Sicher im Home-Office - Smart Working Days 23. September 2021 - Confluence of ETH Zurich
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Agenda
1. Datenschutz & Klassifizierung
2. Sicherheit beim Arbeiten mit M365
3. Sicherheitstipps – nicht nur fürs Home-Office
Informatikdienste 22.09.2021 2Definitionen aus dem Datenschutzgesetz*
Personendaten:
Definition: Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3a DSG)
Beispiele: Name, Geburtsdatum, Adresse, Telefon/Mobile, AHV-Nr., Matrikel Nr., Geschlecht, Fotografie,
eine Person besonders charakterisierende Merkmale (z.B. einzige Frau im Team), genetische Daten,
Autokennzeichen, etc.
Besonders schützenswerte Personendaten: (Art. 3c DSG);
Definition: Daten über
1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,
2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
3. Massnahmen der sozialen Hilfe,
4. administrative oder strafrechtliche Verfolgungen und Sanktionen
Beschreibung: Personendaten, bei denen aufgrund ihrer Aussagekraft oder der Art ihrer Bearbeitung eine
besondere Gefahr einer Persönlichkeitsverletzung besteht.
Informatikdienste *SR 235.1 - Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) (admin.ch) 22.09.2021 5Definitionen aus dem Datenschutzgesetz*
Persönlichkeitsprofile:
Definition: Eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person erlaubt;
Informatikdienste *SR 235.1 - Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) (admin.ch) 22.09.2021 6Rechtsgrundlagen der ETH Zürich
RSETHZ 203.21 Benutzungsordnung für • Die Informations- und Kommunikations-
Informations- und technologie-Mittel (IKT-Mittel) der ETH Zürich
Kommunikationstechnologie sollen in optimaler Weise für die Erfüllung der
an der ETH Zürich (BOT) und Aufgaben der ETH Zürich eingesetzt werden.
Anhang • Die ordnungsgemässe Nutzung der IKT-Mittel
der ETH Zürich soll sichergestellt und der
störungsfreie Betrieb der IKT-Mittel
gewährleistet werden.
RSETHZ 203.25 Weisung Legt die Informationssicherheitsziele, die Eckwerte
Informationssicherheit an der für den Umgang mit Risiken fest und regelt die
ETH Zürich Verantwortlichkeiten für Steuerung und Kontrolle
der Ziele und Risiken.
RSETHZ 203.23 IT-Richtlinien und IT- Regeln:
Grundschutzvorgaben der • Aufgaben, Kompetenzen und Verantwortlich-
ETH Zürich keiten zentraler Rollen im IKT-Betrieb
• den Grundschutz für IKT-Mittel
• den Umgang mit IKT-Mitteln
Informatikdienste 22.09.2021 7Vertraulichkeitsstufen für alle Daten der ETH Zürich
Streng
vertraulich
Vertraulich
Intern
Öffentlich
Informatikdienste 22.09.2021 8Die Vertraulichkeitsstufen gemäss Weisung Informationssicherheit* (1/2)
ÖFFENTLICH
Als öffentlich gelten Informationen, die von der zuständigen Stelle zur Veröffentlichung freigegeben
werden.
− Technische / administrative Informationen -> Informationseigner*in und Kommunikationsstelle
beiziehen
− Forschungsresultate -> Informationseiger*in
INTERN
Als «intern» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH
Zürich beeinträchtigen kann.
− Interne Informationen sind für Angehörige der ETH Zürich bestimmt.
*203.25_Weisung_Informationssicherheit_Stand_August 2021
Informatikdienste 22.09.2021 9Die Vertraulichkeitsstufen gemäss Weisung Informationssicherheit* (2/2)
VERTRAULICH
Als «vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der
ETH Zürich erheblich beeinträchtigen kann.
− Als vertraulich gelten Informationen, die (in der Regel) nur für einen bestimmten (ETH-internen wie
externen) Personenkreis bzw. Gruppe, Funktion oder Rolle bestimmt sind.
STRENG VERTRAULICH
Als «streng vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen
der ETH Zürich schwerwiegend beeinträchtigen kann.
