IT-Sicherheit am Arbeitsplatz - eBusiness
Transcription
IT-Sicherheit am Arbeitsplatz - eBusiness
IT-Sicherheit am Arbeitsplatz eBusiness-Lotse Magdeburg c/o tti Magdeburg GmbH im eKompetenz-Netzwerk eKompetenz Netzwerk für Unternehmen Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT IT-Grundschutz-Experte Grundschutz Experte (TÜV) IT-Sicherheit im Alltag eines Unternehmens Agenda • • • • • • • • • • • • • Warum IT-Sicherheit Praxisbeispiele Theorie - Sicherheitsstrategie Viren, Spyware, Trojaner und Rootkits Firewall Datensicherung Passwörter Konfiguration von Software Browser-Check Sicheres Surfen Lokales Netzwerk Sicheres Funknetz / WLAN Grundlegende Empfehlungen IT-Sicherheit im Alltag eines Unternehmens Warum IT-Sicherheit? Wo ist mein Wo ist mein Notebook? IT-Sicherheit im Alltag eines Unternehmens Ursachen für Datenverlust 8% 3% Hardware, meist Festplatte 13% 42% Bedienfehler Softwarefehler/ ‐störungen Viren 34% Höhere Gewalt Quelle: www.pro-datenrettung.net IT-Sicherheit im Alltag eines Unternehmens Datensicherung - Zahlen • 93% der Unternehmen, für die zehn oder mehr Tage Daten nicht zugänglich, innerhalb eines Jahres in K k Konkurs gehen. h 50% d der U Unternehmen t h gehen h gleich l i h iin Konkurs. • Unternehmen, die ihre Daten innerhalb von zehn Tagen nicht wiederherstellen können, überleben höchstwahrscheinlich nicht, behaupten die Analytiker von Strategic Research Institute. • Die Wiederherstellung einer Festplatte kann mehrere Hunderte oder sogar Tausende Euro kosten, und es gibt keine Garantie, dass die Daten wiederhergestellt werden können. © Mathias Rosenthal - Fotolia.com Quellen: The Cost Of Lost Data, David M. Smith, Home Office Computing Magazine, National Archives & Records Administration in Washington, Strategic Research Institute IT-Sicherheit im Alltag eines Unternehmens Quelle: Magdeburger Volksstimme 16.02.0 09 Praxisbeispiele Q ll Computerwoche Quelle: C t h 09.02.2009 09 02 2009 IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele - Ransomware ErpressungsT j Trojaner IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiel - Ransomware IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele Quelle: http://www.e‐commerce‐magazin.de/unternehmen/eleven‐gmbh IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele • Juni 2007 - Bundeswehr: Geheimdienstberichte aus Afghanistan auf Backup-Bändern nicht lesbar • Juni 2008, Stanford University: 72.000 Angestellten-Profile auf Laptop gestohlen • Mai 2008, deutsche Städte und Gemeinden: Daten von 500.000 Bürgern frei im Internet • 2005 – 2008, Ministerium Österreich: 82 Laptops verschwunden • Oktober 2008, Telekom: 17 Mio. Handy-Kundendaten gestohlen • Bank of New York: auf dem Weg zum Datenentsorgungsspezialisten Sicherungsband mit 4,5 Mio. Kundendaten verloren IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele 2013 - Statement zum Angriff auf die Website einer Stadt in Sachsen-Anhalt • 31/May/2013:03:33:59 Anmeldung am CMS (ein Versuch!), gleich richtiges Passwort, Benutzer: admin • 31/May/2013:03:34:29 die Dateien "k.php.gif k.php.gif und content.php.gif" content.php.gif über 'Impressionen' Impressionen Formular hochgeladen • 06/Oct/2013:20:03:10 mehrere Versuche, Zugriff auf die MySQL-DB über das "Vereins" Formular zu erlangen mit SQL-Injections • 06/Oct/2013:20:12:35 Anmeldung am CMS (ein Versuch!), gleich richtiges Passwort, Benutzer: admin • 06/Oct/2013:20:17:19 wurden die Datei "c99.jpg.php" über das 'Satzungen‚-Formular hochgeladen • 06/Oct/2013:20:17:26 bis 06/Oct/2013:20:50:51 wurden alle Dateien auf dem Server ersetzt und gelöscht Datei "c99.jpg.php" scheint eine Art online-FTP gewesen zu sein, mit der