148 lines
11 KiB
Markdown
148 lines
11 KiB
Markdown
- # Verordnung & Rahmenplan
|
||
- 
|
||
- 
|
||
- # Unterweisung IT-Sicherheit
|
||
- ## Gliederung
|
||
- ### Thema der Unterweisung
|
||
- Gefahren im Umgang mit E-Mails analysieren und geeignet Sicherheitsmaßnahmen auswählen und umsetzen.
|
||
- ### Angaben zum Betrieb
|
||
- Die KRAH-Gruppe ist ein Elektronikunternehmen, welches mit ihren ca. 2.000 Mitarbeitern weltweit auf eine 50-jährige Erfolgsgeschichte zurückblicken kann. Am Standort in Drolshagen sind ca. 190 Mitarbeiter beschäftigt. Im Unternehmen werden verschiedene Berufe ausgebildet.
|
||
- Die Digitalisierung und Unterstützung der Fachbereiche mit IT-Services schreiten stetig voran, weshalb künftig auch im Bereich Informationstechnologie ausgebildet werden soll. Das Unterweisungsthema „TODO“, ist ein wichtiger Bestandteil der Dienstleistungen, die der IT-Bereich unseren internen Kunden anbietet.
|
||
- ### Adressatenanalyse
|
||
- Der 17-jährige Philip Mustermann befindet sich seit 01.08.2022 in einem Ausbildungsverhältnis zum Fachinformatiker (Fachrichtung: Anwendungsentwicklung) bei der Firma KRAH Elektrotechnische Fabrik GmbH & Co. KG in Drolshagen.
|
||
- Zuvor besuchte er das Gymnasium bis zur 10. Klasse und erlangte die Mittlere Reife / Sekundarabschluss I. Philip ist ein ruhiger und besonnener, sehr interessierter und engagierter Jugendlicher, der stets mit großem Interesse arbeitet und über eine schnelle Auffassungsgabe verfügt.
|
||
- ### Richtlernziel
|
||
- Lfd. Nr. 6: Umsetzen, Integrieren und Prüfen von Maßnahmen zur IT-Sicherheit und zum Datenschutz (§4 Abs 2 Nummer 6)
|
||
- ### Groblernziel
|
||
- b) Sicherheitsanforderungen von IT-Systemen analysieren und Maßnahmen zur IT-Sicherheit ableiten, abstimmen, umsetzen und evaluieren
|
||
- ### Geplanter Ablauf der praktischen Durchführung mit einem Lehrgespräch
|
||
- Sicherheitsmaßnahmen
|
||
- Eingehende E-Mails
|
||
- E-Mail und Anlagen löschen
|
||
- Anlagen und Links in sicherer Umgebung öffnen
|
||
- Sensibilisierung und Information an Mitarbeiter (interne Kunden)
|
||
- automatische Filter (nach Inhalt, Analgentyp)
|
||
- Ausgehende E-Mails
|
||
- Vertrauliche und sensibile Informationen verschlüsseln
|
||
- Auf E-Mail verzichten
|
||
- #### Abschluss
|
||
- Azubi fasst das Gelernte nochmal zusammen
|
||
- Ausblick auf die nächste Unterweisung
|
||
- Dank für die Mitarbeit
|
||
- Hinweis, die Unterweisung ins Berichtsheft einzutragen
|
||
- ## Ideen
|
||
- Motivation:
|
||
- das nächsten Onboarding begleiten, und bei der Einführung zur IT-Sicherheit unterstützen
|
||
- eigenständig Helpdesk-Tickets zur Sicherheitsgragen bearbeiten
|
||
- dafür sorgen, dass unsere Firma auch künftig nicht gehackt wird
|
||
- SPAM
|
||
- Sandbox (Maßnahme)
|
||
- Internet-Browser
|
||
- Social Engeneering
|
||
- Manipulationstricks:
|
||
- {:width 200}
|
||
- Falsche Identitäten + schützenswerte Informationen
|
||
- Welche Unternehmensinformationen sind schützenswert?
|
||
- Interne Strukturen und Verantwortlichkeiten
|
||
- Kunden- und Mitarbeiterdaten
|
||
- Zugangsdaten, Passwörter
|
||
- Projekt- oder Produktdaten
|
||
- Interne Prozesse oder genutzte Software
|
||
- Partner / Kooperationen
|
||
- Verifizieren Sie den Anrufer - „Wo sitzen Sie eigentlich bei uns im Haus?“
|
||
- Bewahren Sie Ruhe und Selbstbewusstsein.
|
||
- Führen Sie niemals auf Aufforderung Dateien oder Programme aus und geben Sie keine Zugangsdaten weiter.
|
||
- Informieren Sie Ihren Vorgesetzten oder die IT.
|
||
- Vergessen Sie nie: Sie sind der wichtigste Teil der Sicherheit in Ihrem Unternehmen!
|
||
- Vishing:
|
||
- Wie nennt man Angriffsversuche via Telefon?
