Sicherheit am Arbeitsplatz - it-sicherheit.uni … · IT Fakultät/ Institut/ Projekt/ Zentrum XYZ-Sicherheit am Arbeitsplatz Steffen Förderer, Robert Formanek

Fakultät/ Institut/ Projekt/ Zentrum XYZ

IT-Sicherheit am Arbeitsplatz

Steffen Förderer,

Robert Formanek

Agenda

1. Bedrohungen im Wandel der Zeit

2. Gefahren im Internet

3. Ransomware

4. Konkrete Maßnahmen

a) Maßnahmen am Arbeitsplatz und PC

b) Maßnahmen gegen „Social Engineering“

c) Konstruktion von Passwörtern

d) Zertifikat für E-Mail

e) Zertifikat zum Signieren von Dokumenten

4

Fakultät/ Institut/ Fachbereich/ Zentrum XYZSchon immer sind Ergebnisse unternehmerischen oder wissenschaftlichen

Arbeitens entwendet und missbraucht worden. Vor dem Einzug moderner

Informations- und Kommunikationstechnologie in den Alltag war hierfür in der

Regel noch der physische Diebstahl erforderlich. Durch die Nutzung der

vernetzten Informationstechnik ergeben sich indes neue, anders gelagerte

Risiken.

Die IT-Infrastruktur ist demnach ein wesentlicher Bestandteil nahezu aller

Arbeitsabläufe der Universität Hohenheim. Forschung, Lehre und

Verwaltungsaufgaben sind von der Nutzung der IT-Infrastruktur in weiten Teilen

abhängig.

5

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ

… 1999 …

6


… 2010 …

7


… 2016 …

8


… 2016 …

9


… 2018 …

10

Gefahren im Internet

11

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• An der Universität Hohenheim wurden im Jahr 2015 mehrere konkrete

Angriffe auf lokale Systeme entdeckt.

• Die forensische Untersuchung durch die IT-Sicherheit stellte

• sechs „erfolgreiche“ und

• elf „versuchte“ Vorfälle des Datendiebstahls fest.

• Insgesamt waren 18 Fachgebiete sowie mindestens 38 PC-Systeme

betroffen.

12


13


14


15


16


17


18


19

Ransomware / Verschlüsselungstrojaner

20

Fakultät/ Institut/ Fachbereich/ Zentrum XYZAls Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf

Daten und Systeme einschränken und diese nur gegen Zahlung eines

Lösegeldes wieder freigeben.

Die Abhängigkeit von Informationssystemen führt dazu, dass auch öffentliche

Einrichtungen das geforderte Lösegeld aufwenden.

Ransomware ist kein neues Phänomen. Frühe Varianten und erste Konzepte für

diesen Schadprogramm-Typ gab es bereits vor dem Jahr 2000.

Seit Mitte September 2015 hat sich die Bedrohungslage an der Universität

Hohenheim jedoch verschärft

https://www.polizei.bayern.de/unterfranken/news/presse/aktuell/index.html/237562

https://www.virusbulletin.com/uploads/pdf/magazine/1990/199001.pdf

21


22


Ransomware-Samples pro Tag, Februar 2017 – Mai 2017, Quelle: Ransomwaretracker.abuse.ch

23

Fakultät/ Institut/ Fachbereich/ Zentrum XYZNach der Infektion wird entweder ein (a)symmetrisches Schlüsselpaar

generiert, die benötigten Schlüssel durch einen Steuerungsserver bereitgestellt

oder die öffentlichen Schlüssel sind bereits Bestandteil des Schadprogramms.

Ransomware-Familien, die einen öffentlichen Schlüssel im Schadprogramm

beinhalten, sind nicht auf eine Internetverbindung oder einen

Schlüsselaustausch mit einem Steuerungs-Server angewiesen.

Seit einiger Zeit werden Varianten entwickelt, welche Ihre Daten verschlüsseln

und auch nach einer erfolgreichen Entfernung des Schadprogramms

verschlüsselt bleiben.

24

Fakultät/ Institut/ Fachbereich/ Zentrum XYZDie häufigsten Angriffsvektoren, wie Systeme mit Ransomware infiziert werden,

sind:

Spam mittels „Social Engineering“ oder durch E-Mail-Anhänge.

Drive-By-Infektion mittels Exploit-Kit.

Schwachstellen in (nicht aktualisierten) Server- oder PC-Systemen.

Ungeschützte Wartungszugänge.

25


26


27

Fakultät/ Institut/ Fachbereich/ Zentrum XYZCyber-Angriffe mittels Ransomware haben den Vorteil, dass es zu einem

direkten Geldtransfer zwischen Opfer und Täter über anonyme Zahlungsmittel

wie Bitcoin oder Guthaben- und Bezahlkarten kommt.

Im Vergleich zu Cyber-Angriffen über Bank-Trojaner sind weder Mittelsmänner

für Überweisungen noch Waren-Agenten notwendig, um einen erfolgreichen

Angriff zu monetisieren.

