Sicherheitshandbuch. Handbuch für den sicheren Einsatz von Informationstechnologie. im Umfeld Version 1.0.2e

Transkript

1 Sicherheitshandbuch Handbuch für den sicheren Einsatz von Informationstechnologie im Umfeld Version 1.0.2e

2 1. Historie Version Datum Bearbeiter Änderungen M. Pravida/BuDru Erstanlage des Dokuments M. Pravida/BuDru Einarbeitung der Ergebnisse des Workshops vom M. Pravida/BuDru Einarbeitung der fehlenden Informationen nach Rücksprache mit Hrn. Gollanek H. Rieger/BuDru Review; Vorabversion Oliver Gollanek Überarbeitung und Punkt Phishing eingeführt Oliver Gollanek Finalisiert Oliver Gollanek QS 1.0.1a Oliver Gollanek QS Oliver Gollanek IT-Sicherheitshandbuch V1.0.2e Seite 2 von 19

3 2. Inhaltsverzeichnis 1. Historie Inhaltsverzeichnis Einleitung Allgemeines Allgemeine Fragen Organisation der IT-Sicherheit Sicherheitsvorgaben Bildschirmsperre Passwörter Internetnutzung Nutzung Schutz vor Schadsoftware Datenaustausch Vertrauliche Dokumente Fragen und Antworten Informations-Infrastruktur und -organisation Passwort allgemein Passwort: Urlaubsvertretung Bildschirmsperre Viren, Würmer & Co Phishing Datenspeicherung Druckernutzung Social Engineering Glossar Ergänzende Dokumente IT-Sicherheitshandbuch V1.0.2e Seite 3 von 19

4 3. Einleitung Liebe Kolleginnen und Kollegen, die Sicherheit in der Informationstechnik (IT-Sicherheit) ist in unserem Umfeld ein sehr wichtiges Thema. Insbesondere der Schutz der personenbezogenen Daten vor Verlust, unbefugter Weitergabe und/oder Veränderung ist eine Aufgabe, an der jede(r) Beschäftigte einen Anteil hat. Das vorliegende IT-Sicherheitshandbuch (SHB) stellt die für Sie verbindlichen IT- Sicherheitsanforderungen und die zugehörigen technischen und organisatorischen Maßnahmen umfassend und in Form von konkreten Empfehlungen und Arbeitsabläufen dar. Das vorliegende SHB enthält eine verbindliche Sammlung von praktischen Maßnahmen und Hilfestellungen, damit Sie während Ihrer täglichen Arbeit die IT-Sicherheit wahren können. Aus den IT-Sicherheitsanforderungen, die sich aus den von uns verarbeiteten Daten und in Einsatz befindlichen IT-Systemen ergeben, leiten sich Entscheidungs- und Prüfkriterien für den Einsatz neuer und vorhandener Systeme der Informationstechnologie ab. Sie müssen berücksichtigt werden, um das hohe IT-Sicherheitsniveau zu bewahren. Das IT-Sicherheitshandbuch wurde vom IT-Sicherheitsbeauftragten des Projekts erstellt und wird permanent fortgeschrieben. Dieses Handbuch ist ein praktisches Werkzeug im täglichen Umgang mit der Informationstechnologie und soll Sie entsprechend dabei unterstützen. Die Qualität der beschriebenen Maßnahmen und Tätigkeitsbeschreibungen hängt im hohen Maße von Ihrer Mitarbeit ab. Für Anregungen und Verbesserungsvorschläge sind wir sehr dankbar. Sicherheit in der Informationstechnologie geht uns alle an und liegt in unser aller Verantwortung! IT-Sicherheitshandbuch V1.0.2e Seite 4 von 19

