Vorlage Sensibilisierung

IT-Sicherheit geht alle an
Herzlich Willkommen zum

Mustermann KG Sicherheitstraining
Gemeinsam für Online-Sicherheit

www.sicher-im-netz.de
Agenda
 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen?
 Schützenswertes
 Sicherheitsorganisation bei der Mustermann KG
 Unternehmensweite Sicherheitsrichtlinien
 Maßnahmen zur Erhöhung der Sicherheit in der Praxis
 Fragen & Antworten

Unser heutiges Ziel
Sensibilisierung der Mitarbeiter für sicherheitsrelevante
Themen in unserem Unternehmen
 Was wollen wir konkret erreichen:
• Motivieren
• Ihnen eine positive Einstellung zum Thema Sicherheit vermitteln
• Informieren
• Ihnen generelle Informationen über Gefahren, Informationssicherheit und
Richtlinien geben
• Ihnen die Ziele und Maßnahmen der Sicherheitspolitik in unserem Unternehmen
vermitteln
• Ihnen die Ansprechpartner zum Thema Sicherheit bekannt machen
• Sensibilisieren
• Verständnis für IT-Sicherheitsmaßnahmen bei Ihnen erzeugen
• Sie anregen, aktiv an der Umsetzung der Maßnahmen mitzuwirken

Agenda
 Einführung

Gefahren und Bedrohungen
Online-
Hacker
Betrüger
Unser Unternehmen
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Der Online Betrüger
 Späht Zugangsdaten aus

 Versteckt sich hinter einer anderen Identität
 Folgen:
• Finanzielle Verluste
• Konto- und Kreditkartenmissbrauch
• Verlust von geistigem Eigentum und vertraulichen Informationen
• Weitere Unannehmlichkeiten durch betrugsbedingte Auswirkungen
Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Der Hacker
 Dringt in PC‘s und Netzwerke ein

 Legt IT-Strukturen lahm, stiehlt oder löscht Daten
 Folgen:
• Ärgerliche Fehlfunktionen und Ausfallzeiten
• Zusammenbruch von Netzen und Servern
• Hohe Kosten für Wiederherstellung
• Image-Verlust für das Unternehmen
Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Viren, Würmer & Co.
 Computerviren und andere Schadsoftware gefährden Ihre betrieblichen
Abläufe auf vielfältige Weise:
• Der Start des Computers wird durch Boot-Viren verhindert
• Störende und irritierende Fenster werden geöffnet
• Daten werden manipuliert, gelöscht oder ohne Wissen des Anwenders
weiterverbreitet
• Arbeitsplatzcomputer, Server oder komplette Netzwerke werden überlastet
• „Trojanische Pferde“ öffnen Hintertüren zu PCs und Netzwerken, die für
weiteren Missbrauch genutzt werden
• Durch Falschmeldungen werden Benutzer dazu verleitet, falsche
Nachrichten weiterzuleiten oder unsinnige Tätigkeiten am PC
durchzuführen

Viren, Würmer & Co.
 Es gibt zahlreiche Wege, Viren, Würmer & Co. zu übertragen!
• Datenträger, Wechseldatenträger
• E-Mail
• Internet-Nutzung
• mobile Geräte

Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Der Spammer
 Versendet große Mengen an E-Mails (meist Werbung)

 Fälscht E-Mail Konten
 Folgen:
• Verstopfte Postfächer
• Überlastung von Kapazitäten durch Spam-Flut
• Produktivitäts- und Zeitverluste
• Vertrauensverlust in das Medium E-Mail
Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Der Schmutzfink
 Belästigt Internetnutzer
• politische Hetze
• Gewalt
• Pornographie
 Folgen:
• Verbreitung fragwürdiger oder krimineller Inhalte
• Manipulation Minderjähriger
• Anbahnung von StraftatenGemeinsam für Online-Sicherheit
Online-
Hacker
Betrüger
Faktor Viren,
Mensch Würmer &
Co.
Schmutz-
fink Spammer

Der Faktor Mensch
 Der Mitarbeiter ist die Basis für funktionierende Sicherheit!
 Sicherheit ist Teamwork
 Was wir vermeiden wollen:

• Unbewusstes Fehlverhalten
• z.B. bei Social Engineering- Identitätsdiebstahl
• Bewusstes Fehlverhalten
• z.B. durch falsche Gewohnheiten
 Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen:

