Informationsbroschüre. Gefahr durch Social Engineering.

Transkript

1 Informationsbroschüre Gefahr durch Social Engineering

2 Herausgeber Fachhochschule Gelsenkirchen Institut für Internet-Sicherheit - if(is) Text und Redaktion Dipl.-Inform.(FH) Sebastian Spooren Prof. Dr. (TU NN) Norbert Pohlmann Dustin Pawlitzek Fachhochschule Gelsenkirchen Institut für Internet-Sicherheit - if(is) Bildquelle pmtavares - Fotolia.com Julien Eichinger - Fotolia.com PA - Fotolia.com MACLEG - Fotolia.com ioannis kounadeas - Fotolia.com pressmaster - Fotolia.com fotoflash - Fotolia.com Yana Tsvetkova - Fotolia.com Stand Dezember 2010

3 Überblick 4 Inhalt 1 Einleitung: Die Gefahr Mensch Wussten Sie schon, dass...? Gefahren durch Unwissenheit und Bequemlichkeit Tipps für Mitarbeiter zum Schutz vor Social Engineering Geben Sie Ihren Beschäftigten eine gute Ausgangsbasis Die Gefahren sozialer Netzwerke Fazit Quellen Weiterführende Informationen Sichere E-Geschäftsprozesse in KMU und Handwerk Unsere Kompetenzen im Verbundprojekt...18

4 4 Einleitung Die Gefahr Mensch Einleitung Internetkriminelle sind in der Vorstellung vieler Menschen technisch versierte Genies, die in dunklen Kellerräumen umringt von Pizzaschachteln komplexe Computercodes programmieren, um damit sensible Daten zu stehlen und in fremde Computernetzwerke einzudringen. Dies entspricht jedoch häufig nicht der Realität. Neben dem klassischen Hacken, also dem Eindringen mit technischen Mitteln wie z.b. Computerviren, gibt es für Kriminelle aber auch einen einfacheren Weg, an die gewünschten Informationen zu gelangen. Warum nicht einfach nett danach fragen? Kaum zu glauben, aber die Methode des Social Engineerings verspricht insbesondere in Unternehmen mit überdurchschnittlichen IT-Sicherheitsvorkehrungen große Erfolge für den Angreifer. Dazu nutzen die Kriminellen die größte Schwachstelle eines Unternehmens: seine Mitarbeiter. Ein wirkungsvolles IT-Sicherheitskonzept erfordert neben angemessenen technischen Sicherheitsmaßnahmen und Notfallplänen eine Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit. In der Fachsprache wird die Sensibilisierung der Mitarbeiter als Awareness bezeichnet. Nur unter Berücksichtigung einer Awareness- Kampagne kann sich ein Unternehmen vor Angriffen mittels Social Engineering schützen. Social-Engineering Angriffe beschränken sich nicht nur auf den persönlichen Kontakt, sondern können ebenso über Telefon, oder alle anderen Kommunikationsmitteln ausgelöst werden. Werden Ihre Beschäftigten für das Thema nicht sensibilisiert, laufen Sie Gefahr, dass Ihre Mitarbeiterinnen und Mitarbeiter zumeist aus Höflichkeit oder Bequemlichkeit dem unscheinbaren Angreifer unwissend Tür und Tor öffnen. Oftmals haben gerade kleine und mittelständische Unternehmen Angst nicht alle Aspekte zum Schutz Ihres Unternehmens auch angemessen umsetzen zu können. Sie glauben häufig, dass es ein enormer Aufwand ist und damit hohe finanzielle Kosten verbunden sind, um alle Maßnahmen umsetzen zu können. Diese Informationsbroschüre ist als Impulsgeber gedacht und soll Sie motivieren, sich mit dem Thema Social Engineering auseinander zusetzen und die eigenen Beschäftigten bei dem Thema Informationssicherheit mit einzubeziehen. Diese Broschüre gibt Ihnen nützliche Tipps an die Hand, wie Sie sich und Ihr Unternehmen vor den Gefahren des Social Engineerings schützen können. Bereits die Berücksichtigung nur einiger Tipps dieser Broschüre trägt dazu bei, dass Ihre Beschäftigten ein Gespür für das Thema IT-Sicherheit entwickeln.

