YES, WE CAN das 10-Punkte-Programm

Transkript

1 Sicherheit in der Informationstechnik (IT) YES, WE CAN das 10-Punkte-Programm Carlos Rieder Dozent Informationssicherheit Hochschule Luzern - Wirtschaft adlatus-zs-ch, 2011, Carlos Rieder Agenda It happens! Bedarf an Informationssicherheit für ein KMU Das erweiterte 10-Punkte-Programm der InfoSurance Umsetzen ES TUN adlatus-zs-ch, 2011, Carlos Rieder 2

2 Brauchen wir Informationssicherheit? Datendiebstahl Cyberwar Erpressung Spionage adlatus-zs-ch, 2011, Carlos Rieder Alles hat seinen Preis!! $50,000: A zero-day exploit for Microsoft Windows 7 $20,000 to $30,000 each: Other zero-day exploits $5,000 and up: Bots that allow users to self-generate botnets $1,000-$5,000: Customized Trojan program, which could be used to steal online account information $50: Credit card number with PIN $10-$100: Change of billing data, including account number, billing address, Social Security number, home address, and birth date $50: Driver's license $50: Birth certificate $10: Social Security card $2-$5: Credit card number with security code and expiration date $2: PayPal account log-on and password Mother s Maiden Name ($3) Social Security Number ($3) Date of Birth ($0.50) Mother s Date of Birth ($1) Driver s License Number ($8) Background Report ($15) Credit Balance Report ($25) adlatus-zs-ch, 2011, Carlos Rieder

3 Informationen bei KMU Welche Arten von Information werden bearbeitet? Geschäftskorrespondenz Verträge / Offerte Verfahren Buchhaltung, Finanzunterlagen Personalakten Kundenstamm Wie liegen diese Informationen vor? Papier Mündlich (Telefon, Gespräche etc.) Fax, Telefonbeantworter in den Köpfen der Mitarbeitenden Informatik (Server, PC, PDA, etc.) adlatus-zs-ch, 2011, Carlos Rieder 5 Was gefährdet die Informationen? Zufällige Gefährdungen Naturgefahren (Blitz, Hagel und Unwetter ) Ausfall von Strom oder Telekommunikation Technische Pannen oder Fehler von Hard- und Software Bedienerfehler / Fahrlässigkeit der Mitarbeitenden Vorsätzliche Gefährdungen Bösartiger Code (Viren, Würmer, Trojaner) Informationsdiebstahl Angriffe (von Skript-Kiddies bis Hacker) Wirtschaftsspionage ( was die Konkurrenz wissen möchte ) Missbrauch der IT-Infrastrukur adlatus-zs-ch, 2011, Carlos Rieder 6

4 Betrifft IT-Sicherheit nicht nur grosse Firmen? Wie lange kann der Gechäftsfortgang ohne IT sichergestellt werden? Ein Tag (8h oder 24h) Drei Tage Wochen? Ohne entsprechende Vorbereitung dauert der Wiederaufbau einer IT-Infrastruktur mindestens 36h (vorausgesetzt die Datensicherung ist aktuell und wiedereinspielbar) Welche Dokumente dürfen nicht an unberechtigte Dritte weiter gegeben werden? Devi-Eingaben bei grösseren Ausschreibungen Kundendaten Produktionsdaten Personalakten (Datenschutz) Gesundheitsdaten adlatus-zs-ch, 2011, Carlos Rieder 7 Wie vorgehen? «Der Bedarf wäre vorhanden, jedoch fehlen die Mittel!» oft gehörter Feedback. Lösungsansatz nach Betty Bossi : Übernahme von bestehenden Richtlinien Erweitertes 10-Punkte-Programm für die Informationssicherheit (infosurance.ch) Sicherheitshandbuch für die Praxis (sihb.ch) Good@Privacy (sqs.ch) Code of Practice for Information Security Management, ISO (snv.ch) IT-Grundschutzhandbuch (bsi.de oder bsi-fuer-buerger.de) adlatus-zs-ch, 2011, Carlos Rieder 8

5 Mehr Informationssicherheit für KMU das erweiterte 10-Punkte-Programm adlatus-zs-ch, 2011, Carlos Rieder 9 10-Punkte-Programm des Vereins InfoSurance Punkt 1 Punkt 2 Punkt 3 Punkt 4 Punkt 5 Punkt 6 Punkt 7 Punkt 8 Punkt 9 Punkt 10 Erstellen Sie ein Pflichtenheft für IT-Verantwortliche! Sichern Sie Ihre Daten regelmässig mit Backups! Halten Sie Ihr Antivirus-Programm aktuell! Schützen Sie Ihren Internetzugang mit einer Firewall! Aktualisieren Sie Ihre Software regelmässig! Verwenden Sie starke Passwörter! Schützen Sie Ihre mobilen Geräte! Machen Sie Ihre IT-Benutzerrichtlinien bekannt! Schützen Sie die Umgebung Ihrer IT-Infrastruktur! Ordnen Sie Ihre Dokumente und Datenträger! Quelle: adlatus-zs-ch, 2011, Carlos Rieder 10

