Online, aber sicher! Hagen, 07.12.20071 Online, aber sicher! Möglichkeiten der sicheren Nutzung des Internets und des PC´s Thomas Faber, Landesinitiative.

Online, aber sicher! Hagen, 07.12.20071

Online, aber sicher!Möglichkeiten der sicheren Nutzung des Internets und des PC´s

Thomas Faber, Landesinitiative »secure-it.nrw«

Hagen, 07. Dezember 2007


Agenda

•»secure-it.nrw«: Kommunikationsinitiative für mehr IT-Sicherheit

• sicheres Internet: Bedrohungen und Sicherheitsziele

• Prävention durch Technik, Organisation und Medienkompetenz

• weiterführende Hinweise


»secure-it.nrw«: Kommunikationsinitiative für mehr IT-Sicherheit

neutral und unabhängig:• getragen vom NRW-Innovationsministerium• angesiedelt bei der IHK Bonn/Rhein-Sieg

Ziele:• Sensibilisierung und Information über den Nutzen der IT-Sicherheit• Förderung innovativer elektronischer Geschäftsprozesse• in den Zielgruppen: Unternehmen, Schulen, Bürgerinnen und Bürger


»secure-it.nrw«: Maßnahmenbereiche• Informationen „live“

- Halbtages-Workshops- Fachkonferenzen- Bürgerveranstaltungen

mit Polizei und Banken

• Informationen zum Selbststudium- Themenbroschüren

- Newsletter

- www.secure-it.nrw.de

• Lösungshilfe: Branchenbuch- www.Branchenbuch-IT-Sicherheit.de

• Beratung: Basisprüfung IT-Sicherheit- kostenfreies Kurzaudit

- angelehnt an BSI-Grundschutz

- Ziel: Aktuelle Einschätzung des Sicherheitsniveaus im Unternehmen


Prävention durch Medienkompetenz: Unser Engagement

• Veröffentlichungen von Themenbroschüren- Geldgeschäfte – online und sicher- Computerkriminalität – so hilft die Polizei- u.a.

• Veröffentlichung von Unterrichtsmaterialien

• Informationsveranstaltungen - für Bürgerinnen und Bürger - für Lehrerinnen und Lehrer

• Kommunikation vorbildlicher Praxis: Ergebnisse des „IT-Sicherheitspreis NRW“ 2004-2007


Themen von Unterrichtsmaterialien

• sichere E-Mail-Kommunikation• Viren, Würmer, Trojaner• Schutz der Privatsphäre im Internet• Sicherheit bei Online-Auktionen• Sicherheit beim Online-Shopping • Wie sichere ich meinen PC?• sicheres Chatten• Elektronische Signatur• Handy & Co. – Lernen über mobile Anwendungen (erscheint Dez. 2007)• Internet-Fibel für die Grundschule


www.secure-it.nrw.de

Die Nutzung des Internets heute

• Allgegenwärtig

• breites Spektrum von Anwendungen:

Informationsrecherche, Produktkataloge, Bestellvorgänge, Auktionen, Shopping, Banking, Foren, Blogs, Chats, …

• Kommunikations- und Geschäftsprozesse zwischen Geschäftspartnern, Bürgerinnen und Bürgern sowie Behörden

• Resultate: Zeit- und Kostenvorteile, Effizienzsteigerungen,Wettbewerbsvorteile, neue Geschäftsfelder


Gefahren im Internet

• Das Web ist ein offenes Netz. Es damit auch für nicht-legitimierte „Interessenten“ mühelos erreichbar.

• Das Web bietet Möglichkeiten, anonym zu handeln. Das Risiko eines Angreifers ist gering, dessen Hemmschwelle niedrig. Häufig reichen nur wenige Vorkenntnisse.

• Wegen der einfachen Benutzung wird das Web auch von Anwendern genutzt, die nicht die erforderlichen Kenntnisse haben, sich angemessen zu schützen.


Bedrohungen und Gefahren im Umgang mit IT und Internet

• technisches Versagen: Softwarefehler, defekte Datenträger, …

• organisatorische Mängel: Fehlende Regeln, Wartung, Dokumentation ...

• menschliche Fehlhandlungen: Gedankenlosigkeit, Unachtsamkeit, ...

• höhere Gewalt: Blitzschlag, Feuer, Hochwasser, ...

• vorsätzliche Handlungen: Manipulation, Zerstörungen, Datendiebstahl, Betrug, ...

