w w w . h e c . d e passwortsicherheit it - sicherheit im...

w w w . h e c . d e www.hec.de

IT-Sicherheit im Schulalltag

Hanseatische Software-Entwicklungs- und Consulting GmbH


© 2012, HEC GmbH IT-Sicherheit im Schulalltag 2

Übersicht

• Vorstellung der Vortragenden

• Was bedeutet IT-Sicherheit?

• Datenschutz in der Schule

• Passwortsicherheit

• Datenverschlüsselung

• Sicherheit im Internet

• Soziale Netzwerke

• Schulhomepage und Urheberschutz



Vorstellung• Günther Ewald

– Seit 1989 Mitarbeiter der HEC GmbH

– Zahlreiche Software-Entwicklungs- und Beratungsprojekte

– Betrieblicher Datenschutzbeauftragter der HEC

– Externer Datenschutzbeauftragter für drei Unternehmen

• Stefan Krug

– Seit 2006 Mitarbeiter der HEC GmbH

– Testmanager und Systementwickler in

verschiedenen Projekten

– Informationssicherheitsbeauftragter der HEC



• IT-Sicherheit - Informationssicherheit - Datenschutz

• Schutzziele Verfügbarkeit – Vertraulichkeit – Integrität

• Gefährdungen – Risiken – Maßnahmen

• Sicherheitsstandards: z. B. IT-Grundschutzhandbuch des BSI (Umfang!)

• Im Folgenden können nur Teilaspekte behandelt werden

• Vorbildfunktion der Informatik-Lehrerinnen und Lehrer („Medienkompetenz“)

• Lehrerinnen und Lehrer haben die Verpflichtung, Regelungen einzuhalten; Beispiel Datenschutz

Was bedeutet IT-Sicherheit?

IT-Sicherheit, allgemeiner Informationssicherheit, bezieht sich auf informationsverarbeitende und –speichernde Systeme. Ziel ist es, die Informationsverarbeitung vor Gefahren und Bedrohungen zu schützen, Schäden zu verhindern und Risiken zu minimieren. Beim Datenschutz geht es um den Schutz von Personen vor dem Missbrauch ihrer personenbezogenen Daten. Verfügbarkeit bedeutet, dass Dienstleistungen, Funktionen eines IT-Systems oder Informationen zum geforderten Zeitpunkt zur Verfügung stehen. Vertraulichkeit bedeutet, dass Informationen nicht durch Unbefugte eingesehen oder genutzt werden können. Integrität bedeutet, dass Informationen vollständig und nicht durch Unbefugte geändert werden. Um diese Ziele zu erreichen, müssen die Bedrohungen und Gefahren für die Informationssicherheit bekannt sein. Beispiele für Gefahren:

• Verfügbarkeit: Stromausfall, Festplattencrash

• Vertraulichkeit: Zutritt zu Rechenzentren, Geräten oder zu Datenträgern, Trojaner

• Integrität: Programmabstürze, Viren Es gibt in Deutschland verschiedene Sicherheitsstandards, z. B. ISO 2700x, BSI-IT-Grundschutz. Diese Werke sind sehr umfangreich, die Umsetzung ist häufig sehr zeitaufwändig und an Schulen in der Regel nicht umzusetzen. Dennoch gibt es einfache Maßnahmen zur Erhöhung der Informationssicherheit. 100% Sicherheit gibt es sowieso nicht. Wo liegen in Schulen die größten Gefahren und Risiken für Informationssicherheit im Schulalltag? Und welche Maßnahmen gibt es dagegen? Welche davon können (und müssen) von den (Informatik-)Lehrerinnen und Lehrern umgesetzt werden? Lehrerinnen und Lehrer haben zum einen eine Vorbildfunktion für die Schülerinnen und Schüler, in Bezug auf Informatik häufig mehr als z. B. Eltern. Zum anderen haben Lehrerinnen und Lehrer die Verpflichtung, Vorschriften oder gesetzliche Regelungen einzuhalten. – Beispiel: Datenschutz