6 Punkt 1 Erstellen Sie ein Pflichtenheft für IT-Verantwortliche! Verantwortlichkeiten festlegen Aufgaben zwischen interne IT / externen Partnern absprechen und schriftlich festhalten Sorgfaltspflicht durch die Geschäftsleitung wahrnehmen Benutzerrichtlinien anwenden Ansprechperson definieren adlatus-zs-ch, 2011, Carlos Rieder 11 Punkt 2 Sichern Sie Ihre Daten regelmässig mit Backups! Täglich eine Datensicherung erstellen Mobile Datenträger zur Sicherung verwenden Mobile Datenträger sicher ausser Haus lagern Mehrere Generationen erstellen Durchführung kontrollieren Wiedereinspielbarkeit überprüfen Aufbewahrungspflichten einhalten Zeitgerechte und zuverlässige Entsorgung sicherstellen adlatus-zs-ch, 2011, Carlos Rieder 12

7 Totaler Datenverlust Das Schlimmste ist der Verlust des Büros. Alle Kundendaten sind weg! Altdorf, Aug Quelle: NLZ adlatus-zs-ch, 2011, Carlos Rieder 13 Punkt 5 Aktualisieren Sie Ihre Software regelmässig! Automatisiertes Patching (Fehlerbehebung) der Betriebssysteme installieren Anwendungssoftware und Datenbanken ebenfalls aktualisieren Neue Programmversionen vor dem produktiven Einsatz testen Verfügbare Patches zeitnahe installieren Rollbackplan erstellen adlatus-zs-ch, 2011, Carlos Rieder 14

8 Punkt 6 Verwenden Sie starke Passwörter! Passwörter persönlich und vertraulich behandeln Werksseitige Standardpasswörter anpassen Vorgaben für starke Passworte erzwingen Benutzende im Umgang mit Passworten schulen Aktuelle Version aller Systempassworte im Firmensafe aufbewahren adlatus-zs-ch, 2011, Carlos Rieder 15 Woran erkennt der Computer den Benutzer? Benutzer-ID (Login) & Passwort adlatus-zs-ch, 2011, Carlos Rieder 16

9 Ungeeignete Passwörter Was kann passieren? Unberechtigter Zugriff auf Daten Versehentliches Ändern / Löschen / Speichern von Daten Nachvollziehbarkeit nicht gewährleistet Identitätsdiebstahl Systemmanipulationen, unerlaubtes Verwenden von Berechtigungen adlatus-zs-ch, 2011, Carlos Rieder 17 Was ist ein gutes Passwort? Einfaches, 5-stelliges Passwort 36 5 = Varianten Komplexes, 8-stelliges Passwort 94 8 = Variante adlatus-zs-ch, 2011, Carlos Rieder 18

10 Passwörter die goldenen Regeln Mindestens 8 Zeichen lang Alle vier Monate ändern Kombination aus Buchstaben, Zahlen und/oder Sonderzeichen Keine leicht zu erratenden Begriffe verwenden Nicht weitergeben Nirgends (ungeschützt) aufschreiben Nicht überall dasselbe Passwort einsetzen Passwort-Check im Internet unter adlatus-zs-ch, 2011, Carlos Rieder 19 Passwörter wie kann ich mir diese merken? System Aufsteller Positiver Begriff: Fruehling Regel: 5. Stelle mit & ersetzen Danach GROSS weiter Heutiger Tag im Monat anfügen = 11. Resultat: Frue&LING11. System Satz «Letzten Sommer waren wir zu viert in Paris!» LSwwz4iP! System Zahlen (Mundart verwenden) eis2drü4! 24acht-51-fÜf8 adlatus-zs-ch, 2011, Carlos Rieder 20

11 Weitere Punkte des 10-Punkte-Programms Punkt 3 Punkt 4 Punkt 7 Punkt 8 Punkt 9 Punkt 10 Halten Sie Ihr Antivirus-Programm aktuell! Schützen Sie Ihren Internetzugang mit einer Firewall! Schützen Sie Ihre mobilen Geräte! Machen Sie Ihre IT-Benutzerrichtlinien bekannt! Schützen Sie die Umgebung Ihrer IT-Infrastruktur! Ordnen Sie Ihre Dokumente und Datenträger! adlatus-zs-ch, 2011, Carlos Rieder 21 Bei höherem Schutzbedarf: Erweitertes 10-Punkte-Programm Für mehr Vertraulichkeit Punkt 11 Erfüllen Sie die Vorgaben! Punkt 12 Regeln Sie den Zugriffschutz auf Daten! Punkt 13 Verschlüsseln Sie mobile Datenträger und Übermittlung! Punkt 14 Behandeln Sie auch nicht elektronische Daten vertraulich! Punkt 15 Sensibilisierung Sie Ihre Mitarbeitenden! Für mehr Verfügbarkeit Punkt 16 Überprüfen Sie Ihre Systeme! Punkt 17 Sorgen Sie für eine unterbruchsfreie Stromversorgung! Punkt 18 Halten Sie wichtige Elemente redundant! Punkt 19 Planen Sie die Notfallvorsorge! Punkt 20 Verteilen Sie das Knowhow! adlatus-zs-ch, 2011, Carlos Rieder 22

12 Umsetzung Schrittweise angehen; jetzt und heute anfangen! Informationssicherheit ist ein Prozess (never ending story) Konsequent umsetzten (jeden Monat ein Thema) Absprache mit IT-Supporter Mitarbeiter ausbilden Kontrollen (intern / extern) ausgewogen Was werden Sie ab heute ändern? Quelle: cash adlatus-zs-ch, 2011, Carlos Rieder Punkte-Programm des Vereins InfoSurance Mit wenig ist viel möglich Just do it! Wir wünschen viel Erfolg bei der Umsetzung! Quelle: adlatus-zs-ch, 2011, Carlos Rieder 24