5 Wussten Sie schon, dass... 5 Wussten Sie schon, dass...»... Kevin Mitnick, der Mitte der neunziger Jahre meist gesuchteste Hacker weltweit, am meisten durch Social Engineering Angriffe bekannt wurde und sich damit mehrfach Zugang zum Pentagon verschaffte?»... bei einem Test innerhalb eines Social-Networks von 200 zufällig ausgewählten Benutzern mehr als 75% ihre Adresse oder den derzeitigen Wohnort preisgeben würden?»... in mehr als 25% der Fälle die eigenen Mitarbeiterinnen und Mitarbeiter eines Unternehmens vertrauliche Informationen unwissend weitergeben würden?»... bei einer Passantenbefragung der Liverpool Street Station in London mehr als 70% von 172 Befragten ihr firmeninternes Passwort für eine Tafel Schokolade preisgeben würden?

6 6 Vorgehen der Täter Gefahren durch Unwissenheit und Bequemlichkeit Mehr als 60 Prozent der Angriffe auf die unternehmensweite IT erfolgen heutzutage nicht mehr von außen, sondern von den eigenen Mitarbeitern. Nicht weil sie böswillig sind, sondern weil sie manipuliert werden und aus Unwissenheit oder Bequemlichkeit betriebliche Sicherheitsvorgaben missachten. psychologischen Mitteln langsam an die Zielinformation heranzutasten. Häufig schlüpft der Täter in die Rolle einer Autoritäts- oder Vertrauensperson. Dabei sammelt er Informations-Puzzlesteine, die ihn an anderer Stelle als vertrauenswürdig erscheinen lassen. Hilfsbereitschaft wird ausgenutzt Angreifer nutzen dazu menschliche Eigenschaften wie Gutgläubigkeit, Hilfsbereitschaft, Stolz, Konfliktvermeidung oder Respekt vor Autoritäten aus, um mit psychologischen Tricks an die gewünschten Informationen zu gelangen. Ein Social- Engineering-Angriff beginnt in der Regel mit der Beschaffung von allgemeinen Informationen über das Unternehmen, das angegriffen oder ausspioniert werden soll. Wie gehen Angreifer vor? Schon ein Organigramm und die Telefonliste können einem versierten Angreifer genügen. Dieser ruft nun in dem Wissen um die vorherrschenden hierarchischen Strukturen beim Unternehmen an. Er täuscht eine falsche Identität vor, um sich durch eine geschickte Fragestellung und mit Was wollen die Täter? Besonders häufig haben es Social Engineers auf Passwörter abgesehen. So täuscht der Angreifer beispielsweise ein Problem vor, das einer sofortigen Lösung bedarf, z.b. ein Hackerangriff, der sofortigen Zugriff auf den Account des Mitarbeiters erfordert. Weil er bestimmt und autoritär auftritt, sein Opfer zuvor unter psychologischen Gesichtspunkten ausgewählt hat und es zusätzlich mit Stress konfrontiert, gibt ihm dieses oftmals bereitwillig die Zugangsdaten heraus.

7 Gefahr durch Unwissenheit... 7 Social Engineers nutzen für ihre Angriffe verschiedene Taktiken: Sie erscheinen persönlich beim Opfer, kontaktieren es per Telefon, oder SMS. Entscheidend für das Gelingen ist in jedem Fall der Überraschungsmoment. Beispiel-Szenarien Einen schönen guten Tag... Beispielsweise erhält ein Anrufer von der hilfsbereiten Telefonistin in der Zentrale durch die Nennung eines Namens die Information, dass sich dieser Mitarbeiter noch mindestens zwei Stunden in einem wichtigen Meeting befindet und nicht gestört werden möchte. Mit dieser Information meldet sich der Anrufer nun bei einem anderen Kollegen im Unternehmen und bezieht sich dabei auf ein erfundenes Telefonat mit dem Mitarbeiter aus dem Meeting, um bestimmte Informationen (z.b. den Marketingplan) zu erschleichen. Dabei gibt er an, dass er dies mit dem

