Quelle: https://www.bsi.bund.de/shareddocs/bilder/de/bsi/themen/grundschutzdeutsch/webkurs/pic1120_gif.gif%3f blob%3dnormal%26v%3d3
Who am I? Carsten John system administrator, at the MPI since 2004 IT safety representative since 2010 focus: network, UNIX server, security
Agenda background harassments mobile data storage notebook encryption questions
background nowadays we heavily depend on the flawless function of the IT infrastructure laws and provisions we see more and more incidents happen
german law 2 Abs. 2 BSI-Gesetz(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten oder bei der Anwendung von informationstechnischen Systemen oder Komponenten. 9 BDSG mit Anlage Sicherheitsmaßnahmen für personenbezogene Daten...haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.
german law 9 BDSG mit Anlage 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, (Weitergabekontrolle) Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
Quelle: Heise Online
Source: http://news.yahoo.com/blogs/technology-blog/university-wisconsin-hacked-75-000-social-security-numbers-001755345.html
HARASSMENTS unintentional: intentional: - act of God - human error - organizational error - technical error - theft - fraud - extortion - espionage - sabotage
IT Security act of God
IT Security human error simple error
human error top 5 passwords(study 2011) password 123456 12345678 qwerty abc123 Quelle: http://mashable.com/2011/11/17/worst-internet-passwords/
Excursion secure passwords minimum of 8 characters combination of small and capital letters special characters ($%& \/)may cause problems (depends on application) example: zah0af7u don't use your MPI (TUX) password for foreign services
Excursion secure passwords Sources: http://betanews.com/2012/06/06/linkedin-hack-is-much-worse-than-you-think/ http://www.digitaljournal.com/article/328439 http://www.telegraph.co.uk/technology/internet-security/9318032/last.fm-warns-of-possible-password-theft.html
Excursion secure passwords how to remember my password? take a sentence easy to remember for you, eg: On my way to the MPI I'm always barked at by a dog replace some letters by numbers result: 0mwttM1abab1d
Excursion secure passwords software to store passwords KeePass Password Safe (http://keepass.info) stores password encrypted with AES on your Computer, Smartphone etc.(linux, Windows, Mac-OS, Android, Symbian, IOS, Blackberry) only as secure as the Master Password
Excursion secure passwords KeePass
IT Security human error negligence
human error gross negligence
1.) Die Konfiguration eines E-Mail Passwortes in einen Pop3-Sammeldienst stellt einen schwerwiegenden Verstoß gegen die Passwortregeln der MPG dar. Dies sehen übrigens viele andere Einrichtungen genauso (Ich sage das, um dem Argument vorzubeugen, nur bei der MPG sei das verboten). 2.) Die automatische Weiterleitung aller dienstlichen E-Mails an einen externen Dienstleister stellt einen Verstoß gegen datenschutzrechtliche Vorgaben (soweit es sich um personenbezogene Daten handelt) und gegen die allgemeinen arbeitsvertraglichen Verschwiegenheitspflichten (soweit es sich um interne Informationen der MPG handelt). Siehe auch: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/grundschutz/hilfsmittel/muster/gemeinsame-stellungnahme-akif-akdatenschutz.pdf Gerade bei amerikanischen Dienstleistern (oder europäischen Töchtern derselben) muss auch immer damit gerechnet werden, dass diese Daten an amerikanische staatliche Stellen weitergegeben werden. Sowohl Google als auch Microsoft haben dies in der Vergangenheit gemacht (und zugegeben). Quelle: Prof. Dr. Rainer W. Gerling, Datenschutz und IT-Sicherheitsbeauftragter der MPG
IT Sicherheit human error carelessness
carelessness nowadays everything is in the cloud that is, storing and processing data on unspecified servers in the internet
Cloud Quelle: Computerwoche
IT Security Telling consumers their data is in the cloud is like telling a kid his dog has gone to doggie heaven. There is no doggie heaven, and your data isn't in a cloud. It's in a windowless, fortress-like data center somewhere in the rural U.S. http://www.time.com/time/magazine/article/0,9171,2076711,00.html#ixzz1ex7eqpib
IT Security carelessness all these services have one common feature they are for free?!
IT Security carelessness cloud services the business model is based on collecting data, data mining, selling data think about it! you pay with your data, it's not really for free
social networks Quelle: http://www.blog.justhuman.de/2010/01/social-management/
social networks many users enter data carelessly into social networks a remarkable number of social network accounts are faked even third party relations are exhibited due to the carelessness of users
social networks Quelle: http://venturebeat.com/2013/01/16/facebook-graph-search-privacy/
social networks Source: http://www.thelocal.de/money/20120607-43001.html#.upfvwhvfflu Source: http://www.spiegel.de/international/germany/german-credit-agency-plans-to-analyze-individual-facebook-pages-a-837539-druck.html
social networks Quelle: http://www.zdnet.com/blog/facebook/chinese-spies-used-fake-facebook-profile-to-friend-nato-officials/10389
social networks Quelle:http://www.computerworld.com/s/article/9179507/Fake_i_femme_fatale_i_shows_social_network_risks
theft
theft problems loss of primary data without backup loss of individual-related data with legal issues damage to organizations public image monetary damage
fraud (419er, Nigeria Connection)
fraud (Phishing)
fraud
espionage in most cases it's the competitor it might be a foreign government depending on the origin, the expertise of the attacker varies theft of hardware is not uncommon to get access to data
sabotage ideological reasons Quelle: http://www.cbsnews.com/8301-501465_162-20024971-501465.html
sabotage extortion Source: http://www.dw.de/dw/article/0,,15155182,00.html
sabotage competitor Quelle: http://news.bbc.co.uk/2/hi/technology/6623673.stm
sabotage cyber war Quelle: http://www.computerworld.com/s/article/9196458/new_stuxnet_clues_suggest_sabotage_of_iran_s_uranium_enrichment_program
sabotage unhappy employee Quelle: http://blogs.sfweekly.com/thesnitch/2010/08/terry_childs_sentenced_hacker.php
sabotage just for fun (!?) Quelle: http://www.focus.de/politik/deutschland/computerwurm-das-war-wie-ein-kick_aid_200895.html
mobile storage devices
mobile storage devices highly exposed to: miss (theft, loss) espionage technical defect (do you have a backup?)
mobile storage devices loosing a mobile storage device usually causes trouble: perhaps, there is no backup unintentional data flow (espionage) legal issues (individual-related data) image loss
mobile storage devices image loss Quelle: http://news.techworld.com/security/110691/sensitive-data-found-on-ebay-hard-drives/
mobile storage devices image loss what about that headline:
IT-Sicherheit mobile storage devices notebooks are on high risk the digital scientific nomad of the 21st century carries it around all over the world full of valuable data everybody likes to have one easy to carry (...away) it's valuable (even without the data)
mobile storage devices VIP notebooks are on even higher risk devices are supposed to be more expensive devices contain individual-related data more attraction for Joe Average Thief E-mail addresses, reviews etc. devices contain valuable scientific data (the final draft of the next paper?)
mobile storage devices encryption is the only way to go ordinary theft is reduced to the material damage no image loss no unintended data flow the unintended installation of software (by third parties) is aggravated
mobile storage devices encryption of notebooks all MPI notebooks are to encrypted by default problem: some countries have banned encryption or force you to decrypt when entering the country
encryption there is no alternative to encryption of notebooks employees are demanded to check the local regulations before travelling if there are problems to expect, an unencrypted, freshly installed notebook will be provided by the IT staff
IT-Sicherheit?