Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln Dr. Andreas Gabriel Ethon GmbH 29.04.2015 Konsortium: KURZE VORSTELLUNG 29.04.2015 Sicherheit im Internet 2 1
Über die Ethon GmbH Über die Ethon GmbH 2003: Gründung Ethon Technologies GmbH als IT- Dienstleister mit Schwerpunkt Automobilindustrie Bald erste IT-Sicherheits- und Voice over IP-Projekte 2009: Ausgliederung des Sicherheits- und VoIP- Geschäftes in die Ethon GmbH Struktur Größe Standorte Eigentümergeführte Gesellschaft Derzeit ca. 45 Mitarbeiter Ulm, München, Wolfsburg und Chernihiv 29.04.2015 Sicherheit im Internet 3 Unser Profil Informationssicherheit Sicherheitsaudits u. a. nach ISO 27001, Erstellung von Sicherheits-Konzepten, Auditvorbereitung, IT-Forensik Über die Ethon GmbH VoIP & Crypto etasuite: Sichere (mobile) Sprachkommunikation, ZRTP- Verschlüsselung, Client- und Serverprodukte 29.04.2015 Sicherheit im Internet 4 2
Über den Referenten Was Sie über mich wissen sollten Dr. Andreas Gabriel Ausbildung BWL-Studium und an der Universität Würzburg Promotion Im Bereich der Informationssicherheit Seit 2006 Certified Lead Auditor ISO/IEC 27001 Seit 2008 Selbstverteidigungs- und Selbstbehauptungstrainer Seit 2009 Betrieblicher Datenschutzbeauftragter Seit 2012 Leiter des Geschäftsbereichs Informationssicherheit bei der Ethon GmbH, Ulm 29.04.2015 Sicherheit im Internet 5 DIE BASIS IST VERTRAUEN! 29.04.2015 Sicherheit im Internet 6 3
Ergebnisse ecommerce 1/3 Umsatz B2C in Deutschland 2015: 43 Mrd. Umsatz B2C in Deutschland 1999: 1,3 Mrd. Umsatz B2C weltweit 2015: ca. 1.592 Mrd. Umsatz B2C weltweit 2018: ca. 2.489 Mrd. Umsatz ausgewählter Online-Shops Amazon D: 11,9 Mrd. $; +1,5 Mrd. $ Zalando D: 1,7 Mrd. ebay D: Umsatz 4,3 Mrd. $; Gewinn: 673 Mio. Quelle: www.statistica.com; Webseiten der Anbieter 29.04.2015 Sicherheit im Internet 7 Ergebnisse ecommerce 2/3 29.04.2015 Sicherheit im Internet 8 4
Ergebnisse ecommerce 3/3 29.04.2015 Sicherheit im Internet 9 BASISSICHERHEIT IN IHREM (FIRMEN-) NETZWERK 29.04.2015 Sicherheit im Internet 10 5
Organisatorische Maßnahmen Übersicht Sicherheitsrichtlinie Datenklassifikation zzgl. Vorgaben für den Austausch von Daten Umfassende Datenträgerverwaltung Prozess Umgang mit Sicherheitsvorfällen (Incident Management) Interne Vorgabe Umgang mit mobilen Datenträgern (Richtlinie, Verordnung ) Überprüfung der Einhaltung z. B. durch interne Sicherheits-Audits (Nachweis führen!) Schulung/Sensibilisierung ALLER Anwender 29.04.2015 Sicherheit im Internet 11 Sicherheitsrichtlinie 1. Allgemeine Vorgaben 2. Nutzung der firmeneigenen IT-Infrastruktur 3. Passwortvorgaben (User, Administratoren, System-Accounts) 4. Erweiterung für Laptop-Nutzer 5. Erweiterung SmartPhones 6. Erweiterung Tablet-PCs 7. Erweiterung für das Arbeiten im Home-Office 8. Umgang mit dem eigenen WLAN 9. Umgang mit firmenfremden W-LANs 10. Sicherstellung der Urheberrechte 11. Meldung von Sicherheitsvorfällen 29.04.2015 Sicherheit im Internet 12 6
Datenklassifikation Datenart Streng vertraulich Vertraulich Intern Offen Personaldaten Geschäftsbriefe Etc. X Datenart Streng vertraulich Vertraulich Intern Offen Brief Nach Freigabe Nach Freigabe Nach Freigabe E-Mail Nach Freigabe Nach Freigabe FTP X Nach Freigabe Etc. Datenart Streng vertraulich Vertraulich Intern Offen File-Server (Abteilungslaufwerk) Laptop (unverschlüsselt) Nach Freigabe Nach Freigabe Etc. 29.04.2015 Sicherheit im Internet 13 Informationssicherheit technische Maßnahmen 29.04.2015 Sicherheit im Internet 14 7