alle Dateien gelöscht wurden. - Angriff aus den Niederlanden IT-Sicherheit im Alltag eines Unternehmens Praxisbeispiele 2012 – Manipulation einer Website IT-Sicherheit im Alltag eines Unternehmens Gründe für Investitionen in IT-Sicherheit IT-Sicherheit im Alltag eines Unternehmens Quelle: InformationWeek Defizite der IT-Sicherheit im Mittelstand IT-Sicherheit im Alltag eines Unternehmens Quelle: Deutschland sicher im Netz (DsiN) Verantwortung und Haftung • Wer sollte die IT-Sicherheitsrichtlinien festlegen? • Wer ist für die Risikoanalyse verantwortlich? • Wer haftet, wenn die IT-Notfallvorsorge nicht eingerichtet ist? IT-Sicherheit im Alltag eines Unternehmens Verantwortung und Haftung • In der Regel haftet die Geschäftsleitung, wenn – nichts geregelt ist, – nicht nachgewiesen werden kann, dass etwas geregelt ist, – etwas geregelt ist, jedoch nicht bekannt ist. • Fazit: Dokumentation ist ganz wichtig!!! IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz - Vorgehensweise • Vorschläge und Entscheidung für eine ITSicherheitsrichtlinie • Erstellung einer Übersicht vorhandener IT-Systeme • A Ausarbeitung b it d des IT IT-Sicherheitskonzeptes Si h h it k t und d eines i Realisierungsplanes inkl. Maßnahmen zur Notfallvorsorge und Benutzerinformation • Vorschläge für Maßnahmen zur kontinuierlichen ITSicherheit • Dokumentation aller Entscheidungsvorlagen, E t h id Entscheidungen und d der d umgesetzten t t M Maßnahmen ß h des IT-Sicherheitsprozesses IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz Q ll www.bsi.de Quelle: b id IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz - Grundwerte Vertraulichkeit Daten dürfen nur von Daten dürfen nur von berechtigten Personen gelesen werden Verfügbarkeit Integrität Daten und Systeme müssen zur Verfügung stehen Daten dürfen nur von Befugten in geeigneter Weise verändert werden IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz - Sicherheits-Leitlinie zur IT Sicherheit IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz - Sicherheitskonzeption Q ll www.bsi.de Quelle: b id IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz – Schutzbedarfsfeststellung • Was ist zu schützen? • Wo sind die zu schützenden Daten? Ziel ist die Schadensfeststellung bei Verletzung der Grundwerte! Vertraulichkeit Integrität Verfügbarkeit IT-Sicherheit im Alltag eines Unternehmens IT-Grundschutz – Modellierung Q ll www.bsi.de Quelle: b id IT-Sicherheit im Alltag eines Unternehmens Geschäftsprozesse und eBusiness IT-Sicherheit im Alltag eines Unternehmens Geschäftsprozesse Kunde Kunde Unternehmung Unternehmung Lieferant MaterialLieferant- daten Bestellabwicklung tendaten Bestellung g bereitstellen Bestellung Lieferung BestellAbwickelung Beschaffung Freigabe Bedarf aufgetreten Auftrag erstellen Auftrag Kundendaten Zeichnungsdokumente Artikeldaten Auftrag bearbeiten Material Annahme Fertigung VertriebsVertriebs niederlassung Gießerei DV-System Ware eingetroffen Produkt Produkt erstellt M Maschine hi Daten Funktion Fertigung Organisation Auftragsbearbeitung ArtikelKunden- daten daten Ware annehmen product Ware angenomen arrived Legende Material Artikel versenden Interne Geschäftsprozesse IT-Sicherheit im Alltag eines Unternehmens Versand Versand DV-Ressourcen bzw. Maschinenressourcen Geschäftsprozesse - „Einfache Wertschöpfung“ Quelle: J. Schwab:“Geschäftsprozessmanagement; Hanser Verlag München-Wien“ IT-Sicherheit im Alltag eines Unternehmens Geschäftsprozesse - Beispiel reale Auftragsabwicklung WL TL T1 T11 T12 T14 T2 FL T3 FV T32 FVP FVT FWV FWG KL FWG -Z OI FSC 121 174 178 123 126 AZA AZP AZG VB AZB Pak- T22 T23 T24 T25 T26 T27 101 102 103 105 109 112 AUV RZ T261 T263 VT61 