Vorlage Sensibilisierung
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Vorlage Sensibilisierung as PDF for free.
More details
- Words: 2,133
- Pages: 37
IT-Sicherheit geht alle an Herzlich Willkommen zum Mustermann KG Sicherheitstraining
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Unser heutiges Ziel Sensibilisierung der Mitarbeiter für sicherheitsrelevante Themen in unserem Unternehmen
Was wollen wir konkret erreichen: •
Motivieren
•
Informieren
•
Sensibilisieren
• Ihnen eine positive Einstellung zum Thema Sicherheit vermitteln • Ihnen generelle Informationen über Gefahren, Informationssicherheit und Richtlinien geben • Ihnen die Ziele und Maßnahmen der Sicherheitspolitik in unserem Unternehmen vermitteln • Ihnen die Ansprechpartner zum Thema Sicherheit bekannt machen • Verständnis für IT-Sicherheitsmaßnahmen bei Ihnen erzeugen • Sie anregen, aktiv an der Umsetzung der Maßnahmen mitzuwirken Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Unser Unternehmen
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Online Betrüger
Späht Zugangsdaten aus Versteckt sich hinter einer anderen Identität Folgen: • • • •
Finanzielle Verluste Konto- und Kreditkartenmissbrauch Verlust von geistigem Eigentum und vertraulichen Informationen Weitere Unannehmlichkeiten durch betrugsbedingte Auswirkungen Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Hacker
Dringt in PC‘s und Netzwerke ein Legt IT-Strukturen lahm, stiehlt oder löscht Daten Folgen: • • • •
Ärgerliche Fehlfunktionen und Ausfallzeiten Zusammenbruch von Netzen und Servern Hohe Kosten für Wiederherstellung Image-Verlust für das Unternehmen Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Viren, Würmer & Co.
Computerviren und andere Schadsoftware gefährden Ihre betrieblichen Abläufe auf vielfältige Weise: •
Der Start des Computers wird durch Boot-Viren verhindert
•
Störende und irritierende Fenster werden geöffnet
•
Daten werden manipuliert, gelöscht oder ohne Wissen des Anwenders weiterverbreitet
•
Arbeitsplatzcomputer, Server oder komplette Netzwerke werden überlastet
•
„Trojanische Pferde“ öffnen Hintertüren zu PCs und Netzwerken, die für weiteren Missbrauch genutzt werden
•
Durch Falschmeldungen werden Benutzer dazu verleitet, falsche Nachrichten weiterzuleiten oder unsinnige Tätigkeiten am PC durchzuführen
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Viren, Würmer & Co.
Es gibt zahlreiche Wege, Viren, Würmer & Co. zu übertragen! •
Datenträger, Wechseldatenträger
•
E-Mail
•
Internet-Nutzung
•
mobile Geräte Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Spammer
Versendet große Mengen an E-Mails (meist Werbung)
Fälscht E-Mail Konten Folgen: • • • •
Verstopfte Postfächer Überlastung von Kapazitäten durch Spam-Flut Produktivitäts- und Zeitverluste Vertrauensverlust in das Medium E-Mail Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Schmutzfink
Belästigt Internetnutzer • • •
politische Hetze Gewalt Pornographie
Folgen: • • •
Verbreitung fragwürdiger oder krimineller Inhalte Manipulation Minderjähriger Anbahnung von StraftatenGemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Faktor Mensch
Der Mitarbeiter ist die Basis für funktionierende Sicherheit! Sicherheit ist Teamwork
Was wir vermeiden wollen: • •
Unbewusstes Fehlverhalten • z.B. bei Social Engineering- Identitätsdiebstahl Bewusstes Fehlverhalten • z.B. durch falsche Gewohnheiten
Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen: • • •
Sicherheitsrichtlinien definieren Regeln und Verhaltensempfehlungen kommunizieren Sensibilisierung durch regelmäßige Schulung und Information der Mitarbeiter
DasDas haben Da sind tunwir wir wir schon gerade! dabei! erledigt! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Social Engineering Beispiele
Fall 1: • • • • • • • •
Angreifer: „Ihr Name lautet Johanna Schmidt?“ Opfer: „Ja.“ Angreifer: „Sie befinden sich im Nordflügel, fünftes Stockwerk, in der Buchhaltung?“ Opfer: „Ja.“ Angreifer: „Ihre Durchwahlnummer ist die 4365?“ Opfer: „Ja.“ Angreifer: „Ihr Benutzername lautet Jschmidt und Ihr Passwort ist ‚krokodil27‘?“ Opfer: „Nein, mein Passwort lautet ‚BugsBunny‘.“
Fall 2: • • •
Angreifer: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven Outbreak eines Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Dadurch sind eine Menge Kollegen betroffen.“ Opfer:.“Oh, das ist mir aber peinlich.“ Angreifer: „Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen remote debuggen.“ Etc. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Was gilt es in unserem Unternehmen zu schützen?
