Be Secure: Informationsschutz & Cyber-Sicherheit Sicher zusammenarbeiten: Be Secure und Collaboration Transformation zeigen wie Be Secure: Informationsschutz & Cyber-Sicherheit

Willkommen Ihre Moderatoren Bernhard Eiermann BASF SE Informations- schutz Julia Maria Grosse-Vorholt Collaboration Transformation Project Kontakt: Be Secure: be-secure@basf.com Collaboration Transformation: collaboration-transformation@basf.com 9/17/2018 INTERN

1 3 2 4 Zielsetzung Am Ende dieser Sitzung werden Sie: Mehr über Be Secure und die neuen sicheren Verhaltensweisen wissen 1 Den Zusammenhang verstehen zwischen virtueller Zusammenarbeit und Informations- schutz & Cyber-Sicherheit bei BASF 2 Die sicheren Verhaltens-weisen kennen-lernen, die für die virtuelle Zusammen-arbeit relevant sind 3 Wissen, wo Sie weiter-führende Informationen erhalten 4 9/17/2018 INTERN

Agenda 1 Be Secure und seine Verbindung zur virtuellen Zusammenarbeit Willkommen, ich bin Frau Sicher und ich werde Sie durch diese Sitzung begleiten! 2 Vier typische Situationen bei der virtuellen Zusammenarbeit 2.1 Eine Geschäftsreise vorbereiten 2.2 Unterwegs arbeiten 2.3 Eine Präsentation halten 2.4 E-Mails prüfen 3 Zusammenfassung & Ihre Fragen 9/17/2018 INTERN

1. Be Secure fördert neun sichere Verhaltensweisen Cyber-Angriffe nehmen stark zu und wissenskonzentrierte Unternehmen wie BASF sind ein beliebtes Ziel. BASF hat ein Programm gestartet, um das Sicherheitsniveau bei BASF zu steigern. Die „Be Secure” Kampagne beinhaltet neun sichere Verhaltensweisen, die konkrete Handlungen zur Gewährleistung von Informationsschutz und Cyber-Sicherheit widerspiegeln. Bei der Umsetzung dieser Verhaltensweisen wird das Verhalten von Mitarbeitern nachhaltig beeinflusst. Machen Sie mit Sichere Passwörter verwenden Informationen klassifizieren Achten Sie auf das Need-to-know-Prinzip Öffentliche Internetdienste mit Vorsicht nutzen Mehr Dateien und Links vor dem Öffnen prüfen Sie finden mehr Informationen unter: be-secure.basf.net und ip.basf.net Autorisierte Geräte verbinden und Verschlüsselung nutzen Beim Arbeiten außerhalb des Büros mit dem BASF-Netzwerk verbinden Laden Sie die Be Secure Mobile App im BASF App Store herunter Holen Sie sich Hilfe beim ISSD und Ihrem ISB 9/17/2018 INTERN

1. Collaboration Transformation-Projekt Fördert die kollaborativen Arbeitsweisen in der BASF (mit Hilfe der Connected Enterprise-Tools) unterstützt Weitere Informationen unter: www.basf.net/connected-enterprise/new-ways-of-working Den ver-bundenen Mitarbeiter Das virtuelle Team Den ver-bundenen Executive Nutzen: Expertise verbinden Effizienz erhöhen Mehrfacharbeit vermeiden Aufwände, Reisekosten und Reaktionszeiten verringern 9/17/2018 INTERN

1. Clevere Tipps für bessere Zusammenarbeit, die sich ganz leicht umsetzen lassen Explorer / Expert Groups: Identifizieren ein Nutzenszenario in einer kleinen Gruppe, welches dann geteilt wird Testimonial: Erfolgsgeschichte mit den neuen Arbeitsweisen von BASF MitarbeiterInnen Inspiration of the Month: Beschreibt ein Thema der Zusammenarbeit, inklusive relevanter Tools, Tipps und Tricks Tea(m) Times: Nutzen Sie diese 10-minütigen Workshops, um die besten Arbeitsweisen für Ihr Team zu finden! Change Agent Network: Gemeinschaft aus BASF-Mitgliedern, welche die neuen Arbeitsweisen verbreiten, indem sie ihre Kollegen überall auf der Welt anleiten 9/17/2018 7 INTERN