• Landesdatenschutzgesetze

• Bremer Schuldatenschutzgesetz gilt für alle Bremer Schulen

• Welche Daten dürfen verarbeitet werden? -> Verordnung

• Die Einwilligung und Unterrichtung der Betroffenen ist erforderlich, mit Ausnahmen, z. B. wenn „die Verarbeitung im Interesse der oder des Betroffenen oder für die pädagogische Arbeit an der Schule notwendig ist“

• Verwendung von „private(n) Datenverarbeitungsgeräte(n) zur Verarbeitung personenbezogener Daten von Schülerinnen und Schülern“ nach schriftlicher Vereinbarung

Datenschutz in der Schule

Die gesetzlichen Regelungen und Verordnungen in Bremen und Niedersachsen unterscheiden sich inhaltlich und formal nur wenig: Niedersachsen

• Landesdatenschutzgesetz Niedersachsen (NDSG)

• Verwaltungsvorschrift zum NDSG

• Niedersächsisches Schulgesetz

• Runderlass zur Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungsgeräten (DV-Geräten) von Lehrkräften

Bremen

• Bremisches Datenschutzgesetz (BremDSG)

• Bremisches Schulgesetz und Schulverwaltungsgesetz

• Verordnung über die Datenverarbeitung durch Schulen und Schulbehörden Folgende Daten dürfen laut „Verordnung über die Datenverarbeitung durch Schulen und Schulbehörden“ verarbeitet werden: Ohne Einwilligung der Erziehungsberechtigten unter anderem:

• Vor- und Nachname

• Geschlecht

• Geburtsdatum und Geburtsort

• Adresse und Telefonnummer

• Staatsangehörigkeit

• Aussiedlereigenschaft (Migrationsstatus)

• Religionszugehörigkeit

• Muttersprache

• Daten über gesundheitliche Auffälligkeiten

• Behinderungen

• Pädagogische, soziale, therapeutische Maßnahmen, soweit sie für den Schulbesuch Bedeutung haben

• Angaben über Funktionen als Schülervertreter

• Beurteilungsdaten

• Fehlzeiten Nur mit Einwilligung der Eltern zum Beispiel:

• Beruf der Eltern

• Familiäre Situation (alleinerziehend, verheiratet, ledig…)

• Geschwisterkinder

• Aufenthaltsbestimmungsrecht

• Lebenspartnerschaft des / der Personensorgeberechtigten Verwendung von „private(n) Datenverarbeitungsgeräte(n) zur Verarbeitung personenbezogener Daten von Schülerinnen und Schülern“ nach schriftlicher Vereinbarung: Die Lehrkräfte haben „sicherzustellen, dass diese Daten vor dem Zugriff Dritter geschützt sind und spätestens nach dem Ende des jeweils nächsten Schuljahres gelöscht werden.“ Sie müssen sich „schriftlich zur Beachtung der datenschutzrechtlichen Vorschriften verpflichtet und sich mit der Überwachung durch den behördlichen Datenschutzbeauftragten und den Landesbeauftragten für den Datenschutz einverstanden erklärt haben“ Siehe „Erklärung zum Einsatz privater Datenverarbeitungsgeräte“ in den Bremer „Informationen zum Schuldatenschutz“ bzw. den Runderlass des Niedersächsischen Kultusministeriums zur „Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungsgeräten (DV-Geräten) von Lehrkräften“


Passwortsicherheit

• Bedeutung von Passwörtern (Vertraulichkeit, Integrität)

• Anforderungen an Passwörter:

– Keine trivialen Passwörter, keine Namen oder Begriffe aus der Umgebung, keine Systemvorgaben

– Mindestens 8 Zeichen, besser 10

– Zeichenvorrat ausnutzen (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen)

– Regelmäßige Änderung, keine Wiederverwendung, keine Mehrfachverwendung

• Merken bzw. Speichern von Passwörtern

– „Passphrasen“: Anfangsbuchstaben von Wörtern oder Silben in Sätzen, Sprüchen, Liedern

– Nicht auf Notizzetteln, sondern in gesicherten (verschlüsselten) Dateien

– Beispiel keepass


Beispiel für eine Passphrase: Es tanzt ein Bibabutzemann auf einem Bein herum, fideldum -> 3t1Ba1Bh,f Da man für alle Systeme und Programme verschiedene Passwörter verwenden und diese auch noch häufiger ändern sollte, braucht man schnell einige Dutzend Passwörter, PINs usw. Diese kann man nicht alle im Kopf behalten. Daher ist der Einsatz eines Passworttresors sinnvoll (notwendig?). Keepass ist kostenlos und gibt es für verschiedene Betriebssysteme (Windows, Linux, Portable, Android, …). Installationssätze befinden sich auf dem HEC…Stick.


