Sicher im Home-Office - Smart Working Days 28. Januar 2021 - ETH Zürich
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Informatikdienste Sicher im Home-Office Smart Working Days 28. Januar 2021
Agenda
1. Datenschutz & Klassifizierung
2. Sicherheit beim Arbeiten mit M365
3. Sicherheitstipps – nicht nur für das Home-Office
Informatikdienste 28.01.2021 2
Informatikdienste Klassifizierung & Datenschutz
Rechtliche Vorgaben
Definitionen aus dem Datenschutzgesetz*
Personendaten:
Definition: Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3a DSG)
Beispiele: Name, Geburtsdatum, Adresse, Telefon/Mobile, AHV-Nr., Matrikel Nr., Geschlecht, Fotografie,
eine Person besonders charakterisierende Merkmale (z.B. einzige Frau im Team), genetische Daten,
Autokennzeichen, etc.
Besonders schützenswerte Personendaten: (Art. 3c DSG);
Definition: Daten über
1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,
2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
3. Massnahmen der sozialen Hilfe,
4. administrative oder strafrechtliche Verfolgungen und Sanktionen
Beschreibung: Personendaten, bei denen aufgrund ihrer Aussagekraft oder der Art ihrer Bearbeitung eine
besondere Gefahr einer Persönlichkeitsverletzung besteht.
Informatikdienste *SR 235.1 - Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) (admin.ch) 28.01.2021 5
Definitionen aus dem Datenschutzgesetz*
Persönlichkeitsprofile:
Definition: Eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person erlaubt;
Informatikdienste *SR 235.1 - Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG) (admin.ch) 28.01.2021 6
Vertraulichkeitsstufen für alle Daten der ETH Zürich
Vertraulich
Intern
Öffentlich
Informatikdienste 28.01.2021 7Die drei Vertraulichkeitsstufen gemäss Weisung Informationssicherheit*
*203.25_Weisung_Informationssicherheit_Stand_Mai_2018_mod (ethz.ch)
Informatikdienste 28.01.2021 8Klassifizierung – was gilt als vertraulich
Gemäss Weisung «Informationssicherheit an der ETH Zürich» sind die folgenden Informations-
bestände vertraulich klassifiziert:
- Weitere Informationsbestände gemäss Einstufung der zuständigen Informationseigner.
Informatikdienste 28.01.2021 9Aktuelle Praxis an der ETH
Personendaten:
• Besonders schützenswerte Personendaten sind immer als vertraulich zu behandeln.
• Personendaten können als öffentlich, intern oder als vertraulich klassifiziert werden.
• Werden durch den Informationseigner eingestuft, sofern keine übergeordnete Vorgabe zur
Klassifizierung eines bestimmten Informationsbestandes seitens ETH Zürich vorliegt.
Sachdaten:
• Werden durch den Informationseigner eingestuft, sofern keine übergeordnete Vorgabe zur
Klassifizierung eines bestimmten Informationsbestandes seitens ETH Zürich vorliegt.
• Das «Abschöpfen» von Forschungsdaten und Forschungsergebnissen ist ein bekanntes Risiko.
Das ist insbesondere dann kritisch, wenn die Daten noch nicht publiziert worden sind oder durch
Drittmittelforschung einer Geheimhaltung unterliegen.
• Geschäftsinformationen: Vertrauliche Informationen umfassen alle Daten, die ein Risiko für die ETH
darstellen, wenn sie allgemein veröffentlicht werden oder wenn sie in die Hände eines
«Konkurrenten» oder eines Unbefugten fallen. Dazu zählen unter anderem Verträge oder
finanzielle Daten.
Informatikdienste 28.01.2021 10Was heisst das für die Arbeit mit M365?
Was darf in M365 abgelegt werden?
• Öffentliche und interne Daten dürfen in die M365-Cloud.
Aber: Die Datenspeicherung muss in CH oder EU sein.
