IT Security Awareness

Transkript

1 1 IT Security Awareness Workshop: IT Security Awareness 3. Tag der IT-Sicherheit Saar DR. PHILIPP WALTER Leiter IT

2 Workshop: IT Security Awareness 2 60 Teilnehmer ein Thema 13:45 Begrüßung und Impulsvortrag 30 Minuten Workshop Fallbeispiele, Austausch, Fragen & Antworten 70 Minuten Wrap Up 5 Minuten

3 Über uns: 20 Jahre INFOSERVE Gründung Unternehmen der eurodata-gruppe neuer Standort mit modernem Hochleistungsrechenzentrum INFOSERVE in neuem Design Ausbau des Rechenzentrums eurodata-gruppe wächst zusammen 20 Jahre INFOSERVE 40 Mitarbeiter hochqualifiziert und zertifiziert (u.a. VMware, Veeam, Cisco, Splunk, DataStax, Check Point, Blue Coat, Fortinet, ) Beratungs-Know-how aus hunderten erfolgreicher IT-Projekte Eigenes Hochleistungsrechenzentrum Strengste Sicherheit (ISO 27001, Bank Level Security ) Höchste Ausfallsicherheit Sicherer Tresor für den Kern globaler Anwendungen 3

4 Was bedeutet IT-Sicherheit? 4 Firewall Hackerangriff NSA Verschlüsselung IT-Sicherheit Computerviren Ransomware Social Engineering Online-Betrug

5 Was bedeutet IT-Sicherheit?

6 Was bedeutet IT-Sicherheit? Die Verfügbarkeit von Dienstleistungen, FestplattencrashFunktionen im Fileserver eines (RAIDIT-Systems, 0) Backup lässtoder sich IT-Netzen nicht IT-Anwendungen oderwiederherstellen auch von Informationen ist vorhanden, Kollege wenn startetdiese einenvon den Kryptotrojaner einem Anwendern stets wieaus vorgesehen Mailanhang genutzt werden können. 6 Verfügbarkeit

7 Was bedeutet IT-Sicherheit? 7 Verfügbarkeit 1 Vertraulichkeit Vertraulichkeit der Schutz an vor Mail geht ist versehentlich unbefugter Preisgabe von falschen Empfänger Informationen. Vertrauliche Daten USB-Stick mit Kundenund Informationen dürfen daten geht verloren ausschließlich Befugten der Kollege verrät nachinsocial zulässigen Weise zugänglich Engineering ein sein. root-passwort

8 Was bedeutet IT-Sicherheit? Ariane 5 explodiert wegen Integrität bezeichnet die eines Softwarefehlers Sicherstellung der Korrektheit Ihre Software speichert (Unversehrtheit) von Daten und eines Fehlers der wegen korrekten Funktionsweise falsche Daten von Systemen. Kollege löscht aus Versehen den kompletten Fileserver 8 Verfügbarkeit 1 Vertraulichkeit 3 4 Integrität 2

9 Was bedeutet IT-Sicherheit? 1 Verfügbarkeit 3 Integrität 9 2 Vertraulichkeit 4 Authentizität dem Begriff Authentizität Mit Nigerianischer Prinz haut wirdmit dieihrem Eigenschaft bezeichnet, Vorschuss ab die gewährleistet, dass ein Passwort auf gefälschter Kommunikationspartner Paypal-Seite eingegeben tatsächlich der er Betrügerderjenige gibt sich ist, als Chef vorgibt sein. aus zu und lässt sich Geld überweisen

10 Was bedeutet IT-Sicherheit? 10 Verfügbarkeit 1 Vertraulichkeit 3 Authentizität Integrität 2 4 IT-Sicherheit

11 IT Security Management Systeme (ISMS) Anatomie am Beispiel von BSI IT-Grundschutz und ISO Gefährdungen Maßnahmen Assets Was alles passieren kann Gefährdungskataloge Was man dagegen tun kann Maßnahmenkataloge Was geschützt werden muss eigene Aufstellung machen + Risikoakzeptanzniveau definieren 11

12 Sicherheit, Komfort und Kosten 12 Das individuelle Optimum ist immer ein Trade Off bequem und sicher teuer SICHER BEQUEM sicher und günstig unkomfortabel bequem und günstig nicht sicher GÜNSTIG

13 IT-Sicherheit betrifft mehr als Hard- und Software Vor allem Menschen. Organisation Menschen Anwendungen Das Unternehmen als Ganzes mit Aufbauorganisation und Prozessen Mitarbeiter, Kunden, Lieferanten, Partner Betriebssysteme, Anwendungssoftware, Daten Netzwerk lokales Netz, Außenanbindung, Netzwerkkonfiguration, VPN Hardware PCs, Server, Storagesysteme, Netzwerkhardware, Stromversorgung, Klimatisierung 13

