Sie sind auf Seite 1von 37

IT-Sicherheit geht alle an

Herzlich Willkommen zum


Mustermann KG Sicherheitstraining

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Unser heutiges Ziel
Sensibilisierung der Mitarbeiter für sicherheitsrelevante
Themen in unserem Unternehmen

 Was wollen wir konkret erreichen:

• Motivieren
• Ihnen eine positive Einstellung zum Thema Sicherheit vermitteln

• Informieren
• Ihnen generelle Informationen über Gefahren, Informationssicherheit und
Richtlinien geben
• Ihnen die Ziele und Maßnahmen der Sicherheitspolitik in unserem Unternehmen
vermitteln
• Ihnen die Ansprechpartner zum Thema Sicherheit bekannt machen

• Sensibilisieren
• Verständnis für IT-Sicherheitsmaßnahmen bei Ihnen erzeugen
• Sie anregen, aktiv an der Umsetzung der Maßnahmen mitzuwirken

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger
Unser Unternehmen

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Der Online Betrüger

 Späht Zugangsdaten aus


 Versteckt sich hinter einer anderen Identität
 Folgen:
• Finanzielle Verluste
• Konto- und Kreditkartenmissbrauch
• Verlust von geistigem Eigentum und vertraulichen Informationen
• Weitere Unannehmlichkeiten durch betrugsbedingte Auswirkungen
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Der Hacker

 Dringt in PC‘s und Netzwerke ein


 Legt IT-Strukturen lahm, stiehlt oder löscht Daten
 Folgen:
• Ärgerliche Fehlfunktionen und Ausfallzeiten
• Zusammenbruch von Netzen und Servern
• Hohe Kosten für Wiederherstellung
• Image-Verlust für das Unternehmen
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Viren, Würmer & Co.
 Computerviren und andere Schadsoftware gefährden Ihre betrieblichen
Abläufe auf vielfältige Weise:
• Der Start des Computers wird durch Boot-Viren verhindert
• Störende und irritierende Fenster werden geöffnet
• Daten werden manipuliert, gelöscht oder ohne Wissen des Anwenders
weiterverbreitet
• Arbeitsplatzcomputer, Server oder komplette Netzwerke werden überlastet
• „Trojanische Pferde“ öffnen Hintertüren zu PCs und Netzwerken, die für
weiteren Missbrauch genutzt werden
• Durch Falschmeldungen werden Benutzer dazu verleitet, falsche
Nachrichten weiterzuleiten oder unsinnige Tätigkeiten am PC
durchzuführen

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Viren, Würmer & Co.
 Es gibt zahlreiche Wege, Viren, Würmer & Co. zu übertragen!

• Datenträger, Wechseldatenträger

• E-Mail

• Internet-Nutzung

• mobile Geräte

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Der Spammer

 Versendet große Mengen an E-Mails (meist Werbung)


 Fälscht E-Mail Konten
 Folgen:
• Verstopfte Postfächer
• Überlastung von Kapazitäten durch Spam-Flut
• Produktivitäts- und Zeitverluste
• Vertrauensverlust in das Medium E-Mail
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Der Schmutzfink

 Belästigt Internetnutzer
• politische Hetze
• Gewalt
• Pornographie
 Folgen:
• Verbreitung fragwürdiger oder krimineller Inhalte
• Manipulation Minderjähriger
• Anbahnung von StraftatenGemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Gefahren und Bedrohungen

Online-
Hacker
Betrüger

Faktor Viren,
Mensch Würmer &
Co.

Schmutz-
fink Spammer

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Der Faktor Mensch
 Der Mitarbeiter ist die Basis für funktionierende Sicherheit!
 Sicherheit ist Teamwork

 Was wir vermeiden wollen:


• Unbewusstes Fehlverhalten
• z.B. bei Social Engineering- Identitätsdiebstahl
• Bewusstes Fehlverhalten
• z.B. durch falsche Gewohnheiten

 Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen:


• Sicherheitsrichtlinien definieren
• Regeln und Verhaltensempfehlungen kommunizieren
• Sensibilisierung durch regelmäßige Schulung und Information der Mitarbeiter

DasDas
haben
Da sind
tunwir
wir
wir
schon
gerade!
dabei!
erledigt!
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Social Engineering
Beispiele

 Fall 1:
• Angreifer: „Ihr Name lautet Johanna Schmidt?“
• Opfer: „Ja.“
• Angreifer: „Sie befinden sich im Nordflügel, fünftes Stockwerk, in der Buchhaltung?“
• Opfer: „Ja.“
• Angreifer: „Ihre Durchwahlnummer ist die 4365?“
• Opfer: „Ja.“
• Angreifer: „Ihr Benutzername lautet Jschmidt und Ihr Passwort ist ‚krokodil27‘?“
• Opfer: „Nein, mein Passwort lautet ‚BugsBunny‘.“

 Fall 2:
• Angreifer: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven
Outbreak eines Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System
nahezu aushebelt. Dadurch sind eine Menge Kollegen betroffen.“
• Opfer:.“Oh, das ist mir aber peinlich.“
• Angreifer: „Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen
remote debuggen.“ Etc.
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Was gilt es in unserem Unternehmen zu schützen?
 Infrastruktur:  Rechtliche Rahmenbedingungen:
• Gebäude • KontraG: Gesetz zur Kontrolle und
• Einrichtung Transparenz
• Hardware • BDSG: Umgang mit
 Betriebsverfahren: personenbezogenen Daten
• TKG: Telekommunikationsgesetz
• Verfügbarkeit der EDV-Systeme
• u.v.m.
• Verfügbarkeit und Integrität der Daten
 Informationen:
• Angebote
• Verträge
• Inhalte von Verhandlungen
• Daten über Verkaufsverfahren
• Personaldaten
• Personenbezogene Daten

Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit.


Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Mustermann KG Informationssicherheit
 Aufgaben
• Sicherstellen der Umsetzung von Sicherheitsrichtlinien
• Schulung und Sensibilisierung der Mitarbeiter
• Koordination und Unterstützung in den Abteilungen
• Umsetzung der datenschutzrechtlichen Bestimmungen

 Sicherheitsmanagement
• Untersteht der Geschäftsführung
• Bearbeitet
• Technische Sicherheit
• Organisatorische Sicherheit
• Physische Sicherheit

 Verantwortliche Personen
• Leiter Sicherheitsmanagement: Hans Sicher
• Stellvertreter(in) Sabine Schlüssel
• Verantwortlicher IT-Technik: Clemenz Bit
• IT-Helpdesk Claudia Hilfe (ithelp@musterkg.de)
• Datenschutzbeauftragter: Gregor Info
• Leiter Werkschutz: Edgar Schloss
• etc.
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Unternehmensweite Sicherheitsrichtlinien
 Grundlage aller Sicherheitsmaßnahmen
 Sicherheitsrichtlinien definieren
• allgemeine Regelungen
• Prozesse
• Richtlinien
 Ziel:
• Erreichen eines angepassten Sicherheitsniveaus

 Sind als Betriebsvereinbarung für alle Mitarbeiter bindend

 Die Nichtbeachtung kann Konsequenzen nach sich ziehen

 Enthalten z.B. Vorschriften und Regelungen zu:


• Nutzung der Informationstechnischen Anlagen
• Nutzung E-Mail und Internet
• Informationssicherheit
• Besucherregelungen


Datenschutz
etc.
Was darf ich? / Was darf ich nicht?
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Allgemeine Wachsamkeit
 Verwenden Sie IT-Systeme nur für dienstliche Zwecke
 Missachten Sie Schutzmaßnahmen nicht vorsätzlich
 Verursachen Sie keine Risiken und Schäden durch leichtfertiges
Fehlverhalten
 Integrieren Sie IT-Sicherheit eigenverantwortlich in den täglichen
Arbeitsablauf
 Kommunizieren Sie bedarfsgerecht, d.h. nur mit Berechtigten
 Erkennen Sie aktiv Gefahren und Risiken, und setzen Sie
entsprechende Maßnahmen eigenverantwortlich um
 Unterstützen Sie sich gegenseitig
 Melden Sie sicherheitsrelevante Vorfälle umgehend

IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI !


Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Sicherer Umgang mit dem Computer
 Schützen Sie Ihre IT-Systeme vor unbefugtem Zugriff - bei Abwesenheit
sperren
 Stellen Sie den Bildschirmschoner mit Passwortschutz auf 5 Minuten ein
 Halten Sie Betriebssystem und Anwendungen mit Patches auf dem
aktuellsten Stand (immer alle akzeptieren und baldmöglichst booten)
 Belassen Sie den Virenscanner aktiv
 Melden Sie sich regelmäßig am Netz für automatischen Update des
Antivirenprogramms an oder sorgen Sie selbst für aktuelle Virendefinitionen
 Verändern Sie IT-Systeme nicht eigenmächtig (Programm-Installationen)
 Setzen Sie nur die von der Unternehmens-IT freigegebene Software ein

Ihr Computer ist eines Ihrer wichtigsten Arbeitsmittel. Wirken Sie aktiv am Schutz mit!
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Nutzung von E-Mail / Internet I
 Zeigen Sie einen verantwortungsvollen Umgang bei der Nutzung von
E-Mail und Internet
• Alternative 1: Die Nutzung von E-Mail und Internet ist nur für geschäftliche Zwecke
erlaubt.
• Privates Surfen und private Downloads sind nicht gestattet
• Alternative 2: Die Nutzung von E-Mail und Internet für private Zwecke ist auf ein
Mindestmaß zu beschränken und darf geschäftliche Zwecke nicht
beeinträchtigen.

 Seien Sie besonders wachsam bei E-Mails von unbekannten


Absendern oder mit unerwarteten Inhalten
• Bei unseriösem Betreff angehängte Datei nicht öffnen, die Mail einschließlich Anhang
löschen
• Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren
Herkunft unklar ist
• Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert
haben oder bei denen Sie sicher sein können, dass Sie von diesen Absendern sind.
Absenderadressen können leicht gefälscht werden.

