IT-Sicherheit in 10 Schritten INFOS. zum Schutz vor Cyberangriffen

Transkript

1 IT-Sicherheit in 10 Schritten INFOS zum Schutz vor Cyberangriffen

2 Schutz vor Cyberangriffen Dieses Whitepaper gibt einen Überblick über das Thema IT- Sicherheit und befasst sich mit der aktuellen Entwicklung im Bereich der Cyberangriffe. Es erläutert, wie Sie sich dagegen erfolgreich schützen können. Cyberangriffe sind in der heutigen Zeit nicht mehr nur fiktive Szenarien, sondern gehören längst zu den realen Bedrohungen für Unternehmen und Privatpersonen. Dagegen gilt es sich zu schützen. Das Thema Informationssicherheit nimmt in Zeiten zunehmender Digitalisierung aller Lebens- und Geschäftsbereiche sowie der Industrie 4.0 einen immer höheren Stellenwert ein. In diesem Zusammenhang rückt Awareness zunehmend in den Fokus der IT-Sicherheit. Unter Awareness lassen sich alle Aktivitäten und Maßnahmen zusammenfassen, die eine Sensibilisierung im Umgang mit IT-Systemen zum Ziel haben. Business. Internet. Lösungen. iwelt.de 2 iwelt AG

3 Inhalt 01 Was versteht man unter IT-Sicherheit? Unter IT-Sicherheit versteht man den Schutz von Informationen und IT-Systemen. Was das konkret bedeutet, erklären wir hier. Seite 4 02 CIA-Schutzziele der IT-Sicherheit Die Ziele der IT-Sicherheit werden als Schutzziele verstanden, darunter fallen Vertraulichkeit, Integrität und Verfügbarkeit. Wir geben Ihnen einen Überblick über diese Ziele. Seite 5 03 In 10 Schritten zu mehr IT-Sicherheit Von der Sensibilisierung Ihrer Mitarbeiter, über regelmäßige Backups, bis hin zu Verschlüsselungstechnologien wir zeigen Ihnen zehn Schritte für mehr IT-Sicherheit. Seite 6 04 Schnell-Check für Ihre IT-Sicherheit Wir haben für Sie einen Schnell-Check zusammengestellt. Kreuzen Sie Ihren Stand der IT-Sicherheit in der Checkliste an und finden Sie heraus, welche Maßnahmen Sie noch fokussieren sollten. Seite 14 iwelt AG 3

4 Begriffsdefinition Was versteht man unter IT-Sicherheit? IT-Sicherheit umfasst den Schutz von Informationen und IT-Systemen. Unter dem Begriff IT-Sicherheit werden im Konkreten alle Planungen, Maßnahmen und Kontrollen verstanden, die dem Schutz von elektronisch gespeicherten Informationen dienen. Die IT-Sicherheit ist grundlegend für die Compliance, das heißt Regeltreue, eines Unternehmens. Sie hat die Aufgabe, Unternehmen und deren Werte gegenüber Bedrohungen zu schützen und wirtschaftlichen Schaden durch Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme zu verhindern. 4 iwelt AG

5 CIA-Schutzziele CIA-Schutzziele Daten-, Informations- & IT-Sicherheit Die IT-Sicherheit kennt drei vorrangige Ziele, die als Schutzziele verstanden werden. Als Schutzziele der IT-Sicherheit werden Vertraulichkeit, Integrität und Verfügbarkeit verstanden. Vertraulichkeit (Confidentiality) Unter dem Aspekt Vertraulichkeit ist zu verstehen, dass nur autorisierte und befugte Personen Zugang zu Daten und Systemen bekommen. Als Sicherheitsmaßnahmen werden Zugangs- und Zugriffskontrollen eingesetzt und Daten ggf. verschlüsselt. Integrität (Integrity) Korrekte, vollständige und unverfälschte Daten werden unter Integrität der IT-Sicherheit verstanden. Im Sicherheitskontext spielt das Schutzziel der Integrität eine wichtige Rolle. Maßnahmen, um dieses Schutzziel zu erreichen, sind z.b. Sicherstellung der korrekten Funktionsweise des Datenverarbeitungssystems, um Datenmanipulationen auszuschließen, Manipulationserkennung und die gesicherte Aufbewahrung von Kopien zum späteren Abgleich. Verfügbarkeit (Availability) Unter die Verfügbarkeit fällt der Grad der Funktionalität der informationstechnischen Systeme. Das bedeutet, dass Systeme jederzeit betriebsbereit sein müssen und Daten korrekt verarbeitet werden. Dabei ist sicherzustellen, dass externe Faktoren die Funktionalität nicht beeinträchtigen. Als Maßnahmen gelten beispielsweise Datensicherung sowie Vertretungs- und Überlastungsregeln. Weitere Schutzziele sind beispielsweise Authentizität, Privatsphäre, Verlässlichkeit oder auch (Nicht-)Abstreitbarkeit. C I A onfidentiality ntegrity vailability iwelt AG 5

