IT-Sicherheit geht alle an

IT-Sicherheit geht alle an
Herzlich Willkommen zum Mustermann KG Sicherheitstraining Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda Einführung Welche Gefahren und Bedrohungen bestehen im Unternehmen? Schützenswertes Sicherheitsorganisation bei der Mustermann KG Unternehmensweite Sicherheitsrichtlinien Maßnahmen zur Erhöhung der Sicherheit in der Praxis Fragen & Antworten Gemeinsam für Online-Sicherheit

Unser heutiges Ziel Sensibilisierung der Mitarbeiter für sicherheitsrelevante Themen in unserem Unternehmen Was wollen wir konkret erreichen: Motivieren Ihnen eine positive Einstellung zum Thema Sicherheit vermitteln Informieren Ihnen generelle Informationen über Gefahren, Informationssicherheit und Richtlinien geben Ihnen die Ziele und Maßnahmen der Sicherheitspolitik in unserem Unternehmen vermitteln Ihnen die Ansprechpartner zum Thema Sicherheit bekannt machen Sensibilisieren Verständnis für IT-Sicherheitsmaßnahmen bei Ihnen erzeugen Sie anregen, aktiv an der Umsetzung der Maßnahmen mitzuwirken - Zwischenfragen erwünscht und zugelassen Gemeinsam für Online-Sicherheit

Gefahren und Bedrohungen
Hacker Online- Betrüger Unser Unternehmen Faktor Mensch Viren, Würmer & Co. Schmutz-fink Hier Bedrohungen nur kurz ansprechen: z.B.: Dies sind Gefahren für die IT-Sicherheit, die sie bestimmt schon kennen. Später werden wir noch näher darauf eingehen. Spammer Gemeinsam für Online-Sicherheit

Hacker Online- Betrüger Faktor Mensch Viren, Würmer & Co. Schmutz-fink Wir wenden uns jetzt den Gefahren im Einzelnen zu. Spammer Gemeinsam für Online-Sicherheit

Der Online Betrüger Späht Zugangsdaten aus Versteckt sich hinter einer anderen Identität Folgen: Finanzielle Verluste Konto- und Kreditkartenmissbrauch Verlust von geistigem Eigentum und vertraulichen Informationen Weitere Unannehmlichkeiten durch betrugsbedingte Auswirkungen Der Online Betrüger: Strategie: Auch vermeintlich vorsichtige Internet-Nutzer können von den Machenschaften des Online-Betrügers betroffen sein. So ist der Missbrauch fremder Kreditkartendaten im Internet immer noch ein großes Problem. Leider ist es so, dass Online-Betrug oft sehr einfach möglich ist, da nur persönliche Daten und z.B. Kreditkarteninformationen benötigt werden um in der Identität des Opfers zu handeln – und diese kann man oft einfach im Papierkorb einer Tankstelle finden. Ein weiteres Schlagwort rund um den Online-Betrug ist das "Phishing": Hier werden Zugangsdaten von Online-Banking-Nutzern durch fingierte Banken-Websites ausgespäht und Konten geplündert. Gefahr droht auch bei Online-Auktionen: Hier werden auf fremde Rechnung illegale Transaktionen getätigt. Auch in scheinbar harmlosen Programmen verbirgt sich oft Spionage-Software, die Surfgewohnheiten und persönliche Daten des Nutzers unbemerkt an den Online-Betrüger weiterleiten. Sogar Handys werden inzwischen über offene Schnittstellen "angezapft". Welche Schäden entstehen durch Onlinebetrug? Neben erheblichen finanziellen Verlusten durch Konten- oder Kreditkartenmissbrauch droht der Verlust von geistigem Eigentum und vertraulichen Informationen. Langwierige und kostenintensive Unannehmlichkeiten durch betrugsbedingte Auswirkungen belasten Unternehmen und Privatnutzer gleichermaßen. Gemeinsam für Online-Sicherheit

Hacker Online- Betrüger Faktor Mensch Viren, Würmer & Co. Schmutz-fink Spammer Gemeinsam für Online-Sicherheit