Infrastruktur: • • •
Gebäude Einrichtung Hardware
Rechtliche Rahmenbedingungen: • •
Betriebsverfahren: • •
Verfügbarkeit der EDV-Systeme Verfügbarkeit und Integrität der Daten
• •
KontraG: Gesetz zur Kontrolle und Transparenz BDSG: Umgang mit personenbezogenen Daten TKG: Telekommunikationsgesetz u.v.m.
Informationen: • • • • • •
Angebote Verträge Inhalte von Verhandlungen Daten über Verkaufsverfahren Personaldaten Personenbezogene Daten
Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Mustermann KG Informationssicherheit
Aufgaben • • • •
Sicherheitsmanagement • •
Sicherstellen der Umsetzung von Sicherheitsrichtlinien Schulung und Sensibilisierung der Mitarbeiter Koordination und Unterstützung in den Abteilungen Umsetzung der datenschutzrechtlichen Bestimmungen
Untersteht der Geschäftsführung Bearbeitet • Technische Sicherheit • Organisatorische Sicherheit • Physische Sicherheit
Verantwortliche Personen • • • • • • •
Leiter Sicherheitsmanagement: Stellvertreter(in) Verantwortlicher IT-Technik: IT-Helpdesk Datenschutzbeauftragter: Leiter Werkschutz: etc.
Hans Sicher Sabine Schlüssel Clemenz Bit Claudia Hilfe ([email protected]) Gregor Info Edgar Schloss Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Unternehmensweite Sicherheitsrichtlinien
Grundlage aller Sicherheitsmaßnahmen Sicherheitsrichtlinien definieren • • •
allgemeine Regelungen Prozesse Richtlinien
Ziel: •
Erreichen eines angepassten Sicherheitsniveaus
Sind als Betriebsvereinbarung für alle Mitarbeiter bindend
Die Nichtbeachtung kann Konsequenzen nach sich ziehen
Enthalten z.B. Vorschriften und Regelungen zu: • • • • • •
Nutzung der Informationstechnischen Anlagen Nutzung E-Mail und Internet Informationssicherheit Besucherregelungen Datenschutz etc.
Was darf ich? / Was darf ich nicht? Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Allgemeine Wachsamkeit
Verwenden Sie IT-Systeme nur für dienstliche Zwecke Missachten Sie Schutzmaßnahmen nicht vorsätzlich Verursachen Sie keine Risiken und Schäden durch leichtfertiges Fehlverhalten Integrieren Sie IT-Sicherheit eigenverantwortlich in den täglichen Arbeitsablauf Kommunizieren Sie bedarfsgerecht, d.h. nur mit Berechtigten Erkennen Sie aktiv Gefahren und Risiken, und setzen Sie entsprechende Maßnahmen eigenverantwortlich um Unterstützen Sie sich gegenseitig Melden Sie sicherheitsrelevante Vorfälle umgehend IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI ! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Sicherer Umgang mit dem Computer
Schützen Sie Ihre IT-Systeme vor unbefugtem Zugriff - bei Abwesenheit sperren Stellen Sie den Bildschirmschoner mit Passwortschutz auf 5 Minuten ein Halten Sie Betriebssystem und Anwendungen mit Patches auf dem aktuellsten Stand (immer alle akzeptieren und baldmöglichst booten) Belassen Sie den Virenscanner aktiv Melden Sie sich regelmäßig am Netz für automatischen Update des Antivirenprogramms an oder sorgen Sie selbst für aktuelle Virendefinitionen Verändern Sie IT-Systeme nicht eigenmächtig (Programm-Installationen) Setzen Sie nur die von der Unternehmens-IT freigegebene Software ein
Ihr Computer ist eines Ihrer wichtigsten Arbeitsmittel. Wirken Sie aktiv am Schutz mit! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Nutzung von E-Mail / Internet I
Zeigen Sie einen verantwortungsvollen Umgang bei der Nutzung von E-Mail und Internet • •
Alternative 1: Die Nutzung von E-Mail und Internet ist nur für geschäftliche Zwecke erlaubt. • Privates Surfen und private Downloads sind nicht gestattet Alternative 2: Die Nutzung von E-Mail und Internet für private Zwecke ist auf ein Mindestmaß zu beschränken und darf geschäftliche Zwecke nicht beeinträchtigen.