Datenverschlüsselung

• Ziel: Vertraulichkeit, Integrität

• Bei der Speicherung: Laufwerksverschlüsselung

– BitLocker (ab Windows Vista, Windows 7; nur ganze Partitionen)

• TrueCrypt

– Für verschiedene Systeme verfügbar

– Auch für externe Laufwerke (z. B. externe Festplatten, USB-Sticks, DVDs)

• Auch hier gilt: Sicheres Passwort verwenden!

• Bei der Übertragung:

– E-Mail: Pretty Good Privacy (PGP), z. B. bei Thunderbird (Enigmail)

– Internet: SSL bzw. https (vgl. Sicherheit im Internet)


Für Datenverschlüsselung auf Datenträgern steht z. B. für Windows BitLocker zur Verfügung. Damit können ganze Partitionen, nicht aber einzelne Bereiche, verschlüsselt werden. Auch Wechseldatenträger (USB-Sticks) können verschlüsselt werden. Für viele Systeme ist das Programm TrueCrypt verfügbar. Mit TrueCrypt lassen sich einzelne Bereiche („Container“) oder auch ganze Laufwerke („Volumes“) verschlüsseln. Installationssätze befinden sich auf dem HEC…Stick. Zur Benutzung von PGP muss in Thunderbird zunächst PGP installiert werden und dann Enigmail als Addon. Über den OpenPGP-Assistenten kann dann ein Schlüsselpaar eingerichtet werden. Zur Verschlüsselung der E-Mails muss der öffentliche Schlüssel des Empfängers benutzt werden.



Bewusste Sicherheit im Internet

Wie kommen eigentlich Viren auf den Rechnerund was kann ich dagegen tun?



• Dateianhänge (eMail etc.)

• Infizierte Software/Dateien,Tauschbörsen

• Drive-By-Infektion

Drive-By-Download

• Infizierte Massenspeicher

• Direkter Zugriff per WAN/LAN („Honeypot“)

Dateianhänge: Klassisch ist das Ausnutzen der ‚ausgeblendeten Dateiendungen‘, wie .exe oder .bat, indem die Datei mit einem Konstrukt wie .jpg.exe benannt wird, wobei durch das Ausblenden nur noch .jpg übrig bleibt. Infizierte Software/Dateien: Manipulierte Installer für ‚bekannte‘ Softwarepakete, Dokumente mit Schadcode in Makros, in beliebigen Dateien versteckter Schadcode, welcher Sicherheitslücken ausnutzt. Beim dritten Beispiel könnte das z.B. ein veränderter GetCodec-Aufruf einer mp3-Datei sein, durch den der Player anschließend den als Codec getarnten Schadcode nachlädt. Drive-By-Infektion Bei Drive-By-Infektion wird ein Computer allein durch den Besuch einer Webseite mit Schadcode infiziert. Hierzu sind ‚aktive Inhalte‘ notwendig, durch die der Download und das automatisierte und oft unbemerkte Ausführen von Schadcode ermöglicht wird. Infizierte Massenspeicher Dank Autostartroutinen können beliebige Scripte ausgeführt werden, sodass das Einstecken von Datenträgern oft ausreicht. Direkter Angriff Portfreigaben, Dateifreigaben etc. bieten Möglichkeiten für viele Angriffe.



… und was kann ich dagegen tun?

Software Verhalten

Sicherheit kann nur durch das Zusammenspiel von bewusst gewählter und gewarteter Software und der besonnenen Handhabung der Systeme gewährleistet werden.