|
||
- Phishing
|
||
- Hijacking
|
||
- Phreaking
|
||
- Vishing (X)
|
||
- 1. Opfer ausfindig machen
|
||
Cyberkriminelle machen die Durchwahl eines Mitarbeiters im Unternehmen ausfindig (z. B. über die Firmenwebseite oder soziale Medien) oder lassen sich unter einem Vorwand an einen Mitarbeitenden vermitteln.
|
||
- 2. Rolle vorspielen
|
||
Sie geben sich als vertrauenswürdige Personen aus, z. B. als neuer Kollege, Praktikant oder Mitarbeiter einer Behörde.
|
||
- 3. Hintergrundgeschichte erzählen
|
||
Die Cyberkriminellen erfinden eine möglichst glaubhafte Geschichte, warum gerade Sie bestimmte Informationen weitergeben müssen (eine betriebsinterne Umfrage, die Vorbereitung einer organisatorischen Maßnahme o. ä.).
|
||
- 4. Psychologische Tricks anwenden
|
||
Sie setzen dabei Social Engineering ein, geschickte psychologische Tricks (z. B. Zeitdruck, Angst, Ausnutzen von Hilfsbereitschaft), um Ihr Bauchgefühl zu überlisten. Sie versuchen Sie zu schnellem und unüberlegtem Handeln und zur Herausgabe der gewünschten Informationen zu bewegen.
|
||
- 5. Informationen erbeuten
|
||
Sie nutzen die Informationen entweder direkt oder als Baustein, um weitergehende Angriffe noch glaubhafter gestalten zu können.
|
||
- Wie können Sie sich vor Vishing schützen?
|
||
- Vor Vishing-Angriffen sollte Sie zuallererst Ihr gesundes Bauchgefühl schützen. Was können Sie bei einem Anruf aber noch tun bzw. was sollten Sie unterlassen, wenn Sie Zweifel an der Rechtmäßigkeit hegen?
|
||
- Ich gebe niemals Zugangsdaten oder Kontoverbindungen telefonisch weiter.
|
||
- Ich stelle dem Anrufer eine Kontrollfrage, die nur legitime Personen beantworten können.
|
||
- Ich recherchiere die Telefonnummer des Anrufenden über offizielle Telefonverzeichnisse und rufe zurück.
|
||
- Ich bewahre Ruhe und lasse mich nicht zu schnellen, ungeprüften Aktionen verleiten.
|
||
- Was Sie bei Anrufen beachten sollten.
|
||
- Hören Sie auf Ihr Bauchgefühl
|
||
Seien Sie besonders aufmerksam und vorsichtig, wenn Sie einen Telefonanruf erhalten, der Ihnen ungewöhnlich erscheint, den Sie nicht erwartet haben oder der von einer Ihnen unbekannten Person kommt.
|
||
- Vertrauen Sie nicht der Telefonnummer
|
||
Vertrauen Sie nicht der Telefonnummer, die in Ihrem Telefondisplay angezeigt wird. Sie kann leicht von Cyberkriminellen gefälscht werden.
|
||
- Identifizieren Sie den Anrufer
|
||
Nutzen Sie alle Möglichkeiten, um den Anrufer zweifelsfrei zu identifizieren, bevor Sie Informationen weitergeben.
|
||
- Geben Sie keine sensiblen Informationen heraus
|
||
Nennen Sie niemals Passwörter, Zugangs- oder Bankdaten am Telefon.
|
||
-
|
||
- # Trainingsmaterial
|
||
- ## E-MAIL-SICHERHEIT
|
||
- Die meisten Cyberangriffe werden über E-Mails initiiert. In Phishing-E-Mails geben sich Kriminelle als Kollegen, Vorgesetzte oder andere vertrauenswürdige Quellen aus und versuchen, Dich zur Übermittlung sensibler Unternehmensinformationen oder zur Installation von Schadsoftware zu bewegen. Lerne im E-Learning die Methoden der Cyberkriminellen kennen. Erfahre, wie Du Phishing-E-Mails, bösartige Anhänge oder Links sicher identifizieren kannst.
|
||
- #### Inhalt:
|
||
- Was ist Phishing? Erklärung anhand prominenter Beispiele
|
||
- Wie erkenne ich das Ziel eines Links?
|
||
- Welche Dateianhänge sind gefährlich?
|
||
- Tipps:
|
||
- **IT UND ICH: EINFÜHRUNG**
|
||
- Die Absenderadresse einer E-Mail lässt sich fälschen und ist nicht vertrauenswürdig.
|
||
- Lassen Sie sich das Ziel eines Links anzeigen, indem Sie mit der Maus darüber fahren.
|
||
- Prüfen Sie den Wer-Bereich, indem Sie vom „https Doppelpunkt Doppel-Schrägstrich“ zum nächsten Schrägstrich gehen. Achten Sie auf Buchstabendreher.
