YES, WE CAN - das 10-Punkte-Programm - Sicherheit in der Informationstechnik (IT)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheit in der Informationstechnik (IT)
YES, WE CAN –
das 10-Punkte-Programm
Carlos Rieder
Dozent Informationssicherheit
Hochschule Luzern - Wirtschaft
adlatus-zs-ch, 2011, Carlos Rieder
Agenda
• It happens!
• Bedarf an Informationssicherheit für ein KMU
• Das erweiterte 10-Punkte-Programm der InfoSurance
• Umsetzen – ES TUN
adlatus-zs-ch, 2011, Carlos Rieder 2
Brauchen wir Informationssicherheit?
• Datendiebstahl
• Cyberwar
• Erpressung
• Spionage
adlatus-zs-ch, 2011, Carlos Rieder
Alles hat seinen Preis!!
• $50,000: A zero-day exploit for Microsoft Windows 7
• $20,000 to $30,000 each: Other zero-day exploits
• $5,000 and up: Bots that allow users to self-generate botnets
• $1,000-$5,000: Customized Trojan program, which could be used
to steal online account information
• $50: Credit card number with PIN
• $10-$100: Change of billing data, including account number, billing
address, Social Security number, home address, and birth date
• $50: Driver's license
• $50: Birth certificate Mother’s Maiden Name ($3)
• $10: Social Security card Social Security Number ($3)
• $2-$5: Credit card number with security Date of Birth ($0.50)
code and expiration date Mother’s Date of Birth ($1)
Driver’s License Number ($8)
• $2: PayPal account log-on and password
Background Report ($15)
Credit Balance Report ($25)
adlatus-zs-ch, 2011, Carlos Rieder
Informationen bei KMU
Welche Arten von Information werden bearbeitet?
• Geschäftskorrespondenz
• Verträge / Offerte
• Verfahren
• Buchhaltung, Finanzunterlagen
• Personalakten
• Kundenstamm
• …
Wie liegen diese Informationen vor?
• Papier
• Mündlich (Telefon, Gespräche etc.)
• Fax, Telefonbeantworter
• in den Köpfen der Mitarbeitenden
• Informatik (Server, PC, PDA, E-Mail etc.)
• …
adlatus-zs-ch, 2011, Carlos Rieder 5
Was gefährdet die Informationen?
„Zufällige“ Gefährdungen
• Naturgefahren (Blitz, Hagel und Unwetter…)
• Ausfall von Strom oder Telekommunikation
• Technische Pannen oder Fehler von Hard- und Software
• Bedienerfehler / Fahrlässigkeit der Mitarbeitenden
Vorsätzliche Gefährdungen
• Bösartiger Code (Viren, Würmer, Trojaner)
• Informationsdiebstahl
• Angriffe (von Skript-Kiddies bis Hacker)
• Wirtschaftsspionage („was die Konkurrenz wissen möchte“)
• Missbrauch der IT-Infrastrukur
adlatus-zs-ch, 2011, Carlos Rieder 6
Betrifft IT-Sicherheit nicht nur grosse Firmen?
• Wie lange kann der Gechäftsfortgang ohne IT
sichergestellt werden?
• Ein Tag (8h oder 24h)
• Drei Tage
• Wochen?
Ohne entsprechende Vorbereitung dauert der Wiederaufbau einer
IT-Infrastruktur mindestens 36h (vorausgesetzt die Datensicherung
ist aktuell und wiedereinspielbar)
• Welche Dokumente dürfen nicht an unberechtigte Dritte
weiter gegeben werden?
• Devi-Eingaben bei grösseren Ausschreibungen
• Kundendaten
• Produktionsdaten
• Personalakten (Datenschutz)
• Gesundheitsdaten
adlatus-zs-ch, 2011, Carlos Rieder 7
Wie vorgehen?
«Der Bedarf wäre vorhanden, jedoch fehlen die Mittel!»
oft gehörter Feedback.
