IT-Sicherheit - Handwerkskammer Dresden

Online und mobil,
aber sicher!
IT-Sicherheit im Handwerksbetrieb
Angebote für Unternehmen:
 Informationen (Leitfäden, Checklisten,
Praxisbeispiele, Studien, Kontakte, …)
wettbewerbsneutral und kostenlos
als Alleinstellungsmerkmal
 Expertennetzwerk an 38 Standorten
(in Sachsen Chemnitz, Dresden und Leipzig)
mit unterschiedlichen Themenschwerpunkten
und Technologie-/Netzwerktransfer
 Informationsgespräche
 Austausch mit anderen Unternehmen =
Wissenstransfer vom Könner/Vorreiter zu KMU
2
Datensicherheit = Informationssicherheit
Umfasst alle relevanten Informationen einer Organisation oder eines Unternehmens
einschließlich personenbezogener Daten
 Vertraulichkeit – Erheben, Verarbeiten und
Speichern nur von autorisierten Benutzern
 Integrität – nachvollziehbare Änderungen
 Verfügbarkeit – Zugriff auf Daten, Verhinderung
von zufälliger Zerstörung oder Verlust
Quelle: www.digitales-rezept-zentrum.de
3
Zugriffssteuerung - Berechtigungen und
Benutzerrechte

Autorisieren von Benutzern, Gruppen und Computern für den Zugriff auf Daten

beruht auf den grundlegenden Konzepten der Berechtigungen, Benutzerrechte
und Datenüberwachung
 Berechtigungen – einem Benutzer oder
einer Gruppe werden Zugriffsrechte auf
festgelegte Daten eingeräumt
 Benutzerrechte – Benutzer und Gruppen
erhalten innerhalb des IT-Systems
spezielle Privilegien und Anmelderechte
 Datenüberwachung – der Benutzerzugriff Quelle: bvi-magazin.de
auf Daten kann überwacht werden
5
Zugriffssteuerung - Berechtigungen und
Benutzerrechte
Quelle: www.secure-it.nrw.de
6
Quelle: windows.microsoft.com
7
Schutz vor Viren und Schadsoftware
Zahlen 2013 zur Verbreitung von Schadsoftware:
 täglich wurden 315.000 neue Schädlinge
entdeckt (Kaspersky Lab)
 1.700.870.654 browserbasierte Angriffe
 mobile Geräte verzeichnen stark steigende
Virenaktivitäten - 104.000 neue Varianten
Quelle: www.computerbild.de
 Trends 2013: Ransomware und Drive-By-Downloads
8
Schutz vor Viren und Schadsoftware

lernende Systeme, die den Code von Viren erkennen ( Update)

zuverlässiger Schutz ist nur gewährleistet, wenn der Virenscanner:
 regelmäßig aktualisiert wird,
 immer aktiviert ist und
 regelmäßige Überprüfungsroutinen festgelegt sind

kostenpflichtige Programme bieten meist zusätzliche
Funktionen, Qualitätsunterschiede sind jedoch nicht
bekannt

Quelle: www.computervirus.de
Tipp: Auch der Server sollte mit einem Antivirenprogramm ausgestattet sein
9
Firewall einrichten – die Mauer gegen Angriffe
Definition: Hard- oder Software, die zwischen Rechner oder lokale Netzwerke und
öffentliche Netze geschaltet wird, um den Zugriff auf Rechner von außen durch
unbefugte Dritte zu verhindern und so interne Daten zu schützen. (Gabler)

Firewall meist im Betriebssystem
(z. B. Windows) verankert – bietet nur
Schutz für Einzelrechner
 Für Betriebe mit mehreren PC ist eine
Netzwerk-/Hardware-Firewall ratsam.
 physische Trennung zwischen
Firewall und Geräten, auf denen
die Daten liegen
Quelle: www.thewindowsclub.com
10
Aktualisierung/Update von Betriebssystem und
Anwendungssoftware

immer mit aktuellen Versionen des
Betriebssystems und der genutzten
Programme arbeiten