1. Updates (Betriebssystem, Browser, Flash, etc.)

2. Virenscanner (z.B. Avira, AVG)

3. Firewall (Router, Windows; pers. FW fraglich)

Software

Updates Nur regelmäßige (Sicherheits-)Updates sorgen dafür, dass Sicherheitslücken in Programmen rechtzeitig geschlossen werden können, bevor daraus ein Sicherheitsproblem erwächst. Automatische (Sicherheits-)Updates sind zu empfehlen. Virenscanner Auf allen Computern mit Windows-Betriebssystem sollte ein Virenscanner als Grundausstattung angesehen werden. Kostenlose Alternativen sind in der Regel vollkommen ausreichend in ihrem Funktionsumfang. Jeder Virenscanner ist aber nur so gut, wie seine Virusdefinitionen aktuell sind! -> tägliche, automatische Updates Firewall Ins Betriebssystem integrierte Firewalls bieten i.d.R. ausreichenden Schutz, sie sollten deshalb stets aktiviert sein. Router-/Hardwarefirewalls bieten einen noch besseren Schutz und bieten bessere Konfigurationsmöglichkeiten. „Personalfirewalls“, die als Dienst ähnlich einem Virenscanner installiert werden, sind in ihrer Wirksamkeit umstritten. Im schlimmsten Fall bieten diese sogar weitere Angriffspunkte.



1. Quellenskepsis (vertrauenswürdig?)

2. Fremde Geräte (USB-Stick, Festplatten, Autostart?)

3. Das Internet und die Scripte

– So viel wie nötig, so wenig wie möglich

Verhalten

Quellenskepsis Sowohl bei eMails, als auch bei Webseiten sollte stets eine Einschätzung stattfinden, ob diese Quelle vertrauenswürdig ist. Die angezeigte eMail-Adresse muss nicht mit der tatsächlichen übereinstimmen! Links in eMails sollten vor dem Besuchen kritisch betrachtet werden: Kenne ich die URL? Was genau bringt es mir, diesem Link zu folgen? HTTPS ist kein Freifahrtschein! Auch wenn das Zertifikat augenscheinlich korrekt ist, kann auch z.B. einfach die Adresse eine Andere sein, als erwartet. (sparkasse.to statt sparkasse.de?) Fremde Geräte … sind stets als potentiell gefährlich einzuschätzen. Es hilft, wenn der Autostart der verschiedenen Geräte deaktiviert wird (USB, optische Laufwerke, etc.), dennoch ist die Verwendung niemals Risikofrei.



Bewusste Sicherheit im Internet

Rückeroberung der Browserhoheitmit NoScript



JavaScript,

JScript

• Videos

• Animationen

• dynamische Objekte

• Nach-Hause-Tel.

• Drive-By-Downloads

• unsichere Plugins

Über JavaScript (Skriptsprache für Webbrowser) und Jscript (proprietäre Skriptsprache von Microsoft, basierend auf JavaScript) Diese ermöglichen den Einsatz von interaktiven Inhalten auf Webseiten, Animationen und das Einbinden von Plugins, wie z.B. Adobe Flash. Des Weiteren können durch diese aber unerwünschte Rückmeldungen erzeugt werden, das Surfverhalten webseitenunabhängig überwacht werden und unerwünschte Aktionen, wie das Ausführen von Schadcode, durchgeführt werden.



NoScript

• AddOn für Firefox

• Blockt Scripte und aktiveInhalte auf Webseiten

• Ausführen oder nicht,

das ist hier die Frage!

Welche Scripte sollte ich zulassen? Generell immer nur so viel, wie gerade notwendig. Relevante Scripte stammen in der Regel von der besuchten Seite direkt. -> Scripte mit der Adresse „youtube.com“ sind auf Youtube z.B. für das Einbinden des Flashplayers zuständig. http://noscript.net/



Meine Daten gehören mir –

Augenmaß im Social Web

Social Media „heute“



• Microblogging

Kurznachrichtendienst

• Tagebuch, Werbeplattform,Organisation pol. Aktionen

• Tweets abonnieren (follow)

Suche (#Hashtag)

www.twitter.com



• Plattform, vorrangig für

Geschäftsbeziehungen

• Erweitern und Darstellendes Kontaktnetzwerkes

• Online-CV, Foren,

Fachgruppen

www.xing.com



• Pflege & Erweiterung sozialer Netzwerke

• Teilen von Nachrichten, Bildern, etc.

