PC, Internet, E-Mail, Facebook, Dropbox, Smartphone, Tablet - So können Sie sich schützen Computeria Horgen, 30. April 2014 Andrea Carlo Mazzocco, CISA, CRISC IT-Beratung und Kontrolle
Inhalt 2 Einleitung PC-Sicherheit Gefahren und Sicherheit im Netz Mobile Sicherheit Zusammenfassung Best Practices Angebote Diskussion
Datenschutzbeauftragter 3 Aufsichts- und Beratungsstelle für Datenschutz und Informationssicherheit Unabhängig Wahl durch Kantonsrat Zuständig für alle öffentlichen Organe im Kanton Zürich
Aufgaben des DSB 4 Beratung und Unterstützung der öffentlichen Organe Beratung Private, Vermittlung Überwachung (Aufsicht, Kontrolle) Information, Sensibilisierung Beurteilung von Erlassen und Vorhaben (Vernehmlassungen, Vorabkontrollen) Aus- und Weiterbildung
Weitere DSB 5 Kommunale Datenschutzbeauftragte: Städte Zürich und Winterthur Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Privatpersonen Bundesorgane privatim (Vereinigung der Schweizerischen Datenschutzbeauftragten)
Datenschutz Recht auf Privatsphäre Recht auf informationelle Selbstbestimmung Recht auf Vertraulichkeit und Integrität Schutz vor Missbrauch Europ. Menschenrechtskonvention (EMRK) Bundesverfassung (BV)
Gesetzmässigkeit Verhältnismässigkeit Zweckbindung Erkennbarkeit Sicherheit Verantwortlichkeit Kontrolle Grundsätze des Datenschutzes 7 Rechtmässigkeit
Informationssicherheit ( 7 IDG) 8 Vertraulichkeit Verfügbarkeit Authentizität Schutz gegen unbefugtes Bearbeiten durch organisatorische und technische Massnahmen Nachvollziehbarkeit Integrität
Informationssicherheit 9 Vertraulichkeit Autorisierter, rechtmässiger Zugriff auf Daten Integrität Unveränderbarkeit der Daten Verfügbarkeit Vorhandensein der Daten bei Bedarf Authentizität Zurechenbarkeit der Datenbearbeitungen Nachvollziehbarkeit Erkennbarkeit von Veränderungen
Technologische Entwicklung 10 Host Computer Personal Computer Vernetzung Internet Web 1.0 Web 2.0 (Soziale Medien) Web x.y ( Wissen ) ( Internet der Dinge ) Ortung via Smartphone und Tablet Cloud Computing Big Data Internet der Dinge
«Randdaten» 11 Kommunikation IP-Adresse Nutzung Zeit, Dauer, Angebot Lokalisation Ort
Die zwei Datenschutz-Fragen 12 Sind meine persönlichen Daten geschützt? Bestimme ich selber darüber, wer welche Daten über mich bearbeitet? Bin ich sicher, dass meine Daten nicht von Unbefugten bearbeitet werden können?
Nur Chancen oder nur Risiken? 13 Neue Medien praktisch und einfach alles zugänglich? Neue Medien und Internet eine Ansammlung von Räubern, Betrügern und Aushorchern?