28

Fakultät/ Institut/ Fachbereich/ Zentrum XYZLösegeldforderung

Bei Ransomware handelt es sich um Lösegelderpressung durch organisierte,

kriminelle Banden. Es ist anzuraten

angemessen vorzusorgen,

im Schadensfall auf diese Vorbereitungen zurückgreifen und

NICHT zu bezahlen.

Jede erfolgreiche Erpressung erfüllt das Ziel und motiviert den Angreifer

zusätzlich. Jedoch gibt es keine Garantie, dass die Entschlüsselung tatsächlich

ermöglicht wird. Polizeiliche Ermittlungen ermöglichen weitergehende

Untersuchungen.

29

Mindestanforderungen an den PC

30


• Antivirus Software muss Installiert sein und aktuell gehalten werden.

• Software Updates müssen nach Verfügbarkeit installiert werden (Firefox,

Java, Adobe PDF, etc.).

• Aktuelles Betriebssystem mit aktuellen Updates: ≥ Windows 7

• Ein PC am Netz ohne aktuelle Sicherheitsupdates kann in Sekunden

kompromittiert werden.

• Installieren Sie keine Unbekannten oder (dienstlich) irrelevanten Programme.

• Deaktivieren Sie in Microsoft Office die Ausführung von Makros.

31


32

Fakultät/ Institut/ Fachbereich/ Zentrum XYZViele E-Mails werden als sogenannte HTML-E-Mails versendet. Damit diese

korrekt angezeigt werden, benutzt ein E-Mail-Programm die gleichen

Mechanismen zur Darstellung wie ein Web-Browser.

Die größte Schutzwirkung bietet daher die Darstellung von E-Mails im

Textformat ("Nur-Text" bzw. "reiner Text").

33


34


35


36

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Der Computer an Ihrem Arbeitsplatz ist das Tor zu den auf diesem Rechner

gespeicherten Daten, aber auch zu Daten auf anderen Computern innerhalb

der Universität Hohenheim und zum Internet.

• Wenn Sie Ihr Büro verlassen, sollten Sie immer den Zugang zum

Computersystem sperren.

• Schaffen Sie eine übersichtliche Ordnung auf dem Schreibtisch (Clean Desk).

37

Social Engineering

38

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Seien Sie misstrauisch, wenn jemand Ihre Zugangsdaten, insbesondere

Passwörter, erfragt. Dies gilt besonders bei Ihnen Unbekannten, die auf

Auskunft drängen und sich auf ihre Autorität oder eine hohe Dringlichkeit

berufen.

• Achten Sie auf ungewöhnliche E-Mails und öffnen Sie keine Anhänge, welche

Sie nicht zuordnen können.

• Fordern Sie Bewerber auf, Dokumente in einer PDF-Datei zuzusenden oder,

sofern möglich, das Bewerbungsportal zu verwenden.

• Verwenden Sie keine USB-Sticks oder CD-ROMs von Messen, Kongressen

oder anderen Veranstaltungen

39

Fakultät/ Institut/ Fachbereich/ Zentrum XYZ• Konvertieren Sie Dateien vor dem Versand in unkritische Formate und

„signieren“ Sie sie.

• Viele Dateiformate (insb. Microsoft-Dokumente) enthalten personenbezogene

Eigenschaften. Über entsprechende Funktionen der Anwendung können diese

Angaben je nach Bedürfnis angepasst oder gelöscht werden.

40


41

Konstruktion von Passwörtern

42

Fakultät/ Institut/ Fachbereich/ Zentrum XYZBerechnet man die Anzahl möglicher Kombinationen für ein Passwort mit

bestimmter Länge und bestimmten Zeichenvorrat ergibt sich:

• Bei einer Ziffer (0-9) Zehn verschiedene Möglichkeiten (=101).

• Bei zwei Ziffern (00-99) 100 Möglichkeiten (=102).

• Passwort mit einem Zeichensatz (a-z) 26 Möglichkeiten (=261).

• Passwort mit einem Zeichensatz und Länge 2 (aa-zz) 676

Möglichkeiten (=262).

43

Zeitdauer zur Berechnung eines Passworts in Relation ZeichenanzahlLänge

Es ist signifikant

besser 10 Zeichen

zu nutzen …

… als ein

Sonderzeichen zu

verwenden.

44

• Keine einfachen Begriffe (Pa$$w0rd, Adam&Eva01, WinterSemester2016,

G3h31m007).

• Konstruieren oder verwenden Sie einen Satz aus einem „privaten“ Umfeld

(ohne Artikel).

• Verwandeln Sie bestimmte Buchstaben in Zahlen oder Sonderzeichen.

• Verwenden Sie „echten“ Zufall (der Wurf einer Münze entscheidet, ob ein "und"

im zugrundeliegenden Satz durch ein „u“ oder durch „&“ dargestellt wird).

• Verwenden Sie zufällige, ganze Wörter:

„erschöpfend Aquarium Membran Zahnseide Kellerassel“.

45

"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang."

Nur die ersten Buchstaben:

"MsiaupmmZdMl".

