Allzeit wachsam –
interne Sensibilisierung für Cybersicherheit
Dr. Ivan Bogicevic
Referent für Cybersicherheit
Cybersicherheitsagentur Baden-Württemberg
Schaden im Cyberraum
Wirtschaftlicher Schaden in Deutschland pro Jahr
der angegriffenen Unternehmen trugen davon Schaden
neue Schadprogrammvarianten täglich*
der dt. Unternehmen haben ihr Budget für IT- Sicherheit während der Pandemie erhöht
€ 223 MRD.
86 %
300.000
39%
KRITIS-Meldungen gingen 2020 beim BSI ein
419
ca. 3.800.000
Quelle: bitkom und Behörden Spiegel 2021, BSI 2020*
Tagesinfektionen konnte das BIS ableiten,
welche IP-Adressen deutscher Netzbetreiber betrafen*
Cyberangriffe werden professioneller, schwerer zu erkennen und richten größeren Schaden an.
HEUTE Kopie/Diebstahl von Daten Zerstörung/Störung von
Kernsystemen Daten bleiben am Speicherort
Manipulation/Hacking
von Software/Hardware Manipulation von Menschen (Phishing/Human Factor)
Löschen, Manipulieren, Ändern von Daten am Speicherort
GESTERN
Hackerindustrie einzelne Hackerkids
Ausgangslage Cyberangriffe
01 CSBW
Die Cybersicherheitsagentur stellt sich vor
02 PRÄVENTION
Vorfälle verhindern
03 IMPULSE
Beispiele konkreter Themenfelder
04 3 TIPPS
…um Ihre Kommune sicherer zu machen
Strategie Cybersicherheit
Lagebild & Warn-/ Informationsdienst CERT & Abwehr von Cyberangriffen
Beratung & Auditierung Sensibilisierung & Schulung
Hochschulen & Innovationsmanagement
Öffentl. Hand Wirtschaft Wissenschaft KRITIS Bürger
Relevante Institutionen
Zu schützende Einheiten
Sicher unter einem Dach
Cybersicherheitsagentur Baden-Württemberg
.
360 Grad Ansatz
der Cybersicherheitsagentur (CSBW)
Es bedarf einer ganzheitlichen Ansatzes für die Cybersicherheit
Kritische Infrastrukturen
Staatliche Verwaltung
Bürgerinnen und Bürger
Kommunen
Wirtschaft
Forschung &
Wissenschaft
Hochschulen
7
Die Cybersicherheitsagentur
.verfolgt ambitionierte Ziele
Die CSBW stärkt die Cybersicherheit in Baden-Württemberg.
Öffentliche Hand, Wissenschaft, Unternehmen sowie Bürgerinnen und Bürger können von den Vorteilen der
Digitalisierung profitieren.
Vision
Die Cybersicherheitsagentur
.verfolgt ambitionierte Ziele
Die CSBW stellt sicher, dass beim Thema Cybersicherheit alle relevanten Akteure an einem Strang ziehen.
Als Kompetenzzentrum für Cybersicherheit unterstützen wir Verwaltung, Unternehmen, Wissenschaft sowie
Bürgerinnen und Bürger in den zentralen Aspekten der Cybersicherheit.
Mission
9
ENISA ECCC
Cybersicherheitsn etzwerk (CSN)
Hessen Cyber Competence Center (Hessen3C)
BMWiBMBF
BSI Nationales Cyber-
Abwehr Zentrum
Allianz für Cybersicherheit
BITKOM / BSI
IT-Wirtschaft UP-KRITIS
Fachbeirat Cybersicherheit
KG InfoSic/ IT-Rat
BITBW
LKA / LfV
SITiF BW LZfD
KommOne Ministerien
CERT-BWL /
CERT-Hochschulen LfDI
Kommunen Verbraucher
Zentrale BW
CyberForum
BelWü
HS Albstadt- Sigmaringen/
Aalen
Unternehmen DIZ|Digitales In-
novationszentrum
Fraunhofer Insti- tute KIT / FZI KA
DHBW
Cyberwehr BW CERT- Verbund
Bund/Länder
International + EU
Bund/Länder
Baden-Württemberg
Sicherheitsforum BW
OPERATIVE PARTNER DER CYBERSICHERHEITSAGENTUR BADEN-WÜRTTEMBERG