5 4. Allgemeines 4.1. Allgemeine Fragen Welche IT-Sicherheitsrisiken existieren an meinem Arbeitsplatz? Der Umgang mit IT-Systemen beinhaltet Risiken, die durch Gefährdungen entstehen, denen die Hardware, die Software und auch jede einzelne Mitarbeiterin und jeder einzelner Mitarbeiter ausgesetzt ist. IT-Systeme besitzen eine Reihe von Schwachstellen, die durch geeignete Maßnahmen geschützt werden müssen. Auch die Schwachstelle Mensch wird zunehmend von Kriminellen attackiert. Mögliche Gefahren (Auswahl): Passwortdiebstahl, Social Engineering, Schadsoftware (Viren, Trojanische Pferde, Würmer), Phishing, Computersabotage, Datenveränderung. Wie verbindlich ist das IT-Sicherheitshandbuch? Das SHB enthält verbindliche Regelungen und Maßnahmen, die für den sicheren Umgang mit der Informationstechnologie im Umfeld von notwendig sind und beachtet werden müssen. Ich habe Probleme bzw. Fragen, die im IT-Sicherheitshandbuch nicht aufgeführt sind. Was kann ich tun? Die Aufrechterhaltung der IT-Sicherheit ist eine Aufgabe, die uns alle angeht. Verbesserungen und Anregungen, die uns helfen, das Sicherheitsniveau in der Informationstechnik aufrechtzuerhalten bzw. weiter zu erhöhen, sind sehr willkommen. Bitte wenden Sie sich diesbezüglich an Ihren lokalen IT-Sicherheitsbeauftragten und teilen Sie ihm Ihre Vorschläge mit. IT-Sicherheitshandbuch V1.0.2e Seite 5 von 19

6 4.2. Organisation der IT-Sicherheit SenBildWiss IT-Sicherheitsbeauftragter Oliver Gollanek, SenBWF ZS C 1.4, IT-Sicherheitsmanagementteam Schulen In jeder Schule wird eine lokale IT-Sicherheitsbeauftragte bzw. ein lokaler IT- Sicherheitsbeauftragter benannt. zentrale Hotline: IT-Sicherheitshandbuch V1.0.2e Seite 6 von 19

7 5. Sicherheitsvorgaben 5.1. Bildschirmsperre Die Bildschirmsperre dient dazu, einen Rechner gegen die Benutzung durch Unbefugte zu sperren. Ein Weiterarbeiten ist nur möglich, sobald sich der angemeldete Benutzer mit seinem Passwort authentifiziert hat. Wenn Sie Ihren Arbeitsplatz verlassen, so haben Sie den Rechner zu sperren. Dies erreichen Sie durch a) [Strg] + [Alt] + [Entf] und Wahl von Computer sperren + [Enter] oder b) [ ] + [L] Die Sperre ist auch erforderlich, wenn Sie den Arbeitsplatz nur kurz verlassen und/oder Kollegen noch im Raum sind! 5.2. Passwörter Benutzernamen und Passwörter werden benötigt, um sich bei Computersystemen und Anwendungen zu authentifizieren. Individuelle Kennungen ermöglichen eine komplexe Rechtevergabe. Für Passwörter gelten folgende Grundsätze: mindestens 8 Zeichen lang regelmäßig zu ändern Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (sogenannte Komplexitätsanforderung) Beispiele finden Sie im Abschnitt 6.2 des SHB 5.3. Internetnutzung Die Nutzung des Internets (WWW, FTP usw.) ist immer mit Sicherheitsrisiken verbunden. Sie übernehmen die entsprechende Verantwortung, für den ordnungsgemäßen Umgang mit dem zur Verfügung gestellten Internetzugang. Um die Internetnutzung so sicher wie möglich zu machen, gelten die folgenden Grundsätze: Die Internetnutzung ist nur mit den installierten Programmen (Browser) und über die zur Verfügung gestellten Anschlüsse zulässig. Die private Nutzung des Internets ist grundsätzlich nicht zulässig (Siehe [8]). Aktivieren Sie beim Verlassen Ihres Arbeitsplatzes die Bildschirmsperre. Arbeiten Sie nur unter Ihrer eigenen Benutzerkennung und geben Sie diese nicht weiter. Unterlassen Sie das Herunterladen von ausführbaren Programmen bzw. das Speichern von ausführbaren Dateien. Diese können Computerviren oder Trojanische Pferde beinhalten oder die Stabilität Ihres Computers beeinträchtigen. IT-Sicherheitshandbuch V1.0.2e Seite 7 von 19