• Unrechtmäßigkeit und unordnungsgemäße Geschäftstätigkeit, z.B.: Datenschutz, Haftungsfragen, Risikovorsorge, Kennzeichnungspflichten, Betriebsprüfungen, Urheberrechtsverletzungen, …


Schadensbeispiele

• 90 % aller Unternehmen haben im Jahr mindestens einen IT-Sicherheitsvorfall. Hauptursachen:

- SPAM-Mails 90 %- Viren und Trojanische Pferde 84 % - Ausfall von EDV-Programmen und E-Mail-Systemen 35 %- Netzwerkausfälle 24 %- Diebstahl vertraulicher Informationen 13 %

- Kosten pro Attacke und PC-Arbeitsplatz in Unternehmen: ca. 5.000 EUR


Wichtige Sicherheitsziele im Alltag

• Verfügbarkeit von Hard- und Software

• Integrität, z. B. Nicht-Manipulierbarkeit der Daten

• Verbindlichkeit, d. h. Nicht-Abstreitbarkeit

• Vertraulichkeit, z. B. Schutz von Wissen und Werten

• Umsetzung rechtlicher, vertraglicher und aufsichtsrechtlicher Anforderungen, z. B.: Datenschutz und damit Schutz der Privatsphäre, Urheberrechtsschutz


Wird werden die Sicherheitsziele erreicht?

• Sicherheit und Vertrauen durch Medienkompetenz technischer Basisschutz und Verhaltensregeln bei Bürgerinnen und Bürgern und Unternehmen

• Sicherheit durch technische Schutzmaßnahmen und IT-Management in Unternehmen IT-Sicherheitsmanagement, Risikovorsorge, Notfallpläne, Mitarbeitersensibilisierung, etc.


Basis-Schutzmaßnahmen für den PC

• Benutzerrechte im Betriebssystem regeln• Alternativen zur Standardeinstellung „Administrator“ aktiv wählen


Basis-Schutzmaßnahmen für den PC

• Benutzerrechte im Betriebssystem regeln


Basis-Schutzmaßnahmen für das Internet

• Regelmäßige Aktualisierung von Betriebssystem und Anwendungssoftware Patch-Management

• Einsatz einer Antiviren-Software mit regelmäßiger Aktualisierung

• Einsatz einer Firewall

• regelmäßige Datensicherung

• Bei drahtlosen Verbindungen (z.B. WLAN): sichere Verschlüsselung benutzen

• Webzugangssoftware (Browser) bewusst auswählen und zweckmäßig einstellen


Basis-Schutzmaßnahmen für das Internet: Browsereinstellungen


Basis-Schutzmaßnahmen : Keine Passwörter speichern!


Basis-Schutzmaßnahmen: Keine Skripts zulassen …


Basis-Schutzmaßnahmen: Überlegen, ob Cookies gewollt sind!


Schutzbereich: E-Mail-Kommunikation

• Gefahr:

- Übertragung von Viren, Würmern und Trojanern

• Lösungen:

- unbekannte bzw. unverlangt erhaltene Dateianhänge nicht öffnen

- Makros in Dateianhängen (z.B. Word) deaktivieren

- Vorschaufenster im E-Mail-Programm deaktivieren

- E-Mails nur im Textmodus, nicht im HTML-Modus anzeigen lassen

- Antivirensoftware installieren und regelmäßig aktualisieren

- regelmäßig Software-Patches installieren

- Firewall installieren und zumindest deren Grundeinstellungen nutzen



• Gefahr:

- Eine E-Mail kann „unterwegs“ mitgelesen oder verfälscht werden. Das gilt auch für Daten, die über Bildschirmmasken im Internet abgesendet werden.

• Lösungen:

- sichere Übertragungswege nutzen (SSL-Verschlüsselung, VPN zwischen verschiedenen Standorten)

- persönliche oder vertrauliche Informationen nur verschlüsselt übertragen (z.B. mit PGP, GnuPG)



• Gefahr:

- unverlangt erhaltene E-Mails, „Werbemüll“, sogenannte SPAMs

• Lösungen:

- E-Mails unbekannter Absender oder mit unbekanntem Titel sofort löschen

- Auf SPAMs niemals antworten, keine Abwesenheitsnotiz versenden

- Niemals Personen anmailen, mit denen noch kein „Geschäfts“- kontakt besteht. Der E-Mail-Empfänger könnte diese als SPAM auffassen und rechtliche Schritte einleiten.