Seien Sie besonders wachsam bei E-Mails von unbekannten Absendern oder mit unerwarteten Inhalten • • •
Bei unseriösem Betreff angehängte Datei nicht öffnen, die Mail einschließlich Anhang löschen Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren Herkunft unklar ist Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert haben oder bei denen Sie sicher sein können, dass Sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Nutzung von E-Mail / Internet II
Ändern Sie keine Dateianhänge zur Umgehung der Richtlinien
Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook)
Verschlüsseln Sie vertrauliche E-Mail-Anhänge • •
Übermitteln Sie das Verschlüsselungs-Passwort NICHT per E-Mail zum Empfänger Informieren Sie den Empfänger über die Vertraulichkeit und den entsprechenden Umgang mit dem Dokument
Überprüfen Sie täglich Ihren Spam-Ordner
Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator Nur so vermeiden Sie Unfälle auf der Datenautobahn! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Passwörter
Wählen Sie sichere Passwörter • •
mind. 8 Stellen Kombinationen aus: • Buchstaben (Groß- und Kleinschreibung) • Ziffern • Sonderzeichen
Ändern Sie Ihre Passwörter regelmäßig Geben sie Passwörter NIE weiter, auch nicht an einen Administrator Nutzen Sie wenn möglich die Stellvertreterfunktion Wenn Sie Ihr Passwort aufschreiben, dann bewahren Sie es sicher auf
Ihr Passwort ist der Schlüssel, mit dem sie den Zugriff auf vertrauliche Dokumente ermöglichen! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Umgang mit mobilen Geräten
Mobile Geräte: • • • •
Gewährleisten Sie Schutz vor unbefugtem Zugriff • •
Notebooks PDAs Mobiltelefone USB-Sticks Lassen Sie Geräte nie unbeaufsichtigt liegen Bringen Sie ein Laptop-Schloss ("Kensington") an
Vermeiden Sie Datenverlust durch regelmäßiges Backup (z.B. der lokalen Daten) Halten Sie den Virenscanner eigenverantwortlich aktuell Verschließen Sie PDA, Handy etc. bei Nichtbenutzung im Schreibtisch/Schrank Schalten Sie die Bluetoothfunktion des Mobiltelefons aus Bewahren Sie USB-Sticks sicher auf Speichern Sie streng vertrauliche Daten ausschließlich verschlüsselt
Mit Ihrem mobilen Gerät bewegen Sie sich mit firmeninternen Informationen im öffentlichen Raum! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Informationen/Dokumente
Benutzen Sie für die Speicherung Ihrer Daten kein lokales Verzeichnis Speichern Sie keine vertraulichen Dokumente ungeschützt in gemeinsam genutzten Ordnern (z.B. Transfer-Ordner) Schützen Sie Informationen und Dokumente vor Veränderung Entsorgen Sie vertrauliche Informationen sicher: • •
Dokumente in den Reißwolf Datenträger sicher löschen/physisch zerstören
Geben Sie vertrauliche Informationen nur an die Personen, die diese für die Umsetzung ihrer Arbeit tatsächlich benötigen Vermeiden Sie sensible Gespräche in der Öffentlichkeit
Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Clean Desk Gehen Sie mit Daten und Dokumenten achtsam um • • •
Räumen Sie diese auch in Pausen auf Schließen Sie vertrauliche Dokumente bei Abwesenheit weg Verwahren Sie diese sicher nach Ende des Arbeitstages
Schließen Sie Ihr Büro bei Abwesenheit ab Melden Sie sich in Pausen vom Netzwerk ab •
alternativ: Bildschirmschoner passwortgeschützt einstellen
Lassen Sie keine Datenträger offen liegen Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden ! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
IT-Sicherheit geht alle an Vielen Dank für Ihre Aufmerksamkeit. Ihre Fragen?
