Sicherheitslücke Homeoffice - wie Sie sich vor Datenklau schützen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheitslücke Homeoffice – wie Sie sich vor Datenklau schützen
Das erwartet Sie heute:
1 Überblick über die häufigsten Sicherheitsmängel im Homeoffice
2 Compliance und Datenschutz
3 Richtiger Umgang mit Papierunterlagen aus dem Büro
4 Sichere Kommunikation durch Verschlüsselung nach Stand der Technik und Zwei-Faktor-
Authentifizierung
5 Strukturierte und verschlüsselte Verwaltung von Passwörtern
6 Verwendung von Cloud-Diensten unter Berücksichtigung der IT- und Datenschutzvorgaben
7 Sichere Web Conferencing Tools
8 Fazit: Handlungsanweisungen für Beschäftigte und Sicherheitskonzepte
1. Überblick über die häufigsten Sicherheitsmängel im Homeoffice
Deutschland-Umfrage „IT-Sicherheit im Home Office“ Professional School 4
Professional School 5
Kategorien erheblicher IT-Sicherheitsvorfälle Externer Angriff (DDoS, Hacking, Passwortmissbrauch) Datenverlust (Hardwareverlust, unautorisierter Datenabfluss) Sicherheitslücke (Exploiting) Störung von Soft- oder Hardwarekomponenten (schwerwiegender Systemausfall, Überlastsituationen) Verstoß gegen IT-Sicherheitsrichtlinien (Innentäter, Social Engineering) Interne Ursachen (Sicherung, Kühlung, USV) Externe Einflüsse (Naturgewalten/höhere Gewalt) Professional School 6
Unternehmerischer Handlungsbedarf für IT-Sicherheit und Datenschutz Faktische Gründe einerseits, z.B.: Reputation Kundenvertrauen Transparenz und Kommunikation Innovationsfähigkeit und Best-Practices Rechtliche und wirtschaftliche Gründe andererseits, z.B.: Straf- und Ordnungswidrigkeitenrecht, gewerbeaufsichtsrechtliche Maßnahmen Ansprüche auf Unterlassung, Schadensersatz und Schmerzensgeld Versicherungsbezogene Folgen Rechtliche Informationspflichten ggü. der Öffentlichkeit bei Datenlecks Reputationsverlust, mittelbar wirtschaftlich benachteiligende Konsequenzen Professional School 7
2. Compliance und Datenschutz
Auch das Homeoffice ist kein regelfreier Raum: IT-Compliance IT-Compliance: Einhaltung derjenigen Vorgaben, die sich mit IT-Sicherheit und Datenschutz befassen Unterschiedlichste Erkenntnisquellen für IT-Compliance auf deutscher und europäischer Ebene: Allgemeine gesetzliche Vorschriften (z.B. EU DS-GVO, GmbHG) Branchenspezifische gesetzliche Vorschriften (z.B. für Banken, Versicherungen, Industrie, Informations- und Kommunikationssektor, Logistik, öffentliche Verwaltung) Technische Normen und Standards Unternehmensinterne Vorgaben, vertragliche Bestimmungen und Selbstverpflichtungen (Geheimhaltungsverpflichtung, Vertraulichkeitsvereinbarung, Auftragsdatenverarbeitung) Folge: Es gibt somit kein einheitliches Gesetz zu IT-Sicherheit und Datenschutz Professional School 9
Datenschutzfreundliches Unternehmen – Anforderungen aus Art. 32 DS-GVO:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher
Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
[…]
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu
berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder
Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert
oder auf andere Weise verarbeitet wurden – verbunden sind.