Schutzbereich: Passwörter

• Gefahr:

- Persönliche Passwörter können erraten oder ausgespäht werden

• Lösungen:- Niemals Namen, Geburtsdaten, Wörter aus Lexika etc. nehmen- Niemals Passworte notieren und offen platzieren- Ein Passwort sollte aus mindestens sechs Zeichen bestehen- Passwörter aus Buchstaben, Zahlen und Sonderzeichen zusammensetzen, Groß- und Kleinschreibung verwenden- „Eselsbrücken bauen“, um sich komplexe Passwörter zu merken z.B: Ich habe am 21. April Geburtstag! Iha21AG!- Passwörter von Zeit zu Zeit wechseln


Wie schnell ist mein Passwort geknackt?

808694147165.92255029786250246000007.689097049487666e+26

15

3393198.231070078993027453.2262667623979e+21

12

7241843(= ca. 84 Tage)

218340105584896

8

maximal benötigte Zeit in Jahren

maximal benötigte Zeit in Sekunden

0.4900973140783687

Mögliche Kombinationen

14776336

Passwortlängein Zeichen

4


Schutzbereich: rechtssichere Website

• Gefahren:

- fehlendes oder unzureichendes Impressum, nur Kontaktangabe- fehlende Datenschutzerklärung- unkommentierte Links auf andere Websites- Copyright-Verletzung bei der Nutzung fremder Bilder, Karten etc.

• Lösungen: - Impressum von der Startseite erreichbar, umfassende Infos zu Handelnden- Datenschutzerklärung- Links prüfen, Haftung für fremde Inhalte ausschließen- Nutzungsrechte bei fremden Bildern, Karten etc. einholen- Ausführliche Tipps im secure-it-Infodienst 3/05


Schutzbereich: Datensicherung

• Gefahren:

- lokale Datenträger (z.B. C:) auf Arbeitsplatz-PCs werden in Client-Server-Netzwerken nicht automatisch gesichert

- Gefahr von Datenverlusten bei Hardware- und Softwarestörungen

• Lösungen:

- möglichst wenig lokale Datenträger nutzen

- regelmäßige Sicherheitskopien anlegen und extern aufbewahren

- z. B. auf CD / DVD, externe Festplatte oder USB-Stick

- Zurücklesen von Sicherheitskopien prüfen


Schutzbereich: Schutz personenbezogener Daten = Datenschutz

• Gefahren:- Missbräuchliche Benutzung von personenbezogenen Daten durch Dritte- Verletzung von Persönlichkeitsrechten

• Einige Lösungen:

- Nur so viele persönliche Informationen preisgeben, wie man möchte

- In Online-Formularen datensparsam vorgehen, ggf. nur die Pflichtfelder nutzen

- In Chats, Foren, Blogs nichts über die eigene Persönlichkeit (z.B. Name, Alter, Geschlecht) preisgeben, mit nicknames („Kosenamen“) arbeiten

- Bewusst entscheiden, ob man Cookies auf dem Rechner haben möchte, die das eigene Nutzerverhalten festhalten (z. B. in Shops, Auktionsbörsen, etc.)

- …


Überblick über weitere Medienkompetenzangebote

• www.klicksafe.de Medienkompetenzerwerb• www.lehrer-online.de Werkzeuge für Lehrkräfte• www.bsi-fuer-buerger.de IT-Sicherheitsthemen verständlich• www.sicher-im-netz.de dito• www.polizei-beratung.de IT-Sicherheit Kriminalprävention• www.ldi.nrw.de Datenschutz in NRW• www.secure-it.nrw.de IT-Sicherheit verständlich

… ohne Anspruch auf Vollständigkeit.


Sprechen Sie uns an!

Neutral und unabhängig: Landesinitiative »secure-it.nrw«

Agentur »secure-it.nrw« bei der IHK Bonn/Rhein-SiegBonner Talweg 17, 53113 BonnTel.: +49 - 2 28 - 22 84-184/185/186 Fax.: +49 - 2 28 - 22 84-5184E-Mail: [email protected] undwww.branchenbuch-it-sicherheit.de

Online, aber sicher! Hagen, 07.12.20071 Online, aber sicher! Möglichkeiten der sicheren Nutzung des Internets und des PC´s Thomas Faber, Landesinitiative.

Documents