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Anhang: Grundsätzliches
Das Schulungs- und Sensibilisierungsprogramm sollte folgende Punkte behandeln: • • • • • •
•
Sicherheitsziele der Organisation sowie deren Erläuterung, die Gründe, warum Sicherheit für die Organisation wichtig ist, die Klarstellung der Verantwortlichkeit bezüglich der Sicherheit, die Aufgaben der IT-Betreuer, besonders in ihrer Funktion als Dienstleister der Fachbereiche, die Pläne zur Implementierung der Sicherheitsmaßnahmen, die Vorgehensweise der Überprüfung der Einhaltung von Sicherheitsmaßnahmen sowie die Konsequenzen für Mitarbeiter bei Verstößen gegen Sicherheitsvorgaben. Der wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für die Sicherheit deutlich zu machen. Die Planung der Schulungsveranstaltungen und der Beratungsgesprächen sollte vom Datenschutzbeauftragten, sofern vorhanden, oder von dem Organisationsleiter übernommen werden. In Zusammenarbeit mit dem Datenschutzbeauftragten können dann die Veranstaltungen und die Beratungsgespräche von den IT-Betreuern umgesetzt werden. Weiterhin ist zu empfehlen, die Schulungs- und Sensibililierungsveranstaltungen in regelmäßigen Zeitabständen zu wiederholen, um insbesondere das vorhandene Wissen aufzufrischen und neue Mitarbeiter zu informieren.
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Unser heutiges Ziel Sensibilisierung der Mitarbeiter für sicherheitsrelevante Themen in unserem Unternehmen
Was wollen wir konkret erreichen: •
Motivieren
•
Informieren
•
Sensibilisieren
• Ihnen eine positive Einstellung zum Thema Sicherheit vermitteln • Ihnen generelle Informationen über Gefahren, Informationssicherheit und Richtlinien geben • Ihnen die Ziele und Maßnahmen der Sicherheitspolitik in unserem Unternehmen vermitteln • Ihnen die Ansprechpartner zum Thema Sicherheit bekannt machen • Verständnis für IT-Sicherheitsmaßnahmen bei Ihnen erzeugen • Sie anregen, aktiv an der Umsetzung der Maßnahmen mitzuwirken Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Unser Unternehmen
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Online Betrüger
Späht Zugangsdaten aus Versteckt sich hinter einer anderen Identität Folgen: • • • •
Finanzielle Verluste Konto- und Kreditkartenmissbrauch Verlust von geistigem Eigentum und vertraulichen Informationen Weitere Unannehmlichkeiten durch betrugsbedingte Auswirkungen Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Hacker
Dringt in PC‘s und Netzwerke ein Legt IT-Strukturen lahm, stiehlt oder löscht Daten Folgen: • • • •
Ärgerliche Fehlfunktionen und Ausfallzeiten Zusammenbruch von Netzen und Servern Hohe Kosten für Wiederherstellung Image-Verlust für das Unternehmen Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Viren, Würmer & Co.
Computerviren und andere Schadsoftware gefährden Ihre betrieblichen Abläufe auf vielfältige Weise: •
Der Start des Computers wird durch Boot-Viren verhindert
•
Störende und irritierende Fenster werden geöffnet
•
Daten werden manipuliert, gelöscht oder ohne Wissen des Anwenders weiterverbreitet
•
Arbeitsplatzcomputer, Server oder komplette Netzwerke werden überlastet
•
„Trojanische Pferde“ öffnen Hintertüren zu PCs und Netzwerken, die für weiteren Missbrauch genutzt werden
•
Durch Falschmeldungen werden Benutzer dazu verleitet, falsche Nachrichten weiterzuleiten oder unsinnige Tätigkeiten am PC durchzuführen
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Viren, Würmer & Co.
