Möglichkeiten des Selbstdatenschutzes

(1)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)

Norbert Pohlmann

(2)

Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

IT-Sicherheit

 Die größten Herausforderungen

IT

Sicherheits-probleme

Zeit

heute

Snowden

Neue Gefahren durch mobile Geräte

Manipulierte IT und IT Sicherheitstechnologie

(3)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 3

Prinzipielle IT Sicherheitsstrategien

 Fokussierung

Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.

Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?

$

(4)

Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Prinzipielle IT Sicherheitsstrategien



Vermeiden

von Angriffen – (1)

Generell gilt: Das Prinzip der digitalen Sparsamkeit.

 So wenig Daten generieren wie möglich, so viele wie nötig.

Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)

Bewertung der Vermeidung

Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar,

wenn wir IT mit allen Vorteilen nutzen wollen!

Assets

(5)

Prinzipielle IT Sicherheitsstrategien



Entgegenwirken

von Angriffen – (2)

Meist verwendete IT-Sicherheitsstrategie

Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme

(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren

(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme

(Security Kernel, Isolierung u. Separierung, ..) …

Bewertung des Entgegenwirkens

Eine naheliegende IT-Sicherheitsstrategie

Leider stehen zurzeit nicht genug

wirkungsvolle

und

vertrauenswürdige

IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung oder sind im Einsatz

Direct Threat

Assets

(6)

Prinzipielle Sicherheitsstrategien



Erkennen

von Angriffen – (3)

Erkennen von Angriffen, denen nicht entgegengewirkt werden kann

Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)

Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn

Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden

Bewertung des Erkennens

Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen

Attack trial Monitoring Monitoring Monitoring Assets

$

(7)

 Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Selbstdatenschutz

 Basisschutz für den Computer (1/2)

Sicherheit durch Einschränkung – Benutzerrechte Eingeschränkte Benutzerkonten schützen

das Gesamtsystem!

Potentiell gefährliche Aktivitäten (auch unabsichtliche) werden im Vorhinein blockiert!

Virenschutzprogramme / Anti-Malware Programme

Überwachen fortlaufend die Aktivitäten des Computers Muss zur zuverlässigen Arbeit aktuell sein

 Automatische Updates aktivieren

Personal Firewall

Wie ein Pförtner: Regelt den Netzwerkverkehr

(8)

Selbstdatenschutz

 Basisschutz für den Computer (2/2)

Anti-Spyware (Anti-Malware)

Spyware installiert sich als Anhängsel von Software oder über Sicherheitslücken

Vorsorge ist besser als Nachsorge:

 Aufmerksamkeit beim Installieren von Programmen

Ist Ihr PC up-to-date?

Sicherheitslücken untergraben Anti-Malware-Programme Angriffe zielen auf Fehler in Computerprogrammen ab Malware verbreitet sich über Schwachstellen

Softwarehersteller bieten Updates an regelmäßig

(9)

Selbstdatenschutz

 Browsereinstellungen

Im Browser werden standardmäßig temporäre Dateien angelegt: Cookies, Cache, Logins

Temporäre Dateien regelmäßig löschen

Deaktivieren Sie Funktionen wie „Passwörter speichern“ oder „Auto-Vervollständigung“.

Aktive Inhalte

Viele Webseiten ohne aktive Inhalte nicht nutzbar (z.B. JavaScript/Flash) Sperren Sie bei aktuellen Gefahren „Aktive Inhalte“ so lange, bis die

Sicherheitslücke geschlossen ist

Deaktivieren Sie Flash  Flashblock installieren als Add-In empfohlen AdBlocker sind empfehlenswert, auch sie erhöhen die Sicherheit

(10)

Selbstdatenschutz

 Beispiel: Privatsphäre im Netz schützen

Beispiel:

für Chrome

Erweiterungsprogramm („Extension“) für diverse Browser Schützt den Nutzer vor „Tracking“ durch Visualisierung und Blocken von Datensammelnden „Partnerwebseiten“

Positiv-Liste: Verbindungen zu Diensten, die gewünscht werden, können erlaubt werden (White-Listing)

(11)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Selbstdatenschutz

 Internetkompetenz: Statuszeile

11

(12)

Selbstdatenschutz

 Richtiges Verhalten

Ins Internet?

Erst Sicherheitsupdates installieren

(für Betriebssystem und Anwendungsprogramme) Malwaresignaturen erneuern

Erst dann: E-Mails abrufen, Surfen… Onlinebanking usw.

E-Mail-Kommunikation

Dateianhänge nur mit Bedacht öffnen, auch bei seriöser Quelle Absender fälschen ist einfach – elektronische Postkarten

Bei Unsicherheiten telefonisch Rückfrage halten!

Niemals unbekannte, seltsame oder verlockende Anhänge öffnen!

(13)

 Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen

Selbstdatenschutz

 Webseiten mit SSL-Zertifikat

13

Vorsicht vor SSL-Fake  Namen genau vergleichen  Im Zweifel: Fingerabdruck vergleichen!

(14)

Selbstdatenschutz

 Starke Passwörter

Absicherung vor unerwünschter Nutzung durch andere

Starke Passwörter enthalten mind. 10 Zeichen (besser mehr), Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen

Problem: Sie müssen sie sich gut merken können!

Merkbar durch eine Eselsbrücke und Buchstaben durch Zahlen oder Sonderzeichen ersetzen. Ein Beispiel:

WeaeiGgr,f5eh!

Wer anderen eine Grube gräbt, fällt selbst hinein!

Passwörter nicht weitergeben, nicht aufschreiben

Regelmäßig neue und

andere Passwörter vergeben

Keinen Universalschlüssel vergeben  falsche Webseiten

(15)

Selbstdatenschutz

 Zugriffe schützen

Angemessener Schutz:

Absicherung des PCs/Notebooks vor unerwünschter Nutzung anderer Verwenden Sie bei Ihrem Windows-Benutzerkonto ein Passwort.

