Tipps für IT-Sicherheit und Datenschutz im Handwerk

Transkript

1 Tipps für IT-Sicherheit und Datenschutz im Handwerk Vortrag im Rahmen der Veranstaltung IT-Praxistag für Handwerksbetriebe Veranstalter: ebusiness-lotse Oberfranken V 1.1 Stand: 2014/11 Samstag, / Referentin: Dr. Marion Herrmann 1

2 Inhalt Firewall Viren-/Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz 2

3 Firewall Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Schützt vor unbefugten Angriffen, lässt nur definierte Verbindungen zu. (VPN) Bevorzugt separate Hardware-Firewall z. B. Cisco ASA-Serie Auf jedem Client und auf jedem Server Windows-Firewall oder Security-Suiten mit Firewall 3

4 Viren-/Malwareschutz Inhalt Anti-Virus Anti-Malware Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz -Filter mit Anti-Malwareund Spamfilter Kostenlose Programme sind nicht immer die günstigsten! Kommerzielle Nutzung beachten! (Lizenzrecht!) Update-Häufigkeit 4

5 Patchmanagement Software stets aktuell halten Inhalt Firewall Viren-/ Malwareschutz Festlegen, wer aktualisiert wann, welche Software Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz => Möglichst viel automatisieren => Verantwortlichkeitsmatrix erstellen => KMU-Produkte nutzen KMU = Kleine und mittelständische Unternehmen 5

6 Patchmanagement Verantwortlichkeitsmatrix Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität 6

7 Passwörter Starke Passwörter einsetzen Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz > 10 Zeichen, Buchstaben, Ziffern, Sonderzeichen Empfehlung: mit Akronymen arbeiten (keine Literaturstellen nehmen!) Empfehlung: Passwort-Generator nehmen Regelmäßig wechseln Empfehlung des BSI: alle 3 Monate Passwortsafes benutzen Beispiele: Password Depot, Keepass, Steganos, imobilesitter, Password Safe Auf https-seiten achten Aus Webanwendungen stets ausloggen 7

8 Zu schwach! Namen von - Partnern - Verwandten - Bekannten - Haustieren - Hobbies Datumsangaben - Geburtstage - Hochzeitstage - Jubiläen Bobby2014 < 1s 8

9 Ihre Schätzung! Wie lange, glauben Sie, dauert es, bis die folgenden Passwörter erraten* werden können. Passwort Ich schätze Tatsächlich Bobby2014# Bobby Bobby # B0bbY #!B0bbY # ##B0bb! # 3 Minuten 8 Minuten 11 Stunden 6 Tage 3 Jahre Jahrhunderte *Methoden: Wörterbuch, Hybrid, Brute Force und Kombinationen Die tatsächlichen Zeiten wurden ermittelt auf: 9

10 Komplexe Passwörter! Akronyme Ich liebe meinen Mann schon seit 15 Jahren immer mehr! IlmMss15Jim! 12 Zeichen! #Ich liebe meinen Mann schon seit 15 Jahren nimmer mehr!# #IlmMss15Jnim!# 15 Zeichen! #Ich liebe nicht mehr Peter, sondern Franz!#

11 Komplexe Passwörter! Passwort - Generator VqLTDxmUNTts n?1p4tv-0bo0 128 bit HexKey 39d059afb73a4472b04b31f07891bedd keepass.com 11

12 Biometrisch?! Vorsicht mit biometrischen Zugängen Quelle. 12

13 https-seiten Bei Passwort-Eingaben im Internet auf Verschlüsselung achten! Passworteingabe nur bei Prüfen Sie Ihre Webseite! 13

14 Stets ausloggen Session Sniffing Password Sniffing Gängige Hackermethoden Session ID= F131018%2F8C Opfer Angreifer snifft eine gültige Session Webserver Immer aus Sitzungen ausloggen, nur Schließen des Browserfensters reicht nicht! Angreifer Ziel: unautorisierter Zugang zum Webserver bzw. Mitlesen des Passwortes 14

15 Non-Electronic Attacks es geht auch ohne Elektronik! Angreifer Shoulder Surfing Dumpster diving Social Engineering Über die Schulter schauen/mitfilmen, wenn sich jemand einloggt Den Mülleimer (sowohl elektronisch als auch physisch) durchsuchen, auch Post-its u. ä. Jemand überzeugen/weichkochen/ einwickeln, um vertrauliche Informationen zu erhalten 15

16 Verschlüsselung Verschlüsselte Festplatten z. B. Windows: Bitlocker, HP: Safeboot Verschlüsselte USB-Sticks Verschlüsselungssoftware Freeware: VeraCrypt, ecryptfs Verschlüsselte pdf-dateien / zip-dateien 16

17 Mobilität Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Nicht um jeden Preis Bewusst einsetzen Verschlüsselung beachten! Nicht alles automatisiert übertragen (Sync) Haftungsfalle: illegale Datenübermittlung Cloud-Dienste => Datenschutz beachten! 17

18 Dokumentation Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Hard- und Softwarelisten Netzwerkübersicht / IT-Netzplan Berechtigungskonzept Sicherheitsbereiche Kronjuwelen! 18