Es gibt zahlreiche Wege, Viren, Würmer & Co. zu übertragen! •
Datenträger, Wechseldatenträger
•
•
Internet-Nutzung
•
mobile Geräte Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Spammer
Versendet große Mengen an E-Mails (meist Werbung)
Fälscht E-Mail Konten Folgen: • • • •
Verstopfte Postfächer Überlastung von Kapazitäten durch Spam-Flut Produktivitäts- und Zeitverluste Vertrauensverlust in das Medium E-Mail Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Schmutzfink
Belästigt Internetnutzer • • •
politische Hetze Gewalt Pornographie
Folgen: • • •
Verbreitung fragwürdiger oder krimineller Inhalte Manipulation Minderjähriger Anbahnung von StraftatenGemeinsam für Online-Sicherheit www.sicher-im-netz.de
Gefahren und Bedrohungen OnlineBetrüger
Hacker
Viren, Würmer & Co.
Faktor Mensch
Schmutzfink
Spammer
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Der Faktor Mensch
Der Mitarbeiter ist die Basis für funktionierende Sicherheit! Sicherheit ist Teamwork
Was wir vermeiden wollen: • •
Unbewusstes Fehlverhalten • z.B. bei Social Engineering- Identitätsdiebstahl Bewusstes Fehlverhalten • z.B. durch falsche Gewohnheiten
Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen: • • •
Sicherheitsrichtlinien definieren Regeln und Verhaltensempfehlungen kommunizieren Sensibilisierung durch regelmäßige Schulung und Information der Mitarbeiter
DasDas haben Da sind tunwir wir wir schon gerade! dabei! erledigt! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Social Engineering Beispiele
Fall 1: • • • • • • • •
Angreifer: „Ihr Name lautet Johanna Schmidt?“ Opfer: „Ja.“ Angreifer: „Sie befinden sich im Nordflügel, fünftes Stockwerk, in der Buchhaltung?“ Opfer: „Ja.“ Angreifer: „Ihre Durchwahlnummer ist die 4365?“ Opfer: „Ja.“ Angreifer: „Ihr Benutzername lautet Jschmidt und Ihr Passwort ist ‚krokodil27‘?“ Opfer: „Nein, mein Passwort lautet ‚BugsBunny‘.“
Fall 2: • • •
Angreifer: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven Outbreak eines Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System nahezu aushebelt. Dadurch sind eine Menge Kollegen betroffen.“ Opfer:.“Oh, das ist mir aber peinlich.“ Angreifer: „Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen remote debuggen.“ Etc. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Was gilt es in unserem Unternehmen zu schützen?
Infrastruktur: • • •
Gebäude Einrichtung Hardware
Rechtliche Rahmenbedingungen: • •
Betriebsverfahren: • •
Verfügbarkeit der EDV-Systeme Verfügbarkeit und Integrität der Daten
• •
KontraG: Gesetz zur Kontrolle und Transparenz BDSG: Umgang mit personenbezogenen Daten TKG: Telekommunikationsgesetz u.v.m.
Informationen: • • • • • •
Angebote Verträge Inhalte von Verhandlungen Daten über Verkaufsverfahren Personaldaten Personenbezogene Daten
Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Mustermann KG Informationssicherheit
Aufgaben • • • •
Sicherheitsmanagement • •
Sicherstellen der Umsetzung von Sicherheitsrichtlinien Schulung und Sensibilisierung der Mitarbeiter Koordination und Unterstützung in den Abteilungen Umsetzung der datenschutzrechtlichen Bestimmungen
Untersteht der Geschäftsführung Bearbeitet • Technische Sicherheit • Organisatorische Sicherheit • Physische Sicherheit
Verantwortliche Personen • • • • • • •
Leiter Sicherheitsmanagement: Stellvertreter(in) Verantwortlicher IT-Technik: IT-Helpdesk Datenschutzbeauftragter: Leiter Werkschutz: etc.
Hans Sicher Sabine Schlüssel Clemenz Bit Claudia Hilfe ([email protected]) Gregor Info Edgar Schloss Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Unternehmensweite Sicherheitsrichtlinien
Grundlage aller Sicherheitsmaßnahmen Sicherheitsrichtlinien definieren • • •
allgemeine Regelungen Prozesse Richtlinien
Ziel: •
Erreichen eines angepassten Sicherheitsniveaus
Sind als Betriebsvereinbarung für alle Mitarbeiter bindend
Die Nichtbeachtung kann Konsequenzen nach sich ziehen
Enthalten z.B. Vorschriften und Regelungen zu: • • • • • •
Nutzung der Informationstechnischen Anlagen Nutzung E-Mail und Internet Informationssicherheit Besucherregelungen Datenschutz etc.
