Fakultät/ Institut/ Projekt/ Zentrum XYZ
IT-Sicherheit am Arbeitsplatz
Steffen Förderer,
Robert Formanek
Agenda
1. Bedrohungen im Wandel der Zeit
2. Gefahren im Internet
3. Ransomware
4. Konkrete Maßnahmen
a) Maßnahmen am Arbeitsplatz und PC
b) Maßnahmen gegen „Social Engineering“
c) Konstruktion von Passwörtern
d) Zertifikat für E-Mail
e) Zertifikat zum Signieren von Dokumenten
4
Fakultät/ Institut/ Fachbereich/ Zentrum XYZSchon immer sind Ergebnisse unternehmerischen oder wissenschaftlichen
Arbeitens entwendet und missbraucht worden. Vor dem Einzug moderner
Informations- und Kommunikationstechnologie in den Alltag war hierfür in der
Regel noch der physische Diebstahl erforderlich. Durch die Nutzung der
vernetzten Informationstechnik ergeben sich indes neue, anders gelagerte
Risiken.
Die IT-Infrastruktur ist demnach ein wesentlicher Bestandteil nahezu aller
Arbeitsabläufe der Universität Hohenheim. Forschung, Lehre und
Verwaltungsaufgaben sind von der Nutzung der IT-Infrastruktur in weiten Teilen
abhängig.
5
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
… 1999 …
6
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
… 2010 …
7
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
… 2016 …
8
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
… 2016 …
9
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
… 2018 …
10
Gefahren im Internet
11
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• An der Universität Hohenheim wurden im Jahr 2015 mehrere konkrete
Angriffe auf lokale Systeme entdeckt.
• Die forensische Untersuchung durch die IT-Sicherheit stellte
• sechs „erfolgreiche“ und
• elf „versuchte“ Vorfälle des Datendiebstahls fest.
• Insgesamt waren 18 Fachgebiete sowie mindestens 38 PC-Systeme
betroffen.
12
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
13
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
14
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
15
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
16
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
17
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
18
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
19
Ransomware / Verschlüsselungstrojaner
20
Fakultät/ Institut/ Fachbereich/ Zentrum XYZAls Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf
Daten und Systeme einschränken und diese nur gegen Zahlung eines
Lösegeldes wieder freigeben.
Die Abhängigkeit von Informationssystemen führt dazu, dass auch öffentliche
Einrichtungen das geforderte Lösegeld aufwenden.
Ransomware ist kein neues Phänomen. Frühe Varianten und erste Konzepte für
diesen Schadprogramm-Typ gab es bereits vor dem Jahr 2000.
Seit Mitte September 2015 hat sich die Bedrohungslage an der Universität
Hohenheim jedoch verschärft
21
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
22
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
Ransomware-Samples pro Tag, Februar 2017 – Mai 2017, Quelle: Ransomwaretracker.abuse.ch
23
Fakultät/ Institut/ Fachbereich/ Zentrum XYZNach der Infektion wird entweder ein (a)symmetrisches Schlüsselpaar
generiert, die benötigten Schlüssel durch einen Steuerungsserver bereitgestellt
oder die öffentlichen Schlüssel sind bereits Bestandteil des Schadprogramms.
Ransomware-Familien, die einen öffentlichen Schlüssel im Schadprogramm
beinhalten, sind nicht auf eine Internetverbindung oder einen
Schlüsselaustausch mit einem Steuerungs-Server angewiesen.
Seit einiger Zeit werden Varianten entwickelt, welche Ihre Daten verschlüsseln
und auch nach einer erfolgreichen Entfernung des Schadprogramms
verschlüsselt bleiben.
24
Fakultät/ Institut/ Fachbereich/ Zentrum XYZDie häufigsten Angriffsvektoren, wie Systeme mit Ransomware infiziert werden,
sind:
Spam mittels „Social Engineering“ oder durch E-Mail-Anhänge.
Drive-By-Infektion mittels Exploit-Kit.
Schwachstellen in (nicht aktualisierten) Server- oder PC-Systemen.
Ungeschützte Wartungszugänge.
25
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
26
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
27
Fakultät/ Institut/ Fachbereich/ Zentrum XYZCyber-Angriffe mittels Ransomware haben den Vorteil, dass es zu einem
direkten Geldtransfer zwischen Opfer und Täter über anonyme Zahlungsmittel
wie Bitcoin oder Guthaben- und Bezahlkarten kommt.
Im Vergleich zu Cyber-Angriffen über Bank-Trojaner sind weder Mittelsmänner
für Überweisungen noch Waren-Agenten notwendig, um einen erfolgreichen
Angriff zu monetisieren.