− Als streng vertraulich gelten Informationen, die für einen eingeschränkten, genau festgelegten und
namentlich bezeichneten Empfängerkreis bestimmt sind.
*203.25_Weisung_Informationssicherheit_Stand_August 2021
Informatikdienste 22.09.2021 10Klassifizierungsempfehlungen für vertrauliche Daten
(gemäss Anhang 1a zur Weisung «Informationssicherheit an der ETH Zürich», gekürzt dargestellt)
• Anträge Schulleitung / Departement inkl. Protokolle
• Strategie der ETH Zürich (mindestens während Erarbeitung)
• Mittelfristplanung, Budgetierung & Finanzplanung, Jahresbericht in Arbeit
• Finanz-/Risikobericht
• Management Reporting inkl. Führungskennzahlen
• Personaldossiers/-dokumente: Bewerbungen, Beurteilungen, Arbeitsverträge, etc.
• Leistungsbeurteilungen Studierende, Noten, Prüfungsunterlagen
• Verträge (Kooperationen, Drittfirmen, Forschung, Geheimhaltung)
• Netzwerkpläne der Informatik
• Forschungsdaten, Primär- und Sekundärdaten vor Veröffentlichung (geplante und laufende) Forschungsprojekte
• Ergebnisse Umfragen
• Berater- und Lieferantenverträge
• exportkontrollierte Informationsbestände
• Bibliotheksausleihdaten
• personenbezogene Forschungsdaten, die nicht dem Humanforschungsgesetz unterliegen
• Lohndaten
• Revisionsstellenbericht, Audits Protokoll-, Nutzungs- und Verkehrsdaten zu E-Mail, Internet oder Intranet und Telefonie
• Lehr- und Lernplattformen (Leistungs- und Verhaltensdaten von Studierenden erkennbar)
• Self-Assessments
• Studierendenverwaltung, Prüfungsverwaltung
• Verfahrensinformationen
• Krisenstabsdokumente (Alarmorganisation, Notfallszenarien, BCM, Protokolle)
• Projektunterlagen: Anträge, Berichte, Protokolle
• besonders schützenswerte Personendaten sowie Persönlichkeitsprofile gemäss Art. 3 Datenschutzgesetz; ohne medizinische Gesundheitsdaten, die
dem Humanforschungsgesetz unterliegen
• laufende Patentverfahren
Informatikdienste 22.09.2021 11Klassifizierungsempfehlungen für streng vertrauliche Daten
(gemäss Anhang 1a zur Weisung «Informationssicherheit an der ETH Zürich», gekürzt dargestellt)
• (persönliche) Passwörter
• Intellectual Property (IP wie technische Erfindungen, Programm-Code, etc., wo eine Verpflichtung zur Geheimhaltung besteht)
• Informationen, die Personen direkt identifizieren (z. B. Tabellen mit Schlüssel, die zur De-Identifizierung eines Patienten durch
Codierung / Pseudonymisierung verwendet werden)
• Forschungsdaten (vertraglich vereinbart, z.B. mit Kooperationspartner, Dritte)
• Interne Reorganisationsprojekte mit Personalabbau
• Daten, die unter das Berufsgeheimnis fallen sowie Patienten- und medizinische Daten, die unter das Berufsgeheimnis in der
Forschung am Menschen oder unter das Humanforschungsgesetz fallen
• Forschungsergebnisse, die bei vorzeitiger Offenlegung schwerwiegenden Schaden anrichten können (Risikoabschätzung empfohlen,
vgl. auch Anhang 1b) Informationen die gemäss Art. 162 StGB unter das Fabrikations- oder Geschäftsgeheimnis fallen
(Risikoabschätzung empfohlen)
• Unternehmenskäufe, -gründungen
• hochsensible Personendaten (Risikoabschätzung empfohlen: Personendaten, deren Missbrauch das Leben der betroffenen
Person gefährden kann; vgl. Risikostufen im Leitfaden)
➢ Viele weitere Hinweise in den Anhängen zur Weisung!