Professional School 10Datensicherheit durch TOM: Technisch-Organisatorische Maßnahmen Professional School
3. Richtiger Umgang mit Papierunterlagen aus dem Büro
Richtiger Umgang mit Papierunterlagen aus dem Büro Grundsatz: Je sensibler (personenbezogene) Daten sind, desto besser sind sie zu schützen Zentrale Regeln: Werfen Sie dienstliche Papierdokumente nicht in Ihren privaten Papiermüll Sammeln Sie Ihren Papiermüll, lagern Sie ihn verschlossen und nehmen Sie ihn mit, wenn Sie wieder ins Dienstgebäude gehen. Entsorgen Sie den Papiermüll dann dort nach den geltenden Regeln Organisieren Sie Ihren Arbeitsplatz so, dass sich private und dienstliche Daten nicht mischen Achten Sie beim Verlassen des Arbeitsplatzes darauf, dass Türen und – vor allem im Erdgeschoss – Fenster verschlossen bzw. geschlossen sind, um eine unbefugte Kenntnisnahme, einen Verlust oder eine Veränderung von Daten zu verhindern. Sollte dies in Ihrer häuslichen Umgebung nicht vollständig möglich sein, gehören zumindest Ihre Papierdokumente in einen verschlossenen Schreibtisch oder Schrank Vermeiden Sie das Ausdrucken von Dokumenten an privaten Druckern Professional School 21.04.2020 13
4. Sichere Kommunikation durch Verschlüsselung nach Stand der Technik und Zwei-Faktor-Authentifizierung
Sichere Kommunikation durch Verschlüsselung nach Stand der Technik und Zwei-
Faktor-Authentifizierung
Standardmaßnahmen zum Schutz von IT-Systemen umsetzen – hierzu zählen insbesondere das Einspielen aktueller
Software-Patches und AV-Signaturen
Auflistung aller Netzwerkteilnehmer (Drucker, WLAN-Musikbox, Saugroboter) → Assetmanagement
Arbeit im Home-Office auf privaten Laptops (Eigenverantwortung) → Risikomanagement
Benutzung von VPNs nicht nur in öffentlichen Netzwerken, sondern auch in privaten WLANs
Beispiel: VPN Secure Connection von Kaspersky
WLAN-Verschlüsselung konfigurieren
WPA2 mit einem starken Passwort (sollte mindestens 20 Zeichen lang sein)
Standard-Anmeldedaten für die Router-Einstellungen (Benutzername und Passwort)
Verschlüsselungsfunktion von E-Mailprogrammen nutzen, um E-Mails zu signieren oder sicher zu verschlüsseln
Dateien vor dem Versenden oder Speichern in der Cloud immer verschlüsseln und mit einem Passwort versehen
Beispiel: Packprogramm 7-Zip
Professional School 21.04.2020 155. Strukturierte und verschlüsselte Verwaltung von Passwörtern
Strukturierte und verschlüsselte Verwaltung von Passwörtern Vorsicht Phishing: Es können vermehrt Phishing E-Mails auftreten, die aktuelle Krisen-Situationen ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote-Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen Hinweise für gute Passwörter: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein Für ein Passwort sollten in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…) Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen Allgemeiner Umgang mit Passwörtern: Nutzen Sie einen Passwortmanager zur Verwaltung der Passwörter (z.B. KeePass Password Safe) Passwörter nicht an Dritte weitergeben oder per E-Mail versenden Professional School 21.04.2020 17
6. Verwendung von Cloud-Diensten unter Berücksichtigung der IT- und Datenschutzvorgaben
Verwendung von Cloud-Diensten unter Berücksichtigung der IT- und
Datenschutzvorgaben
„Die beste Methode zum Dateiaustausch aus dem Home Office ist zweifellos eine VPN-Verbindung
