Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln. Dr. Andreas Gabriel Ethon GmbH

Transkript

1 Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln Dr. Andreas Gabriel Ethon GmbH Konsortium: KURZE VORSTELLUNG Sicherheit im Internet 2 1

2 Über die Ethon GmbH Über die Ethon GmbH 2003: Gründung Ethon Technologies GmbH als IT- Dienstleister mit Schwerpunkt Automobilindustrie Bald erste IT-Sicherheits- und Voice over IP-Projekte 2009: Ausgliederung des Sicherheits- und VoIP- Geschäftes in die Ethon GmbH Struktur Größe Standorte Eigentümergeführte Gesellschaft Derzeit ca. 45 Mitarbeiter Ulm, München, Wolfsburg und Chernihiv Sicherheit im Internet 3 Unser Profil Informationssicherheit Sicherheitsaudits u. a. nach ISO 27001, Erstellung von Sicherheits-Konzepten, Auditvorbereitung, IT-Forensik Über die Ethon GmbH VoIP & Crypto etasuite: Sichere (mobile) Sprachkommunikation, ZRTP- Verschlüsselung, Client- und Serverprodukte Sicherheit im Internet 4 2

3 Über den Referenten Was Sie über mich wissen sollten Dr. Andreas Gabriel Ausbildung BWL-Studium und an der Universität Würzburg Promotion Im Bereich der Informationssicherheit Seit 2006 Certified Lead Auditor ISO/IEC Seit 2008 Selbstverteidigungs- und Selbstbehauptungstrainer Seit 2009 Betrieblicher Datenschutzbeauftragter Seit 2012 Leiter des Geschäftsbereichs Informationssicherheit bei der Ethon GmbH, Ulm Sicherheit im Internet 5 DIE BASIS IST VERTRAUEN! Sicherheit im Internet 6 3

4 Ergebnisse ecommerce 1/3 Umsatz B2C in Deutschland 2015: 43 Mrd. Umsatz B2C in Deutschland 1999: 1,3 Mrd. Umsatz B2C weltweit 2015: ca Mrd. Umsatz B2C weltweit 2018: ca Mrd. Umsatz ausgewählter Online-Shops Amazon D: 11,9 Mrd. $; +1,5 Mrd. $ Zalando D: 1,7 Mrd. ebay D: Umsatz 4,3 Mrd. $; Gewinn: 673 Mio. Quelle: Webseiten der Anbieter Sicherheit im Internet 7 Ergebnisse ecommerce 2/ Sicherheit im Internet 8 4

5 Ergebnisse ecommerce 3/ Sicherheit im Internet 9 BASISSICHERHEIT IN IHREM (FIRMEN-) NETZWERK Sicherheit im Internet 10 5

6 Organisatorische Maßnahmen Übersicht Sicherheitsrichtlinie Datenklassifikation zzgl. Vorgaben für den Austausch von Daten Umfassende Datenträgerverwaltung Prozess Umgang mit Sicherheitsvorfällen (Incident Management) Interne Vorgabe Umgang mit mobilen Datenträgern (Richtlinie, Verordnung ) Überprüfung der Einhaltung z. B. durch interne Sicherheits-Audits (Nachweis führen!) Schulung/Sensibilisierung ALLER Anwender Sicherheit im Internet 11 Sicherheitsrichtlinie 1. Allgemeine Vorgaben 2. Nutzung der firmeneigenen IT-Infrastruktur 3. Passwortvorgaben (User, Administratoren, System-Accounts) 4. Erweiterung für Laptop-Nutzer 5. Erweiterung SmartPhones 6. Erweiterung Tablet-PCs 7. Erweiterung für das Arbeiten im Home-Office 8. Umgang mit dem eigenen WLAN 9. Umgang mit firmenfremden W-LANs 10. Sicherstellung der Urheberrechte 11. Meldung von Sicherheitsvorfällen Sicherheit im Internet 12 6

