Tipps für IT-Sicherheit und Datenschutz im Handwerk Vortrag im Rahmen der Veranstaltung IT-Praxistag für Handwerksbetriebe Veranstalter: ebusiness-lotse Oberfranken www.symbiose.com V 1.1 Stand: 2014/11 Samstag, 08.11.2014 / 15.11.2014 Referentin: Dr. Marion Herrmann 1
Inhalt Firewall Viren-/Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz 2
Firewall Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Schützt vor unbefugten Angriffen, lässt nur definierte Verbindungen zu. (VPN) Bevorzugt separate Hardware-Firewall z. B. Cisco ASA-Serie Auf jedem Client und auf jedem Server Windows-Firewall oder Security-Suiten mit Firewall 3
Viren-/Malwareschutz Inhalt Anti-Virus Anti-Malware Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz E-Mail-Filter mit Anti-Malwareund Spamfilter Kostenlose Programme sind nicht immer die günstigsten! Kommerzielle Nutzung beachten! (Lizenzrecht!) Update-Häufigkeit 4
Patchmanagement Software stets aktuell halten Inhalt Firewall Viren-/ Malwareschutz Festlegen, wer aktualisiert wann, welche Software Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz => Möglichst viel automatisieren => Verantwortlichkeitsmatrix erstellen => KMU-Produkte nutzen KMU = Kleine und mittelständische Unternehmen 5
Patchmanagement Verantwortlichkeitsmatrix Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität 6
Passwörter Starke Passwörter einsetzen Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz > 10 Zeichen, Buchstaben, Ziffern, Sonderzeichen Empfehlung: mit Akronymen arbeiten (keine Literaturstellen nehmen!) Empfehlung: Passwort-Generator nehmen Regelmäßig wechseln Empfehlung des BSI: alle 3 Monate Passwortsafes benutzen Beispiele: Password Depot, Keepass, Steganos, imobilesitter, Password Safe Auf https-seiten achten Aus Webanwendungen stets ausloggen 7
Zu schwach! Namen von - Partnern - Verwandten - Bekannten - Haustieren - Hobbies Datumsangaben - Geburtstage - Hochzeitstage - Jubiläen Bobby2014 < 1s 8
Ihre Schätzung! Wie lange, glauben Sie, dauert es, bis die folgenden Passwörter erraten* werden können. Passwort Ich schätze Tatsächlich Bobby2014# Bobby07072014 Bobby07072014# B0bbY07072014#!B0bbY07072014# ##B0bb!07072014# 3 Minuten 8 Minuten 11 Stunden 6 Tage 3 Jahre Jahrhunderte *Methoden: Wörterbuch, Hybrid, Brute Force und Kombinationen Die tatsächlichen Zeiten wurden ermittelt auf: http://www.wiesicheristmeinpasswort.de/ 9
Komplexe Passwörter! Akronyme Ich liebe meinen Mann schon seit 15 Jahren immer mehr! IlmMss15Jim! 12 Zeichen! #Ich liebe meinen Mann schon seit 15 Jahren nimmer mehr!# #IlmMss15Jnim!# 15 Zeichen! #Ich liebe nicht mehr Peter, sondern Franz!# #IlnmP,sFr@nz!# http://www.wiesicheristmeinpasswort.de/ http://www.anonym-surfen.com/passwort-test/ 10
Komplexe Passwörter! Passwort - Generator VqLTDxmUNTts n?1p4tv-0bo0 128 bit HexKey 39d059afb73a4472b04b31f07891bedd keepass.com http://www.anonym-surfen.com/passwort-generator/ 11
Biometrisch?! Vorsicht mit biometrischen Zugängen Quelle. http://www.heise.de/newsticker/meldung/fingerabdrucksensor-des-iphone-6-ueberlistet-2399891.html 12
https-seiten Bei Passwort-Eingaben im Internet auf Verschlüsselung achten! Passworteingabe nur bei https://. Prüfen Sie Ihre Webseite! 13
Stets ausloggen Session Sniffing Password Sniffing Gängige Hackermethoden Session ID= F131018%2F8C9420587 Opfer Angreifer snifft eine gültige Session Webserver Immer aus Sitzungen ausloggen, nur Schließen des Browserfensters reicht nicht! Angreifer Ziel: unautorisierter Zugang zum Webserver bzw. Mitlesen des Passwortes 14
Non-Electronic Attacks es geht auch ohne Elektronik! Angreifer Shoulder Surfing Dumpster diving Social Engineering Über die Schulter schauen/mitfilmen, wenn sich jemand einloggt Den Mülleimer (sowohl elektronisch als auch physisch) durchsuchen, auch Post-its u. ä. Jemand überzeugen/weichkochen/ einwickeln, um vertrauliche Informationen zu erhalten 15
Verschlüsselung Verschlüsselte Festplatten z. B. Windows: Bitlocker, HP: Safeboot Verschlüsselte USB-Sticks Verschlüsselungssoftware Freeware: VeraCrypt, ecryptfs Verschlüsselte pdf-dateien / zip-dateien 16
Mobilität Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Nicht um jeden Preis Bewusst einsetzen Verschlüsselung beachten! Nicht alles automatisiert übertragen (Sync) Haftungsfalle: illegale Datenübermittlung Cloud-Dienste => Datenschutz beachten! 17
Dokumentation Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz Hard- und Softwarelisten Netzwerkübersicht / IT-Netzplan Berechtigungskonzept Sicherheitsbereiche Kronjuwelen! 18
Beispiel Sicherheitsbereich Raumplan Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Verschlüsselung Mobilität Dokumentation Datenschutz 19
