Dr. Fuchs - IT Grundschutz

IT - Nervensystem des UnternehmensRechnungswesenKommunikationVerwaltungVerkaufProduktionMarketingEntwicklungEinkauf17.11.2003Nervensystem – beliebtes AngriffszielAusfallSpionageMissbrauchDatenverlustVirenSabotage17.11.2003

Finanzieller Verlust durch Datenverlustkeine finanziellenVerluste14%Geschäftsaufgabe6%geringe finanzielleVerluste24%erhebliche finanzielleVerluste31%finanzielle Verluste25%17.11.2003Wer haftet bei Datenverlust?§ Grundsätzlich gilt: Wer als Geschäftsführer keine geeignetenMaßnahmen absichert, handelt grob fahrlässig Haftung gegenüber den Gesellschaftern(Sorgfaltspflicht eines ordentlichen Kaufmanns, § 43 Abs. 2 GmbHG)BeispieleRA Teubner17.11.2003

Wer kann noch haften?Fall 1:• GF weist Administrator an, geeignete Maßnahmen zu treffen• Admin kommt dem nicht nach• Admin haftet (falls GF das nachweisen kann)Fall 2:• Admin macht auf Lücken aufmerksam, beantragt Mittel• GF bewilligt die Mittel nicht• GF haftet (falls Admin das nachweisen kann)17.11.2003Wer kann noch haften?Fall 3:• GF untersagt Mitarbeiter, private Spiele auf PC zu starten• Virus infiziert PC• Der Mitarbeiter haftetFall 4:• GF untersagt MA nicht, private SW auf PC zu starten• Virus infiziert PC• Der GF haftet17.11.2003

Nur so funktioniert es:• Admin macht Konzept, beantragt Mittel• GF prüft, Admin begründet, beide planen• Notwendige Maßnahmen werden umgesetzt• Mitarbeiter ziehen mit(weil sie informiert + motiviert sind!)17.11.2003Die drei Aspekte der IT-SicherheitVerfügbarkeitVertraulichkeitUnversehrtheit17.11.2003

Erstens: Physikalische SicherheitServerraum• zugangssichern• Passwörter spezifizieren a Server / Passwort-Hierarchie• klimatisieren auf 20 °C / Temperaturkontrolle an Zentrale• Notspannung (Notstromaggregat)• alle Geräte USV-stützen17.11.2003Daten-SicherungABCDatensicherungs-KonzeptABCGmbH• MA speichern auf Server Weimar• MA speichern auf Server•• Art Art der der Datensicherung Datensicherung des des Servers Servers•• Häufigkeit Häufigkeit + Zeitpunkt Zeitpunkt•• Anzahl Anzahl der der GenerationenGenerationen•• Vorgehensweise Vorgehensweise + SpeichermediumSpeichermedium•• AufbewahrungsortAufbewahrungsort•• Transport Transport•• SicherungsplanSicherungsplan•• schriftl. schriftl. dokumentieren dokumentieren ( (Nachweis!)•• Kontrollen! Kontrollen!•• Wiederherstellungsproben17.11.2003

Konzertierter AngriffAugust 2003 Microsoft-Download-Server (LoveSAN)AngreiferZiel-ServerDistributed Denial of Service-Attacke (DDoS)17.11.2003Was tun gegen Viren?Mehrstufiges Antiviren-Konzept1.InternetVirenscanner I2. Virenscanner II3.Virenscanner IIIVirenscanner IV17.11.2003

Was müssen Nutzer über Viren wissen?Sensibilisierung + Vorschriften• Skepsis bei Mails unbekannter Herkunft (Anhang) Löschen!• Passt Text zu Absender? (deutsch/englisch/I love you)• Makroviren-Schutz aktivieren• Sicherheit des Browsers auf höchste Stufe• keine Programme versenden/öffnen nach tel. Konsultation• Hoaxes nicht weiterleiten (Merkmal: „Weitersenden...!“).17.11.2003Kernnetz und Sub-NetzeSwitchKommunikationsmatrixSwitch1. Redundanz2. KommunikationAccess-ListeAccessAccess-Liste Listeaccess-listaccess-list101101denydenytcptcp172.16.4.0172.16.4.00.0.0.2550.0.0.255172.16.3.0172.16.3.00.0.0.2550.0.0.255eqeq2121access-listaccess-list101101denydenytcptcp172.16.4.0172.16.4.00.0.0.2550.0.0.255172.16.3.0172.16.3.00.0.0.2550.0.0.255eqeq2020access-listaccess-list101101permitpermitipipanyanyanyanyServer-NetzServer-NetzSub-Sub-NetzNetz11SubSub--NetzNetz22SubSub--NetzNetz33usw.usw.17.11.2003

