IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld
Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität Datenschutz -> BDSG/ Datenschutzgesetze der Länder -> besonderer Schutz personenbezogener Daten Datensicherung -> operatives, fachlich korrektes Speichern Backup: Regelmäßiges kopieren wichtiger Daten, Lagerung der Kopie - auch außer Haus an sicherer Stelle 2
Sicherheit ist Chefsache Bei Datenverlusten ist mit Image- und Vertrauensverlust und in extremen Fällen mit Kosten durch Bußgeld-, Straf- und Schadensersatzverfahren zu rechnen. -> besonderes Risiko für IT-Dienstleister (Informationstechniker) Persönliche Haftung bei IT-Mängeln, insbesondere der IT-Sicherheit Beispiel: Mithaftung für Schäden, die durch Missbrauch der eigenen (unsicheren) Infrastruktur durch Hacker Dritten entstehen 3
Aus der Praxis Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig Spannweite reicht beispielsweise von lückenhaftem Viren- und Spamschutz über unzureichende und ungeprüfte Backups bis hin zur mangelnden Archivierung. Operatives Beispiel -> ein Administrator fällt unerwartet, beispielsweise durch einen (Verkehrs)unfall, aus und die Konfigurationen und Passwörter sind nicht (vollständig) hinterlegt. -> Ausfall testen / Notfallordnertool nutzen 4
Aus der Praxis Studie IT-Sicherheit im Handwerk, Stand Mitte 2013 - Befragung von Handwerksbetrieben (n = 281) und zus. Experteninterviews - Eingeschätzte pot. Risiken für eig. Betrieb: 1) Schadprogramme (49%), 2) Onlinebanking (43%), 4) Datenmanipulation/-verlust (34%) - Maßnahmen: 1) Einsatz von Schutzsoftware (86%), 2) Datensicherung (77%) - Problem (best. durch Experten): Ausführen der Datensicherung, vor allem Überprüfen der Rücksicherung! - Datensicherheit und -sicherung sollte auf Netzwerk-Basis geschehen, -> notwendig: Definition der relevanten Programme, Datenpakete u. Verzeichnisse 5
Aus der Praxis Studie IT-Pannen (international), Stand 2013 6
Umsetzung ist Chef- und Mitarbeitersache Eine weit verbreitete Ansicht ist, dass gute IT-Sicherheitsmaßnahmen unweigerlich mit hohen Investitionen in Sicherheitstechnik großem Aufwand und der Beschäftigung von besonders qualifiziertem Personal verknüpft sind. -> Dem ist jedoch nicht bzw. nur zum Teil so 7
Die wirksamsten Maßnahmen sind einfach und kostengünstig Wichtigste Erfolgsfaktoren sind: gesunder Menschenverstand, durchdachte organisatorische Regelungen und gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse diszipliniert und routiniert beachten. Die Erstellung und Umsetzung eines wirksamen und effektiven IT-Sicherheitskonzeptes Dieses muss der Größe des Betriebs bzw. dessen EDV-Nutzung angemessen darum nicht zwangsläufig teuer sein. 8
Umsetzungsebenen (Definition im IT-Sicherheitskonzept) Aktuelles Viren-Schutzprogramm verwenden (ein Muss auf jedem Gerät, auch mobile!), Sicherheits-Updates von Betriebssystem und Programmen installieren (wenn möglich automatisch) Außenschnittstelle des Netzwerks/ Internet-Zugänge sichern (Firewall) Spam-Filter benutzen und pflegen Datenzugriffe, Dienste und Programmfunktionalität auf das erforderliche Mindestmaß beschränken Persönliche betriebliche E-Mail-Adressen nur sparsam online publizieren (und wenn möglich nicht verlinken) Sehr vertrauliche Daten verschlüsseln Verhaltensebene: Problembewusstsein für Phishing-Attacken entwickeln, Achtung beim Umgang mit E- Mail-Anhängen 9
Kennwörter / Passwords Voreingestellte (oder leere) Passwörter sofort ändern, Bsp. Router Passwörter sind oft zu kurz oder leicht zu erraten -> mindestens acht Zeichen; große und kleine Buchstaben, Ziffern und Sonderzeichen verwenden; keine Namen, nicht in Wörterbüchern zu finden, keine zu simplen Zeichenkombinationen -> Trick/ Eselsbrücke: Initialen eines Satzes plus Ziffern Kein einheitliches Passwort zu verschiedenen Zwecken Passwörter sicher aufbewahren (nicht am Monitor, unter der Tastatur oder in der oberen Schreibtischschublade ruhig als Chef gelegentlich kontrollieren) Arbeitsplatzrechner beim Verlassen (Inaktivitätsintervall) ggf. mit Bildschirmschoner und Kennwort sichern ( Kennworteingabe bei Reaktivierung ) 10
Angebot Beratungsinstrument IT-Sicherheitsbotschafter im Handwerk 11
Links www.bsi.de Bundesamt für Sicherheit in der Informationstechnik www.sicher-im-netz.de Deutschland sicher im Netz e. V. www.buerger-cert.de Bürger-CERT (BSI) www.heise.de/security/ heise Security www.heise.de/security/dienste/browsercheck/ Sichere Browser-Konfiguration www.auditmypc.com Audit My PC (engl.) www.bsi.bund.de/certbund/digsig/index.htm Verschlüsselung - S/MIME und PGP www.computerbetrug.de ehemals dialerschutz.de www.gdd.de Gesellschaft für Datenschutz und Datensicherung e. V. 12
Kontakt Henning Horstbrink Beauftragter für Innovation und Technologie (BIT)* Handwerkskammer Ostwestfalen-Lippe zu Bielefeld Obernstr. 48 33602 Bielefeld Tel 0521-5608-118 Fax 0521-5608-58118 E-Mail henning.horstbrink@handwerk-owl.de * Das bundesweite BIT-Netzwerk (www.bis-tech.de) ist 13