6 10 Schritte zu mehr IT-Sicherheit IT-Sicherheit in 10 Schritten Backups Seit dem 01. Januar 2015 müssen Unternehmen Ihre s archivieren das verlangt der Gesetzgeber! 1 Sensibilisierung Die Wahrnehmung Ihrer Mitarbeiter in Bezug auf IT-Sicherheit schärfen. Weitere Infos finden Sie unter: iwe.lt/backups Erfolgreiche und effiziente IT-Sicherheit ist nur dann möglich, wenn Ihre Mitarbeiter erkennen und akzeptieren, dass sie zum Unternehmenserfolg sowie zur wirkungsvollen IT-Sicherheit beitragen. Hierfür ist der Aufbau einer Sicherheitskultur und eines Sicherheitsbewusstseins notwendig. Mitarbeiter Ihres Unternehmens müssen für die relevanten Gefährdungen sensibilisiert werden. Das erfordert, ein Bewusstsein im Hinblick auf Datensicherheit zu schaffen und die Auswirkungen Phishing erkennen einer sicherheitskritischen Situation abschätzen zu können. Vor allem ist es wichtig, dass Ihre Mitarbeiter selbst ein grundlegendes Verständnis für IT-Sicherheit auch im privaten Bereich aufbauen. Um ein grundlegendes Verständnis bei Ihren Mitarbeitern zu fördern, bieten sich Schulungen und Seminare an. Hierbei können Richtlinien und Verhaltensregeln festgelegt werden, die Ihre Mitarbeiter in sicherheitskritischen Situationen anwenden und befolgen können. Ein großer Anteil erfolgreicher Cyberangriffe basiert auf Phishing-Attacken. Unter Phishing versteht man Versuche, über gefälschte Webseiten, s oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Es ist wichtig, Ihre Mitarbeiter gerade auf diese Art von Attacken zu sensibilisieren. Die Masse an Informationen aus Social-Media-Plattformen trägt erheblich dazu bei, an vermeintlich unsensible Daten zu gelangen. In aufbereiteter Form können Hacker daraus wertvolle Insider-Informationen gewinnen und als Grundlage für weitere Attacken einsetzen. 6 iwelt AG

