Allzeit wachsam interne Sensibilisierung für Cybersicherheit

Allzeit wachsam –

interne Sensibilisierung für Cybersicherheit

Dr. Ivan Bogicevic

Referent für Cybersicherheit

Cybersicherheitsagentur Baden-Württemberg

Schaden im Cyberraum

Wirtschaftlicher Schaden in Deutschland pro Jahr

der angegriffenen Unternehmen trugen davon Schaden

neue Schadprogrammvarianten täglich*

der dt. Unternehmen haben ihr Budget für IT- Sicherheit während der Pandemie erhöht

€ 223 MRD.

86 %

 300.000

39%

KRITIS-Meldungen gingen 2020 beim BSI ein

419

ca. 3.800.000

Quelle: bitkom und Behörden Spiegel 2021, BSI 2020*

Tagesinfektionen konnte das BIS ableiten,

welche IP-Adressen deutscher Netzbetreiber betrafen*

Cyberangriffe werden professioneller, schwerer zu erkennen und richten größeren Schaden an.

HEUTE Kopie/Diebstahl von Daten Zerstörung/Störung von

Kernsystemen Daten bleiben am Speicherort

Manipulation/Hacking

von Software/Hardware Manipulation von Menschen (Phishing/Human Factor)

Löschen, Manipulieren, Ändern von Daten am Speicherort

GESTERN

Hackerindustrie einzelne Hackerkids

Ausgangslage Cyberangriffe

01 ^CSBW

Die Cybersicherheitsagentur stellt sich vor

02 ^PRÄVENTION

Vorfälle verhindern

03 ^IMPULSE

Beispiele konkreter Themenfelder

04 ^{3 TIPPS}

…um Ihre Kommune sicherer zu machen

Strategie Cybersicherheit

Lagebild & Warn-/ Informationsdienst CERT & Abwehr von Cyberangriffen

Beratung & Auditierung Sensibilisierung & Schulung

Hochschulen & Innovationsmanagement

Öffentl. Hand Wirtschaft Wissenschaft KRITIS Bürger

Relevante Institutionen

Zu schützende Einheiten

Sicher unter einem Dach

Cybersicherheitsagentur Baden-Württemberg

.

360 Grad Ansatz

der Cybersicherheitsagentur (CSBW)

Es bedarf einer ganzheitlichen Ansatzes für die Cybersicherheit

Kritische Infrastrukturen

Staatliche Verwaltung

Bürgerinnen und Bürger

Kommunen

Wirtschaft

Forschung &

Wissenschaft

Hochschulen

7

Die Cybersicherheitsagentur

verfolgt ambitionierte Ziele

Die CSBW stärkt die Cybersicherheit in Baden-Württemberg.

Öffentliche Hand, Wissenschaft, Unternehmen sowie Bürgerinnen und Bürger können von den Vorteilen der

Digitalisierung profitieren.

Vision

Die Cybersicherheitsagentur

verfolgt ambitionierte Ziele

Die CSBW stellt sicher, dass beim Thema Cybersicherheit alle relevanten Akteure an einem Strang ziehen.

Als Kompetenzzentrum für Cybersicherheit unterstützen wir Verwaltung, Unternehmen, Wissenschaft sowie

Bürgerinnen und Bürger in den zentralen Aspekten der Cybersicherheit.

Mission

9

ENISA ECCC

Cybersicherheitsn etzwerk (CSN)

Hessen Cyber Competence Center (Hessen3C)

BMWiBMBF

BSI Nationales Cyber-

Abwehr Zentrum

Allianz für Cybersicherheit

BITKOM / BSI

IT-Wirtschaft UP-KRITIS

Fachbeirat Cybersicherheit

KG InfoSic/ IT-Rat

BITBW

LKA / LfV

SITiF BW LZfD

KommOne Ministerien

CERT-BWL /

CERT-Hochschulen LfDI

Kommunen Verbraucher

Zentrale BW

CyberForum

BelWü

HS Albstadt- Sigmaringen/

Aalen

Unternehmen DIZ|Digitales In-

novationszentrum

Fraunhofer Insti- tute KIT / FZI KA

DHBW

Cyberwehr BW CERT- Verbund

Bund/Länder

International + EU

Bund/Länder

Baden-Württemberg

Sicherheitsforum BW

OPERATIVE PARTNER DER CYBERSICHERHEITSAGENTUR BADEN-WÜRTTEMBERG

CYBERSICHERHEITSAGENTUR BADEN-WÜRTTEMBERG

INCD Israel NATO

01 ^CSBW

Die Cybersicherheitsagentur stellt sich vor

02 ^PRÄVENTION

Vorfälle verhindern

03 ^IMPULSE

Beispiele konkreter Themenfelder

04 ^{3 TIPPS}

…um Ihre Kommune sicherer zu machen

Drei Themenblöcke der CSBW

• Prävention

• Kompetenzzentrum für Sensibilisierung und Schulungen

• Übungen (behördenintern, landesverwaltungsintern, mit externen Partnern)