8 8 Beispiel-Szenarien Mitarbeiter aus dem Meeting besprochen hat und bereits seit einer Stunde auf den Marketingplan wartet und diesen nun sehr dringend benötigt oder andernfalls die geplante Marketingkampagne abgesagt werden muss. Rückt der angerufene Mitarbeiter die Informationen zunächst nicht raus, droht ihm der Anrufer zumeist mit Ärger durch seinen Vorgesetzten. Wollen Sie verantwortlich dafür sein, dass die Marketingkampagne für Ihr neues Produkt im nächsten Monat nicht startet?. Der Mitarbeiter fühlt sich dabei bereits stark unter Druck gesetzt und gibt die gewünschte Information preis. Mitarbeiter auf Messen: Interessant für die Konkurrenz Insbesondere auf Messen und öffentlichen Veranstaltungen geben Mitarbeiter in Gesprächen mit möglichen Geschäftspartnern schnell und leichtfertig sensible Unternehmensinterna preis. Oftmals wissen Sie nicht, welche Informationen geheim bleiben müssen und hoffen durch ein offenes und ehrliches Gespräch mit dem Gegenüber auf den Beginn einer neuen und erfolgreichen Partnerschaft. Freundliche Handwerker im Haus Viele Mitarbeiter bringen aus Gutgläubigkeit fremden Personen oftmals zu viel Vertrauen entgegen. So kommt es leider immer wieder vor, dass Beschäftigte scheinbare Handwerker ungehindert durch das Unternehmen gehen lassen oder ihnen sogar gewünschte Büroräume öffnen. Auf die Frage, warum sie das gemacht haben, antworten die meisten: Alleine die Kleidung. Der hat doch ausgesehen, wie ein echter Handwerker. Die drei Beispiel-Szenarien zeigen, wie Mitarbeiter meistens aus Unwissenheit

9 Social Engineering mal anders... 9 in Stressreaktionen oder aus Höflichkeit reagieren und dem Angreifer genau das bieten, was er möchte Zugang zu sensiblen Informationen. Alle drei Beispiele haben eins gemein, der Angreifer baut einen persönlichen Kontakt zu seinem Opfer auf, um sich Zutritt zu verschaffen oder Informationen zu erschleichen. Es gibt aber auch unpersönliche Varianten des Social Engineerings. Eine sehr bekannte ist das Phishing. Hierbei verfügen die Angreifer zumeist über Tausende von E- Mailadressen und versuchen automatisiert Menschen einer bestimmten Benutzergruppe (zum Beispiel Bankkunden einer bestimmten Bank) dazu zu bewegen, ihnen sensible Informationen, wie Kontonummer, PIN und TAN, preiszugeben. Dazu täuschen Sie Schreiben der Bank vor und bauen ganze Internetseiten nach.

10 10 Richtig schützen 7 Tipps für Mitarbeiter zum Schutz vor Social Engineering 1. Zurückhaltung bei Auskünften Social Engineers geben sich als jemand aus, der sie in Wirklichkeit nicht sind und täuschen so eine Identität vor. Erteilen Sie daher keine Auskünfte, zu denen Sie nicht ausdrücklich ermächtigt worden sind. Das gilt für die Arbeits- und Betriebsorganisation, Zuständigkeiten, persönliche Informationen von Kollegen oder gar Benutzerdaten. Geben Sie nur so viele Informationen preis wie nötig und hinterfragen Sie ungewöhnliche Anliegen eines Anrufers. 2. Werfen Sie die folgende Einstellung über Bord: Ich habe sowieso keine sensiblen Informationen Möchte Ihnen ein scheinbar neuer Mitarbeiter aus der IT dringend neue Sicherheitsupdates einspielen, halten Sie Rücksprache mit Ihrem Vorgesetzten. Der für Sie vermeintlich unwichtige PC dient dem Angreifer oftmals als Türöffner ins Unternehmensnetzwerk und ermöglicht ihm an sensible Informationen zu gelangen. 3. Lassen Sie Sicherheit vor Höflichkeit walten Leichtsinnige Entscheidungen in punkto Sicherheit werden insbesondere in Stresssituationen oder aus Höflichkeit getroffen. Im Zweifelsfall gilt Sicherheit vor Höflichkeit. Mit Ihrem Vorgesetzten sollten Sie absprechen, dass Ihnen keine Nachteile daraus entstehen, wenn sie sich bei Unsicherheit rückversichern und der Vorstand oder ein wichtiger Kunde eine Weile auf das gewünschte Dokument warten muss. 4. Halten Sie die Augen offen Unbekannte Personen auf den Fluren oder gar in den Unternehmensräumen, offen stehende Türen, die gewöhnlich geschlossen sind, noch nicht da gewesene technische Vorrichtungen - Melden Sie es Ihrem Vorgesetzten, wenn Sie etwas Merkwürdiges beobachten und scheuen Sie sich nicht davor unbekannte Personen auf dem Firmengelände anzusprechen. 5. Schützen Sie sensible Informationen Bewahren Sie schriftliche Notizen und Briefverkehr niemals auf Ihrem Schreibtisch auf, sondern schützen Sie diese Informationen vor den Blicken Dritter. Speichern Sie sensible Dokumente stets verschlüsselt auf Ihrem PC. Selbst aus scheinbar unwichtigen Informationen können im Zusammenspiel mit anderen wichtige Schlüsse gezogen werden. Vermeiden Sie es, an öffentlichen Plätzen

