[PDF] Maßnahmen und Checklisten für ein sicheres IT-Netz im

View - Download Maßnahmen und Checklisten für ein sicheres IT-Netz im

Previous PDF

Next PDF

16.11.2018

1Maßnahmen und Checklisten für

ein sicheres IT-Netz im

Handwerksbetrieb

Workshop am 15. Oktober 2018 in Oldenburg

BFE Oldenburg

Bundestechnologiezentrum für

Elektro- und Informationstechnik e.V.Dipl.-Ing. Werner Schmit, Dozent und IT-Security-Beauftragter (TÜV)Kurzvorstellung: Dipl.-Ing. Werner Schmit

• Dozent am Bundestechnologiezentrum für Elektro- und Informationstechnik (BFE Oldenburg) • Arbeitsschwerpunkte - Informationssicherheit - Datennetzwerktechnik - GNU/Linux - Systempflege E-Learning-Server - Programmierung( C/C++, Java, PHP) • IT-Security-Beauftragter (TÜV) • IT-Security-Auditor • Kontakt

E-Mail: w.schmit@bfe.de

Tel.: 0441-34092458

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 2

16.11.2018

2

Meine Fragen

• Welche Gefahren bedrohen meine Informationssicherheit? • Welche Schutzmaßnahmen sind erforderlich? • Wie ermittle ich den Sicherheitsbedarf für mein Unternehmen? • Was ist zu tun? • Was kann ich selbst erledigen? • Wer kann mich unterstützen? • Wie hoch ist der Zeitaufwand? • Wie und wo kann ich mich informieren? • Was kostet mich IT-Sicherheit?

Management-Systems (ISMS)?

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 3

Ablauf des Workshops

1. Gefahrenpotentiale

2. Praxisbeispiel: "Neulich beim Friseur"

3. Maßnahmen zur Informationssicherheit

4. Vorabanalyse - Erster Check durch Online Fragebogen

5. Erforderliche Bausteine für Informationssicherheit im Handwerksbetrieb nach

neuem BSI IT-Grundschutz

6. Werner's Maßnahmenkatalog für Basisschutz nach BSI IT-Grundschutz

7. Vorgehensweise

8. Erforderliche Dokumente

9. Sichere Netzwerkarchitektur

10.Allgemeine Tipps

11.Fazit

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 4

16.11.2018

3

1. Gefahrenpotentiale

Gefahren für Daten, IT-Systeme und Maschinen

•Gefahrenpotentiale= a)Bedrohungen und Sicherheitslücken b)Risiken • Erst, wenn ich die Gefahren kenne, lassen sich erforderliche

Maßnahmen daraus

herleiten!

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 6

16.11.2018

4

Cyberangriff

• Mein Versprechen: "Ein Cyberangriff auf die Daten und IT-Systeme Ihres

Unternehmens ist nur eine Frage der Zeit"

• "Es ist nicht die Frage, ob sondern nur, wann Sie angegriffen werden" • "Falls es nicht schon geschehen ist"

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 7

Kategorisierung der Gefahren

•Menschliche Fehlhandlungen •Technisches Versagen

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 8

16.11.2018

5 früheren IT-Grundschutz-Kataloge die generellen Aspekte herausgearbeitet und • G01 Feuer, • G02 Ungünstige klimatische Bedingungen, • G03 Wasser, • G04 Verschmutzung, Staub, Korrosion • G05 Naturkatastrophen • G06 Katastrohen im Umfeld • G07 Großereignisse im Umfeld

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 9

• G013 Abfangen kompromittierter Strahlung • G018 Fehlplanung oder fehlende Anpassung • G019 Offenlegung schützenswerter Informationen • G021 Manipulation von Hard- und Software • G022 Manipulation von Informationen • G023 Unbefugtes Eindringen in IT-Systeme

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 10

16.11.2018

6 • G027 Ressourcenmangel • G028 Software-Schwachstelle oder -Fehler • G029 Verstoß gegen Gesetze oder Regelungen • G032 Missbrauch von Berechtigungen • G033 Personalausfall • G034 Anschlag • G037 Abstreiten von Handlungen • G038 Missbrauch personenbezogener Daten

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 11

• G039 Schadprogramme • G040 Verhinderung von Diensten (Denial of Service) • G041 Sabotage • G042 Social Engineering • G043 Einspielen von Nachrichten • G045 Datenverlust

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 12

16.11.2018

7

2. "Neulich beim Friseur"

Verschlüsselungstrojaner in Onlinebewerbung hat erfolgreich zugeschlagen. Bestandsaufnahme, Bewertung und erste Maßnahmen zur

Informationssicherheit vor Ort in 45 min

BFE Oldenburg

Bundestechnologiezentrum für

Elektro- und Informationstechnik e.V.