8 Benutzen Sie keine Speicherdienste im Internet. Ihre Daten gehören nur auf den zur Verfügung gestellten Schulserver. Benachrichtigen Sie die zentrale Hotline ( ), falls Sie an Ihrem Rechner ungewöhnliche Effekte bzw. Datenverluste feststellen. Eine besondere Gefährdung geht von aktiven Webinhalten aus. Unter einem aktiven Webinhalt wird ausführbarer Code verstanden, der vom Webbrowser heruntergeladen und auf dem lokalen Computer ausgeführt wird. Zu den hierbei verwendeten Technologien gehören z. B. JavaScript, ActiveX und Java, welche grundsätzlich deaktiviert sind (siehe [11]). Meiden Sie unseriöse Seiten und wilde Downloads. Lassen Sie sich nicht von falschen Versprechungen wie z. B. Gratis, Super Download, toller Bildschirmschoner etc. in die Irre führen. Geben Sie niemals Ihre persönliche Daten (wie Adresse und Geburtsdatum) an, wenn Sie nicht wissen, wofür diese Daten verwendet werden sollen. Verstöße gegen diese Grundsätze können arbeits- bzw. dienstrechtliche sowie strafrechtliche Konsequenzen haben (Siehe [9])! Nutzung Der interne -Dienst ist zur behördlichen Kommunikation gedacht. Für die -Nutzung gelten folgende Grundsätze: Die -Nutzung ist nur mit den installierten -Programmen zulässig. Die private Nutzung der -Dienste ist grundsätzlich nicht zulässig (Siehe [8]). Aktivieren Sie beim Verlassen Ihres Arbeitsplatzes die Bildschirmsperre. Arbeiten Sie nur unter Ihrer eigenen Benutzerkennung und geben Sie diese nicht weiter. Öffnen Sie keine Anhänge, welche Sie nicht erwartet haben und die Ihnen zweifelhaft erscheinen. Benachrichtigen Sie die zentrale Hotline ( ), falls Sie an dem Rechner ungewöhnliche Effekte bzw. Datenverluste feststellen. Leiten Sie nicht leichtfertig s an eine große Zahl von Empfängern weiter. Kettenmails etc. sind dringend zu vermeiden. Verstöße gegen diese Grundsätze können arbeits- bzw. dienstrechtliche sowie strafrechtliche Konsequenzen haben (Siehe [9])! 5.5. Schutz vor Schadsoftware Schadsoftware sind Computerviren, Trojanische Pferde, Computerwürmer u. ä. Diese Software kann Rechnern, Netzwerken, Behörden, Unternehmen und (durch Informationsabfluss) auch Dritten hohen Schaden zufügen. Bezüglich Schadsoftware gibt es folgende Sicherheitsvorgaben: Schutz durch Antivirensoftware auf jedem PC Browsen mit deaktivierten ActiveX, Java, JavaScript (siehe [11]) IT-Sicherheitshandbuch V1.0.2e Seite 8 von 19

9 Nie von Wechseldatenträgern booten (Starten des PCs von Diskette, USB, CD etc.) Software als normaler Nutzer nicht selber installieren, sondern durch Mitarbeiter der IT installieren lassen. Diese prüfen auf mögliche Gefährdungen durch die zusätzliche Software. Keine Dateien, die mit einer mitgeschickt werden öffnen, die nicht erwartet werden, bzw. nicht dem üblichen -Verkehr mit dem Absender entsprechen. Folgen Sie keinen Links unmittelbar aus einer heraus, die nicht erwartet wurde, bzw. nicht dem üblichen -Verkehr mit dem Absender entspricht. Geben Sie keine Benutzerdaten auf Grund von s bekannt. Laden Sie keine Programme aus dem Internet herunter. Zur Programminstallation ist ausschließlich die IT befugt. Bei Vorfällen (Virenwarnungen, ungewöhnliches Verhalten o. ä.) gelten folgende Vorgaben: Keine Panik! Jegliche Tätigkeiten am PC einstellen, um ein Infizieren weiterer Dateien zu vermeiden Sofortige Information an die zentralen Hotline ( ) Virensuche und Virenbeseitigung darf nur durch für Viren zuständige Mitarbeiter der Informationstechnik erfolgen. Falsche Virenbeseitigung kann zu größerem Schaden führen! Auch bei Einhalten aller Vorsorgemaßnahmen kann ein Virus ins System gelangen, z. B. weil der Virus so neu ist, so dass er von den Virenprüfprogrammen noch nicht erkannt wurde. Es gilt daher: Ein Virus ist keine Schande und sollte nicht verheimlicht werden! Nur so ist der Schaden gering zu halten Datenaustausch Folgende Vorgaben gelten beim Datenaustausch: Ein Datenaustausch darf nicht vom sicheren Verwaltungsnetz in ein unsicheres Netz (z. B. edukatives Netz, altes Verwaltungsnetz) erfolgen Daten dürfen nur auf definierten USB-Sticks mit Verschlüsselungstechnik gespeichert werden Die USB-Sticks müssen in einem abschließbaren Schrank aufbewahrt werden, um den Zugriff durch Unbefugte zu verhindern. Ein Diebstahl könnte z. B. zu Brute Force-Attacken genutzt werden, um das Passwort zu ermitteln. IT-Sicherheitshandbuch V1.0.2e Seite 9 von 19