Informatikdienste 22.09.2021 12Regelungen für die Bearbeitung von vertraulichen oder streng
vertraulichen Daten in der Cloud
• Streng vertrauliche Daten dürfen nicht in «die Cloud»!
• Exportkontrollierte Forschungsdaten nur mit Bewilligung
− Sind Forschungsdaten auch für das Ausland bestimmt, ist eine behördliche Bewilligung zwingend
− Dasselbe gilt für Daten/Informationen, die auf Clouds hochgeladen werden, dessen Server zwar in
der Schweiz stehen, die aber Daten für Empfänger*innen im Ausland zugänglich gemacht werden
(Deemed-Export)
− Die Bewilligung erteilt das SECO via Exportkontrollstelle der ETH Zürich
• Die Bearbeitung von vertraulichen Daten in der Cloud ist zulässig, wenn
− der Cloud-Service durch die/den Service-Vermittelnde/n für vertrauliche Daten freigegeben ist
und
− der/die Informationseigener*in einverstanden istInformationseigner*in, Servicevermittelnde*r?
• Informationseigern*in
− Verantwortlich für die Informationsbestände, die durch sie oder in ihrem Auftrag erhoben und
bearbeitet werden.
− In der Regel Leitende einer Organisationseinheit (Professoren/Professorinnen, Abteilungsleitende,
Leitende von ausserdepartementalen Lehr- und Forschungseinrichtungen, Stabsleitende usw.)
(Art. 7, Weisung Informationssicherheit)
• Servicevermittelnde*r
− Beziehen externe IT-Dienstleistungen (z.B. Cloud-Dienstleistungen) und stellen diese Dienste
Angehörigen der ETH Zürich zur Verfügung.
− Können IT-Betreiber, technisch-administrative oder wissenschaftliche Mitarbeitende der
Departemente und der zentralen Organe der ETH Zürich sein
(Art 6, IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich)
Informatikdienste 22.09.2021 14Was heisst das für die Arbeit mit M365?
Was darf in M365 abgelegt werden?
• Öffentliche und interne Daten dürfen in die M365-Cloud.
Aber: Die Datenspeicherung muss in CH oder EU sein.
• Für vertrauliche Daten ist M365 (noch) nicht freigegeben!
Informatikdienste 22.09.2021 16Wo speichert Microsoft die Daten?
(Stand: 19.9.21)
Microsoft 365 data locations - Microsoft 365
Enterprise | Microsoft DocsWo speichert Microsoft die Daten? Microsoft 365 data locations - Microsoft 365 Enterprise | Microsoft Docs
Informatikdienste
PPF
Sicherheitstipps – nicht nur fürs Home-OfficeSpeicherort auswählen
Informatikdienste 22.09.2021 20Speicherort: der Domain-Name hilft
xxxxxxx.ethz.ch -> on-premises
ethz.xxx.xxx -> Cloud
Informatikdienste 22.09.2021 21Teams verwalten
Zugriffsrechte im Griff • Zugriffsrechte nach «Need-to-Know»-Prinzip vergeben und regelmässig überprüfen
Dokumente schützen
Dokumente schützen
Informatikdienste 22.09.2021 25Arbeiten im Home-Office
Grundsätze für das Arbeiten im Home-Office
• Unternehmensspezifische Daten und Unterlagen sind unzugänglich für Familie und andere Dritte.
• Es gelten die Vorgaben der ETH über die Nutzung von Informatik- und Kommunikationsmitteln,
Datensicherheit, Datenschutz und Geheimhaltung.
• Beim kurzfristigen Verlassen des Arbeitsplatzes Rechner immer sperren.
• Ein ungestörtes Arbeiten und eine sinnvolle Trennung zwischen Privat- und Berufssphäre
gewährleisteten – soweit möglich. Damit schützen Sie sich und vermeiden Fehler.
• Aus Sicherheitsgründen soll im Home-Office wenn immer möglich mit dem ETH-Rechner gearbeitet
werden!
• Empfehlung: Geschäftliche Daten nicht lokal auf dem privaten Computer speichern.