|
||
- Prüfen Sie den Wer-Bereich: https://www.paypal.security-scanned.com/myaccount/transaction/details/8S716676K58992
|
||
- Prüfen Sie auch auf Login-Seiten stets den Wer-Bereich in der Adresszeile, bevor Sie Ihre Zugangsdaten eingeben.
|
||
- Öffnen Sie nie Dateianhänge, die Sie nicht explizit erwarten – insbesondere keine .exe, .zip oder Office-Dateien mit Makros.
|
||
- ## SOCIAL ENGINEERING
|
||
Die Angriffsversuche der Cyberkriminellen werden immer gewiefter - und Du bist das primäre Angriffsziel! Durch Social Engineering und gezielte psychologische Tricks versuchen zwielichtige Personen über Dich an Informationen zu gelangen. Wie Social Egineering-Angriffe funktionieren, mit welchen Tricks Cyberkriminelle dabei vorgehen und wie Du Dich dagegen schützen kannst, erfährst Du hier im E-Learning.
|
||
- Wie funktioniert ein Social Engineering-Angriff?
|
||
- Welche Tricks nutzen die Angreifer, um Mitarbeiter zu überlisten?
|
||
- Wie kann ich mich vor Social Engineering schützen?
|
||
- Tipps:
|
||
- 1. Nehmen Sie sich Zeit
|
||
- 2. Seien Sie skeptisch
|
||
- 3. Fragen Sie nach
|
||
- ## GEFÄHRLICHE WEBSEITEN – SYSTEME GEGEN ANGRIFFE SCHÜTZEN
|
||
- Viren, die sich in Downloads und hinter bösartigen Links verstecken, Formulare, die Deine Passwörter abfangen: Cyberkriminelle kennen viele Wege, um über Webseiten an Deine vertraulichen Daten und Informationen zu gelangen. Wie Du Dein System gegen derartige Angriffe schützen kannst, erfährst Du hier.
|
||
- #### Inhalt:
|
||
- Warum solltest Du Deinen Browser und Dein Betriebssystem schützen?
|
||
- Welche Möglichkeiten nutzen Cyberkriminelle, um über Webseiten auf Dein System zuzugreifen?
|
||
- Wie machst Du Dein System fit gegen gefährliche Webseiten?
|
||
- 
|
||
- ## SICHERHEIT BEIM MOBILEN ARBEITEN
|
||
- Informationssicherheit in öffentlichen Netzen
|
||
- {:width 200}
|
||
- {:width 200}
|
||
- Noch ein Sicherheitstipp:
|
||
Endgeräte verbinden sich i. d. R. automatisch mit Netzwerken, auf die Sie einmal zugegriffen haben.
|
||
Cyberkriminelle können diese Netzwerke nachahmen und Ihr Endgerät in unsichere Verbindungen locken.
|
||
Löschen Sie gespeicherte Zugänge zu öffentlichen Netzwerken direkt nach der Nutzung von Ihrem Endgerät.
|
||
- Schützen Sie sensible Informationen auf dem Monitor oder in Unterlagen vor unberechtigten Blicken.
|
||
Verhindern Sie das Mithören von sensiblen Telefongesprächen.
|
||
Informationssicherheit startet mit Ihnen!
|
||
- Lassen Sie keine Unbefugten vertrauliche Informationen einsehen oder Telefonate mithören.
|
||
- Lassen Sie Ihre Endgeräte und Arbeitsmittel nie unbewacht.
|
||
- Schützen Sie die Kommunikation in öffentlichen Netzen durch VPN.
|
||
- **Auf was muss Sarah bei der Verwendung öffentlicher Netzwerke achten?**
|
||
- Öffentliche WLANs müssen per Gesetz ein Mindestmaß an Schutz für die übermittelten Daten bieten. Sarah kann das Netzwerk also uneingeschränkt nutzen.
|
||
- Verbindungen über öffentliche WLANs sind in der Regel offen und können von Hackern oder Datendieben eingesehen werden.
|
||
- Sarah kann das öffentliche WLAN nutzen, wenn sie für eine verschlüsselte Datenverbindung sorgt.
|
||
- ## **VISHING
|
||
- Vishing ist ein perfider Versuch von Kriminellen, durch fingierte Telefonanrufe an Deine privaten oder betrieblichen Informationen zu gelangen. Sie verwenden dabei Methoden des Social Engineerings, um Dich durch psychologische Tricks bspw. in Sicherheit zu wiegen, Druck aufzubauen oder Deine Hilfsbereitschaft auszunutzen. Wie Kriminelle dabei genau verfahren, wie Du Vishing-Versuche erkennst und dagegen vorgehen kannst, das alles erfährst Du hier im E-Learning.
|
||
- #### Inhalt:
|
||
- Was ist Vishing?
|
||
- Wie gehen Cyberkriminelle in ihren Telefonaten vor?
|
||
- Wie kann ich mich vor Vishing-Angriffen schützen?
|
||
-
|
||
-
|
||
- # Beispiele Unterweisungen
|
||
- 
|
||
- |