Sicherheit ist Chefsache¼ler_IT... · versteht man das Überwachen und Steuern technischer ... •...

20.06.2016

1

Sicherheit ist Chefsache - Heute schon gehackt worden?

Agenda

Einführung in das Thema IT-Sicherheit Sind Handwerker besonderen Sicherheitsrisiken

ausgesetzt? Risiken: Hardware, DECT/VoIP, Software,

SmartHome, Browser,mobiles Arbeiten, Smartphone, Cloud

Wie schütze ich meine digitalen Juwelen? Handlungsempfehlungen Fazit und Zusammenfassung

2 © Jürgen Schüler

20.06.2016

2

Handwerk 4.0Fortschreitende Digitalisierung

Fortschreitende Digitalisierung

Produktions‐ und Kundendaten gewinnen angesichts der fortschreitenden Digitalisierung an Bedeutung.

Der Umgang mit Daten ist häufig recht stiefmütterlich.

Datenhandling und Datensicherheit stehen in der Aufgabenhierarchie oft an unterster Stelle.


20.06.2016

3

Fortschreitende DigitalisierungBeispiele




20.06.2016

4





20.06.2016

5

Smart Home‐ eine Demonstration der Möglichkeiten (1:00min)

13

Quelle: QIVICON

Mit Smart Home können Sie Ihr Zuhause fernsteuern – aber wer noch?

© Jürgen Schüler

Einführung in das Thema „IT-Sicherheit“

20.06.2016

6

Lagebericht 2014 (BSI)

15

Unter Supervisory Control and Data Acquisition (SCADA) versteht man das Überwachen und Steuern technischer Prozesse mittels eines Computer‐Systems

komplexe, zielgerichtete und effektive Angriffe

missbräuchliche Nutzung personenbezogener Daten

© Jürgen Schüler

Ausgangslage

„Cyberattacken auf Wirtschaftsunternehmen weiten sich aus. Sie führen bei den betroffenen Firmen regelmäßig zu Störungen im Betriebsablauf, Wettbewerbsnachteilen, Umsatzverlusten und letztlich zu einem angekratzten Image.“

Analyse von Freshfields Bruckhaus Deringer 2013

16

Quelle: BSI Magazin 2016/01 S.17, 2015

© Jürgen Schüler

20.06.2016

7

Cybercrime in Echtzeit

Viele Attacken werden durch die zunehmende Nutzung von Cloud‐Computing, Smartphones und Tablets sowie Social‐Media‐Angebote begünstigt.

17

sicherheitstacho.eu

© Jürgen Schüler

Suchmaschine für Angriffe auf Smart Home

18

I

© Jürgen Schüler

20.06.2016

8

Trend 2016

• Viren als Waffe(Stuxnet – Manipulation von Steuerungssoftware)Ist das nur die Blaupause für ähnliche Angriffe auf kritische Infrastrukturen?

• Angriffe auf Router (Fritzbox)

• Angriffe über SocialnetworksSpyware 2.0 – Diebstahl von persönlichen Anwenderdaten(Verkürzungsdienste für URLS http://bit.ly/1Su55vO - viele klicken auf Links aus vermeintlich vertrauenswürdiger Quelle vom Arbeitsplatz aus)

• Bedrohung von mobilen Endgeräten



20.06.2016

9

Sind Sie sicher, dass Sie sicher sind? Spezifische Gefährdungslage

91,68%


Sind Handwerker besonderen Sicherheitsrisiken ausgesetzt?

20.06.2016

10

Das Handwerk ist innovativ und kreativ.

Ein typischer Handwerksbetrieb ist kein typischer

Handwerksbetrieb.

Jeder Handwerksbetrieb hat digitale Juwelen.


Was sind die digitalen Juwelen des Unternehmens?

• Kunden‐ und Lieferantendaten

• Einkaufskonditionen

• Kalkulationswerte

• Konstruktionsdaten

• Zugänge zum Firmennetz und zu Bankkonten

• Informationen über Innovationen/Patente

• Informationen über die Auftragslage und Finanzdaten

25

Die Täter Geheimdienste, konkurrierende Unternehmen, gekaufte Mitarbeiter.

Das Ziel Know‐how, in das ein Unternehmen oft viel Geld investiert hat.