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Nutzung von E-Mail / Internet II
 Ändern Sie keine Dateianhänge zur Umgehung der Richtlinien

 Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook)

 Verschlüsseln Sie vertrauliche E-Mail-Anhänge


• Übermitteln Sie das Verschlüsselungs-Passwort NICHT per E-Mail zum Empfänger
• Informieren Sie den Empfänger über die Vertraulichkeit und den entsprechenden Umgang
mit dem Dokument

 Überprüfen Sie täglich Ihren Spam-Ordner

 Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator

Nur so vermeiden Sie Unfälle auf der Datenautobahn!


Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Passwörter
 Wählen Sie sichere Passwörter
• mind. 8 Stellen
• Kombinationen aus:
• Buchstaben (Groß- und Kleinschreibung)
• Ziffern
• Sonderzeichen

 Ändern Sie Ihre Passwörter regelmäßig


 Geben sie Passwörter NIE weiter, auch nicht an einen Administrator
 Nutzen Sie wenn möglich die Stellvertreterfunktion
 Wenn Sie Ihr Passwort aufschreiben, dann bewahren Sie es sicher auf

Ihr Passwort ist der Schlüssel, mit dem sie den Zugriff auf vertrauliche Dokumente ermöglichen!

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Umgang mit mobilen Geräten
 Mobile Geräte:
• Notebooks
• PDAs
• Mobiltelefone
• USB-Sticks
 Gewährleisten Sie Schutz vor unbefugtem Zugriff
• Lassen Sie Geräte nie unbeaufsichtigt liegen
• Bringen Sie ein Laptop-Schloss ("Kensington") an
 Vermeiden Sie Datenverlust durch regelmäßiges Backup (z.B. der lokalen Daten)
 Halten Sie den Virenscanner eigenverantwortlich aktuell
 Verschließen Sie PDA, Handy etc. bei Nichtbenutzung im Schreibtisch/Schrank
 Schalten Sie die Bluetoothfunktion des Mobiltelefons aus
 Bewahren Sie USB-Sticks sicher auf
 Speichern Sie streng vertrauliche Daten ausschließlich verschlüsselt

Mit Ihrem mobilen Gerät bewegen Sie sich mit firmeninternen Informationen im öffentlichen Raum!
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Informationen/Dokumente
 Benutzen Sie für die Speicherung Ihrer Daten kein lokales Verzeichnis
 Speichern Sie keine vertraulichen Dokumente ungeschützt in
gemeinsam genutzten Ordnern (z.B. Transfer-Ordner)
 Schützen Sie Informationen und Dokumente vor Veränderung
 Entsorgen Sie vertrauliche Informationen sicher:
• Dokumente in den Reißwolf
• Datenträger sicher löschen/physisch zerstören
 Geben Sie vertrauliche Informationen nur an die Personen, die diese
für die Umsetzung ihrer Arbeit tatsächlich benötigen
 Vermeiden Sie sensible Gespräche in der Öffentlichkeit

Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz!


Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Clean Desk
 Gehen Sie mit Daten und Dokumenten achtsam um
• Räumen Sie diese auch in Pausen auf
• Schließen Sie vertrauliche Dokumente bei Abwesenheit weg
• Verwahren Sie diese sicher nach Ende des Arbeitstages

 Schließen Sie Ihr Büro bei Abwesenheit ab

 Melden Sie sich in Pausen vom Netzwerk ab


• alternativ: Bildschirmschoner passwortgeschützt einstellen

 Lassen Sie keine Datenträger offen liegen

Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden !


Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Agenda

 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
IT-Sicherheit geht alle an

Vielen Dank für Ihre Aufmerksamkeit.

Ihre Fragen?

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de
Anhang: Grundsätzliches
 Das Schulungs- und Sensibilisierungsprogramm sollte folgende Punkte
behandeln:
• Sicherheitsziele der Organisation sowie deren Erläuterung, die Gründe, warum Sicherheit für die
Organisation wichtig ist, die Klarstellung der Verantwortlichkeit bezüglich der Sicherheit,
• die Aufgaben der IT-Betreuer, besonders in ihrer Funktion als Dienstleister der Fachbereiche,
• die Pläne zur Implementierung der Sicherheitsmaßnahmen,
• die Vorgehensweise der Überprüfung der Einhaltung von Sicherheitsmaßnahmen sowie die
Konsequenzen für Mitarbeiter bei Verstößen gegen Sicherheitsvorgaben.
• Der wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für die Sicherheit deutlich zu
machen.
• Die Planung der Schulungsveranstaltungen und der Beratungsgesprächen sollte vom Daten-
schutzbeauftragten, sofern vorhanden, oder von dem Organisationsleiter übernommen werden. In
Zusammenarbeit mit dem Datenschutzbeauftragten können dann die Veranstaltungen und die
Beratungsgespräche von den IT-Betreuern umgesetzt werden.
• Weiterhin ist zu empfehlen, die Schulungs- und Sensibililierungsveranstaltungen in regelmäßigen
Zeitabständen zu wiederholen, um insbesondere das vorhandene Wissen aufzufrischen und neue
Mitarbeiter zu informieren.

Gemeinsam für Online-Sicherheit


www.sicher-im-netz.de