CYBERSICHERHEITSAGENTUR BADEN-WÜRTTEMBERG
INCD Israel NATO
01 CSBW
Die Cybersicherheitsagentur stellt sich vor
02 PRÄVENTION
Vorfälle verhindern
03 IMPULSE
Beispiele konkreter Themenfelder
04 3 TIPPS
…um Ihre Kommune sicherer zu machen
Drei Themenblöcke der CSBW
• Prävention
• Kompetenzzentrum für Sensibilisierung und Schulungen
• Übungen (behördenintern, landesverwaltungsintern, mit externen Partnern)
• Detektion
• Automatisierte Lageerfassung, individueller Austausch mit anderen Sicherheitsbehörden
• Erstellung eines gesamtheitlichen Lagebildes, zielgruppenspezifische Warnungen und Informationen
• Reaktion
• Incident Response inkl. MIRT
• Bedrohungs- und Risikoanalyse
• Cyberhotline
Der Faktor Mensch
„Menschen machen Fehler, das ist ganz normal. Diese Fehler sollten aber nicht dazu führen, dass Schaden für das Unternehmen entsteht, etwa durch Datenabfluss,
Know-how-Diebstahl oder unautorisierte Geldtransfers. Der Faktor Mensch ist deswegen ein wesentlicher Bestandteil jedes nachhaltigen Sicherheitskonzepts.“
Arne Schönbohm, Präsident des BSI
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/IT-Grundschutztag_040920.html
• Prävention durch Sensibilisierung und Schulung verhindert Sicherheitsvorfälle
• aber: „There is no Glory in Prevention“
13
Sensibilisierung und Schulung
• Sensibilisierung
• Aufmerksamkeit für Cybersicherheit erzeugen
• Handlungsbedarf offenlegen
• Schulungen
• Kompetenzen zur Cybersicherheit vermitteln
• Schulungen in Präsenzformat und als E-Learning-Kurse
• Vermittlung und Informationen zu bestehenden Schulungsangeboten
Aktueller Stand in der CSBW
• Teilprojekt Sensibilisierung und Schulung im Aufbaustab der CSBW
• Aufbauphase Oktober 2020 – Dezember 2021
• Aufbau Kompetenzzentrum für Sensibilisierung und Schulung
• Initiale Betriebsbereitschaft in Q1/2022
• Aber: Konkrete Angebote stellen wir so früh wie möglich bereit
• Angebote werden in drei Schritten ausgerollt:
• CSBW-intern
• Landesverwaltung, Kommunen
• weitere Zielgruppen (Hochschulen, KMU, Bürger)
15
Unser Ziel
• Wir wollen helfen, Cybersicherheitsvorfälle zu verhindern.
• Wir bieten skalierbare Präventionsmaßnahmen mit messbarem Erfolg.
• Unsere Angebotsbereiche:
E-Learning
Materialien
Vernetzung
Strategie Projekte
Übungen
ISMS-Beratung Sensibilisierungskampagne
Beispiel: Schulungs-Hub
• Der Schulungs-Hub wird Teil der CSBW-Webseite.
• Interessierte können im Land bestehende Schulungs- und
Sensibilisierungsangebote finden und sich dazu informieren, wir werden hier auch CSBW-eigene Angebote listen.
17
Beispiel: Serious Game
THEMA Ein Videospiel (Serious Game) in einfacher 2D-Grafik, in dem der Spieler einen Avatar steuert und dabei spielerisch die Schulungs-Inhalte vermittelt bekommt.
ZIELGRUPPE Landesverwaltung und darüber hinaus.
INHALTE Der Spieler muss Aufgaben in typischen Arbeitssituationen lösen und trifft dabei auf Herausforderungen der Informationssicherheit.
Erste Ausbaustufe mit vier Levels: eigenes Büro, unterwegs, externes Gebäude, Home-Office (dabei 2-4 Räume pro Level).
STATUS Konzeption der Levels und Inhalte abgeschlossen.
Geplante Fertigstellung bis Q1/2022.