Falls dies nicht der Fall ist (z.B. USA), kann nur die Schulleitung einen Entscheid treffen.
• Keine vertraulichen Daten in irgendeine Cloud!
Informatikdienste 28.01.2021 12Fazit
• Personendaten sind im Sinne des Datenschutzes (DSG) zu beschaffen, zu bearbeiten und zu
speichern. Die Datenschutzgesetzgebung bezieht sich auf personenbezogene Daten und legt einen
Mindestschutz mittels datenschutzrechtlichen Vorgaben fest.
• Die Klassifikation der Informationsbestände bezieht sich auf sach- und personenbezogene Daten.
• Für vertrauliche Daten legt die ETH Zürich unter Beachtung von DSG und anderen relevanten
Rechtsgrundlagen fest, wie sie damit umgehen möchte bzw. welche Schutzmassnahmen zu treffen
sind.
• Vertrauliche Daten dürfen nicht in der Cloud gespeichert werden.
Informatikdienste 28.01.2021 13Informatikdienste
PPF
Sicherheitstipps – nicht nur im Home-OfficeSpeicherorte
Wo speichert Microsoft die Daten? Microsoft 365 data locations - Microsoft 365 Enterprise | Microsoft Docs
Wo speichert Microsoft die Daten? Microsoft 365 data locations - Microsoft 365 Enterprise | Microsoft Docs
Speicherort auswählen
Informatikdienste 28.01.2021 18Speicherort:
Domain-Name hilft, ist aber kein sicheres Zeichen
xxx.ethz.ch -> aktuell meistens «on-prem» «on-prem»
• Speicherangebote der ID, wie
• NAS
• polybox
• CIFEX
• Sharepoint: sp.ethz.ch
ethz.xxx.xxx -> «off-prem»
Informatikdienste 28.01.2021 19Teams verwalten
• Zugriffsrechte nach «Need-to-Know»-Prinzip vergeben und regelmässig überprüfen
Dokumente schützen
Dokumente schützen
Informatikdienste 28.01.2021 23Arbeiten im Home-Office
Grundsätze für das Arbeiten im Home-Office
• Unternehmensspezifische Daten und Unterlagen sind unzugänglich für Familie und andere Dritte.
• Es gelten die Vorgaben der ETH über die Nutzung von Informatik- und Kommunikationsmitteln,
Datensicherheit, Datenschutz und Geheimhaltung.
• Beim kurzfristigen Verlassen des Arbeitsplatzes ist der Rechner immer zu sperren. So verhindern Sie
einen unerwünschten Zugriff oder auch, dass die Katze versehentlich einen Text verunstaltet, wenn sie
über die Tastatur läuft.
• Ein ungestörtes Arbeiten und eine sinnvolle Trennung zwischen Privat- und Berufssphäre
gewährleisteten – soweit möglich. Damit schützen Sie sich und vermeiden Fehler.
• Aus Sicherheitsgründen soll im Home Office wenn immer möglich mit dem ETH-Rechner gearbeitet
werden!
• Empfehlung: Geschäftliche Daten nicht lokal auf dem privaten Computer speichern.
• Firmeninformationen auf dem privaten PC sind ein gefundenes Fressen für Cyberkriminelle. Nutzen Sie
von der ETH Zürich zur Verfügung gestellte Online-Speicher, wenn Sie geschäftliche Dokumente auf
dem privaten PC bearbeiten.
Informatikdienste 28.01.2021 25Home-Office mit privatem Rechner
• Halten Sie Betriebssystem und Software aktuell
− Bekannte Sicherheitslücken sind ein beliebtes Einfallstor für Cyberkriminelle. Software-
Updates verriegeln diese Tore wieder. Halten Sie deshalb auch private Rechner stets auf
dem aktuellen Stand, indem Sie automatische Updates aktivieren. Das gilt insbesondere
für Betriebssystem, Virenschutz und Webbrowser wie Chrome und Firefox
• Virenschutz
− Nutzen Sie ein Virenschutzprogramm, wie z.B. Sophos, Windows Defender oder andere.