10 5.7. Vertrauliche Dokumente Die SchüDa-Umgebung wird besonders geschützt, da eine Vielzahl von personenbezogenen Daten verarbeitet wird. Jedoch sind auch Ausdrucke dieser Daten zu schützen. Daher besteht für alle Dokumente eine Kennzeichnungspflicht nach den Regelungen der GGO I (vertraulich, persönlich, verschlossen, nur für den Dienstgebrauch) (wenn sie nicht bereits beim Ausdrucken von den Anwendungen gekennzeichnet werden). Lassen Sie die Dokumente nicht offen oder unverschlossen liegen und geben Sie diese nicht weiter. So verhindern Sie eine Einsichtnahme Dritter und/oder Unbefugter. Schülerdaten sind vertrauliche Daten! 6. Fragen und Antworten 6.1. Informations-Infrastruktur und -organisation Darf ich die Infrastruktur für meine privaten Zwecke nutzen? Die vorhandene Infrastruktur der Informationstechnik wurde für dienstliche Zwecke zur Verfügung gestellt. Eine private Nutzung ist grundsätzlich nicht zulässig. Ebenfalls unzulässig ist ein Anschluss von privaten Geräten. Mir fehlen Berechtigungen, was ist zu tun? Bitte sprechen Sie mit dem lokalen IT-SiB bzw. mit dem Schulleiter. Diese können veranlassen, dass Ihnen fehlende Rechte erteilt werden. An wen kann ich mich wenden, wenn ich Probleme habe? Sollten Schwierigkeiten, Probleme oder sonstige Abweichungen vom Normalzustand auftreten, so verständigen Sie bitte die zentrale Hotline ( ). Versuchen Sie nicht, Probleme selbst zu lösen. Dies gilt insbesondere für einen vermuteten Befall mit Schadsoftware o. ä Passwort allgemein Was ist bei Passwörtern zu beachten? Gelingt es einer Person mit böswilligen Absichten, Ihr Passwort zu ermitteln, kann diese unter Ihrer Berechtigung Daten zerstören, manipulieren und/oder ausspionieren. Zur Ermittlung von fremden Passwörtern gibt es diverse Möglichkeiten: Passwort erraten, aufgrund persönlicher Informationen (Geburtsdatum, Familienangehörige, Reiseziele) IT-Sicherheitshandbuch V1.0.2e Seite 10 von 19

