Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
Prof. Dr.
(TU NN)Norbert Pohlmann
Möglichkeiten des Selbstdatenschutzes
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheit
Die größten Herausforderungen
IT
Sicherheits-probleme
Zeit
heuteSnowden
Neue Gefahren durch mobile GeräteManipulierte IT und IT Sicherheitstechnologie
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 3
Prinzipielle IT Sicherheitsstrategien
Fokussierung
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert.
Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden?
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle IT Sicherheitsstrategien
Vermeiden
von Angriffen – (1)
Generell gilt: Das Prinzip der digitalen Sparsamkeit.
So wenig Daten generieren wie möglich, so viele wie nötig.
Keine Technologie und Produkte mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …)
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar,
wenn wir IT mit allen Vorteilen nutzen wollen!
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 5
Prinzipielle IT Sicherheitsstrategien
Entgegenwirken
von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...) Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …) Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..) …
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider stehen zurzeit nicht genug
wirkungsvolle
undvertrauenswürdige
IT-Sicherheitstechnologien, -lösungen und -produkte zur Verfügung oder sind im EinsatzDirect Threat
Assets
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Prinzipielle Sicherheitsstrategien
Erkennen
von Angriffen – (3)
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT)
Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden
Bewertung des Erkennens
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen
Attack trial Monitoring Monitoring Monitoring Assets
$
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Basisschutz für den Computer (1/2)
Sicherheit durch Einschränkung – Benutzerrechte Eingeschränkte Benutzerkonten schützen
das Gesamtsystem!
Potentiell gefährliche Aktivitäten (auch unabsichtliche) werden im Vorhinein blockiert!
Virenschutzprogramme / Anti-Malware Programme
Überwachen fortlaufend die Aktivitäten des Computers Muss zur zuverlässigen Arbeit aktuell sein
Automatische Updates aktivieren
Personal Firewall
Wie ein Pförtner: Regelt den Netzwerkverkehr
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Basisschutz für den Computer (2/2)
Anti-Spyware (Anti-Malware)
Spyware installiert sich als Anhängsel von Software oder über Sicherheitslücken
Vorsorge ist besser als Nachsorge:
Aufmerksamkeit beim Installieren von Programmen
Ist Ihr PC up-to-date?
Sicherheitslücken untergraben Anti-Malware-Programme Angriffe zielen auf Fehler in Computerprogrammen ab Malware verbreitet sich über Schwachstellen
Softwarehersteller bieten Updates an regelmäßig
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Browsereinstellungen
Im Browser werden standardmäßig temporäre Dateien angelegt: Cookies, Cache, Logins
Temporäre Dateien regelmäßig löschen
Deaktivieren Sie Funktionen wie „Passwörter speichern“ oder „Auto-Vervollständigung“.
Aktive Inhalte
Viele Webseiten ohne aktive Inhalte nicht nutzbar (z.B. JavaScript/Flash) Sperren Sie bei aktuellen Gefahren „Aktive Inhalte“ so lange, bis die
Sicherheitslücke geschlossen ist
Deaktivieren Sie Flash Flashblock installieren als Add-In empfohlen AdBlocker sind empfehlenswert, auch sie erhöhen die Sicherheit
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Beispiel: Privatsphäre im Netz schützen
Beispiel:
für Chrome
Erweiterungsprogramm („Extension“) für diverse Browser Schützt den Nutzer vor „Tracking“ durch Visualisierung und Blocken von Datensammelnden „Partnerwebseiten“
Positiv-Liste: Verbindungen zu Diensten, die gewünscht werden, können erlaubt werden (White-Listing)
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Internetkompetenz: Statuszeile
11Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Richtiges Verhalten
Ins Internet?Erst Sicherheitsupdates installieren
(für Betriebssystem und Anwendungsprogramme) Malwaresignaturen erneuern
Erst dann: E-Mails abrufen, Surfen… Onlinebanking usw.
E-Mail-Kommunikation
Dateianhänge nur mit Bedacht öffnen, auch bei seriöser Quelle Absender fälschen ist einfach – elektronische Postkarten
Bei Unsicherheiten telefonisch Rückfrage halten!
Niemals unbekannte, seltsame oder verlockende Anhänge öffnen!
Prof . Nor bert Pohl m ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Webseiten mit SSL-Zertifikat
13
Vorsicht vor SSL-Fake Namen genau vergleichen Im Zweifel: Fingerabdruck vergleichen!
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Starke Passwörter
Absicherung vor unerwünschter Nutzung durch andere
Starke Passwörter enthalten mind. 10 Zeichen (besser mehr), Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
Problem: Sie müssen sie sich gut merken können!
Merkbar durch eine Eselsbrücke und Buchstaben durch Zahlen oder Sonderzeichen ersetzen. Ein Beispiel:
WeaeiGgr,f5eh!
Wer anderen eine Grube gräbt, fällt selbst hinein!
Passwörter nicht weitergeben, nicht aufschreiben
Regelmäßig neue und
andere Passwörter vergeben
Keinen Universalschlüssel vergeben falsche Webseiten
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Zugriffe schützen
Angemessener Schutz:Absicherung des PCs/Notebooks vor unerwünschter Nutzung anderer Verwenden Sie bei Ihrem Windows-Benutzerkonto ein Passwort.
Sperren Sie Ihren Rechner bei jedem Verlassen:
„Windows-Taste + L“ - Lässt niemand anderen an Ihren PC
Transportieren Sie häufig sensible Daten unverschlüsselt?