Dipl.-Ing. Werner Schmit, Dozent und IT-Security-Beauftragter (TÜV)

Anlass des Besuchs

• Nachricht vom Friseurbetrieb: - Auf Kassen-PC eine Onlinebewerbung mit Verschlüsselungstrojaner • Anfrage: - Wie kann ich mich davor schützen? - Was muss ich in meinem Betrieb konkret anders machen? - Ist mein IT-Dienstleister kompetent genug?" • Wunsch: - Begutachtung und Bewertung des Friseurbetriebes vor Ort

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 14

16.11.2018

8

Bestandaufnahme der IT-Infrastruktur (1)

• Friseurbetrieb mit 3 Mitarbeitern • 1 x Windows 7-PC als Kassensystem und Universalrechner (E-Mail, Internet, etc.) u. a. mit ... - Hypersoft Kassensystem - Microsoft Security Essentials als Virensoftware - Teamviewer (für HomeOffice) - Thunderbird als E-Mail-Client - Weitere Anwendungen (Office, ...) ?? • 1 x Chef-Notebook (nicht gesehen) • 1 x Netzwerkdrucker (nicht gesehen) • 1 x DSL-Router (Fritz!Box) mit WLAN-AP • ?? Telefonanlage (TK) und VoIP?? (nicht gesehen)

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 15

Bestandsaufnahme der IT-Infrastruktur (2)

• Unterstützung durch einen IT-Dienstleister • Wartung und Systempflege ????!! - Z. B. Webbrowser veraltet - Windows nicht aktuell gepatcht - "Muss ich etwas selbst machen, erfolgt doch automatisch bei Windows?" • Webauftritt • Leistungsumfang und Aufgaben des IT-Dienstleisters sind dem Chef unklar!

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 16

16.11.2018

9

Wie ist es zu diesem Vorfall gekommen?

• Der Chef hat auf dem Kassen-PC die Onlinebewerbung, die sich in einem E- war noch an diesem PC angeschlossen.

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 17

Meine ersten Empfehlungen vor Ort (1)

•Nur punktuelle Maßnahmen!!! • Funktionierendes und grundlegendes Backup und Archivierung - Ist: Backup erfolgt auf einem normalen USB-Stick - Kein Backup- und Archivierungskonzept vorhanden - Mehrere USB-Festplatten für Anfang, Daten und Image - ToDo: Mit IT-Dienstleister Backup- und Archivierungs konzept erarbeiten, Verfahren dokumentieren, umsetzen und testen

Verantwortlichkeiten definieren

- Vertraglich geregelt? - ToDo: Umfang und Verantwortlichkeiten für Backup und Archivierung mit IT-Dienstleister regeln

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 18

16.11.2018

10

Meine ersten Empfehlungen vor Ort (2)

- Ist: nur automatisierte Windows-Updates keine ausreichende

Systempflege

- Besonders wichtig für den Internetrechner auf Windows Basis (für Surfen und E-Mail) geregelt sein. - ToDo: "Checkliste" für Systempflege Windows-PC mit IT-Dienstleister • "Sicheres Surfen" - Ist: Keine Maßnahmen am Windows-PC getroffen - ToDo: Internetrechner mit Webbrowser absichern

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 19

Meine ersten Empfehlungen vor Ort (3)

• Windows 7-PC mit Kassensystem Hypersoft nur im "Offline-Betrieb" einsetzen - Diesen PC nur als Kassensystem verwenden - Kassen-PC arbeitet nur lokal! Hat keine Internetanbindung - Verschlüsselte Festplatte einbauen - ToDo: Am Kassen-PC: a) IP-Konfiguration: nur IP-Adresse und Subnetmask vergeben, kein Standardgateway, b) Server-Dienst deaktivieren • neu anschaffen- Separater Internet-Rechner - Wird vom BSI empfohlen (für Websurfing und E-Mail) - Rechner darf nur auf das Internet zugreifen, nicht auf das interne Netzwerk. - Die anderen Systeme sind nicht mit dem Internet verbunden - Anbindung über Gast-WLAN der FritzBoxKein Zugriff auf das interne

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 20

16.11.2018

11

Meine ersten Empfehlungen vor Ort (4)

• Ideal: Kein Windows als Internetrechner verwenden - Tipp (falls Linux-Kenntnisse im privaten oder dienstlichen Umfeld vorhanden sind) Ubuntu als Internetrechner - Vorteile: - keine Virengefahr keine bekannten Viren für Linux, kein Virenscan - "Der Verschlüsselungstrojaner" im Anhang der E-Mail (Onlinebewerbung) - Alternativ: Macbook (Apple-Welt) als Internetrechner - ToDo: Ubuntu als Internetrechner verwenden

16.11.2018 BFE Oldenburg, Dipl.-Ing. W. Schmit 21

Meine ersten Empfehlungen vor Ort (5)

• Systempflege Fritz!Box - Ist: Nicht vorhanden, bisher wurde noch nie ein Firmwareupdate installiert - Sicheres Kennwort, aktuelle Firmware, sichere Konfiguration, ...quotesdbs_dbs25.pdfusesText_31

[PDF] Bitburg : Lamparski encore en piste | paperJam - Gestion De Projet

[PDF] Bitcherland Stunt Show

[PDF] Bitcoin - Docproof - France

[PDF] BitDefender : Faux billets d`avion pour vrais malwares

[PDF] Bitdefender Antivirus for Mac - Ordinateur

[PDF] Bitdefender Mobile Security - Email

[PDF] Bitdefender optimise la sécurité du Centre médico - Gestion De Projet

[PDF] bitdefender security for isa servers - Processus D'Affaires

[PDF] Bitdefender Total Security 2012 La Sécurité Silencieuse Intégrale

[PDF] BITE 2 et BITE 2P ÉQUIPEMENT DE MAINTENANCE PRÉDICTIVE

[PDF] BITE THE DUST - Anciens Et Réunions

[PDF] Bite The Dust - WESTERN DANCE MIRANDE

[PDF] Bite The Dust- - Buddy`s Country Club - Anciens Et Réunions

[PDF] bite wings voir radio rétro alvéolaire : c`est une radiographie

[PDF] bite-bitante