PC Sicherheit geht jeden an!!!

Sicherheit in der Informationstechnik
Jörg Giffhorn CTO / CSO
Inhalt
 PC Sicherheit
 Aktuelle Bedrohungen
 Abwehrmaßnahmen
 Firmenlösungen
 Nützliche Informationen
PC Sicherheit geht jeden an!!!
 Der Computer wird immer wichtiger für uns!
- Bankdaten, Kontoauszüge, Kreditkarten
- Wichtige Korrespondenz
- Urlaubsfotos, Videoaufnahmen
- Kunden- und Patientendaten
 Hacker, Schmutzfinken, Online-Betrüger und
Spammer bedrohen unsere Daten!
- Es geht nicht nur um große Unternehmen!
- Computer-Viren suchen sich ihre Opfer nicht aus!
- Jeder kann das Opfer einer Attacke werden!
- Ungeschützte PCs gefährden auch andere Anwender!
Das Internet : Dimensionen
- Rund 63 % der Menschen in
Deutschland nutzen das
Internet.
- Über 1 Milliarde Internetnutzer
gibt es weltweit.
- 98% aller Unternehmen
verfügen über einen
Internetzugang.
- Über 23 Millionen Deutsche
shoppen online.
2006 wurden mehr als 70 Milliarden E-Mails
versendet.
- 202 Milliarden Euro wurden
durch den Internethandel in
Deutschland in 2004
erwirtschaftet.
Die „bösen“ Jungs
•Fügt Ihnen finanzielle
Verluste und hohen
Schaden zu
•Missbraucht Ihre
Konto- und Kreditkartendaten
•Stiehlt Ihre vertraulichen Daten und
Informationen
•Bestellt in Ihrem
Namen und auf Ihre
Rechnung Waren und
Dienstleistungen
•Verbreitet jugendgefährdende, gewaltverherrlichende oder
andere fragwürdige
oder kriminelle Inhalte
•Manipuliert Kinder
und Jugendliche
•Nutzt das Internet für
die Anbahnung von
Straftaten
•Sorgt für ärgerliche
Fehlfunktionen und
Störungen auf Ihrem
PC
•Kann Daten auf Ihrem
PC löschen, auslesen
oder manipulieren
•Nutzt Ihren PC ohne
Ihr Wissen zum
Angriff auf andere
Computer oder Netzwerke
•Schickt Ihnen lästige
und unnütze Nachrichten
•Überlastet Sie durch
die Spam-Flut
•Belastet Ihre
Produktivität und
stiehlt Ihnen Zeit
•Belastet Ihr Vertrauen in das Medium
E-Mail
Sicheres Online-Banking und Einkaufen
 In diesem Individual-Check erhalten Sie wichtige Informationen für das
richtige Verhalten für sicheres Online-Banking und Einkaufen im Internet
 Der Individual-Check besteht aus drei Arbeitsschritten:
- Sicherer Umgang mit Kennwörtern
- Verschlüsselte Übertragung von PINs und TANs
- Vertrauenswürdige Anbieter
 Ihr Deutschland sicher im Netz-Berater hilft Ihnen
bei der:
- Auswahl sicherer Kennwörter
- Der sicheren Verwendung von PINs und TANs und
der Übertragung über gesicherte Verbindungen
- Der Auswahl von seriösen Anbietern im Internet
Schadensfälle : Online-Betrug
 Was wären die Folgen, wenn...
 ... Täter E-Mails verschicken, die Spendenaufrufen hilfstätiger
Organisationen gleichen, um sich Kreditkartendaten zu
beschaffen, die dann zu einer anderen Web-Seite, z.B. in Asien
übermittelt werden?
 ... man auf einer gefälschten Webseite eines Billigfliegers
vermeintlich ein Ticket bestellt und man seine Kreditkartendaten
dort eingibt?
 ... Sie mittels so genannter Dialer beim Besuch von Internetseiten
zu teuren Einwahlen umgeleitet werden?
Schützen Sie Ihre Kinder/Angestellten
 Bei diesem Individual-Check geht es in erster Linie darum, Kinder und
Jugendliche vor ungeeigneten Inhalten wie Gewaltdarstellungen und
Pornografie zu schützen
 Der Individual-Check besteht aus zwei Arbeitsschritten:
- Einsatz von Filtersoftware
- Inhaltsratgeber einsetzen (beschränkt auf den Micrsoft Internet
Explorer)
 Ihr Deutschland sicher im Netz-Berater kann
Ihnen eine Aufstellung mit Herstellern von
Filtersoftware zum Schutz für Kinder und
Jugendliche geben
 Ihr Deutschland sicher im Netz-Berater berät Sie
zum Einsatz des Inhaltsratgebers (Internet Explorer)
Schadensfälle : Pornographie
 Was würde es bedeuten, wenn...
 ... durch ihre Mitarbeiter Hardcore-Pornographie auf der Firmen-Festplatte
gespeichert oder sogar über das Internet ausgetauscht wird?
 ... Minderjährige, also etwa Praktikanten oder Auszubildende, innerhalb
des Unternehmens mit Pornographie konfrontiert werden?