Der Hacker Dringt in PC‘s und Netzwerke ein Legt IT-Strukturen lahm, stiehlt oder löscht Daten Folgen: Ärgerliche Fehlfunktionen und Ausfallzeiten Zusammenbruch von Netzen und Servern Hohe Kosten für Wiederherstellung Image-Verlust für das Unternehmen Der Hacker: Strategie: Ein "Hacker" ist im ursprünglichen Sinne ein technisch versierter Computerfachmann bzw. Programmierer, der sein Fachwissen auch auf positive Weise (etwa zum Aufdecken von Sicherheitslücken) einsetzt. Die negative Ausprägung dieser Personengruppe wird allgemein als "Cracker" (Profi) oder "Script Kid" (Amateur) bezeichnet. Zum besseren Verständnis haben wir dennoch den Begriff "Hacker" beibehalten. Inzwischen liefern sich gut organisierte Hacker-Ringe regelrechte Bandenkriege, um möglichst viele Rechner unter ihre Kontrolle zu bringen. Durch kleine Sabotage-Programme wie Viren und Würmer, die sich meist selbsttätig und innerhalb kürzester Zeit über s oder den Besuch bestimmter Websites verbreiten, verschafft sich der Hacker Zugang zu fremden Systemen, manipuliert sie zu seinem Zweck oder legt sie komplett lahm. Welche Schäden entstehen durch Hacker? Die Auswirkungen reichen von ärgerlichen, aber eher harmlosen Fehlfunktionen bis hin zum Zusammenbruch ganzer Server und Netzwerke. Zu den daraus resultierenden Image-Verlusten des betroffenen Unternehmens und finanziellen Einbußen durch den entstehenden Arbeitsausfall kommen meist noch weitere Kosten für umfangreiche Wiederherstellungsmaßnahmen hinzu. Gemeinsam für Online-Sicherheit

