Informationssicherheit und Know-how-Schutz

Transkript

1 11. PATENTFORUM NORDBAYERN - WISSEN SCHÜTZEN Informationssicherheit und Know-how-Schutz Praktische Hilfestellung für den Mittelstand 1

2 Agenda Informationssicherheit einige Zahlen Cybergefahren Social Engineering Drive-by-Download Exploits (Schadcode) Angriffe auf Webserver Physische Angriffe Angriffe auf Mobilgeräte Sicherheitstipps Basics 10 Sicherheits-Tipps für Ihr Unternehmen Verschlüsselung Cloud Security NSA und Co.? Angebot der IHK 2

3 Informationssicherheit - einige Zahlen Cybergefahren und Datenschutzverletzungen größtes Risikopotential für die Bevölkerung in Deutschland Unter den sechs größten Risiken befinden sich vier die mit IT- und Datensicherheit zusammenhängen 3

4 Informationssicherheit - einige Zahlen IT-Sicherheit hat für fast alle Unternehmen einen hohen Stellenwert Die Bedeutung der IT-Sicherheit steigt mit der Unternehmensgröße an, insbesondere der Anteil der Unternehmen, die der IT-Sicherheit eine sehr hohe Bedeutung zuweist Überwiegende Zahl der Unternehmen in Deutschland berichten über externe IT-Angriffe Anzahl der Angriffe hängt stark von der Unternehmensgröße ab KMUs bekommen i.r. weniger mit 4

5 Cybergefahren Cyberangriffe: Social Engineering Social Engineering Über Telefon Netzwerke: Facebook, Xing, Linkedin s (auf Mitarbeitern zugeschnitten) infizierten Link einer Einschleusen von Trojaner in das Unternehmensnetzwerk Zulieferer / externe Dienstleister Bewerbungsgespräche / Headhunter Social-Media-Richtlinien sichere Passwörter Regelmäßige Mitarbeiterschulungen 5

6 Cybergefahren Cyberangriffe: Drive-by-Download Drive-by-Download 90 Prozent aller Angriffe auf deutsche Nutzer über infizierte Internet-Quellen Öffnen einer legitimen aber infizierten/gehackten Seite oder Pop-Ups Angriff bleibt unbemerkt Gutes Patchmanagement: Browser und Plug- Insgesamt registrierte Kaspersky Labs weltweit zwischen April und Juni 2013 über 562 Millionen einzelne Attacken gut 40 Millionen davon in Deutschland. 92,76 Prozent der Angriffe hierzulande gingen von infizierten Quellen aus dem Web aus. Ins immer aktuell halten Betriebssystemupdates Browser mit Anti-Phishing und Anti-Malware Funktionen verwenden 6

7 Cybergefahren Cyberangriffe: Drive-by-Download Drive-by-Download 7

8 Cybergefahren Cyberangriffe: Exploits - Schadcode Exploits Schadcode (gezielte Angriffe) Sicherheitslücken gängiger Software z. B. Adobe & Flash Ermöglichen das Eindringen und Entwenden kritischer Daten aus Computersystemen Sicherheitslösungen Eingesetzte Programme immer aktuell halten Regelmäßige Mitarbeiterschulungen 8

9 Cybergefahren Cyberangriffe: Cloud Attacks Angriffe auf Webserver Zugang auf sensible Firmendaten DDoS-Attacken System abkapseln Provider benachrichtigen Physische Angriffe USB-Stick, Key-Logger, Öffentlicher WLAN-Router Verschlüsselungstechnologien Zugangsrichtlinien/Rechteeinschränkungen 9

10 Cybergefahren Cyberangriffe: Attacks on Mobile Devices Mobile Devices Verlust/Diebstahl sensibler Daten Zugang zum Unternehmensnetzwerk Verloren innerhalb ½ Jahr: Mobiltelefone Laptops 900 USB-Sticks Spionage Verschlüsselung Mobile-Device-Management (MDM) Kontrolle über Apps Fernlöschung Vermeidung öffentlicher WLANs (Flughafen, Starbucks, etc.) 10

11 Cybergefahren Cyberangriffe: Überblick 11

12 Grundsätzlicher Schutz Basics Firewall Virenscanner Zugriffskonzepte (ACLs) Kontrolle über mobile Endgeräte auch aus der Ferne (MDM) Sichere Passwörter Bewusstmachen des eigenen Risikos Sensibilisierung Log-Files Auswertung 12