BYOD Welche Abkürzung ist denn nun die Richtige? 29.04.2015 Sicherheit im Internet 15 Definition von BITKOM Unter dem Namen»Bring Your Own Device«versteht dieser Leitfaden ein Unternehmensprogramm zum Einsatz spezieller IT, wenn: Das genutzte Gerät dem Mitarbeiter gehört (Eigentum des Mitarbeiters ist). Das Gerät Zugriff auf IT-Ressourcen des Unternehmens erhält ( ) S. 5 Quelle: http://www.bitkom.org/files/documents/20130404_lf_byod_2013_v2.pdf 29.04.2015 Sicherheit im Internet 16 8
BYOD Betriebsvereinbarung (Auswahl) Verweis auf die bestehende Sicherheitsrichtlinie(n) Sicherstellung der Basissicherheit (Virenscanner etc.) Vorgabe: Wer darf BYOD umsetzen? (Abteilungslevel) Kostenverteilung (Arbeitgeber-Arbeitnehmer) Trennung zwischen privaten und gewerblichen Daten Vorgaben bezüglich des Umgangs mit personenbezogenen Daten Prozessbeschreibung für Wartung, Administration Zugriff durch die betriebseigene IT-Abteilung Auditrecht des Arbeitgebers Vorgabe/Freigabe ausgewählter Protokollierungen durch den Arbeitgeber (Vorsicht: Die Auswertung muss geregelt sein; Vorabkontrolle DSB; Betriebsrat) Nutzung von Apps (Freigabe, Verbote, Auswahlkriterien, Quellen) Incident Management (Vorgaben bei Störfällen); Notfallplan Nutzung durch firmenfremde Personen (Dritte) Lizensierung der installierten Software Quelle: http://blog-it-recht.de/2013/07/24/regelung-des-bring-your-own-device-byod-durch-richtlinien-im-unternehmen-das-muss-rein 29.04.2015 Sicherheit im Internet 17 CLOUD-COMPUTING 29.04.2015 Sicherheit im Internet 18 9
Was ist Cloud Computing? IaaS Infrastructure as a Service PaaS Platform as a Service SaaS Software as a Service EaaS (XaaS) Everything as a Service DICaaS Data Intensive Computing as a Service HPCaaS High Performance Computing as a Service HuaaS Human as a Service 29.04.2015 Sicherheit im Internet 19 Verschiedene Arten der Cloud-Nutzung Public Cloud Dienste für Jedermann öffentliche Cloud Abspaltung der Public Cloud für eine definierte Personengruppe Community Cloud Cloud Computing Private Cloud Ausschließlich interne Nutzung der Dienste aus der Wolke Ausgewählte User haben Zugriff auf Dienste der Private- und Public-Cloud Hybrid Cloud 29.04.2015 Sicherheit im Internet 20 10
Ein interessantes Nachschlagewerk Rahmenbedingungen: 83 Seiten 17 Gliederungspunkte Veröffentlicht durch das BSI im Jahr 2011 (Bundesamt für Sicherheit in der Informationstechnik) 29.04.2015 Sicherheit im Internet 21 Warnungen der enisa Kontrollverlust Der Dienstleister muss Informationssicherheit beherrschen, denn der Kunde (Sie) haben die Prozesse nicht mehr in der eigenen Hand. Lock-in Die Bindung an den Dienstleister kann zur Abhängigkeit werden. Es muss vertragliche Ausstiegsszenarien geben. Administrative Zugänge Die Vergabe privilegierter Zugänge an ausgewählte Kunden (Dritte) kann auch Schwachstellen für Sie generieren. Mangelhafte Abschottung Sie teilen sich Ressourcen mit Dritten. Dies muss umfassend sicher und ebenso nachhaltig betrieben werden. Quelle: http://www.enisa.europa.eu; D. Lissfeld, Deutsche Telekom AG Compliance Kann der Cloud-Dienstleister eine (rechts-) sichere Abwicklung garantieren?! (Datenschutz!) Unvollständige Datenlöschung Eine Datenlöschung kann vom Kunden jederzeit gefordert werden. Wird dieser Forderung auch beim Dienstleister nachgekommen?! Bedrohung Innentäter Die Rollenverteilung innerhalb eines Unternehmens muss gerade für den Cloud-Bereich eindeutig geregelt werden. Nicht nur ein erhöhter Schulungsbedarf ist in diesem Zusammenhang immanent. 29.04.2015 Sicherheit im Internet 22 11
