Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Page  1.

Ähnliche Präsentationen


Präsentation zum Thema: "Page  1."—  Präsentation transkript:

1 Page  1

2 Verhaltensrichtlinien - sichere IT-Nutzung
IKT Sicherheit 2.0 Verhaltensrichtlinien - sichere IT-Nutzung 2

3 Teamvorstellung DI Martin Zandonella
Geschäftsführer Net4You Internet GmbH IT-Security Berater der WK Kärnten verheiratet, 3 Kinder Werdegang: HTL-Nachrichtentechnik, Softwareentwickler, DI Wirtschaftstelematik, Internet Pionier Hobbys Familie, Reisen Laufen, Skifahren, Tennis Page  3

4 Was ist Sicherheit, welche Bedrohungen gibt es?
Übersicht aktueller Cyberangriffe Quelle: Deutsche Telekom Page  4

5 Schlagzeilen Schlagzeilen zu Datenlecks:
Neuer Rekord-Hack: 1,2 Mrd. Passwörter gestohlen 5-Sterne Hotel von spanischem Hacker gekapert Touristen durch infizierte Reise-Websites gefährdet Hotel Management-Unternehmen White Lodging gehackt Datenleck bei Online-Reisebuchung - Tausende betroffen Adobe SourceCode und Kundendaten gestohlen (Heise Online) Gefälschte Bank- s, Erste und Sparkasse warnen vor Betrügern (Der Standard) 15-jähriger knackte über 250 Rechner von Firmen (Die Presse) NSA Affäre - Gigantisches Spionage-Zentrum durchleuchtet die Welt Page  5

6 Preise für Daten: Was steckt dahinter?
Warum sind meine Informationen für Cyber-Kriminelle so wertvoll? Es geht um Geld, viel Geld! Preise für Daten: Persönliche Daten Adresse: 0,01 bis 0,8 € pro Stk. mit Namen: 1,00 bis 1,50 € pro Stk. mit Adresse: 1,10 bis 1,80 € pro Stk. Kreditkartendaten 5 bis 40 € pro Stk. Persönliche Daten sind quasi die Währung der Untergrund-Wirtschaft. Bildlich gesehen ist es das, womit Cyber-Kriminelle Handel treiben. Hacker können gestohlene Daten an eine Vielzahl von Interessenten verkaufen, darunter Identitäts-Diebe, organisierte Verbrecher-Ringe, sowie Spammer und Botnet-Betreiber, die aus den Daten noch mehr Kapital schlagen. Spammer zum Beispiel sind häufig an neuen Mail-Listen interessiert, an die sie dann ihre Viagra- und Cialis-Angebote versenden können. Ihr Geld – etwa 50 bis 80 Cent pro Benutzer-Klick – verdienen sie durch Antworten auf diese Mails und Aufrufe von Webseiten und Pop-Ups. Identitäts-Diebe hingegen könnten eine -Adresse benutzen, um ein Phishing-Schema zu erstellen, das nach Konto- oder Kreditkartendaten fragt. Page  6

7 Was sagt die Statistik? 85% der gestohlenen Daten sind Kundendaten.
Jedes 4. Unternehmen war schon Angriffsziel von Hackern. Nur 50% der Unternehmen wissen überhaupt, dass sie angegriffen wurden bzw. bestohlen wurde. Für die österreichische Wirtschaft entsteht jährlich ein Schaden von 880 Mio EUR. Daten aus Studie KPNG Page  7

8 Wie können Sie Ihre Daten schützen?
Verwenden Sie sichere Kennwörter – mindestens 8 Zeichen. (PasswordPrüfung) Die Top 25 Kennwörter (Quelle: Schreiben Sie Ihre Kennwörter nicht auf. Geben Sie Ihre Kennwörter an niemanden weiter. Ändern Sie regelmäßig Ihre Kennwörter. Verwenden Sie unterschiedliche Kennwörter. Verwenden Sie unterschiedliche -Adressen und Kennwörter für dienstlich, privat und zum Einkaufen. Page  8