14 IT-Sicherheit betrifft mehr als Hard- und Software IT-Sicherheit zu leben heisst nicht, allen Menschen zu misstrauen IT-Befugnisse nach Gießkannenprinzip: IT-Befugnisse nach Zuständigkeit: Jeder darf alles Arbeitsteilung & Transparenz 14

15 IT-Sicherheit betrifft mehr als Hard- und Software 15 Beispiele für IT-Sicherheitsmaßnahmen Verfügbarkeit Vertraulichkeit Integrität Authentizität Organisation Notfallpläne Prozesse zu Zugriffsrechten Transparenz Kommunikation Menschen Gesundes Betriebsklima :-) Security Awareness Ehrlichkeit & Know-How Mitarbeiter- & Besucherausweise Anwendungen Admin-Know-How & Backups Sichere Zugangsdaten Patch Management Zertifikate Netzwerk Redundante Netzwerkpfade Firewall & VPN Intrusion Prevention Network Access Control Hardware Redundanz & Virtualisierung Abgesperrter Serverraum Monitoring Zertifizierte Lieferanten

16 IT-Sicherheit betrifft mehr als Hard- und Software 16 Beispiele für IT-Sicherheitsmaßnahmen Verfügbarkeit Vertraulichkeit Integrität Authentizität Organisation Notfallpläne Prozesse zu Zugriffsrechten Transparenz Kommunikation Menschen Gesundes Betriebsklima :-) Security Awareness Ehrlichkeit & Know-How Mitarbeiter- & Besucherausweise Anwendungen Admin-Know-How & Backups Sichere Zugangsdaten Patch Management Zertifikate Netzwerk Redundante Netzwerkpfade Firewall & VPN Intrusion Prevention Network Access Control Hardware Redundanz & Virtualisierung Abgesperrter Serverraum Monitoring Zertifizierte Lieferanten

17 IT Security Awareness Zentrales Ziel: jeder Mitarbeiter ist sich bewusst, dass IT-Sicherheit nicht einfach da ist, dass IT-Sicherheit nicht nur ein technisches Thema ist, dass auch er aktiv zu IT-Sicherheit beitragen muss, und dass er dazu ein Grundverständnis für IT-Sicherheit haben muss. Daraus leiten sich Maßnahmen ab, um das Bewusstsein zu schaffen und wach zu halten, und um IT-Sicherheit im täglichen Handeln zu verankern. 17

18 18

19 Einfache Maßnahmen, große Wirkung Schnittstellen zur Nicht-IT-Welt Keine Türen offenstehen lassen (Büro, Eingang, Flur, ) Besucher immer begleiten, unbekannte Personen freundlich ansprechen Keine Unterlagen herumliegen lassen (Clean Desk Policy) Rollcontainer und Schränke absperren Keine unbekannten Datenträger benutzen (USB-Stick auf dem Parkplatz gefunden) 19

20 Einfache Maßnahmen, große Wirkung 20 Kennwörter Unterschiedliche Kennwörter vergeben und sicher aufbewahren Lange Kennwörter vergeben und merken Kennwörter nicht aussprechen oder im Klartext notieren Wegdrehen, wenn jemand anderes sein Kennwort eingibt Zwei-Faktor-Authentifizierung nutzen, wenn möglich

21 und Web Die meistgenutzten Angriffswege insbesondere IT-Laien gehen reflexhaft davon aus, dass Absender immer authentisch sind Mails, die nicht als Spam markiert sind, immer sicher und korrekt sind Links im Mailtext immer korrekt beschriftet sind Anhänge, die der Virenscanner durchlässt, immer sicher sind WWW: Spoofing, Drive-by-Downloads etc. Merkmale sicherer Verbindungen explizit prüfen: Nicht reflexhaft vom Inhalt auf die Authentizität der Seite schließen! 21

22 22

23 Bedrohungen werden immer ausgefeilter Awareness deshalb immer wichtiger Altbekannt: leicht zu erkennende Spam- und Phishing-Massenmails Schreibfehler, unpersönliche Ansprache, falsche Domainnamen, etc. Neu: ausgefeilte und maßgeschneiderte Angriffe Größte Bedrohung momentan: Ransomware = Erpressungsmalware = Kryptotrojaner Passend zugeschnittene, professionell erstellte Mails, v.a. Bewerbungen (Daten offenbar von der Jobbörse gefarmed) Die klassischen Tipps greifen nicht: persönliche Anrede, sinnvoller Zusammenhang, etc. 23

24 24 VIELEN DANK für Ihre Aufmerksamkeit!