• Firmeninformationen auf dem privaten PC sind ein gefundenes Fressen für Cyberkriminelle. Nutzen Sie
von der ETH Zürich zur Verfügung gestellte Online-Speicher, wenn Sie geschäftliche Dokumente auf
dem privaten PC bearbeiten.
Informatikdienste 22.09.2021 27Home-Office mit privatem Rechner
• Halten Sie Betriebssystem und Software aktuell
− Bekannte Sicherheitslücken sind ein beliebtes Einfallstor für Cyberkriminelle. Software-
Updates verriegeln diese Tore wieder. Halten Sie deshalb auch private Rechner stets auf
dem aktuellen Stand, indem Sie automatische Updates aktivieren. Das gilt insbesondere
für Betriebssystem, Virenschutz und Webbrowser wie Chrome und Firefox.
• Virenschutz
− Nutzen Sie ein Virenschutzprogramm, wie z.B. Sophos, Windows Defender oder andere.
− Achten Sie darauf, dass das Programm regelmässig, mindestens stündlich, aktualisiert
wird. Lassen Sie sich gelegentlich anzeigen, wann die letzten Updates geladen wurden. In
den meisten Fällen können Sie das mit einem Klick auf das Icon des Programms
herausfinden.
− Deaktivieren Sie den Virenschutz nicht.
Informatikdienste 22.09.2021 28Home-Office mit privatem Rechner
• Eine VPN-Verbindung ist nur dann nötig, wenn der Zugriff auf Ressourcen und Services
benötigt wird, auf die NUR innerhalb des ETH-Netzwerkes zugegriffen werden kann. Die
meisten Applikationen sind via Internet normal erreichbar.
• Geräte im ETH Netzwerk unterliegen der Benutzungsordnung für Informations- und
Kommunikationstechnologie an der ETH Zürich (BOT). Mit VPN-Verbindung sind Sie im
Netzwerk der ETH Zürich.
Informatikdienste 22.09.2021 29Home-Office mit geschäftlichem Rechner
• Verbinden Sie regelmässig (zwei- bis dreimal pro Woche ca. 1 Stunde lang)
Ihren Rechner via VPN, um Software-Aktualisierungen zu erhalten und zu installieren.
• Spielen Sie Softwareaktualisierungen möglichst unmittelbar nachdem Sie diese erhalten
haben, ein. Veranlassen Sie danach den notwendigen Neustart des Systems. Erst damit
werden die Aktualisierungen aktiviert.
• Aktivieren Sie das Auto-Updating Ihrer Software, wann immer es angebracht ist.
• Nutzen Sie einen Virenscanner.
Informatikdienste 22.09.2021 30Tipps für mobiles Arbeiten
Sicherheitstipps mobiles Arbeiten
• Öffentliches WLAN
Wirksamen Schutz in einem öffentlichen WLAN bietet eine Transportverschlüsselung:
Nutzen Sie VPN, um Verbindung zur ETH Zürich aufzunehmen.
• Fremde Datenträger
USB-Stick gefunden? Eine fremde Person bittet Sie, die externe Festplatte mal eben kurz
einzustecken? Nein!
Schliessen Sie nur dann fremde Datenträger an ihre Geräte, wenn Sie sicher sind, dass sie
aus einer vertrauenswürdigen Quelle kommen.
• Unerwünschte Einblicke verhindern
− Wenn Sie unterwegs arbeiten, schützt ein Bildschirmfilter vor neugierigen Blicken.
Ihr zuständiger IT-Support kann Sie bei der Beschaffung unterstützen.
− Verdecken Sie Ihre Web-Kamera mit einem Webcam-Cover.
Informatikdienste 22.09.2021 32Sicherheitstipps mobiles Arbeiten
• Schutz vor Diebstahl
Lassen Sie Ihre mobilen Geräte nicht unbeaufsichtigt. Nehmen Sie sie mit oder schliessen
Sie sie ein.
• Online Meeting von unterwegs? In der Öffentlichkeit?