11 Das sollten Sie beachten wie im Zugabteil oder im Café über sensible Unternehmensinterna zu sprechen. Verwenden Sie spezielle Sichtschutzfilter für Ihren Bildschirm, wenn Sie mit Ihrem Notebook an öffentlichen Plätzen, wie beispielsweise im Zugabteil, arbeiten. 6. Sorgen Sie für Sicherheit im Büro Verschließen Sie stets das Büro, wenn dort niemand anwesend ist. Werfen Sie vertrauliche Dokumente niemals direkt in den Papierkorb, sondern schreddern Sie diese mit einem Aktenvernichter. Gehen Sie sorgsam mit sensiblen Daten auf mobilen Datenträgern um. Sperren Sie Ihren Rechner immer, wenn Sie ihn verlassen. Andernfalls laufen Sie Gefahr, dass jemand an Informationen gelangt, die nicht für ihn bestimmt sind und sich beispielsweise unter falschen Vorwand weitere Informationen erschleichen kann. Sollten Sie ein Wechselmedium, wie z.b. einen USB-Stick finden, so übergeben Sie dies Ihrem Vorgesetzten. Gefundene Wechselmedien sollten Sie niemals an einem Firmenrechner verwenden. 7. Folgen Sie keinen Verweisen auf sensible Inhalte Seien Sie besonders vorsichtig, wenn Sie unter einem dringenden oder belohnenden Vorwand auf sensible Daten zugreifen sollen. So geben sich Angreifer gerne als Ihr Chef oder Ihre Bank aus, um an sensible Informationen zu gelangen. Trauen Sie demnach auch keinen scheinbar seriösen Quellen. Klicken Sie auf die scheinbar echte Adresse der Bank werden Sie mit der Bank des Angreifers und nicht mit der Ihnen vertrauten Bank verbunden. Doch der Angreifer versucht dies durch ein gleiches Erscheinungsbild der Seite vor Ihnen geheim zu halten. Wenn Sie jetzt dort sensible Daten wie Kontonummer, PIN und TAN eingeben, gelangen die Daten an den Angreifer. In diesem Falle spricht man vom so genannten Phishing - einer unpersönlichen Variante des Social Engineerings. Um sich davor zu schützen, klicken Sie keinesfalls auf Links, die auf sensible Inhalte hinführen, sondern geben Sie die Ihnen bekannten Links einfach selber ein, dann werden Sie auch mit der echten Bank verbunden. Achten Sie bei der Eingabe von sensiblen Daten auf das https statt http in der Adresszeile Ihres Browsers. Es zeigt Ihnen an, ob die Daten verschlüsselt übertragen werden. Kontaktieren Sie im Zweifelsfall Ihr Gegenüber über einen anderen Kommunikationskanal wie dem Telefon und vergewissern Sie sich von der Echtheit der Meldung.