9 Wie merkt man sich ein gutes Passwort?
Kennwortsicherheit? Was ist ein gutes Passwort? Es sollte mindestens acht Zeichen lang sein. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Es soll nicht in Wörterbüchern vorkommen. Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert. Passwörter notieren? Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen. Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel keepass. Diese Programme können neben der Passwort-Verwaltung auch starke Passwörter generieren (berücksichtigen Sie bei den Einstellmöglichkeiten zur Passwortgenerierung unsere oben genannten Mindestempfehlungen). Sie müssen sich dann nur noch ein gutes Masterpasswort überlegen und merken. Wie merkt man sich ein gutes Passwort? Auch dafür gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Hier ein Beispiel: "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1". Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren. Wichtig ist hierbei, dass sich der Benutzer des Passwortes den Satz selbst ausgedacht hat. Werden zum Beispiel die Anfangsbuchstaben eines Literaturzitates als Passwort gewählt, dann ist prinzipiell die Möglichkeit einer Wörterbuchattacke nicht viel unrealistischer, als wenn direkt ein Wort verwendet würde. Dies trifft natürlich insbesondere für weithin bekannte Zitate zu. Grundsätzlich sinnvoll ist es immer, echten Zufall in den Prozess der Auswahl eines Passwortes zu integrieren. Zum Beispiel kann man durch den Wurf einer Münze entscheiden, ob ein "und" im zugrundeliegenden Satz durch ein u oder durch & dargestellt wird. Passwörter regelmäßig ändern Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden. Viele Programme erinnern Sie automatisch daran, wenn Sie das Passwort zum Beispiel schon ein halbes Jahr benutzen. Diese Aufforderung nicht gleich wegklicken – sondern ihr am besten gleich nachkommen! Natürlich ist es da schwer, sich alle Passwörter zu merken. Womit wir beim nächsten Punkt sind. Keine einheitlichen Passwörter verwenden Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zwecke beziehungsweise Zugänge (Accounts) zu verwenden, also ein und dasselbe Passwort für das Online-Banking und für Soziale Netzwerke zu verwenden. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, hat der Angreifer freie Bahn für Ihre übrigen Anwendungen. Das können zum Beispiel die Mailbox oder alle Informationen auf dem PC sein. Voreingestellte Passwörter ändern Bei vielen Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern. Bildschirmschoner mit Kennwort sichern Bei den gängigen Betriebssystemen haben Sie die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit sollten Sie nutzen. Ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit des rechtmäßigen Benutzers Zugang zu dessen PC erlangen. Natürlich ist es ziemlich störend, wenn die Sperre schon nach weniger Zeit erfolgt. Unsere Empfehlung: 5 Minuten nach der letzten Benutzereingabe. Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren (zum Beispiel bei einigen Windows-Betriebssystemen: Strg+Alt+Entf drücken). Passwörter nicht an Dritte weitergeben oder per versenden In der Regel werden s unverschlüsselt versandt. Unverschlüsselte s können von Dritten auf ihrem Weg durch das Internet mitgelesen werden. Zudem können s im Internet verloren gehen oder herausgefiltert werden. Der Absender einer hat daher keine Gewissheit, dass seine Nachricht den gewünschten Empfänger auch wirklich erreicht hat. Wenn Sie ihre Passwörter an Dritte weitergeben, verlieren Sie die Kontrolle darüber und Sie haben sich umsonst die Mühe für ein gutes Passwort gemacht. Page  9