Viren, Würmer & Co. Computerviren und andere Schadsoftware gefährden Ihre betrieblichen Abläufe auf vielfältige Weise: Der Start des Computers wird durch Boot-Viren verhindert Störende und irritierende Fenster werden geöffnet Daten werden manipuliert, gelöscht oder ohne Wissen des Anwenders weiterverbreitet Arbeitsplatzcomputer, Server oder komplette Netzwerke werden überlastet „Trojanische Pferde“ öffnen Hintertüren zu PCs und Netzwerken, die für weiteren Missbrauch genutzt werden Durch Falschmeldungen werden Benutzer dazu verleitet, falsche Nachrichten weiterzuleiten oder unsinnige Tätigkeiten am PC durchzuführen Viren, Würmer und andere Schädlinge Wie aus der Presse bekannt stellen Viren, Würmer und andere Schädlinge eine erhebliche Gefährdung für Ihre IT-Systeme dar. Im Folgenden legen wir kurz dar, welche Arten von Schädlingen es gibt, und wie diese sich verbreiten. Der Virus Computer-Viren sind Programme oder Teile davon, die entweder von Experten mit zweifelhaften Zielen erstellt werden oder von den bereits beschriebenen "Script-Kiddies" mittels im Internet erhältlichen "Viren-Baukästen" (so genannte "Virus Construction Kits") erzeugt werden. Früher ließen sich Viren noch in drei wesentliche Kategorien unterteilen. Heute vereinen Viren oftmals Eigenschaften einer oder mehrerer Kategorien in sich, wodurch sie ein noch höheres Gefahrenpotenzial darstellen. Die damals vorgenommene Kategorisierung möchten wir Ihnen selbstverständlich nicht vorenthalten: •Boot-Viren setzen sich in dem Bereich einer Festplatte oder Diskette fest, der beim Starten eines Computers in den Arbeitsspeicher gelesen wird. Somit lädt sich der Virus automatisch beim Start des Rechners.•Datei-Viren infizieren Programmdateien, wie beispielsweise Teile des Betriebssystems oder Anwendungen. Startet der Anwender eine infizierte Datei, führt der Virus seine Schadroutine aus oder verbreitet sich weiter.•Makro-Viren sind in einer Makrosprache erstellt. Makros helfen wiederkehrende Tastatureingaben und Programmabläufe zu automatisieren. Oft wird dazu die Makrosprache von Office-Software eingesetzt und die Makroviren sind in Dokumente eingelagert und werden durch Aufruf und Weitergabe der Dateien verteilt. Mögliche Schäden durch Computer-Viren sind ausgesprochen vielfältig und reichen von der einfachen Ausgabe störender Fenster, über Fehlfunktionen in Anwendungen, bis hin zur Löschung vollständiger Datenbestände. Auch die "unfreiwillige" Veröffentlichung von Datenbeständen kann eine oft rufschädigende Folge für das Unternehmen oder für einzelne Mitarbeiter sein. Die Verbreitungswege für Viren sind vielfältig: Im Gegensatz zu früheren Zeiten, in denen sich Viren über Disketten verbreiteten, dient heute die als wichtigstes Übertragungsmedium. Die genannten Makro-Viren verbreiten sich im Wesentlichen durch einfache Weitergabe oder gemeinsame Nutzung von Dokumenten in Netzwerken. Auch speziell präparierte Internetseiten sind ein beliebtes Mittel wenn es um die Verbreitung von Viren geht. Sie können sehr viele Infektionsgefahren ausschließen, wenn Sie die folgenden Regeln einhalten: •Öffnen Sie bitte keine Anhänge von s deren Absender Ihnen nicht bekannt ist.•Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren Herkunft unklar ist.•NEU: Öffnen sie auch von bekannten Absendern nur Anhänge, die sie selbst angefordert haben oder bei denen sie sicher sein können, dass sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden.Der Wurm Würmer sind sehr populär und stellen eine spezielle Form der Viren dar. Auch hier erfolgt eine Infektion oft via s oder durch Ausnutzung von Schwachstellen in Applikationen und Protokollen. Würmer infizieren in aller Regel keinen fremden Programmcode oder Dokumente, sondern sind darauf ausgelegt sich selbständig und schnell zu verbreiten. Manche Würmer verfügen sogar über Funktionen, die es ihnen erlauben, sich selbst via zu verbreiten ohne, dass das installierte -Programm genutzt werden muss. Heimtückisch ist auch die Eigenschaft sich selbst an Adressen aus dem Adressbuch des installierten -Programms weiter zu versenden. Dies beschleunigt die Verbreitung, da die Empfänger den Absender der Mail kennen. Es steigt die Wahrscheinlichkeit, dass ein Anhang geöffnet wird. Die Folge eines Wurmausbruchs ist oftmals die völlige Überlastung von Servern und ganzen Netzwerken. Das Trojanische Pferd Wie schon beim echten Trojanischen Pferd hat auch die Computerversion (auch"Trojaner" genannt) ein schädliches Programm im Bauch eines scheinbar nützlichen Programms. Dieses schädliche Programm installiert sich dann unbemerkt auf dem PC des Opfers. Ziel von solchen Schädlingen ist zum Beispiel die Übermittlung von vertraulichen oder persönlichen Daten an seinen jeweiligen Versender oder die Öffnung des PC zur Fernkontrolle durch den Hacker. Der klassische Trojaner kann sich nicht selbst verbreiten, heute werden jedoch von Würmern und Viren häufig Trojaner nachinstalliert, die dann eine Kontrolle des PCs durch Dritte erlauben. Eine von Kriminellen oft genutzte Variante des Trojaners sind die so genannten BOT-Netze. Bei einem BOT handelt sich um einen Trojaner, der sich bei seinem "Herrn" meldet und Instruktionen erwartet. Viele (oft weit mehr als ) mit BOTs infizierte PCs bilden dann ein BOT-Netzwerk. Oft werden derartige BOT-Netze von ihrem Herrn für kriminelle Machenschaften (verteilte Angriffe, Massen-Mailversand) verwendet oder sogar vermietet. Bitte legen Sie beim Download von Dateien aus dem Internet immer ein gesundes Maß an Misstrauen an den Tag und prüfen Sie solche Dateien vor dem Öffnen mit einem aktuellen Virenscanner! Der Hoax Ein Hoax (eng. "schlechter Scherz") ist nichts weiter als eine elektronische "Zeitungsente". Meistens treten Hoaxes in Form von s auf, die aus unterschiedlichsten Gründen dazu auffordern die an möglichst viele Leute weiterzuleiten. Oft sind die Texte sehr phantasievoll geschrieben und wirken durchaus seriös. In vielen Hoaxes wird vor einem angeblichen Virus gewarnt. Im Text wird dann erklärt, wie man den Virus unschädlich machen kann. Befolgt man die Anweisungen, werden wichtige Dateien des Betriebssystems gelöscht und Fehlfunktionen sind die Folge. Die eigentliche Gefahr eines Hoaxes besteht also im Befolgen der dort abgelegten Anweisungen. Bitte löschen Sie solche s und leiten Sie diese nicht weiter. Seriöse Anbieter von Antivirus-Lösungen verteilen Ihre Meldungen grundsätzlich nicht nach diesem Prinzip! Gemeinsam für Online-Sicherheit

