IT Security Awareness - ikt.saarland · und dass er dazu ein Grundverständnis für IT-Sicherheit...
Transcript of IT Security Awareness - ikt.saarland · und dass er dazu ein Grundverständnis für IT-Sicherheit...
DR. PHILIPP WALTER | Leiter IT
3. Tag der IT-Sicherheit Saar | 16.02.2016
1
IT SecurityAwareness
Workshop: IT Security Awareness
Workshop: IT Security Awareness60 Teilnehmer — ein Thema
2
13:45
Begrüßung undImpulsvortrag
WorkshopFallbeispiele, Austausch, Fragen & Antworten Wrap Up
30 Minuten 70 Minuten 5 Minuten
Über uns: 20 Jahre INFOSERVE
1995 Gründung1998 Unternehmen der eurodata-Gruppe2007 neuer Standort mit modernem Hochleistungsrechenzentrum2011 INFOSERVE in neuem Design2013 Ausbau des Rechenzentrums2014 eurodata-Gruppe wächst zusammen2015 20 Jahre INFOSERVE
40 Mitarbeiter■ hochqualifiziert und zertifiziert (u.a. VMware, Veeam, Cisco, Splunk,
DataStax, Check Point, Blue Coat, Fortinet, …)■ Beratungs-Know-how aus hunderten erfolgreicher IT-Projekte
Eigenes Hochleistungsrechenzentrum■ Strengste Sicherheit (ISO 27001, “Bank Level Security”)■ Höchste Ausfallsicherheit■ Sicherer Tresor für den Kern globaler Anwendungen
3
Was bedeutet “IT-Sicherheit”? 4
“IT-Sicherheit”
“Firewall”
“Hackerangriff”
“Computerviren”
“NSA”
“Online-Betrug”
“Verschlüsselung”
“Social Engineering”
“Ransomware”
Was bedeutet “IT-Sicherheit”? 5
1 2
3 4
Was bedeutet “IT-Sicherheit”? 6
1 2
3 4
Verfügbarkeit
“Die Verfügbarkeit von Dienstleistungen, Funktionen
eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den
Anwendern stets wie vorgesehen genutzt werden können.”
■ Festplattencrash im Fileserver (RAID 0)
■ Backup lässt sich nicht wiederherstellen
■ Kollege startet einen Kryptotrojaner aus einem Mailanhang
Was bedeutet “IT-Sicherheit”? 7
1 2
3 4
VertraulichkeitVerfügbarkeit
“Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.”
■ Mail geht versehentlich an falschen Empfänger
■ USB-Stick mit Kunden- daten geht verloren
■ Kollege verrät nach Social Engineering ein root-Passwort
Was bedeutet “IT-Sicherheit”? 8
1 2
3 4
VertraulichkeitVerfügbarkeit
Integrität
“Integrität bezeichnet die Sicherstellung der Korrektheit
(Unversehrtheit) von Daten und der korrekten Funktionsweise
von Systemen.”
■ Ariane 5 explodiert wegen eines Softwarefehlers
■ Ihre Software speichert wegen eines Fehlers falsche Daten
■ Kollege löscht aus Versehen den kompletten Fileserver
Was bedeutet “IT-Sicherheit”? 9
1 2
3 4
VertraulichkeitVerfügbarkeit
Integrität Authentizität
“Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.”
■ “Nigerianischer Prinz” haut mit Ihrem Vorschuss ab
■ Passwort auf gefälschter Paypal-Seite eingegeben
■ Betrüger gibt sich als Chef aus und lässt sich Geld überweisen
Was bedeutet “IT-Sicherheit”? 10
1 2
3 4
VertraulichkeitVerfügbarkeit
Integrität Authentizität
IT-Sicherheit
IT Security Management Systeme (ISMS)Anatomie am Beispiel von BSI IT-Grundschutz und ISO 27001
11
Assets
Gefährdungen
Maßnahmen
Was alles passieren kann→ Gefährdungskataloge
Was man dagegen tun kann→ Maßnahmenkataloge
Was geschützt werden muss→ eigene Aufstellung machen + Risikoakzeptanzniveau definieren
Sicherheit, Komfort und KostenDas individuelle Optimum ist immer ein Trade Off
12
SICHER
BEQUEM
GÜNSTIG
bequem und günstig→ nicht sicher
sicher und günstig→ unkomfortabel
bequem und sicher→ teuer
IT-Sicherheit betrifft mehr als Hard- und SoftwareVor allem Menschen.