10 Wie sicher ist Ihre Software?
Software Sicherheitswarnungen: Zero-Day" Sicherheitslücke in Apple Quicktime Sicherheitsprobleme mit OpenSSL Sicherheitslücke in Microsoft Internet Explorer 8 Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt, Updates verfügbar) Sicherheitslücke in Microsoft Internet Explorer 6 bis 11 Update - Schweres Sicherheitsproblem mit OpenSSL ("Heartbleed"-Lücke) Schwerwiegende Sicherheitslücke in Microsoft Office (aktiv ausgenützt) Aktualisieren Sie regelmäßig Ihre IKT Geräte (Antivieren Software, Windows Update, Java-Update, usw.) Quicktime: Beschreibung Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero Day"-Lücke (CVE ) in Apple Quicktime gewarnt wird: CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P) Aktuell ist nicht bekannt, dass diese Schwachstelle in realen Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der Veröffentlichung nun diverse Akteure darauf konzentrieren werden. Auswirkungen Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden. Da ein Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. OpenSSL: Es besteht die Möglichkeit von Remote Code Execution, Denial Of Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL Clients als auch Server betreffen. Auswirkungen Noch sind keine Angriffe, die diese Schwachstellen ausnutzen, bekannt. Es ist allerdings davon auszugehen, dass diverse Akteure nun mit Hochdruck versuchen werden, dies zu tun. Details zu den wichtigsten Schwachstellen: Potential für Man-in-the-middle - Attacke Falls Client und Server verwundbare OpenSSL-Versionen verwenden, ist es einem Angreifer am Netzwerk dazwischen möglich, schwache Verschlüsselungs- Algorithmen zu erzwingen und dann entsprechend den verschlüsselten Verkehr mitzulesen bzw. zu verändern. Eintrag in der CVE-Datenbank: CVE Potentielle Remote Code Execution In OpenSSL DTLS Clients und Servern exisiert ein Fehler, der es einem Angreifer ermöglichen könnte, beliebigen Code auszuführen. Eintrag in der CVE-Datenbank: CVE Weiters existieren Schwachstellen, die etwa OpenSSL Clients bzw. Server zum Absturz bringen können, Details dazu finden sich im Advisory von OpenSSL IE8.0 Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE ) in Microsoft Internet Explorer 8 gewarnt wird: CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P) Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden. Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment nicht bekannt. Laut Microsoft sollten es die Default-Sicherheitseinstellungen aber zumindest erschweren. Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Adobe Flash Adobe hat neue Versionen des Flash Players ausserhalb des monatlichen Patch-Zyklus veröffentlicht, welche eine bereits aktiv ausgenützte Sicherheitslücke (CVE ) schliessen. Auswirkungen Adobe gibt an, dass durch die mit diesem Update geschlossene Sicherheitslücke ein Angreifer die Kontrolle über einen Client-Rechner übernehmen kann. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet. Weiters weist Adobe darauf hin, dass ein entsprechender Exploit "in the wild" existiert und auch bereits aktiv benutzt wird. MS IE 6 – 11 Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 9-11 gewarnt wird: New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks Aktuell ist nur bekannt, dass diese Schwachstelle in gezielten Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach dem Publik-werden nun diverse Akteure darauf konzentrieren werden. Microsoft hat auch bereits ein Security Advisory dazu herausgegeben: Vulnerability in Internet Explorer Could Allow Remote Code Execution Solche Schwachstellen in Browsern werden typischerweise bei gezielten Angriffen über "Spearphishing" (eine speziell für das Opfer vorbereitete , die ein Anklicken eines Links auslösen soll) oder über "Waterholing" (eine vom Opfer regelmäßig besuchte Webseite wird gehackt und präpariert) ausgenutzt. Ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail ist nicht möglich, ein Link auf entsprechend präparierte Webseiten muss vom Benutzer aktiv angeklickt werden. Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. OpenSSL Durch einen Fehler in OpenSSL können Angreifer Teile des Hauptspeichers eines betroffenen Systems (in Schritten von 64kB) lesen. Dadurch ist es den Angreifern möglich, an diverse Informationen, unter Umständen inklusive der "Private" Keys/X.509 Zertifikate, zu gelangen. Eine ausführliche Beschreibung des Problems findet sich auf (englisch). Eintrag in der CVE-Datenbank: CVE Da davon auszugehen ist, dass Angreifer über die Private Keys von mit verwundbaren OpenSSL-Versionen gesicherten Services verfügen, sind prinzipiell alle über solche Services übermittelten Informationen als kompromittiert zu betrachten. Falls die Services mit "Perfect Forward Secrecy" konfiguriert sind, können Angreifer allerdings nicht Informationen aus in der Vergangenheit mitprotokollierten Sitzungen entschlüsseln. Aktuell übertragene Informationen sind trotzdem betroffen. MS Office Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke (CVE ) in einer Komponente von Microsoft Office veröffentlicht. Die Schwachstelle wird laut Microsoft bereits in gezielten Attacken aktiv ausgenützt. Die Schwachstelle kann dazu benutzt werden, auf den PCs von Benutzern, die ein präpariertes RTF-File öffnen oder betrachten, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Es ist zu erwarten, dass entsprechende Dateien bald via zum Beispiel Spam-Mails verteilt oder auf entsprechenden Webseiten zum Download angeboten werden. Es besteht auch der Verdacht, dass momentan an Adressen in Österreich versandte Spam-Mails mit Subjects wie "A1 Rechnung von " und einem gefälschten Absender der A1 Telekom, genau diese Lücke auszunutzen versuchen. Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Page  10

