Hessisches Ministerium für Wirtschaft, Verkehr und Landesentwicklung Sicherheit im Internet Hendrik Terstiege Hessen-IT c/o HA Hessen Agentur GmbH Seeheim-Jugenheim, 18.11.08
Säulen der Aktionslinie Hessen-IT 2 Electronic and Mobile Commerce Mobiles Arbeiten Telekommunikation Software-Markt Aktionslinie hessen-it Online-Markt Anwender
Agenda Warum IT-Sicherheit IT-Sicherheit wie geht das? IT-Sicherheitsstandards und Sicherheitsanbieter 3
Warum IT-Sicherheit IT-Sicherheit ist Bestandteil eines integrierten Sicherheitskonzeptes, zu dem zum Beispiel auch gehören: Gebäude- und Zugangssicherheit Personalsicherheit Datenschutz und -sicherheit Vertrags- und Finanzierungssicherheit Prozesssicherheit Die Grundanforderungen der IT-Sicherheit: Vertraulichkeit Integrität Verfügbarkeit 4
Warum IT-Sicherheit Übersicht über Gefahren: z.b. Viren Trojaner SPAM Offenes WLAN Denial-of-Service- (DoS) oder Distributed-Denial-of-Service-Angriffe Skript Kiddies, Hacker Spyware, Keylogger, Phishing (Missbrach personalisierter Dienste und Identitätsmissbrauch) Defacement Dialer Größte Gefahrenquelle: der Mitarbeiter (i.d.r. unbewusst) Regel: Risiko = Bedrohungswahrscheinlichkeit x Folgekosten z.b. Verlust von Kundendaten ( Desaster Recovery ) 5
Warum IT-Sicherheit Verhindern von Schäden z.b.: Verpasste Geschäfte Imagesschaden Juristische Konsequenzen Verlust von sensiblen Geschäfts-/Kundendaten Produktionsausfall Schadensersatz Hoher Zeitaufwand bei Wiederherstellung Wirtschaftsspionage 6
Beispiel (Unachtsamkeit) In Londoner Taxen wurden 2005 innerhalb von sechs Monaten 11.300 Notebooks 31.400 Handhelds 200.000 Mobiltelefone vergessen. Die Zahl der verlorenen USB-Sticks ist nicht zu beziffern. 7
Beispiel (Diebstahl Kundendaten) 8
Beispiel (Defacement) 9
Agenda Warum IT-Sicherheit IT-Sicherheit wie geht das? IT-Sicherheitsstandards und Sicherheitsanbieter in Hessen 10
IT-Sicherheit wie geht das? Wie kann man sich schützen ein Überblick: IT-Sicherheitsstrategie aufstellen (vergleiche Grundschutzhandbuch unter www.bsi.de) Firewall / Intrusion Detection System installieren Antivirensoftware verwenden (mit ständigem Update) Software-Aktualisierungen einspielen für Betriebssystem und Webserver-Software Sichere Passwörter wählen Auf Sicherheit mobiler Endgeräte und Datenträger achten Sensibler Umgang mit E-Mail(-Anhängen) und mit dem Internet allgemein Regelmäßige Sicherung wichtiger Daten Datenvernichtung Mitarbeiter aufklären und schulen Sicherheitswarnungen der Software beachten Aufmerksam sein! 11
IT-Sicherheit wie geht das? Sicherer Umgang mit dem Medium Internet Nur auf Seiten surfen, die vertrauenswürdig erscheinen Vorsicht bei Downloads im Hintergrund Bei Übermittlung von wichtigen Daten (bspw. Banktransaktionen) auf Verschlüsselung (SSL) achten (erkennbar am s, z.b. https:// statt http://) Keine E-Mails von unbekannten / dubiosen Absendern öffnen Auf Schreibweise der Absenderadresse bei E-Mails achten Keine Passwörter, Kontendaten oder ähnliches (ungeschützt) übermitteln Sichere Browser verwenden 12
IT-Sicherheit wie geht das? Vermeidung von Spam Den Empfang potentieller Spam-Mails nicht bestätigen - E-Mail nicht öffnen - keine Links betätigen - nicht antworten - keine Anhänge öffnen (ausführbare Dateien wie.exe.,.bat)! Eigene E-Mail-Adresse nicht überall verteilen: - alternativer E-Mail-Account für Gewinnspiele etc. - keine textliche Darstellung der E-Mail-Adresse auf der Website Filtern: - Filtern am Mail-Gateway des Providers (vor dem eigenen Mailserver) Beschwerden / Warnen - an Hotlines - durch Nachricht an den Provider 13
IT-Sicherheit wie geht das? Wie gestalte ich sichere Passwörter? Keine Eigennamen, Geburtstage, etc. Wähle das Passwort kryptisch mit Sonderzeichen usw. Beispiel: A21.AfinS! Merke: Am 21. August fahre ich nach Spanien! Ändern Sie Ihre Passwörter regelmäßig Bewahren Sie Ihr Passwort an einem sicheren Ort auf (ähnliche wie PIN) 14
IT-Sicherheit wie geht das? Wie man es nicht machen sollte: 15
IT-Sicherheit wie geht das? Sicherheit bei mobilen Endgeräten und Datenträgern (z.b. Notebooks, PDAs, Smartphones, Wechselfestplatten, USB-Sticks): Der Finder oder Dieb kann Zugriff auf die enthaltenen Daten nehmen und damit evtl. mit den vorhandenen Daten Missbrauch treiben (bspw. Identität des rechtmäßigen Besitzers annehmen) Die meisten Fehler: - Unzureichender Zugangsschutz - Fehlende Verschlüsselung von sensiblen Daten auf den Medien - Fehlende Verschlüsselung bei der Kommunikation 16