1. Collaboration Transformation Inspiration des Monats (IoM): Auch unterwegs verbunden bleiben 9/17/2018 INTERN

1. Eine starke Verbindung mit Be Secure Die Infographik „Auch unterwegs verbunden bleiben“ zeigt Aktivitäten und Tools, die BASF- Mitarbeiter beim Arbeiten unterwegs unterstützen. UNTERWEGS VERBUNDEN BLEIBEN Bedeutet außerhalb der sicheren BASF- Umgebung zu arbeiten und IT Tools zu nutzen. VERHALTEN SIE SICH SICHER Um Ihre Information zu schützen und zu vermeiden, dass sie in die falschen Hände gelangt. MIT DER HILFE VON FRAU SICHER Wir beschreiben konkrete Maßnahmen, die Ihnen dabei helfen, sicher unterwegs zu arbeiten. ALLE VERHALTENSWEISEN SIND RELEVANT In dieser Sitzung werden wir uns nur auf die wesentlichen Ideen konzentrieren. 9/17/2018 INTERN

1. Bei der Zusammenarbeit teilen wir Informationen mit Anderen Um sicher mit Informationen umzugehen, muss man erst identifizieren, um welche Schutzklasse es geht. Öffentlich Als öffentlich sind alle Informationen einzustufen, die bereits veröffentlicht sind oder von der zuständigen Stelle zur Veröffentlichung freigegeben wurden. Intern Als intern sind Informationen einzustufen, die nicht für die Öffentlichkeit bestimmt sind, die aber allen Mitarbeitern der BASF-Gruppe zur Kenntnis gelangen dürfen, ohne dass dabei ein Schaden für BASF entsteht. Als vertraulich sind Informationen einzustufen, die nur einer eingeschränkten Gruppe berechtigter Mitarbeiter der BASF zur Kenntnis gelangen dürfen. Die Kenntnisnahme dieser Informationen durch Unberechtigte würde der BASF Schaden verursachen. Vertraulich Als streng vertraulich sind Informationen einzustufen, die nur einer eingeschränkten Gruppe berechtigter und namentlich bekannter Mitarbeiter der BASF zur Kenntnis gelangen dürfen. Die Kenntnisnahme dieser Informationen durch Unberechtigte würde der BASF Schaden verursachen. Streng vertraulich 9/17/2018 INTERN

2.1 Eine Geschäftsreise vorbereiten: Mobile Geräte Wie erstelle ich ein starkes Passwort? Mindestens 8 Zeichen lang Komplex (mit Groß- und Kleinbuchstaben, Nummer und speziellen Zeichen) Nicht einfach zu erraten Regelmäßig geändert (mindestens alle 3 Monate) Frau Sicher wurde eingeladen, eine Präsentation bei einer Konferenz an einem anderen BASF- Standort zu halten. Das Reisen mit mobilen Datenträger birgt Risiken. Sie können verloren gehen oder gestohlen werden. Zusätzliche Schutzmaßnahmen sollten immer getroffen werden, um Informationen zu schützen. Verwenden Sie nur autorisierte Geräte. Begrenzen Sie die Informationen auf mobilen Datenträgern. Transportieren Sie nur die wesentlichen Informationen und in verschlüsselter Form. . Verwenden Sie keine unautorisierten privaten mobilen Datenträger. Nutzen Sie mobile Datenträger nicht als einzigen Speicherort für wichtige Daten. 9/17/2018 INTERN

2.1 Eine Geschäftsreise vorbereiten: Verschlüsselung mit WinZip Wie kann ich Informationen mit WinZip verschlüsseln? Suchen Sie nach WinZip im Startmenü. Öffnen Sie WinZip und stellen Sie die Option “Verschlüsseln” auf der rechten Seite auf “Ein”. Wählen Sie den Ordner oder die Dateien aus, die in verschlüsselter WinZip Form gespeichert werden sollen. Geben Sie ein starkes Passwort ein und bestätigen Sie dieses. Klicken Sie auf die Schaltfläche „Speichern als“ um den Vorgang abzuschließen. 1 2 Nutzen Sie SecureDocExpress für die Übertragung großer Mengen an Informationen an externe Partner. Hier gibt es ein Limit von 5 Dateien oder 2 GB pro Charge. 9/17/2018 INTERN

2.1 Eine Geschäftsreise vorbereiten: Sichere WebEx-Sitzungen Wie kann ich eine sichere WebEx-Konferenz erstellen? Wählen Sie den Meeting-Typ “E2E” in den WebEx-Einstellungen aus. Erstellen Sie ein starkes Passwort für die Konferenz. Wählen Sie “Nur VoIP verwenden” für die Audioverbindung. 1 2 3 9/17/2018 INTERN

