Datensicherheit in öffentlichen Bauprojekten · ... // ... • E-Mail, Viren, Passwörter,...
Transcript of Datensicherheit in öffentlichen Bauprojekten · ... // ... • E-Mail, Viren, Passwörter,...
12.01.2018
1
Dipl.-Ing. Karsten Klick, 12. Januar 2018
Datensicherheit in öffentlichen
Bauprojekten
Vortrag: Karsten Klick, Kommunal Agentur NRW www.bits-training.de
1
2
France 2, 13 heures, 09.04.2015
BFMTV, 09.04.2015
12.01.2018
2
3
BBC-Dokumentation „Nick and Margaret: The Trouble with Our Trains “ vom 29.04.2015
„Security by design“ vs. „DAU“
Fußball-WM 2004, Sicherheitszentrale, Twitter 23.06.2014 (Passwort des WLANs: b5a2112014 = brazil2014)
12.01.2018
3
Beschäftigtenfehler auf Platz 2
• Nach <kes>/MS-Sicherheitsstudie 2016
• Platz 1 der Topgefährdungen: Malware• Platz 2: Irrtum/Nachlässigkeit Mitarbeiter• Platz 3: Hacking• Platz 4: unbefugte Kenntnisnahme,
Informationsdiebstahl, Wirtschaftsspionage
https://www.kes.info/aktuelles/microsoft-studie-2016/
Ransomware
• Nach Umfrage BSI in I/2016
• 32% aller befragten Institutionen war in den letzten 6 Monaten von Ransomwarebetroffen
• Hauptvektor sind E-Mail-Anhänge• 76% der Befragten wollen Beschäftigte
besser schulen• Mit 41% liegen bessere technische
Netzfilter an zweiter Stelle
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html
6
12.01.2018
4
„Mitarbeiter schwächstes Glied in IT-Sicherheitskette“• Bundesdruckerei 2017 „Digitalisierung und IT-
Sicherheit“
• „Beunruhigender Befund“, dass nur 46% der befragten Unternehmen Mitarbeiter regelmäßig zur IT-Sicherheit schulen
• 18% planen solche Schulungen• Rückgang gegenüber 2016
• 55% schulten Mitarbeiter regelmäßig, • weitere 16% beabsichtigten dies
https://www.bundesdruckerei.de/de/system/files/dokumente/pdf/Studie-Digitalisierung_und_IT-Sicherheit.pdf
7
Awareness-Maßnahmen• Nach Umfrage BSI in III/2015
• Nur 17% der Befragten: „Keine Angriffe“• 60% setzen auf Schulungen und
Dienstanweisungen etc.• Nur 27% nutzen E-Learning• Hauptgründe für fehlende Maßnahmen:
• Keine Zeit / Ressource (51%)• Fehlende Unterstützung durch
Unternehmensleitung (41%)• Mangelndes Know-how bzgl. Umsetzung (37%)
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Erfahrungsaustausch/ERFA-Kreise/Awareness/Umfrage/umfrage_awareness_2015.html
8
12.01.2018
5
Personelle IT-Sicherheitsmaßnahmen• Nach Umfrage Bundesdruckerei in I/2016
• 43% sehen mangelndes Sicherheitsbewusstsein als Hürde
• 55% befragten Unternehmen führen regelmäßig Beschäftigtenschulungen durch
• aber 92% sehen gleichwohl (hohen) Verbesserungsbedarf
https://www.bundesdruckerei.de/de/studie-it-sicherheit
9
Maßnahmen
• Security by design
• Schulungen (richtige Bedienung)
• Sensibilisierungen• Texte/Bilder, z.B. Flyer, Poster, Internet
• Videos, z.B. www.enisa.europa.eu
• Präsenzveranstaltungen zentral/dezentral
• E-Learning
• z.B. „Lernwelt Informations-sicherheit am Arbeitsplatz“ der BAkÖV
• Behörden-IT-Sicherheitstraining - BITS10
12.01.2018
6
Motivation für BITS
• Schulung am eigenen Arbeitsplatz• minimiert Aufwand und• erlaubt zeitlich flexible Nutzung
• Änderungen sollten individuell, schnell und zentral möglich sein
• Interaktionsmöglichkeiten zur Erhöhung der Aufmerksamkeit