11 Was sagen die „Experten“?
So sieht es aus: Webseiten werden täglich infiziert, 80% davon sind seriöse Seiten neue Schädlinge im ersten Quartal 2013 neue Schädlinge im zweiten Quartal 2014 25% der Computer in DACH und 31% weltweit sind kompromittierte PC‘s Page  11

12 Eine 100%ige Sicherheit gibt es nicht - auch nicht für Facebook.
Facebook-Sicherheit! Facebook-Sicherheit Facebook ist das größte und beliebteste soziale Netzwerk und hat weltweit mittlerweile mehr als 900 Millionen aktive Nutzerinnen und Nutzer. Genau wie im „echten Leben“ gilt auch für das „virtuelle Leben“: Eine 100%ige Sicherheit gibt es nicht - auch nicht für Facebook. Page  12

13 Wie sicher ist Ihr Facebookprofil?
Ist ihr Profil sicher? Kennen Sie alle Ihre Facebook-Freundinnen und -Freunde auch persönlich? Verwenden Sie zur Einteilung Ihrer Freundinnen und Freunde verschiedene Kontaktlisten? Geben Sie viel Persönliches in Ihrem Facebook-Profil preis? Wissen Sie, wer welche Ihrer Inhalte (Fotos, Beiträge, Profil,...) auf Facebook sehen kann? Verwenden Sie bereits die Funktion des Aktivitätenprotokolls? Geben Sie nicht zu viel Persönliches in Ihrem Profil preis und fragen Sie sich stets, was andere wirklich sehen sollen! Inhalte im Netz können kopiert, gespeichert und manipuliert werden. Außerdem sind einmal veröffentlichte Daten nicht mehr zu entfernen und können eventuell bei Job- oder Ausbildungssuche schaden. Besonders beim Upload von Fotos und Videos sollte man vorsichtig sein: Fragen Sie sich, ob Fremde diese Bilder auch sehen sollen Die Verbreitung von Fotos und Videos, die andere Personen benachteiligt darstellen, ist meist nicht erlaubt. Fragen Sie zur Sicherheit die abgebildeten Personen vorher, ob sie mit einer Veröffentlichung einverstanden sind. Sollten Sie selbst betroffen sein, kontaktieren Sie die Person und bitten um Entfernung. (Außerdem können Sie Fotos auch bei Facebook melden!) Machen Sie Ihr Profil "ungooglebar", indem Sie: Hand Zahnrad anklicken > Privatsphäre-Einstellungen > Privatsphäre > "Wer kann nach mir suchen?" > "Möchtest du, dass andere Suchmaschinen einen Link zu deiner Chronik erhalten?" > Bearbeiten > Aus Da sich die "Privatsphäre-Einstellungen" und damit die Optionen immer wieder ändern, empfehlen wir, diese monatlich zu überprüfen. Page  13