2.1 Eine Geschäftsreise vorbereiten: Quiz Wie erkenne ich, dass meine Audioverbindung in WebEx sicher ist? Bei der Erstellung einer WebEx-Einladung in Outlook wähle ich das Meeting-Typ “E2E” in den WebEx-Einstellungen aus. A Ich wähle “Nur VoIP verwenden” für die Audioverbindung aus. B Beide Antworten sind korrekt. C C 9/17/2018 INTERN

2.2 Unterwegs arbeiten: Be Secure in öffentlichen Umgebungen Frau Sicher ist auf dem Weg zur Konferenz. Sie läuft durch die Zugkabine und sieht viele Geschäftsleute, die an ihren Rechnern arbeiten oder telefonieren. Sie ist erschrocken, wie fahrlässig die Passagiere mit Ihren Geschäftsinformationen umgehen. BASF Achten Sie auf Ihre Umgebung, wenn Sie außerhalb Ihres BASF-Büros arbeiten. Verwenden Sie eine Laptop-Sichtschutzfolie. Aktivieren Sie die VPN-Verbindung. Achten Sie auf Ihre Gegenstände und räumen Sie alles auf, wenn Sie Ihren Sitzplatz verlassen. Bearbeiten Sie keine Geschäftsinformationen in einer unsicheren Umgebung. Ziehen Sie keine Aufmerksamkeit auf sich, z.B. mit einer BASF-Anstecknadel oder Ähnlichem. Nutzen Sie keine fremden Netzwerke ohne eine VPN-Verbindung. 9/17/2018 INTERN

2.2 Unterwegs arbeiten: Quiz Welche Aussage beschreibt die Sicherheitsrisiken in dieser Situation? Ein Mitarbeiter spricht über streng vertrauliche Sachverhalte in einem vollbesetzten Zug. Ja, ich arbeite gerade an einem Organisationswandel… Sie werden kaum glauben, worüber wir gestern mit dem Betriebsrat gesprochen haben… A Ein Mitarbeiter arbeitet auf seinem Laptop ohne seine Informationen vor Fremden zu schützen. B BASF Beide Antworten sind korrekt. C 9/17/2018 INTERN

2.3 Eine Präsentation halten: Die Nutzung von IT Tools Frau Sicher stellt die IT Tool Security Matrix vor. Diese zeigt die Eignung der IT-Anwendungen hinsichtlich des Umgangs mit Informationen, die einer der vier Informationsschutzklassen zugeordnet sind. Schauen wir sie näher an! Fragen Sie Ihren Vorgesetzten nach der Klassifizierungsliste Ihrer Einheit. Informieren Sie sich darüber, wie man richtig und konsistent Informationen handhabt. Verwenden Sie das am besten geeignet Tool, um Informationen zu schützen. Klicken Sie auf die Datei, um sie zu öffnen: 9/17/2018 INTERN

2.4 E-Mails prüfen: E-Mails klassifizieren und markieren Nach der Präsentation prüft Frau Sicher Ihre Emails. Vor dem Versenden klassifiziert und markiert sie alle E-Mails mit dem BASF-Klassifizierungs- Wizard in Outlook. Sie nutzt auch eine digitale Signatur. Klassifizieren und markieren Sie E-Mails mit den richtigen BASF-Schutzklassen. Leiten Sie (streng) vertrauliche Informationen nur verschlüsselt weiter. Richten Sie eine sichere Korrespondenz mit externen Partner ein. Vergessen Sie nicht, Ihre Informationen zu klassifizieren und zu markieren. Markieren Sie nicht alles einfach als „vertraulich“. 9/17/2018 INTERN

2.4 E-Mails prüfen: E-Mail-Korrespondenz mit Externen 1 2 Wie kann ich BASF´s Secure Mail Gateway mit externen Partnern einrichten? In Outlook wählen Sie Kontoinformationen aus. In den Kontoeinstellungen wählen Sie Adress- bücher und dann Neu. Wählen Sie dann die Option Internetverzeichnisdienst (LDAP) und klicken Sie auf Weiter. Bei Servername geben Sie folgendes ein: securemail.basf.net Klicken Sie dann Weitere Einstellungen an. Bestätigen Sie beide Pop-ups mit OK. Klicken Sie dann wieder auf Weiter und dann auf Fertigstellen. Um die Änderungen zu aktivieren, starten Sie Outlook neu. 3 4 9/17/2018 INTERN