zum Firmennetz.“
Selbstverwaltete Cloudspeicher:
Voraussetzung der IT-Grundkenntnisse für die Einrichtung und Verwaltung
Dateien ausschließlich auf selbstkontrollierten Rechnern zwischenzulagern und zu übertragen
Populäre selbstverwaltete Cloudlösungen sind Owncloud und Nextcloud
Cloudspeicher involvierter Dritter:
Amazon Drive (5GByte kostenloser Speicherplatz)
Dropbox (funktioniert auf allen Betriebssystemen)
Google Drive (15GByte kostenloser Speicherplatz)
OneDrive und OneDrive for Business (Server in Deutschland & mit Office 365 Business Abo 1TByte Speicherplatz)
Magenta Cloud (Server in Deutschland)
Tresorit (Server in Deutschland und funktioniert auf allen Betriebssystemen)
Professional School 21.04.2020 19Ranking der besten Anbieter für Cloud-Services bei Privatkunden in der Schweiz
im Jahr 2019
Qualität Innovation Preis Flexibilität Support
Nextcloud 4,7 4,4 5,5 5,2 4,9
Owncloud 4,8 4,2 5,6 5 4,6
IWay 4,7 4,1 4,8 4,9 4,8
Synology Cloud 4,4 4,5 5,2 4,9 4,6
SecureSafe 4,3 4,2 4,9 4,9 4,8
Swisscom MyCloud 4,5 4,1 4,7 4,5 4,6
TresorIT 4,5 3,9 4,7 4,7 4,6
Amazon Drive AWS 4,6 4 5,1 4,5 4,1
Google Drive 4,3 4 5 4,4 4,2
Microsoft OneDrive 4,2 3,9 4,9 4,3 4,1
iCloud 4,2 3,8 4,7 4,4 4,2
Dropbox 4,1 3,7 4,7 4,2 4
Quelle: Bilanz Schweiz; ID 1068954 (6 = sehr gut bis 1 = sehr schlecht)
Professional School 21.04.2020 207. Sichere Web Conferencing Tools
Sichere Web Conferencing Tools
Prüfungsmaßnahmen vor dem Einsatz von Video- und Onlinekonferenzanbietern:
Datenschutzniveau bei Anbietern aus Drittländern (z.B. USA) sicherstellen
Datenschutzfreundliche Voreinstellungen und Erforderlichkeitsprüfung
Je Funktion und Zweck prüfen und protokollieren
(Zulässiger) Zweck der Funktion
Eignung der Funktion für den Zweck
Mögliche Schutzmaßnahmen
Vertrauenswürdige Quelle der Konferenz-Software
Bereits installierte Software sollte auf Aktualität überprüft werden
Pressemitteilung: „…Infizierte Zoom-Apps für Android-Benutzer…“
Quelle: https://labs.bitdefender.com/2020/03/
infected-zoom-apps-for-android-target-work-from-home-users/
Professional School 21.04.2020 22Sichere Web Conferencing Tools
Name Land Sicherstellung Datenschutzniveau im Drittland AV-Vertrag/DPA Datenschutzerklärung
Adobe Connect USA Privacy Shield Auf Anfrage Link
Cisco WebEx USA Privacy Shield und Standardschutzklauseln (SCC) In SCC enthalten Link
Google USA Privacy Shield Link (automatisch Link
Hangouts/Meet mit AGB
akzeptiert)
GoToMeeting USA Privacy Shield Link Link
Slack USA Privacy Shield Link Link
Twitch USA - Nicht angeboten Link
Zoom USA Privacy Shield und Standardschutzklauseln (SCC) In SCC enthalten Link
Telekom C&C DE - Link Link
Professional School 21.04.2020 238. Fazit: Handlungsanweisungen für Beschäftigte und Sicherheitskonzepte
Fazit: Handlungsanweisungen für Beschäftigte und Sicherheitskonzepte
Sie wollen mehr zum Thema „IT-Sicherheit und Datenschutz“ erfahren?
Modulstudium „IT-Sicherheit und Datenschutz für Mittelstand und Selbstständige“
Intensive Wissensvermittlung für Selbstständige, Freiberufler und KMU
IT-Sicherheit und Datenschutz aus der 360 Grad-Perspektive: Recht,
Technik, Wirtschaft
7,5 Präsenztage in Bremen
Mit Hochschulzertifikat
Nächster Start: 28. Oktober 2020
https://www.hs-bremen.de/internet/de/weiterbildung/professional-school/it-technik/it-
sicherheit/
Professional School 25Sie können auch lesen