Update-/Aktualisierungsmanagement
festlegen
Quelle: www.corporate-directory.net

automatische Aktualisierungsfunktionen von Betriebssystem, Anti-Viren-Software
und Anwendungen (z. B. Mailprogramm) nutzen
11
Datensicherung – schützen Sie sich vor Verlust!
Daten eines Betriebes unterliegen dem Risiko des Verlustes durch:
 Hardwaredefekt – Zerstörung der
Festplatte
 Softwaredefekt – fehlerhaftes Update
der Anwendungssoftware
 äußere Umstände – Verlust des
IT-Systems durch Diebstahl, Brand
 menschliche Fehler – (un-)absichtliches
Löschen durch Mitarbeiter
 Kriminalität – Virenangriffe
Quelle: www.ontrack.de
Deshalb: regelmäßige Datensicherung (möglichst täglich) !
12
Datensicherung – schützen Sie sich vor Verlust!



zentrale Datenhaltung (z. B. auf einem Serversystem)
Trennung von betrieblicher und privater Nutzung
Durchführung der Datensicherung mit folgenden Vorgaben:
 Datensicherheitskonzept erarbeiten
 räumliche Trennung von Datenbestand
und Backup-Datenträger
 Sicherheit der Wiederherstellung prüfen
(regelmäßige Kontrolle)
 Automatisierung der Datensicherung
(Terminsicherung)
 Ausfallsicherheit gewährleisten
(z. B. Notstromversorgung)
Quelle: www.attingo.ch
13
Datensicherung – schützen Sie sich vor Verlust!
mögliche Wege der Datensicherung:




externe gebräuchliche Datenträger (Festplatte, USB-Stick, DVD)
spezielle Datensicherungslösung (Bandlaufwerke, DASI)
Raid-Systeme (redundante Festplattensysteme)
Cloud-Lösungen (über Dienstleister)
Sollten trotz Datensicherung doch einmal wichtige Daten verloren gehen, gibt es
Spezialanbieter für Datenrekonstruktion.
 jedoch teuer (bis zu 5.000 Euro pro Festplatte) und
 evtl. nicht mehr möglich
14
Passwortschutz – so nicht!
Top 5 der deutschen Passwörter:
1. 123456
2. f+++en
3. passwort
4. baby
5. Sommer
Quelle: splashdata.com
Deshalb:
 Niemals das Passwort aufschreiben!
 Niemals das Passwort per Email verschicken!
 Niemals das Passwort an andere weitergeben – auch nicht „mal eben“.
15
Passwortschutz – so geht’s!
Passwörter sind wie Unterhosen…
 …je länger, desto besser *
 …nicht rumliegen lassen
 …häufig wechseln
 …nicht offen tragen
 …nicht mit anderen teilen
 …nicht immer das selbe verwenden
Quelle: www.gentleman-blog.de
* Gilt bei Passwörtern auch im Sommer…
16
Passwortschutz – so geht’s!
 Ein gutes Passwort hat mindestens acht, besser zehn oder mehr Zeichen.
 Verwenden Sie Groß- und Kleinschreibung,
sowie Ziffern, Satz- und Sonderzeichen.
 Passwort wählen, das man sich leicht merken kann, damit man es sich nicht
aufschreiben muss
 Passwort wählen, das man schnell und sicher eingeben kann, damit es
niemand beim Eintippen mitlesen kann
 Passwort ohne sprachliche Bedeutung verwenden
17
Passwortschutz – so geht’s!
Kompliziertes Passwort, leicht gemacht!
Zum Beispiel: Einen Satz wählen und sich jeweils den ersten Buchstaben der Worte
merken. So erhält man aus dem Satz
Ich sollte mein Passwort nicht auf ein Stück Papier schreiben
das Passwort: IsmPnaeSPs
18
Passwortschutz – übrigens…
 Ihr sicheres Passwort nützt nichts, wenn jede(r), die/der in Ihr Büro kommt an
Ihren Rechner und damit an Ihre Daten und Dokumente gelangen oder per EMail Ihre Identität annehmen kann. (WIN+L)
19
E-Mail – die Postkarte im Netz