Die Folge Gravierenden Imageverlust und Umsatzrückgänge

Die Ursache Schwachstellen moderner Kommunikationssysteme, die es Hackern ermöglichen sich unbemerkt in den

Informationsfluss einzuklinken und so Telefongespräche (Handys, DECT‐Telefone, Voice‐over‐IP)

abzuhören, E‐Mail oder den Fax‐Verkehr mitzulesen und in Firmennetze über das Internet oder über W‐

LAN einzudringen.

© Jürgen Schüler

20.06.2016

11

Handwerk und IT‐Sicherheit


Mythos Sicherheit

Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Was ist, wenn Geschäftsdaten (Strategien, Finanz-daten etc.) in die falschen Hände geraten?

Diese Aussage ist mutig. Vielleicht hat bei bisherigen Sicherheitsvorfällen niemand etwas bemerkt.

Die Fähigkeiten potentieller Angreifer werden oft unterschätzt. (Skript Kids)

Die Statistiken zeigen, dass die Mehrzahl der Sicherheitsverstöße von Innentätern verursacht wird. (Demotivierte und Ehemalige )

„Was ist bei uns schon zu holen, so geheim

sind unsere Daten nicht“

„Bei uns ist noch nie etwas passiert“

„Unser Netz ist sicher“

„Wir haben nur vertrauenswürdige

Mitarbeiter“


20.06.2016

12

Welche der folgenden Risiken spielen für Ihren Betrieb eine Rolle?


Arbeitgeber vernachlässigen IT‐Sicherheit


20.06.2016

13

Mängel in der EDV‐Organisation

Bei KMU ist ein fehlendes Bewusstsein für IT‐Sicherheit auszumachen. Es fehlen

Konzepte mit klaren Anweisungen (z.B. mit E‐Mails und Attachments)

Verantwortlichkeiten und Kontrollen

Backup‐Strategien

Dokumentation der

Hard‐ und Software,

Zugriffsregelungen auf Datenbestände ‐ Datenhandling(Kundendaten oder Produktionsdaten)

Passwortregelungen

Vertretungsregelungen für den IT‐Verantwortlichen

Regelungen zum Datenschutz


Plagiate

32

Preisträger 2014 Preisträger 2013Quelle: www.plagiarius.de

© Jürgen Schüler

20.06.2016

14

33

Quelle:n‐tv 2013

© Jürgen Schüler

Konkrete IT‐Sicherheitsrisiken

20.06.2016

15

Risiken durch HardwareKeycatcher, USB‐Geräte, Drucker

Keycatcher


20.06.2016

16

USB Geräte schützen

Verwenden Sie nur zugelassenen externen USB‐Geräte an ihrer Hardware.

Verschlüsseln Sie Daten auf externen Geräten (z.B. mit TrueCrypt)

Deaktivieren Sie die USB‐Zugänge im BIOS des Rechners oder verwenden Sie Software zur Geräteregistrierung (Z.B. USB‐Wächter).


Wiederherstellung gelöschter USB‐Sticks


20.06.2016

17

Falsch konfigurierte Hardware

39

DruckerhackWo?

© Jürgen Schüler

Kopierer und Tracking Dots

Hersteller die Tracking Dots einsetzen: Hewlett Packard Brother Canon Dell Epson Konica / Minolta Oki Kyocera Lanier Lexmark Ricoh Tectrionix Xerox

http://www.eff.org/Privacy/printers/docucolor/

40

20.06.2016

18

Fitness‐Tracker

41

12345678

Bewegungsdaten Handy

42

20.06.2016

19

NAS

Passwörter setzen

Aufgaben trennen

Nur nötige Funktionen aktivieren

E‐Mail und Logging einschalten

Volume‐Verschlüsselung aktivieren


TelefonieGefahren bei DECT und VoIP‐Telefonie

20.06.2016

20



20.06.2016

21

VoIP‐Hack


Handlungsempfehlung

Sensible Gespräche nur über schnurgebundene

Telefone führen!

VoIP‐Telefongespräche müssen Ende‐zu‐Ende

verschlüsselt sein!


20.06.2016

22

Angreifbarkeit

52

Angriffsszenarien

53

Ein Angreifer hat grundsätzlich die Möglichkeit, das Netzwerk oder die im Netzwerk vorhandenen Geräte zu attackieren.

© Jürgen Schüler

20.06.2016

23


Funk Schließsysteme


20.06.2016

24

Funk‐Schließsysteme hacken

Garagenhersteller, Autokonzerne und Gebäudezugangs‐Kontroll‐Systeme verwenden standardmäßig das rolling code‐System.