Was kann passieren? 14 kein Virenschutz keine Firewall keine Updates keine Backup keine Skepsis -> Verlust von Geld, Daten, Identität, Zeit
Welcher Verlust ist schmerzhaft? 15 Geld Daten Identität Zeit
Vorbeugen oder Heilen? 16 Vorbeugen Virenschutz Firewall Updates Sicherung (Backup) Sichere Passwörter Skepsis gegenüber besonderen Angeboten Heilen Entfernen von Malware Neues Aufsetzen der Geräte Neue IDs und Passwörter einrichten Wiederherstellen von Daten
PC und Internet Die 5 grössten Gefahren 17 Phishing nach Benutzerdaten Beeinträchtigung durch Spam Malware Beschaffung oder Zerstörung von Daten durch Viren oder Trojaner Erpressung durch Ransomware Fernsteuerung durch Botnetze Missbrauch des Zugriffs zum Mailkonto
Wie werde ich infiziert? 18 3 Wege: Mail-Anhang Mail-, Skype- oder Facebook-Link USB-Sticks, Smartphones
Trojanisches Pferd 19
Trojanisches Pferd 20 Unbemerkte Installation Zugriff auf alle Daten (Bilder, Briefe, Mails, Passwörter) Volle Kontrolle über den PC (Tastatur, Bildschirm, Webcam, Mikrofon, Online- Banking) Einfache Bedienung durch den Angreifer
Ransomware 21 erpresserische Schadsoftware neuste Varianten gemäss MELANI Sperrtrojaner Absender EJPD Cryptolocker Verschlüsselung aller Daten Schlüssel gegen Geld pro Opfer 1 Schlüssel Bezahlen? Neue Forderungen? Einziges Gegenmittel Offline Backup
Mail-Anhang 22
Wie kann ich mich schützen? 23 Virenschutz Updates (Windows, Java, Flash, PDF-Reader) Passwortschutz Backup separat aufbewahrt Vorsichtiges Arbeiten (E-Mail-Anhänge / Links)
Virenscanner: Keinen 100% Schutz 24 Virenschutz / Updates / Passwortschutz / Backup / Vorsichtiges Arbeiten
Update zeitnah durchführen 25 Insbesondere: Windows, Java, Flash, PDF-Reader Virenschutz / Updates / Passwortschutz / Backup / Vorsichtiges Arbeiten
Passwortschutz 26 Unterschiedliche Passwörter (z.b. Facebook / Mail) Nicht im Browser speichern 8 Zeichen lang (Sonderzeichen / Zahlen) www.passwortcheck.ch Virenschutz / Updates / Passwortschutz / Backup / Vorsichtiges Arbeiten
Schutz der Passwörter 27
Vorsichtiges Arbeiten 28 Öffnen Sie niemals Dateianhänge (EXE- Dateien, PDF-, Word- oder Excel-Dateien) an E-Mails von Absendern, die Ihnen unbekannt sind, oder Anhänge, die sie nicht erwarten Klicken Sie auf keine Links in E-Mails, dessen Absender Sie nicht vertrauen können. Gleiches gilt auch für Chat-Nachrichten Warnmeldungen beachten Virenschutz / Updates / Passwortschutz / Backup / Vorsichtiges Arbeiten
Praxistipps aus Merkblatt Selbstdatenschutz 29 Sicheres Speichern von Passwörtern (KeePass, LastPass etc.) Prüfung der Updates (Secunia Personal Software Inspector) Löschen temporärer Dateien (CCleaner etc.)
Sicher im Netz 30 Cloud Computing Soziale Netzwerke Geschäftsbeziehungen Online Banking Online Shops Online Auktionen
Cloud Computing 31 Auswahl der Cloud-Dienste Zugang zu den Diensten Datenspeicherung (Verschlüsselung) Backup und Notfallmassnahmen Standort des Dienste-Anbieters
Soziale Netzwerke 32 Offenlegung privater Informationen Phishing Identitätsdiebstahl Verbreitung von Schadsoftware Mobbing -> Einstellungen, Skepsis, Virenschutz
Alles I 33 Alles wird ausgewertet «Posts», «Like-Button», Beziehungen, Nachrichten... Alles wird verkauft Profile für Werbung... Alles auswertbar «So verdienen Facebook & Co. (viel) Geld»
Alles.. II 34 Alles öffentlich «Freunde von Freunden» usw. Alles ewig verfügbar «Löschen ist nicht wirklich möglich» Alles kann missbraucht werden «Cyber Mobbing» und Weiteres
Geschäftsbeziehungen 35 Problemfelder Passwörter, Pins, Zusatzgeräte, SMS mit Zugangscode Kreditkartenangaben AGBs der Geschäftspartner verschlüsselte Verbindung zum Shop und zur Kreditkartenfirma Gütesiegel für Shops Sehr gutes Angebot (Schnäppchen ) Wettbewerbe - Randdaten - Datenspuren
Praxistipps aus Merkblatt Selbstdatenschutz 36 Sicheres Arbeiten (Bankix, Privatix) Verschlüsselung der Daten (Boxcrypter, TrueCrypt)
Smartphone und Tablet I 37 1. Überlegen Sie sich vor dem Kauf, welche Sicherheitsanforderungen Sie an Ihr Gerät haben. 2. Nutzen Sie PIN, Gerätesperrcode sowie Zugangscode und halten Sie diese geheim. 3. Rufen Sie Ihnen unbekannte Mehrwertdienste- Rufnummern nicht sorglos zurück. 4. Aktivieren Sie WLAN und Bluetooth nur, wenn Sie diese benötigen. 5. Nutzen Sie öffentliche WLAN-Hotspots mit erhöhter Vorsicht.