• Organisation von Events

• ca. 845 Mio. (Dez. 2011)

Mitglieder

• „mehr als“ 100 Mio.

(7.03.2012) Mitglieder

http://www.facebook.com https://plus.google.com



www.studivz.net www.fitocracy.com www.wer-kennt-wen.de www.myspace.com www.lokalisten.de https://joindiaspora.com http://de.ning.com



Auch Spiele sind aktive Inhalte und somit potentiell gefährlich!



Zivilrechtlich fragwürdige Äußerungen / Taten

• Falsche Tatsachenbehauptungen

• Schmähkritik

• Beleidigungen

• Verstoß gegen das Persönlichkeitsrecht (Fotos!)

• Äußerungen über Kollegen und Vorgesetzte

– Beeinträchtigung des Betriebsklimas

• Versehentliches Ausplaudern von

(Geschäfts)Geheimnissen



Strafrechtlich relevante Äußerungen

• (Cyber-Mobbing)

• Beleidigung

• Verleumdung

• Drohung, Nötigung

• Stalking

• Identitäts- und Account-Diebstahl

• Verrat von (Geschäfts)Geheimnissen

Beleidigung § 185 StGB Üble Nachrede § 186 StGB Verleumdung § 187 StGB Nötigung § 240 StGB Bedrohung § 241 StGB Erpressung § 253 StGB Verletzung der Vertraulichkeit des Wortes § 201 StGB Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen § 201a StGB Verletzung des Briefgeheimnisses § 202 StGB Gewaltdarstellungen § 131 StGB Stalking: § 238 StGB (Nachstellung) http://www.lehrer-online.de/fall-des-monats-01-10.php



Selten dämliche Außendarstellung

Teldafax Holding AG („Telefon, Daten, Fax“)

- Energieversorgung, Telekommunikation, Touristik, Finanzdienstleistungen

- Eingeschränkte Erreichbarkeit für Kundenbeschwerden

- Kunden nutzten das Facebook-Profil der AG für Beschwerden

- TelDaFax jedoch hatte nicht verstanden, wie man mit Kunden auf derartigen Plattformen umgeht



Meine Daten gehören mir –

Augenmaß im Social Web

Außendarstellung und Umgang




Tipps zum Umgang

• Strikte Trennung zwischen Beruf und Privatleben

– (Privatsphäre-Einstellungen)

• Soziale Netzwerke trotz aller Privatsphäre-Einstellungen als öffentlichen Raum betrachten

• Angemessener Umgang (Etikette, Netiquette)


www.ccinfo.de/netiquette.htm



HOW TO: Sicherheitseinstellungen

• emmtee.de: FB-Sicherheitseinstellungen Schritt für Schritthttp://emmtee.de/allgemein/facebook-sicherheitseinstellungen-schritt-fur-schritt-einfach-mit-bildern-erklart-stand-marz-2012

• internet-abc.de: Sicherheit in Sozialen Netzwerken(Facebook, Google+, studiVZ)http://www.internet-abc.de/eltern/sicherheit-soziale-netzwerke.php

• reclaimprivacy.org: Tool zur Prüfung der FB-Einstellugnenhttp://www.reclaimprivacy.org/


Schulhomepage und Urheberschutz

• Verantwortung bei der Schulleitung (Telemediengesetz)

• Impressumpflicht

• Veröffentlichung personenbezogener Daten darf nur mit Einwilligung der Betroffenen (Schüler/innen sowie Lehrer/innen)

• Veröffentlichung von Bildern darf nur mit Einwilligung der Betroffenen erfolgen, sonst strafbar!



© 2011, HEC GmbH Folienmaster 30

Vielen Dank für Ihre Aufmerksamkeit.

Wir freuen uns auf den Dialog mit Ihnen.

Hanseatische Software-Entwicklungs- und Consulting GmbH

Buschhöhe 628357 Bremen

Fon 0421 • 20 75 0-0Fax 0421 • 20 75 0-99Email [email protected] www.hec.de

Zertifiziert nach DIN EN ISO 9001:2008

w w w . h e c . d e passwortsicherheit it - sicherheit im...

Documents