Was darf ich? / Was darf ich nicht? Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Allgemeine Wachsamkeit
Verwenden Sie IT-Systeme nur für dienstliche Zwecke Missachten Sie Schutzmaßnahmen nicht vorsätzlich Verursachen Sie keine Risiken und Schäden durch leichtfertiges Fehlverhalten Integrieren Sie IT-Sicherheit eigenverantwortlich in den täglichen Arbeitsablauf Kommunizieren Sie bedarfsgerecht, d.h. nur mit Berechtigten Erkennen Sie aktiv Gefahren und Risiken, und setzen Sie entsprechende Maßnahmen eigenverantwortlich um Unterstützen Sie sich gegenseitig Melden Sie sicherheitsrelevante Vorfälle umgehend IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI ! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Sicherer Umgang mit dem Computer
Schützen Sie Ihre IT-Systeme vor unbefugtem Zugriff - bei Abwesenheit sperren Stellen Sie den Bildschirmschoner mit Passwortschutz auf 5 Minuten ein Halten Sie Betriebssystem und Anwendungen mit Patches auf dem aktuellsten Stand (immer alle akzeptieren und baldmöglichst booten) Belassen Sie den Virenscanner aktiv Melden Sie sich regelmäßig am Netz für automatischen Update des Antivirenprogramms an oder sorgen Sie selbst für aktuelle Virendefinitionen Verändern Sie IT-Systeme nicht eigenmächtig (Programm-Installationen) Setzen Sie nur die von der Unternehmens-IT freigegebene Software ein
Ihr Computer ist eines Ihrer wichtigsten Arbeitsmittel. Wirken Sie aktiv am Schutz mit! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Nutzung von E-Mail / Internet I
Zeigen Sie einen verantwortungsvollen Umgang bei der Nutzung von E-Mail und Internet • •
Alternative 1: Die Nutzung von E-Mail und Internet ist nur für geschäftliche Zwecke erlaubt. • Privates Surfen und private Downloads sind nicht gestattet Alternative 2: Die Nutzung von E-Mail und Internet für private Zwecke ist auf ein Mindestmaß zu beschränken und darf geschäftliche Zwecke nicht beeinträchtigen.
Seien Sie besonders wachsam bei E-Mails von unbekannten Absendern oder mit unerwarteten Inhalten • • •
Bei unseriösem Betreff angehängte Datei nicht öffnen, die Mail einschließlich Anhang löschen Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren Herkunft unklar ist Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert haben oder bei denen Sie sicher sein können, dass Sie von diesen Absendern sind. Absenderadressen können leicht gefälscht werden. Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Nutzung von E-Mail / Internet II
Ändern Sie keine Dateianhänge zur Umgehung der Richtlinien
Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook)
Verschlüsseln Sie vertrauliche E-Mail-Anhänge • •
Übermitteln Sie das Verschlüsselungs-Passwort NICHT per E-Mail zum Empfänger Informieren Sie den Empfänger über die Vertraulichkeit und den entsprechenden Umgang mit dem Dokument
Überprüfen Sie täglich Ihren Spam-Ordner
Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator Nur so vermeiden Sie Unfälle auf der Datenautobahn! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Passwörter
Wählen Sie sichere Passwörter • •
mind. 8 Stellen Kombinationen aus: • Buchstaben (Groß- und Kleinschreibung) • Ziffern • Sonderzeichen
Ändern Sie Ihre Passwörter regelmäßig Geben sie Passwörter NIE weiter, auch nicht an einen Administrator Nutzen Sie wenn möglich die Stellvertreterfunktion Wenn Sie Ihr Passwort aufschreiben, dann bewahren Sie es sicher auf
Ihr Passwort ist der Schlüssel, mit dem sie den Zugriff auf vertrauliche Dokumente ermöglichen! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Umgang mit mobilen Geräten
Mobile Geräte: • • • •
Gewährleisten Sie Schutz vor unbefugtem Zugriff • •