• Corporate Identity soll Berücksichtigung finden
• Kostenfreiheit
11
Autoren und Versionen von BITS
• Ausgangspunkt: Arbeitskreis IT des Städte- und Gemeindebundes Nordrhein-Westfalen
• Herausgegeben von der Kommunal Agentur NRW und Dr. Lutz Gollan, BIS, Hamburg
• Versionen• BITS v1: 2006• BITS v2: 2008 (weitere Kapitel)• BITS v3: 2011 (neues Kapitel Social Media)• BITS v4: 2017 (neues Kapitel, aktualisiert)• BITS v5: 2018 (Bootstrap-Framework)
12.01.2018
7
Autoren und Versionen von BITS
• Ausgangspunkt: Arbeitskreis IT des Städte- und Gemeindebundes Nordrhein-Westfalen
• Herausgegeben von der Kommunal Agentur NRW und Dr. Lutz Gollan, BIS, Hamburg
• Versionen• BITS v1: 2006• BITS v2: 2008 (weitere Kapitel)• BITS v3: 2011 (neues Kapitel Social Media)• BITS v4: 2017 (neues Kapitel, aktualisiert)• BITS v5: 2018 (?) (neues Framework)
Installation und Nutzung
• Herunterladen, entpacken, loslegen!• Leicht Anpassungen über HTML-Code
möglich (s. Readme.txt) inkl. Logoänderung• Installation durch Verlinken der Start-Seite im
Intranet (Fileserver oder SharePoint)• Auch Internet-Nutzung möglich• Zeit- und ortsunabhängig Nutzung• Kostenfreiheit / Creative Commons• Keine Beschränkung der Nutzeranzahl
12.01.2018
8
Sneak Preview I
Inhalte
• 9 Lektionen (je 5 - 15 Minuten), die unab-hängig von einander genutzt werden können• E-Mail, Viren, Passwörter, Internet, Mobile Geräte,
Vertrauliche Daten, Social Media, Am Arbeitsplatz, NEU: Cloud (v4)
• Einfacher Text mit• Problemaufriss und• Vorschlägen für Verhaltensweise
• Inhalte können vom „Betreiber“ leicht erweitert und angepasst werden (HTML)
• Integrierte Suche
12.01.2018
9
Sneak Preview II
Wissens-Check
• Nach jeder Lektion Wissens-Check• Nutzung ist freiwillig• Ergebnisse werden nicht gespeichert• Falsche Lösungen werden erklärt
12.01.2018
10
Sneak Preview III
Technik
• Direkt startbares HTML• Getestet unter IE/Edge, Firefox,
Chrome, Opera, Chrome, Vivaldi, Safari
12.01.2018
11
Verfügbarkeit
• Nutzbar im Internet unterwww.bits-training.de
• Download in gezippter Form der HTML-Dateien mit Readme.txt
• Komplett kostenlos und unter Creative Commons-Lizenz (BY-SA)
• Hosting inkl. Nutzerzertifikate bei Kommunal Agentur NRW möglich
Verbreitung und Anpassbarkeit• Behörden aller Größen
(300 – 100.000 Beschäftigte)• Bundes- und Landesbehörden, Städte,
Landkreise, Forschungseinrichtungen, Polizei, Max-Planck-Gesellschaft …
• z.T. verpflichtend durch Dienstanweisung• Ansprechpersonen und sonstige Infos durch
Texteditor leicht anpassbar (siehe Readme.txt)• Weitere Lektionen möglich (HTML)• Layout über Austausch des Logos und
Änderung im CSS möglich
12.01.2018
12
Weiterentwicklung
• Bootstrap-Framework in v5 für verbesserte Funktionalitäten und Anpassbarkeit
• Laufende inhaltliche Verbesserungen
Diese Präsentation ist urheberrechtlich geschützt ®. Jegliche auch auszugsweise Veröffentlichung, Vervielfältigung, Änderung oder sonstige Verwendung ist nur nach schriftlicher Zustimmung der Kommunal Agentur NRW GmbH gestattet.
Vielen Dank für Ihre Aufmerksamkeit!
Dipl.-Ing. Karsten Klick, 12. Januar 2018 24
Karsten Klick
Kommunal Agentur NRW
Telefon:0211-43077-107
www.kommunalagenturnrw.de