Sicherheit am Arbeitsplatz - it-sicherheit.uni … · IT Fakultät/ Institut/ Projekt/ Zentrum...

transcript

Fakultät/ Institut/ Projekt/ Zentrum XYZ

IT-Sicherheit am Arbeitsplatz

Steffen Förderer,

Robert Formanek

Agenda

1. Bedrohungen im Wandel der Zeit

2. Gefahren im Internet

3. Ransomware

4. Konkrete Maßnahmen

a) Maßnahmen am Arbeitsplatz und PC

b) Maßnahmen gegen „Social Engineering“

c) Konstruktion von Passwörtern

d) Zertifikat für E-Mail

e) Zertifikat zum Signieren von Dokumenten

Fakultät/ Institut/ Fachbereich/ Zentrum XYZSchon immer sind Ergebnisse unternehmerischen oder wissenschaftlichen

Arbeitens entwendet und missbraucht worden. Vor dem Einzug moderner

Informations- und Kommunikationstechnologie in den Alltag war hierfür in der

Regel noch der physische Diebstahl erforderlich. Durch die Nutzung der

vernetzten Informationstechnik ergeben sich indes neue, anders gelagerte

Risiken.

Die IT-Infrastruktur ist demnach ein wesentlicher Bestandteil nahezu aller

Arbeitsabläufe der Universität Hohenheim. Forschung, Lehre und

Verwaltungsaufgaben sind von der Nutzung der IT-Infrastruktur in weiten Teilen

abhängig.

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ

… 1999 …

… 2010 …

… 2016 …

… 2018 …

Gefahren im Internet

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• An der Universität Hohenheim wurden im Jahr 2015 mehrere konkrete

Angriffe auf lokale Systeme entdeckt.

• Die forensische Untersuchung durch die IT-Sicherheit stellte

• sechs „erfolgreiche“ und

• elf „versuchte“ Vorfälle des Datendiebstahls fest.

• Insgesamt waren 18 Fachgebiete sowie mindestens 38 PC-Systeme

betroffen.

Ransomware / Verschlüsselungstrojaner

Fakultät/ Institut/ Fachbereich/ Zentrum XYZAls Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf

Daten und Systeme einschränken und diese nur gegen Zahlung eines

Lösegeldes wieder freigeben.

Die Abhängigkeit von Informationssystemen führt dazu, dass auch öffentliche

Einrichtungen das geforderte Lösegeld aufwenden.

Ransomware ist kein neues Phänomen. Frühe Varianten und erste Konzepte für

diesen Schadprogramm-Typ gab es bereits vor dem Jahr 2000.

Seit Mitte September 2015 hat sich die Bedrohungslage an der Universität

Hohenheim jedoch verschärft

Ransomware-Samples pro Tag, Februar 2017 – Mai 2017, Quelle: Ransomwaretracker.abuse.ch

Fakultät/ Institut/ Fachbereich/ Zentrum XYZNach der Infektion wird entweder ein (a)symmetrisches Schlüsselpaar

generiert, die benötigten Schlüssel durch einen Steuerungsserver bereitgestellt

oder die öffentlichen Schlüssel sind bereits Bestandteil des Schadprogramms.

Ransomware-Familien, die einen öffentlichen Schlüssel im Schadprogramm

beinhalten, sind nicht auf eine Internetverbindung oder einen

Schlüsselaustausch mit einem Steuerungs-Server angewiesen.

Seit einiger Zeit werden Varianten entwickelt, welche Ihre Daten verschlüsseln

und auch nach einer erfolgreichen Entfernung des Schadprogramms

verschlüsselt bleiben.

Fakultät/ Institut/ Fachbereich/ Zentrum XYZDie häufigsten Angriffsvektoren, wie Systeme mit Ransomware infiziert werden,

Spam mittels „Social Engineering“ oder durch E-Mail-Anhänge.

Drive-By-Infektion mittels Exploit-Kit.

Schwachstellen in (nicht aktualisierten) Server- oder PC-Systemen.

Ungeschützte Wartungszugänge.

Fakultät/ Institut/ Fachbereich/ Zentrum XYZCyber-Angriffe mittels Ransomware haben den Vorteil, dass es zu einem

direkten Geldtransfer zwischen Opfer und Täter über anonyme Zahlungsmittel

wie Bitcoin oder Guthaben- und Bezahlkarten kommt.

Im Vergleich zu Cyber-Angriffen über Bank-Trojaner sind weder Mittelsmänner

für Überweisungen noch Waren-Agenten notwendig, um einen erfolgreichen

Angriff zu monetisieren.

