IT-Sicherheit - Handwerkskammer Dresden
Transcrição
IT-Sicherheit - Handwerkskammer Dresden
Online und mobil, aber sicher! IT-Sicherheit im Handwerksbetrieb Angebote für Unternehmen: Informationen (Leitfäden, Checklisten, Praxisbeispiele, Studien, Kontakte, …) wettbewerbsneutral und kostenlos als Alleinstellungsmerkmal Expertennetzwerk an 38 Standorten (in Sachsen Chemnitz, Dresden und Leipzig) mit unterschiedlichen Themenschwerpunkten und Technologie-/Netzwerktransfer Informationsgespräche Austausch mit anderen Unternehmen = Wissenstransfer vom Könner/Vorreiter zu KMU 2 Datensicherheit = Informationssicherheit Umfasst alle relevanten Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten Vertraulichkeit – Erheben, Verarbeiten und Speichern nur von autorisierten Benutzern Integrität – nachvollziehbare Änderungen Verfügbarkeit – Zugriff auf Daten, Verhinderung von zufälliger Zerstörung oder Verlust Quelle: www.digitales-rezept-zentrum.de 3 Zugriffssteuerung - Berechtigungen und Benutzerrechte Autorisieren von Benutzern, Gruppen und Computern für den Zugriff auf Daten beruht auf den grundlegenden Konzepten der Berechtigungen, Benutzerrechte und Datenüberwachung Berechtigungen – einem Benutzer oder einer Gruppe werden Zugriffsrechte auf festgelegte Daten eingeräumt Benutzerrechte – Benutzer und Gruppen erhalten innerhalb des IT-Systems spezielle Privilegien und Anmelderechte Datenüberwachung – der Benutzerzugriff Quelle: bvi-magazin.de auf Daten kann überwacht werden 5 Zugriffssteuerung - Berechtigungen und Benutzerrechte Quelle: www.secure-it.nrw.de 6 Quelle: windows.microsoft.com 7 Schutz vor Viren und Schadsoftware Zahlen 2013 zur Verbreitung von Schadsoftware: täglich wurden 315.000 neue Schädlinge entdeckt (Kaspersky Lab) 1.700.870.654 browserbasierte Angriffe mobile Geräte verzeichnen stark steigende Virenaktivitäten - 104.000 neue Varianten Quelle: www.computerbild.de Trends 2013: Ransomware und Drive-By-Downloads 8 Schutz vor Viren und Schadsoftware lernende Systeme, die den Code von Viren erkennen ( Update) zuverlässiger Schutz ist nur gewährleistet, wenn der Virenscanner: regelmäßig aktualisiert wird, immer aktiviert ist und regelmäßige Überprüfungsroutinen festgelegt sind kostenpflichtige Programme bieten meist zusätzliche Funktionen, Qualitätsunterschiede sind jedoch nicht bekannt Quelle: www.computervirus.de Tipp: Auch der Server sollte mit einem Antivirenprogramm ausgestattet sein 9 Firewall einrichten – die Mauer gegen Angriffe Definition: Hard- oder Software, die zwischen Rechner oder lokale Netzwerke und öffentliche Netze geschaltet wird, um den Zugriff auf Rechner von außen durch unbefugte Dritte zu verhindern und so interne Daten zu schützen. (Gabler) Firewall meist im Betriebssystem (z. B. Windows) verankert – bietet nur Schutz für Einzelrechner Für Betriebe mit mehreren PC ist eine Netzwerk-/Hardware-Firewall ratsam. physische Trennung zwischen Firewall und Geräten, auf denen die Daten liegen Quelle: www.thewindowsclub.com 10 Aktualisierung/Update von Betriebssystem und Anwendungssoftware immer mit aktuellen Versionen des Betriebssystems und der genutzten Programme arbeiten Update-/Aktualisierungsmanagement festlegen Quelle: www.corporate-directory.net automatische