• Detektion

• Automatisierte Lageerfassung, individueller Austausch mit anderen Sicherheitsbehörden

• Erstellung eines gesamtheitlichen Lagebildes, zielgruppenspezifische Warnungen und Informationen

• Reaktion

• Incident Response inkl. MIRT

• Bedrohungs- und Risikoanalyse

• Cyberhotline

Der Faktor Mensch

„Menschen machen Fehler, das ist ganz normal. Diese Fehler sollten aber nicht dazu führen, dass Schaden für das Unternehmen entsteht, etwa durch Datenabfluss,

Know-how-Diebstahl oder unautorisierte Geldtransfers. Der Faktor Mensch ist deswegen ein wesentlicher Bestandteil jedes nachhaltigen Sicherheitskonzepts.“

Arne Schönbohm, Präsident des BSI

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/IT-Grundschutztag_040920.html

• Prävention durch Sensibilisierung und Schulung verhindert Sicherheitsvorfälle

• aber: „There is no Glory in Prevention“

13

Sensibilisierung und Schulung

• Sensibilisierung

• Aufmerksamkeit für Cybersicherheit erzeugen

• Handlungsbedarf offenlegen

• Schulungen

• Kompetenzen zur Cybersicherheit vermitteln

• Schulungen in Präsenzformat und als E-Learning-Kurse

• Vermittlung und Informationen zu bestehenden Schulungsangeboten

Aktueller Stand in der CSBW

• Teilprojekt Sensibilisierung und Schulung im Aufbaustab der CSBW

• Aufbauphase Oktober 2020 – Dezember 2021

• Aufbau Kompetenzzentrum für Sensibilisierung und Schulung

• Initiale Betriebsbereitschaft in Q1/2022

• Aber: Konkrete Angebote stellen wir so früh wie möglich bereit

• Angebote werden in drei Schritten ausgerollt:

• CSBW-intern

• Landesverwaltung, Kommunen

• weitere Zielgruppen (Hochschulen, KMU, Bürger)

15

Unser Ziel

• Wir wollen helfen, Cybersicherheitsvorfälle zu verhindern.

• Wir bieten skalierbare Präventionsmaßnahmen mit messbarem Erfolg.

• Unsere Angebotsbereiche:

E-Learning

Materialien

Vernetzung

Strategie Projekte

Übungen

ISMS-Beratung Sensibilisierungskampagne

Beispiel: Schulungs-Hub

• Der Schulungs-Hub wird Teil der CSBW-Webseite.

• Interessierte können im Land bestehende Schulungs- und

Sensibilisierungsangebote finden und sich dazu informieren, wir werden hier auch CSBW-eigene Angebote listen.

17

Beispiel: Serious Game

THEMA Ein Videospiel (Serious Game) in einfacher 2D-Grafik, in dem der Spieler einen Avatar steuert und dabei spielerisch die Schulungs-Inhalte vermittelt bekommt.

ZIELGRUPPE Landesverwaltung und darüber hinaus.

INHALTE Der Spieler muss Aufgaben in typischen Arbeitssituationen lösen und trifft dabei auf Herausforderungen der Informationssicherheit.

Erste Ausbaustufe mit vier Levels: eigenes Büro, unterwegs, externes Gebäude, Home-Office (dabei 2-4 Räume pro Level).

STATUS Konzeption der Levels und Inhalte abgeschlossen.

Geplante Fertigstellung bis Q1/2022.

01 ^CSBW

Die Cybersicherheitsagentur stellt sich vor

02 ^PRÄVENTION

Vorfälle verhindern

03 ^IMPULSE

Beispiele konkreter Themenfelder

04 ^{3 TIPPS}

…um Ihre Kommune sicherer zu machen

Passwortsicherheit

Richtlinien, Passwort-Manager

21

PASSWORTSICHERHEIT

Je länger das Passwort ist, desto besser (mindestens 8 Zeichen)

Keine persönlichen Informationen, wie Geburtstage, Namen oder ähnliches verwenden

Kombinationen aus Groß-, Kleinbuchstaben und Sonderzeichen nutzen

Auf gängige Wiederholungs- und Tastaturmuster wie 1234 oder QWERTZ verzichten

Passwörter müssen geheim gehalten werden und bei Verdacht der Offenlegung schnellstmöglich gewechselt werden

Passwörter sollten geschützt aufbewahrt, unbeobachtet eingegeben und im Optimalfall nicht

aufgeschrieben werden (für die Aufbewahrung bieten sich Passwortmanager, wie Keepass2 oder ähnlich vertrauenswürdige Programme an)