Beim Öffnen und Schließen von Funkschlössern wird eine achtstellige KeeLoqs‐Chiffre zwischen Sender (Funk‐Schlüssel) und dem Empfänger (Funk‐Schloss) übermittelt. Nach jeder Betätigung wird der Code geändert. Vereinfacht gesagt kann man mit etwas kriminellem Geschick ‐ wenn man 2x das Signal abhört ‐ das nächste Signal errechnen und hat Zugang.

Wer sicher gehen will, sollte zum Beispiel eine AES‐Verschlüsselung mit 128 Bit wählen.


Wohnzimmer

Internet‐Zugriff beschränken

Sprachsteuerung zähmen

Entwickleroptionen abschalten

Kinderschutz aktivieren

Datenerfassung minimieren


20.06.2016

25

Virenscanner nutzen und testen

Gefahr durch Programme, die auf das Internet zugreifen

Durch Plug‐Ins kann ein Browser auch externe Programme nutzen, um weitere Medien wie Video, e‐Mail, Chat, uvm. zu integrieren (VLC‐Player, Media‐Player, Quicktime‐Player, Flash‐Player etc.)

Browser enthalten oft Sicherheitslücken Durch das Einspielen von manipulierten Daten können

Sicherheitslücken ausgenutzt werden, um Schadsoftware nachzuladen oder auszuführen


20.06.2016

26

Web‐Browser

Plug‐ins ausmisten

Click‐to‐Play aktivieren

Passwortspeicher verschlüsseln

Aktuelle Browserversion nutzen

Tracking und Skripte einschränken


Rogueware /Scareware

61

20.06.2016

27

Testen Sie Ihren Virenscanner


Mobiles Arbeiten

Drahtlose Kommunikation

63

20.06.2016

28

Mobile Anwendungen im HandwerkEinsatzmöglichkeiten von mobilen Anwendungen im

Handwerkbetriebe

(Vorteil: Ortsunabhängigkeit)Mobile Zeiterfassung

(Stundenzettel)

Mobiles Aufmaß

Zugriff auf ServiceunterlagenHandbücher immer zu Hand

Geo‐Daten nutzen zur Abwicklung von Serviceaufträgen

(Fuhrparkmanagement ‐optimaler Mitarbeitereinsatz)

Verbesserter KundenserviceE‐Mails sofort zur Hand

(Aufträgen in der Nähe können gleich bearbeitet)

Angebotserstellung und Auftragsdatenerfassung vor

OrtZugriffs auf die Unternehmens‐EDV oder

CloudlösungTerminplanung, Angebote und Bauzeichnungen

ermöglichen Kundenberatungen direkt

vor Ort

Zugriff auf Büro, Lager, Großhändlerdaten

(Angeboten vergleichen und Ersatzteilen direkt bestellen)

Zahlungswerkzeug


Risiken der drahtlosen Kommunikation

Funkkommunikation kennt keine räumlichen Grenzen

Mit leistungsstarken Antennen können Funksignale weit außerhalb der üblichen Arbeitsreichweite empfangen werden

eine Absicherung des Funknetzes gegen das Eindringen sowie das Abhören und Manipulieren von Daten ist zwingend erforderlich


20.06.2016

29

Wo liegen die Risiken beim mobilen Arbeiten?

Risiken liegen in der Nutzung von:

WLAN

Bluetooth

Ortungsdiensten (GPS‐Geodaten)

NFC

und im Verlust von Geräten



20.06.2016

30

NFC


Die 5 größten Smartphone‐Risiken*

1. Verlust oder Diebstahl

2. Falsche WLAN Access Points

3. Schadprogramme

4. Phishing / NFC

5. Unzureichende Entsorgung

69

* basierend auf Berichten der IT Sicherheitsbehörde ENISA (European Networks and Information Security Agency) der EU

© Jürgen Schüler

20.06.2016

31

Diebstahlsicherung und Ortung


2. Risiko: Falsche WLAN Access Points

Indem ein WLAN‐ Access‐Point im Hotel,

Flughafen, ICE oder ein offener WLAN‐

Zugang eine falsche Identität vortäuscht

und sich Ihr Smartphone damit verbindet

kann der Angreifer:

den gesamten Datenverkehr mithören

/ manipulieren

aus unverschlüsselten Verbindungen

Firmengeheimnisse und Zugangsdaten

herausfiltern


20.06.2016

32

Konfigurations-Passwort setzen WLAN WPA2/AES verschlüsseln

und individualisieren

Gastnetz separat verschlüsseln Nur sichere Protokolle nach

außen anbieten

WPS und UPnP abschalten

Firmware des Routers immer auf dem neuesten Stand halten

WLAN‐Router


3. Risiko: Schadprogramme

QR‐Codes leiten Mobiltelefone automatisch auf den kodierten Weblink um

Webseite kann Schadcode enthalten (z.B. USSD‐Steuercodes oder andere Schadsoftware)

QR‐Codes können überklebt / aufgeklebt sein...


