sicherheit ist chefsache¼ler_it... · versteht man das Überwachen und steuern technischer ... •...
Post on 26-Jul-2020
5 Views
Preview:
TRANSCRIPT
20.06.2016
1
Sicherheit ist Chefsache - Heute schon gehackt worden?
Agenda
Einführung in das Thema IT-Sicherheit Sind Handwerker besonderen Sicherheitsrisiken
ausgesetzt? Risiken: Hardware, DECT/VoIP, Software,
SmartHome, Browser,mobiles Arbeiten, Smartphone, Cloud
Wie schütze ich meine digitalen Juwelen? Handlungsempfehlungen Fazit und Zusammenfassung
2 © Jürgen Schüler
20.06.2016
2
Handwerk 4.0Fortschreitende Digitalisierung
Fortschreitende Digitalisierung
Produktions‐ und Kundendaten gewinnen angesichts der fortschreitenden Digitalisierung an Bedeutung.
Der Umgang mit Daten ist häufig recht stiefmütterlich.
Datenhandling und Datensicherheit stehen in der Aufgabenhierarchie oft an unterster Stelle.
5 © Jürgen Schüler
20.06.2016
3
Fortschreitende DigitalisierungBeispiele
6 © Jürgen Schüler
Fortschreitende DigitalisierungBeispiele
8 © Jürgen Schüler
20.06.2016
4
Fortschreitende DigitalisierungBeispiele
10 © Jürgen Schüler
Fortschreitende DigitalisierungBeispiele
12 © Jürgen Schüler
20.06.2016
5
Smart Home‐ eine Demonstration der Möglichkeiten (1:00min)
13
Quelle: QIVICON
Mit Smart Home können Sie Ihr Zuhause fernsteuern – aber wer noch?
© Jürgen Schüler
Einführung in das Thema „IT-Sicherheit“
20.06.2016
6
Lagebericht 2014 (BSI)
15
Unter Supervisory Control and Data Acquisition (SCADA) versteht man das Überwachen und Steuern technischer Prozesse mittels eines Computer‐Systems
komplexe, zielgerichtete und effektive Angriffe
missbräuchliche Nutzung personenbezogener Daten
© Jürgen Schüler
Ausgangslage
„Cyberattacken auf Wirtschaftsunternehmen weiten sich aus. Sie führen bei den betroffenen Firmen regelmäßig zu Störungen im Betriebsablauf, Wettbewerbsnachteilen, Umsatzverlusten und letztlich zu einem angekratzten Image.“
Analyse von Freshfields Bruckhaus Deringer 2013
16
Quelle: BSI Magazin 2016/01 S.17, 2015
© Jürgen Schüler
20.06.2016
7
Cybercrime in Echtzeit
Viele Attacken werden durch die zunehmende Nutzung von Cloud‐Computing, Smartphones und Tablets sowie Social‐Media‐Angebote begünstigt.
17
sicherheitstacho.eu
© Jürgen Schüler
Suchmaschine für Angriffe auf Smart Home
18
I
© Jürgen Schüler
20.06.2016
8
Trend 2016
• Viren als Waffe(Stuxnet – Manipulation von Steuerungssoftware)Ist das nur die Blaupause für ähnliche Angriffe auf kritische Infrastrukturen?
• Angriffe auf Router (Fritzbox)
• Angriffe über SocialnetworksSpyware 2.0 – Diebstahl von persönlichen Anwenderdaten(Verkürzungsdienste für URLS http://bit.ly/1Su55vO - viele klicken auf Links aus vermeintlich vertrauenswürdiger Quelle vom Arbeitsplatz aus)
• Bedrohung von mobilen Endgeräten
20 © Jürgen Schüler
21 © Jürgen Schüler
20.06.2016
9
Sind Sie sicher, dass Sie sicher sind? Spezifische Gefährdungslage
91,68%
22 © Jürgen Schüler
Sind Handwerker besonderen Sicherheitsrisiken ausgesetzt?
20.06.2016
10
Das Handwerk ist innovativ und kreativ.
