Informationssicherheit an der RWTH

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit an der RWTH"

Leon Brodbeck
vor 5 Jahren
Abrufe

1 Informationssicherheit an der RWTH Dipl.-Inform. Guido Bunsen IT Center / RWTH Aachen University

2 Was tun wir für die Sicherheit Überprüfung aller eingehenden auf Viren Schutz vor weiteren schädlichen s Betrieb eines Webfiltersystems Betrieb von Firewalls Verschlüsselter Abruf und Versand von s Verschlüsseltes WLAN Lizensierung des Sophos Virenscanners für alle Mitglieder der Hochschule Betrieb einer Zertifizierungsstelle (Verschlüsseln von s) Erstsemester-CD mit Sicherheitshinweisen Einsatz von qualifizierten und motivierten Administratoren Frage: Sind wir jetzt sicher? 2

3 Wann fühlen wir uns sicher Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. (Quelle Wikipedia) Risiken der Beeinträchtigung: Verstoß gegen Gesetze, Vorschriften, Verträge / Beeinträchtigung der persönlichen Unversehrtheit / Beeinträchtigung der Aufgabenerfüllung / negative Innen- oder Außenwirkung / finanzielle Auswirkungen Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden ( ) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. (Quelle: Wikipedia) 3

4 Ziele der Informationssicherheit Grundwerte der Informationssicherheit Vertraulichkeit, Integrität, Verfügbarkeit Zielkonflikte Sicherheit Usability Wirtschaftlichkeit Erforderliche Maßnahmen sind nicht nur IT-Verfahren Sicherheitsprozess (Organisatorischer Rahmen, Zuständigkeiten, ) Verfügbarkeit der Infrastruktur (Feuer, Wassereinbruch, Naturkatastrophen) Design von Prozessen, Software, Betrieb (Netz, OS, Anwendung, ) Sachgerechter Einsatz der IT 4

5 Organisatorischer Rahmen Alle Aspekte, Ziele, Maßnahmen müssen koordiniert werden Anforderungen, Gefährdungen und technische Rahmenbedingungen ändern sich daher Sicherheit ist kein Produkt, kein Projekt. Sicherheit ist ein Prozess Verantwortung im IT Center (Rechen- und Kommunikationszentrum) liegt beim IT-Manager Security 5

6 Prinzipien des Sicherheitsprozesses (1) Kontinuierliche Verbesserung durch einen zyklischen Prozess: 1. Erstellung eines Sicherheitskonzeptes für den IT-Verbund (Beinhaltet für alle Verfahren, Software, IT-Systeme etc. den erforderlichen Schutzbedarf und die Maßnahmen mit denen dieser Schutz erreicht werden soll) 2. Dokumentation des Umsetzungsgrades (Welche Maßnahmen wurden bereits umgesetzt und welche fehlen noch) 3. Festlegung, welche fehlenden Maßnahmen umgesetzt werden sollen und in welcher Reihenfolge. 4. Weiter bei Schritt 1. 6

7 Prinzipien des Sicherheitsprozesses (2) Kontinuierliche Verbesserung durch aktive Suche nach Schwachstellen Dokumentation und Auswertung von Sicherheitsvorfällen Interne und externe Audits, Datenschutzkontrollen Automatisierte Schwachstellensuche Nutzung von externen Informationsquellen Ziel ist ein angemessenes Sicherheitsniveau Usability (Brauchbarkeit, Bedienbarkeit) muss weiter gegeben sein Aufwand und Kosten müssen in sinnvoller Relation zu den Risiken stehen 7

8 Jeder ist verantwortlich Informationssicherheit und Datenschutz gibt es nur wo alle Beteiligten mitwirken Schützen Sie Ihre Identität! Schützen Sie Ihr Endgerät! Schützen Sie Ihre Daten! 8

9 Schutz der eigenen Identität / Maßnahmen Maßnahmen Nutzen Sie nicht überall dasselbe Passwort Nutzen Sie sichere Passworte. Kein Wort aus einem Wörterbuch Tausch von O gegen 0 oder L gegen 1 hilft nicht mehr. Wählen Sie ein Passwort das Sie sich sicher merken können. Wählen Sie ein Passwort das andere nur schwer raten können. Ändern Sie wichtige Passworte regelmäßig Geben Sie ihr Passwort nur auf Webseiten ein die Sie sicher kennen (Phishing) Geben Sie ihr Passwort möglichst nur auf vertrauenswürdigen Geräten ein. 9

10 Schutz der eigenen Identität / Maßnahmen (2) Zurückhaltung in Sozialen Netzwerken FB, Google+, XING, LinkedIn, 5ZWO,. Information kann für gezielte Angriffe genutzt werden 10

11 Schutz des Endgerätes / Maßnahmen Verwenden sie ein sicheres Passwort. Installieren Sie Sicherheitsupdates möglichst schnell und vollständig (Betriebssystem und Anwendungssoftware). Nutzen Sie aktuelle Virenschutzsoftware. Schalten Sie die Firewall ein. Nutzen sie einen Screensaver mit Passworteingabe. Schalten Sie alle Gastzugänge mit anonymen Zugang ab. Arbeiten Sie nur mit Administratorrechten wo das zwingend erforderlich ist. Vertrauliche Informationen sollten zusätzlich verschlüsselt sein. 11

12 Mobile Endgeräte Mobile Endgeräte sind zusätzlichen Risiken ausgesetzt. Diebstahl, Verlust, Betrieb in fremden Netzen Alle vorherigen Empfehlungen gelten auch hier. Schalten Sie WLAN oder Bluetooth nur ein wenn Sie es benötigen. Verbinden sie sich nur mit WLAN-Netzen die ein Passwort verlangen, wie Eduroam. Automatisches Verbinden mit offenen Netzen ist gefährlich. Automatisches Synchronisieren kann ein Risiko sein. Installieren sie Apps nur aus vertrauenswürdigen Quellen Achten Sie darauf, das die von einer App angeforderten Rechte plausibel sind 12

13 Weitere Informationen

Ähnliche Dokumente

IT Sicherheit: Lassen Sie sich nicht verunsichern

IT Sicherheit: Lassen Sie sich nicht verunsichern Guido Bunsen IT Manager Security IT Center AGENDA Betrieb von Firewalls Webfilter E-Mail-Filter Netzwerküberwachung / Blast-O-Mat Virenschutz-Software