13
Menschen Mitarbeiter, Kunden, Lieferanten, Partner
Anwendungen Betriebssysteme, Anwendungssoftware, Daten
Netzwerk lokales Netz, Außenanbindung, Netzwerkkonfiguration, VPN
Hardware PCs, Server, Storagesysteme, Netzwerkhardware, Stromversorgung, Klimatisierung
Organisation Das Unternehmen als Ganzes mit Aufbauorganisation und Prozessen
IT-Sicherheit betrifft mehr als Hard- und SoftwareIT-Sicherheit zu leben heisst nicht, allen Menschen zu misstrauen
14
IT-Befugnisse nach Gießkannenprinzip:“Jeder darf alles”
IT-Befugnisse nach Zuständigkeit:
Arbeitsteilung & Transparenz
IT-Sicherheit betrifft mehr als Hard- und SoftwareBeispiele für IT-Sicherheitsmaßnahmen
15
Hardware
Netzwerk
Anwendungen
Menschen
Organisation
Vertraulichkeit
Prozesse zu Zugriffsrechten
Security Awareness
Sichere Zugangsdaten
Firewall & VPN
Abgesperrter Serverraum
Integrität
Transparenz
Ehrlichkeit &Know-How
Patch Management
Intrusion Prevention
Monitoring
Authentizität
Kommunikation
Mitarbeiter- & Besucherausweise
Zertifikate
Network Access Control
Zertifizierte Lieferanten
Verfügbarkeit
Notfallpläne
Gesundes Betriebsklima :-)
Redundante Netzwerkpfade
Redundanz & Virtualisierung
Admin-Know-How & Backups
IT-Sicherheit betrifft mehr als Hard- und SoftwareBeispiele für IT-Sicherheitsmaßnahmen
16
Hardware
Netzwerk
Anwendungen
Menschen
Organisation
Vertraulichkeit
Prozesse zu Zugriffsrechten
Security Awareness
Sichere Zugangsdaten
Firewall & VPN
Abgesperrter Serverraum
Integrität
Transparenz
Ehrlichkeit &Know-How
Patch Management
Intrusion Prevention
Monitoring
Authentizität
Kommunikation
Mitarbeiter- & Besucherausweise
Zertifikate
Network Access Control
Zertifizierte Lieferanten
Verfügbarkeit
Notfallpläne
Gesundes Betriebsklima :-)
Redundante Netzwerkpfade
Redundanz & Virtualisierung
Admin-Know-How & Backups
■ Zentrales Ziel: jeder Mitarbeiter ist sich bewusst,
□ dass IT-Sicherheit nicht einfach da ist,□ dass IT-Sicherheit nicht nur ein technisches Thema ist,□ dass auch er aktiv zu IT-Sicherheit beitragen muss,□ und dass er dazu ein Grundverständnis für IT-Sicherheit haben muss.
■ Daraus leiten sich Maßnahmen ab,
□ um das Bewusstsein zu schaffen und wach zu halten, und□ um IT-Sicherheit im täglichen Handeln zu verankern.
IT Security Awareness 17
18
Einfache Maßnahmen, große WirkungSchnittstellen zur Nicht-IT-Welt
19
■ Keine Türen offenstehen lassen (Büro, Eingang, Flur, …)
■ Besucher immer begleiten, unbekannte Personen freundlich ansprechen
■ Keine Unterlagen herumliegen lassen (Clean Desk Policy)
■ Rollcontainer und Schränke absperren
■ Keine unbekannten Datenträger benutzen (USB-Stick auf dem Parkplatz gefunden)
Einfache Maßnahmen, große WirkungKennwörter
20
■ Unterschiedliche Kennwörter vergeben und sicher aufbewahren
■ Lange Kennwörter vergeben und merken
■ Kennwörter nicht aussprechen oder im Klartext notieren
■ Wegdrehen, wenn jemand anderes sein Kennwort eingibt
■ Zwei-Faktor-Authentifizierung nutzen, wenn möglich
www.xkcd.com
■ E-Mail: insbesondere IT-Laien gehen reflexhaft davon aus, dass
□ Absender immer authentisch sind□ Mails, die nicht als Spam markiert sind, immer sicher und korrekt sind□ Links im Mailtext immer korrekt beschriftet sind□ Anhänge, die der Virenscanner durchlässt, immer sicher sind
■ WWW: Spoofing, Drive-by-Downloads etc.
□ Merkmale sicherer Verbindungen explizit prüfen:
□ Nicht reflexhaft vom Inhalt auf die Authentizität der Seite schließen!
E-Mail und WebDie meistgenutzten Angriffswege
21
22
■ Altbekannt: leicht zu erkennende Spam- und Phishing-Massenmails
□ Schreibfehler, unpersönliche Ansprache, falsche Domainnamen, etc.
■ Neu: ausgefeilte und maßgeschneiderte Angriffe
□ Größte Bedrohung momentan: Ransomware = Erpressungsmalware = Kryptotrojaner□ Passend zugeschnittene, professionell erstellte Mails, v.a. Bewerbungen
(Daten offenbar von der Jobbörse gefarmed)□ Die klassischen Tipps greifen nicht: persönliche Anrede, sinnvoller Zusammenhang, etc.
Bedrohungen werden immer ausgefeilterAwareness deshalb immer wichtiger
23
VIELEN DANK für Ihre Aufmerksamkeit!
24