INFORMATIONSVERANSTALTUNG GEFAHREN MODERNER INFORMATIONS- UND KOMMUNIKATIONSTECHNOLOGIE - WIRTSCHAFTSSPIONAGE, DATENSCHUTZ, INFORMATIONSSICHERHEIT Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? 1
Agenda Aktuelle Lage Bedrohungen für Ihr Unternehmen Vorgehen Technologien Prognosen Bedrohungen aus der Praxis Was sind Ihre Kronjuwelen? IS ist ein KVP Zusammenfassung IHK-Angebot zur Informationssicherheit 2
Aktuelle Lage 3
Bedrohungen für Unternehmen Externe Gefahren Quelle: Kaspersky 4
Bedrohungen für Unternehmen Interne Gefahren Quelle: Kaspersky
Bedrohungen für Unternehmen Gefahren durch Mobilgeräte Quelle: Kaspersky 6
Vorgehen Technologien Diebstahl von Zugriffsdaten Ransomeware (Lösegeld-Trojaner) Weitere Plattformen Sicherheitslücken/Zero-Day-Exploits Ca. 1 Mio. Mac-Rechner befallen Mobilgeräte: 60 % der Schädlinge mit Botnetzfunktionalität Quelle: Kaspersky
Vorgehen Technologien BOTNETs: So verhindern Sie, dass Ihr Computer zu einem Zombie wird Nach der Verbindung zu einem Command-and-Control- Server geht der infizierte Computer oder das infizierte Smartphone folgendermaßen vor: Was sind die Folgen? Prüft auf aktualisierten schädlichen Code Führt Befehle aus Stiehlt persönliche Daten und lädt diese hoch Hohe Internetrechnungen Schwache und nicht konstante Rechenleistung Mögliche rechtliche Folgen bei manipuliertem Computer Gestohlene persönliche Daten Dient als Remote-Netzwerk für kriminelle Aktivitäten Nutzt die Rechenleistung Ihres Computers Was ist ein BOTNET? Ein Netzwerk infizierter Computer/ Mobilgerät, das remote von Cybercriminellen gesteuert wird. Ihr Computer/Mobilgerät könnte Teil eines Botnets sein Beteiligt sich an DDoS-Angriffe auf andere Computer und Webseiten Verwendet Spam E-Mails Eigenschaften eines Zombie-Computers Betroffen sind: PSs, Macs und So verhindern Sie, Teil eines BOTNETs zu werden Smartphones Häufig scheinbar normaler Betrieb I.R. häufig oder keine Sicherheitssoftware Verwendung einer Sicherheitslösung Regelmäßige Updates OS-Update Adobe Flash Adobe Reader Oracls Java Webbrowser Quelle: Kaspersky 8
Prognosen Mobile Bedrohungen Erpresser-Malware verschlüsselt die Anwenderdaten (Korrespondenz, Fotos, Kontakte) Zugriff auf Bankkontodaten durch mobiles Phishing (Banking-Trojaner) Angriffe auf Cloud-Speicher Zielgerichtete Angriffe auf das schwächste Glied, die Mitarbeiter von Cloud-Services Angriffe auf Software-Entwickler Spieleentwickler: Serverseitige Quellecodes von Online-Games gestohlen Adobe: Adobe Acrobat und ColdFusion Quellcodes gestohlen Cybersöldner Bieten Unternehmen kommerzielle Dienste bei der Durchführung von Cyber-Spionage-Tätigkeiten 9
Bedrohungen aus der Praxis 1/3 der befragten Unternehmen waren 2012 oder 2013 Opfer einer Cyberattacke (Quelle: BITKOM 03/2014) 315.000 Schadprogramme / Tag (Quelle: Karspersky Lab, 12/2013) Gezielte Attacken auf KMU kosten im Durchschnitt 70.000 Euro (Quelle: Global Corporate IT Security Risks 2013) 10
Bedrohungen aus der Praxis Spam: Auf die Story kommt es an PayPal: Unerwünschte Abbuchung festgestellt Administrator: Speichergrenze des Postfachs überschritten Commerzbank: Kreditkarte gesperrt Check: Absender Links (nicht ausführen) Anhang (nicht öffnen) Update: Browser Plug-Ins 11
Bedrohungen aus der Praxis Mobile Spyware Check: Abrupte Reduzierung Akkuleistung Drastischer Anstieg der Datenübertragung MDM Bluetoothe/WLAN ausschalten 12