7 10 Schritte zu mehr IT-Sicherheit Elektronisch gespeicherte Daten regelmäßig sichern! Eine regelmäßige Sicherung auf einem externen Speichermedium ist der einzige Weg, Datenverluste nachhaltig vorzubeugen. Verlorene und nicht wiederherstellbare Daten können zu einem Arbeitsausfall und bei geschäftskritischen Daten womöglich zu Schlimmerem führen. Um bei einem Datenverlust den Schaden möglichst gering zu halten, empfiehlt es sich, alle betrieblichen Daten in regelmäßigen Abständen auf externe Datenträger zu sichern. Hierfür eignen sich zentrale File-Server im Netzwerk mit automatisierten Backup-Routinen. Unser Tipp: Testen Sie Ihr Backup regelmäßig auf Funktionsfähigkeit, damit Sie sicherstellen, dass Ihre Daten bei Bedarf auch wiederherstellbar sind. 2 Updates & Patches Update-Pflicht 13 TMG Updates & Patches tragen maßgeblich zur Verbesserung der IT-Sicherheit bei. Software-Updates sind Pflicht nach 13 TMG: Es ist bekannt, dass das Durchführen von Updates allgemein eher unbeliebt und zeitaufwändig ist. Es ist aber eine notwendige Maßnahme, um sich vor Hackerangriffen und Schad-Software zu schützen. Mit ständiger Weiterentwicklung von Hardware, Software und Anwendungen schleichen sich Fehler ein. Um diese Fehler zu beheben, veröffentlichen die Hersteller regelmäßig Updates und Patches zur Installation auf den IT-Systemen. Beachten Sie hierbei, die Installationsdatei aus vertrauenswürdigen Quellen zu beziehen und deren Integrität auch nach dem Download zu prüfen. Testen Sie Updates und Patches, bevor Sie diese jeweils (produktiv) in Ihrem IT-Systemen implementieren, um Konflikte mit anderen Programmen zu vermeiden. Sie haben eine eigene Webseite? Auch Content-Management-Systeme (z.b. WordPress) bringen regelmäßig neue Updates heraus. Sie als Webseiten-Betreiber sind dazu verpflichtet, personenbezogene Daten gegen Zugriffe von außen zu schützen. Anbieter von Webseiten sind verpflichtet, durch technische und organisatorische Vorkehrungen dafür zu sorgen, dass nicht unerlaubt auf personenbezogene Daten und technische Einrichtungen zugegriffen werden kann. 3 iwelt AG 7

8 10 Schritte zu mehr IT-Sicherheit 4 Sichere Passwörter Passwörter schützen Ihre Daten vor unbefugtem Zugriff. Ein ungeschütztes IT-System kann für Sie und Ihr Unternehmen erhebliche Folgen haben. Eine grundlegende Maßnahme der IT-Sicherheit ist somit das Verwenden von sicheren Passwörtern. Beachten Sie bei der Vergabe von Passwörtern die nachfolgenden Kriterien, um die Passwortstärke zu erhöhen: Mindestens 8 Zeichen Kombination aus Buchstaben, Ziffern und Sonderzeichen Groß- und Kleinbuchstaben Keine personenbezogenen Daten Keine einfachen Zeichenketten und Wörter Aktualisierung in regelmäßigen Abständen Kreative Passwörter durch Eselsbrücken Sich eine große Menge an Passwörtern zu merken, ist lästig. Verwenden Sie allerdings nie dasselbe Passwort bei mehreren Diensten. Denn ist erst einmal eine Anwendung kompromittiert, dann wären damit auch Ihre anderen Anwendungen mit demselben Passwort gefährdet. Unterstützung bieten hier sogenannte Passwort-Manager. Eine Reihe von empfehlens werten Passwort-Managern finden Sie im Testbericht von Stiftung Warentest unter: iwe.lt/passwort Unser Tipp: Verwenden Sie Eselsbrücken für ein gutes Passwort. Man denke sich zum Beispiel einen wenig sinnvollen Satz aus, nehme die Anfangsbuchstaben eines jeden Wortes (inkl. Groß- und Kleinschreibung) und verwende dies als Passwort. Zusätzlich baut man mindestens eine Zahl und ein Sonderzeichen mit ein. Hier ein Beispiel für ein solches Passwort. Zuerst ein frei erfundener Satz: Ich sitze vor meinem PC und denke mir ein Passwort aus Dies würde folgende Buchstabenfolge ergeben: IsvmPCudmePa Ersetzt man nun beispielsweise das ein durch eine 1 und fügt vor dem und ein (grammatikalisch falsches) Komma ein, könnte das fertige Passwort so aussehen: IsvmPC,udm1Pa Somit hat das Passwort immerhin 13 Zeichen, lässt sich durch den dahinterstehenden Satz einfach merken und kommt so in keinem Wörterbuch vor. 8 iwelt AG