Viren, Würmer & Co. Es gibt zahlreiche Wege, Viren, Würmer & Co. zu übertragen! Datenträger, Wechseldatenträger Internet-Nutzung mobile Geräte Gemeinsam für Online-Sicherheit

Der Spammer Versendet große Mengen an s (meist Werbung) Fälscht Konten Folgen: Verstopfte Postfächer Überlastung von Kapazitäten durch Spam-Flut Produktivitäts- und Zeitverluste Vertrauensverlust in das Medium Der Spammer: Strategie: Der Spammer schadet durch das Versenden von großen Mengen an s mit meist sinnlosem oder (vermeintlich) werbewirksamem Inhalt. Seine große Menge an -Adressen verschafft sich der Spammer zum Beispiel über den (kommerziellen und/oder illegalen) Adresshandel oder mittels spezieller Programme, mit denen er das gesamte Web nach brauchbaren Adressen durchsucht. Auch das einfache Durchprobieren gängiger Adresskombinationen ist ein möglicher Weg. Für den Versand der Spam-Mails (oder auch Junk-Mails) werden gefälschte -Konten, manipulierte PCs, offene drahtlose Netzwerke (WLANs) oder schlecht abgesicherte Mail-Server missbraucht - meist ohne das Wissen ihrer Betreiber. Welche Schäden entstehen durch den Spammer? Ziel des Spammers ist entweder die maximale Verbreitung der ungewollten Werbung oder das Erwirtschaften von Profit, indem er im Auftrag Dritter Spam-Mails versendet. Speicher- und Bandbreitenkapazitäten werden durch die Spam-Flut über Gebühr belastet. Oft entstehen erhebliche Zeit und Produktivitätsverluste durch das Sichten und Aussortieren der Spam-Mails, ganz abgesehen von den entstehenden Kosten. Zudem schadet Spam auch dem Vertrauen und der Glaubwürdigkeit von . Gemeinsam für Online-Sicherheit

Hacker Online- Betrüger Faktor Mensch Viren, Würmer & Co. Schmutz-fink Hier Bedrohungen nur kurz ansprechen: z.B.: Dies sind Gefahren für die IT-Sicherheit, die sie bestimmt schon kennen. Später werden wir noch näher darauf eingehen. Spammer Gemeinsam für Online-Sicherheit

Der Schmutzfink Belästigt Internetnutzer politische Hetze Gewalt Pornographie Folgen: Verbreitung fragwürdiger oder krimineller Inhalte Manipulation Minderjähriger Anbahnung von Straftaten Der Schmutzfink: Strategie: In zunehmendem Maße verbreiten unangenehme Zeitgenossen auch im Internet ihr zumeist verquertes Gedankengut. So werden Kinder und Jugendliche in Chats („virtuelle Plaudereien"), Newsgroups (Online-Diskussionsforen) oder Webseiten immer öfter mit pornografischen, gewaltverherrlichenden oder politisch fragwürdigen Inhalten konfrontiert. Radikale politische Gruppierungen rekrutieren Anhänger durch psychologisch geschickte Online-Agitation. Das Aufkommen pornografischer Darstellungen rangiert seit Jahren auf hohem Niveau. Schnell kann es dazu kommen, dass die Geschäftsleitung zur Verantwortung gezogen wird, weil sich weibliche Angestellte belästigt fühlen oder minderjährige Auszubildende mit nicht jugendfreien Inhalten konfrontiert wurden. Welche Schäden entstehen durch den Schmutzfink? Die Verbreitung gewaltverherrlichender und anderer fragwürdiger oder krimineller Inhalte kann weit reichende persönliche und gesellschaftliche Auswirkungen haben. Diese reichen von psychologischer und sittlicher Manipulation Minderjähriger bis hin zur Anbahnung von Straftaten. Gemeinsam für Online-Sicherheit

Hacker Online- Betrüger Faktor Mensch Viren, Würmer & Co. Schmutz-fink Hier Bedrohungen nur kurz ansprechen: z.B.: Dies sind Gefahren für die IT-Sicherheit, die sie bestimmt schon kennen. Später werden wir noch näher darauf eingehen. Spammer Gemeinsam für Online-Sicherheit