Lösungsansatz nach „Betty Bossi“:
Übernahme von bestehenden Richtlinien
• Erweitertes 10-Punkte-Programm für die Informationssicherheit
(infosurance.ch)
• Sicherheitshandbuch für die Praxis (sihb.ch)
• Good@Privacy (sqs.ch)
• Code of Practice for Information Security Management,
ISO 27002 (snv.ch)
• IT-Grundschutzhandbuch (bsi.de oder bsi-fuer-buerger.de)
adlatus-zs-ch, 2011, Carlos Rieder 8
Mehr Informationssicherheit für KMU – das erweiterte 10-Punkte-Programm adlatus-zs-ch, 2011, Carlos Rieder 9 10-Punkte-Programm des Vereins InfoSurance Punkt 1 Erstellen Sie ein Pflichtenheft für IT-Verantwortliche! Punkt 2 Sichern Sie Ihre Daten regelmässig mit Backups! Punkt 3 Halten Sie Ihr Antivirus-Programm aktuell! Punkt 4 Schützen Sie Ihren Internetzugang mit einer Firewall! Punkt 5 Aktualisieren Sie Ihre Software regelmässig! Punkt 6 Verwenden Sie starke Passwörter! Punkt 7 Schützen Sie Ihre mobilen Geräte! Punkt 8 Machen Sie Ihre IT-Benutzerrichtlinien bekannt! Punkt 9 Schützen Sie die Umgebung Ihrer IT-Infrastruktur! Punkt 10 Ordnen Sie Ihre Dokumente und Datenträger! Quelle: www.infosurance.ch adlatus-zs-ch, 2011, Carlos Rieder 10
Punkt 1
Erstellen Sie ein Pflichtenheft für IT-Verantwortliche!
• Verantwortlichkeiten festlegen
• Aufgaben zwischen interne IT / externen
Partnern absprechen und schriftlich festhalten
• Sorgfaltspflicht durch die Geschäftsleitung wahrnehmen
• Benutzerrichtlinien anwenden
• Ansprechperson definieren
adlatus-zs-ch, 2011, Carlos Rieder 11
Punkt 2
Sichern Sie Ihre Daten regelmässig mit Backups!
• Täglich eine Datensicherung erstellen
• Mobile Datenträger zur Sicherung verwenden
• Mobile Datenträger sicher ausser Haus lagern
• Mehrere Generationen erstellen
• Durchführung kontrollieren
• Wiedereinspielbarkeit
überprüfen
• Aufbewahrungspflichten
einhalten
• Zeitgerechte und zuverlässige
Entsorgung sicherstellen
adlatus-zs-ch, 2011, Carlos Rieder 12
Totaler Datenverlust
„Das Schlimmste ist der Verlust des Büros. Alle
Kundendaten sind weg!“ Altdorf, Aug. 2005
Quelle: NLZ
adlatus-zs-ch, 2011, Carlos Rieder 13
Punkt 5
Aktualisieren Sie Ihre Software regelmässig!
• Automatisiertes Patching
(Fehlerbehebung) der
Betriebssysteme installieren
• Anwendungssoftware und
Datenbanken ebenfalls
aktualisieren
• Neue Programmversionen vor dem
produktiven Einsatz testen
• Verfügbare Patches zeitnahe
installieren
• Rollbackplan erstellen
adlatus-zs-ch, 2011, Carlos Rieder 14
Punkt 6
Verwenden Sie starke Passwörter!
• Passwörter persönlich und vertraulich behandeln
• Werksseitige Standardpasswörter anpassen
• Vorgaben für starke Passworte erzwingen
• Benutzende im Umgang mit Passworten schulen
• Aktuelle Version aller Systempassworte im Firmensafe
aufbewahren
adlatus-zs-ch, 2011, Carlos Rieder 15
Woran erkennt der Computer den Benutzer?
Benutzer-ID (Login) & Passwort
adlatus-zs-ch, 2011, Carlos Rieder 16
Ungeeignete Passwörter –
Was kann passieren?
