IT-Sicherheits-Praktikum:
    
Sicherheitskonzept erstellen

Bericht (15 Seitenbrutto)
Präsi (20

Apotheke:1 Apotheker, 3 Angestellte, Kasse verbunden mit Warenwirtschaftssystem und Apothekensoftware. 2 BüroPC mitInternetzugang. 
Auf welcher Hardware läuft das WWS? <-- Ich glaube wir können uns das selber festlegen. Ja. Ich würd sagen: zentraler Server in der Firma.+1
Was nehmen wir über die Apothekensoftware an?

Eigenschaften einer Apothekensoftware

Bsp. Apothekensoftware
*www.awinta.de
bietet eine IT-Fibel an:
    http://www.awinta.de/fileadmin/user_upload/News/awinta_Handbuch_-_Das_umfangreiche_Taschenlexikon_rund_um_die_IT_in_Ihrer_Apotheke.pdf

http://dutimo.de/
Scheint eine kleinere Software zu sein. Das ist nur eine Software zur Anzeige von Apothekennotdiensten - keine Apothekensoftware.

http://www.asys-apothekensysteme.de/

http://www.cida.de/startseite/
Sieht interessant aus!

http://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile
https://www.datenschutzzentrum.de/backup-magazin/backup01.pdf


TODO:
	* Netzplan erstellen <-- Tarek --> Erleding
	* Schutzsbedarfsfeststellung ->Risikoanalyse (Arina) --> Erleding
	* PC-Sicherheit (Matthias) 
		* Benutzer accounds (Nicht admin)
		* Automatische Updates aktiviren
		* Virenschutz
	* Browser-/Internetsicherheit <-- Tarek --> Erleding
	* Passwörter <-- Ariana --> Erleding
	* Email-Sicherheit <-- Tarek --> Erleding
	* Backup-Datenbank (Keno) --> Erleding
	* Faktor Mensch (Datenschutz) (Keno) https://www.it-sicherheit.de/ratgeber/checklisten_it_sicherheit/checkliste/checkliste-wie-schuetze-ich-mich-vor-social-engine/ --> WIP-->Erledigt
	* Vorbereitung Doku. Was ist IT-Sicherheit?, Was ist ein IT-Sicherheitskonzept?, Einleitung, Deckblatt, Layout... (Jan) --> Erledigt
	* Grafik der Netzstruktur unserer Apotheke malen <-- Tarek --> Erleding

*Präsentation:

	* Netzwerk
		* Server (Radius) (LDAP)
		* WLAN u. LAN
			* Getrennt durch Subnetze

	* Browsersicherheit
		* Firefox
		* Masterpassword
		* Plugins:
			* HTTPS everywhere
			* AD Block Plus
			* Ghostery

	* Emailsicherheit
		* Thunderbird
			* aktiven Inhalten deaktivirt (JS)
			* HTML deaktivieren
			* Plugin:
				* Enigmail (GPG)

Faktor Mensch 
	* Schäden durch Social Engenieering 
	* Verhindern durch Schulung und Sensibilisierung 
 Ziele : 
	* Aufmerksam machen 
	* Grundwissen vermitteln 
	* spezielle Informationssicherheitskenntnisse vermitteln 
	* Praxiswissen vermitteln 
	* dauerhafte Verhaltensänderungen erzielen 

*Dokumentation:

// ---- Start Netzwerk ----
Das Modem, welches vom Internet Service Provider (kurz ISP) zur Verfügung gestellt wird, stellt die Verbindung zum Internet bereit. An dieses Modem wird ein Router angeschlossen, der eine Firewall sowie ein NAT (Network Address Translation).
Um fremden Zugriff auf das Netzwerk auszuschließen, ist folgende Konfiguration zu empfehlen:

Auf den lokalen Server läuft ein RADIUS (Remote Authentication Dial-In User Service) in kombination mit einem LDAP (Lightweight Directory Access Protocol) Über den Radius können sich netzwerkteilnehmer aus dem LAN (IEEE 802.1X) und WLAN mit benutzer spezifischen zugangsdaten Autentifiziren. Die Netzwerkteilnehmer müsen zuvor erstellt worden sein. Somit ist gerärleistet das fremden Zugriff auf das Netzwerk ausgeschlossener sind. Das WLAN und das LAN netzwerk sind zusätzlich durch zwei Subnetze getrennt.