IT-Sicherheit im Alltag eines Unternehmens PG6 PG9 EK AZ PG3 PG4 kerei techn. Auftr Auftr. BZErf Erf. Steuerung QSE QSE QSE QSE QSE M 1 2 3 SB SB1 SB2 SB3 Versand EK1 EK2 QSV QSS QSV QSV QSV QSV M 1 2 3 Viren, Spyware, Trojaner und Rootkits Definitionen: • Virus (lat. Gift, Schleim) - selbst verbreitendes Computerprogramm - verursacht Schaden verschiedenster Art - infiziert andere Software - reproduziert sich dadurch • Spyware (engl. spy – Spion, ware – aus Software) - ausspionieren von Daten Daten, Nutzungsverhalten - werden an Hersteller gesendet - Absetzen gezielter Werbung IT-Sicherheit im Alltag eines Unternehmens Viren, Spyware, Trojaner und Rootkits Definitionen: • Trojaner - als nützliche Anwendung getarnt - Einschleusen von Viren Viren, Spionageprogrammen Spionageprogrammen, Backdoors usw usw. - Schadfunktionen z.B. Datenklau, Fernsteuerung des PCs, Installation von Dialern, Abschalten Firewall / Antivirenprogr. • Rootkits (engl. etwa Administratorbausatz) - Sammlung von Softwarewerkzeugen Softwarewerkzeugen, um weitere schadhafte Aktionen zu verbergen - Virenscanner meist nicht ausreichend IT-Sicherheit im Alltag eines Unternehmens Viren, Spyware, Trojaner und Rootkits • Basisschutz: - Antivirenprogramm (aktiv, aktuelle Updates) Update vor allen anderen Aktivitäten! - diverse Bestenlisten im Internet • Links: - www.computerbild.de - www.zdnet.de - www.testberichte.de - www.chip.de - www.com-magazin.de - www.av-test.org www av test org - www.viruslist.com/de IT-Sicherheit im Alltag eines Unternehmens Viren, Spyware, Trojaner und Rootkits Sicherheits-Check • Basis-Check mit Live-CD Boot-CD, Scannen bei ausgeschaltetem Betriebssystem z.B. mit Insert Security-CD (www.inside-security.de) oder Kaspersky Rescue Disk (www (www.kaspersky.de) kaspersky de) • Viren-Check Scannen bei "aktivem" Betriebssystem z.B. mit Microworld Antivirus Toolkit Utility (Kaspersky-Technologie) (www.mwti.net/products/mwav/mwav.asp) IT-Sicherheit im Alltag eines Unternehmens Viren, Spyware, Trojaner und Rootkits Sicherheits-Check • Spyware-Check z.B. mit Spybot Search & Destroy (www.safer-networking.org) AdwCleaner (https://toolslib.net/downloads) Ad-Aware Ad Aware (www.lavasoft.de) (www lavasoft de) Xpy (www.xp-antispy.org) • Trojaner-Check Hinweis: "heimisch" in den Autostart-Bereichen von Windows z.B. mit Hijack This (http://www.trendmicro.de/produkte/kostenlose-tools-und-services/) IT-Sicherheit im Alltag eines Unternehmens Viren, Spyware, Trojaner und Rootkits Weitere Hinweise: • Online-Prüfung von Dateien www.virustotal.com http://virusscan.jotti.org/de • HOAX-Meldungen checken ( (www2.tu-berlin.de/www/software/hoax.shtml) ) • Beschreibung von Viren auf Websites der Hersteller von Antiviren-Programmen, auch Angebot von Tools zum Entfernen IT-Sicherheit im Alltag eines Unternehmens Firewall • regelt Zugriff zwischen Rechnernetzen • optimal ist Kombination aus Internetschutz-Software („Firewall“), Virenschutz-Programm Virenschutz Programm und Anti AntiSpionage-Software („Anti-Spyware“) Quelle: www.computerbild.de IT-Sicherheit im Alltag eines Unternehmens Firewall • Personal-Firewall Software lokal auf dem PC Verbindungskontrolle zwischen PC und Netzwerk • Netzwerk-/Hardware-Firewall separate Hardware Hardware, die mindestens 2 Netzwerke voneinander trennt zz.B. B Router IT-Sicherheit im Alltag eines Unternehmens Firewall • Softwarebasierend oft in Security-Suiten eingebettet • Bestenlisten im Internet, Beispiele Gdata Internet Security – www.gdata.de BitDefender – www.bitdefender.de Kaspersky – www.kaspersky.de www kaspersky de Norton Internet Security – www.symantec.de www avira de Avira Premium Security Suite – www.avira.de