− Achten Sie darauf, dass das Programm regelmässig, mindestens stündlich, aktualisiert
wird. Lassen Sie sich gelegentlich anzeigen, wann die letzten Updates geladen wurden. In
den meisten Fällen können Sie das mit einem Klick auf das Icon des Programms
herausfinden.
− Deaktivieren Sie den Virenschutz nicht.
Informatikdienste 28.01.2021 26Home-Office mit privatem Rechner
• Eine VPN-Verbindung ist nur dann nötig, wenn der Zugriff auf Ressourcen und Services
benötigt wird, auf die NUR innerhalb des ETH-Netzwerkes zugegriffen werden kann. Die
meisten Applikationen sind via Internet normal erreichbar.
• Geräte im ETH Netzwerk unterliegen der Benutzungsordnung für Informations- und
Kommunikationstechnologie an der ETH Zürich (BOT). Mit VPN-Verbindung sind Sie im
Netzwerk der ETH Zürich.
Informatikdienste 28.01.2021 27Home-Office mit geschäftlichem Rechner
• Verbinden Sie regelmässig (zwei- bis dreimal pro Woche ca. 1 Stunde lang)
Ihren Rechner via VPN, um Software-Aktualisierungen zu erhalten und zu installieren.
• Spielen Sie Softwareaktualisierungen möglichst unmittelbar, nachdem Sie diese erhalten
haben, ein. Veranlassen Sie danach den notwendigen Neustart des Systems. Erst damit
werden die Aktualisierungen aktiviert.
• Aktivieren Sie das Auto-Updating Ihrer Software, wann immer es angebracht ist.
• Nutzen Sie einen Virenscanner.
Informatikdienste 28.01.2021 28Tipps für mobiles Arbeiten
Sicherheitstipps mobiles Arbeiten
• Öffentliches WLAN
Wirksamen Schutz in einem öffentlichen WLAN bietet eine Transportverschlüsselung:
Nutzen Sie VPN, um Verbindung zur ETH Zürich aufzunehmen.
• Fremde Datenträger
USB-Stick gefunden? Eine fremde Person bittet Sie, die externe Festplatte mal eben kurz
einzustecken? Nein!
Schliessen Sie nur dann fremde Datenträger an ihre Geräte, wenn Sie sicher sind, dass sie
aus einer vertrauenswürdigen Quelle kommen.
• Unerwünschte Einblicke verhindern
Wenn Sie unterwegs arbeiten, schützt ein Bildschirmfilter vor neugierigen Blicken. Ihr
zuständiger IT-Support kann Sie bei der Beschaffung unterstützen.
Verdecken Sie Ihre Web-Kamera mit einem Webcam-Cover.
• Schutz vor Diebstahl
Lassen Sie Ihre mobilen Geräte nicht unbeaufsichtigt. Nehmen Sie sie mit oder schliessen
Sie sie ein.
Informatikdienste 28.01.2021 30Sicherheitstipps mobiles Arbeiten
• Schutz vor Diebstahl
Lassen Sie Ihre mobilen Geräte nicht unbeaufsichtigt. Nehmen Sie sie mit oder schliessen
Sie sie ein.
• Online Meeting von unterwegs? In der Öffentlichkeit?
Bitte vermeiden. Auf keinen Fall aber vertrauliche Inhalte besprechen. Achten Sie auf die
Lautstärke – verwenden Sie ein Headset / Kopfhörer. Aktivieren Sie Ihr Mikrofon nur beim
Sprechen. Nehmen Sie nicht im Freien teil.
Informatikdienste 28.01.2021 31Phishing-Mails oder CEO- Fraud?
CEO-Fraud
Informatikdienste 28.01.2021 33Erkennen von Phishing E-Mails
Absender:
Ist die E-Mail signiert?