• Unberechtigter Zugriff auf Daten
• Versehentliches Ändern / Löschen / Speichern von Daten
• Nachvollziehbarkeit nicht gewährleistet
• Identitätsdiebstahl
• Systemmanipulationen,
unerlaubtes Verwenden
von Berechtigungen
adlatus-zs-ch, 2011, Carlos Rieder 17
Was ist ein gutes Passwort?
• Einfaches, 5-stelliges Passwort
365 = 60‘000‘000 Varianten
• Komplexes, 8-stelliges Passwort
948 = 6‘095‘689‘000‘000‘000 Variante
adlatus-zs-ch, 2011, Carlos Rieder 18
Passwörter –
die goldenen Regeln
• Mindestens 8 Zeichen lang
• Alle vier Monate ändern
• Kombination aus Buchstaben, Zahlen und/oder Sonderzeichen
• Keine leicht zu erratenden Begriffe verwenden
• Nicht weitergeben
• Nirgends (ungeschützt) aufschreiben
• Nicht überall dasselbe Passwort einsetzen
• Passwort-Check im Internet unter www.datenschutz.ch
adlatus-zs-ch, 2011, Carlos Rieder 19
Passwörter –
wie kann ich mir diese merken?
System „Aufsteller“
• Positiver Begriff: Fruehling
• Regel:
• 5. Stelle mit „&“ ersetzen
• Danach GROSS weiter
• Heutiger Tag im Monat anfügen = 11.
• Resultat: Frue&LING11.
System „Satz“
• «Letzten Sommer waren wir zu viert in Paris!»
• LSwwz4iP!
System „Zahlen“(Mundart verwenden)
• eis2dRü4!
• 24acht-51-fÜf8
adlatus-zs-ch, 2011, Carlos Rieder 20Weitere Punkte des 10-Punkte-Programms Punkt 3 Halten Sie Ihr Antivirus-Programm aktuell! Punkt 4 Schützen Sie Ihren Internetzugang mit einer Firewall! Punkt 7 Schützen Sie Ihre mobilen Geräte! Punkt 8 Machen Sie Ihre IT-Benutzerrichtlinien bekannt! Punkt 9 Schützen Sie die Umgebung Ihrer IT-Infrastruktur! Punkt 10 Ordnen Sie Ihre Dokumente und Datenträger! adlatus-zs-ch, 2011, Carlos Rieder 21 Bei höherem Schutzbedarf: Erweitertes 10-Punkte-Programm Für mehr Vertraulichkeit • Punkt 11 Erfüllen Sie die Vorgaben! • Punkt 12 Regeln Sie den Zugriffschutz auf Daten! • Punkt 13 Verschlüsseln Sie mobile Datenträger und Übermittlung! • Punkt 14 Behandeln Sie auch nicht elektronische Daten vertraulich! • Punkt 15 Sensibilisierung Sie Ihre Mitarbeitenden! Für mehr Verfügbarkeit • Punkt 16 Überprüfen Sie Ihre Systeme! • Punkt 17 Sorgen Sie für eine unterbruchsfreie Stromversorgung! • Punkt 18 Halten Sie wichtige Elemente redundant! • Punkt 19 Planen Sie die Notfallvorsorge! • Punkt 20 Verteilen Sie das Knowhow! adlatus-zs-ch, 2011, Carlos Rieder 22
Umsetzung
• Schrittweise angehen; jetzt und heute anfangen!
• Informationssicherheit ist ein Prozess (never ending story)
• Konsequent umsetzten (jeden Monat ein Thema)
• Absprache mit IT-Supporter
• Mitarbeiter ausbilden
• Kontrollen (intern / extern)
• ausgewogen
Quelle: cash
Was werden Sie ab heute ändern?
adlatus-zs-ch, 2011, Carlos Rieder 23
10-Punkte-Programm des Vereins InfoSurance
Mit wenig ist viel möglich
Just do it!
Wir wünschen viel Erfolg bei der Umsetzung!
Quelle: http://www.infosurance.ch
adlatus-zs-ch, 2011, Carlos Rieder 24Sie können auch lesen