Phishing

Einfallstore Phishing, Smishing, Spam-Mails

23

Clean Desk

Datenschutzbezogene Sauberkeit des Arbeitsplatzes

25

Quelle: Goldphish Cyber Risk Management 26

CLEAN DESK POLICY

Bezieht sich auf die datenschutzbezogene Sauberkeit des Arbeitsplatzes

Folgende Regeln müssen Sie am Arbeitsplatz beachten:

Sensible Daten (Personenbezogene Informationen, Passwörter, Telefonnummern, vertrauliche

Informationen usw.) an sicheren Orten verstauen, nicht am Arbeitsplatz liegen lassen und datenschutzkonform entsorgen

Datenträger (USB-Sticks, Festplatten usw.) verräumen und über die Service-Stelle entsorgen

Computer beim Verlassen des Arbeitsplatzes sperren (Windows-Taste + L)

Nur eine arbeitsbezogene Grundausrüstung auf dem Schreibtisch liegen lassen, um eine entsprechende Außenwirkung zu vermitteln und die Ablenkung zu minimieren

27

Standards

ISO 27001, IT-Grundschutz

Das offizielle IT-Grundschutz-Profil finden Sie auf der Webseite des BSI https://www.bsi.bund.de/

BASISABSICHERUNG: KOMMUNALVERWALTUNG

29

BASISABSICHERUNG: KOMMUNALVERWALTUNG

Der vom IT-Grundschutz-Profil betrachtete Informationsverbund beinhaltet

alle essentiellen Objekte einer Kommunalverwaltung, die sich wie folgt aufgliedern:

1. Infrastruktur

bspw. Verwaltungsgebäude, Bürgerbüro, Häuslicher und mobiler Arbeitsplatz, Serverraum, Raum für technische Infrastruktur, Archivraum, Drucker- und Kopierraum usw.

2. IT-Systeme

bspw. Server (z. B. Datenbankserver), Terminal-Server, Virtualisierungshost, Netzwerk-Drucker / Multifunktionsgerät, Arbeitsplatz-PC, Smartphones und Tablets usw.

3. Netze

Server- und Administrationsnetz, Demilitarisierte Zone (DMZ), Netzwerk für reguläre Arbeitsplätze, WLAN (intern / ggf. öffentlich), Gebäudeübergreifende Vernetzung, Internet-Zugang für die Verwaltung,

Autonomer Internet-Zugang, Firewall, Router / Switch, TK-Anlage (inkl. Fax).

4. Anwendungen

Internet-Nutzung, Benutzer-Authentifizierung, Dateiablage, Bürokommunikation (Groupware und E-Mail)

01 ^CSBW

Die Cybersicherheitsagentur stellt sich vor

02 ^PRÄVENTION

Vorfälle verhindern

03 ^IMPULSE

Beispiele konkreter Themenfelder

04 ^{3 TIPPS}

…um Ihre Kommune sicherer zu machen

.

.

Tipp 1

RICHTIG VORBEUGEN

 Aktuelle Software & regelmäßige Updates

 regelmäßige Sicherungen (keine Online-Backups, sondern externe Backups)

 Sensibilisierung & Schulung der Mitarbeitenden

 Offene Fehlerkultur

 Erstellen eines Maßnahmenplans für den möglichen Cyberangriff

33

.

Tipp 2

 Keine Panik, sondern Ruhe bewahren &

überlegt handeln

 Schnell handeln

 Klare & strukturierte Analyse der Situation

 Rat bei Fachleuten suchen, nicht einfach ausschalten

 Alles dokumentieren

RICHTIG HANDELN

.

Tipp 3

 Daten wiederherstellen und Lücken schließen

 Spuren sichern zur Analyse und Strafverfolgung (ZAC des LKA Baden-Württemberg)

 Vorsorge für die Zukunft

RICHTIG REAGIEREN

35

Das heißt für Sie:

Kommunen sind ein Angriffsziel ABER:

Sie können vorsorgen und sich wehren!

Investieren Sie in Ihre Cybersicherheit – wir und die kommunalen IT-Dienstleister

unterstützen Sie dabei!

Fragen – die Sie sich stellen sollten

• Was muss ich mir anschauen, um Cybersicherheit zu verbessern?

• Was kann ich technisch, programmatisch, organisatorisch und personell tun?

• Welche Standards und Vorlagen kann ich nutzen?

• Wie könnte ein einfaches Notfallmanagement aussehen?

…

37

Dr. Ivan Bogicevic

Referent für Cybersicherheit

Cybersicherheitsagentur Baden-Württemberg ivan.bogicevic@im.bwl.de