IT-Security. Quelle: https://www.bsi.bund.de/shareddocs/bilder/de/bsi/themen/grundschutzdeutsch/webkurs/pic1120_gif.gif%3f blob%3dnormal%26v%3d3

Ähnliche Dokumente

IT-Sicherheit. Quelle: blob%3dnormal%26v%3d3

MobiDM-App Handbuch für Windows Mobile

UM ALLE DATEN ZU KOPIEREN. ZUNÄCHST die Daten des alten Telefons auf einen Computer kopieren

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Titelbild1 ANSYS. Customer Portal LogIn

miditech 4merge 4-fach MIDI Merger mit :

BYOD Bring Your Own Device

ZENTRALER INFORMATIKDIENST DER JOHANNES KEPLER UNIVERSITÄT LINZ Abteilung Kundendienste und Dezentrale Systeme. PPP für Windows 3.

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Security of Pensions

Smartphone Benutzung. Sprache: Deutsch. Letzte Überarbeitung: 25. April

User_Authenticate_ & File Sharing Groups

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Bes 10 Für ios und Android

Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten. Click here if your download doesn"t start automatically

UM ALLE DATEN ZU KOPIEREN. ZUNÄCHST die Daten des alten Telefons auf einen Computer kopieren

IT-Forum Darmstadt 16. Mai 2008

ICON Switzerland 2015 Praxisbeispiel Connections an der Universität Zürich

Cnlab / CSI Herbsttagung 2014 WAS IST CLOUD UND WAS NICHT?

Wer bin ich - und wenn ja wie viele?: Eine philosophische Reise. Click here if your download doesn"t start automatically

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

QS solutions GmbH. präsentiert das Zusammenspiel von. Ihr Partner im Relationship Management

EEX Kundeninformation

SealPath Enterprise 2013

Englisch-Grundwortschatz

7/15/2014. Stratus everrun Enterprise. Ist die Audio Qualität OK? Fragen bitte per Chat, diese werden im Anschluss beantwortet.

Employment and Salary Verification in the Internet (PA-PA-US)

Im Fluss der Zeit: Gedanken beim Älterwerden (HERDER spektrum) (German Edition)

SharePoint 2010 Mobile Access

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Funktion der Mindestreserve im Bezug auf die Schlüsselzinssätze der EZB (German Edition)

EVANGELISCHES GESANGBUCH: AUSGABE FUR DIE EVANGELISCH-LUTHERISCHE LANDESKIRCHE SACHSEN. BLAU (GERMAN EDITION) FROM EVANGELISCHE VERLAGSAN

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

Daten haben wir reichlich! The unbelievable Machine Company 1

Privatverkauf von Immobilien - Erfolgreich ohne Makler (German Edition)

Level 2 German, 2016

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

WAS IST DER KOMPARATIV: = The comparative

Datenschutz und Systemsicherheit

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Harry gefangen in der Zeit Begleitmaterialien

PONS DIE DREI??? FRAGEZEICHEN, ARCTIC ADVENTURE: ENGLISCH LERNEN MIT JUSTUS, PETER UND BOB

Aus FanLiebe zu Tokio Hotel: von Fans fã¼r Fans und ihre Band

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Windows Server 2012 R2 Essentials & Hyper-V

SanStore: Kurzanleitung / SanStore: Quick reference guide

The world has changed: always on Marken erfordern neue, innovative Wege des Denken und Handeln um Konsumenten zu aktivieren und zu betreuen.

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

Symantec Mobile Computing

PONS DIE DREI??? FRAGEZEICHEN, ARCTIC ADVENTURE: ENGLISCH LERNEN MIT JUSTUS, PETER UND BOB

Handbuch der therapeutischen Seelsorge: Die Seelsorge-Praxis / Gesprächsführung in der Seelsorge (German Edition)

NVR Mobile Viewer for iphone/ipad/ipod Touch

Warum nehme ich nicht ab?: Die 100 größten Irrtümer über Essen, Schlanksein und Diäten - Der Bestseller jetzt neu!

EU nimmt neues Programm Mehr Sicherheit im Internet in Höhe von 55 Millionen für mehr Sicherheit für Kinder im Internet an

p^db=`oj===pìééçêíáåñçêã~íáçå=

Welcome Package Region Stuttgart

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Inequality Utilitarian and Capabilities Perspectives (and what they may imply for public health)

Sagen und Geschichten aus dem oberen Flöhatal im Erzgebirge: Pfaffroda - Neuhausen - Olbernhau - Seiffen (German Edition)

Der Schutz von Patientendaten

Duell auf offener Straße: Wenn sich Hunde an der Leine aggressiv verhalten (Cadmos Hundebuch) (German Edition)

wo werden die Daten besser geschützt?