13 Grundsätzlicher Schutz 10 Sicherheits-Tipps für Ihr Unternehmen 1. Informationssicherheit (IS) ist Chefsache: Top-Down Prinzip. 2. Bewerten Sie Ihre Kronjuwelen nach Risikoszenarien. 3. Ernennen Sie einen Informationssicherheits-Beauftragten. 4. Erstellen Sie praktisch umsetzbare Regeln. 5. Schulen Sie Ihre Mitarbeiter über die Gefahren und Ihre persönliche Verantwortung (Ihr Unternehmen sichert deren Arbeitsplatz!). 6. Kontrollieren Sie die Einhaltung der Regeln und seien Sie selbst Vorbild. 7. Erstellen Sie Sanktionsmaßnahmen. 8. Führen Sie regelmäßige Audits durch. 9. Aktualisieren Sie Ihre Checklisten. 10. Fragen Sie Ihren regionalen Ansprechpartner in der IHK. 13

14 Verschlüsselung & Zertifikate -Kommunikation absichern Firewalls, Virenscanner bieten keinerlei Schutz s gehen von Haus aus unverschlüsselt durchs Netz Mitschneiden der Kommunikation alle s im Klartext in fremden Händen Verlieren eines mobilen Endgerätes alle s im Klartext in fremden Händen D keine Ende-zu-Ende-Verschlüsselung, lediglich der Absender kann sicher identifiziert werden PGP und S/Mime bewährte Verschlüsselungsverfahren 14

15 Cloud Computing Cloud Security Bei der Wahl eines deutschen oder europäischen Cloud-Anbieters unbedingt versichern lassen, ob Daten ins Nicht-EU-Ausland gespiegelt werden (Backup, Archiv) Gilt auch für -Sicherheitsdienste (Antispam) Wann immer möglich, hoch geladene Daten verschlüsseln Datei-Ebene (TrueCrypt, BitLocker) Datenbank-Ebene (Format-Preserving Encryption) Dokumenten-Ebene (Passwörter; schwacher Schutz) 15

16 NSA & Co. Kann man sich realistisch gegen NSA & Co. schützen? Nein, weil Niemand weiß genau, welche Sicherheitsmechanismen die NSA aushebeln kann Auf eigentliche Bedrohungen konzentrieren: Cyber-Gauner, professionelle, nicht staatliche Industriespione, unzufriedene Mitarbeiter Das durch den NSA-Skandal erwachte Bewusstsein kann aber dennoch gewinnbringend zum Absichern der eigenen Infrastruktur genutzt werden Grundsätzlich gilt: Verschlüsseln, wo auch immer möglich Moderne Kryptoverfahren und möglichst lange Schlüssel verwenden 16

17 Ihre IHK steht Ihnen zur Seite Projekt: Maßnahmen zur Verbesserung der Informationssicherheit von kleinen und mittleren Unternehmen mit Sitz in Bayern Seit August 2013 gibt es in Bayern zwei neue Stellen zum Thema Informationssicherheit für KMUs Ansprechpartner Nordbayern IHK Ansprechpartner Südbayern Dr. Varvara Becatorou IHK für München und Oberbayern Aufgaben: Sensibilisieren Informieren (Vorträge, Veranstaltungen) Lotsen im Thema Informationssicherheit (auch beim Vorfall) Kooperationen mit Sicherheits-Netzwerken 19

18 Informationssicherheit KMU Geplante Maßnahmen Informationsveranstaltungen in jedem der 9 Kammerbezirke Halbjährige Sprechtage in jedem der 9 Kammerbezirke Erstellung von Angeboten: Leitfäden, Merkblätter, Goldene Regeln, etc. Erstellung von Infomaterial zur Bewerbung der Angebote (z. B. Flyer) Präsenz auf regionale Messen und Veranstaltungen (it-sa, Communication World, etc.) Bereitstellen von umfassenden Content für die Internetauftritte der IHKs / BIHK. Vereinzelte Firmenbesuche 20

19 Informationssicherheit Leitfaden zur Informationssicherheit in KMUs Merkblatt Informationssicherheit im Mittelstand Blog: Informationssicherheit für KMUs Internet 21

20 Vielen Dank für Ihre Aufmerksamkeit, B.Sc. Wirtschaftsinformatik Informationssicherheit Hauptmarkt 25/ Nürnberg Tel.: Fax: Blog: Internet: Internet: 22