlassung: Übergabe an Finanzbehörde
Hi
Hinweis:
i Gilt bei
b i steuerlichen
t
li h Außenprüfungen!
A ß
üf
!
Datensicherung - Anforderungen an die Prüfbarkeit
•
Gewährleistung der Unveränderbarkeit der Daten
•
10 Jahre gesetzliche Aufbewahrungspflicht (Ausnahmen)
•
bei Verwendung von Kryptographieverfahren sind sowohl
die verschlüsselte als auch die entschlüsselte Version zu
archivieren, ebenso die verwendeten Schlüssel
•
bei Konvertierungen in nicht gängige Dateiformate sind
beide Versionen zusammen zu archivieren
•
bei aufbewahrungspflichtigen Unterlagen sind Eingang,
weitere Bearbeitung und Archivierung zu protokollieren
Quelle: © Friedberg - Fotolia.com
Datensicherung
- Hardwaremedien
•
200
50-70 Ja
ahre
10-50 Ja
ahre
5-10 , DV
VD-RAM b
bis zu 30 Jahre
Bücher
Filme
Zeitung
CD/DVD
120
100
80
60
40
20
bis zu 10
0 Jahre
70-100 J
Jahre
Bücher
säurehaltiges Papier
140
bis zu 10
0 Jahre
mehrere
e 100 Jahrre
160
bis zu 30
0 Jahre
säurefreies Papier
180
Magnetbänder
Festplatte
SLCFlash
0
Datensicherung in der Praxis
•
Trennung von Betriebssystem, installierter Software und Daten
•
Partitionierung der Festplatte in entsprechende Bereiche
•
Sicherung BS und Software nach Einrichtung eines PCs
(z B mit Acronis True Image)
(z.B.
•
Ordner bzw. g
ganze Laufwerke verschlüsseln ((z.B. BS,, Truecrypt,
yp , …))
•
Systemwiederherstellungsfunktion bei BS Windows einstellen
Datensicherung in der Praxis
•
Zugriffsschutz aktivieren – Passwortschutz beim Bildschirmschoner
•
tägliche Sicherung des Datenbestandes
(Sicherungsfunktion des BS oder zz.B.
B Synchredible von ASCOMP)
•
periodische Prüfung der Festplatten auf Fehler (z
(z.B.
B HD Tune)
•
Sicherung
g zentraler Datenbestände auf Bänder,, Festplatten,
p
,…
Sichere Passwörter
•
lange Passwörter (mindestens 8 Zeichen)
•
Bestandteile: Groß- und Kleinbuchstaben, Ziffern
und Sonderzeichen
•
keine Namen oder Wörter
•
keine gängigen Varianten und Muster (z.B. Tastatur)
•
einfache Passwörter nicht nur am Anfang und Ende
mit Sonderzeichen ergänzen
•
Beispiel: „/gj1.&3.DzT“
(Ich gehe jeden 1. und 3. Donnerstag zum Training.)
Q ll eBusiness-Lotse
Quelle:
B i
L t Magdeburg
M d b
Umgang mit Passwörtern
•
niemals direkt notieren (Kennwortverwaltungssoftware)
•
regelmäßig ändern
•
keine einheitlichen Passwörter
•
Änderung von voreingestellten Passwörtern
•
Passwort beim Bildschirmschoner setzen
•
keine Weitergabe
g
an Dritte oder p
per E-Mail versenden
•
Eingabe nur an vertrauenswürdigen Rechnern
Quelle: Onidji (Fotolia)
Konfiguration von Software
•
Einstellung der automatischen Updates beim Betriebssystem
•
Windows-Tools zum Entfernen bösartiger Software
•
Updates für MS Office, Antivirensoftware, Firewall u.a. Software
•
Sicherheitseinstellungen bei MS Office
•
Dateiendungen einblenden
•
P üf der
Prüfen
d A
Autostart-Einträge
t t t Ei t ä
•
Prüfen aktueller Prozesse
Konfiguration
von Software
Firefox
Konfiguration
von Software
Internet Explorer
Browser-Check
Online Sicherheits-Check (com-magazin)