14 Wie sicher ist Ihr Facebookprofil?
Ist Ihr Facebook-Profil mittels Suchmaschinen im Internet auffindbar? Nutzen Sie die Sicherheitseinstellungen für Facebook-Anwendungen (Apps)? Schränken Sie Werbeanzeigen auf Ihrem Facebook-Profil ein? Nutzen Sie bereits die Option des "Sicheren Durchstöberns (https) auf Facebook? Wissen Sie, wie Sie Ihr Facebook-Profil deaktivieren oder löschen können? Geben Sie nicht zu viel Persönliches in Ihrem Profil preis und fragen Sie sich stets, was andere wirklich sehen sollen! Inhalte im Netz können kopiert, gespeichert und manipuliert werden. Außerdem sind einmal veröffentlichte Daten nicht mehr zu entfernen und können eventuell bei Job- oder Ausbildungssuche schaden. Besonders beim Upload von Fotos und Videos sollte man vorsichtig sein: Fragen Sie sich, ob Fremde diese Bilder auch sehen sollen Die Verbreitung von Fotos und Videos, die andere Personen benachteiligt darstellen, ist meist nicht erlaubt. Fragen Sie zur Sicherheit die abgebildeten Personen vorher, ob sie mit einer Veröffentlichung einverstanden sind. Sollten Sie selbst betroffen sein, kontaktieren Sie die Person und bitten um Entfernung. (Außerdem können Sie Fotos auch bei Facebook melden!) Machen Sie Ihr Profil "ungooglebar", indem Sie: Hand Zahnrad anklicken > Privatsphäre-Einstellungen > Privatsphäre > "Wer kann nach mir suchen?" > "Möchtest du, dass andere Suchmaschinen einen Link zu deiner Chronik erhalten?" > Bearbeiten > Aus Da sich die "Privatsphäre-Einstellungen" und damit die Optionen immer wieder ändern, empfehlen wir, diese monatlich zu überprüfen. Page  14