Ein weiteres Nachschlagewerk, das ich Ihnen empfehlen kann Titel: Cloud Computing Risk Assessment Link: http://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloudcomputing-risk-assessment 29.04.2015 Sicherheit im Internet 23 Fazit Cloud-Computing Die Anwendung von Diensten aus dem Bereich Cloud-Computing ermöglicht die Fokussierung auf das eigene Kerngeschäft Bei der Nutzung von Cloud-Diensten handelt es sich im Grunde genommen um Outsourcing Um die Nutzung sicher zu gestalten, sind umfassende Vorgaben hinsichtlich angemessener technischer Schutzmaßnahmen, einer angemessenen organisatorischen Abwicklung, der vollständigen Umsetzung der Vorgaben des BDSG und einer einwandfreien juristischen Absprache zwischen den Beteiligten zu treffen. 29.04.2015 Sicherheit im Internet 24 12
SICHERHEIT AUF DER CLIENT-SEITE 29.04.2015 Sicherheit im Internet 25 E-Mail: Nachladen von Bildern 29.04.2015 Sicherheit im Internet 26 13
BROWSER-EINSTELLUNGEN 29.04.2015 Sicherheit im Internet 27 Beispiel: Tools für das Sichere Surfen 1/2 29.04.2015 Sicherheit im Internet 28 14
Tools für das Sichere Surfen 2/2 Quelle: https://www.deutsche-bank.de/index.htm 29.04.2015 Sicherheit im Internet 29 SICHERHEIT AUF DER SERVER-SEITE 29.04.2015 Sicherheit im Internet 30 15
Monitoring Ihrer Online-Präsenz 29.04.2015 Sicherheit im Internet 31 Entscheidungsbaum Penetrationstest Quelle: Visukom Deutschland GmbH 29.04.2015 Sicherheit im Internet 32 16
Wie vermeiden Sie Schwarze Schafe? Quelle: blog.pooliestudios.com 29.04.2015 Sicherheit im Internet 33 Umgang mit dem Gefällt mir Button Die Homepage Ihrer Firma Welche personenbezogenen Daten werden an Facebook übertragen? Ihr Kunde 29.04.2015 Sicherheit im Internet Haben Sie bzw. brauchen Sie für diese Datenübertragung die Zustimmung Ihrer Kunden? 34 17
ORTUNG NUTZEN ODER PROBLEM MIT DEM BDSG? 29.04.2015 Sicherheit im Internet 35 Zu was sind Ortungsdienste nützlich? Quelle: www.espresso-verlag.de 29.04.2015 Sicherheit im Internet 36 18
Ortungsdienste Was ist das?! 29.04.2015 Sicherheit im Internet 37 Ortung durch Freunde und Bekannte Quelle: http://www.facebook.com 29.04.2015 Sicherheit im Internet 38 19
Folgen von Ortung und Transparenz?! Quelle: http://pleaserobme.com 29.04.2015 Sicherheit im Internet 39 DATENAUSTAUSCH CLIENT-SERVER 29.04.2015 Sicherheit im Internet 40 20
Sicherer E-Commerce durch Zertifikate?! Quelle: https://www.deutsche-bank.de/index.htm 29.04.2015 Sicherheit im Internet 41 SSL V3 oder TLS 1.2? Quelle: https://www.deutsche-bank.de/index.htm 29.04.2015 Sicherheit im Internet 42 21
Probleme mit der sicheren Verschlüsselung Die Bedrohung: Poodle Padding Oracle On Downgraded Legacy Encryption Quelle: http://www.heise.de/newsticker/meldung/so-wehren-sie-poodle-angriffe-ab- 2424327.html?view=zoom;zoom=2 Bildquellen: http://www.golem.de/news/verschluesselung-poodle-gefaehrdet-verbindungen-mit-altem-ssl-1410-109849.html http://www.heise.de/newsticker/meldung/so-wehren-sie-poodle-angriffe-ab-2424327.html 29.04.2015 Sicherheit im Internet 43 Welche Technologien lassen Sie zu? Quelle: https://www.deutsche-bank.de/index.htm 29.04.2015 Sicherheit im Internet 44 22
FAZIT 29.04.2015 Sicherheit im Internet 45 Ich habe zum Abschluss zwei Bitten an Sie Sicherheitsaktivitäten müssen zusammengreifen, aber Bitte achten Sie im Bereich der Informationssicherheit auf eine angemessene und vernünftige Umsetzung, in Abhängigkeit Ihrer wirklichen Bedürfnisse. Quelle: www.goermezer.de gehen Sie einmal bewusst einen vergessen Schritt zurück Sie nicht und die.. offene Tür nebenan. 29.04.2015 Sicherheit im Internet 46 23
auf Wiedersehen Vielen Dank für Ihre Aufmerksamkeit! Dr. Andreas Gabriel Ethon GmbH Deutschhausgasse 11-13 89073 Ulm Tel.: +49 731 140 206 121 Fax: +49 731 140 206 200 Mobil: +49 173 399 602 1 Internet: http://www.ethon.com Email: a.gabriel@ethon.com Sie finden mich auch bei: 29.04.2015 Sicherheit im Internet 47 24