20.06.2016

33

SmartphoneSicherheit

74

Quelle:Almagami, Fotolia.de

© Jürgen Schüler

Basissicherheit mobile Geräte

Vom Prinzip her sind Smartphones oft besser ausgestattet als Laptops oder Netbooks, daher gilt:

Sicherheitseinstellungen des Smartphones (z.B. Codesperre) nutzen

Drahtlose Schnittstellen nur bei Bedarf aktivieren

Software nur aus kontrollierten Stores laden

Firmendaten über verschlüsselte Verbindung abrufen und nicht auf dem Smartphone speichern

Datenverbindungen, Telefonate und Smartphone verschlüsseln

Regelmäßig Backups durchführen

Betrieblich genutzte Smartphones zentral verwalten


20.06.2016

34

Android

Gerätesperre einrichten

Fernzugriff aktivieren

Hintertüren schließen

Berechtigungen prüfen

Aktuell halten


iOS

Code‐Sperre aktivieren

Apple‐ID absichern

Backup lokal verschlüsseln

Datenschutzeinstellungen prüfen

Risiko Jailbreak vermeiden


20.06.2016

35

Cloud‐Lösungen

Chancen und Risiken

78

Von überall kann auf die (Branchen‐)Lösung zugegriffen werden. Software kann zeitlich begrenzt gemietet werden. Kein Wartungsaufwand für IT‐Infrastruktur Automatisches Backup

Chancen durch Cloud‐Computing ?

79

TerminkalenderRechner‐überwachung E‐Mail

Branchensoftware

Datensicherung

Intranet

It‐Security

© Jürgen Schüler

20.06.2016

36

Erlaubt meine Internetanbindung eine Cloud‐Lösung

Wo werden Daten gespeichert? [Datenschutz]

Wie werden Daten übertragen?

Wer hat Zugriff auf die Daten?

Kann der Anbieter in meine Daten zu schauen?

Werden Informationen verschlüsselt abgelegt?

In welchem Format erhalte ich meine Daten bei einem Anbieterwechsel zurück?

Wo ist der Gerichtsstand?

Bietet das Unternehmen guten Service und gute Verfügbarkeit?

Risiken durch Cloud‐Computing


Wie schütze ich meine digitalen Juwelen?

Sicherheitstipps und Dienstleistungsangebot der Handwerkskammer Rheinhessen

81

20.06.2016

37

Verwenden Sie sichere Passworte

Drei Passwort‐Regeln

Sie müssen:

1. lügen

2. betrügen

3. verfälschen


20.06.2016

38

Sicheres‐Passwort

nicht auf einen Zettel schreiben und unter die Tastatur legen

nicht unter den Deckel des Handys kleben

nicht an den Monitor pinnen

nicht in eine Textdatei am PC schreiben

nicht im Browser speichern !!!

nicht für alle Dienste das gleiche Kennwort verwenden.


Verwenden Sie einen Password‐Safe‐ z.B. Keypass


20.06.2016

39

Verschlüsseln Sie Ihre Daten und E‐Mails

TrueCrypt‐ kostenloses Verschlüsselungstool


20.06.2016

40

88

Gpg4win


Zusammenfassung und FazitHandlungsempfehlungen

20.06.2016

41


Sicherheit ist Chefsache Planung, Realisierung und Aufrechterhaltung der IT‐Sicherheit erfordern

Zeit, Geld und Know‐How Systematisches IT‐Sicherheitsmanagement ist wichtig

Sicherheit geht alle an Sicherheit kann nur geschaffen und aufrecht erhalten werden, wenn alle

Beteiligten mitarbeiten Schulung und Sensibilisierung sind wichtig

Sicherheit ist kein Selbstzweck Das Sicherheitsniveau muss angemessen sein

Wie gehen Sie vor?


20.06.2016

42

Sicherheit ist kein ProduktSicherheit kann man nicht kaufen, Sicherheit muss man schaffen!Natürlich muss man zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgreifen.

Sicherheit ist kein ProjektEs genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheitmuss aufrecht erhalten werden!