Aktualisierungsfunktionen von Betriebssystem, Anti-Viren-Software und Anwendungen (z. B. Mailprogramm) nutzen 11 Datensicherung – schützen Sie sich vor Verlust! Daten eines Betriebes unterliegen dem Risiko des Verlustes durch: Hardwaredefekt – Zerstörung der Festplatte Softwaredefekt – fehlerhaftes Update der Anwendungssoftware äußere Umstände – Verlust des IT-Systems durch Diebstahl, Brand menschliche Fehler – (un-)absichtliches Löschen durch Mitarbeiter Kriminalität – Virenangriffe Quelle: www.ontrack.de Deshalb: regelmäßige Datensicherung (möglichst täglich) ! 12 Datensicherung – schützen Sie sich vor Verlust! zentrale Datenhaltung (z. B. auf einem Serversystem) Trennung von betrieblicher und privater Nutzung Durchführung der Datensicherung mit folgenden Vorgaben: Datensicherheitskonzept erarbeiten räumliche Trennung von Datenbestand und Backup-Datenträger Sicherheit der Wiederherstellung prüfen (regelmäßige Kontrolle) Automatisierung der Datensicherung (Terminsicherung) Ausfallsicherheit gewährleisten (z. B. Notstromversorgung) Quelle: www.attingo.ch 13 Datensicherung – schützen Sie sich vor Verlust! mögliche Wege der Datensicherung: externe gebräuchliche Datenträger (Festplatte, USB-Stick, DVD) spezielle Datensicherungslösung (Bandlaufwerke, DASI) Raid-Systeme (redundante Festplattensysteme) Cloud-Lösungen (über Dienstleister) Sollten trotz Datensicherung doch einmal wichtige Daten verloren gehen, gibt es Spezialanbieter für Datenrekonstruktion. jedoch teuer (bis zu 5.000 Euro pro Festplatte) und evtl. nicht mehr möglich 14 Passwortschutz – so nicht! Top 5 der deutschen Passwörter: 1. 123456 2. f+++en 3. passwort 4. baby 5. Sommer Quelle: splashdata.com Deshalb: Niemals das Passwort aufschreiben! Niemals das Passwort per Email verschicken! Niemals das Passwort an andere weitergeben – auch nicht „mal eben“. 15 Passwortschutz – so geht’s! Passwörter sind wie Unterhosen… …je länger, desto besser * …nicht rumliegen lassen …häufig wechseln …nicht offen tragen …nicht mit anderen teilen …nicht immer das selbe verwenden Quelle: www.gentleman-blog.de * Gilt bei Passwörtern auch im Sommer… 16 Passwortschutz – so geht’s! Ein gutes Passwort hat mindestens acht, besser zehn oder mehr Zeichen. Verwenden Sie Groß- und Kleinschreibung, sowie Ziffern, Satz- und Sonderzeichen. Passwort wählen, das man sich leicht merken kann, damit man es sich nicht aufschreiben muss Passwort wählen, das man schnell und sicher eingeben kann, damit es niemand beim Eintippen mitlesen kann Passwort ohne sprachliche Bedeutung verwenden 17 Passwortschutz – so geht’s! Kompliziertes Passwort, leicht gemacht! Zum Beispiel: Einen Satz wählen und sich jeweils den ersten Buchstaben der Worte merken. So erhält man aus dem Satz Ich sollte mein Passwort nicht auf ein Stück Papier schreiben das Passwort: IsmPnaeSPs 18 Passwortschutz – übrigens… Ihr sicheres Passwort nützt nichts, wenn jede(r), die/der in Ihr Büro kommt an Ihren Rechner und damit an Ihre Daten und Dokumente gelangen oder per EMail Ihre Identität annehmen kann. (WIN+L) 19 E-Mail – die Postkarte im Netz Eine E-Mail kann „unterwegs“ mitgelesen oder verfälscht werden. Das gilt auch für Daten, die über Bildschirmmasken im Internet abgesendet werden. Nutzen Sie für sensiblen E-Mail-Verkehr