Smartphone und Tablet II 38 6. Prüfen Sie, ob und welche Anwendung Sie orten darf. 7. Installieren Sie Apps nur aus vertrauenswürdigen Quellen. 8. Führen Sie regelmäßig Sicherheitsupdates durch. 9. Lassen Sie bei Verlust Ihres Handys die SIM- Karte von Ihrem Anbieter unverzüglich sperren. 10. Vor der Entsorgung Ihres Gerätes sollten Sie den Datenspeicher löschen und überschreiben, die SIM Karte entfernen und vernichten.
Ortung 39
Ortung 40 Technologie GPS, WLAN, Mobilfunk, Bluetooth, RFID, NFC etc. Anwendungen Orts- und Geschwindigkeitsangabe, Navigation, Standortbezogene Dienste, Personenüberwachung
Ortung 41 Betreiber Dritte Verwertung der Informationen Missbrauch (Cyber-Mobbing; Cyber-Stalking) Nutzerinnen und Nutzer «Ewige» Datenspur
Gesunde Skepsis 42 Verhalten an den Geräten Inhalte prüfen, im Zweifelsfall nachfragen Zurückhaltung bei der Bekanntgabe von Informationen Löschen von nicht notwenigen Informationen Datenschutzmassnahmen prüfen Gesunde Urteilkraft benützen
Fazit 43 Die Lage ist ernst mit entsprechenden Massnahmen aber nicht hoffnungslos You have zero privacy, get rid of it ist falsch Werfen Sie nicht die Flinte ins Korn und fordern Sie seriösen Umgang mit Ihren Daten Seien Sie mit Ihren Daten knausrig Cloud lieber in Europa oder lokal zuhause
«datenschutz.ch App» 44 im App Store oder Google Play («gratis»)
Dokumentation DSB ZH 45 Selbstdatenschutz Datenschutzfreundliche Software 7 goldene Regeln zur Smartphone-Sicherheit Checkliste Privacy Facebook Checkliste Privacy Firefox Checkliste Privacy Internet-Explorer Checkliste Web-Tracking verhindern Checkliste Löschung Cache Web-Suchmaschinen Patientendossier Meine Rechte
Links 46 www.bsi-fuer-buerger.de www.datenschutz.ch https://review.datenschutz.ch/passwortcheck/check.php https://www.buerger-cert.de http://www.cybercrime.admin.ch/kobik/de/home.html
47 So erreichen Sie den Datenschutz Adresse Datenschutzbeauftragter des Kantons Zürich Postfach, CH-8090 Zürich Telefon +41 (0) 43 259 39 99 8.30 bis 12.00 Uhr und 13.30 bis 17.00 Uhr Internet E-Mail www.datenschutz.ch mit verschlüsseltem Kontaktformular datenschutz@dsb.zh.ch Twitter twitter.com/dsb_zh