Der Schutz Ihrer Daten. Informationssicherheit in der Praxis

Transkript

1 Der Schutz Ihrer Daten Informationssicherheit in der Praxis

2 Schlagzeilen

3 secriso Consulting - Leistungsspektrum Ermittlung bei IS Sicherheitsvorfällen Risikoanalyse Information Schulungen und Vorträge Schutz vor Wirtschaftsspionage Informationssicherheits- Managementsystem ISO 27001:2013

4 Schlagzeilen

5 Schlagzeilen

6 Schlagzeilen Was meinen Politik und Wirtschaft?

7 Typische Bedrohungen der Informationssicherheit Umweltbedrohungen Ausfall von Mitarbeitern Öffentliche Infrastruktur Feuer Wasser Pandemie Externe Abhängigkeiten Energieversorgung Schlüsselressourcen Transport und Verkehr IT-Infrastruktur Bedrohungen Erdbeben Wind/Tornados Bedrohung durch Verbrechen Kommunikation Externe Dienstleister Defekte Datenspeicher Rechnerausfälle Anschläge Hacker Sabotage Diebstahl Netzwerkausfälle

8 Typische Bedrohungen Bedrohung durch Verbrechen Sabotage Anschläge Hacker Diebstahl

9 Reale Bedrohung CyberCrime

10 Was sagt die Statistik? Cybercrime: 750 MrdEuro Schaden jährlich / 1 MioOpfer täglich 2013 entstand in Deutschland ein Schaden von 4,3 MrdEuro durch Industriespionage Für die österreichische Wirtschaft entsteht jährlich ein Schaden von mehr als 1 MrdEUR. 85% der gestohlenen Daten sind Kundendaten. Jedes 4. Unternehmen war schon Angriffsziel von Hackern. Nur 50% der Unternehmen wissen überhaupt, dass sie angegriffen wurden bzw. bestohlen wurde.

11 Wer sind die Angreifer? Privat motivierte Hacker >>Mitbewerber, Neider<< Script Kiddies >>Imponiergehabe, Jugendliche<< Hacker-Communities >>Zusammenschluss von Profis mit meist politischer Motivation<< Freie Unternehmensspione >>Professioneller Diebstahl von Betriebsgeheimnissen, Verkauf an Meistbieter<< APT*-Angreifer >>Gezielter professioneller Auftragsdiebstahl<< Ausländische Nachrichtendienste >>Mit der Lizenz zum Spionieren<< *) Advanced Persistant Threat

12 Social Engineering Schwachstelle Mitarbeiter Mit IHREM Vertrauen auf Diebestour... Manipulation Liebe Ausspähen Human Hacking Sorglosigkeit Kontrolle Vertrauen Freundschaft

13 Was ist Social Engineering? Social-Engineering ist eine Angriffstechnik mit dem Ziel durch: Täuschung Erpressung Bedrohung Diebstahl etc. Personen zur Herausgabe von sensiblen Informationen (Daten, Dokumente, Passwörter, etc.) zu bewegen oder in anderer Weise zu manipulieren. alle Unternehmen sind angegriffen, Sie werden es gerade, oder wurden es schon Sie bemerkten es nicht oder schweigen darüber Kevin Mitnick

14 Das Wichtigste für den Angreifer Gute Tarnung ist voller Erfolg!

15 Der virtuelle Selbstbedienungsladen

16 Angriffspunkte! Der Werbegeschenktrick: Viel Spaß mit unserem USB-Stick Der verlorene Datenspeicher: USB-Stick auf dem Firmenparkplatz Der schnelle Datenaustausch: USB-Stick zum Austausch von Daten Der neue Mitarbeiter am Telefon? Gefälschte SMS mit Aufforderung auf einen Link zu klicken Der Ich muss mal kurz raus -Trick (... aber mein Telefon bleibt) Hacking von Router (FritzBox, Linksys) Hacking von Smarthome Steuerung Smartphone Apps (übertragen Daten im Hintergrund, Zugriff auf Adressbuch, Kamera, Aufnahmefunktion & Co)

17 Das Waffenarsenal der Angreifer

18 Werfen wir einen Blick auf das Internet Google Youtube Facebook Twitter Tumblr WikiLeaks P2P The Pirate Bay Torrents Das uns bekannte und freundliche Internet Die Kleinkriminellen storage Hidden Wiki Silk Road Hard Candy Onion Chan Der absolute Untergrund: Hier tummeln sich Kriminelle, Terroristen, Kinderschänder, Drogenhändler, Mörderund viele andere dunklen Gestalten! Scat CP Snuff CP

19 Was steckt dahinter? Warum sind meine Informationen für Cyber-Kriminelle so wertvoll? Es geht um Geld, viel Geld! Preise für Daten: Persönliche Daten Adresse: mit Namen: mit Adresse: Kreditkartendaten 0,01 bis 0,8 pro Stk. 1,00 bis 1,50 pro Stk. 1,10 bis 1,80 pro Stk. 5 bis 40 pro Stk. Vertrauliche Firmeninformationen >

