Nordrhein-Westfalen macht Schule. IT-Sicherheit im Verwaltungsnetz Nordrhein-Westfalen macht Schule. IT-Sicherheit im Verwaltungsnetz. Düsseldorf, 2.3.2017
Sicherheitsstufen und Bedürfnisse Sicherheitsstufen und Bedürfnisse. - Sichere Verwendung der Datenbank - Schutz vor Zugriff auf die Daten - Schutz der internen Passwörter - Sicheres Backup - Schutz vor Angriffen von Außen - Schutz vor Angriffen von Innen Diese Anforderungen sind an jeder Schule anders!
Datenbanksysteme. Völlig unterschiedliche Sicherheitsanforderungen MSSQL MySQL MSAccess Firebird Schutz der Daten 1. Im Netzwerkbetrieb 2. Bei Entwendung der Daten
Potenzielle Gefahren: Angriff innerhalb der Verwaltungsnetzes Übernahme eines Rechners durch Schadsoftware Versenden der Daten Angriffe auf den Server von außerhalb Schüler gelangen an eine Netzwerkdose Virus durch Phishingmail installiert Daten wurden unverschlüsselt per Mail gesendet Der Verwaltungsserver der Schule ist aus dem Netz erreichbar
Gegenmaßnahmen auf Hardwareseite Räume mit Verwaltungsrechnern sind gesichert! Computer sind bei Abwesenheit gesperrt! Booten von externen Datenträgen ist abgeschaltet! Es ist ein BIOS-Passwort vergeben. Im Netzwerk gibt es eine Zugangskontrolle für Rechner (DHCP <> MAC). Netzwerkverschlüsselung. Verschlüsselung auf der Festplatte (Bitlocker!).
Gegenmaßnahmen auf Softwareseite (Was können wir tun?) Passwortsicherheit bei der Speicherung Passwortrichtlinien Verschlüsselung der Datenbank (???) Verschlüsselung der Backups Auswahl des DBMS Benutzerkontrolle und Verwaltung der Rechte
Besondere Anforderungen bei WebApplikationen Ende zu Ende Verschlüsselung Maßnahmen gegen SQL-Injektionen Zertifizierung der Server Verschlüsselungen aller gespeicherter Daten Sicherheit durch regelmäßige Audits Beispiele >>> SchildWeb und XNM