Das haben wir schon erledigt! Das tun wir gerade! Da sind wir dabei!
Der Faktor Mensch Der Mitarbeiter ist die Basis für funktionierende Sicherheit! Sicherheit ist Teamwork Was wir vermeiden wollen: Unbewusstes Fehlverhalten z.B. bei Social Engineering- Identitätsdiebstahl Bewusstes Fehlverhalten z.B. durch falsche Gewohnheiten Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen: Sicherheitsrichtlinien definieren Regeln und Verhaltensempfehlungen kommunizieren Sensibilisierung durch regelmäßige Schulung und Information der Mitarbeiter Der "Faktor Mensch" Der grundlegende Faktor jeglicher Sicherheit wird in vielen Unternehmen zu sehr außer Acht gelassen: die Information und Schulung der Mitarbeiter. Technische Sicherheitsmaßnahmen allein reichen nicht, wenn sich die Mitarbeiter nicht an Regeln und Verhaltensempfehlungen halten. So sind alle Sicherheitstipps nutzlos, wenn sie nicht allen Kollegen bekannt sind und angewendet werden. Zu einem erfolgreichen Sicherheitskonzept gehören daher Schulungen und regelmäßige Informationen für die Mitarbeiter. Diese Maßnahmen müssen regelmäßig wiederholt und aktualisiert werden, um ein gleichmäßig hohes Sicherheitsniveau im Unternehmen zu gewährleisten und sich gegen eine sehr alte Form des Angriffs zu schützen: Das "Social Engineering". Social Engineering (auch als Social Hacking bezeichnet) ist das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels sozialer Kontakte. Ziel ist z.B. die Beschaffung von Zugangsdaten für fremde Computer und Datennetze. Eine übliche Vorgehensweise beim Social Engineering ist, sich zunächst einem Mitarbeiter im unteren Hierarchiebereich eines Unternehmens (z.B. Sekretärin oder Hausmeister) zu nähern, um für das Unternehmen typischen Gewohnheiten oder auch Formulierungen kennen zu lernen. Bei der dann folgenden Annäherung an den eigentlichen Wissens- oder Geheimnisträger vermittelt der Angreifer dann den Eindruck, dass es sich – bedingt durch die Detailkenntnisse über das Unternehmen – nicht um einen Außenstehenden handeln kann. Ebenfalls eine verbreitete Methode ist es, eine technisch wenig versierte Person durch die Verwendung von "Fachchinesisch" so weit zu verwirren und zu verunsichern, dass diese die benötigten Daten preisgibt. Ein Beispiel: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven Outbreak eins Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Somit sind eine Menge Kollegen betroffen. Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes aufsehen remote debuggen. Statistisch ist über erfolgreiche Angriffe durch Social Engineering nur wenig bekannt, die Dunkelziffer liegt sehr hoch. Ein Grund dafür ist die Tatsache, dass es den betroffenen Firmen oft peinlich ist, derartige Angriffe zuzugeben. Außerdem sind viele Angriffe so geschickt ausgeführt, dass diese erst viel später oder gar nicht aufgedeckt werden. Das haben wir schon erledigt! Das tun wir gerade! Da sind wir dabei! Gemeinsam für Online-Sicherheit

Social Engineering Beispiele Fall 1: Angreifer: „Ihr Name lautet Johanna Schmidt?“ Opfer: „Ja.“ Angreifer: „Sie befinden sich im Nordflügel, fünftes Stockwerk, in der Buchhaltung?“ Angreifer: „Ihre Durchwahlnummer ist die 4365?“ Angreifer: „Ihr Benutzername lautet Jschmidt und Ihr Passwort ist ‚krokodil27‘?“ Opfer: „Nein, mein Passwort lautet ‚BugsBunny‘.“ Fall 2: Angreifer: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven Outbreak eines Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Dadurch sind eine Menge Kollegen betroffen.“ Opfer:.“Oh, das ist mir aber peinlich.“ Angreifer: „Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen remote debuggen.“ Etc. Und hier zur Veranschaulichung zwei konkrete Beispiele für Social Engeineering. Gemeinsam für Online-Sicherheit