sichere Übertragungswege (TLS-Verschlüsselung, VPN zwischen verschiedenen Standorten). Übertragen Sie persönliche oder vertrauliche Informationen nur verschlüsselt (z. B. mit PGP, GnuPG). Stellen Sie evtl. eine Datenübertragung über andere Kanäle als E-Mail sicher (z. B. gesicherter FTP-Server). Erkundigen Sie sich bei auffälligen E-Mails beim Absender über die Richtigkeit der E-Mail. 20 E-Mail – die Postkarte im Netz Gefahr der Übertragung von Viren, Würmern und Trojanern, deshalb: unbekannte bzw. unverlangt erhaltene Dateianhänge nicht öffnen Makros in Dateianhängen (z. B. Word) deaktivieren Vorschaufenster im E-Mail-Programm deaktivieren E-Mails nur im Textmodus, nicht im HTML-Modus anzeigen lassen E-Mails unbekannter Absender oder mit unbekanntem Titel sofort löschen auf SPAMs niemals antworten, keine Abwesenheitsnotiz versenden Quelle: www.secure-it.nrw.de 21 USB – ist OK? Fremde USB-Sticks, Festplatten oder andere Datenträger bergen das Risiko von Schadsoftware Sicherheitskonzept für Fremd-Datenträger entwickeln immer primäre Virenprüfung vor Verwendung Mitarbeiter sensibilisieren ggfs. Sperrung der entsprechenden Anschlüsse Quelle: www.com-magazin.de 22 Sicherheit bei mobilen Endgeräten Das Smartphone ist wie ein Computer, behandeln Sie es auch so! Passwort / PIN zum Entsperren des Bildschirms Regelmäßige Sicherungskopien Anti-Virensoftware bzw. App auch auf dem Smartphone installieren Bluetooth- oder W-LAN-Verbindung nur aktiv, wenn nötig Apps nur aus den GooglePlay, Apple-Appstore Berechtigungen der Apps prüfen By G.Hagedorn (Own work) [CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons 23 Zusammenfassung Daten- und IT-Sicherheit betrifft alle Mitarbeiter sensibilisieren! Maßnahmen grob skizzieren und regelmäßig prüfen Zugriffskontrolle bei Geräten, Daten, Programmen Passwörter: lang, keine Wörter, nicht liegen lassen, regelmäßig wechseln Sicherungskopien Regelmäßige Updates Virenschutz (Firewall, Virenscanner) Mobile Geräte wie einen stationären PC (ab-)sichern 24 Hier finden Sie weitere Informationen www.hwk-dresden.de Beratung Innovation und Technologie IT-Sicherheit Bundesamt für Informationssicherheit: www.bsi-fuer-buerger.de www.ebusiness-lotse-dresden.de Quelle: ww.com-magazin.de 25 Ansprechpartner: Ulrich Goedecke Handwerkskammer Dresden Am Lagerplatz 8 01099 Dresden Telefon 0351 4640-505 Fax 0351 4640-34505 E-Mail [email protected] www.ebusiness-lotse-dresden.de 26 Die eBusiness-Lotsen Chemnitz und Dresden sind Teil der Förderinitiative „eKompetenz-Netzwerk für Unternehmen“, die im Rahmen des Förderschwerpunkts „Mittelstand-Digital – IKTAnwendungen in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert wird. Der Förderschwerpunkt unterstützt gezielt kleine und mittlere Unternehmen (KMU) sowie das Handwerk bei der Entwicklung und Nutzung moderner Informations- und Kommunikationstechnologien (IKT). Mittelstand-Digital setzt sich zusammen aus den Förderinitiativen „eKompetenz-Netzwerk für Unternehmen“ mit 38 eBusiness-Lotsen, „eStandards: Geschäftsprozesse standardisieren, Erfolg sichern“ mit etwa 16 Förderprojekten und „Einfach intuitiv – Usability für den Mittelstand“ mit zurzeit 13 Förderprojekten. Weitere Informationen finden Sie unter www.mittelstand-digital.de. 27