28
Fakultät/ Institut/ Fachbereich/ Zentrum XYZLösegeldforderung
Bei Ransomware handelt es sich um Lösegelderpressung durch organisierte,
kriminelle Banden. Es ist anzuraten
angemessen vorzusorgen,
im Schadensfall auf diese Vorbereitungen zurückgreifen und
NICHT zu bezahlen.
Jede erfolgreiche Erpressung erfüllt das Ziel und motiviert den Angreifer
zusätzlich. Jedoch gibt es keine Garantie, dass die Entschlüsselung tatsächlich
ermöglicht wird. Polizeiliche Ermittlungen ermöglichen weitergehende
Untersuchungen.
29
Mindestanforderungen an den PC
30
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
• Antivirus Software muss Installiert sein und aktuell gehalten werden.
• Software Updates müssen nach Verfügbarkeit installiert werden (Firefox,
Java, Adobe PDF, etc.).
• Aktuelles Betriebssystem mit aktuellen Updates: ≥ Windows 7
• Ein PC am Netz ohne aktuelle Sicherheitsupdates kann in Sekunden
kompromittiert werden.
• Installieren Sie keine Unbekannten oder (dienstlich) irrelevanten Programme.
• Deaktivieren Sie in Microsoft Office die Ausführung von Makros.
31
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
32
Fakultät/ Institut/ Fachbereich/ Zentrum XYZViele E-Mails werden als sogenannte HTML-E-Mails versendet. Damit diese
korrekt angezeigt werden, benutzt ein E-Mail-Programm die gleichen
Mechanismen zur Darstellung wie ein Web-Browser.
Die größte Schutzwirkung bietet daher die Darstellung von E-Mails im
Textformat ("Nur-Text" bzw. "reiner Text").
33
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
34
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
35
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
36
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Der Computer an Ihrem Arbeitsplatz ist das Tor zu den auf diesem Rechner
gespeicherten Daten, aber auch zu Daten auf anderen Computern innerhalb
der Universität Hohenheim und zum Internet.
• Wenn Sie Ihr Büro verlassen, sollten Sie immer den Zugang zum
Computersystem sperren.
• Schaffen Sie eine übersichtliche Ordnung auf dem Schreibtisch (Clean Desk).
37
Social Engineering
38
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Seien Sie misstrauisch, wenn jemand Ihre Zugangsdaten, insbesondere
Passwörter, erfragt. Dies gilt besonders bei Ihnen Unbekannten, die auf
Auskunft drängen und sich auf ihre Autorität oder eine hohe Dringlichkeit
berufen.
• Achten Sie auf ungewöhnliche E-Mails und öffnen Sie keine Anhänge, welche
Sie nicht zuordnen können.
• Fordern Sie Bewerber auf, Dokumente in einer PDF-Datei zuzusenden oder,
sofern möglich, das Bewerbungsportal zu verwenden.
• Verwenden Sie keine USB-Sticks oder CD-ROMs von Messen, Kongressen
oder anderen Veranstaltungen
39
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Konvertieren Sie Dateien vor dem Versand in unkritische Formate und
„signieren“ Sie sie.
• Viele Dateiformate (insb. Microsoft-Dokumente) enthalten personenbezogene
Eigenschaften. Über entsprechende Funktionen der Anwendung können diese
Angaben je nach Bedürfnis angepasst oder gelöscht werden.
40
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
41
Konstruktion von Passwörtern
42
Fakultät/ Institut/ Fachbereich/ Zentrum XYZBerechnet man die Anzahl möglicher Kombinationen für ein Passwort mit
bestimmter Länge und bestimmten Zeichenvorrat ergibt sich:
• Bei einer Ziffer (0-9) Zehn verschiedene Möglichkeiten (=101).
• Bei zwei Ziffern (00-99) 100 Möglichkeiten (=102).
• Passwort mit einem Zeichensatz (a-z) 26 Möglichkeiten (=261).
• Passwort mit einem Zeichensatz und Länge 2 (aa-zz) 676
Möglichkeiten (=262).
43
Zeitdauer zur Berechnung eines Passworts in Relation ZeichenanzahlLänge
Es ist signifikant
besser 10 Zeichen
zu nutzen …
… als ein
Sonderzeichen zu
verwenden.
44
• Keine einfachen Begriffe (Pa$$w0rd, Adam&Eva01, WinterSemester2016,
G3h31m007).
• Konstruieren oder verwenden Sie einen Satz aus einem „privaten“ Umfeld
(ohne Artikel).
• Verwandeln Sie bestimmte Buchstaben in Zahlen oder Sonderzeichen.
• Verwenden Sie „echten“ Zufall (der Wurf einer Münze entscheidet, ob ein "und"
im zugrundeliegenden Satz durch ein „u“ oder durch „&“ dargestellt wird).