„1“ und „&“ substituieren „i“, „l“ und „und“:

"Ms1a&pmmZ3M1".

46

Der Hohenheimer Passwort-Generator

47

48

49

50

51

52

53

Sichere E-Mails

54

Authentizität und Integrität des Absenders, Echtheit oder Vertraulichkeit von

Daten sind beim Versand von E-Mails (technisch) nicht vorgesehen.

Es entsteht ein Vertraulichkeitsverlust schützenswerter Informationen.

Die Analyse des Nachrichtenflusses ermöglicht die Erstellung von Profilen.

Das Vortäuschen eines falschen Absender ist extrem einfach.

55

Um vertrauliche Informationen zu versenden wird Ihnen durch die Universität

Hohenheim die kostenlose Möglichkeit eingeräumt, E-Mails zu verschlüsseln und

Dokumente zu signieren.

Die Signatur stellt sicher, dass das Dokument oder die Nachricht nicht verändert

wurde und gibt Auskunft über die Identität des Verfassers.

Die Verschlüsselung „garantiert“ die Vertraulichkeit der Nachricht. Damit könnten

z. B. Personalangelegenheiten, Dokumente in Berufungsverhandlungen,

Prüfungsergebnisse ohne Kenntnisnahme unbefugter übermittelt werden.

56

Wo erhalte ich ein Zertifikat?

57

Antrag via Webformular auf folgender Webseite:

https://pki.pca.dfn.de/uni-hohenheim-ca/cgi-bin/pub/pki

Der benutzte (!) Browser erzeugt „Schlüsselpaar“ (öffentlicher Schlüssel wird

von hiesiger Zertifizierungsstelle signiert).

Persönliche Identitätsprüfung mit amtlichen Lichtbildausweis.

Zertifizierungsstelle erstellt ein Zertifikat des Schlüssels.

Installation des Zertifikats (in gleichem (!) Browser).

Einrichten des Zertifikats im jeweiligen E-Mail-Programm.

58

Und wenn trotzdem etwas passiert … ?

59

Bleiben Sie ruhig!

Trennen Sie das infizierte System umgehend vom Netz/W-LAN.

Informieren Sie den IT-Sicherheitsbeauftragten.

Bereinigen Sie das System und retten Sie Ihre Daten.

Installieren Sie das System neu.

60

Zusammenfassung

61

Installieren Sie sicherheitsrelevante Updates zeitnah.

Sichern Sie Ihre Daten.

Verwenden Sie sichere Passwörter.

Achten Sie bei allen Mail auf ungewöhnliche Links und Anhänge.

Benutzen Sie keine „fremden“ Speichermedien.

Seien Sie behutsam bei „Social Engineering“.

Melden Sie Vorfälle an [email protected]

62

Clean Desk, insbesondere PC sperren.

Dokumente unter Verschluss halten.

Büro abschließen.

Dokumente vernichten.

Seien Sie vorsichtig im Umgang mit externen Speichermedien und Druckern.

Neue Hardware – neue Tastatur, USB Stick, Tastatur-Adapter.

Fakultät/ Institut/ Projekt/ Zentrum XYZ

Vielen Dank für Ihre Aufmerksamkeit

64

Anhang 1 – Seminare zur IT-Sicherheit

65

Viren, Trojaner, Ransomware - Was ist das und wie kann ich mich

schützen?

Donnerstag, 18. Januar 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr

Secure E-Mail - How to sign and encrypt e-mail?

Montag, 12. Februar 2018, Hörsaal 31, 10:00 Uhr - 11:30 Uhr (English)

Verschlüsselung leichtgemacht

Dienstag, 20. Februar 2018, Multimedia Raum Alte Botanik, 10:00 Uhr - 11:30

Uhr

66

Datenschutz und Sicherheit für Handys, Tablets und andere mobile Geräte

Donnerstag, 8. März 2018, Alte Botanik, 10:00 Uhr - 11:30 Uhr (English)

Datenschutz & Datensicherheit bei Heimarbeitsplätzen

Donnerstag, 22. März 2018, Alte Botanik, 9:00 Uhr - 11:00 Uhr

67

Anhang 2 – Ansprechpartner

68

Ansprechpartner IT-Sicherheit

Steffen Förderer, [email protected], Telefon 24832

Dr. Robert Formanek, [email protected], Telefon 22447

IT-Sicherheit, https://it-sicherheit.uni-hohenheim.de, Telefon 24440

IT-Service-Desk: https://kim.uni-hohenheim.de/it-service-desk, Telefon 24444

Michael Branschädel, [email protected],

Telefon 22441 (Datenschutz)

mailto:[email protected]


https://it-sicherheit.uni-hohenheim.de/

https://kim.uni-hohenheim.de/it-service-desk


Documents

Sicherheit am Arbeitsplatz - it-sicherheit.uni … · IT Fakultät/ Institut/ Projekt/ Zentrum XYZ-Sicherheit am Arbeitsplatz Steffen Förderer, Robert Formanek