11 Passwort ermitteln mit Hilfsprogrammen (Vergleich mit Wörterbüchern der gängigen Sprachen, Vornamenslisten, Städteverzeichnissen) Notierte Passwörter auffinden Erfragen der Passwörter IT-Sicherheitsmaßnahmen möglichst lange Passwörter (mindestens 8 Zeichen lang) Passwort regelmäßig ändern. Immer wieder neue Passwörter verwenden leicht zu merken Kombination aus Buchstaben, Zahlen und Sonderzeichen Einfach zu merken sind Sätze, wobei z. B. immer der erste Buchstabe als Zeichen für das Passwort verwendet wird. Solch ein Passwort ist kaum zu erraten und nicht über Vergleiche mit Wörterbüchern usw. ermittelbar. Beispiel: Im Sommer sind 20 Grad zu kalt! Passwort: ISs20Gzk! Was kann ich tun, wenn ich mein Passwort vergessen habe? Wenden Sie sich einfach an die zentrale Hotline ( ) Passwort: Urlaubsvertretung Was ist, wenn ich im Urlaub bin und meine Kollegen mich vertreten sollen? Zugangskennungen und Passwörter dürfen grundsätzlich nicht anderen Personen mitgeteilt werden. Um Zugriff auf Daten wirksam zu regeln, ist es notwendig, dass jeder Benutzer unter seiner eigenen Kennung und eigenem Passwort Zugang zum System hat. Werden Passwörter von mehreren Anwendern gemeinsam genutzt, besteht die Gefahr, dass nicht mehr nachvollziehbar ist, welche Personen unter einer bestimmten Benutzerkennung arbeitet. Benötigen sie Zugang zu einem Rechner, so wenden Sie sich an die zentrale Hotline ( ). Diese wird Ihnen dann ein eigenes Passwort zuteilen. Halten Sie Ihr Passwort geheim. Teilen Sie es nicht mit Kollegen! 6.4. Bildschirmsperre Warum muss mein PC/Notebook gesperrt werden? Die Bildschirmsperre dient der ganzheitlichen Sicherheit. IT-Sicherheitshandbuch V1.0.2e Seite 11 von 19

12 Die Bildschirmsperre schützt davor, dass zufällig anwesende oder gezielt suchende Personen in die Lage versetzt werden, personenbezogene Daten (insb. Schülerdaten) unbefugt auszuspähen oder beliebig in den SchüDa-Anwendungen ohne Authentifizierung arbeiten zu können. Weiterhin verhindert die Bildschirmsperre, dass jemand Anderes mit IHRER Kennung Tätigkeiten durchführen kann. Ist die Bildschirmsperre aktiv, können erst nach der Authentifizierung mit dem Passwort des angemeldeten Benutzers Eingaben getätigt werden. Sie müssen nur ihr Passwort der Windows-Anmeldung noch einmal eingeben, nicht alle anderen Passwörter! Denken Sie daran, dass jede Tätigkeit ob legal oder illegal, befugt oder unbefugt, vorsätzlich oder fahrlässig IMMER auf Sie zurückführt. Sie sind für Ihre Zugänge zum Rechnersystem verantwortlich! Welche Arten der Bildschirmsperre gibt es? Zum Einen gibt es die automatische Bildschirmsperre, welche jeden Rechner sperrt, wenn 10 Minuten keine Eingaben getätigt werden. Zum Zweiten gibt es die manuelle Bildschirmsperre, welche vom Benutzer des Rechners initiiert wird. Wie betrifft mich die automatische Bildschirmsperre? Die automatische Bildschirmsperre betrifft alle Benutzer von Rechnersystemen. Nach einer Inaktivität von 10 Minuten wird diese aktiv. Aus Sicherheitsgründen darf diese Einstellung nicht geändert werden. Wie sieht es mit der manuellen Bildschirmsperre aus betrifft mich diese auch? Ja! Jeder ist verpflichtet die manuelle Bildschirmsperre zu aktivieren, wenn er seinen Arbeitsplatz verlässt. Dies lässt sich auf zwei Arten erreichen: Drücken von [Strg] + [Alt] + [Entf] und wählen von Computer sperren + [Enter] Drücken von [ ] + [L] Sie sehen, schon mit zwei Tasten können Sie Ihren Rechner/Bildschirm sperren! Ich will doch nur kurz Wasser holen!? Der Zeitraum Ihrer Abwesenheit ist völlig egal! Sei es, dass Sie wirklich nur Wasser holen wollen wie oft sind Sie unterwegs schon angesprochen/abgelenkt worden? Einer versierten IT-Nutzerin bzw. einem versierten IT-Nutzer reichen schon wenige Sekunden, um Ihnen, dem Land oder einzelnen Personen (z. B. Schülern) während Ihrer Abwesenheit Schaden zuzufügen. Dies können die Einsicht in ein Personaldokument oder gar Änderung von Schülerdaten, das Drucken von solchen Dokumenten oder die Informationsgewinnung in Applikationssystemen sein. IT-Sicherheitshandbuch V1.0.2e Seite 12 von 19