2.4 E-Mails prüfen: Eine Phishing-Mail identifizieren Trotz aller Sicherheitssysteme weiß Frau Sicher, dass Phishing Mails in Ihrem Posteingang landen können. Deshalb ist sie immer vorsichtig, wenn Sie E-Mails von einem unbekannten Sender bearbeitet, da sie Phishing-Mails sein können. Sie findet eine E-Mail von einem unbekannten Sender mit dem folgenden Link in Ihrem Posteingang. Kann man darauf klicken? https://basf.com-internet.org/ Achtung! Diese Domain führt nicht zu einer BASF-Webseite. Wie läuft eine Phishing-Attacke ab? 1 2 3 4 Gezieltes Versenden einer Phishing-Mail Nutzer erkennt Phishing-Attacke nicht Installation der Schadsoftware durch Klick auf Link Zugriff auf System und Informationen durch Kriminelle 9/17/2018 INTERN

2.4 E-Mails prüfen: Eine Phishing-Mail erkennen und melden Checkliste: Wie erkenne ich eine Phishing-Mail? Unstimmigkeit zwischen Absendernamen und Inhalt der E-Mail Unaufgeforderte Anfrage nach sensiblen Informationen Links zu unbekannten Internetseiten Unaufgefordert zugesandte Anhänge, die Sie ansehen sollen Zeitlicher oder autoritärer Druck, um Anfragen zu beantworten ? Prüfen Sie die Herkunft der E-Mail und gleichen Sie Absendernamen und E-Mail- Adresse miteinander ab. Prüfen Sie Hyperlinks, bevor Sie diese öffnen. Ausführbare Dateien und auch andere Dateitypen (PDF) können gefährlich sein. Vertrauen Sie nicht nur auf den Schutz Ihrer Sicherheitssoftware > Handeln Sie bewusst! Öffnen Sie keine zugesandten Anhänge oder Hyperlinks in E-Mails, bei denen Sie den Absender nicht kennen oder vorab nicht überprüft haben. 9/17/2018 INTERN

2.4 Emails prüfen: Ist diese Email echt oder falsch? 1 Die Email wurde nicht von einer BASF-E-Mail- Adresse versendet, sondern von einer Gmail- Adresse. 1 2 2 „Dringende Aktion erforderlich": Der Empfänger wurde unter Zeitdruck gesetzt. 3 3 Der Empfänger wurde nicht persönlich adressiert. 4 4 Der Link in der E-Mail führt nicht zu einer BASF-Adresse (e.g. https://basf.com-internet.org/) 5 5 Eine offizielle Signatur, die die Organisationseinheit des Senders identifiziert, fehlt (d.h. die BASF-E-mail-Signatur.) 9/17/2018 INTERN

3. Zusammenfassung Machen Sie mit Mit der Hilfe von Frau Sicher haben wir spezifische Verhaltensweisen angesehen, die Ihnen bei der sicheren Zusammenarbeit mit Anderen helfen. Von den 9 sicheren Verhaltensweisen haben wir nur einige heute behandelt (siehe grün). Sichere Zusammenarbeit heißt: Sichere Passwörter verwenden Informationen klassifizieren Achten Sie auf das Need-to-know-Prinzip Informationen nur auf autorisierte Geräten nutzen speichern Verschlüsselung zusammen mit starken Passwörtern benutzen Informationen immer klassifizieren und markieren Verwenden Sie geeignete Tools für Ihre Informationen E-Mails vorsichtig prüfen Phishing-Mails melden Bedenken Sie Ihre Umgebung Öffentliche Internetdienste mit Vorsicht nutzen Dateien und Links vor dem Öffnen prüfen Autorisierte Geräte verbinden und Verschlüsselung nutzen Beim Arbeiten außerhalb des Büros mit dem BASF-Netzwerk verbinden Holen Sie sich Hilfe beim ISSD und Ihrem ISB 9/17/2018 INTERN

Ihre Fragen ? ? ? 9/17/2018 INTERN

Links zu den Tipps Tipp Link Wie nutze ich WinZip? https://my-link.basf.com/de/tips/19210703#tip-1089 Wie kann ich große Dateien meinen Geschäftspartnern zuteilen? https://my-link.basf.com/de/tips/04010101#tip-887 Wie kann ich eine sichere WebEx-Konferenz organisieren? https://my-link.basf.com/de/tips/04020100#tip-1254 Wie kann ich E-Mails in Outlook markieren? https://my-link.basf.com/de/tips/06200100#tip-1007 Wie kann ich eine E-Mail mit einer digitalen Signatur senden? https://my-link.basf.com/de/tips/04010101#tip-874 Wie richte ich eine sichere E-Mail-Korrespondenz mit externen Partnern ein? https://my-link.basf.com/de/tips/06200100#tip-798 9/17/2018 INTERN