7 Datenklassifikation Datenart Streng vertraulich Vertraulich Intern Offen Personaldaten Geschäftsbriefe Etc. X Datenart Streng vertraulich Vertraulich Intern Offen Brief Nach Freigabe Nach Freigabe Nach Freigabe Nach Freigabe Nach Freigabe FTP X Nach Freigabe Etc. Datenart Streng vertraulich Vertraulich Intern Offen File-Server (Abteilungslaufwerk) Laptop (unverschlüsselt) Nach Freigabe Nach Freigabe Etc Sicherheit im Internet 13 Informationssicherheit technische Maßnahmen Sicherheit im Internet 14 7

8 BYOD Welche Abkürzung ist denn nun die Richtige? Sicherheit im Internet 15 Definition von BITKOM Unter dem Namen»Bring Your Own Device«versteht dieser Leitfaden ein Unternehmensprogramm zum Einsatz spezieller IT, wenn: Das genutzte Gerät dem Mitarbeiter gehört (Eigentum des Mitarbeiters ist). Das Gerät Zugriff auf IT-Ressourcen des Unternehmens erhält ( ) S. 5 Quelle: Sicherheit im Internet 16 8

9 BYOD Betriebsvereinbarung (Auswahl) Verweis auf die bestehende Sicherheitsrichtlinie(n) Sicherstellung der Basissicherheit (Virenscanner etc.) Vorgabe: Wer darf BYOD umsetzen? (Abteilungslevel) Kostenverteilung (Arbeitgeber-Arbeitnehmer) Trennung zwischen privaten und gewerblichen Daten Vorgaben bezüglich des Umgangs mit personenbezogenen Daten Prozessbeschreibung für Wartung, Administration Zugriff durch die betriebseigene IT-Abteilung Auditrecht des Arbeitgebers Vorgabe/Freigabe ausgewählter Protokollierungen durch den Arbeitgeber (Vorsicht: Die Auswertung muss geregelt sein; Vorabkontrolle DSB; Betriebsrat) Nutzung von Apps (Freigabe, Verbote, Auswahlkriterien, Quellen) Incident Management (Vorgaben bei Störfällen); Notfallplan Nutzung durch firmenfremde Personen (Dritte) Lizensierung der installierten Software Quelle: Sicherheit im Internet 17 CLOUD-COMPUTING Sicherheit im Internet 18 9

10 Was ist Cloud Computing? IaaS Infrastructure as a Service PaaS Platform as a Service SaaS Software as a Service EaaS (XaaS) Everything as a Service DICaaS Data Intensive Computing as a Service HPCaaS High Performance Computing as a Service HuaaS Human as a Service Sicherheit im Internet 19 Verschiedene Arten der Cloud-Nutzung Public Cloud Dienste für Jedermann öffentliche Cloud Abspaltung der Public Cloud für eine definierte Personengruppe Community Cloud Cloud Computing Private Cloud Ausschließlich interne Nutzung der Dienste aus der Wolke Ausgewählte User haben Zugriff auf Dienste der Private- und Public-Cloud Hybrid Cloud Sicherheit im Internet 20 10

11 Ein interessantes Nachschlagewerk Rahmenbedingungen: 83 Seiten 17 Gliederungspunkte Veröffentlicht durch das BSI im Jahr 2011 (Bundesamt für Sicherheit in der Informationstechnik) Sicherheit im Internet 21 Warnungen der enisa Kontrollverlust Der Dienstleister muss Informationssicherheit beherrschen, denn der Kunde (Sie) haben die Prozesse nicht mehr in der eigenen Hand. Lock-in Die Bindung an den Dienstleister kann zur Abhängigkeit werden. Es muss vertragliche Ausstiegsszenarien geben. Administrative Zugänge Die Vergabe privilegierter Zugänge an ausgewählte Kunden (Dritte) kann auch Schwachstellen für Sie generieren. Mangelhafte Abschottung Sie teilen sich Ressourcen mit Dritten. Dies muss umfassend sicher und ebenso nachhaltig betrieben werden. Quelle: D. Lissfeld, Deutsche Telekom AG Compliance Kann der Cloud-Dienstleister eine (rechts-) sichere Abwicklung garantieren?! (Datenschutz!) Unvollständige Datenlöschung Eine Datenlöschung kann vom Kunden jederzeit gefordert werden. Wird dieser Forderung auch beim Dienstleister nachgekommen?! Bedrohung Innentäter Die Rollenverteilung innerhalb eines Unternehmens muss gerade für den Cloud-Bereich eindeutig geregelt werden. Nicht nur ein erhöhter Schulungsbedarf ist in diesem Zusammenhang immanent Sicherheit im Internet 22 11