 25 Einzeltests in 4 Bereichen
 www.com-magazin.de
•
•
•
•
Basis-Check
B
i Ch k
Browser-Check
Plug-in-Check
g
Firewall-Check
Port-Nummern unter
http://meineipadresse.de/html/ip-ports.php
p
p
pp
p p
Lokales Netzwerk
•
•
•
•
•
•
•
•
Analyse der Netzwerkeinstellungen
((z.B. TCPView,, Softperfect
p
Network Scanner,, SuperScan,
p
, …))
Prüfen Datei- und Ordnerfreigaben
Verwendung sicherer Passwörter
evtl. andere IP-Adressbereiche verwenden (nicht 192.168.0.0 …)
Abschalten unnötiger Netzwerkdienste
Benutzerkonten ehemaliger Mitarbeiter löschen
aktuelle Updates bei allen Netzwerkelementen
Z
Zugang
zu Netzwerkanschlüssen,
N t
k
hlü
Druckserver,
D k
PCs,
PC Laptops,
L t
…
Sicheres WLAN
•
Admin-Passwort ändern
Sicheres WLAN
•
Verschlüsselung
Sicheres WLAN
•
Ändern Netzwerknamen bzw. SSID-Kürzel (Service Set Identifier)
Sicheres WLAN
•
Nachtabschaltung
Sicheres WLAN
Weitere Einstellungen
•
•
•
•
•
Zugriff durch Angabe der MAC-Adressen
Ausschalten der Fernkonfiguration
Broadcast-Modus deaktivieren
feste IP
IP-Adressen
Adressen statt Vergabe durch DHCP
Firmware aktualisieren
Sicheres WLAN
Einsatz von WLAN in Unternehmen
Wardriving
Warchalking
Q ll www.wikipedia.org
Quelle:
iki di
Linkliste
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
http://www.av-test.org/de
https://www.bsi.bund.de/DE/Home/home_node.html
htt //
https://www.it-sicherheit.de/ratgeber/checklisten_it_sicherheit/
it i h h it d / t b / h kli t
it i h h it/
http://www.chip.de/bildergalerie/Die-zehn-schlimmsten-Viren-und-WuermerGalerie_35332914.html
http://www.internet-sicherheit.de/
http://www.chip.de/downloads/Kaspersky-Rescue-Disk_44976921.html
http://www viruslist com/de/analysis?pubid=200883873
http://www.viruslist.com/de/analysis?pubid
200883873
http://www.escanav.com/english/content/products/MWAV/escan_mwav.asp
http://www.com-magazin.de/securitycheck-72696.html
http://www.sicherheitstacho.eu/?lang=de
http://hoax-info.tubit.tu-berlin.de/hoax/
https://www.virustotal.com/
http://meineipadresse.de/
http://www.zone-h.com/archive
htt //
http://www.com-magazin.de/praxis/internet/20-gratis-tools-sicherheit-37647.html
i d /
i /i t
t/20
ti t l i h h it 37647 ht l
Smartphones
Nutzung von Smartphones – Beispiel: Lookout Security & Antivirus
Q ll www.lookout.com
Quelle:
l k
eBusiness-Lotse Magdeburg - Ansprechpartner
Wilfried Müller
Roland Hallau
Mike Wäsche
0391 7443537
wmueller@tti-md.de
wmueller@tti
md.de
0391 7443524
rhallau@tti-md.de
rhallau@tti
md.de
0391 7443534
mwaesche@tti-md.de
mwaesche@tti
md.de
www.ebusiness-lotse-magdeburg.de

IT-Sicherheit am Arbeitsplatz - eBusiness

Transcription

Similar documents

Praxisbeispiele - tti Magdeburg GmbH

1401015 datensicherung - eBusiness

Effektive Suche im Internetangebot

Flyer "Mittelstand-Digital auf der CeBIT 2014 in Hannover"

Das ideale Windows - XP mit Vista

Februar - Deutscher Laden Holloman

081106 Cisco-Kladde RZ

Storage brochure GER.indd

Registry sichern, optimieren und wiederherstellen