9 10 Schritte zu mehr IT-Sicherheit 5 Benutzerrechte Least Privileges nur die Rechte, die notwendig sind. Benutzerrechte sind nach dem Grundsatz Least Privileges zu vergeben. Ihre Mitarbeiter erhalten jeweils nur die Rechte an den IT-Systemen, die zur Erfüllung ihrer Arbeit notwendig sind. Somit wird sichergestellt, dass die Schutzziele Vertraulichkeit und Integrität gewährleistet werden können. In den meisten IT-Systemen lässt sich mit sogenannten Benutzerrollen arbeiten. Hierbei können verschiedene Rollen mit unterschiedlichen Zugriffs- und Bearbeitungsrechten angelegt werden. Den Mitarbeitern werden dann keine einzelnen Rechte mehr zugewiesen sondern diese Benutzerrollen, was das Rechte-Management erheblich übersichtlicher gestaltet. Admin Redakteur Analyst iwelt AG 9

10 10 Schritte zu mehr IT-Sicherheit 6 Firewall Zum Schutz Ihres Unternehmens benutzten Sie eine Firewall! Als Firewall bezeichnet man ein Sicherungssystem, das zwischen lokalen und öffentlichen Netzwerken geschaltet wird, um den Zugriff auf Rechnern von außen durch unbefugte Dritte zu verhindern und somit interne Daten zu schützen. Es werden alle ungewollten und verdächtigen Verbindungen geblockt, sodass ein Angriff von außen nicht stattfinden kann. Eine sachgerecht konfigurierte Firewall ist für Ihr Unternehmen ein Grundelement Ihrer IT-Sicherheit. Nach Auswahl einer geeigneten Firewall ist eine sachgerechte Abstimmung mit dem gesamten Sicherheitssystem notwendig. Hierzu zählt eine sichere Verbindungs- und Zugriffstechnologie, eine ordnungsgemäße Benutzerverwaltung und proaktives Monitoring von sicherheitsrelevanten Ereignissen. Als Nebeneffekt haben Sie mit Ihrer Firewall die Möglichkeit, eine sogenannte Blacklist zu erstellen, um ausgewählte Webadressen zu sperren. Anti-Malware-Programme Anti-Malware-Programme dienen dem Schutz vor Schadsoftware auf den eigenen IT-Systemen. 7 Ein umfassender Viren-, Daten- und Identitätsschutz ist für Ihr Unternehmen zwingend erforderlich. Derzeit werden häufig sogenannte memory based attacks von Hackern durchgeführt. Dabei kommt Malware zum Einsatz, die ledigleich im Arbeitsspeicher (RAM) aktiv ist. Hierbei werden keine nachträglich auswertbaren Spuren auf den Datenträgern wie z.b. auf der Festplatte zurückgelassen. Als Schutz bieten sich Anti-Malware-Programme an, die vor einer Infizierung mit gefährlicher Schad-Software (Malware) wie z. B. Viren, Trojaner und Ransomware (Erpresser-Software) schützen. Ein Anti-Malware-Programm sollte auf allen Rechnern eingesetzt werden. Definition Malware: Als Schad-Programm, Schad-Software oder Malware bezeichnet man Computerprogramme, die entwickelt wurden, um unerwünschte und ggf. schädliche Funktionen auszuführen. 10 iwelt AG

11 10 Schritte zu mehr IT-Sicherheit 8 Sicherheitseinstellungen Sicherheitseinstellungen im Internet-Browser Die ideale Browsereinstellung für alle Mitarbeiter gibt es nicht. Eine Orientierung, welche Mindeststandards für eine sichere Nutzung notwendig sind, wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im April 2017 erarbeitet. Wir empfehlen Ihnen, einen Browser mit Sandboxing-Mechanismen wie z.b. Mozilla Firefox oder Google Chrome zu verwenden und den Phishing- und Malware-Schutz zu aktivieren. Eine Sandbox verhindert, dass Malware auf den Rechner zugreifen kann. Phishing Schutz Malware Schutz Weitere Infos finden Sie unter: iwe.lt/browser iwelt AG 11