12 Ein weiteres Nachschlagewerk, das ich Ihnen empfehlen kann Titel: Cloud Computing Risk Assessment Link: Sicherheit im Internet 23 Fazit Cloud-Computing Die Anwendung von Diensten aus dem Bereich Cloud-Computing ermöglicht die Fokussierung auf das eigene Kerngeschäft Bei der Nutzung von Cloud-Diensten handelt es sich im Grunde genommen um Outsourcing Um die Nutzung sicher zu gestalten, sind umfassende Vorgaben hinsichtlich angemessener technischer Schutzmaßnahmen, einer angemessenen organisatorischen Abwicklung, der vollständigen Umsetzung der Vorgaben des BDSG und einer einwandfreien juristischen Absprache zwischen den Beteiligten zu treffen Sicherheit im Internet 24 12

13 SICHERHEIT AUF DER CLIENT-SEITE Sicherheit im Internet 25 Nachladen von Bildern Sicherheit im Internet 26 13

14 BROWSER-EINSTELLUNGEN Sicherheit im Internet 27 Beispiel: Tools für das Sichere Surfen 1/ Sicherheit im Internet 28 14

15 Tools für das Sichere Surfen 2/2 Quelle: Sicherheit im Internet 29 SICHERHEIT AUF DER SERVER-SEITE Sicherheit im Internet 30 15

16 Monitoring Ihrer Online-Präsenz Sicherheit im Internet 31 Entscheidungsbaum Penetrationstest Quelle: Visukom Deutschland GmbH Sicherheit im Internet 32 16

17 Wie vermeiden Sie Schwarze Schafe? Quelle: blog.pooliestudios.com Sicherheit im Internet 33 Umgang mit dem Gefällt mir Button Die Homepage Ihrer Firma Welche personenbezogenen Daten werden an Facebook übertragen? Ihr Kunde Sicherheit im Internet Haben Sie bzw. brauchen Sie für diese Datenübertragung die Zustimmung Ihrer Kunden? 34 17

18 ORTUNG NUTZEN ODER PROBLEM MIT DEM BDSG? Sicherheit im Internet 35 Zu was sind Ortungsdienste nützlich? Quelle: Sicherheit im Internet 36 18

19 Ortungsdienste Was ist das?! Sicherheit im Internet 37 Ortung durch Freunde und Bekannte Quelle: Sicherheit im Internet 38 19

20 Folgen von Ortung und Transparenz?! Quelle: Sicherheit im Internet 39 DATENAUSTAUSCH CLIENT-SERVER Sicherheit im Internet 40 20

21 Sicherer E-Commerce durch Zertifikate?! Quelle: Sicherheit im Internet 41 SSL V3 oder TLS 1.2? Quelle: Sicherheit im Internet 42 21

22 Probleme mit der sicheren Verschlüsselung Die Bedrohung: Poodle Padding Oracle On Downgraded Legacy Encryption Quelle: html?view=zoom;zoom=2 Bildquellen: Sicherheit im Internet 43 Welche Technologien lassen Sie zu? Quelle: Sicherheit im Internet 44 22

23 FAZIT Sicherheit im Internet 45 Ich habe zum Abschluss zwei Bitten an Sie Sicherheitsaktivitäten müssen zusammengreifen, aber Bitte achten Sie im Bereich der Informationssicherheit auf eine angemessene und vernünftige Umsetzung, in Abhängigkeit Ihrer wirklichen Bedürfnisse. Quelle: gehen Sie einmal bewusst einen vergessen Schritt zurück Sie nicht und die.. offene Tür nebenan Sicherheit im Internet 46 23

24 auf Wiedersehen Vielen Dank für Ihre Aufmerksamkeit! Dr. Andreas Gabriel Ethon GmbH Deutschhausgasse Ulm Tel.: Fax: Mobil: Internet: a.gabriel@ethon.com Sie finden mich auch bei: Sicherheit im Internet 47 24