IT-Sicherheit im Alltag eines Unternehmens Firewall IT-Sicherheit im Alltag eines Unternehmens Firewall fehlende Updates beim BS Windows Windows IT-Sicherheit im Alltag eines Unternehmens Datensicherung - Übersicht gesetzlicher Anforderungen • HGB - Handelsgesetzbuch • GoBD (vormals GDPdU) Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff • GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme • SigG g - Signaturgesetz g g • SigV - Signaturverordnung IT-Sicherheit im Alltag eines Unternehmens Datensicherung - Anforderungen an den Datenzugriff • Lesbarmachung und Datenzugriff • Unterlagen jederzeit verfügbar, unverzüglich lesbar und maschinell auswertbar • Einsicht in gespeicherte Daten und Nutzung des DV-Systems • Kosten trägt das Unternehmen • unmittelbarer, mittelbarer Datenzugriff unmittelbarer Datenzugriff, Datenträgerüberlassung – unmittelbar: Vorort, Nur-Lesezugriff – mittelbar: Unternehmen wertet Daten nach Vorgaben g aus – Datenträgerüberlassung: Übergabe an Finanzbehörde Hi Hinweis: i Gilt bei b i steuerlichen t li h Außenprüfungen! A ß üf ! IT-Sicherheit im Alltag eines Unternehmens Datensicherung - Anforderungen an die Prüfbarkeit • Gewährleistung der Unveränderbarkeit der Daten • 10 Jahre gesetzliche Aufbewahrungspflicht (Ausnahmen) • bei Verwendung von Kryptographieverfahren sind sowohl die verschlüsselte als auch die entschlüsselte Version zu archivieren, ebenso die verwendeten Schlüssel • bei Konvertierungen in nicht gängige Dateiformate sind beide Versionen zusammen zu archivieren • bei aufbewahrungspflichtigen Unterlagen sind Eingang, weitere Bearbeitung und Archivierung zu protokollieren IT-Sicherheit im Alltag eines Unternehmens Quelle: © Friedberg - Fotolia.com Datensicherung - Hardwaremedien • 200 50-70 Ja ahre 10-50 Ja ahre 5-10 , DV VD-RAM b bis zu 30 Jahre Bücher Filme Zeitung CD/DVD 120 100 80 60 40 20 bis zu 10 0 Jahre 70-100 J Jahre Bücher säurehaltiges Papier 140 bis zu 10 0 Jahre mehrere e 100 Jahrre 160 bis zu 30 0 Jahre säurefreies Papier 180 Magnetbänder Festplatte SLCFlash 0 IT-Sicherheit im Alltag eines Unternehmens Datensicherung in der Praxis • Trennung von Betriebssystem, installierter Software und Daten • Partitionierung der Festplatte in entsprechende Bereiche • Sicherung BS und Software nach Einrichtung eines PCs (z B mit Acronis True Image) (z.B. • Ordner bzw. g ganze Laufwerke verschlüsseln ((z.B. BS,, Truecrypt, yp , …)) • Systemwiederherstellungsfunktion bei BS Windows einstellen IT-Sicherheit im Alltag eines Unternehmens Datensicherung in der Praxis • Zugriffsschutz aktivieren – Passwortschutz beim Bildschirmschoner • tägliche Sicherung des Datenbestandes (Sicherungsfunktion des BS oder zz.B. B Synchredible von ASCOMP) • periodische Prüfung der Festplatten auf Fehler (z (z.B. B HD Tune) • Sicherung g zentraler Datenbestände auf Bänder,, Festplatten, p ,… IT-Sicherheit im Alltag eines Unternehmens Sichere Passwörter • lange Passwörter (mindestens 8 Zeichen) • Bestandteile: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen • keine Namen oder Wörter • keine gängigen Varianten und Muster (z.B. Tastatur) • einfache Passwörter nicht nur am Anfang und Ende mit Sonderzeichen ergänzen • Beispiel: „/gj1.