12 10 Schritte zu mehr IT-Sicherheit 9 Verschlüsselung Für sensible Daten empfiehlt sich der Einsatz von Verschlüsselungstechnologien. Immer mehr Unternehmen nutzen Verschlüsselungstechnologien. Gerade für das Versenden von sensiblen s werden Verschlüsselungen eingesetzt. Mit Hilfe von Verschlüsselungstechnologien werden Daten in eine für Unbefugte nicht mehr lesbare Darstellung umgewandelt. Zur Verschlüsselung kommen digitale Schlüssel (Schlüsseldateien) in symmetrischen oder asymmetrischen Verschlüsselungsverfahren (Kryptographieverfahren) zum Einsatz. Es gibt spezielle Softwarelösungen zur Verschlüsselung einzelner sensibler Dateien, Verzeichnisse oder gleich ganzer Laufwerke. Eine SSL-Verschlüsselung ist Pflicht für Shops und Webseiten mit Kontaktformularen. SSL steht für Secure Sockets Layer und verschlüsselt die Kommunikation von Daten, die zwischen Computern transportiert werden. Externe Geräte Gefahr durch USB-Sticks Vorsicht beim Umgang mit externen Geräten Seit Jahren warnen IT-Sicherheitsexperten davor, nicht vertrauenswürdige mobile Datenträger (z.b. USB-Sticks) in private und vor allem auch Firmenrechner zu stecken. Die Datenträger in Miniformat sind zwar praktisch aber auch gefährlich für die IT-Sicherheit in Ihrem Unternehmen. Schadsoftware verschafft sich gerne über externe Speichermedien einen Weg in Ihr Unternehmensnetzwerk. Hierbei können Dateien unbefugt heruntergeladen und weitere Malware nach installiert werden. Darüber hinaus ist eine Infizierung weiterer Geräte möglich, die an den Computer angeschlossen sind oder werden. Cyberkriminelle nutzen USB-Sticks als vermeindliche Werbegeschenke. Sie werden auf Messen und Konferenzen verteilt oder sogar auf dem Firmenparkplatz bewusst verloren, sodass die Schadsoftware durch Ihre eigenen Mitarbeiter auf die Firmenrechner gelangt. Unterweisen Sie Ihre Mitarbeiter unbedingt, dass unbekannte Speichermedien und externe Geräte nicht einfach an den Arbeitsplatzrechner angeschlossen werden iwelt AG

13 Wie sicher ist Ihre IT? Machen Sie den Test!

14 Schnell-Check Schnell-Check zur IT-Sicherheit Welche Maßnahmen ergreifen Sie, um Ihre IT betriebsfähig zu halten? Sind Firewall und Anti-Malware-Programme zur Abwehr externer Angriffe mit regelmäßigen Aktualisierungen im Einsatz? Erfolgen Datensicherungen (Backups) auf externe Datenträger in angemessenen Zeitintervallen? Ist ein regelmäßiger Patchday bestimmt, an welchem normale Updates und Patches installiert werden? Werden sicherheitsrelevante Updates und Patches unverzüglich eingespielt? Ist der Phishing- und Malware-Schutz in den Internet-Browsern aktiviert? Wie gehen Ihre Mitarbeiter mit dem Thema IT-Sicherheit um? Werden Ihre Mitarbeiter regelmäßig auf IT-Sicherheits-Risiken geschult und sensibilisiert? Existieren festgelegte Regeln zum sicheren Umgang mit Passwörtern? Wird das Prinzip Least Privileges bei der Zuordnung von Benutzerrechten / Benutzerrollen angewendet? Wie findet die externe Kommunikation statt? Werden sensible Daten verschlüsselt übermittelt? Werden vertrauliche -Anhänge mit einem Passwort geschützt? Gibt es sicherheitstechnische Vorgaben zum Umgang mit externen Geräten / USB-Sticks? Bitte beachten Sie, dass die obige Checkliste lediglich eine Tendenz aber keine detaillierte Analyse zum Stand der IT-Sicherheit in Ihrem Unternehmen ist. Um die Situation in Ihrem Unternehmen einzuschätzen, empfehlen wir Ihnen eine fachliche Beratung. Haben Sie Fragen? Wir helfen gerne! 14 iwelt AG

15 Haben Sie Fragen? Wir helfen gerne! iwelt AG Mainparkring Eibelstadt Telefon iwelt.de info@iwelt.de

16 iwelt AG Mainparkring Eibelstadt Telefon iwelt.de info@iwelt.de