• Sicherheitsrichtlinien definieren
• Regeln und Verhaltensempfehlungen kommunizieren
• Sensibilisierung durch regelmäßige Schulung und Information der Mitarbeiter
DasDas
haben
Da sind
tunwir
wir
wir
schon
gerade!
dabei!
erledigt!
Social Engineering
Beispiele
 Fall 1:
• Angreifer: „Ihr Name lautet Johanna Schmidt?“
• Opfer: „Ja.“
• Angreifer: „Sie befinden sich im Nordflügel, fünftes Stockwerk, in der Buchhaltung?“
• Angreifer: „Ihre Durchwahlnummer ist die 4365?“
• Angreifer: „Ihr Benutzername lautet Jschmidt und Ihr Passwort ist ‚krokodil27‘?“
• Opfer: „Nein, mein Passwort lautet ‚BugsBunny‘.“
 Fall 2:
• Angreifer: "Guten Tag Herr Muster, ich habe in meinem Monitoring System einen massiven
Outbreak eines Bots, der wohl von Ihrem System ausgeht und mir mein Quality of Service System
nahezu aushebelt. Dadurch sind eine Menge Kollegen betroffen.“
• Opfer:.“Oh, das ist mir aber peinlich.“
• Angreifer: „Wenn Sie mir Ihre Zugangsdaten geben, kann ich das vielleicht ohne großes Aufsehen
remote debuggen.“ Etc.
Agenda
 Einführung

Was gilt es in unserem Unternehmen zu schützen?
 Infrastruktur:  Rechtliche Rahmenbedingungen:
• Gebäude • KontraG: Gesetz zur Kontrolle und
• Einrichtung Transparenz
• Hardware • BDSG: Umgang mit
 Betriebsverfahren: personenbezogenen Daten
• TKG: Telekommunikationsgesetz
• Verfügbarkeit der EDV-Systeme
• u.v.m.
• Verfügbarkeit und Integrität der Daten
 Informationen:
• Angebote
• Verträge
• Inhalte von Verhandlungen
• Daten über Verkaufsverfahren
• Personaldaten
• Personenbezogene Daten
Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit.

Agenda
 Einführung
 Welche Gefahren und Bedrohungen bestehen im Unternehmen

Mustermann KG Informationssicherheit
 Aufgaben
• Sicherstellen der Umsetzung von Sicherheitsrichtlinien
• Schulung und Sensibilisierung der Mitarbeiter
• Koordination und Unterstützung in den Abteilungen
• Umsetzung der datenschutzrechtlichen Bestimmungen
 Sicherheitsmanagement
• Untersteht der Geschäftsführung
• Bearbeitet
• Technische Sicherheit
• Organisatorische Sicherheit
• Physische Sicherheit
 Verantwortliche Personen
• Leiter Sicherheitsmanagement: Hans Sicher
• Stellvertreter(in) Sabine Schlüssel
• Verantwortlicher IT-Technik: Clemenz Bit
• IT-Helpdesk Claudia Hilfe (ithelp@musterkg.de)
• Datenschutzbeauftragter: Gregor Info
• Leiter Werkschutz: Edgar Schloss
• etc.
Agenda
 Einführung

Unternehmensweite Sicherheitsrichtlinien
 Grundlage aller Sicherheitsmaßnahmen
 Sicherheitsrichtlinien definieren
• allgemeine Regelungen
• Prozesse
• Richtlinien
 Ziel:
• Erreichen eines angepassten Sicherheitsniveaus
 Sind als Betriebsvereinbarung für alle Mitarbeiter bindend
 Die Nichtbeachtung kann Konsequenzen nach sich ziehen
 Enthalten z.B. Vorschriften und Regelungen zu:

• Nutzung der Informationstechnischen Anlagen
• Nutzung E-Mail und Internet
• Informationssicherheit
• Besucherregelungen
•
•
Datenschutz
etc.
Was darf ich? / Was darf ich nicht?
Agenda
 Einführung

Allgemeine Wachsamkeit
 Verwenden Sie IT-Systeme nur für dienstliche Zwecke
 Missachten Sie Schutzmaßnahmen nicht vorsätzlich
 Verursachen Sie keine Risiken und Schäden durch leichtfertiges
Fehlverhalten
 Integrieren Sie IT-Sicherheit eigenverantwortlich in den täglichen
Arbeitsablauf
 Kommunizieren Sie bedarfsgerecht, d.h. nur mit Berechtigten
 Erkennen Sie aktiv Gefahren und Risiken, und setzen Sie
entsprechende Maßnahmen eigenverantwortlich um
 Unterstützen Sie sich gegenseitig
 Melden Sie sicherheitsrelevante Vorfälle umgehend
IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI !

Sicherer Umgang mit dem Computer
 Schützen Sie Ihre IT-Systeme vor unbefugtem Zugriff - bei Abwesenheit
sperren
 Stellen Sie den Bildschirmschoner mit Passwortschutz auf 5 Minuten ein
 Halten Sie Betriebssystem und Anwendungen mit Patches auf dem
aktuellsten Stand (immer alle akzeptieren und baldmöglichst booten)
 Belassen Sie den Virenscanner aktiv
 Melden Sie sich regelmäßig am Netz für automatischen Update des
Antivirenprogramms an oder sorgen Sie selbst für aktuelle Virendefinitionen
 Verändern Sie IT-Systeme nicht eigenmächtig (Programm-Installationen)
 Setzen Sie nur die von der Unternehmens-IT freigegebene Software ein
Ihr Computer ist eines Ihrer wichtigsten Arbeitsmittel. Wirken Sie aktiv am Schutz mit!
Nutzung von E-Mail / Internet I
 Zeigen Sie einen verantwortungsvollen Umgang bei der Nutzung von
E-Mail und Internet
• Alternative 1: Die Nutzung von E-Mail und Internet ist nur für geschäftliche Zwecke
erlaubt.
• Privates Surfen und private Downloads sind nicht gestattet
• Alternative 2: Die Nutzung von E-Mail und Internet für private Zwecke ist auf ein
Mindestmaß zu beschränken und darf geschäftliche Zwecke nicht
beeinträchtigen.
 Seien Sie besonders wachsam bei E-Mails von unbekannten

Absendern oder mit unerwarteten Inhalten
• Bei unseriösem Betreff angehängte Datei nicht öffnen, die Mail einschließlich Anhang
löschen
• Öffnen Sie keine Dateien mit den Endungen .exe, .com oder .bat, wenn deren
Herkunft unklar ist
• Öffnen Sie auch von bekannten Absendern nur Anhänge, die Sie selbst angefordert
haben oder bei denen Sie sicher sein können, dass Sie von diesen Absendern sind.
Absenderadressen können leicht gefälscht werden.

Nutzung von E-Mail / Internet II
 Ändern Sie keine Dateianhänge zur Umgehung der Richtlinien
 Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook)
 Verschlüsseln Sie vertrauliche E-Mail-Anhänge

• Übermitteln Sie das Verschlüsselungs-Passwort NICHT per E-Mail zum Empfänger
• Informieren Sie den Empfänger über die Vertraulichkeit und den entsprechenden Umgang
mit dem Dokument
 Überprüfen Sie täglich Ihren Spam-Ordner
 Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator
Nur so vermeiden Sie Unfälle auf der Datenautobahn!

Passwörter
 Wählen Sie sichere Passwörter
• mind. 8 Stellen
• Kombinationen aus:
• Buchstaben (Groß- und Kleinschreibung)
• Ziffern
• Sonderzeichen
 Ändern Sie Ihre Passwörter regelmäßig

 Geben sie Passwörter NIE weiter, auch nicht an einen Administrator
 Nutzen Sie wenn möglich die Stellvertreterfunktion
 Wenn Sie Ihr Passwort aufschreiben, dann bewahren Sie es sicher auf
Ihr Passwort ist der Schlüssel, mit dem sie den Zugriff auf vertrauliche Dokumente ermöglichen!

Umgang mit mobilen Geräten
 Mobile Geräte:
• Notebooks
• PDAs
• Mobiltelefone
• USB-Sticks
 Gewährleisten Sie Schutz vor unbefugtem Zugriff
• Lassen Sie Geräte nie unbeaufsichtigt liegen
• Bringen Sie ein Laptop-Schloss ("Kensington") an
 Vermeiden Sie Datenverlust durch regelmäßiges Backup (z.B. der lokalen Daten)
 Halten Sie den Virenscanner eigenverantwortlich aktuell
 Verschließen Sie PDA, Handy etc. bei Nichtbenutzung im Schreibtisch/Schrank
 Schalten Sie die Bluetoothfunktion des Mobiltelefons aus
 Bewahren Sie USB-Sticks sicher auf
 Speichern Sie streng vertrauliche Daten ausschließlich verschlüsselt
Mit Ihrem mobilen Gerät bewegen Sie sich mit firmeninternen Informationen im öffentlichen Raum!
Informationen/Dokumente
 Benutzen Sie für die Speicherung Ihrer Daten kein lokales Verzeichnis
 Speichern Sie keine vertraulichen Dokumente ungeschützt in
gemeinsam genutzten Ordnern (z.B. Transfer-Ordner)
 Schützen Sie Informationen und Dokumente vor Veränderung
 Entsorgen Sie vertrauliche Informationen sicher:
• Dokumente in den Reißwolf
• Datenträger sicher löschen/physisch zerstören
 Geben Sie vertrauliche Informationen nur an die Personen, die diese
für die Umsetzung ihrer Arbeit tatsächlich benötigen
 Vermeiden Sie sensible Gespräche in der Öffentlichkeit
Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz!