Fakultät/ Institut/ Fachbereich/ Zentrum XYZLösegeldforderung

Bei Ransomware handelt es sich um Lösegelderpressung durch organisierte,

kriminelle Banden. Es ist anzuraten

angemessen vorzusorgen,

im Schadensfall auf diese Vorbereitungen zurückgreifen und

NICHT zu bezahlen.

Jede erfolgreiche Erpressung erfüllt das Ziel und motiviert den Angreifer

zusätzlich. Jedoch gibt es keine Garantie, dass die Entschlüsselung tatsächlich

ermöglicht wird. Polizeiliche Ermittlungen ermöglichen weitergehende

Untersuchungen.

Mindestanforderungen an den PC

• Antivirus Software muss Installiert sein und aktuell gehalten werden.

• Software Updates müssen nach Verfügbarkeit installiert werden (Firefox,

Java, Adobe PDF, etc.).

• Aktuelles Betriebssystem mit aktuellen Updates: ≥ Windows 7

• Ein PC am Netz ohne aktuelle Sicherheitsupdates kann in Sekunden

kompromittiert werden.

• Installieren Sie keine Unbekannten oder (dienstlich) irrelevanten Programme.

• Deaktivieren Sie in Microsoft Office die Ausführung von Makros.

Fakultät/ Institut/ Fachbereich/ Zentrum XYZViele E-Mails werden als sogenannte HTML-E-Mails versendet. Damit diese

korrekt angezeigt werden, benutzt ein E-Mail-Programm die gleichen

Mechanismen zur Darstellung wie ein Web-Browser.

Die größte Schutzwirkung bietet daher die Darstellung von E-Mails im

Textformat ("Nur-Text" bzw. "reiner Text").

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Der Computer an Ihrem Arbeitsplatz ist das Tor zu den auf diesem Rechner

gespeicherten Daten, aber auch zu Daten auf anderen Computern innerhalb

der Universität Hohenheim und zum Internet.

• Wenn Sie Ihr Büro verlassen, sollten Sie immer den Zugang zum

Computersystem sperren.

• Schaffen Sie eine übersichtliche Ordnung auf dem Schreibtisch (Clean Desk).

Social Engineering

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Seien Sie misstrauisch, wenn jemand Ihre Zugangsdaten, insbesondere

Passwörter, erfragt. Dies gilt besonders bei Ihnen Unbekannten, die auf

Auskunft drängen und sich auf ihre Autorität oder eine hohe Dringlichkeit

berufen.

• Achten Sie auf ungewöhnliche E-Mails und öffnen Sie keine Anhänge, welche

Sie nicht zuordnen können.

• Fordern Sie Bewerber auf, Dokumente in einer PDF-Datei zuzusenden oder,

sofern möglich, das Bewerbungsportal zu verwenden.

• Verwenden Sie keine USB-Sticks oder CD-ROMs von Messen, Kongressen

oder anderen Veranstaltungen

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Konvertieren Sie Dateien vor dem Versand in unkritische Formate und

„signieren“ Sie sie.

• Viele Dateiformate (insb. Microsoft-Dokumente) enthalten personenbezogene

Eigenschaften. Über entsprechende Funktionen der Anwendung können diese

Angaben je nach Bedürfnis angepasst oder gelöscht werden.

Konstruktion von Passwörtern

Fakultät/ Institut/ Fachbereich/ Zentrum XYZBerechnet man die Anzahl möglicher Kombinationen für ein Passwort mit

bestimmter Länge und bestimmten Zeichenvorrat ergibt sich:

• Bei einer Ziffer (0-9) Zehn verschiedene Möglichkeiten (=101).

• Bei zwei Ziffern (00-99) 100 Möglichkeiten (=102).

• Passwort mit einem Zeichensatz (a-z) 26 Möglichkeiten (=261).

• Passwort mit einem Zeichensatz und Länge 2 (aa-zz) 676

Möglichkeiten (=262).

Zeitdauer zur Berechnung eines Passworts in Relation ZeichenanzahlLänge

Es ist signifikant

besser 10 Zeichen

zu nutzen …

… als ein

Sonderzeichen zu

verwenden.

• Keine einfachen Begriffe (Pa$$w0rd, Adam&Eva01, WinterSemester2016,

G3h31m007).

• Konstruieren oder verwenden Sie einen Satz aus einem „privaten“ Umfeld

(ohne Artikel).

• Verwandeln Sie bestimmte Buchstaben in Zahlen oder Sonderzeichen.

• Verwenden Sie „echten“ Zufall (der Wurf einer Münze entscheidet, ob ein "und"

im zugrundeliegenden Satz durch ein „u“ oder durch „&“ dargestellt wird).

• Verwenden Sie zufällige, ganze Wörter:

„erschöpfend Aquarium Membran Zahnseide Kellerassel“.

"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang."

Nur die ersten Buchstaben:

"MsiaupmmZdMl".