 ... Sie, bei erlaubter privater Nutzung, durch Bereitstellung der Internetund E-Mail Zugänge rechtlich selbst zum Telekommunikationsanbieter
geworden sind?
 ... dem Arbeitnehmer bei entsprechenden Verstößen nicht eindeutig
nachzuweisen ist, dass ihm die in der Richtlinie zur privaten Nutzung von
E-Mail und Internet aufgestellte ausdrückliche Anweisung bekannt war?
 ... Sie unschuldig verurteilt werden, weil ein heimlich eingeschleustes
Programm auf Ihrer Arbeitsstation zum Download von pornografischen,
zum Teil Minderjährige zeigenden, Bildern benutzt wurde?
Der Basis-Check
 Der Basis-Check bildet die Grundlage für mehr
Online-Sicherheit und einen besseren Schutz vor Hackern
 Der Basis-Check besteht aus fünf einzelnen Arbeitsschritten:
1. Firewall installieren und aktivieren
Firmen sollten sich mit einer zentralen Firewall / Router absichern
2. Software aktualisieren
Für Firmen bietet sich der SUS 3.0 von Microsoft an
3. Virenschutz installieren und regelmäßig aktualisieren
Kommerzielle Software kann oft zentralisiert werden
4. Anti-Spyware-Programm installieren und
regelmäßig aktualisieren
5. Datensicherung durchführen
Firmen sollten die wichtigsten Daten „extern“ lagern
Schadensfälle : Hacker
 Welche Schäden können entstehen, wenn...
 ... ein Hacker, der Ihre Webseite gehackt hat, Ihre Nutzer und den
gesamten E-Mail-Verkehr auf eine von ihm entwickelte Webseite
umleitet?
 ... der PC eines Arztes unzureichend gegen Fremdzugriffe gesichert
ist, so dass vertrauliche Patienteninformationen in einem lokalen
Internet-Diskussionsforum veröffentlicht werden?
 ... ein IT-Experte das Computersystem eines Gesundheitszentrums
hackt und dadurch Zugriff auf die Daten von hunderten von Patienten
erlangt?
 ... Ihre Homepage gehackt wird und die Hackergruppe veränderte
oder neue Inhalte darauf bereitstellt?
Schadensfälle : Datenverlust
 Welche Konsequenzen hätte es, wenn...
 ... ein Hacker einen Datenverlust verursacht, so dass ein Backup
eingespielt werden muss und alle Transaktions-Daten seit der letzten
Sicherung verloren gegangen sind?
 ... ein Server durch einen Festplattendefekt ausfällt und die Daten
vom Sicherungsband wieder eingespielt werden sollen, sich aber
herausstellt, dass das Bandlaufwerk offenbar bereits längere Zeit
defekt war und gar keine Daten auf die Sicherungsbänder geschrieben
hatte?
 ... Ihr einziger Administrator durch einen schweren Unfall ausfällt und
nicht mehr arbeitsfähig ist?
 ... ungesicherte Laptops, Datenträger oder Informationen gestohlen
werden oder verloren gehen?
Schutz vor unerwünschten E-Mails
 Unerwünschte Mails („Spam“, „Junk“) sind ein großes Ärgernis und ein
Sicherheitsproblem
 Durch geeignete technische Schutzmaßnahmen und das richtige Verhalten
können Sie die Menge von SPAM und anderer unerwünschter Post deutlich
reduzieren
 Der Individual-Check besteht aus zwei einzelnen Arbeitsschritten:
- Schutz vor unerwünschten Nachrichten
- Vertrauliche Behandlung von E-Mail-Adressen
 Ihr Deutschland sicher im Netz-Berater gibt
Ihnen Tipps:
- Zur Aktivierung des Spam-Schutzes in Ihrem
E-Mail-Programm
- Zur vertraulichen Verwendung von Mail-Adressen
Gemeinsam für Online-Sicherheit
www.sicher-im-netz.de
Spam E-Mail
Phishing E-Mail
Phishing - Volksbanken
Schadensfälle : Spam
 Wollen Sie riskieren, dass...
 ... Ihr Firmencomputer von einer Spam-Gang unter fremde
Kontrolle gebracht wird und dann, als sog. Spam-Relais, zum
massenhaften Verschicken von Werbemails missbraucht wird?
 ... Mitarbeiter und Kunden weder E-Mails verschicken noch
empfangen können, da Ihre Mail-Server Angriffsziel einer SpamAttacke sind?
 ... Sie oder Ihr Unternehmens-Mailserver als Unschuldige auf den
„Schwarzen Listen“ der Provider landen?
Schadensfälle : Personal
 Was wäre, wenn...
 ... ein Angestellter persönliche Daten (z.B. Personal- und
Finanzinformationen) von einem Server stiehlt und diese an MarketingUnternehmen verkauft oder sie für Betrügereien verwendet?
 ... komplette Datensätze über vermögende Kunden auf CD-ROM in der
Redaktion einer Zeitung landen?