Ein typischer Handwerksbetrieb ist kein typischer
Handwerksbetrieb.
Jeder Handwerksbetrieb hat digitale Juwelen.
24 © Jürgen Schüler
Was sind die digitalen Juwelen des Unternehmens?
• Kunden‐ und Lieferantendaten
• Einkaufskonditionen
• Kalkulationswerte
• Konstruktionsdaten
• Zugänge zum Firmennetz und zu Bankkonten
• Informationen über Innovationen/Patente
• Informationen über die Auftragslage und Finanzdaten
25
Die Täter Geheimdienste, konkurrierende Unternehmen, gekaufte Mitarbeiter.
Das Ziel Know‐how, in das ein Unternehmen oft viel Geld investiert hat.
Die Folge Gravierenden Imageverlust und Umsatzrückgänge
Die Ursache Schwachstellen moderner Kommunikationssysteme, die es Hackern ermöglichen sich unbemerkt in den
Informationsfluss einzuklinken und so Telefongespräche (Handys, DECT‐Telefone, Voice‐over‐IP)
abzuhören, E‐Mail oder den Fax‐Verkehr mitzulesen und in Firmennetze über das Internet oder über W‐
LAN einzudringen.
© Jürgen Schüler
20.06.2016
11
Handwerk und IT‐Sicherheit
26 © Jürgen Schüler
Mythos Sicherheit
Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Was ist, wenn Geschäftsdaten (Strategien, Finanz-daten etc.) in die falschen Hände geraten?
Diese Aussage ist mutig. Vielleicht hat bei bisherigen Sicherheitsvorfällen niemand etwas bemerkt.
Die Fähigkeiten potentieller Angreifer werden oft unterschätzt. (Skript Kids)
Die Statistiken zeigen, dass die Mehrzahl der Sicherheitsverstöße von Innentätern verursacht wird. (Demotivierte und Ehemalige )
„Was ist bei uns schon zu holen, so geheim
sind unsere Daten nicht“
„Bei uns ist noch nie etwas passiert“
„Unser Netz ist sicher“
„Wir haben nur vertrauenswürdige
Mitarbeiter“
27 © Jürgen Schüler
20.06.2016
12
Welche der folgenden Risiken spielen für Ihren Betrieb eine Rolle?
28 © Jürgen Schüler
Arbeitgeber vernachlässigen IT‐Sicherheit
29 © Jürgen Schüler
20.06.2016
13
Mängel in der EDV‐Organisation
Bei KMU ist ein fehlendes Bewusstsein für IT‐Sicherheit auszumachen. Es fehlen
Konzepte mit klaren Anweisungen (z.B. mit E‐Mails und Attachments)
Verantwortlichkeiten und Kontrollen
Backup‐Strategien
Dokumentation der
Hard‐ und Software,
Zugriffsregelungen auf Datenbestände ‐ Datenhandling(Kundendaten oder Produktionsdaten)
Passwortregelungen
Vertretungsregelungen für den IT‐Verantwortlichen
Regelungen zum Datenschutz
31 © Jürgen Schüler
Plagiate
32
Preisträger 2014 Preisträger 2013Quelle: www.plagiarius.de
© Jürgen Schüler
20.06.2016
14
33
Quelle:n‐tv 2013
© Jürgen Schüler
Konkrete IT‐Sicherheitsrisiken
20.06.2016
15
Risiken durch HardwareKeycatcher, USB‐Geräte, Drucker
Keycatcher
36 © Jürgen Schüler
20.06.2016
16
USB Geräte schützen
Verwenden Sie nur zugelassenen externen USB‐Geräte an ihrer Hardware.
Verschlüsseln Sie Daten auf externen Geräten (z.B. mit TrueCrypt)
Deaktivieren Sie die USB‐Zugänge im BIOS des Rechners oder verwenden Sie Software zur Geräteregistrierung (Z.B. USB‐Wächter).
37 © Jürgen Schüler
Wiederherstellung gelöschter USB‐Sticks
38 © Jürgen Schüler
20.06.2016
17
Falsch konfigurierte Hardware
39
DruckerhackWo?