Clean Desk
 Gehen Sie mit Daten und Dokumenten achtsam um
• Räumen Sie diese auch in Pausen auf
• Schließen Sie vertrauliche Dokumente bei Abwesenheit weg
• Verwahren Sie diese sicher nach Ende des Arbeitstages
 Schließen Sie Ihr Büro bei Abwesenheit ab
 Melden Sie sich in Pausen vom Netzwerk ab

• alternativ: Bildschirmschoner passwortgeschützt einstellen
 Lassen Sie keine Datenträger offen liegen
Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden !

Agenda
 Einführung

IT-Sicherheit geht alle an
Vielen Dank für Ihre Aufmerksamkeit.
Ihre Fragen?

Anhang: Grundsätzliches
 Das Schulungs- und Sensibilisierungsprogramm sollte folgende Punkte
behandeln:
• Sicherheitsziele der Organisation sowie deren Erläuterung, die Gründe, warum Sicherheit für die
Organisation wichtig ist, die Klarstellung der Verantwortlichkeit bezüglich der Sicherheit,
• die Aufgaben der IT-Betreuer, besonders in ihrer Funktion als Dienstleister der Fachbereiche,
• die Pläne zur Implementierung der Sicherheitsmaßnahmen,
• die Vorgehensweise der Überprüfung der Einhaltung von Sicherheitsmaßnahmen sowie die
Konsequenzen für Mitarbeiter bei Verstößen gegen Sicherheitsvorgaben.
• Der wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für die Sicherheit deutlich zu
machen.
• Die Planung der Schulungsveranstaltungen und der Beratungsgesprächen sollte vom Daten-
schutzbeauftragten, sofern vorhanden, oder von dem Organisationsleiter übernommen werden. In
Zusammenarbeit mit dem Datenschutzbeauftragten können dann die Veranstaltungen und die
Beratungsgespräche von den IT-Betreuern umgesetzt werden.
• Weiterhin ist zu empfehlen, die Schulungs- und Sensibililierungsveranstaltungen in regelmäßigen
Zeitabständen zu wiederholen, um insbesondere das vorhandene Wissen aufzufrischen und neue
Mitarbeiter zu informieren.


Vorlage Sensibilisierung

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Vorlage Sensibilisierung

Загружено:

Авторское право:

Доступные форматы

IT-Sicherheit geht alle an

Herzlich Willkommen zum

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

 Was wollen wir konkret erreichen:

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

 Späht Zugangsdaten aus

Gemeinsam für Online-Sicherheit

 Dringt in PC‘s und Netzwerke ein

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

 Versendet große Mengen an E-Mails (meist Werbung)

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

 Was wir vermeiden wollen:

 Wie wir sicherheitsbewusstes Verhalten der Mitarbeiter erreichen:

Gemeinsam für Online-Sicherheit

Nicht zu vergessen: Das Ansehen unseres Unternehmens in der Öffentlichkeit.

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

 Sind als Betriebsvereinbarung für alle Mitarbeiter bindend

 Die Nichtbeachtung kann Konsequenzen nach sich ziehen

 Enthalten z.B. Vorschriften und Regelungen zu:

Gemeinsam für Online-Sicherheit

IT-Sicherheit in unserem Unternehmen: ICH BIN DABEI !

 Seien Sie besonders wachsam bei E-Mails von unbekannten

Gemeinsam für Online-Sicherheit

 Ändern Sie keine Standard-Sicherheitseinstellung (z.B. Webbrowser, Outlook)

 Verschlüsseln Sie vertrauliche E-Mail-Anhänge

 Überprüfen Sie täglich Ihren Spam-Ordner

 Melden Sie Phising-Attacken an den IT-Helpdesk/Administrator

Nur so vermeiden Sie Unfälle auf der Datenautobahn!

 Ändern Sie Ihre Passwörter regelmäßig

Gemeinsam für Online-Sicherheit

Am Know-how des Unternehmens hängt auch Ihr Arbeitsplatz!

 Schließen Sie Ihr Büro bei Abwesenheit ab

 Melden Sie sich in Pausen vom Netzwerk ab

 Lassen Sie keine Datenträger offen liegen

Durch leichtfertiges Fehlverhalten entstehen Risiken und Schäden !

Gemeinsam für Online-Sicherheit

Vielen Dank für Ihre Aufmerksamkeit.

Gemeinsam für Online-Sicherheit

Gemeinsam für Online-Sicherheit

Вам также может понравиться