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Die Bedeutung neurowissenschaftlicher Erkenntnisse für die Werbung (German Edition)

HOW TO. Celvin NAS Server So greifen Sie über das Internet auf Ihren Celvin NAS Server zu. DDNS und Portweiterleitung am Celvin NAS Server einrichten

Tuning des Weblogic /Oracle Fusion Middleware 11g. Jan-Peter Timmermann Principal Consultant PITSS

Listening Comprehension: Talking about language learning

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

job and career for women 2015

Cloud for Customer Learning Resources. Customer

kim.uni-hohenheim.de

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Der Begriff Cloud. Eine Spurensuche. Patric Hafner geops

Expertenumfrage: Mobile Applications

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Bedienungsanleitung User Manual

Was heißt Denken?: Vorlesung Wintersemester 1951/52. [Was bedeutet das alles?] (Reclams Universal-Bibliothek) (German Edition)

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Flow - der Weg zum Glück: Der Entdecker des Flow-Prinzips erklärt seine Lebensphilosophie (HERDER spektrum) (German Edition)

Unternehmen-IT sicher in der Public Cloud

Harry gefangen in der Zeit Begleitmaterialien

Preisliste für The Unscrambler X

Web-Apps mit jquery Mobile: Mobile Multiplattform-Entwicklung mit HTML5 und JavaScript (German Edition)

FACHKUNDE FüR KAUFLEUTE IM GESUNDHEITSWESEN FROM THIEME GEORG VERLAG

MDM meets MAM. Warum mobile Sicherheit nicht allein durch MDM-Systeme gewährleistet werden kann

BartPE. Dokumentation. Projektarbeit Network Services. Dozent: Wolf-Fritz Riekert. Belmondo Kovac. Autor: Andreas Dinkelacker, 3.

USB Treiber updaten unter Windows 7/Vista

Installation mit Lizenz-Server verbinden

Transkript:

Quelle: https://www.bsi.bund.de/shareddocs/bilder/de/bsi/themen/grundschutzdeutsch/webkurs/pic1120_gif.gif%3f blob%3dnormal%26v%3d3

Who am I? Carsten John system administrator, at the MPI since 2004 IT safety representative since 2010 focus: network, UNIX server, security

Agenda background harassments mobile data storage notebook encryption questions

background nowadays we heavily depend on the flawless function of the IT infrastructure laws and provisions we see more and more incidents happen

german law 2 Abs. 2 BSI-Gesetz(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten oder bei der Anwendung von informationstechnischen Systemen oder Komponenten. 9 BDSG mit Anlage Sicherheitsmaßnahmen für personenbezogene Daten...haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

german law 9 BDSG mit Anlage 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, (Weitergabekontrolle) Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Quelle: Heise Online

Source: http://news.yahoo.com/blogs/technology-blog/university-wisconsin-hacked-75-000-social-security-numbers-001755345.html

HARASSMENTS unintentional: intentional: - act of God - human error - organizational error - technical error - theft - fraud - extortion - espionage - sabotage

IT Security act of God

IT Security human error simple error

human error top 5 passwords(study 2011) password 123456 12345678 qwerty abc123 Quelle: http://mashable.com/2011/11/17/worst-internet-passwords/

Excursion secure passwords minimum of 8 characters combination of small and capital letters special characters ($%& \/)may cause problems (depends on application) example: zah0af7u don't use your MPI (TUX) password for foreign services

Excursion secure passwords Sources: http://betanews.com/2012/06/06/linkedin-hack-is-much-worse-than-you-think/ http://www.digitaljournal.com/article/328439 http://www.telegraph.co.uk/technology/internet-security/9318032/last.fm-warns-of-possible-password-theft.html

Excursion secure passwords how to remember my password? take a sentence easy to remember for you, eg: On my way to the MPI I'm always barked at by a dog replace some letters by numbers result: 0mwttM1abab1d

Excursion secure passwords software to store passwords KeePass Password Safe (http://keepass.info) stores password encrypted with AES on your Computer, Smartphone etc.(linux, Windows, Mac-OS, Android, Symbian, IOS, Blackberry) only as secure as the Master Password