20 Der Untergrund Ein herzliches Willkommen im...

21 Der Untergrund Ein noch harmloses Geschäftsmodell...

22 Der 24 h Markt im Untergrund Passwort Hacking Services

23 Der 24 h Markt im Untergrund Weitere Services

24 Der 24 h Markt im Untergrund Destroy your enemies!

25 Der 24 h Markt im Untergrund Passwort Download Listen

26 Angriffspunkte durch Social Engineering Passwort-Phishing (TOP 10) 1. Der Name des Haustieres 2. Ein bedeutsames Datum wie der Hochzeitstag 3. Geburtsdatum eines Familienmitglieds 4. Name des Kindes 5. Name eines ungeliebten Familienmitglieds 6. Geburtsort 7. Lieblingsurlaubsziel 8. Zusammenhang mit Lieblingssportverein 9. Lebenspartner oder andere wichtige Person 10. Passwort - password 1! 1!

27 Angriffspunkte durch Bequemlichkeit TOP 10 Passwörter und PINs 2013 Rang Passwort Veränderung seit hoch 2 password 1 runter nicht verändert 4 qwerty 1 hoch 5 abc123 1 runter neu hoch hoch 9 iloveyou 2 hoch 10 adobe123 neu hoch 12 admin 2 hoch neu 14 letmein 7 runter 15 photoshop neu Quelle: SplashData

28 Keylogger Klein, aber fein! Passwort Hacking Services Äußerst beliebt bei Internet-Cafe`s und zur Betriebsspionage! Keylogger

29 Typische Bedrohungen Infrastruktur Bedrohungen Rechnerausfälle Defekte Datenspeicher Netzwerkausfälle

30 Angriffe auf Unternehmen und Industrie

31 Zerstörung Backup?

32 Wie schütze ich mich? Man kann man sich schützen! Was sind den nun die richtigen Maßnahmen? thinkstock.com

33 Cloud vs. Cloud Cloud Cloud Bild: Gerd Altman/pixelio.de

34 Cloud vs. Cloud

35 Cloud vs. Cloud Böse Cloud

36 Cloud vs. Cloud

37 Cloud vs. Cloud Österreichische Cloudservices Gute Cloud Es gelten die Anforderungen des Österreichischen Datenschutzgesetzes für die Speicherung der Daten.

38 Ein organisierter Ansatz zur Informationssicherheit Hilfe zur Selbsthilfe Best Practices der Informationssicherheit

39 IT-Sicherheit Best Practices Anforderungen für Rechenzentren Rollenbasierte Zutrittskontrolle Zwei-Faktor-Authentifizierung Brandschutz Kontrolle der Service Dienstleister (Reinigung, Gebäudemanagement, Reparaturunternehmen etc.) Weiterbildung in IT-Sicherheit Robuste Infrastruktur Professionelle Sicherheit Schulung zu Social Engineering Kontrolle und Schulung von Awareness Notfallplan, Redundanz Auswertung der Dokumentation der letzten Notfallübungen Sicherheitskonzept (Systemsicherheit, Netzwerksicherheit, Gebäudesicherheit) Periodische Sicherheitsprüfungen Logging

40 IT-Sicherheit 6 Tipps zum Schutz Ihrer Daten

41 6 Tipps, die helfen TIPP 1 Verankern Sie die Themen IT-Sicherheit und Datenschutz in Ihrer (IT-)Organisation IT-Sicherheit bei allen Projekten immer im Blick!

42 6 Tipps, die helfen TIPP 2 Gegen moderne Angriffe platziert man am besten auch einen modernen Schutz, also Sicherheits-Software der aktuellen Generation!

43 6 Tipps, die helfen TIPP 3 Einlasskontrolle für die Integration von externen Geräten in das Netzwerk durch automatisierte Prüfung! Nur wenn die definierten Anforderungen erfüllt sind, beispielsweise in aktueller Virenscanner und alle Windows-Updates vorhanden sind, dann darf das neue Gerät auch im Firmennetzwerk aktiv werden.

44 6 Tipps, die helfen TIPP 4 Notfallplan parat haben! Nur wer vorbereitet ist, kann Krisen schnell meistern. Die IT-Abteilung soll Notfall-Pläne ausarbeiten und genau festlegen, was passiert, wenn beispielsweise ein Datei-Server mit einem Virus infiziert wurde oder ein Brand ausbricht. Wichtig: Die Notfallpläne müssen laufend aktualisiert werden.

45 6 Tipps, die helfen TIPP 5 Verschlüsselung bringt Plus an Sicherheit! Verschlüsseln Sie Ihre vertraulichen und sensiblen Daten. Selbst wenn es einem Angreifer gelingen sollte, Daten anzuzapfen, kann er sie nicht verwerten, wenn man sie vorher verschlüsselt hat.

46 6 Tipps, die helfen TIPP 6 Ihre Mitarbeiter sind entscheidend für die Sicherheit. Schulen und sensibilisieren Sie Ihre Mitarbeiter! Die ausgefeiltesten Sicherheitssysteme sind nutzlos, wenn die Mitarbeiter nicht für das Thema Sicherheit sensibilisiert werden.

47 Sind Sie sicher? Vielen Dank Thorsten Jost