01 CSBW
Die Cybersicherheitsagentur stellt sich vor
02 PRÄVENTION
Vorfälle verhindern
03 IMPULSE
Beispiele konkreter Themenfelder
04 3 TIPPS
…um Ihre Kommune sicherer zu machen
Passwortsicherheit
Richtlinien, Passwort-Manager
21
PASSWORTSICHERHEIT
Je länger das Passwort ist, desto besser (mindestens 8 Zeichen)
Keine persönlichen Informationen, wie Geburtstage, Namen oder ähnliches verwenden
Kombinationen aus Groß-, Kleinbuchstaben und Sonderzeichen nutzen
Auf gängige Wiederholungs- und Tastaturmuster wie 1234 oder QWERTZ verzichten
Passwörter müssen geheim gehalten werden und bei Verdacht der Offenlegung schnellstmöglich gewechselt werden
Passwörter sollten geschützt aufbewahrt, unbeobachtet eingegeben und im Optimalfall nicht
aufgeschrieben werden (für die Aufbewahrung bieten sich Passwortmanager, wie Keepass2 oder ähnlich vertrauenswürdige Programme an)
Phishing
Einfallstore Phishing, Smishing, Spam-Mails
23
Clean Desk
Datenschutzbezogene Sauberkeit des Arbeitsplatzes
25
Quelle: Goldphish Cyber Risk Management 26
CLEAN DESK POLICY
Bezieht sich auf die datenschutzbezogene Sauberkeit des Arbeitsplatzes
Folgende Regeln müssen Sie am Arbeitsplatz beachten:
Sensible Daten (Personenbezogene Informationen, Passwörter, Telefonnummern, vertrauliche
Informationen usw.) an sicheren Orten verstauen, nicht am Arbeitsplatz liegen lassen und datenschutzkonform entsorgen
Datenträger (USB-Sticks, Festplatten usw.) verräumen und über die Service-Stelle entsorgen
Computer beim Verlassen des Arbeitsplatzes sperren (Windows-Taste + L)
Nur eine arbeitsbezogene Grundausrüstung auf dem Schreibtisch liegen lassen, um eine entsprechende Außenwirkung zu vermitteln und die Ablenkung zu minimieren
27
Standards
ISO 27001, IT-Grundschutz
Das offizielle IT-Grundschutz-Profil finden Sie auf der Webseite des BSI https://www.bsi.bund.de/
BASISABSICHERUNG: KOMMUNALVERWALTUNG
29
BASISABSICHERUNG: KOMMUNALVERWALTUNG
Der vom IT-Grundschutz-Profil betrachtete Informationsverbund beinhaltet
alle essentiellen Objekte einer Kommunalverwaltung, die sich wie folgt aufgliedern:
1. Infrastruktur
bspw. Verwaltungsgebäude, Bürgerbüro, Häuslicher und mobiler Arbeitsplatz, Serverraum, Raum für technische Infrastruktur, Archivraum, Drucker- und Kopierraum usw.
2. IT-Systeme
bspw. Server (z. B. Datenbankserver), Terminal-Server, Virtualisierungshost, Netzwerk-Drucker / Multifunktionsgerät, Arbeitsplatz-PC, Smartphones und Tablets usw.
3. Netze
Server- und Administrationsnetz, Demilitarisierte Zone (DMZ), Netzwerk für reguläre Arbeitsplätze, WLAN (intern / ggf. öffentlich), Gebäudeübergreifende Vernetzung, Internet-Zugang für die Verwaltung,
Autonomer Internet-Zugang, Firewall, Router / Switch, TK-Anlage (inkl. Fax).
4. Anwendungen
Internet-Nutzung, Benutzer-Authentifizierung, Dateiablage, Bürokommunikation (Groupware und E-Mail)
01 CSBW
Die Cybersicherheitsagentur stellt sich vor
02 PRÄVENTION
Vorfälle verhindern
03 IMPULSE
Beispiele konkreter Themenfelder
04 3 TIPPS
…um Ihre Kommune sicherer zu machen
.
.
Tipp 1
RICHTIG VORBEUGEN
Aktuelle Software & regelmäßige Updates
regelmäßige Sicherungen (keine Online-Backups, sondern externe Backups)
Sensibilisierung & Schulung der Mitarbeitenden
Offene Fehlerkultur
Erstellen eines Maßnahmenplans für den möglichen Cyberangriff
33
.
Tipp 2
Keine Panik, sondern Ruhe bewahren &
überlegt handeln
Schnell handeln
Klare & strukturierte Analyse der Situation
Rat bei Fachleuten suchen, nicht einfach ausschalten
Alles dokumentieren
RICHTIG HANDELN
.
Tipp 3
Daten wiederherstellen und Lücken schließen
Spuren sichern zur Analyse und Strafverfolgung (ZAC des LKA Baden-Württemberg)
Vorsorge für die Zukunft
RICHTIG REAGIEREN
35
Das heißt für Sie:
Kommunen sind ein Angriffsziel ABER:
Sie können vorsorgen und sich wehren!
Investieren Sie in Ihre Cybersicherheit – wir und die kommunalen IT-Dienstleister
unterstützen Sie dabei!
Fragen – die Sie sich stellen sollten
• Was muss ich mir anschauen, um Cybersicherheit zu verbessern?
• Was kann ich technisch, programmatisch, organisatorisch und personell tun?
• Welche Standards und Vorlagen kann ich nutzen?
• Wie könnte ein einfaches Notfallmanagement aussehen?
…
37
Dr. Ivan Bogicevic
Referent für Cybersicherheit
Cybersicherheitsagentur Baden-Württemberg ivan.bogicevic@im.bwl.de