Was gilt es in unserem Unternehmen zu schützen?
Infrastruktur: Gebäude Einrichtung Hardware Betriebsverfahren: Verfügbarkeit der EDV-Systeme Verfügbarkeit und Integrität der Daten Informationen: Angebote Verträge Inhalte von Verhandlungen Daten über Verkaufsverfahren Personaldaten Personenbezogene Daten Rechtliche Rahmenbedingungen: KontraG: Gesetz zur Kontrolle und Transparenz BDSG: Umgang mit personenbezogenen Daten TKG: Telekommunikationsgesetz u.v.m. Was gibt es bei uns an schützenwerten Informationen und Werten gibt: Infrastruktur: Als erstes möchte ich die Dinge ansprechen, die in Geld zu beziffern sind: unsere Gebäude, die Einrichtung und die Hardware vom Server bis zum Handy. Betriebsverfahren: Schützenswert ist auch die Verfügbarkeit der EDV-Systeme und der damit zu verarbeitenden Daten. – Die meisten von Ihnen könnten ohne den Computer nicht weiterarbeiten. Informationen: Unser Unternehmen lebt von dem bei und vorhandenen Knowhow. Alle vertraulichen Informationen aus der Geschäftstätigkeit sowie vertrauliche Daten aus dem Personalbereich oder dem Datenschutz unterliegende pesonenbezogene Daten müssen ganz besonders geschützt werden. Ansehen des Unternehmens: Unser Ansehen als solides Unternehmen ist nicht in materiellen Werten bezifferbar.Eine negative Presse, zum Beispiel über ungenügend sicheren Umgang mit personenbezogenen Daten, würde unseren Ruf stark schädigen. Rechtliche Rahmenbedingungen: Nicht zuletzt gibt es noch rechtliche Rahmenbedingungen, die vorschreiben was zu schützen ist. Diese möchte ich Ihnen nur nennen und auf konkrete Inhalte verzichten: Es gibt da zum Beispiel das Gesetz zur Kontrolle und Transparenz, das vor allem die rechtlichen Rahmenbedingungen für das Risikomanagement schafft. Dann gibt es noch das Bundesdatenschutzgesetz, das den Umgang mit personenbezogenen Daten regelt. Hierüber kann Ihnen der Datenschutzbeauftragte näheres erzählen. Abschliessend möchte ich noch das Aktien Gesetz und das Telekommunikationsgesetz nennen, in denen entsprechende Maßnahmen vorgeschrieben werden. Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit. Gemeinsam für Online-Sicherheit

Agenda Einführung Welche Gefahren und Bedrohungen bestehen im Unternehmen Schützenswertes Sicherheitsorganisation bei der Mustermann KG Unternehmensweite Sicherheitsrichtlinien Maßnahmen zur Erhöhung der Sicherheit in der Praxis Fragen & Antworten Gemeinsam für Online-Sicherheit

Mustermann KG Informationssicherheit
Aufgaben Sicherstellen der Umsetzung von Sicherheitsrichtlinien Schulung und Sensibilisierung der Mitarbeiter Koordination und Unterstützung in den Abteilungen Umsetzung der datenschutzrechtlichen Bestimmungen Sicherheitsmanagement Untersteht der Geschäftsführung Bearbeitet Technische Sicherheit Organisatorische Sicherheit Physische Sicherheit Verantwortliche Personen Leiter Sicherheitsmanagement: Hans Sicher Stellvertreter(in) Sabine Schlüssel Verantwortlicher IT-Technik: Clemenz Bit IT-Helpdesk Claudia Hilfe Datenschutzbeauftragter: Gregor Info Leiter Werkschutz: Edgar Schloss etc. Hier sollten die Mitarbeiter klar über die Strukturen, Ansprechpartner und deren Aufgaben in der Sicherheitsorganisation des Unternehmens unterrichtet werden! Die Bezeichnungen der Verantwortlichen und die Namen sind Beispiele und müssen firmenspezifisch angepasst werden. Gemeinsam für Online-Sicherheit

Unternehmensweite Sicherheitsrichtlinien
Grundlage aller Sicherheitsmaßnahmen Sicherheitsrichtlinien definieren allgemeine Regelungen Prozesse Richtlinien Ziel: Erreichen eines angepassten Sicherheitsniveaus Sind als Betriebsvereinbarung für alle Mitarbeiter bindend Die Nichtbeachtung kann Konsequenzen nach sich ziehen Enthalten z.B. Vorschriften und Regelungen zu: Nutzung der Informationstechnischen Anlagen Nutzung und Internet Informationssicherheit Besucherregelungen Datenschutz etc. Die Sicherheitsrichtlinie Eine Sicherheitsrichtlinie (oft auch als "Security Policy" bezeichnet) bildet für alle Security-Maßnahmen innerhalb Ihres Unternehmens die Grundlage. Die Erstellung sollte für Ihr weiteres Vorgehen der erste Schritt sein. Sie definiert allgemeine Regelungen, Prozesse und Richtlinien. Die Umsetzung in konkrete Maßnahmen oder die Produkt- und Herstellerauswahl für Sicherheitsprodukte sollten auf der Grundlage einer Sicherheitsrichtlinie erfolgen und können in so genannten Security Standards definiert werden. Die Inhalte einer Security Policy werden gemeinsam und in enger Abstimmung zwischen Unternehmensleitung, den IT-Sicherheitsverantwortlichen, dem Datenschutzbeauftragten und den Mitarbeitern definiert. Was darf ich? / Was darf ich nicht? Gemeinsam für Online-Sicherheit