© Jürgen Schüler
Kopierer und Tracking Dots
Hersteller die Tracking Dots einsetzen: Hewlett Packard Brother Canon Dell Epson Konica / Minolta Oki Kyocera Lanier Lexmark Ricoh Tectrionix Xerox
http://www.eff.org/Privacy/printers/docucolor/
40
20.06.2016
18
Fitness‐Tracker
41
12345678
Bewegungsdaten Handy
42
20.06.2016
19
NAS
Passwörter setzen
Aufgaben trennen
Nur nötige Funktionen aktivieren
E‐Mail und Logging einschalten
Volume‐Verschlüsselung aktivieren
43 © Jürgen Schüler
TelefonieGefahren bei DECT und VoIP‐Telefonie
20.06.2016
20
45 © Jürgen Schüler
46 © Jürgen Schüler
20.06.2016
21
VoIP‐Hack
47 © Jürgen Schüler
Handlungsempfehlung
Sensible Gespräche nur über schnurgebundene
Telefone führen!
VoIP‐Telefongespräche müssen Ende‐zu‐Ende
verschlüsselt sein!
48 © Jürgen Schüler
20.06.2016
22
Angreifbarkeit
52
Angriffsszenarien
53
Ein Angreifer hat grundsätzlich die Möglichkeit, das Netzwerk oder die im Netzwerk vorhandenen Geräte zu attackieren.
© Jürgen Schüler
20.06.2016
23
54 © Jürgen Schüler
Funk Schließsysteme
55 © Jürgen Schüler
20.06.2016
24
Funk‐Schließsysteme hacken
Garagenhersteller, Autokonzerne und Gebäudezugangs‐Kontroll‐Systeme verwenden standardmäßig das rolling code‐System.
Beim Öffnen und Schließen von Funkschlössern wird eine achtstellige KeeLoqs‐Chiffre zwischen Sender (Funk‐Schlüssel) und dem Empfänger (Funk‐Schloss) übermittelt. Nach jeder Betätigung wird der Code geändert. Vereinfacht gesagt kann man mit etwas kriminellem Geschick ‐ wenn man 2x das Signal abhört ‐ das nächste Signal errechnen und hat Zugang.
Wer sicher gehen will, sollte zum Beispiel eine AES‐Verschlüsselung mit 128 Bit wählen.
56 © Jürgen Schüler
Wohnzimmer
Internet‐Zugriff beschränken
Sprachsteuerung zähmen
Entwickleroptionen abschalten
Kinderschutz aktivieren
Datenerfassung minimieren
57 © Jürgen Schüler
20.06.2016
25
Virenscanner nutzen und testen
Gefahr durch Programme, die auf das Internet zugreifen
Durch Plug‐Ins kann ein Browser auch externe Programme nutzen, um weitere Medien wie Video, e‐Mail, Chat, uvm. zu integrieren (VLC‐Player, Media‐Player, Quicktime‐Player, Flash‐Player etc.)