Absender:
Domain prüfen und mit der Maus darüber fahren
Sprachliche Konventionen,
Rechtschreibung, Grammatik
Zeitdruck, Dringlichkeit
Link vor dem Klicken prüfen:
mit Maus über URL fahren
Anja Harder 28.01.2021 34Misstrauen Sie der Web-Site! (6/9)
URL korrekt?
Verschlüsselung?
(https)
Zertifikat prüfen.
Was wird
validiert? Der
Domain-Name
oder auch die
herausgebende
Organisation?
Herausgeber des
Zertifikats?
Anja Harder 28.01.2021 35Wichtige Erkennungsmerkmale für betrügerische Post
• Kryptische Mail-Adresse: Buchstabensalat und eine Domain (der Teil nach dem @-Zeichen), die nicht
zum vorgegaukelten Absender passt, sind ein eindeutiges Zeichen. Doch Vorsicht: Es ist einfach,
Absendeadressen zu fälschen. So können auch Phishing-Mails mit einem vordergründig legitimen
Absender daherkommen.
• Aufforderung, sofort zu handeln: Wenn Sie sofort beispielsweise die Kreditkarte aktivieren oder eine
Sendebestätigung überprüfen sollen, ist das vielleicht nur ein psychologischer Trick eines
Cyberkriminellen: Denn wir Menschen neigen unter Stress dazu, mehr Fehler zu machen.
Beispielsweise, auf einen Phishing-Link zu klicken.
• Sie sind gar nicht Kunde: Wenn Sie Post mit einer Handlungsaufforderung von einem Finanzinstitut
erhalten, bei dem Sie gar nicht Kunde sind, handelt es sich um ein Phishing-Mail.
• Link-Text und Link stimmen nicht überein: Der Text im Mail zeigt eine vertrauenswürdige Adresse
an, der Link dahinter führt aber auf eine ganz andere Seite. Das ist der klassische Trick eines
Cyberkriminellen. Die immer raffinierter werden. Oft verstecken sich Phishing-Seiten hinter einer
legitimen Adresse auf einem gehackten Server. Das eigentliche Ziel eines Links erkennen Sie, wenn
Sie im Mail mit der Maus über den Link fahren – ohne zu klicken!
Informatikdienste 28.01.2021 36Wichtige Erkennungsmerkmale für betrügerische Post
• Schreibfehler und einfache Sprache: Schlechtes Deutsch oder Englisch und eine einfache Sprache
sind Merkmale für ein Phishing-Mail. Ziehen Sie nicht den Umkehrschluss, dass ein fehlerfrei
formuliertes Mail seriös ist.
• Unpersönliche Anrede: Ansprachen wie «Hello» oder gar keine Anrede deuten auf ein Phishing-Mail
hin. Grund ist, dass der Angreifer Ihren richtigen Namen nicht kennt. Das gilt allerdings nicht für
gezielte Angriffe.
• Verdächtige Anhänge: Rechnung oder Lieferbestätigung als Word-Dokument oder eine angehängte
Blindbewerbung als PDF: In solchen Fällen ist Vorsicht geboten. Vor allem, wenn der Dateiname sehr
generisch gehalten ist («facture.docx»). Im Zweifelsfall fragen Sie beim (angeblichen) Absender nach.
Aber nicht, indem Sie aufs Mail antworten. Sondern, indem Sie die korrekte Website des
Unternehmens besuchen und dort die Kontaktinformationen suchen.
• Angabe persönlicher Daten: Will der Absender, dass Sie aufs Mail antworten mit persönlichen Daten?
Das ist schon fast eine Garantie für betrügerische Post, etwa beim vorgegaukelten Lottogewinn.
Schwieriger ist es, wenn Sie auf eine Login-Seite geführt werden. Im Zweifelsfall klicken Sie nicht auf
den Link, sondern öffnen den Browser und tippen die Adresse des (angeblichen) Absenders dort ein.
