DEPARTEMENT FINANZEN UND RESSOURCEN Informationssicherheit Was ist das

DEPARTEMENT FINANZEN UND RESSOURCEN Informationssicherheit Was ist das? Lehrlingslager Kt. Aargau Lenzerheide 2018 DEPARTEMENT FINANZEN UND RESSOURCEN

Vorstellung § Michelle Schär Ø Applikationsentwicklerin 2. Lehrjahr Ø Lehrmeister Dirk Decher Ø DFR DEPARTEMENT FINANZEN UND RESSOURCEN 2

Dilbert von Scott Adams DEPARTEMENT FINANZEN UND RESSOURCEN 3

Agenda § Informationssicherheit/ Datenschutz § Informationssicherheitsmanagement § White-, Grey-, Blackhats § Gefährdungen, Vorfälle § Fragen DEPARTEMENT FINANZEN UND RESSOURCEN 4

Was soll Informationssicherheit gewährleisten Verfügbarkeit Vertraulichkeit Integrität Nachvollziehbarkeit DEPARTEMENT FINANZEN UND RESSOURCEN 5

http vs. https DEPARTEMENT FINANZEN UND RESSOURCEN 6

IT-Sicherheit vs. Informationssicherheit IT-Sicherheit Informatiksicherheit umfasst den Schutz sämtlicher elektronisch verarbeiteter Informationen – unabhängig vom Informationsträger – bei Eingabe, Verarbeitung, Speicherung, Ausgabe und Transport sowie den Schutz aller technischen und organisatorischen Methoden und Hilfsmittel, welche dazu eingesetzt werden. Informationssicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit, max. Ausfallsdauer, Ausfallhäufigkeit sicherstellen. Sie umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen. DEPARTEMENT FINANZEN UND RESSOURCEN 7

Informationssicherheit Massnahmen § Technische Sicherheitsperimeter bewusst und gezielt einsetzen § gesunder Menschenverstand § Etwas Misstrauisch sein (macht es Sinn das ich dieses Mail erhalte? ) § Passwörter nach Kritikalität der Systeme auswählen § Aufmerksam sein, Meldungen machen § Büro und Privates möglichst trennen, …. . DEPARTEMENT FINANZEN UND RESSOURCEN 8

Technische Massnahmen müssen effektiv und effizient sein! DEPARTEMENT FINANZEN UND RESSOURCEN 9

Anpassung von Sicherheitsmassnahmen automatische Bildschirmsperrung nach 15 Minuten Sicherheit automatische Bildschirmsperrung nach 30 Minuten Keine zusätzlichen Kosten! Windows Taste und L tief DEPARTEMENT FINANZEN UND RESSOURCEN Bedienbarkeit hoch 10

Informationssicherheit Kosten DEPARTEMENT FINANZEN UND RESSOURCEN 11

Datenschutz ist ein notwendiges «Übel» § Ziel Persönlichkeitsschutz von jedem § Zweck Schutz der Persönlichkeit der Bürger gegenüber kantonaler Verwaltung. Dies beinhaltet auch alle Mitarbeitenden der kantonalen Verwaltung (Ausnahme: Strafrechtlich relevante Handlungen) Anfragen Staatsanwaltschaft Bund Kantone § Beauftragte für Öffentlichkeit und Datenschutz Gunhilt Kersten § Datenschutzgesetz, -Verordnung IDAG, VIDAG DEPARTEMENT FINANZEN UND RESSOURCEN 12

Aktuelle Gefährdungen Höhere Gewalt Feuer, Blitz, Sturm, Überschwemmung, Personalabgang, Krankheit, Stromausfall, … Gesetzliche und vertragliche Mängel Nicht einhalten der Gesetze, Reglemente etc. (Compliance), juristische Konsequenzen bei einer Vertragsverletzung, . . . Organisatorische Mängel Fehlende oder nicht angewendete Weisungen, unzureichende Zutrittskontrollen, falsche Zugriffsrechte, Abgang von Schlüsselpersonen (Know-how-Verlust), Versagen der Prozesse, … Menschliches Versagen Fehlmanipulation, fehlende Sensibilisierung, Übermüdung, falsches Verhalten, … Technisches Versagen Netzwerkausfall, Software-Fehler, Ausfall Disk-, Serversysteme, Malware, … Vorsätzliche Handlungen Manipulation, Phishing, Daten-Diebstahl, Missbrauch, Sabotage, Spionage, Hacking, Erpressung, Viren, organisierte Kriminalität, . . . Folgen: Image Schaden, System- Prozessausfälle, Datenmissbrauch oder -verlust, Kosten (Wiederaufbau, Verfahrenskosten, Schadenersatzforderungen, . . ) DEPARTEMENT FINANZEN UND RESSOURCEN 13