Browser enthalten oft Sicherheitslücken Durch das Einspielen von manipulierten Daten können
Sicherheitslücken ausgenutzt werden, um Schadsoftware nachzuladen oder auszuführen
59 © Jürgen Schüler
20.06.2016
26
Web‐Browser
Plug‐ins ausmisten
Click‐to‐Play aktivieren
Passwortspeicher verschlüsseln
Aktuelle Browserversion nutzen
Tracking und Skripte einschränken
60 © Jürgen Schüler
Rogueware /Scareware
61
20.06.2016
27
Testen Sie Ihren Virenscanner
62 © Jürgen Schüler
Mobiles Arbeiten
Drahtlose Kommunikation
63
20.06.2016
28
Mobile Anwendungen im HandwerkEinsatzmöglichkeiten von mobilen Anwendungen im
Handwerkbetriebe
(Vorteil: Ortsunabhängigkeit)Mobile Zeiterfassung
(Stundenzettel)
Mobiles Aufmaß
Zugriff auf ServiceunterlagenHandbücher immer zu Hand
Geo‐Daten nutzen zur Abwicklung von Serviceaufträgen
(Fuhrparkmanagement ‐optimaler Mitarbeitereinsatz)
Verbesserter KundenserviceE‐Mails sofort zur Hand
(Aufträgen in der Nähe können gleich bearbeitet)
Angebotserstellung und Auftragsdatenerfassung vor
OrtZugriffs auf die Unternehmens‐EDV oder
CloudlösungTerminplanung, Angebote und Bauzeichnungen
ermöglichen Kundenberatungen direkt
vor Ort
Zugriff auf Büro, Lager, Großhändlerdaten
(Angeboten vergleichen und Ersatzteilen direkt bestellen)
Zahlungswerkzeug
64 © Jürgen Schüler
Risiken der drahtlosen Kommunikation
Funkkommunikation kennt keine räumlichen Grenzen
Mit leistungsstarken Antennen können Funksignale weit außerhalb der üblichen Arbeitsreichweite empfangen werden
eine Absicherung des Funknetzes gegen das Eindringen sowie das Abhören und Manipulieren von Daten ist zwingend erforderlich
65 © Jürgen Schüler
20.06.2016
29
Wo liegen die Risiken beim mobilen Arbeiten?
Risiken liegen in der Nutzung von:
WLAN
Bluetooth
Ortungsdiensten (GPS‐Geodaten)
NFC
und im Verlust von Geräten
66 © Jürgen Schüler
67 © Jürgen Schüler
20.06.2016
30
NFC
68 © Jürgen Schüler
Die 5 größten Smartphone‐Risiken*
1. Verlust oder Diebstahl
2. Falsche WLAN Access Points
3. Schadprogramme
4. Phishing / NFC
5. Unzureichende Entsorgung
69
* basierend auf Berichten der IT Sicherheitsbehörde ENISA (European Networks and Information Security Agency) der EU
© Jürgen Schüler
20.06.2016
31
Diebstahlsicherung und Ortung
70 © Jürgen Schüler
2. Risiko: Falsche WLAN Access Points
Indem ein WLAN‐ Access‐Point im Hotel,
Flughafen, ICE oder ein offener WLAN‐
Zugang eine falsche Identität vortäuscht
und sich Ihr Smartphone damit verbindet
kann der Angreifer:
den gesamten Datenverkehr mithören
/ manipulieren
aus unverschlüsselten Verbindungen
Firmengeheimnisse und Zugangsdaten
herausfiltern
71 © Jürgen Schüler
20.06.2016
32
Konfigurations-Passwort setzen WLAN WPA2/AES verschlüsseln
und individualisieren
Gastnetz separat verschlüsseln Nur sichere Protokolle nach
außen anbieten
WPS und UPnP abschalten
Firmware des Routers immer auf dem neuesten Stand halten
WLAN‐Router
72 © Jürgen Schüler
3. Risiko: Schadprogramme
QR‐Codes leiten Mobiltelefone automatisch auf den kodierten Weblink um
Webseite kann Schadcode enthalten (z.B. USSD‐Steuercodes oder andere Schadsoftware)
QR‐Codes können überklebt / aufgeklebt sein...
73 © Jürgen Schüler
20.06.2016
33
SmartphoneSicherheit
74
Quelle:Almagami, Fotolia.de
© Jürgen Schüler
Basissicherheit mobile Geräte
Vom Prinzip her sind Smartphones oft besser ausgestattet als Laptops oder Netbooks, daher gilt:
Sicherheitseinstellungen des Smartphones (z.B. Codesperre) nutzen
Drahtlose Schnittstellen nur bei Bedarf aktivieren
Software nur aus kontrollierten Stores laden
Firmendaten über verschlüsselte Verbindung abrufen und nicht auf dem Smartphone speichern
Datenverbindungen, Telefonate und Smartphone verschlüsseln
Regelmäßig Backups durchführen
Betrieblich genutzte Smartphones zentral verwalten
75 © Jürgen Schüler
20.06.2016
34
Android
Gerätesperre einrichten
Fernzugriff aktivieren
Hintertüren schließen
Berechtigungen prüfen
Aktuell halten
76 © Jürgen Schüler
iOS
Code‐Sperre aktivieren
Apple‐ID absichern
Backup lokal verschlüsseln
Datenschutzeinstellungen prüfen
Risiko Jailbreak vermeiden
77 © Jürgen Schüler
20.06.2016
35
Cloud‐Lösungen
Chancen und Risiken
78
Von überall kann auf die (Branchen‐)Lösung zugegriffen werden. Software kann zeitlich begrenzt gemietet werden. Kein Wartungsaufwand für IT‐Infrastruktur Automatisches Backup
Chancen durch Cloud‐Computing ?