IT-Sicherheit wie geht das? Firewall und Intrusion Detection System (Software- und Hardwarekomponenten), das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, bspw. um den Datenverkehr zwischen lokalem Netzwerk (LAN) und dem Internet zu kontrollieren (und zwar abgehende und eingehende Daten). Mit einem Intrusion Detection System (IDS) können Angriffe auf einen Computer oder Computernetz erkennt werden. IDS ergänzen die Firewall. Anti-Viren-Software Anti-Viren-Programme enthalten eine Datenbank mit Virenmuster Der Virenscanner überprüft dann (regelmäßig) Datenträger, Systembereiche, E-Mails oder neu aufgespielte Daten auf diese Virenmuster und zeigt verdächtige Dateien an bzw. versuchen die Viren zu entfernen. Wichtig ist die Datenbank mit den Viren-Mustern aktuell zu halten (am besten durch automatisches Update) 17
IT-Sicherheit Wie geht das? Datensicherung Datensicherung möglich bspw. durch: - Bänder - CD-ROM oder DVD - USB- oder Memory-Sticks - Mobile Festplatte Regeln für die Datensicherung (Backup): - Datensicherung regelmäßig durchführen, z.b. automatisch nachts (evtl. inkrementell) - Datenträger mit den gesicherten Daten örtlich entfernt von der Datenquelle aufbewahren Vorsicht bei Datenvernichtung: - Hardware (z.b. Festplatten), aber auch Ausdrucke unleserlich machen 18
IT-Sicherheit Wie geht das? Checkliste: Vollständigkeit der Sicherheitseinstellungen beachten ( schwächstes Glied ) Einstellungen nur vom Administrator Zuständigkeiten / Verantwortlichkeiten vorab klären Ausbildung der Mitarbeiter (Sensibilisierung) Aufklärung über Sicherheitsmaßnahmen (v.a. der Kunden) Verschlüsselung (z.b. Online-Zahlung) Standardsicherung der Software als Grundlage Datensicherung auf externen Geräten Notfallplan erstellen (strukturiertes Vorgehen im Notfall) 19
IT-Sicherheit Wie geht das? Es gibt nicht den allumfassenden Schutz! Ein Mindestgrundschutz ist Pflicht (z.b. Firewall, Datensicherung). Aber individuelle Systeme bedürfen individueller Einstellungen. IT-Sicherheit ist Chefsache, gerade bei kleinen Unternehmen! 20
Agenda Warum IT-Sicherheit IT-Sicherheit wie geht das? IT-Sicherheitsstandards und Sicherheitsanbieter in Hessen 21
Sicherheitsanbieter in Hessen Datenbank von Hessen-IT: 150 bundesweite IT-Sicherheits-Anbieter, davon haben ca. 70 ihren Sitz in Hessen Leitfaden IT-Sicherheit für den Mittelstand Leitfaden Anti-Spam Sicher ins Netz - Die IT-Sicherheits-CD der multimedia-initiative Hessen Expertengruppe IT-Sicherheit im Arbeitskreis Forum Hessen-IT 22
Nichtkommerzielle Organisationen / Verbände BSI Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.de BITKOM http://www.bitkom.org eco Verband der deutschen Internetwirtschaft e.v. http://www.eco.de Nationale Initiative für Internet-Sicherheit (NIFIS e.v.) http://www.nifis.de ASW - Arbeitsgemeinschaft für Sicherheit der Wirtschaft http://www.aswonline.de Teletrust Deutschland e.v. http://www.teletrust.de Darmstädter Zentrums für IT-Sicherheit (DZI) http://www.dzi.tudarmstadt.de Fraunhofer Institut für Sichere Informationstechnologie http://sit.fraunhofer.de CAST-Forum http://www.castforum.de Fachbereich Mathematik / Informatik der Universität Kassel http://www.mathematik.uni-kassel.de Stiftungsprofessur für mcommerce an der Johann-Wolfgang-Goethe- Universität Frankfurt http://www.m-lehrstuhl.de Hochschule Fulda http://www.fh-fulda.de 23
Veröffentlichungen von Hessen-IT Gefunden werden im Internet Leitfaden E-Shop E-Paymentsysteme E-Shops in Hessen Leitfaden E-Shop-Software Leitfaden Digitale Signatur Recht im Internet Wettbewerbsvorteile durch barrierefreie Internetauftritte ASP-Anbieter Wireless-LAN Domainregistrierung international Leitfaden zur Patentierung computerimplementierter Erfindungen Softwareanbieter in Hessen TK-Anbieter in Hessen Basel II Rating für IT-Unternehmen Internet-Marketing nicht nur für KMU Anti-SPAM RFID VoIP Telefonieren über das Internet Web 2.0 Die Gamesbranche IKT-Markt in Hessen Online-Anbieter in Hessen Leitfaden Webdesign E-Business-Konzepte für den Mittelstand Auf dem Weg zu E-Government Wirtschaftsförderung und Standortmarketing im Internet Management von Kundenbeziehungen im Internet IT-Sicherheit hessen-infoline-netzwerk E-Logistik für den Mittelstand 24
Kontakt Vielen Dank für Ihre Aufmerksamkeit! Hessen-IT c/o HA Hessen Agentur GmbH Abraham-Lincoln-Str. 38-42 65189 Wiesbaden Tel.: 0611-774-8423 Fax: 0611-774-8620 info@hessen-it.de www.hessen-it.de 25