// ---- End Netzwerk ----

//---- Start Browser ----
BrowserSchutz
Als Browser kommt der vom BSI empfohlene Browser Mozilla Firefox zu Einsatz. Ein weiterer Indiz für die Sicherheit und Stabilität des Mozilla Firefox Browsers ist der Aktive Einsatz im TOR Projekt (The Onion Routing). Empfohlen ist die Standardeinstellung von Mozilla Firefox zu verwenden. Falls Passwörter im Browser gespeichert werden sollen wird zwingend empfohlen das Master-Passwort (Kapitel SicherePasswörter berücksichtigen) als Schutz in den Browsereinstellungen zu setzen. Andernfalls sollte die Option „Passwörter Speichern“ Deaktiviert werden.

Im folgenden eine Liste mit Plugins die das Surfverhalten Sicherer und Anonymisierter gestalten:

HTTPS everywhere:
Dieses Plug-in sorgt dafür das beim Aufruf von unsicheren Webseiten ohne SSL (http),geprüft wird ob SSL verfügbar ist. Bietet die Webseite SSL (https) an, sorgt das Plug-in automatisch dafür das der User von http auf https weitergeleitet wird. Das betrifft z.B. auch den Fall wenn der User auf einer sicheren Webseite ist, dort allerdings andere unsichere Webseiten verlinkt sind.

AD Block Plus:
Durch das Plug-In AD Block Plus wird Spamwerbung unterdrückt. Ein Browser Nutzer könnte versehnetlich auf ein Werbebanner klicket wo Schadsoftware enthalten ist. Durch AD Block Plus werden diese Werbebanner entfehrnt. Somit werden Angriffe über den Webbrowser minimiert und die Potentiellen Einfallstore über Werbebanner verhindert.

Ghostery:
Das Add-on Ghostery erkennt sogennante Tracker, die im Hintergrund des Browsers agieren und auf den Webseiten gezielt die Verhaltensdaten eines besuchers analysiert und sammelt. Weiterhin werden Google Analytics, Facebook-Beacons, Privacy & Widgets von über 500 Werbenetzwerken erkannt und blockiert. Optional sollte der Einstellungspunk „Ghostrank“ deaktiviert werden.

Httpseverywhere:
https://www.eff.org/de/https-everywhere

AD Block Plus
https://adblockplus.org/de/about#project

Ghostery
https://www.ghostery.com/why-ghostery/tracker-basics/
http://blog.botfrei.de/2015/10/ghostery-vs-privacy-badger/

Tor:
https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29

Browser Konfiguration:
https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/Sicherheitsmassnahmen/SicherheitsCheck/sicherheitscheck_node.html
-> der Link ist tot
https://support.mozilla.org/de/kb/Einstellungen-Fenster%20-%20Sicherheits-Abschnitt
// ---- End Browser ----


// ---- Start Mail ----

Als Mail client wir der Moziller Thunderbird empfohlen. Für einen optimal sicheren gebrauch von Thunderbird ist zu empfehlen das, das anzeigen von aktiven Inhalten deaktivirt wird. Zudem sollte in den Konto einstellungen der Einstellungspunkt "Nachrichten im HTML-Formatverfassen" deaktiviert sein und "empfangene E-Mails nur als Text anzeigen" ausgewählt sein. Es ist weiterhin zu empfehlen in den Einstellungen unter der rubrik Datenschutz dem Antiviren Programm zu ermöglichen eingehende nachrichten unter Quarantäne zu stellen. Zur Email Verschlüsselung sollte das Plug-In Enigmail installiert werden und über den einrichtungs assistenten eingerichtet werden. Es ist zu empfehlen sich and die bsi email client checklist zu halten.