Bedrohungen aus der Praxis Unsichere Passwörter Vom Hersteller vergebene Standard-Passwörter müssen geändert werden. Passwörter müssen gängige Mindestanforderungen an Komplexität erfüllen und Passwortregeln sollten verbindlich festgelegt und den Mitarbeitern kommuniziert werden. Bei Systemen/Anwendungen mit erhöhten Sicherheitsanforderungen ist eine Zwei-Faktor-Authentifizierung erforderlich. Passwort-Safe/ Passwort-Manager 13
Was sind Ihre Kronjuwelen? Die 5%-Regel Zuerst werden die 5% der Informationen definiert, deren Schutz für das Unternehmen lebensnotwendig ist. 15% der Daten als schützenswert definiert, bei denen eine ungewollte Weitergabe zwar schmerzlich, aber nicht Existenz bedrohend ist. Die restlichen 80% sind offen und umfassen die Informationen, die bewusst nach Außen gegeben werden. Kronjuwelen Schützenswert Offen 14
Informationssicherheit ist ein kontinuierlicher Verbesserungsprozess Leitlinie zur Informationssicherheit Beschluss der Unternehmensleitung durch eine Unterschrift Organisatorische Maßnahmen: Ernennung des Informationssicherheitsbeauftragten Konzept erstellen (Strategie, Ziele) Maßnahmen Regelmäßige Überprüfung der Einhaltung Aktualisieren Act% Check% Plan% Do% Zertifizierung nach BSI, ISO 27001/2, ISIS12 oder ISA+ 15
Zusammenfassung Informationssicherheit ist ein kontinuierlicher Verbesserungsprozess und beginnt bei der Geschäftsführung Gleichgewicht finden: Sicherheit vs. Bequemlichkeit so viel wie nötig und so wenig wie möglich Verschlüsseln wo immer nur möglich Spam: Mit gesundem Menschenverstand Cloud: Auf die Wahl des Dienstleisters achten Smartphones: Trennung: Business/Privat 16
Ihre IHK steht Ihnen zur Seite Projekt: Maßnahmen zur Verbesserung der Informationssicherheit von kleinen und mittleren Unternehmen mit Sitz in Bayern Seit August 2013 gibt es in Bayern zwei neue Stellen zum Thema Informationssicherheit für KMUs Ansprechpartner Nordbayern IHK Ansprechpartner Südbayern AUFGABEN: Dr. Varvara Becatorou IHK für München und Oberbayern Sensibilisieren Informieren (Vorträge, Veranstaltungen) Lotsen im Thema Informationssicherheit (auch beim Vorfall) Kooperationen mit Sicherheits-Netzwerken 17
Ihre IHK steht Ihnen zur Seite Kostenlose bayernweite IHK-Veranstaltungen Gefahren moderner Informations- und Kommunikationstechnologie - Wirtschaftsspionage, Datenschutz, Informationssicherheit Die Termine zur Roadshow anderer IHKs: IHK für München und Oberbayern: 18.03.2014 IHK : 31.03.2014 IHK für Oberfranken Bayreuth: 01.04.2014 IHK für Niederbayern in Passau: 09.04.2014 IHK zu Coburg: 15.04.2014 IHK Würzburg-Schweinfurt: 05.05.2014 IHK Aschaffenburg: 07.05.2014 IHK Regensburg für Oberpfalz / Kelheim: 08.05.2014 Cloud- und Informationssicherheit - praktisch umgesetzt in kleine oder mittlere Unternehmen IHK : 04.06.2014 Regensburg, Bayreuth, Augsburg in Planung 18
Ihre IHK steht Ihnen zur Seite Kostenlose Informationen Leitfaden zur Informationssicherheit in KMUs Merkblatt Informationssicherheit im Mittelstand Blog: Informationssicherheit für KMUs Newsletter Internet 19
Vielen Dank für Ihre Aufmerksamkeit, B.Sc. Wirtschaftsinformatik Industrie- und Handelskammer Informationssicherheit Hauptmarkt 25/27 90403 Nürnberg Tel.: +49 911 1335-439 Fax: +49 911 1335-122 E-Mail: claudiu.bugariu@nuernberg.ihk.de Blog: Internet: www.ihk-nuernberg.de/blogs/informationssicherheit Internet: www.ihk-nuernberg.de/informationssicherheit 20