Datenschutz Zweck des Bundesdatenschutzgesetzes Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Der Einzelne (Betroffene) soll davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten (pbdaten) in seinem Persönlichkeitsrecht beeinträchtigt wird. Passwörter Mobilität Dokumentation Datenschutz Datensicherheit: Technische und organisatorische Maßnahmen um alle Daten je nach Schutzweck zu schützen. 20
Informationelle Selbstbestimmung 1 => Pflicht: Auskunft an den Betroffenen (auf Anfrage) 21
Informationelle Selbstbestimmung Bei Endverbrauchern muss für jede Kommunikationsart (Telefon, Fax, E-Mail) eine Einwilligung vorliegen! Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz Einwilligung für Werbung - Beispiel Einwilligungserklärung zur Telefon- und E-Mail- Werbung Ich bin damit einverstanden, künftig zum Zweck der Information (Werbung) über Veranstaltungen und Produkte der Firma xy per Telefon per E-Mail kontaktiert zu werden. Die Einwilligung zu Werbezwecken kann ich jederzeit für die Zukunft schriftlich widerrufen. E- Mail an info@ihr-handwerksbetrieb.de genügt. 22
Personenbezogene Daten Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Alle Angaben über persönliche oder sachliche Verhältnisse der Betroffenen sind personenbezogene Daten (pbdaten), unabhängig davon wie sensibel sie sind und woher sie stammen. Name und Anschrift sind bereits personenbezogene Daten. Dokumentation Datenschutz 23
Personenbezogene Daten 24
Datenschutzbeauftragter? Betriebe mit mehr als 9 Mitarbeitern, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen ( 4f Abs. 1 Satz 1 BDSG). (ohne EDV, mehr als 20 Personen) Datenschutzbeauftragte/r kann sein: extern oder intern Datenschutzbeauftragte/r darf nicht sein: Geschäftsführer oder Vorstände IT-Leiter Personal-Leiter Leiter der Rechtsabteilung 25
Mindestumsetzung Datenschutz Quelle: Datenschutz Symbiose GmbH, Dr. Marion Herrmann, 2014, BDSG-Mindestumsetzung.mmap 26 26
Datengeheimnis - 5 BDSG Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Datenschutz Beschäftige sind auf das Datengeheimnis zu verpflichten 5 BDSG: Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 27
Schulungen Sensibilisierung der Mitarbeiter regelmäßig nachweisbar => Sicherer Umgang mit sensiblen/vertraulichen Datenträger und datenschutzkonformes Verhalten 28
Beispiel - Formblatt 29
TOMs - 9 BDSG Technische und Organisatorische Maßnahmen Inhalt Pflicht zur Dokumentation Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Pflicht, Regelungen zu treffen Private Internetnutzung Datenschutzrichtlinien Passwortrichtlinie Datenschutz Vernichtungskonzept 30
TOMs - 9 BDSG Kontrollmaßnahmen der Anlage zu 9 BDSG: Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle Grafik: Datakontext 2009 Eng verknüpft mit: IT-Grundschutz (BSI) 31
Beispiele: ADV - 11 BDSG Auftragsdatenverarbeitung IT-Dienstleister Werbeagentur/Lettershop Lohnabrechnung (nicht Steuerberater)) Vertrag mit 10 Punkten schriftlich fixieren Sorgfältige Prüfung des Auftragnehmers vor Beginn der Tätigkeit! 32
Betroffenen-Rechte Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung Inhalt Firewall Viren-/ Malwareschutz Patchmanagement Passwörter Mobilität Dokumentation Auskunftsanspruch (Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden und von wem Sie erhalten wurden.) Widerspruch gegen die Datenverarbeitung zu Werbezwecken Berichtigung, Löschung und Sperrung Benachrichtigung von Berichtigung, Löschung, Sperrung Schadensersatz => Prozess Betroffenenanfrage Datenschutz 33
Verfahrensübersicht Jedes Verfahren, dass personenbezogene Daten automatisiert verarbeitet, muss dokumentiert werden. (Inhalt: 4e) => Dokumentationspflicht: Internes Verfahrensverzeichnis / Verarbeitungsübersicht Zu jedem Verfahren müssen auch die technischen und Organisatorischen Maßnahmen (TOMs) beschrieben werden. 34
Verfahrensübersicht 35
Zeit zu handeln IST-Aufnahme IT-Sicherheit/Datenschutz 1. Schritt: Kronjuwelen suchen 2. Schritt: Schutzmaßnahmen prüfen 3. Maßnahmenplan erstellen und umsetzen 36
Kompetenzzentrum IT-Sicherheit und Datenschutz Bayreuth, Hundingstr. 10-12 Technische Lösungen rund um IT-Sicherheit! Saas, Paas deutsche Cloud www.symbiose.com Alles rund um Datenschutz und Umsetzung des BDSG Externe DSB, Datenschutzberatung und Audits www.datenschutz-symbiose.de Wir helfen Ihnen! Buchen Sie uns! 37
Ihre Ansprechpartnerin Dr. Marion Herrmann Geschäftsführerin Geprüfte Datenschutzbeauftragte Zertifizierter Datenschutz-Auditor (TÜV) IT-Compliance-Manager ITIL Foundation zertifiziert Certified Ethical Hacker (CEH) Computer Hacking Forensics Investigator (CHFI v8) mh@symbiose.com Telefon: 09 21 / 150 11-22 Mobil: 01514 / 26 46 766 Fax: 09 21 / 150 19 Unser Maskottchen: Bildquellen: fotolia, Datankontext, Datenschutz Symbiose und eigene 38