&3.DzT“ (Ich gehe jeden 1. und 3. Donnerstag zum Training.) Q ll eBusiness-Lotse Quelle: B i L t Magdeburg M d b IT-Sicherheit im Alltag eines Unternehmens Umgang mit Passwörtern • niemals direkt notieren (Kennwortverwaltungssoftware) • regelmäßig ändern • keine einheitlichen Passwörter • Änderung von voreingestellten Passwörtern • Passwort beim Bildschirmschoner setzen • keine Weitergabe g an Dritte oder p per E-Mail versenden • Eingabe nur an vertrauenswürdigen Rechnern Quelle: Onidji (Fotolia) IT-Sicherheit im Alltag eines Unternehmens Konfiguration von Software • Einstellung der automatischen Updates beim Betriebssystem • Windows-Tools zum Entfernen bösartiger Software • Updates für MS Office, Antivirensoftware, Firewall u.a. Software • Sicherheitseinstellungen bei MS Office • Dateiendungen einblenden • P üf der Prüfen d A Autostart-Einträge t t t Ei t ä • Prüfen aktueller Prozesse IT-Sicherheit im Alltag eines Unternehmens Konfiguration von Software Firefox IT-Sicherheit im Alltag eines Unternehmens Konfiguration von Software Internet Explorer IT-Sicherheit im Alltag eines Unternehmens Browser-Check Online Sicherheits-Check (com-magazin) 25 Einzeltests in 4 Bereichen www.com-magazin.de • • • • Basis-Check B i Ch k Browser-Check Plug-in-Check g Firewall-Check Port-Nummern unter http://meineipadresse.de/html/ip-ports.php p p pp p p IT-Sicherheit im Alltag eines Unternehmens Lokales Netzwerk • • • • • • • • Analyse der Netzwerkeinstellungen ((z.B. TCPView,, Softperfect p Network Scanner,, SuperScan, p , …)) Prüfen Datei- und Ordnerfreigaben Verwendung sicherer Passwörter evtl. andere IP-Adressbereiche verwenden (nicht 192.168.0.0 …) Abschalten unnötiger Netzwerkdienste Benutzerkonten ehemaliger Mitarbeiter löschen aktuelle Updates bei allen Netzwerkelementen Z Zugang zu Netzwerkanschlüssen, N t k hlü Druckserver, D k PCs, PC Laptops, L t … IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN • Admin-Passwort ändern IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN • Verschlüsselung IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN • Ändern Netzwerknamen bzw. SSID-Kürzel (Service Set Identifier) IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN • Nachtabschaltung IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN Weitere Einstellungen • • • • • Zugriff durch Angabe der MAC-Adressen Ausschalten der Fernkonfiguration Broadcast-Modus deaktivieren feste IP IP-Adressen Adressen statt Vergabe durch DHCP Firmware aktualisieren IT-Sicherheit im Alltag eines Unternehmens Sicheres WLAN Einsatz von WLAN in Unternehmen Wardriving Warchalking IT-Sicherheit im Alltag eines Unternehmens Q ll www.wikipedia.org Quelle: iki di Linkliste • • • • • • • • • • • • • • • http://www.av-test.org/de https://www.bsi.bund.de/DE/Home/home_node.html htt // https://www.it-sicherheit.de/ratgeber/checklisten_it_sicherheit/ it i h h it d / t b / h kli t it i h h it/ http://www.chip.de/bildergalerie/Die-zehn-schlimmsten-Viren-und-WuermerGalerie_35332914.html http://www.internet-sicherheit.de/ http://www.chip.de/downloads/Kaspersky-Rescue-Disk_44976921.html http://www viruslist com/de/analysis?pubid=200883873 http://www.viruslist.com/de/analysis?pubid 200883873 http://www.escanav.com/english/content/products/MWAV/escan_mwav.asp http://www.com-magazin.de/securitycheck-72696.html http://www.sicherheitstacho.eu/?lang=de http://hoax-info.tubit.tu-berlin.de/hoax/ https://www.virustotal.com/ http://meineipadresse.de/ http://www.zone-h.com/archive htt // http://www.com-magazin.de/praxis/internet/20-gratis-tools-sicherheit-37647.html i d / i /i t t/20 ti t l i h h it 37647 ht l IT-Sicherheit im Alltag eines Unternehmens Smartphones Nutzung von Smartphones – Beispiel: Lookout Security & Antivirus Q ll www.lookout.com Quelle: l k IT-Sicherheit im Alltag eines Unternehmens eBusiness-Lotse Magdeburg - Ansprechpartner Wilfried Müller Roland Hallau Mike Wäsche 0391 7443537 [email protected] wmueller@tti md.de 0391 7443524 [email protected] rhallau@tti md.de 0391 7443534 [email protected] mwaesche@tti md.de www.ebusiness-lotse-magdeburg.de IT-Sicherheit im Alltag eines Unternehmens