15 Wie sicher ist Ihr Handy?
Ist ihr Smartphone sicher? Nutzen Sie die Standardeinstellung der PIN-Abfrage beim Einschalten Ihres Smartphones (SIM-Kartensperre)? Verwenden Sie die zusätzliche Option der Passwortabfrage bei Aufhebung des Ruhezustandes bzw. der Bildschirmsperre (Code oder Muster)? Führen Sie regelmäßig die vom Hersteller empfohlenen Software-Updates für Ihr Smartphone durch? Machen Sie regelmäßig Sicherungskopien (sogenannte Backups) von Ihren Daten bzw. synchronisieren Sie Ihr Smartphone mit einem anderen Gerät? Zusammenfassende Information „Jailbreaking“ ist das inoffizielle Entsperren von Software und Hardware, meint in den meisten Fällen aber das Entsperren von Smartphones. Gerade das sehr beliebte iPhone gerät mit seinem geschlossenen System immer wieder in die Kritik, da zum Beispiel keine Apps installiert werden können, die nicht im Apple Store erhältlich sind. Das Gegenstück zum "Jailbreak" bei Apple ist das „Rooten“ bei Android: Ein „Root“ ist vergleichbar mit einem Administrator-Konto, welches volle Zugriffs- und Schreibrechte hat und über welches somit das gesamte System verändert werden kann. Achtung: Durch den "Jailbreak" und das "Rooten" kann das Betriebssystem Ihres Smartphones beeinträchtigt oder sogar beschädigt werden. Ungeübte Nutzerinnen und Nutzer können auch Opfer von falschen "Jailbreak"-Programmen oder von Schadsoftware werden. Zudem fällt das "Jailbreaking" und "Rooten" in eine rechtliche Grauzone und kann unter Umständen die Garantie beeinträchtigen! Bei Handyverträgen mit einem limitierten Internet-Paket kann pro Monat nur ein bestimmtes Datenvolumen verbraucht werden. Wird dieses überschritten, wird es meistens teuer. Wenn Sie einen Datentarif mit begrenztem Internetvolumen haben, empfiehlt es sich, den eigenen Verbrauch im Auge zu behalten. Das iPhone bietet zur Volumenkontrolle den Menüpunkt „Mobile Datennutzung“, bei dem der eigene Verbrauch ermittelt werden kann. Wenn sich das Smartphone automatisch im Büro oder zu Hause mit dem WLAN verbindet, ist das auf Dauer ein Sicherheitsrisiko. Der Datenaustausch über WLAN oder Bluetooth ist oft nur mangelhaft gesichert und kann relativ leicht ausspioniert werden. Sie sollten die WLAN- und Bluetooth-Funktion nur dann einschalten, wenn Sie auf ein lokales WLAN-Netzwerk zugreifen wollen oder Sie die Bluetooth-Funktion unmittelbar benötigen. Ein angenehmer Nebeneffekt dieser einfachen Sicherheitsvorkehrung ist ein stark reduzierter Akku-Verbrauch. Viele Smartphones mit Datenverbindung bieten die Möglichkeit, das Handy als WLAN-Router zu verwenden und so beispielsweise als mobiler Hotspot für den eigenen Laptop zu fungieren. Die Hotspot-Funktion sollten Sie jedenfalls mit einem Passwort sichern und ebenfalls nur bei Bedarf aktivieren. Die meisten Smartphones bieten mittlerweile die Möglichkeit, es bei Verlust oder Diebstahl zu orten, es sperren zu lassen oder sogar die Daten aus der Ferne zu löschen. Es gilt aber, bei dieser Funktion zwischen Privatsphäre und Sicherheit abzuwägen: Möchten Sie derartige Funktionen nutzen, müssen Sie das GPS-Tracking aktivieren. Apple hat hierzu die „Find my iPhone“-Funktion integriert. Ist die Funktion auf dem Gerät aktiviert, ist die (ungefähre) Position des Smartphones über die iCloud einsehbar. Um Ihr Smartphone bei Bedarf kindersicher zu machen, sollten Sie das Roaming sowie In-App-Käufe deaktivieren und Mehrwertdienste sperren. In letzter Konsequenz können Sie das Internet deaktivieren und in den Flugmodus wechseln. Mittlerweile gibt es auch zahlreiche Apps, die sich dem Thema Kindersicherheit widmen. Diese sind dann aber Endgerät-basiert und funktionieren primär über Sperren und Filter. Achtung: Bedenken Sie, dass bei iPhones mit aktiver Code-Sperre nach zehnmaliger Falscheingabe des Codes die gesamten Daten gelöscht werden! Sie sollten diese sicherheitshalber aufheben, bevor Sie Ihr Smartphone an Kinder weitergeben. Page  15