12 12 Grundstein legen Geben Sie Ihren Beschäftigten eine gute Ausgangsbasis Neben den Tipps für die Mitarbeiter ist es umso wichtiger, dass die Geschäftsführung diese Tipps auch forciert und an jeden Mitarbeiter heranträgt (zum Beispiel in Form von Schulungen, Vorträgen, Flyern, Sicherheitstipps oder interaktiven Lernprogrammen). Wichtig ist, dass die Mitarbeiter regelmäßig mit dem Thema Informationssicherheit konfrontiert werden. 1. Wecken Sie bei Ihren Mitarbeitern Verständnis für das Thema Sicherheit Alle Beschäftigten sollten in punkto Informationssicherheit so aufgeklärt werden, dass sie aus eigener Einsicht die Anforderungen eines unternehmensweiten IT-Sicherheitskonzeptes beachten. Sie sollten in regelmäßigen Schulungen oder einprägsamen Vorträ-

13 Grundstein legen gen für Sicherheitsmängel sensibilisiert und in funktionsfähige Abwehrtaktiken (z.b. Kommunikationswege bei Rückfragen) eingeweiht werden. Bewährt für die Mitarbeitersensibilisierung haben sich interaktive Lernmethoden wie Webbased-Trainings oder Veranstaltungen in Form von unterhaltsamen Live-Hacking- Demonstrationen. Diese zugleich interaktiven und visuellen Präsentationen holen die Mitarbeiter meist bei ihren Problemen und Fragestellungen ab und sorgen so für einen höheren Lerneffekt. So werden den Mitarbeitern zum Beispiel beim Live-Hacking zum einen auf spielerische Art und Weise die Gefahren und Risiken bewusst gemacht und ihnen zum anderen klare Handlungsempfehlungen an die Hand gegeben. 2. Definieren Sie Vertraulichkeitsstufen Informieren Sie Ihre Mitarbeiter darüber, welche Vertraulichkeitsstufen sie festgelegt haben und wie sie Informationen mit der jeweiligen Vertraulichkeitsstufe behandeln sollen. Legen Sie dabei fest, welche Informationen besonders vertraulich sind und keinesfalls an Dritte weitergegeben werden dürfen (z.b. jegliche Zugangsberechtigungen). Bewerten Sie in diesem Kontext Ihre Geschäftspartner. Nicht jeder Partner sollte unbedingt über Ihre finanzielle Situation Bescheid wissen. 3. Definieren Sie Kontaktpersonen Legen Sie fest, mit welchen Kontaktpersonen von Geschäftspartnern oder Kunden ausschließlich Informationen ausgetauscht werden dürfen. 4. Legen Sie Kommunikationswege fest Definieren Sie, über welche Kommunikationskanäle (Telefon, Fax, oder Brief) Ihre Mitarbeiter mit Geschäftspartnern, Kunden und neuen unbekannten Kontakten kommunizieren dürfen. Legen Sie dabei fest, welche Informationen beispielsweise ausschließlich über den Postversand oder als verschlüsselte verschickt werden dürfen. Definieren Sie dabei auch die konkreten Kontaktdaten Ihrer Kontakte. 5. Sicherheit statt Kontrolle Die Unternehmenssicherheit und alle damit verbundenen Maßnahmen müssen von allen Mitarbeitern als gemeinsames Anliegen aufgefasst werden. Eine adäquate Sicherheitskultur muss selbstverständlich werden und darf nicht als Kontrolle oder Misstrauen gegenüber den Mitarbeitern verstanden werden. Dies kann erzielt werden, wenn ein offener Umgang miteinander gepflegt wird und Vertrauen zum Vorgesetztem besteht.