79
TerminkalenderRechner‐überwachung E‐Mail
Branchensoftware
Datensicherung
Intranet
It‐Security
© Jürgen Schüler
20.06.2016
36
Erlaubt meine Internetanbindung eine Cloud‐Lösung
Wo werden Daten gespeichert? [Datenschutz]
Wie werden Daten übertragen?
Wer hat Zugriff auf die Daten?
Kann der Anbieter in meine Daten zu schauen?
Werden Informationen verschlüsselt abgelegt?
In welchem Format erhalte ich meine Daten bei einem Anbieterwechsel zurück?
Wo ist der Gerichtsstand?
Bietet das Unternehmen guten Service und gute Verfügbarkeit?
Risiken durch Cloud‐Computing
80 © Jürgen Schüler
Wie schütze ich meine digitalen Juwelen?
Sicherheitstipps und Dienstleistungsangebot der Handwerkskammer Rheinhessen
81
20.06.2016
37
Verwenden Sie sichere Passworte
Drei Passwort‐Regeln
Sie müssen:
1. lügen
2. betrügen
3. verfälschen
83 © Jürgen Schüler
20.06.2016
38
Sicheres‐Passwort
nicht auf einen Zettel schreiben und unter die Tastatur legen
nicht unter den Deckel des Handys kleben
nicht an den Monitor pinnen
nicht in eine Textdatei am PC schreiben
nicht im Browser speichern !!!
nicht für alle Dienste das gleiche Kennwort verwenden.
84 © Jürgen Schüler
Verwenden Sie einen Password‐Safe‐ z.B. Keypass
85 © Jürgen Schüler
20.06.2016
39
Verschlüsseln Sie Ihre Daten und E‐Mails
TrueCrypt‐ kostenloses Verschlüsselungstool
87 © Jürgen Schüler
20.06.2016
40
88
Gpg4win
88 © Jürgen Schüler
Zusammenfassung und FazitHandlungsempfehlungen
20.06.2016
41
90 © Jürgen Schüler
Sicherheit ist Chefsache Planung, Realisierung und Aufrechterhaltung der IT‐Sicherheit erfordern
Zeit, Geld und Know‐How Systematisches IT‐Sicherheitsmanagement ist wichtig
Sicherheit geht alle an Sicherheit kann nur geschaffen und aufrecht erhalten werden, wenn alle
Beteiligten mitarbeiten Schulung und Sensibilisierung sind wichtig
Sicherheit ist kein Selbstzweck Das Sicherheitsniveau muss angemessen sein
Wie gehen Sie vor?
91 © Jürgen Schüler
20.06.2016
42
Sicherheit ist kein ProduktSicherheit kann man nicht kaufen, Sicherheit muss man schaffen!Natürlich muss man zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgreifen.
Sicherheit ist kein ProjektEs genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheitmuss aufrecht erhalten werden!
Sicherheit ist ein Prozess
Wie gehen Sie vor?
92 © Jürgen Schüler
Die wichtigsten SchritteBetrachten Sie die interne Vernetzung und die Anbindung an das Internet sowie den Dienstleister.