Die drei Aspekte der IT-SicherheitVerfügbarkeitVertraulichkeitUnversehrtheit17.11.2003Missbrauch - Spionage – Sabotage• Persönliche Daten Profile, Handel• Produktentwicklung• Konkurrenz: Preise?17.11.2003

Wenn Internet, dann Firewall!ProxyRegelwerkNetz Netz 1DMZPaketfilterPaketfilterNetz Netz 217.11.2003IDS – die Alarmanlage80% der Angriffe kommen von innen!• Erst Hausaufgaben machen...• Abwägen, ob Einsatz lohnt• Netzbasiert oder Hostbasiert• Markt in Entwicklung17.11.2003

Öffentliche Briefe?• kein Kuvert1.2.• keine Vertraulichkeit• Manipulation möglich• Nutzung im Geschäftsverkehr eingeschränktVerschlüsselung!17.11.2003Emails verschlüsseln1. Nutzer erzeugt Schlüsselpaar: öffentlichen und privaten2. B sendet A ihren öffentlichen SchlüsselAB3. A verschlüsselt damit seine Email und sendet sie B4. B entschlüsselt die Email mit ihrem privaten Schlüssel17.11.2003

Hacking ohne Computer?= Social Engineering „Wetware“• Konkurrenten im gleichen Marktsegment• Überzeugungskraft - Täuschung - Druck• Sekretärinnen• Telefon-Trick• Blaumann-Trick• Dumpster Diving (Müll)Verantwortung jedes Einzelnen!17.11.2003Die drei Aspekte der IT-SicherheitVerfügbarkeitVertraulichkeitUnversehrtheit17.11.2003

Wie die PCs schützen?•Passwort! Satz „IbdMdi200EiMmvs“• BIOS-Passwort• Standard-Programme definieren• keine eigenen Installationen erlauben• Speziallösungen nur in Absprache mit IT-Administrator• keine Funktastaturen• Schutz vor Manipulationen (z. B. Key Ghost)• Verpflichtung MA/IT-Kräfte/Dienstleister17.11.2003Verpflichtungserklärung17.11.2003

Erklärung17.11.2003GesetzeBelehrungen§§ 43, 44 Bundesdatenschutzgesetz(BDSG)§ 43 Thüringer Datenschutzgesetz –Verstöße gegen den DatenschutzStGB§ 86 – Verbreitung vonPropagandamittelnverfassungsfeindlicher Organisationen§ 95 – Offenbaren vonStaatsgeheimnissen§ 184 – Verbreitung pornographischerSchriften§ 202a – Ausspähen von Daten§ 203 – Verletzung vonPrivatgeheimnissen§ 263a – Computerbetrug§ 266b – Missbrauch von Scheck- undKreditkarten§ 268 – Fälschung technischerAufzeichnungen§ 269 – Fälschung beweiserheblicherDaten§ 270 – Täuschung im Rechtsverkehr beiDatenverarbeitung§ 303a – Datenveränderung§ 303b – Computersabotage§ 94 TKG – Unerlaubter Betrieb/Besitz vonSendeanlagen§ 95 TKG – Unberechtigtes Abhören vonNachrichten§§ 106 – 111 Urhebergesetz (verschiedeneVerstöße gegen Urheberrecht).17.11.2003

Wenn Fernzugriff, dann VPN• Tunnel im Internet (VPN)PersFW• hohe SicherheitInternetAccessListeACS17.11.2003Die drei Aspekte der IT-SicherheitVerfügbarkeitVertraulichkeitPRAXIS-TIPPUnversehrtheit17.11.2003

Projekt IT-Sicherheit1Leitlinien für IT-Sicherheit2Notfall-VorsorgeWoanfangen?3Festlegungen4Vermittlung zum Nutzer17.11.2003Kompendium• IT-Grundschutz-Handbuch• Abwehr Computer-Viren• Internet-Sicherheit• PKI• Sicheres E-Government• Weiterführende Hyperlinks17.11.2003

Leitlinie IT-Grundschutz-Handbuch17.11.2003IT-Festlegungen – ein Beispiel17.11.2003

Wie sag ich‘s meinem Nutzer?Merkblatt•• Praxis-bezogen•kurz •kurz•• verständlich17.11.2003Danke für Ihre Aufmerksamkeit!Ich freue michauf Ihre Fragen!Dr. Wolfgang FuchsLeiter Zentrale Informationstechnikwolfgang.fuchs@jenoptik.com17.11.2003