13 6.5. Viren, Würmer & Co Was sind Viren, Trojanische Pferde usw.? Im allgemeinen Sprachgebrauch werden alle möglichen Schadprogramme als Viren bezeichnet. Das eigentliche Computervirus ist in Wirklichkeit nur ein kleiner Teil der im Umlauf befindlichen Schadprogramme. Zusammenfassend werden Schadprogramme deshalb auch als Schadsoftware bzw. Malware bezeichnet. Häufig werden mehrere Schadprogramme miteinander vermischt, um eine schnelle und breite Verbreitung und einen vielfältigen Nutzen zu haben. Wie wird Schadsoftware verbreitet bzw. wie gelangt sie in das System? Beispiele: Download von Programmen aus dem Internet Öffnen von - Attachments Anklicken von Hyperlinks Nutzung von Wechseldatenträgern (diese werden häufig infiziert, wenn sie mit einem bereits infizierten System verbunden werden) Besuch infizierter Internetseiten Chatprogramme und Musik-, Video- und Spielebörsen Beispiele für Folgen eines Befalls mit Viren oder anderen schadenstiftenden Programmen Internetverbindungsversuche (meist im Hintergrund) hoher Netzwerkverkehr Abfluss vertraulicher Daten, wie z. B. Benutzerdaten, Dokumente, - Adressen Ausspähen von Tastatureingaben Verringerte Rechnerleistung Zerstörung von vorhandenen Programmen Manipulation von Dateien unbekannte Meldungen auf dem Bildschirm Festplatte ist nicht mehr nutzbar Vorsorgemaßnahmen Es wurden gezielt Maßnahmen getroffen, um die Möglichkeiten zum Befall von Daten und Rechnern durch Schadsoftware einzuschränken. Maßnahmen dieser Art sind: Schutz durch Antivirensoftware auf jedem PC Browsen mit deaktivierten ActiveX, Java, JavaScript (siehe [11]) Nie von Wechseldatenträgern booten (Starten des PCs von Diskette, USB, CD etc.) IT-Sicherheitshandbuch V1.0.2e Seite 13 von 19

14 Software als normaler Nutzer nicht selber installieren, sondern durch Mitarbeiter der IT installieren lassen. Diese prüfen auf mögliche Gefährdungen durch die zusätzliche Software. Keine Dateien, die mit einer mitgeschickt werden öffnen, die nicht erwartet werden, bzw. nicht dem üblichen -Verkehr mit dem Absender entsprechen. Folgen Sie keinen Links unmittelbar aus einer heraus, die nicht erwartet wurde, bzw. nicht dem üblichen -Verkehr mit dem Absender entspricht. Geben Sie keine Benutzerdaten auf Grund von s bekannt. Laden Sie keine Programme aus dem Internet herunter und starten diese. Zur Programminstallation ist ausschließlich die IT befugt. Dies gilt auch für Bildschirmschoner und Spaßprogramme. Verhaltensregeln bei Verdacht eines Befalls bzw. eines konkreten Alarms des lokalen Antivirenprogramms Keine Panik! Jegliche Tätigkeiten am PC einstellen, um ein Infizieren weiterer Dateien zu vermeiden Sofortige Information an die zentrale Hotline ( ) Virensuche und Virenbeseitigung darf nur durch für Viren zuständige Mitarbeiter der Informationstechnik erfolgen. Falsche Virenbeseitigung kann zu größerem Schaden führen! Auch bei Einhalten aller Vorsorgemaßnahmen kann ein Virus ins System gelangen, z. B. weil der Virus so neu ist, so dass er von den Virenprüfprogrammen noch nicht erkannt wurde. Es gilt auch hier: Ein Virus ist keine Schande und sollte nicht verheimlicht werden! Nur so ist der Schaden gering zu halten. Sollten Sie eine erhalten, die Ihnen verdächtig vorkommt, bitte nicht sofort löschen, sondern die zentrale Hotline und den lokalen IT-SiB informieren. Bitte die verdächtige E- Mail nicht weiterleiten. Solche s können uns Aufschluss darüber geben, ob eine neue Bedrohung vorliegt oder nicht. Fehler im Virenschutzprogramm sind ebenfalls der zentralen Hotline ( ) zu melden! IT-Sicherheitshandbuch V1.0.2e Seite 14 von 19