Allgemeine Wachsamkeit
Verwenden Sie IT-Systeme nur für dienstliche Zwecke Missachten Sie Schutzmaßnahmen nicht vorsätzlich Verursachen Sie keine Risiken und Schäden durch leichtfertiges Fehlverhalten Integrieren Sie IT-Sicherheit eigenverantwortlich in den täglichen Arbeitsablauf Kommunizieren Sie bedarfsgerecht, d.h. nur mit Berechtigten Erkennen Sie aktiv Gefahren und Risiken, und setzen Sie entsprechende Maßnahmen eigenverantwortlich um Unterstützen Sie sich gegenseitig Melden Sie sicherheitsrelevante Vorfälle umgehend IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI ! Gemeinsam für Online-Sicherheit

Sicherer Umgang mit dem Computer
Schützen Sie Ihre IT-Systeme vor unbefugtem Zugriff - bei Abwesenheit sperren Stellen Sie den Bildschirmschoner mit Passwortschutz auf 5 Minuten ein Halten Sie Betriebssystem und Anwendungen mit Patches auf dem aktuellsten Stand (immer alle akzeptieren und baldmöglichst booten) Belassen Sie den Virenscanner aktiv Melden Sie sich regelmäßig am Netz für automatischen Update des Antivirenprogramms an oder sorgen Sie selbst für aktuelle Virendefinitionen Verändern Sie IT-Systeme nicht eigenmächtig (Programm-Installationen) Setzen Sie nur die von der Unternehmens-IT freigegebene Software ein Ihr Computer ist eines Ihrer wichtigsten Arbeitsmittel. Wirken Sie aktiv am Schutz mit! Gemeinsam für Online-Sicherheit

Nutzung von E-Mail / Internet I
Zeigen Sie einen verantwortungsvollen Umgang bei der Nutzung von und Internet Alternative 1: Die Nutzung von und Internet ist nur für geschäftliche Zwecke erlaubt. Privates Surfen und private Downloads sind nicht gestattet Alternative 2: Die Nutzung von und Internet für private Zwecke ist auf ein Mindestmaß zu beschränken und darf geschäftliche Zwecke nicht beeinträchtigen. Seien Sie besonders wachsam bei s von unbekannten Absendern oder mit unerwarteten Inhalten Bei unseriösem Betreff angehängte Datei nicht öffnen, die Mail einschließlich Anhang löschen Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren Herkunft unklar ist Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert haben oder bei denen Sie sicher sein können, dass Sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden. Beim ersten Punkt bitte die Alternative wählen, die Ihren Sicherheitsrichtlinien entspricht. Gemeinsam für Online-Sicherheit

Nutzung von E-Mail / Internet II
Ändern Sie keine Dateianhänge zur Umgehung der Richtlinien Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook) Verschlüsseln Sie vertrauliche -Anhänge Übermitteln Sie das Verschlüsselungs-Passwort NICHT per zum Empfänger Informieren Sie den Empfänger über die Vertraulichkeit und den entsprechenden Umgang mit dem Dokument Überprüfen Sie täglich Ihren Spam-Ordner Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator Beim ersten Punkt bitte die Alternative wählen, die Ihren Sicherheitsrichtlinien entspricht. Nur so vermeiden Sie Unfälle auf der Datenautobahn! Gemeinsam für Online-Sicherheit

Passwörter Wählen Sie sichere Passwörter mind. 8 Stellen Kombinationen aus: Buchstaben (Groß- und Kleinschreibung) Ziffern Sonderzeichen Ändern Sie Ihre Passwörter regelmäßig Geben sie Passwörter NIE weiter, auch nicht an einen Administrator Nutzen Sie wenn möglich die Stellvertreterfunktion Wenn Sie Ihr Passwort aufschreiben, dann bewahren Sie es sicher auf Ihr Passwort ist der Schlüssel, mit dem sie den Zugriff auf vertrauliche Dokumente ermöglichen! Gemeinsam für Online-Sicherheit