Bitte vermeiden. Auf keinen Fall aber vertrauliche Inhalte besprechen. Achten Sie auf die
Lautstärke – verwenden Sie ein Headset / Kopfhörer. Aktivieren Sie Ihr Mikrofon nur beim
Sprechen. Nehmen Sie nicht im Freien teil.
Informatikdienste 22.09.2021 33Phishing-Mails oder CEO- Fraud?
CEO-Fraud
Informatikdienste 22.09.2021 35Erkennen von Phishing E-Mails
Absender:
Ist die E-Mail signiert?
Absender:
Domain prüfen und mit der Maus darüber fahren
Sprachliche Konventionen,
Rechtschreibung, Grammatik
Zeitdruck, Dringlichkeit
Link vor dem Klicken prüfen:
mit Maus über URL fahren
Anja Harder 22.09.2021 36Misstrauen Sie der Web-Site! (6/9)
URL korrekt?
Verschlüsselung?
(https)
Zertifikat prüfen.
Was wird
validiert? Der
Domain-Name
oder auch die
herausgebende
Organisation?
Herausgeber des
Zertifikats?
Anja Harder 22.09.2021 37Wichtige Erkennungsmerkmale für betrügerische Post
• Kryptische Mail-Adresse: Buchstabensalat und eine Domain (der Teil nach dem @-Zeichen), die nicht
zum vorgegaukelten Absender passt, sind ein eindeutiges Zeichen. Doch Vorsicht: Es ist einfach,
Absendeadressen zu fälschen. So können auch Phishing-Mails mit einem vordergründig legitimen
Absender daherkommen.
• Aufforderung, sofort zu handeln: Wenn Sie sofort beispielsweise die Kreditkarte aktivieren oder eine
Sendebestätigung überprüfen sollen, ist das vielleicht nur ein psychologischer Trick eines
Cyberkriminellen: Denn wir Menschen neigen unter Stress dazu, mehr Fehler zu machen.
Beispielsweise, auf einen Phishing-Link zu klicken.
• Sie sind gar nicht Kunde: Wenn Sie Post mit einer Handlungsaufforderung von einem Finanzinstitut
erhalten, bei dem Sie gar nicht Kunde sind, handelt es sich um ein Phishing-Mail.
• Link-Text und Link stimmen nicht überein: Der Text im Mail zeigt eine vertrauenswürdige Adresse
an, der Link dahinter führt aber auf eine ganz andere Seite. Das eigentliche Ziel eines Links erkennen
Sie, wenn Sie im Mail mit der Maus über den Link fahren – ohne zu klicken!
Informatikdienste 22.09.2021 38Wichtige Erkennungsmerkmale für betrügerische Post
• Schreibfehler und einfache Sprache: Schlechtes Deutsch oder Englisch und eine einfache Sprache
sind Merkmale für ein Phishing-Mail. Ziehen Sie nicht den Umkehrschluss, dass ein fehlerfrei
formuliertes Mail seriös ist.
• Unpersönliche Anrede: Ansprachen wie «Hello» oder gar keine Anrede deuten auf ein Phishing-Mail
hin. Grund ist, dass der Angreifer Ihren richtigen Namen nicht kennt. Das gilt allerdings nicht für
gezielte Angriffe.
• Verdächtige Anhänge: Rechnung oder Lieferbestätigung als Word-Dokument oder eine angehängte
Blindbewerbung als PDF: In solchen Fällen ist Vorsicht geboten. Vor allem, wenn der Dateiname sehr
generisch gehalten ist («facture.docx»). Im Zweifelsfall fragen Sie beim (angeblichen) Absender nach.
Aber nicht, indem Sie aufs Mail antworten. Sondern, indem Sie die korrekte Website des
Unternehmens besuchen und dort die Kontaktinformationen suchen.
• Angabe persönlicher Daten: Will der Absender, dass Sie aufs Mail antworten mit persönlichen Daten?
Das ist schon fast eine Garantie für betrügerische Post, etwa beim vorgegaukelten Lottogewinn.