16 Wie sicher ist Ihr Handy?
Kennen Sie die Sicherheitsrisiken bei der Nutzung von Apps? Kennen Sie die Sicherheitsrisiken von sogenannten "In-App-Käufen"? Verwenden Sie das sogenannte "Jailbreaking" bzw. "Rooten"? Ist die WLAN- oder Bluetooth-Funktion Ihres Smartphones dauerhaft eingeschaltet und eine automatische Verbindung zugelassen? Nutzen Sie Ihr Handy als mobilen WLAN-Hotspot? Wissen Sie, was zu tun wäre, wenn Sie Ihr Smartphone verkaufen, verschenken oder verborgen? Zusammenfassende Information „Jailbreaking“ ist das inoffizielle Entsperren von Software und Hardware, meint in den meisten Fällen aber das Entsperren von Smartphones. Gerade das sehr beliebte iPhone gerät mit seinem geschlossenen System immer wieder in die Kritik, da zum Beispiel keine Apps installiert werden können, die nicht im Apple Store erhältlich sind. Das Gegenstück zum "Jailbreak" bei Apple ist das „Rooten“ bei Android: Ein „Root“ ist vergleichbar mit einem Administrator-Konto, welches volle Zugriffs- und Schreibrechte hat und über welches somit das gesamte System verändert werden kann. Achtung: Durch den "Jailbreak" und das "Rooten" kann das Betriebssystem Ihres Smartphones beeinträchtigt oder sogar beschädigt werden. Ungeübte Nutzerinnen und Nutzer können auch Opfer von falschen "Jailbreak"-Programmen oder von Schadsoftware werden. Zudem fällt das "Jailbreaking" und "Rooten" in eine rechtliche Grauzone und kann unter Umständen die Garantie beeinträchtigen! Bei Handyverträgen mit einem limitierten Internet-Paket kann pro Monat nur ein bestimmtes Datenvolumen verbraucht werden. Wird dieses überschritten, wird es meistens teuer. Wenn Sie einen Datentarif mit begrenztem Internetvolumen haben, empfiehlt es sich, den eigenen Verbrauch im Auge zu behalten. Das iPhone bietet zur Volumenkontrolle den Menüpunkt „Mobile Datennutzung“, bei dem der eigene Verbrauch ermittelt werden kann. Wenn sich das Smartphone automatisch im Büro oder zu Hause mit dem WLAN verbindet, ist das auf Dauer ein Sicherheitsrisiko. Der Datenaustausch über WLAN oder Bluetooth ist oft nur mangelhaft gesichert und kann relativ leicht ausspioniert werden. Sie sollten die WLAN- und Bluetooth-Funktion nur dann einschalten, wenn Sie auf ein lokales WLAN-Netzwerk zugreifen wollen oder Sie die Bluetooth-Funktion unmittelbar benötigen. Ein angenehmer Nebeneffekt dieser einfachen Sicherheitsvorkehrung ist ein stark reduzierter Akku-Verbrauch. Viele Smartphones mit Datenverbindung bieten die Möglichkeit, das Handy als WLAN-Router zu verwenden und so beispielsweise als mobiler Hotspot für den eigenen Laptop zu fungieren. Die Hotspot-Funktion sollten Sie jedenfalls mit einem Passwort sichern und ebenfalls nur bei Bedarf aktivieren. Die meisten Smartphones bieten mittlerweile die Möglichkeit, es bei Verlust oder Diebstahl zu orten, es sperren zu lassen oder sogar die Daten aus der Ferne zu löschen. Es gilt aber, bei dieser Funktion zwischen Privatsphäre und Sicherheit abzuwägen: Möchten Sie derartige Funktionen nutzen, müssen Sie das GPS-Tracking aktivieren. Apple hat hierzu die „Find my iPhone“-Funktion integriert. Ist die Funktion auf dem Gerät aktiviert, ist die (ungefähre) Position des Smartphones über die iCloud einsehbar. Um Ihr Smartphone bei Bedarf kindersicher zu machen, sollten Sie das Roaming sowie In-App-Käufe deaktivieren und Mehrwertdienste sperren. In letzter Konsequenz können Sie das Internet deaktivieren und in den Flugmodus wechseln. Mittlerweile gibt es auch zahlreiche Apps, die sich dem Thema Kindersicherheit widmen. Diese sind dann aber Endgerät-basiert und funktionieren primär über Sperren und Filter. Achtung: Bedenken Sie, dass bei iPhones mit aktiver Code-Sperre nach zehnmaliger Falscheingabe des Codes die gesamten Daten gelöscht werden! Sie sollten diese sicherheitshalber aufheben, bevor Sie Ihr Smartphone an Kinder weitergeben. Page  16