15 6.6. Phishing Wenn Datendiebe nach ihren Passwörter angeln... Phishing (Passwort Fishing) stellt im Vergleich zu Viren oder Würmern eine relativ neue Gefahr dar. Mit den sogenannten Phishing-Mails locken Betrüger die Anwender meist auf gefälschte Internetseiten und fordern diese auf, ihre Passwörter und Zugangsinformationen dort einzugeben. Die Daten landen aber in den Händen der Betrüger und können so für Daten-Einbrüche genutzt werden. Manche dieser Phishing s gehen sogar so geschickt vor, dass unmittelbar nach dem Öffnen der im Hintergrund und vom Nutzer unbemerkt ein Programmcode ausgeführt wird, welches die Lesezeichen des Browsers so ändert, dass beim nächsten Aufruf einer bestimmten Seite nicht mehr das Original angesteuert wird, sondern die von den Betrügern manipulierte Seite. Vor Phishing Attacken schützt nur vorsichtiges Verhalten. Bitte informieren Sie im Verdachtsfalle umgehend die zentrale Hotline ( )! 6.7. Datenspeicherung Was ist bei der Datenspeicherung zu beachten? Schülerdaten dürfen ausschließlich in den definierten Verzeichnissen auf dem Schulserver gespeichert werden. Da die Daten jedoch jederzeit verfügbar sind, ist auf Datensparsamkeit zu achten. Dies bedeutet, dass nicht unnötig jede Auswertung gespeichert werden muss, da sie erneut generiert werden kann. Was ist mit den Importen/Exporten? Da die Daten auf dem Client anfallen, ist eine temporäre Speicherung möglich. Es ist aber darauf zu achten, dass bei positiver Ergebnismeldung des Schülerportals die Daten sofort vom Client gelöscht werden Druckernutzung Was muss ich bei Druckern beachten? Drucker sind häufig eine unterschätzte Gefahrenquelle. Für den Druck der Schülerdaten steht ein separater Drucker in einem geschützten, verschlossenen Raum zur Verfügung. Ausschließlich dieser Drucker darf für diese Drucke genutzt werden. IT-Sicherheitshandbuch V1.0.2e Seite 15 von 19

16 Ein Druck der Schülerdaten (auch bei Ausfall) auf einem anderen Drucker ist unzulässig! Sollte der Drucker defekt sein, verständigen Sie sofort die zentrale Hotline ( ). Baugleiche Ersatzgeräte stehen in ausreichender Stückzahl zur Verfügung und Schadgeräte können somit ohne Komplikationen ausgetauscht werden. Weiterhin dürfen die Ausdrucke nicht unbeaufsichtigt gelassen werden. Auf Grund der Vorgaben des Berliner Datenschutzgesetztes (BlnDSG) sind die Schülerdaten als personenbezogene Daten besonders zu schützen. Lassen Sie die Drucke nicht im Drucker liegen, sondern entnehmen Sie diese sofort. Damit nehmen Sie Dritten die Möglichkeit, unbefugt Einsicht in diese Daten zu nehmen Social Engineering Worum geht es bei Social Engineering? In der heutigen Zeit begegnen uns viele Gefährdungen der Informationssicherheit. Leider wird dabei nicht nur versucht, Systeme mit technischen Mitteln zu kompromittieren, sondern auch über die Schwachstelle Mensch Informationen zu erhalten. Mit diesen Erkenntnissen werden anschließend weitergehende Angriffe durchgeführt. Bei den Angriffen gibt sich der Angreifer z. B. als Techniker oder anderweitig berechtigte Person aus und versucht auf diese Weise unter Einsatz von 'Smalltalk' im direkten Gespräch am Telefon oder im Rahmen einer Vertrauen zu erlangen, um anschließend durch geschickte Fragen interne Informationen zu erhalten. Auch Schüler sind durchaus in der Lage, Informationsgewinnung mit Social Engineering zu betreiben. Interne Informationen können z. B. sein: Schülerdaten Noten Passwörter/Zugangskennungen Rechnernamen Ablaufstrukturen Verzeichnispfade zu geheimen und/oder geschützten Dokumenten Interne Telefonnummern, Namen o. ä. Vieles scheint trivial, doch können Angreifer mittels geschickter Maßnahmen durch diese Informationen weitere Angriffe starten, die sie dann zu ihrem eigentlichen Ziel führen. Auch können viele für sich nutzlose Informationen zusammen dem Angreifer wertvolle Hinweise geben (z. B. Klausuren etc.). Wie kann ich mich schützen? Geben Sie nicht leichtfertig interne Informationen preis. Geben Sie keine Passwörter weiter! Ein Administrator wird Sie niemals wirklich niemals danach fragen! IT-Sicherheitshandbuch V1.0.2e Seite 16 von 19