Excursion secure passwords KeePass

IT Security human error negligence

human error gross negligence

1.) Die Konfiguration eines E-Mail Passwortes in einen Pop3-Sammeldienst stellt einen schwerwiegenden Verstoß gegen die Passwortregeln der MPG dar. Dies sehen übrigens viele andere Einrichtungen genauso (Ich sage das, um dem Argument vorzubeugen, nur bei der MPG sei das verboten). 2.) Die automatische Weiterleitung aller dienstlichen E-Mails an einen externen Dienstleister stellt einen Verstoß gegen datenschutzrechtliche Vorgaben (soweit es sich um personenbezogene Daten handelt) und gegen die allgemeinen arbeitsvertraglichen Verschwiegenheitspflichten (soweit es sich um interne Informationen der MPG handelt). Siehe auch: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/grundschutz/hilfsmittel/muster/gemeinsame-stellungnahme-akif-akdatenschutz.pdf Gerade bei amerikanischen Dienstleistern (oder europäischen Töchtern derselben) muss auch immer damit gerechnet werden, dass diese Daten an amerikanische staatliche Stellen weitergegeben werden. Sowohl Google als auch Microsoft haben dies in der Vergangenheit gemacht (und zugegeben). Quelle: Prof. Dr. Rainer W. Gerling, Datenschutz und IT-Sicherheitsbeauftragter der MPG

IT Sicherheit human error carelessness

carelessness nowadays everything is in the cloud that is, storing and processing data on unspecified servers in the internet

Cloud Quelle: Computerwoche

IT Security Telling consumers their data is in the cloud is like telling a kid his dog has gone to doggie heaven. There is no doggie heaven, and your data isn't in a cloud. It's in a windowless, fortress-like data center somewhere in the rural U.S. http://www.time.com/time/magazine/article/0,9171,2076711,00.html#ixzz1ex7eqpib

IT Security carelessness all these services have one common feature they are for free?!

IT Security carelessness cloud services the business model is based on collecting data, data mining, selling data think about it! you pay with your data, it's not really for free

social networks Quelle: http://www.blog.justhuman.de/2010/01/social-management/

social networks many users enter data carelessly into social networks a remarkable number of social network accounts are faked even third party relations are exhibited due to the carelessness of users

social networks Quelle: http://venturebeat.com/2013/01/16/facebook-graph-search-privacy/

social networks Source: http://www.thelocal.de/money/20120607-43001.html#.upfvwhvfflu Source: http://www.spiegel.de/international/germany/german-credit-agency-plans-to-analyze-individual-facebook-pages-a-837539-druck.html

social networks Quelle: http://www.zdnet.com/blog/facebook/chinese-spies-used-fake-facebook-profile-to-friend-nato-officials/10389

social networks Quelle:http://www.computerworld.com/s/article/9179507/Fake_i_femme_fatale_i_shows_social_network_risks

theft

theft problems loss of primary data without backup loss of individual-related data with legal issues damage to organizations public image monetary damage

fraud (419er, Nigeria Connection)

fraud (Phishing)

fraud

espionage in most cases it's the competitor it might be a foreign government depending on the origin, the expertise of the attacker varies theft of hardware is not uncommon to get access to data

sabotage ideological reasons Quelle: http://www.cbsnews.com/8301-501465_162-20024971-501465.html

sabotage extortion Source: http://www.dw.de/dw/article/0,,15155182,00.html

sabotage competitor Quelle: http://news.bbc.co.uk/2/hi/technology/6623673.stm

sabotage cyber war Quelle: http://www.computerworld.com/s/article/9196458/new_stuxnet_clues_suggest_sabotage_of_iran_s_uranium_enrichment_program

sabotage unhappy employee Quelle: http://blogs.sfweekly.com/thesnitch/2010/08/terry_childs_sentenced_hacker.php

sabotage just for fun (!?) Quelle: http://www.focus.de/politik/deutschland/computerwurm-das-war-wie-ein-kick_aid_200895.html

mobile storage devices

mobile storage devices highly exposed to: miss (theft, loss) espionage technical defect (do you have a backup?)

mobile storage devices loosing a mobile storage device usually causes trouble: perhaps, there is no backup unintentional data flow (espionage) legal issues (individual-related data) image loss

mobile storage devices image loss Quelle: http://news.techworld.com/security/110691/sensitive-data-found-on-ebay-hard-drives/

mobile storage devices image loss what about that headline:

IT-Sicherheit mobile storage devices notebooks are on high risk the digital scientific nomad of the 21st century carries it around all over the world full of valuable data everybody likes to have one easy to carry (...away) it's valuable (even without the data)

mobile storage devices VIP notebooks are on even higher risk devices are supposed to be more expensive devices contain individual-related data more attraction for Joe Average Thief E-mail addresses, reviews etc. devices contain valuable scientific data (the final draft of the next paper?)

mobile storage devices encryption is the only way to go ordinary theft is reduced to the material damage no image loss no unintended data flow the unintended installation of software (by third parties) is aggravated

mobile storage devices encryption of notebooks all MPI notebooks are to encrypted by default problem: some countries have banned encryption or force you to decrypt when entering the country

encryption there is no alternative to encryption of notebooks employees are demanded to check the local regulations before travelling if there are problems to expect, an unencrypted, freshly installed notebook will be provided by the IT staff

IT-Sicherheit?