„1“ und „&“ substituieren „i“, „l“ und „und“:

"Ms1a&pmmZ3M1".

Der Hohenheimer Passwort-Generator

Sichere E-Mails

Authentizität und Integrität des Absenders, Echtheit oder Vertraulichkeit von

Daten sind beim Versand von E-Mails (technisch) nicht vorgesehen.

Es entsteht ein Vertraulichkeitsverlust schützenswerter Informationen.

Die Analyse des Nachrichtenflusses ermöglicht die Erstellung von Profilen.

Das Vortäuschen eines falschen Absender ist extrem einfach.

Um vertrauliche Informationen zu versenden wird Ihnen durch die Universität

Hohenheim die kostenlose Möglichkeit eingeräumt, E-Mails zu verschlüsseln und

Dokumente zu signieren.

Die Signatur stellt sicher, dass das Dokument oder die Nachricht nicht verändert

wurde und gibt Auskunft über die Identität des Verfassers.

Die Verschlüsselung „garantiert“ die Vertraulichkeit der Nachricht. Damit könnten

z. B. Personalangelegenheiten, Dokumente in Berufungsverhandlungen,

Prüfungsergebnisse ohne Kenntnisnahme unbefugter übermittelt werden.

Wo erhalte ich ein Zertifikat?

Antrag via Webformular auf folgender Webseite:

https://pki.pca.dfn.de/uni-hohenheim-ca/cgi-bin/pub/pki

Der benutzte (!) Browser erzeugt „Schlüsselpaar“ (öffentlicher Schlüssel wird

von hiesiger Zertifizierungsstelle signiert).

Persönliche Identitätsprüfung mit amtlichen Lichtbildausweis.

Zertifizierungsstelle erstellt ein Zertifikat des Schlüssels.

Installation des Zertifikats (in gleichem (!) Browser).

Einrichten des Zertifikats im jeweiligen E-Mail-Programm.

Und wenn trotzdem etwas passiert … ?

Bleiben Sie ruhig!

Trennen Sie das infizierte System umgehend vom Netz/W-LAN.

Informieren Sie den IT-Sicherheitsbeauftragten.

Bereinigen Sie das System und retten Sie Ihre Daten.

Installieren Sie das System neu.

Zusammenfassung

Installieren Sie sicherheitsrelevante Updates zeitnah.

Sichern Sie Ihre Daten.

Verwenden Sie sichere Passwörter.

Achten Sie bei allen Mail auf ungewöhnliche Links und Anhänge.

Benutzen Sie keine „fremden“ Speichermedien.

Seien Sie behutsam bei „Social Engineering“.

Melden Sie Vorfälle an itsec@uni-hohenheim.de

Clean Desk, insbesondere PC sperren.

Dokumente unter Verschluss halten.

Büro abschließen.

Dokumente vernichten.

Seien Sie vorsichtig im Umgang mit externen Speichermedien und Druckern.

Neue Hardware – neue Tastatur, USB Stick, Tastatur-Adapter.

Fakultät/ Institut/ Projekt/ Zentrum XYZ

Vielen Dank für Ihre Aufmerksamkeit

Anhang 1 – Seminare zur IT-Sicherheit

Viren, Trojaner, Ransomware - Was ist das und wie kann ich mich

schützen?

Donnerstag, 18. Januar 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr

Secure E-Mail - How to sign and encrypt e-mail?

Montag, 12. Februar 2018, Hörsaal 31, 10:00 Uhr - 11:30 Uhr (English)

Verschlüsselung leichtgemacht

Dienstag, 20. Februar 2018, Multimedia Raum Alte Botanik, 10:00 Uhr - 11:30

Datenschutz und Sicherheit für Handys, Tablets und andere mobile Geräte

Donnerstag, 8. März 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr (English)

Datenschutz & Datensicherheit bei Heimarbeitsplätzen

Donnerstag, 22. März 2018, Alte Botanik, 9:00 Uhr - 11:00 Uhr

Anhang 2 – Ansprechpartner

Ansprechpartner IT-Sicherheit

Steffen Förderer, steffen.foerderer@uni-hohenheim.de, Telefon 24832

Dr. Robert Formanek, Robert.Formanek@uni-hohenheim.de, Telefon 22447

IT-Sicherheit, https://it-sicherheit.uni-hohenheim.de, Telefon 24440

IT-Service-Desk: https://kim.uni-hohenheim.de/it-service-desk, Telefon 24444

Michael Branschädel, Michael.branschaedel@verwaltung.uni-hohenheim.de,

Telefon 22441 (Datenschutz)

Sicherheit am Arbeitsplatz - it-sicherheit.uni … · IT Fakultät/ Institut/ Projekt/ Zentrum...

Documents