Sperren Sie Ihren Rechner bei jedem Verlassen:

„Windows-Taste + L“ - Lässt niemand anderen an Ihren PC

Transportieren Sie häufig sensible Daten unverschlüsselt?

Dann ist eine Daten- oder Festplattenverschlüsselung erforderlich!

Beim Nutzen des Notebooks/Tablets unterwegs Hotspots sind ein Sicherheitsrisiko

Vorsicht vor Ausspähen

(16)

Selbstdatenschutz

 Für Handys und Smartphones/Tablets

Vergeben Sie eine PIN für die SIM-Karte!

Richten Sie eine passwortgeschützte Display-Sperre ein! (Screen-Lock)

Speziell für Smartphones, Tablets und Notebooks

Verwenden Sie einen Basisschutz und aktivieren Sie automatische Updates!

Schalten Sie nicht benötigte Dienste aus (z.B. WLAN, Bluetooth, GPS)! Verschlüsseln Sie sensible Daten!

Surfen Sie nicht in offenen WLANs!

Informieren Sie sich umfassend über eine App (Malware), bevor Sie sie installieren (Geschäftsmodell: „Bezahlen mit persönlichen Daten“)

Verlieren der mobilen Geräte Bewegungsprofilbildung

Öffentliche Einsicht …

(17)

Ihre digitale Spur

 Kommunikation und Konklusion

Die Nutzung von Diensten wie das Versenden von Nachrichten, abrufen von Webseiten in Kombination mit den kontaktierten Personen und dem Aufenthaltsort generiert viele verschiedene Informationen!

(Ort, Zeit, Start-Ziel der Nachrichten, Bewegungsprofil, Abweichungen vom Normalverhalten, …)

Diese Spuren liefern die notwendigen Informationen, um daraus Wissen zu generieren / kombinieren

(18)

IT-Sicherheitsherausforderungen

 Wissen und Information (1/2)

Die generierten Informationen können viele Facetten

haben

Was könnte z.B. die NSA über uns wissen?

Zum Beispiel etwas über …

Steuerbetrug: Zinsen im Ausland, Nebeneinkünfte aus allen Quellen

Ist die Nachricht emotional und welche Art von Sprache wird

verwendet?

 Ermittlung des IQs und der emotionalen Intelligenz?

Liste aller Ex-Partner und alle jemals getätigten Likes

Ehebruch inkl. Bilder und HD-Videos (Telefonie und Whatsap mit

Affären und Aufhalten an „eigenartigen“ Orten  Ortungsdaten)

(19)

IT-Sicherheitsherausforderungen

 Wissen und Information (2/2)

Auch möglich sind Schlussfolgerungen wie …

Auswertung von Inhalten Ihrer Nachrichten/Geolokation/Verbindung:

Sie sind Selbstmord gefährdet?

 Anruf bei entsprechenden Hotlines der Seelsorge vom Rand einer Brücke

Radikalwähler, grenzwertige Auffassung von Recht und Freiheit

Alle Ihre Gesundheitsdaten und eine Prognose über Ihre

gesundheitliche Entwicklung

Was Sie täglich auf dem Teller haben

Alle Zeugnisse, aus dem Kontext gerissene Äußerungen, …

Was wird davon wohl irgendwann mal gegen Sie verwendet werden? Wissentlich oder unwissentlich?

(20)

Schutzmaßnahmen

 Konkrete Vorschläge als Beispiel

Router daheim: Über Sicherheitslücken informieren und falls möglich Updates zeitnah einspielen ( Im Zweifel Internetprovider fragen) E-Mail: PGP Verschlüsselung ( Für alle Plattformen verfügbar)

Alles, was man nicht auf eine Postkarte schreiben würde, gehört verschlüsselt

Rechner: Festplattenverschlüsselung ( TrueCrypt, leicht einzurichten und bietet einen sehr hohen Schutz vor unbefugtem Zugriff)

Siehe Screenvideo - if(is): http://www.internet-sicherheit.de/institut/buch-sicher-im-internet/videos/screenvideos/

Mobile Geräte niemals unbeaufsichtigt lassen

(Konferenzen, Hotelzimmer, Partys, Freunden, Uni, Firma, …)

(21)

Schutzmaßnahmen

 Konkrete Vorschläge als Beispiel

Chatten auf dem Smartphone: Ende-zu-Ende-Verschlüsselt ( Threema) (SMS Nachrichten sind ebenfalls Klartextkommunikation)

Daten in der Cloud: Vorher dem Hochladen verschlüsseln ( Boxcryptor)

Betriebssystem: Freie Alternativen ( Ubuntu, Linux Mint, …)

Dienst nicht mehr interessant? Account löschen!

http://justdelete.me/de.html gibt Hilfestellung

(22)

Schutzmaßnahmen

 Was man noch selbst tun kann

Sehr wichtig: Sich selbst informieren oder jemanden fragen

Autofahrer sind ebenfalls stets verpflichtet, sich über Änderungen von Regeln im Straßenverkehr zu informieren

Internet-Kompetenz ist in einer digitalen Welt nicht nur sehr hilfreich, sondern heute notwendig

Sicherheitskataloge bieten viele Informationen rund um die Sicherheit im Netz: www.bsi-fuer-buerger.de

Der eigene Verstand ist der wirksamste Schutz

Sicherheitssoftware kann (und soll auch nicht) den Benutzer vor sich selbst schützen

(23)

Das Einmaleins für jeden Internetnutzer

 Tipps und Tricks für das digitale Leben

(24)

Institut für Internet-Sicherheit – if(is)

Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Prof. Dr.

(TU NN)