Notebooks PDAs Mobiltelefone USB-Sticks Lassen Sie Geräte nie unbeaufsichtigt liegen Bringen Sie ein Laptop-Schloss ("Kensington") an
Vermeiden Sie Datenverlust durch regelmäßiges Backup (z.B. der lokalen Daten) Halten Sie den Virenscanner eigenverantwortlich aktuell Verschließen Sie PDA, Handy etc. bei Nichtbenutzung im Schreibtisch/Schrank Schalten Sie die Bluetoothfunktion des Mobiltelefons aus Bewahren Sie USB-Sticks sicher auf Speichern Sie streng vertrauliche Daten ausschließlich verschlüsselt
Mit Ihrem mobilen Gerät bewegen Sie sich mit firmeninternen Informationen im öffentlichen Raum! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Informationen/Dokumente
Benutzen Sie für die Speicherung Ihrer Daten kein lokales Verzeichnis Speichern Sie keine vertraulichen Dokumente ungeschützt in gemeinsam genutzten Ordnern (z.B. Transfer-Ordner) Schützen Sie Informationen und Dokumente vor Veränderung Entsorgen Sie vertrauliche Informationen sicher: • •
Dokumente in den Reißwolf Datenträger sicher löschen/physisch zerstören
Geben Sie vertrauliche Informationen nur an die Personen, die diese für die Umsetzung ihrer Arbeit tatsächlich benötigen Vermeiden Sie sensible Gespräche in der Öffentlichkeit
Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Clean Desk Gehen Sie mit Daten und Dokumenten achtsam um • • •
Räumen Sie diese auch in Pausen auf Schließen Sie vertrauliche Dokumente bei Abwesenheit weg Verwahren Sie diese sicher nach Ende des Arbeitstages
Schließen Sie Ihr Büro bei Abwesenheit ab Melden Sie sich in Pausen vom Netzwerk ab •
alternativ: Bildschirmschoner passwortgeschützt einstellen
Lassen Sie keine Datenträger offen liegen Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden ! Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Agenda
Einführung
Welche Gefahren und Bedrohungen bestehen im Unternehmen?
Schützenswertes
Sicherheitsorganisation bei der Mustermann KG
Unternehmensweite Sicherheitsrichtlinien
Maßnahmen zur Erhöhung der Sicherheit in der Praxis
Fragen & Antworten
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
IT-Sicherheit geht alle an Vielen Dank für Ihre Aufmerksamkeit. Ihre Fragen?
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Anhang: Grundsätzliches
Das Schulungs- und Sensibilisierungsprogramm sollte folgende Punkte behandeln: • • • • • •
•
Sicherheitsziele der Organisation sowie deren Erläuterung, die Gründe, warum Sicherheit für die Organisation wichtig ist, die Klarstellung der Verantwortlichkeit bezüglich der Sicherheit, die Aufgaben der IT-Betreuer, besonders in ihrer Funktion als Dienstleister der Fachbereiche, die Pläne zur Implementierung der Sicherheitsmaßnahmen, die Vorgehensweise der Überprüfung der Einhaltung von Sicherheitsmaßnahmen sowie die Konsequenzen für Mitarbeiter bei Verstößen gegen Sicherheitsvorgaben. Der wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für die Sicherheit deutlich zu machen. Die Planung der Schulungsveranstaltungen und der Beratungsgesprächen sollte vom Datenschutzbeauftragten, sofern vorhanden, oder von dem Organisationsleiter übernommen werden. In Zusammenarbeit mit dem Datenschutzbeauftragten können dann die Veranstaltungen und die Beratungsgespräche von den IT-Betreuern umgesetzt werden. Weiterhin ist zu empfehlen, die Schulungs- und Sensibililierungsveranstaltungen in regelmäßigen Zeitabständen zu wiederholen, um insbesondere das vorhandene Wissen aufzufrischen und neue Mitarbeiter zu informieren.
Gemeinsam für Online-Sicherheit www.sicher-im-netz.de
Related Documents
Vorlage Sensibilisierung
May 2020 2
Heldenbrief Vorlage
November 2019 3
Vorlage Fmea
July 2020 1
Vorlage Fmea
July 2020 1
Abwesendheit Vorlage
November 2019 3
Buchungen Vorlage
November 2019 2More Documents from ""