12.01.2018

1

Dipl.-Ing. Karsten Klick, 12. Januar 2018

Datensicherheit in öffentlichen

Bauprojekten

Vortrag: Karsten Klick, Kommunal Agentur NRW www.bits-training.de

1

2

France 2, 13 heures, 09.04.2015

BFMTV, 09.04.2015

12.01.2018

2

3

BBC-Dokumentation „Nick and Margaret: The Trouble with Our Trains “ vom 29.04.2015

„Security by design“ vs. „DAU“

Fußball-WM 2004, Sicherheitszentrale, Twitter 23.06.2014 (Passwort des WLANs: b5a2112014 = brazil2014)

12.01.2018

3

Beschäftigtenfehler auf Platz 2

• Nach <kes>/MS-Sicherheitsstudie 2016

• Platz 1 der Topgefährdungen: Malware• Platz 2: Irrtum/Nachlässigkeit Mitarbeiter• Platz 3: Hacking• Platz 4: unbefugte Kenntnisnahme,

Informationsdiebstahl, Wirtschaftsspionage

https://www.kes.info/aktuelles/microsoft-studie-2016/

Ransomware

• Nach Umfrage BSI in I/2016

• 32% aller befragten Institutionen war in den letzten 6 Monaten von Ransomwarebetroffen

• Hauptvektor sind E-Mail-Anhänge• 76% der Befragten wollen Beschäftigte

besser schulen• Mit 41% liegen bessere technische

Netzfilter an zweiter Stelle

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html

6

12.01.2018

4

„Mitarbeiter schwächstes Glied in IT-Sicherheitskette“• Bundesdruckerei 2017 „Digitalisierung und IT-

Sicherheit“

• „Beunruhigender Befund“, dass nur 46% der befragten Unternehmen Mitarbeiter regelmäßig zur IT-Sicherheit schulen

• 18% planen solche Schulungen• Rückgang gegenüber 2016

• 55% schulten Mitarbeiter regelmäßig, • weitere 16% beabsichtigten dies

https://www.bundesdruckerei.de/de/system/files/dokumente/pdf/Studie-Digitalisierung_und_IT-Sicherheit.pdf

7

Awareness-Maßnahmen• Nach Umfrage BSI in III/2015

• Nur 17% der Befragten: „Keine Angriffe“• 60% setzen auf Schulungen und

Dienstanweisungen etc.• Nur 27% nutzen E-Learning• Hauptgründe für fehlende Maßnahmen:

• Keine Zeit / Ressource (51%)• Fehlende Unterstützung durch

Unternehmensleitung (41%)• Mangelndes Know-how bzgl. Umsetzung (37%)

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Erfahrungsaustausch/ERFA-Kreise/Awareness/Umfrage/umfrage_awareness_2015.html

8

12.01.2018

5

Personelle IT-Sicherheitsmaßnahmen• Nach Umfrage Bundesdruckerei in I/2016

• 43% sehen mangelndes Sicherheitsbewusstsein als Hürde

• 55% befragten Unternehmen führen regelmäßig Beschäftigtenschulungen durch

• aber 92% sehen gleichwohl (hohen) Verbesserungsbedarf

https://www.bundesdruckerei.de/de/studie-it-sicherheit

9

Maßnahmen

• Security by design

• Schulungen (richtige Bedienung)

• Sensibilisierungen• Texte/Bilder, z.B. Flyer, Poster, Internet

• Videos, z.B. www.enisa.europa.eu

• Präsenzveranstaltungen zentral/dezentral

• E-Learning

• z.B. „Lernwelt Informations-sicherheit am Arbeitsplatz“ der BAkÖV

• Behörden-IT-Sicherheitstraining - BITS10

12.01.2018

6

Motivation für BITS

• Schulung am eigenen Arbeitsplatz• minimiert Aufwand und• erlaubt zeitlich flexible Nutzung

• Änderungen sollten individuell, schnell und zentral möglich sein

• Interaktionsmöglichkeiten zur Erhöhung der Aufmerksamkeit

• Corporate Identity soll Berücksichtigung finden

• Kostenfreiheit

11

Autoren und Versionen von BITS

• Ausgangspunkt: Arbeitskreis IT des Städte- und Gemeindebundes Nordrhein-Westfalen