Enigmail:
Das Add-on Enigmail ermöglicht eine angeneme und schnelle einrichtung von GPG verschlüsselung. GPG steht für GNU Privacy Guard und dient der Ende zu Ende verschlüsselung von Email verkehr.

Thunderbird Checklist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_thunderbird2_pdf.pdf?__blob=publicationFile

GPG:
https://www.gnupg.org/
Enigmail:
https://www.enigmail.net/home/index.php
// ---- End Mail ----


Good to know:
Was man sich für die FIrefox-Konfiguration vielleicht auch noch angucken könnte: https://github.com/amq/firefox-debloat (Vorschlag von außen) <-- THX


Passwortschutz unter Windows-System 
 
Benutzerkonten ohne Passwort stellen eine Schwachstelle im System dar. Da die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems vom korrektem gebrauch der Passwörter abhängig ist, ist es wichtig, dass Benutzer die Schutzfunktion der Passwörter kennen und eine Regelung zum Passwortgebrauch eingeführt wird. Eine automatische Anmeldung und Gastkonten sollten stets deaktiviert sein.  
 
Folgende Regelungen zur Erstellung eines Passworts sollten beachtet werden: k
 
	* Die Zeichenzusammensetzung des Passwortes muss so komplex sein, dass es nicht leicht zu erraten ist. Namen, Kfz-Kennzeichen, Geburtsdatum usw. dürfen deshalb nicht als Passwörter gewählt werden. 
	* Das Passwort darf nicht zu kompliziert sein, damit der Besitzer mit vertretbarem Aufwand in der Lage ist, es auswendig zu lernen. 
	* Ein Passwort sollte aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Es sollten mindestens zwei dieser Anforderungen umgesetzt sein. 
	* Passwörter müssen geheim gehalten werden und sollten nur dem Benutzer persönlich bekannt sein. 
	* Das Passwort sollte allenfalls für die Hinterlegung schriftlich fixiert werden, wobei es in diesem Fall in einem verschlossenen Umschlag sicher aufbewahrt werden muss. Wird es darüber hinaus aufgeschrieben, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren 
	* Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist oder der Verdacht besteht. 
	* Die Eingabe des Passwortes sollte unbeobachtet stattfinden

Quellen: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html;jsessionid=4D0262E4E9A8BCBE136026AC2713F5B2.2_cid368?nn=6610622
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04048.html



Faktor Mensch 
 
Schäden durch Social Engineering resultieren oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Dies verhindert man indem man alle Mitarbeiter zum sorgfältigen Umgang mit geschäftsrelevanten Informationen schult und motiviert. Ein Verständnis für die erforderlichen Maßnahmen zur Informationssicherheit kann durch die Vermittlung der notwendigen Kenntnisse geweckt werden. Dafür werden Mitarbeiter in Online Schulungen für Datenschutz und Datensicherheit sensibilisiert. Dort wird durch viele anschauliche Beispiele verdeutlicht wann Mitarbeiter an Datenschutz denken sollten und wie sie alltäglichen Fallen im Beruf ausweichen können. Eine solche Schulung wird z.B. von daschug durchgeführt. 
 
Quellen: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m03/m03005.html 
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02557.html?nn=6610638 
https://daschug.de/allgemeine-mitarbeiter-sensibilisierung-2/ 

Typische Ziele solcher Schulungsmaßnahmen können sein:
	* Aufmerksamkeit und Interesse für Informationssicherheit gewinnen,
	* Grundwissen zur Informationssicherheit vermitteln,
	* spezielle Informationssicherheitskenntnisse vermitteln, die für Fachaufgaben der Mitarbeiter benötigt werden,
	* Praxiswissen vermitteln, sodass Mitarbeiter in sicherheitskritischen Situationen richtig reagieren und
	* dauerhafte Verhaltensänderungen erzielen, damit Mitarbeiter erkennen und akzeptieren, dass Richtlinien und Maßnahmen zur Informationssicherheit notwendig sind und sie diese in ihren Arbeitsalltag integrieren.


https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02557.html?nn=6610638