14 14 Geben Sie nicht zu viel von sich preis Die Gefahren sozialer Netzwerke Soziale Netzwerke wie Facebook, StudiVZ, Xing und Co. erfreuen sich immer größerer Beliebtheit. So bieten die Netzwerke viele Vorteile: Nutzer können sich präsentieren und vernetzen, Kontakte knüpfen und Informationen austauschen. Das Netzwerk Facebook wächst in einem so schnellen Tempo heran, dass es innerhalb von sechs Jahren zu einer der größten Datensammlungen überhaupt gehört und mehr als eine halbe Milliarde Menschen miteinander verknüpft. Das ist praktisch! Möchte jemand zum Beispiel mehr Informationen über seine neue Nachbarin erhalten, schaut er dort einfach herein. Nicht selten findet er Fotos - aus dem Urlaub, beim Sport, auf der Arbeit und manchmal auch peinliche Fotos, z.b. von der letzten Weihnachtsfeier. Alle Fotos, die er sieht, hat nicht unbedingt sie selbst eingestellt, sondern auch Freunde und Bekannte. Doch das Netzwerk bietet mehr! So kann derjenige nicht selten erfahren, welche Hobbys sie hat und sehen wo sie arbeitet, wer mit ihr befreundet ist und wo sie das letztes Mal im Urlaub war. Die Informationsfülle über eine Person ist unterschiedlich und hängt davon ab, wie viel die Person selber über sich aber auch andere über sie preisgeben. Von sozialen Netzwerken wie Facebook haben Social Engineers vor einigen Jahren noch geträumt. Heute sind sie Realität. Der Angreifer gelangt heutzutage dank sozialer Netzwerke binnen kürzester Zeit an so viele Informationen, dass er unter Umständen überhaupt keinen persönlichen Kontakt mehr herstellen muss, um zum Beispiel das Passwort eines kontos zu erraten. Die rasante Verbreitung sozialer Netzwerke ist nicht mehr aufzuhalten. Doch einige Tipps können Ihnen helfen, sich bestmöglich vor der Ausspähung von persönlichen Informationen zu schützen.» Seien Sie sparsam mit Ihren Daten. Selektieren Sie genau, welche Angaben wirklich notwendig sind und ob jemand diese zu Ihrem oder dem Nachteil Anderer ausnutzen könnte.» Schützen Sie Ihre Privatssphäre. Bestenfalls geben Sie in einem sozialen Netzwerk keine privaten Informationen von sich preis. Falls Sie doch davon Gebrauch machen, schränken Sie die Benutzergruppe nur auf diejenigen ein, die Sie auch im realen Leben kennen und denen Sie vertrauen.» Wählen Sie ein sicheres Passwort. Ein sicheres Passwort ist mindestens 10 Zeichen lang, besteht aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen und ist auf den ersten Blick sinnlos zusammengesetzt. Andernfalls laufen Sie zum Beispiel Gefahr, dass jemand private Inhalte einsieht oder in Ihrem Namen Inhalte über Sie veröffentlicht.

15 Fazit Fazit Social Engineering ist für Internetkriminelle ein beliebtes Mittel, um unberechtigt an Informationen zu gelangen: es kostet nichts und überwindet selbst die besten sicherheitstechnologischen Barrieren. Um so wichtiger ist es, die Mitarbeiter, also das eigentliche Angriffsziel, für dieses Thema zu sensibilisieren und grundsätzlich nicht zu viele Informationen von sich und anderen preiszugeben sowie dazu zu bewegen im Zweifelsfall auch einmal nein zu sagen.

16 Quellen Der Marktplatz IT-Sicherheit (abgerufen 11/2010) [ Philipp Schaumann (abgerufen 11/2010) WinfWiki, Prof. Dr. Uwe Kern (abgerufen 12/2010) [ Social_Engineering_mittels_sozialer_ Netzwerke] Wikipedia (abgerufen 11/2010) [ [ [ PC-WELT (abgerufen 11/2010) [ Passwort-gegen-Schokolade html] Plattform des BSI (abgerufen 11/2010) [ g05042.html] IUK- Kriminalität, Bundeslagebild 2009 (abgerufen 12/2010) Weiterführende Informationen Online-Portal des Netzwerks Elektronischer Geschäftsverkehr Themenspezifische Informationen des Verbundsprojekts Sichere E-Geschäftsprozesse in KMU und Handwerk Detaillierte Informationen zur Sicherheit im Internet

17 Das Verbundprojekt 17 Das Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk Das Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk des Netzwerks Elektronischer Geschäftsverkehr wird vom Bundesministerium für Wirtschaft und Technologie (BMWi) unterstützt und soll helfen, in kleinen und mittleren Unternehmen mit verträglichem Aufwand die Sicherheitskultur zu verbessern. Das Gesamtprojekt setzt sich neben dieser und zwei weiteren Einsteigerbroschüren insbesondere aus den nachfolgenden Tätigkeiten zusammen: Unter der Überschrift Stammtische IT-Sicherheit wird eine Reihe regionaler Unternehmerstammtische bundesweit etabliert Die kostenfreien Stammtische sind ein Forum für Dialog und Information und bilden eine Plattform für den Austausch von Unternehmern untereinander Die jährlich veröffentlichte Studie Netzund Informationssicherheit in Unternehmen zeigt auf, wie es um die Informationssicherheit in Unternehmen bestellt ist und wie leicht unternehmensfremde Personen an Geschäftsdaten kommen können. Die kompletten Berichtsbände finden Sie zum kostenlosen Download unter: Kostenfreie IT-Sicherheitstipps bieten insbesondere KMU neutrale und praxisnahe Hinweise und Tipps, wo Sicherheitslücken bestehen und wie mit ihnen umgegangen werden sollte. Themenschwerpunkte sind u. a. Basisschutz für den PC, Sicheres Speichern und Löschen von Daten, uvm. Download unter: Aktuelle und neutrale Informationen zur Informationssicherheit werden Ihnen im Internet auf der Informationsplattform des NEG unter der Rubrik Netz- und Informationssicherheit angeboten: Sebastian Spooren Ekkehard Diedrich Andreas Duscha Dagmar Lange (Konsortialführung) Andreas Gabriel