Dann ist eine Daten- oder Festplattenverschlüsselung erforderlich!
Beim Nutzen des Notebooks/Tablets unterwegs Hotspots sind ein Sicherheitsrisiko
Vorsicht vor Ausspähen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Selbstdatenschutz
Für Handys und Smartphones/Tablets
Vergeben Sie eine PIN für die SIM-Karte!
Richten Sie eine passwortgeschützte Display-Sperre ein! (Screen-Lock)
Speziell für Smartphones, Tablets und Notebooks
Verwenden Sie einen Basisschutz und aktivieren Sie automatische Updates!Schalten Sie nicht benötigte Dienste aus (z.B. WLAN, Bluetooth, GPS)! Verschlüsseln Sie sensible Daten!
Surfen Sie nicht in offenen WLANs!
Informieren Sie sich umfassend über eine App (Malware), bevor Sie sie installieren (Geschäftsmodell: „Bezahlen mit persönlichen Daten“)
Verlieren der mobilen Geräte Bewegungsprofilbildung
Öffentliche Einsicht …
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Ihre digitale Spur
Kommunikation und Konklusion
Die Nutzung von Diensten wie das Versenden von Nachrichten, abrufen von Webseiten in Kombination mit den kontaktierten Personen und dem Aufenthaltsort generiert viele verschiedene Informationen!
(Ort, Zeit, Start-Ziel der Nachrichten, Bewegungsprofil, Abweichungen vom Normalverhalten, …)
Diese Spuren liefern die notwendigen Informationen, um daraus Wissen zu generieren / kombinieren
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
IT-Sicherheitsherausforderungen
Wissen und Information (1/2)
Die generierten Informationen können viele Facetten
haben
Was könnte z.B. die NSA über uns wissen?
Zum Beispiel etwas über …
Steuerbetrug: Zinsen im Ausland, Nebeneinkünfte aus allen Quellen
Ist die Nachricht emotional und welche Art von Sprache wird
verwendet?
Ermittlung des IQs und der emotionalen Intelligenz?
Liste aller Ex-Partner und alle jemals getätigten Likes
Ehebruch inkl. Bilder und HD-Videos (Telefonie und Whatsap mit
Affären und Aufhalten an „eigenartigen“ Orten Ortungsdaten)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 19
IT-Sicherheitsherausforderungen
Wissen und Information (2/2)
Auch möglich sind Schlussfolgerungen wie …
Auswertung von Inhalten Ihrer Nachrichten/Geolokation/Verbindung:
Sie sind Selbstmord gefährdet?
Anruf bei entsprechenden Hotlines der Seelsorge vom Rand einer Brücke
Radikalwähler, grenzwertige Auffassung von Recht und Freiheit
Alle Ihre Gesundheitsdaten und eine Prognose über Ihre
gesundheitliche Entwicklung
Was Sie täglich auf dem Teller haben
Alle Zeugnisse, aus dem Kontext gerissene Äußerungen, …
Was wird davon wohl irgendwann mal gegen Sie verwendet werden? Wissentlich oder unwissentlich?
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Schutzmaßnahmen
Konkrete Vorschläge als Beispiel
Router daheim: Über Sicherheitslücken informieren und falls möglich Updates zeitnah einspielen ( Im Zweifel Internetprovider fragen) E-Mail: PGP Verschlüsselung ( Für alle Plattformen verfügbar)
Alles, was man nicht auf eine Postkarte schreiben würde, gehört verschlüsselt
Rechner: Festplattenverschlüsselung ( TrueCrypt, leicht einzurichten und bietet einen sehr hohen Schutz vor unbefugtem Zugriff)
Siehe Screenvideo - if(is): http://www.internet-sicherheit.de/institut/buch-sicher-im-internet/videos/screenvideos/
Mobile Geräte niemals unbeaufsichtigt lassen
(Konferenzen, Hotelzimmer, Partys, Freunden, Uni, Firma, …)
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Schutzmaßnahmen
Konkrete Vorschläge als Beispiel
Chatten auf dem Smartphone: Ende-zu-Ende-Verschlüsselt ( Threema) (SMS Nachrichten sind ebenfalls Klartextkommunikation)
Daten in der Cloud: Vorher dem Hochladen verschlüsseln ( Boxcryptor)
Betriebssystem: Freie Alternativen ( Ubuntu, Linux Mint, …)
Dienst nicht mehr interessant? Account löschen!
http://justdelete.me/de.html gibt Hilfestellung
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen
Schutzmaßnahmen
Was man noch selbst tun kann
Sehr wichtig: Sich selbst informieren oder jemanden fragen
Autofahrer sind ebenfalls stets verpflichtet, sich über Änderungen von Regeln im Straßenverkehr zu informieren
Internet-Kompetenz ist in einer digitalen Welt nicht nur sehr hilfreich, sondern heute notwendig
Sicherheitskataloge bieten viele Informationen rund um die Sicherheit im Netz: www.bsi-fuer-buerger.de
Der eigene Verstand ist der wirksamste Schutz
Sicherheitssoftware kann (und soll auch nicht) den Benutzer vor sich selbst schützen
Prof . Nor bert Pohlm ann , Ins titut für In tern et -Si cherheit -if (is) , W e stf äl ische Hoc hschule, Gels enkir chen 23
Das Einmaleins für jeden Internetnutzer
Tipps und Tricks für das digitale Leben
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de