Informatikdienste 28.01.2021 37Tipps zum Schluss
Bleiben Sie wachsam!
1. Schützen Sie sich vor Trollen in Online-Meetings
Schützen Sie die URLs, nutzen Sie Sicherheitsoptionen, managen Sie die
Beteiligungsmöglichkeiten der Teilnehmer
2. Rückruf von der Microsoft Hotline
Geben Sie Ihre Login-Daten nie an einen vermeintlichen Helpdesk-Mitarbeitenden. Die Microsoft
Hotline ruft nie bei Ihnen zu Hause an – übrigens auch nicht im Büro.
3. Starten Sie nie eine Fernwartung
Laden Sie kein Programm von einer Ihnen unbekannten Internetseite herunter. Schon gar
nicht für eine Fernwartung. Oder für ein angebliches Anti-Virenprogramm.
4. Gesundes Misstrauen bei E-Mails
Seien Sie misstrauisch, wenn Sie E-Mails von unbekannten Absender/innen, mit
verdächtigen Links oder merkwürdigen Aufträgen und Anhängen erhalten.
5. Anhänge und Links
Öffnen Sie keine Mails von unbekannten Absendern und auch keine unerwarteten Anhänge. Sie
könnten Viren oder Trojaner enthalten.
Informatikdienste 28.01.2021 39Bleiben Sie wachsam!
6. CEO Fraud
Beim CEO Fraud täuschen Angreifer unter Verwendung einer falschen Identität eine
dringende Aktion vor. Das Opfer wird so von einer vorgesetzten Stelle (z.B. einem SL-
Mitglied) instruiert, schnell und aufgrund einer Ausnahmesituation Zahlungen auszulösen
oder Gutscheine für Online-Händler zu erwerben.
7. «Sie haben gewonnen…»
Betrüger locken oft mit dubiosen Gewinnversprechungen. Seien Sie skeptisch, wenn man
Ihnen eine Gewinnbenachrichtigung schickt; besonders, wenn Sie an keinem Gewinnspiel
teilgenommen haben.
8. Überweisungen
Überweisen Sie kein Geld an Unbekannte. Geben Sie Login-, Konto-, Kreditkarten-
Informationen nie weiter.
9. Hallo Liebtser, bist du eisnam?
E-Mails mit seltsamen Geschichten, in fehlerhaftem Deutsch, sind ein Hinweis auf kriminelle
Absichten. Löschen Sie die E-Mail und klicken Sie auf keinen Fall auf darin enthaltene Links
oder Anhänge.
Informatikdienste 28.01.2021 40Was tun bei Verdacht?
• Betrachten Sie Verstösse gegen die
Vertraulichkeit oder unerwartete Veränderungen
von Daten als einen Vorfall.
• Melden Sie sicherheitsrelevante Vorfälle oder
einen Verdacht darauf sofort der für Sie
zuständige IT-Supportstelle.
• Weiterführende Informationen für Benutzende
− ID Blog: Home Office – aber sicher:
https://blogs.ethz.ch/id/2020/11/23/home-
office-aber-sicher/#more-12841
− Sicherer Umgang mit E-Mails:
https://ethz.ch/services/de/it-services/it-
sicherheit/awareness/e-mail.html
Informatikdienste 28.01.2021 41Fragen? Fragen.
• ID Blog: Home Office – aber sicher:
https://blogs.ethz.ch/id/2020/11/23/home-office-
aber-sicher/#more-12841
• Sicherer Umgang mit E-Mails:
https://ethz.ch/services/de/it-services/it-
sicherheit/awareness/e-mail.html
• https://ethz.ch/services/de/it-
services/katalog/multimedia/video-
konferenz/zoom.html
Informatikdienste 28.01.2021 42Anja Harder Chief IT Security Officer anja.harder@id.ethz.ch ETH Zürich Informatikdienste Binzmühlestrasse 130 – OCT G.19 8092 Zürich www.id.ethz.ch
Sie können auch lesen