18 18 Unsere Kompetenzen Unsere Kompetenzen im Verbundprojekt Wir bieten Ihnen Erfahrung und Kompetenz für Ihre IT- und Informationssicherheit Mehr als 40 Handlungsanleitungen für die Praxis Sichere Geschäftsprozesse: Umsetzung in Unternehmen Jährliche Studie Netz- und Informationssicherheit in Unternehmen 5 Informationsbroschüren für Einsteiger IT-Sicherheit; Themenfokus Mobile Business, Web 2.0, Datensicherung, Sicherheit bei Webseiten, Social Engineering Kompakte IT-Sicherheitstipps zu unterschiedlichen Themen, z.b. Social Networking, WLAN-Sicherheit. Unternehmerstammtische zur IT- und Informationssicherheit in ganz Deutschland Leitfaden zur Nutzung von Newsfeeds Tatort Internet - Nützliche Newsfeeds zum Thema Sicherheit

19 Bezugsmöglichkeiten 19 Leitfaden zu mobilen Datenträgern Sicherer Einsatz in KMU und Handwerksunternehmen Informationsflyer Aus der Praxis für die Praxis : Wie sichere ich meine Daten?, Was tun bei Systemausfall? Bezugsquellen Alle veröffentlichten Materialien auf der Webseite des ECC Handel unter: oder direkt unter: Checklisten Mobile Geräte und Datenträger, Arbeitsplatzcomputer,... Ausgewählte Materialien auf der Informationsplattform des NEG unter: Broschüre mit Experteninterviews aus dem Verbundprojekt Experteninterview: Sichere E-Geschäftsprozesse in KMU und Handwerk

20 Das Netzwerk Elektronischer Geschäftsverkehr E-Business für Mittelstand und Handwerk Das Netzwerk Elektronischer Geschäftsverkehr (NEG) ist eine Förderinitiative des Bundes ministe riums für Wirtschaft und Technologie. Seit 1998 unter stützt es kleine und mittlere Unter nehmen bei der Einführung und Nutzung von E-Business-Lösungen. Beratung vor Ort Mit seinen 29 bundesweit ver teilten Kom pe tenz zentren infor miert das NEG kostenlos, neutral und praxisorientiert auch vor Ort im Unter nehmen. Es unterstützt Mittelstand und Hand werk durch Beratungen, Informations veranstal tungen und Publikationen für die Praxis. Das Netzwerk im Internet Auf können Unternehmen neben Veranstaltungsterminen und den Ansprechpart nern in Ihrer Region auch alle Publikationen des NEG einsehen: Handlungsleitfäden, Checklisten, Studien und Praxisbeispiele geben Hilfen für die eigene Umsetzung von E-Business-Lösungen. Fragen zum Netzwerk und dessen Angeboten beantwortet Markus Ermert, Projektträger im DLR unter 0228/ oder per Das Netzwerk bietet vertiefende Informationen zu Kundenbezie hung und Marketing, Netz-und Informationssicherheit, Kauf männischer Soft ware und RFID sowie E-Billing. Das Projekt Femme digitale fördert zudem die IT-Kompetenz von Frauen im Handwerk. Der NEG Website Award zeichnet jedes Jahr herausragen de Internetauftritte von kleinen und mittleren Unternehmen aus. Informationen zu Nutzung und Interesse an E-Business-Lösungen in Mittel stand und Handwerk bietet die jährliche Studie Elektro nischer Geschäftsverkehr in Mittelstand und Handwerk.