 ... ein Angestellter eines IT-Dienstleisters im Rahmen seiner Arbeit Zugang
zu unterschiedlichen Datenbanken von Kreditunternehmen hat,
Informationen von ca. 30.000 Konten stiehlt undanschließend inklusive
der Kreditkartennummern an Interessenten für 60 US-Dollar pro
Datensatz verkauft?
 ... ein ehemaliger Mitarbeiter das Computernetzwerk der Firma hackt,
Daten löscht und einen Server außer Betrieb setzt, der für die
ausländischen Geschäfte des Unternehmens von größter Wichtigkeit ist?
Nützliche Informationen im Netz
 Deutschland sicher im Netz
www.sicher-im-netz.de/
 Die Internauten
www.internauten.de
 Computer Associates Sicherheits-Portal (Security Advisor)
www3.ca.com/securityadvisor/
 Microsoft Sicherheits-Portal
www.microsoft.com/germany/sicherheit/default.mspx
 Microsoft Sicherheits-Portal für private Anwender
www.microsoft.com/germany/athome/security/default.mspx
 BSI für Bürger
www.bsi-fuer-buerger.de
Softwareanbieter
 Freeware
- Free AVG Antivirus : http://free.grisoft.com
- Avira Antivir : http://www.freav.de
- ClamWin : http://de.clamwin.com
- Free Ad-Aware : http://www.lavasoft.com
 Kommerzielle Produkte
- Trend Micro : http://de.trendmicro-europe.com
- F-Secure : http://www.f-secure.de
- AVG Antivirus : http://www.grisoft.com
- McAfee : http://de.mcafee.com
- G DATA : http://www.gdata.de
Wie sieht ein „gutes“ Firmennetz aus?
Der Server stellt zentrale Dienste zur
Verfügung (Mail, Drucker, Dateien) und
überwacht die Sicherheit der
Arbeitstationen (Software- und AntivirusUpdates)
Die Firewall regelt den Zugriff auf das
Internet und schützt die Benutzer vor
Angriffen aus dem Internet
Welche Dienste zentralisieren und warum?
 Hardware Firewall / Router
- Die Firewalls auf den Arbeitsstationen können ausgeschaltet
werden!
 Mail
- Spam/Phishing-Mails werden auf dem Server abgefangen
- Viren in E-Mails werden von dem Server erkannt
 Antivirus-Software
- Viren/Würmer/Trojaner werden von dem Server erkannt, bevor sie
die Arbeitsstationen erreichen
- Der Server hat immer die aktuellste Signatur
- Der Server kann die Viren-Scanner auf den Arbeitsstationen
überwachen und Meldungen schicken, wenn Viren erkannt wurden.
Welche Dienste zentralisieren und warum?
 Software-Updates
- Der Server kontrolliert die Arbeitsstationen auf die neusten
Updates und Patches und installiert diese bei Bedarf
 Backup
- Das zentrale Backup verhindert Datenverluste auf den
Arbeitsstationen
 Daten
- Die wichtigsten Daten sollten sich auf dem Server befinden
und nicht auf den Arbeitsstationen verteilt liegen (Backup)
 Drucker
- Ein Netzwerkdrucker kann von allen Mitarbeitern im Netz
genutzt werden
Eine „sinnvolle“ Server-Plattform
 Microsoft Small Business Server 2003 R2
- Datei-, Druck und Anwendungsserver
- Robuste Firewall
- Interne Firmenwebseite (Intranet)
- E-Mail mit Exchange (auch Anbindung von mobilen Geräten)
- Gemeinsame Kalender, Adressen, Aufgaben,…
- Faxen vom Arbeitsplatz und Faxe als E-Mail
- Zentrale Software Updates für Microsoft Produkte
- Zentrale Konfiguration über „eine“ Konsole
- Zentrales Backup
- Lizenzkosten für 5 Benutzer liegen unter 500,00€
Die Top-8-Gründe für den Einsatz von
SBS 2003 R2
 Bereitstellung eines zentralen, sicheren Speicherorts für
unternehmenskritische Daten
 Schutz gegen Datenverlust
 Schnelle und einfache Einrichtung
 Einfacher Zugriff auf private und gemeinsam verwendete
Informationen zu jeder Zeit, von jedem Ort, auf jedem Gerät –
selbst von einem Internet-Browser aus
 Verbesserte Teamarbeit durch erweiterte Kollaborationsfunktionen
 Verlässliche Netzwerksicherheit ohne großen Bedienaufwand
 Geschäftsaktivitäten werden am Laufen gehalten
 Eine Plattform, die auch mit Ihren zukünftigen Bedürfnissen
Schritt halten kann
Tipps zum Backup!
 Regelmäßige Sicherung aller wichtigen Daten
(täglich, wöchentlich, jährlich)
 Nach dem Backup den Inhalt des Bandes mit dem Original
vergleichen lassen
 Regelmäßig ein „Restore“ der Daten üben, damit im Ernstfall eine
schnelle Rücksicherung erfolgen kann
 Sicherungsmedien „extern“ lagern
 Sicherungsmedien in der Firma sollten vor Feuer und Wasser
geschützt werden
 Keine „mobilen“ Datenträger verwenden!!