• Verwenden Sie zufällige, ganze Wörter:
„erschöpfend Aquarium Membran Zahnseide Kellerassel“.
45
"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang."
Nur die ersten Buchstaben:
"MsiaupmmZdMl".
„1“ und „&“ substituieren „i“, „l“ und „und“:
"Ms1a&pmmZ3M1".
46
Der Hohenheimer Passwort-Generator
47
48
49
50
51
52
53
Sichere E-Mails
54
Authentizität und Integrität des Absenders, Echtheit oder Vertraulichkeit von
Daten sind beim Versand von E-Mails (technisch) nicht vorgesehen.
Es entsteht ein Vertraulichkeitsverlust schützenswerter Informationen.
Die Analyse des Nachrichtenflusses ermöglicht die Erstellung von Profilen.
Das Vortäuschen eines falschen Absender ist extrem einfach.
55
Um vertrauliche Informationen zu versenden wird Ihnen durch die Universität
Hohenheim die kostenlose Möglichkeit eingeräumt, E-Mails zu verschlüsseln und
Dokumente zu signieren.
Die Signatur stellt sicher, dass das Dokument oder die Nachricht nicht verändert
wurde und gibt Auskunft über die Identität des Verfassers.
Die Verschlüsselung „garantiert“ die Vertraulichkeit der Nachricht. Damit könnten
z. B. Personalangelegenheiten, Dokumente in Berufungsverhandlungen,
Prüfungsergebnisse ohne Kenntnisnahme unbefugter übermittelt werden.
56
Wo erhalte ich ein Zertifikat?
57
Antrag via Webformular auf folgender Webseite:
https://pki.pca.dfn.de/uni-hohenheim-ca/cgi-bin/pub/pki
Der benutzte (!) Browser erzeugt „Schlüsselpaar“ (öffentlicher Schlüssel wird
von hiesiger Zertifizierungsstelle signiert).
Persönliche Identitätsprüfung mit amtlichen Lichtbildausweis.
Zertifizierungsstelle erstellt ein Zertifikat des Schlüssels.
Installation des Zertifikats (in gleichem (!) Browser).
Einrichten des Zertifikats im jeweiligen E-Mail-Programm.
58
Und wenn trotzdem etwas passiert … ?
59
Bleiben Sie ruhig!
Trennen Sie das infizierte System umgehend vom Netz/W-LAN.
Informieren Sie den IT-Sicherheitsbeauftragten.
Bereinigen Sie das System und retten Sie Ihre Daten.
Installieren Sie das System neu.
60
Zusammenfassung
61
Installieren Sie sicherheitsrelevante Updates zeitnah.
Sichern Sie Ihre Daten.
Verwenden Sie sichere Passwörter.
Achten Sie bei allen Mail auf ungewöhnliche Links und Anhänge.
Benutzen Sie keine „fremden“ Speichermedien.
Seien Sie behutsam bei „Social Engineering“.
Melden Sie Vorfälle an [email protected]
62
Clean Desk, insbesondere PC sperren.
Dokumente unter Verschluss halten.
Büro abschließen.
Dokumente vernichten.
Seien Sie vorsichtig im Umgang mit externen Speichermedien und Druckern.
Neue Hardware – neue Tastatur, USB Stick, Tastatur-Adapter.
Fakultät/ Institut/ Projekt/ Zentrum XYZ
Vielen Dank für Ihre Aufmerksamkeit
64
Anhang 1 – Seminare zur IT-Sicherheit
65
Viren, Trojaner, Ransomware - Was ist das und wie kann ich mich
schützen?
Donnerstag, 18. Januar 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr
Secure E-Mail - How to sign and encrypt e-mail?
Montag, 12. Februar 2018, Hörsaal 31, 10:00 Uhr - 11:30 Uhr (English)
Verschlüsselung leichtgemacht
Dienstag, 20. Februar 2018, Multimedia Raum Alte Botanik, 10:00 Uhr - 11:30
Uhr
66
Datenschutz und Sicherheit für Handys, Tablets und andere mobile Geräte
Donnerstag, 8. März 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr (English)
Datenschutz & Datensicherheit bei Heimarbeitsplätzen
Donnerstag, 22. März 2018, Alte Botanik, 9:00 Uhr - 11:00 Uhr
67
Anhang 2 – Ansprechpartner
68
Ansprechpartner IT-Sicherheit
Steffen Förderer, [email protected], Telefon 24832
Dr. Robert Formanek, [email protected], Telefon 22447
IT-Sicherheit, https://it-sicherheit.uni-hohenheim.de, Telefon 24440
IT-Service-Desk: https://kim.uni-hohenheim.de/it-service-desk, Telefon 24444
Michael Branschädel, [email protected],
Telefon 22441 (Datenschutz)