Schwieriger ist es, wenn Sie auf eine Login-Seite geführt werden. Im Zweifelsfall klicken Sie nicht auf
den Link, sondern öffnen den Browser und tippen die Adresse des (angeblichen) Absenders dort ein.
Informatikdienste 22.09.2021 39Tipps zum Schluss
Bleiben Sie wachsam!
1. Schützen Sie sich vor Trollen in Online-Meetings
Schützen Sie die URLs, nutzen Sie Sicherheitsoptionen, managen Sie die
Beteiligungsmöglichkeiten der Teilnehmer.
2. Rückruf von der Microsoft Hotline
Geben Sie Ihre Login-Daten nie an einen vermeintlichen Helpdesk-Mitarbeitenden. Die Microsoft
Hotline ruft nie bei Ihnen zu Hause an – übrigens auch nicht im Büro.
3. Starten Sie nie eine Fernwartung
Laden Sie kein Programm von einer Ihnen unbekannten Internetseite herunter. Schon gar
nicht für eine Fernwartung. Oder für ein angebliches Anti-Virenprogramm.
4. Gesundes Misstrauen bei E-Mails
Seien Sie misstrauisch, wenn Sie E-Mails von unbekannten Absender/innen, mit
verdächtigen Links oder merkwürdigen Aufträgen und Anhängen erhalten.
5. Anhänge und Links
Öffnen Sie keine Mails von unbekannten Absendern und auch keine unerwarteten Anhänge. Sie
könnten Viren oder Trojaner enthalten.
Informatikdienste 22.09.2021 41Bleiben Sie wachsam!
6. CEO Fraud
Beim CEO Fraud täuschen Angreifer unter Verwendung einer falschen Identität eine
dringende Aktion vor. Das Opfer wird so von einer vorgesetzten Stelle (z.B. einem
angeblichen SL-Mitglied) instruiert, schnell und aufgrund einer Ausnahmesituation
Zahlungen auszulösen, Gutscheine für Online-Händler zu erwerben usw.
7. «Sie haben gewonnen…»
Betrüger locken oft mit dubiosen Gewinnversprechungen. Seien Sie skeptisch, wenn man
Ihnen eine Gewinnbenachrichtigung schickt; besonders, wenn Sie an keinem Gewinnspiel
teilgenommen haben.
8. Überweisungen
Überweisen Sie kein Geld an Unbekannte. Geben Sie Login-, Konto-, Kreditkarten-
Informationen nie weiter.
9. Hallo Liebtser, bist du eisnam?
E-Mails mit seltsamen Geschichten, in fehlerhaftem Deutsch, sind ein Hinweis auf kriminelle
Absichten. Löschen Sie die E-Mail und klicken Sie auf keinen Fall auf darin enthaltene Links
oder Anhänge.
Informatikdienste 22.09.2021 42Und auf jeden Fall..
..die IT-Richtlinien und IT-Grundschutzvorgaben beachten. Artikel 8 wendet sich an Benutzer*innen!
Informatikdienste 22.09.2021 43Was tun bei Verdacht?
• Betrachten Sie Verstösse gegen die
Vertraulichkeit oder unerwartete Veränderungen
von Daten als einen Vorfall.
• Melden Sie sicherheitsrelevante Vorfälle oder
einen Verdacht darauf sofort der für Sie
zuständige IT-Supportstelle.
• Weiterführende Informationen für Benutzende
− ID Blog: Home Office – aber sicher:
https://blogs.ethz.ch/id/2020/11/23/home-
office-aber-sicher/#more-12841
− Sicherer Umgang mit E-Mails:
https://ethz.ch/services/de/it-services/it-
sicherheit/awareness/e-mail.html
− ZOOM: https://ethz.ch/services/de/it-
services/katalog/multimedia/video-
konferenz/zoom.html
Informatikdienste 22.09.2021 44Fragen? Fragen.
Informatikdienste 22.09.2021 45Anja Harder Chief IT Security Officer anja.harder@id.ethz.ch ETH Zürich Informatikdienste Binzmühlestrasse 130 – OCT G.19 8092 Zürich www.id.ethz.ch
Sie können auch lesen