Sicherheit ist ein Prozess

Wie gehen Sie vor?


Die wichtigsten SchritteBetrachten Sie die interne Vernetzung und die Anbindung an das Internet sowie den Dienstleister.

Schützen Sie die Zugänge und die Daten nach:

Verfügbarkeit

Integritätund

Vertraulichkeit


20.06.2016

43

Anwendungen, in denen Sicherheitslücken durch Web‐Exploits ausgenutzt wurden

Quelle: Viruslist.com (drittes Quartal 2014)

Oracle Java

Browser

Adobe Reader

AndroidOS

Adobe Flash PlayerMicrosoft Office

Schwachstellen von Anwendungen


Windows

Microsoft‐Updates aktivieren

Software aktualisieren

Datenschutz verbessern

Virenschutz prüfen

Netzwerkzugriffe kontrollieren

95

20.06.2016

44

Handlungsempfehlung für Handwerksbetriebe

Verwenden Sie sichere Passwörter.

Verwenden Sie sichere E‐Mail.

Achten Sie auf eine sichere Hardware‐Konfiguration.

Schützen Sie USB‐Geräte

Schützen Sie Ihre mobilen Daten und Geräte.

Führen Sie sensible Gespräche nur über schnurgebundene Geräte.

Führen Sie eine Rechte‐ und Nutzerverwaltung ein, um Gesetzen und Richtlinien zu entsprechen.

Gewährleisten Sie die Funktionsfähigkeit Ihrer IT‐Infrastruktur.


Basissicherheit mobile Geräte

Vom Prinzip her sind Smartphones oft besser ausgestattet als Laptops oder Netbooks, daher gilt:

Sicherheitseinstellungen des Smartphones (z.B. Codesperre) nutzen

Drahtlose Schnittstellen nur bei Bedarf aktivieren

Software nur aus kontrollierten Stores laden

Firmendaten über verschlüsselte Verbindung abrufen und nicht auf dem Smartphone speichern

Datenverbindungen sowie Telefonate und Smartphone verschlüsseln

Regelmäßig Backups durchführen

Betrieblich genutzte Smartphones zentral verwalten


20.06.2016

45

Der Zugriff auf die Cloud erfolgt mit

Desktop‐PCs (Software‐/Browserbasiert)

Smartphones/Tablets (App‐/Browserbasiert)

Der Zugriff sollte nur von Systemen durchgeführt werden, die als vertrauenswürdig eingestuft werden

Also nicht im Urlaub aus einem Internet‐Café!

Dementsprechend sollten Kriterien im Unternehmen festgelegt werden, die klare Regeln hierfür definieren

Es gelten die Empfehlungen des Basisschutzes

Basisschutz und Handlungsempfehlungen


Dienstleistungsangebot

der Handwerkskammer

100

20.06.2016

46

Es ist unser Ziel, ein angemessenes IT‐Sicherheitsniveau im Handwerk herzustellen, indem mithilfe von neutralen Beratern der Handwerksorganisationen und gemeinsam mit dem Betrieb eine Sicherheitsstrategie erarbeitet und umgesetzt wird.


Wer kann helfen

IT‐Sicherheit und Datenschutz betreffen das ganze Unternehmen und die Verantwortung lässt sich nicht delegieren, deshalb:

1. Verantwortung übernehmen

2. Kleine Schritte vorbereiten

3. Datenschutz und Datensicherheit sind ein Prozess


20.06.2016

47

Unsere Lösungen für Sie!www.it‐sicherheitsbotschafter.de


Unsere Lösungen für Sie!

Die Mitarbeiter der Handwerkskammer beraten und unterstützen Sie bei:

In Fragen zur Basissicherheit

Virenbefall

dem Schutz mobiler Geräte

der Datenverschlüsselung

Fragen rund um den Datenschutz

…beim Aufbau einer sicheren IT‐Umgebung

…vermitteln Security‐Spezialisten


20.06.2016

48

Vielen Dank für Ihre Aufmerksamkeit

105

Jürgen Schüler

Projektleiter

KompetenzzentrumIT-Sicherheit und Signaturder HWK RheinhessenDagobertstraße 255116 Mainz

Telefon +49 61 31 99 92-61Telefax +49 61 31 99 [email protected]

Fragen?

106

Sicherheit ist Chefsache¼ler_IT... · versteht man das Überwachen und Steuern technischer ... •...

Documents

Transcript of Sicherheit ist Chefsache¼ler_IT... · versteht man das Überwachen und Steuern technischer ... •...