17 Kontrollieren Sie auch beim Schreiben einer -Antwort die -Adresse des Empfängers. Wenn Sie von einer Ihnen unbekannten Person nach internen Informationen gefragt werden, legen Sie gesundes Misstrauen an den Tag. Fragen Sie diese Person nach dessen Arbeitsstelle und fragen prüfen sie ggf. (z.b. durch einen Rückruf) nach, ob diese Person wirklich Bedienstete des Landes ist. Achten Sie auf die Kennung eines Anrufers auf dem Telefondisplay. Geben Sie telefonisch keine internen Auskünfte an unbekannte Personen (Werbeanrufer, Vertriebsmitarbeiter etc.). Geben Sie auch im privaten Umfeld keine internen Informationen weiter. Auch freundliche Schüler dürfen keine internen Daten erhalten und/oder an Ihren Geräten arbeiten! An wen kann ich mich wenden? Es gibt auch über die hier dargestellten Methoden hinaus Möglichkeiten, durch die potentielle Angreifer über Sie an interne Informationen gelangen können. Haben Sie das Gefühl, dass sie ausspioniert worden sind, so melden Sie dies dem lokalen IT-SiB. IT-Sicherheitshandbuch V1.0.2e Seite 17 von 19

18 7. Glossar Abkürzung, Begriff SHB SenBWF BuDru IT-SiB Spam Brute-Force-Attacke Erläuterung Sicherheitshandbuch Senatsverwaltung für Bildung, Wissenschaft und Forschung Bundesdruckerei GmbH IT-Sicherheitsbeauftragter Nicht angeforderte und unerwünschte s, welche von Spammern an eine Vielzahl von Empfängern verschickt werden. Intention kann Werbung, Phishing oder Verbreitung von Schadsoftware sein. Attacke, bei der durch Probieren aller möglichen Kombinationen ein Passwort erraten werden soll. Dieses Probieren wird häufig automatisiert durchgeführt. IT-Sicherheitshandbuch V1.0.2e Seite 18 von 19

19 8. Ergänzende Dokumente [1] Bundesdatenschutzgesetz (BDSG) [2] Betriebsverfassungsgesetz (BetrVG) [3] Sozialgesetzbuch (SGB) [4] Telekommunikationsgesetz (TKG) [5] Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) [6] Informations- und Kommunikationsdienste-Gesetz (IuKDK) [7] Urheberrechtsgesetz (TDDSG) [8] Dienstvereinbarung über die Nutzung des Internet und anderer elektronischer Informations- und Kommunikationsdienste in der Berliner Verwaltung (Internet-DV) [9] Benutzungsrichtlinien der Senatsverwaltung für Bildung, Wissenschaft und Forschung für die Nutzung des Internet [10] IT-Sicherheitsrichtlinie der Berliner Verwaltung [11] Sicherer Zugang zum Intranet und Internet in der Berliner Verwaltung [12] Leitfaden für eine sichere IT-Infrastruktur im Verwaltungsbereich der Berliner öffentlichen Schulen IT-Sicherheitshandbuch V1.0.2e Seite 19 von 19