• Herausgegeben von der Kommunal Agentur NRW und Dr. Lutz Gollan, BIS, Hamburg

• Versionen• BITS v1: 2006• BITS v2: 2008 (weitere Kapitel)• BITS v3: 2011 (neues Kapitel Social Media)• BITS v4: 2017 (neues Kapitel, aktualisiert)• BITS v5: 2018 (Bootstrap-Framework)

12.01.2018

7

Autoren und Versionen von BITS

• Ausgangspunkt: Arbeitskreis IT des Städte- und Gemeindebundes Nordrhein-Westfalen

• Herausgegeben von der Kommunal Agentur NRW und Dr. Lutz Gollan, BIS, Hamburg

• Versionen• BITS v1: 2006• BITS v2: 2008 (weitere Kapitel)• BITS v3: 2011 (neues Kapitel Social Media)• BITS v4: 2017 (neues Kapitel, aktualisiert)• BITS v5: 2018 (?) (neues Framework)

Installation und Nutzung

• Herunterladen, entpacken, loslegen!• Leicht Anpassungen über HTML-Code

möglich (s. Readme.txt) inkl. Logoänderung• Installation durch Verlinken der Start-Seite im

Intranet (Fileserver oder SharePoint)• Auch Internet-Nutzung möglich• Zeit- und ortsunabhängig Nutzung• Kostenfreiheit / Creative Commons• Keine Beschränkung der Nutzeranzahl

12.01.2018

8

Sneak Preview I

Inhalte

• 9 Lektionen (je 5 - 15 Minuten), die unab-hängig von einander genutzt werden können• E-Mail, Viren, Passwörter, Internet, Mobile Geräte,

Vertrauliche Daten, Social Media, Am Arbeitsplatz, NEU: Cloud (v4)

• Einfacher Text mit• Problemaufriss und• Vorschlägen für Verhaltensweise

• Inhalte können vom „Betreiber“ leicht erweitert und angepasst werden (HTML)

• Integrierte Suche

12.01.2018

9

Sneak Preview II

Wissens-Check

• Nach jeder Lektion Wissens-Check• Nutzung ist freiwillig• Ergebnisse werden nicht gespeichert• Falsche Lösungen werden erklärt

12.01.2018

10

Sneak Preview III

Technik

• Direkt startbares HTML• Getestet unter IE/Edge, Firefox,

Chrome, Opera, Chrome, Vivaldi, Safari

12.01.2018

11

Verfügbarkeit

• Nutzbar im Internet unterwww.bits-training.de

• Download in gezippter Form der HTML-Dateien mit Readme.txt

• Komplett kostenlos und unter Creative Commons-Lizenz (BY-SA)

• Hosting inkl. Nutzerzertifikate bei Kommunal Agentur NRW möglich

Verbreitung und Anpassbarkeit• Behörden aller Größen

(300 – 100.000 Beschäftigte)• Bundes- und Landesbehörden, Städte,

Landkreise, Forschungseinrichtungen, Polizei, Max-Planck-Gesellschaft …

• z.T. verpflichtend durch Dienstanweisung• Ansprechpersonen und sonstige Infos durch

Texteditor leicht anpassbar (siehe Readme.txt)• Weitere Lektionen möglich (HTML)• Layout über Austausch des Logos und

Änderung im CSS möglich

12.01.2018

12

Weiterentwicklung

• Bootstrap-Framework in v5 für verbesserte Funktionalitäten und Anpassbarkeit

• Laufende inhaltliche Verbesserungen

Diese Präsentation ist urheberrechtlich geschützt ®. Jegliche auch auszugsweise Veröffentlichung, Vervielfältigung, Änderung oder sonstige Verwendung ist nur nach schriftlicher Zustimmung der Kommunal Agentur NRW GmbH gestattet.

Vielen Dank für Ihre Aufmerksamkeit!

Dipl.-Ing. Karsten Klick, 12. Januar 2018 24

Karsten Klick

Kommunal Agentur NRW

Telefon:0211-43077-107

klick@kommunalagenturnrw.de

www.kommunalagenturnrw.de