Eine E-Mail kann „unterwegs“ mitgelesen oder verfälscht werden. Das gilt auch
für Daten, die über Bildschirmmasken im Internet abgesendet werden.
Nutzen Sie für sensiblen E-Mail-Verkehr sichere Übertragungswege
(TLS-Verschlüsselung, VPN zwischen verschiedenen Standorten).
Übertragen Sie persönliche oder vertrauliche Informationen nur verschlüsselt
(z. B. mit PGP, GnuPG).
Stellen Sie evtl. eine Datenübertragung über andere Kanäle als E-Mail sicher
(z. B. gesicherter FTP-Server).
Erkundigen Sie sich bei auffälligen E-Mails beim Absender über die Richtigkeit
der E-Mail.
20
E-Mail – die Postkarte im Netz
Gefahr der Übertragung von Viren, Würmern und Trojanern, deshalb:
 unbekannte bzw. unverlangt erhaltene Dateianhänge nicht öffnen
 Makros in Dateianhängen (z. B. Word) deaktivieren
 Vorschaufenster im E-Mail-Programm
deaktivieren
 E-Mails nur im Textmodus, nicht im
HTML-Modus anzeigen lassen
 E-Mails unbekannter Absender oder
mit unbekanntem Titel sofort löschen
 auf SPAMs niemals antworten,
keine Abwesenheitsnotiz versenden
Quelle: www.secure-it.nrw.de
21
USB – ist OK?
Fremde USB-Sticks, Festplatten oder andere Datenträger bergen das Risiko von
Schadsoftware
 Sicherheitskonzept für Fremd-Datenträger entwickeln
 immer primäre Virenprüfung vor
Verwendung
 Mitarbeiter sensibilisieren
 ggfs. Sperrung der entsprechenden
Anschlüsse
Quelle: www.com-magazin.de
22
Sicherheit bei mobilen Endgeräten
Das Smartphone ist wie ein Computer, behandeln Sie es auch so!
 Passwort / PIN zum Entsperren des Bildschirms
 Regelmäßige Sicherungskopien
 Anti-Virensoftware bzw. App auch auf dem Smartphone installieren
 Bluetooth- oder W-LAN-Verbindung nur aktiv, wenn nötig
 Apps nur aus den GooglePlay, Apple-Appstore
 Berechtigungen der Apps prüfen
By G.Hagedorn (Own work) [CC-BY-SA-3.0
(http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons
23
Zusammenfassung
 Daten- und IT-Sicherheit betrifft alle  Mitarbeiter sensibilisieren!
 Maßnahmen grob skizzieren und regelmäßig prüfen
 Zugriffskontrolle bei Geräten, Daten, Programmen
 Passwörter: lang, keine Wörter, nicht liegen lassen, regelmäßig wechseln
 Sicherungskopien
 Regelmäßige Updates
 Virenschutz (Firewall, Virenscanner)
 Mobile Geräte wie einen stationären PC (ab-)sichern
24
Hier finden Sie weitere Informationen
 www.hwk-dresden.de  Beratung  Innovation und Technologie  IT-Sicherheit
 Bundesamt für Informationssicherheit: www.bsi-fuer-buerger.de
 www.ebusiness-lotse-dresden.de
Quelle: ww.com-magazin.de
25
Ansprechpartner:
Ulrich Goedecke
Handwerkskammer Dresden
Am Lagerplatz 8
01099 Dresden
Telefon 0351 4640-505
Fax
0351 4640-34505
E-Mail [email protected]
www.ebusiness-lotse-dresden.de
26
Die eBusiness-Lotsen Chemnitz und Dresden sind Teil der
Förderinitiative „eKompetenz-Netzwerk für Unternehmen“, die im
Rahmen des Förderschwerpunkts „Mittelstand-Digital – IKTAnwendungen in der Wirtschaft“ vom Bundesministerium für Wirtschaft
und Energie (BMWi) gefördert wird.
Der Förderschwerpunkt unterstützt gezielt kleine und mittlere Unternehmen (KMU) sowie das Handwerk bei der Entwicklung und Nutzung
moderner Informations- und Kommunikationstechnologien (IKT).
Mittelstand-Digital setzt sich zusammen aus den Förderinitiativen
„eKompetenz-Netzwerk für Unternehmen“ mit 38 eBusiness-Lotsen,
„eStandards: Geschäftsprozesse standardisieren, Erfolg sichern“ mit
etwa 16 Förderprojekten und „Einfach intuitiv – Usability für den
Mittelstand“ mit zurzeit 13 Förderprojekten.
Weitere Informationen finden Sie unter www.mittelstand-digital.de.
27