19 Beispiel Sicherheitsbereich Raumplan Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz 19

20 Datenschutz Zweck des Bundesdatenschutzgesetzes Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Der Einzelne (Betroffene) soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten (pbdaten) in seinem Persönlichkeitsrecht beeinträchtigt wird. Passwörter Mobilität Dokumentation Datenschutz Datensicherheit: Technische und organisatorische Maßnahmen um alle Daten je nach Schutzweck zu schützen. 20

21 Informationelle Selbstbestimmung 1 => Pflicht: Auskunft an den Betroffenen (auf Anfrage) 21

22 Informationelle Selbstbestimmung Bei Endverbrauchern muss für jede Kommunikationsart (Telefon, Fax, ) eine Einwilligung vorliegen! Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz Einwilligung für Werbung - Beispiel Einwilligungserklärung zur Telefon- und - Werbung Ich bin damit einverstanden, künftig zum Zweck der Information (Werbung) über Veranstaltungen und Produkte der Firma xy per Telefon per kontaktiert zu werden. Die Einwilligung zu Werbezwecken kann ich jederzeit für die Zukunft schriftlich widerrufen. E- Mail an info@ihr-handwerksbetrieb.de genügt. 22

23 Personenbezogene Daten Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Alle Angaben über persönliche oder sachliche Verhältnisse der Betroffenen sind personenbezogene Daten (pbdaten), unabhängig davon wie sensibel sie sind und woher sie stammen. Name und Anschrift sind bereits personenbezogene Daten. Dokumentation Datenschutz 23

24 Personenbezogene Daten 24

25 Datenschutzbeauftragter? Betriebe mit mehr als 9 Mitarbeitern, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4f Abs. 1 Satz 1 BDSG). (ohne EDV, mehr als 20 Personen) Datenschutzbeauftragte/r kann sein: extern oder intern Datenschutzbeauftragte/r darf nicht sein: Geschäftsführer oder Vorstände IT-Leiter Personal-Leiter Leiter der Rechtsabteilung 25

26 Mindestumsetzung Datenschutz Quelle: Datenschutz Symbiose GmbH, Dr. Marion Herrmann, 2014, BDSG-Mindestumsetzung.mmap 26 26

27 Datengeheimnis - 5 BDSG Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz Beschäftige sind auf das Datengeheimnis zu verpflichten 5 BDSG: Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 27

28 Schulungen Sensibilisierung der Mitarbeiter regelmäßig nachweisbar => Sicherer Umgang mit sensiblen/vertraulichen Datenträger und datenschutzkonformes Verhalten 28

29 Beispiel - Formblatt 29

30 TOMs - 9 BDSG Technische und Organisatorische Maßnahmen Inhalt Pflicht zur Dokumentation Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Pflicht, Regelungen zu treffen Private Internetnutzung Datenschutzrichtlinien Passwortrichtlinie Datenschutz Vernichtungskonzept 30

31 TOMs - 9 BDSG Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle Grafik: Datakontext 2009 Eng verknüpft mit: IT-Grundschutz (BSI) 31

32 Beispiele: ADV - 11 BDSG Auftragsdatenverarbeitung IT-Dienstleister Werbeagentur/Lettershop Lohnabrechnung (nicht Steuerberater)) Vertrag mit 10 Punkten schriftlich fixieren Sorgfältige Prüfung des Auftragnehmers vor Beginn der Tätigkeit! 32

33 Betroffenen-Rechte Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Auskunftsanspruch (Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden und von wem Sie erhalten wurden.) Widerspruch gegen die Datenverarbeitung zu Werbezwecken Berichtigung, Löschung und Sperrung Benachrichtigung von Berichtigung, Löschung, Sperrung Schadensersatz => Prozess Betroffenenanfrage Datenschutz 33

34 Verfahrensübersicht Jedes Verfahren, dass personenbezogene Daten automatisiert verarbeitet, muss dokumentiert werden. (Inhalt: 4e) => Dokumentationspflicht: Internes Verfahrensverzeichnis / Verarbeitungsübersicht Zu jedem Verfahren müssen auch die technischen und Organisatorischen Maßnahmen (TOMs) beschrieben werden. 34

35 Verfahrensübersicht 35

36 Zeit zu handeln IST-Aufnahme IT-Sicherheit/Datenschutz 1. Schritt: Kronjuwelen suchen 2. Schritt: Schutzmaßnahmen prüfen 3. Maßnahmenplan erstellen und umsetzen 36

37 Kompetenzzentrum IT-Sicherheit und Datenschutz Bayreuth, Hundingstr Technische Lösungen rund um IT-Sicherheit! Saas, Paas deutsche Cloud Alles rund um Datenschutz und Umsetzung des BDSG Externe DSB, Datenschutzberatung und Audits Wir helfen Ihnen! Buchen Sie uns! 37

38 Ihre Ansprechpartnerin Dr. Marion Herrmann Geschäftsführerin Geprüfte Datenschutzbeauftragte Zertifizierter Datenschutz-Auditor (TÜV) IT-Compliance-Manager ITIL Foundation zertifiziert Certified Ethical Hacker (CEH) Computer Hacking Forensics Investigator (CHFI v8) Telefon: / Mobil: / Fax: / Unser Maskottchen: Bildquellen: fotolia, Datankontext, Datenschutz Symbiose und eigene 38