Menschliches Fehlverhalten § Höhere Sicherheit am Arbeitsplatz als Zuhause (Sorgfaltspflicht) Ø professioneller Virenschutz (warum Zuhause probieren? ) Ø private Mail (z. B. Bluewin, GMX, . . ) <> Geschäftsmail (Microsoft Exchange) private Mails: lokaler Virenschutz, Malware wird lokal ausgeführt. Ø Geschäftsmail mehrere Virenschutz Barrieren, Malware wird auf Server bereits entfernt. § Gestohlene Geräte Ø 2 Pc Harddisk gestohlen, 3 Laptops verschwunden DEPARTEMENT FINANZEN UND RESSOURCEN 14

IT- Sicherheit Lernende IT AG § Keine Aufträge entgegen nehmen Service Anfrage über Service Desk oder Kundenbetreuer. § Keine Anpassungen vornehmen an Systemen mit Administrator accounts. § Keine System Aufträge von Kollegen ausführen mit euren Admin Rechten § Spezialsoftware nur im Labor ausführen! § Trennen von Administratoraccount und normalem Benutzer Kanton –> Warum? ? ? DEPARTEMENT FINANZEN UND RESSOURCEN 15

Angriff und Abwehr: Ein ungleicher Kampf § Angreifer sind im Vorteil Ø Der Gegner muss nur einmal richtig raten während der Verteidiger richtig liegen muss Ø Darknet, Shodan "erschreckendste Suchmaschine des Internets (CNN), Hackertools § Aktuelle Sicherheitsmassnahmen sind oft nicht effektiv gegenüber gezielten Angriffen Ø Stetig neue Sicherheitslücken und verdeckte Angriffsstrategien Ø Schwachstelle Mensch: Social Engineering Ø Verschwindender Perimeter: Cloud, Mobile, BYOD (steigende Komplexität, Flexibilität) DEPARTEMENT FINANZEN UND RESSOURCEN 16

Shodan Suchmaschine für Sicherheitslücken DEPARTEMENT FINANZEN UND RESSOURCEN 17

Informationssicherheitsmanagement (ISM) «Im Mittelpunkt jeder Sicherheitsbetrachtung steht menschliches Handeln und Unterlassen. » Sebastian Klipper, Fachbuchautor DEPARTEMENT FINANZEN UND RESSOURCEN 18

White-, Grey-, Blackhats und weitere Begriffe er b y C ten e a a t S nst e i d eim Geh Hacker Black-Hats Grey-Hats White-Hats Scriptkiddies Cracker legale, gesetzeskonforme Aktionen positive Motivation DEPARTEMENT FINANZEN UND RESSOURCEN illegale, strafrechtliche Aktionen bösartige, zerstörerische Motivation 19

Wie viel davon ist Realität? DEPARTEMENT FINANZEN UND RESSOURCEN 20

Vorgehen Hacker Bedrohungen für Kanton § Realistisches Angriffsszenario der Gegenwart/ Zukunft (Social Engineering) § Veränderte Hackerkultur (>90% Zeitaufwand für Angriffsvorbereitung ) § Social Engineering, Phishing Attacken § Schwachstelle viele öffentliche Räume mit aktiven Netzanschlüssen (Schulungsräume, Sitzungszimmer, Schalterbereiche, WLAN, …) Übung: über Sucht in Google mal nach eurem Namen: Was findet ihr alles raus euch (5 Min. ) DEPARTEMENT FINANZEN UND RESSOURCEN 21

Ungebetene Zuhörer/ Zuseher! x- Augen! Noch mehr Ohren ! DEPARTEMENT FINANZEN UND RESSOURCEN 22

Echt oder Phishingmail (Malware) DEPARTEMENT FINANZEN UND RESSOURCEN 23

Beide Malware https: //jklörehjtqärajhgiah jgo 4äitrigoäsfjgaäjaä 4 gal fkaäaärkwäajaöläjgläakjfl aöäjglöäaööewra. ru DEPARTEMENT FINANZEN UND RESSOURCEN 24

Tesla Crypt Malware Kanton Aargau Dez. 2015 DEPARTEMENT FINANZEN UND RESSOURCEN 25

Wem Darf ich eine Frage beantworten ? DEPARTEMENT FINANZEN UND RESSOURCEN 26