17 Sicher unterwegs in fremden WLANs!
WLAN-Sicherheitstips: Schalten Sie die WLAN-Funktion nur ein, wenn Sie diese benötigen. Rufen Sie vertrauliche Daten über ein fremdes WLAN-Netz am besten nicht ab. Verwenden Sie verschlüsselte Datendienste (https). Deaktivieren Sie die Datei- und Verzeichnisfreigaben Deaktivieren Sie nach Möglichkeit die automatische Anmeldung an bekannten Hotspots. Schalten Sie die WLAN-Funktion nur ein, wenn Sie diese benötigen! Auch beim Gebrauch im öffentlichen Raum gilt: Ein abgeschaltetes WLAN bietet keine Angriffsfläche. Rufen Sie vertrauliche Daten über ein fremdes WLAN-Netz am besten nicht ab. Falls das unvermeidbar ist, tun Sie dies möglichst nur über eine SSL gesicherte Verbindung (z.B.: https) oder ein VPN (Virtual Private Network). Ein VPN bietet Ihnen eine verschlüsselte Verbindung für sämtliche übertragenen Daten in ein vertrauenswürdiges Netzwerk, so dass unberechtigte Dritte in einem nicht vertrauenswürdigen Netz, zum Beispiel einem öffentlichen WLAN, Ihre Daten nicht mitlesen können. Viele Arbeitgeber bieten ein VPN für die sichere Anbindung externer Mitarbeiter an. Für eine private Nutzung gibt es verschiedene Angebote von Internet-Providern und spezialisierte Dienstleister. Informieren Sie sich über das Sicherheitsniveau des Hotspots! In den meisten Hotspots wird nicht verschlüsselt. Lesen Sie die Beschreibungen des Hotspot-Leistungsangebots oder fragen Sie – etwa in einem Café – einfach den Besitzer. In unserer Linkliste (Stichwort: WLAN) finden Sie außerdem ein Online-Verzeichnis, in dem Hotspots auch nach Sicherheitskriterien beschrieben werden. Viele Hotspots haben eine fundamentale Schwachstelle: Um dem Nutzer einen möglichst unproblematischen Netzzugang zu ermöglichen, erfolgt keine Verschlüsselung auf der Luftschnittstelle. Deswegen sind die Nutzer für die Vertraulichkeit der Datenübertragung immer selbst verantwortlich. Wenn Sie in einem öffentlichen Netzwerk Zugang zu Ihrem Firmen- oder Heimnetzwerk aufbauen möchten, führen Sie den Zugang über VPN (Virtual Private Network) aus. Deaktivieren Sie die Datei- und Verzeichnisfreigaben. Je nach Konfiguration des Hotspots kann es möglich sein, dass Ihr Gerät im Netzwerk für andere sichtbar ist. Deaktivieren Sie nach Möglichkeit die automatische Anmeldung an bekannten Hotspots. Den Namen seines WLANs kann ein Betreiber frei wählen. Daher ist es denkbar, dass Betrüger WLANs errichten, diese "Telekom" oder "Free Wifi" nennen, und dann darauf warten, dass sich Smartphones einbuchen. So können sie zum einen die Zugangsdaten abgreifen, die Ihr Gerät für WLANs mit dem entsprechenden Namen abgespeichert hat. Zum anderen könnten sie den gesamten Datenverkehr mitlesen. Da sich auch verschlüsselte Verbindungen vortäuschen lassen, sollten Sie in fremden WLANs auch SSL-gesicherten Websites (https://...) ein gesundes Misstrauen entgegen bringen. Page  17

18 Sicherheit betrifft jeden!
Gehen Sie sorgsam und verantwortungsvoll mit den Daten um. Selbstverantwortung mit Hausverstand kann viele Sicherheitslücken schließen. Beschäftigen Sie sich mit dem Thema Sicherheit, informieren sie sich und schulen Sie Ihre Mitarbeiter. Nehmen Sie bei jedem Verdacht oder jeder Ungewissheit Kontakt mit einem Kärntner IT-Experten auf. Page  18

19 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! Page  19


Herunterladen ppt "Page  1."

Ähnliche Präsentationen


Google-Anzeigen