Schützen Sie die Zugänge und die Daten nach:
Verfügbarkeit
Integritätund
Vertraulichkeit
93 © Jürgen Schüler
20.06.2016
43
Anwendungen, in denen Sicherheitslücken durch Web‐Exploits ausgenutzt wurden
Quelle: Viruslist.com (drittes Quartal 2014)
Oracle Java
Browser
Adobe Reader
AndroidOS
Adobe Flash PlayerMicrosoft Office
Schwachstellen von Anwendungen
94 © Jürgen Schüler
Windows
Microsoft‐Updates aktivieren
Software aktualisieren
Datenschutz verbessern
Virenschutz prüfen
Netzwerkzugriffe kontrollieren
95
20.06.2016
44
Handlungsempfehlung für Handwerksbetriebe
Verwenden Sie sichere Passwörter.
Verwenden Sie sichere E‐Mail.
Achten Sie auf eine sichere Hardware‐Konfiguration.
Schützen Sie USB‐Geräte
Schützen Sie Ihre mobilen Daten und Geräte.
Führen Sie sensible Gespräche nur über schnurgebundene Geräte.
Führen Sie eine Rechte‐ und Nutzerverwaltung ein, um Gesetzen und Richtlinien zu entsprechen.
Gewährleisten Sie die Funktionsfähigkeit Ihrer IT‐Infrastruktur.
97 © Jürgen Schüler
Basissicherheit mobile Geräte
Vom Prinzip her sind Smartphones oft besser ausgestattet als Laptops oder Netbooks, daher gilt:
Sicherheitseinstellungen des Smartphones (z.B. Codesperre) nutzen
Drahtlose Schnittstellen nur bei Bedarf aktivieren
Software nur aus kontrollierten Stores laden
Firmendaten über verschlüsselte Verbindung abrufen und nicht auf dem Smartphone speichern
Datenverbindungen sowie Telefonate und Smartphone verschlüsseln
Regelmäßig Backups durchführen
Betrieblich genutzte Smartphones zentral verwalten
98 © Jürgen Schüler
20.06.2016
45
Der Zugriff auf die Cloud erfolgt mit
Desktop‐PCs (Software‐/Browserbasiert)
Smartphones/Tablets (App‐/Browserbasiert)
Der Zugriff sollte nur von Systemen durchgeführt werden, die als vertrauenswürdig eingestuft werden
Also nicht im Urlaub aus einem Internet‐Café!
Dementsprechend sollten Kriterien im Unternehmen festgelegt werden, die klare Regeln hierfür definieren
Es gelten die Empfehlungen des Basisschutzes
Basisschutz und Handlungsempfehlungen
99 © Jürgen Schüler
Dienstleistungsangebot
der Handwerkskammer
100
20.06.2016
46
Es ist unser Ziel, ein angemessenes IT‐Sicherheitsniveau im Handwerk herzustellen, indem mithilfe von neutralen Beratern der Handwerksorganisationen und gemeinsam mit dem Betrieb eine Sicherheitsstrategie erarbeitet und umgesetzt wird.
101 © Jürgen Schüler
Wer kann helfen
IT‐Sicherheit und Datenschutz betreffen das ganze Unternehmen und die Verantwortung lässt sich nicht delegieren, deshalb:
1. Verantwortung übernehmen
2. Kleine Schritte vorbereiten
3. Datenschutz und Datensicherheit sind ein Prozess
102 © Jürgen Schüler
20.06.2016
47
Unsere Lösungen für Sie!www.it‐sicherheitsbotschafter.de
103 © Jürgen Schüler
Unsere Lösungen für Sie!
Die Mitarbeiter der Handwerkskammer beraten und unterstützen Sie bei:
In Fragen zur Basissicherheit
Virenbefall
dem Schutz mobiler Geräte
der Datenverschlüsselung
Fragen rund um den Datenschutz
…beim Aufbau einer sicheren IT‐Umgebung
…vermitteln Security‐Spezialisten
104 © Jürgen Schüler
20.06.2016
48
Vielen Dank für Ihre Aufmerksamkeit
105
Jürgen Schüler
Projektleiter
KompetenzzentrumIT-Sicherheit und Signaturder HWK RheinhessenDagobertstraße 255116 Mainz
Telefon +49 61 31 99 92-61Telefax +49 61 31 99 92-52j.schueler@hwk.de
Fragen?
106
top related