Umgang mit mobilen Geräten
Mobile Geräte: Notebooks PDAs Mobiltelefone USB-Sticks Gewährleisten Sie Schutz vor unbefugtem Zugriff Lassen Sie Geräte nie unbeaufsichtigt liegen Bringen Sie ein Laptop-Schloss ("Kensington") an Vermeiden Sie Datenverlust durch regelmäßiges Backup (z.B. der lokalen Daten) Halten Sie den Virenscanner eigenverantwortlich aktuell Verschließen Sie PDA, Handy etc. bei Nichtbenutzung im Schreibtisch/Schrank Schalten Sie die Bluetoothfunktion des Mobiltelefons aus Bewahren Sie USB-Sticks sicher auf Speichern Sie streng vertrauliche Daten ausschließlich verschlüsselt Mit Ihrem mobilen Gerät bewegen Sie sich mit firmeninternen Informationen im öffentlichen Raum! Gemeinsam für Online-Sicherheit

Informationen/Dokumente
Benutzen Sie für die Speicherung Ihrer Daten kein lokales Verzeichnis Speichern Sie keine vertraulichen Dokumente ungeschützt in gemeinsam genutzten Ordnern (z.B. Transfer-Ordner) Schützen Sie Informationen und Dokumente vor Veränderung Entsorgen Sie vertrauliche Informationen sicher: Dokumente in den Reißwolf Datenträger sicher löschen/physisch zerstören Geben Sie vertrauliche Informationen nur an die Personen, die diese für die Umsetzung ihrer Arbeit tatsächlich benötigen Vermeiden Sie sensible Gespräche in der Öffentlichkeit Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz! Gemeinsam für Online-Sicherheit

Clean Desk Gehen Sie mit Daten und Dokumenten achtsam um
Räumen Sie diese auch in Pausen auf Schließen Sie vertrauliche Dokumente bei Abwesenheit weg Verwahren Sie diese sicher nach Ende des Arbeitstages Schließen Sie Ihr Büro bei Abwesenheit ab Melden Sie sich in Pausen vom Netzwerk ab alternativ: Bildschirmschoner passwortgeschützt einstellen Lassen Sie keine Datenträger offen liegen Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden ! Gemeinsam für Online-Sicherheit

IT-Sicherheit geht alle an
Vielen Dank für Ihre Aufmerksamkeit. Ihre Fragen? Gemeinsam für Online-Sicherheit

Anhang: Grundsätzliches
Das Schulungs- und Sensibilisierungsprogramm sollte folgende Punkte behandeln: Sicherheitsziele der Organisation sowie deren Erläuterung, die Gründe, warum Sicherheit für die Organisation wichtig ist, die Klarstellung der Verantwortlichkeit bezüglich der Sicherheit, die Aufgaben der IT-Betreuer, besonders in ihrer Funktion als Dienstleister der Fachbereiche, die Pläne zur Implementierung der Sicherheitsmaßnahmen, die Vorgehensweise der Überprüfung der Einhaltung von Sicherheitsmaßnahmen sowie die Konsequenzen für Mitarbeiter bei Verstößen gegen Sicherheitsvorgaben. Der wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für die Sicherheit deutlich zu machen. Die Planung der Schulungsveranstaltungen und der Beratungsgesprächen sollte vom Daten- schutzbeauftragten, sofern vorhanden, oder von dem Organisationsleiter übernommen werden. In Zusammenarbeit mit dem Datenschutzbeauftragten können dann die Veranstaltungen und die Beratungsgespräche von den IT-Betreuern umgesetzt werden. Weiterhin ist zu empfehlen, die Schulungs- und Sensibililierungsveranstaltungen in regelmäßigen Zeitabständen zu wiederholen, um insbesondere das vorhandene Wissen aufzufrischen und neue Mitarbeiter zu informieren. Gemeinsam für Online-Sicherheit

IT-Sicherheit geht alle an

Ähnliche Präsentationen

Präsentation zum Thema: "IT-Sicherheit geht alle an"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

IT-Sicherheit geht alle an

Ähnliche Präsentationen

Präsentation zum Thema: "IT-Sicherheit geht alle an"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback