Sicherheit bei der elektronischen Auftragsabwicklung

Transkript

1 IT-Profits, Berlin, Anwenderforum Sicherheit bei der elektronischen Auftragsabwicklung gefördert durch das 1 Agenda Arbeitshintergrund Einführung Elemente einer elektronischen Auftragsabwicklung Sicherheitsaspekte dieser Prozesskette Grundlegendes zur IT-Sicherheit Hilfsmittel und weitere Informationen 2 1

2 Arbeitshintergrund 3 Arbeitshintergrund ist Teil eines bundesweiten Netzwerkes von Kompetenzzentren im Rahmen der Fördermaßnahme Kompetenzzentren für den elektronischen Geschäftsverkehr zur Unterstützung kleiner und mittlerer Unternehmen (KMU) des Arbeitsschwerpunkt: Netz- und Informationssicherheit 4 2

3 Arbeitshintergrund Partner IHK Fraunhofer Institut für sichere Telekooperation (SIT.IBE) Fachhochschule Bonn-Rhein-Sieg (St. Augustin) 5 Arbeitshintergrund Themenschwerpunkt Netzund Informationssicherheit Seit 2003 Mitarbeit im Themenschwerpunkt gemeinsame Veranstaltungen zum Thema Publikationen und Leitfäden 6 3

4 Einführung 7 Definition IT-Sicherheit IT-Sicherheit gemäß ISO Norm bzw. BSI (British Standard Institut) 17799: Die Implementierung zu begründender Schutzmaßnahmen zwecks Sicherstellung fortgesetzter IT-Services innerhalb sicherer Parameter, als da sind: Vertraulichkeit, Integrität und Verfügbarkeit. 8 4

5 Häufiges Problem der IT-Sicherheit FINISHED FILES ARE THE RE- SULT OF YEARS OF SCIENTIF- IC STUDY COMBINED WITH THE EXPERIENCE OF YEARS Wieviele F zählen Sie? 9 Gefahrenpotenziale Verlust der Vertraulichkeit, Integrität und Verfügbarkeit durch 1. Willkürliche Angriffe aus dem Internet (Klickkids) (Viren, Würmer, Trojaner, SPAM ) 2. Gezielte Angriffe aus dem Internet (Spionage) 3. Angriffe aus dem eigenen Unternehmen über 80 % aller sicherheitsrelevanter Vorkommnisse (Was verdient der Kollege?, Nutzen der Firmenressourcen) 4. Systemausfälle z.b. auch durch höhere Gewalt (Spannungsspitzen, fehlendes Backup) 10 5

6 Was heißt das meistens praktisch? 1. IT-Sicherheitsrisiken werden im Unternehmen entweder über- oder unterschätzt und somit Maßnahmen unter- bzw. übertrieben und sind meist nur punktuell und oft nicht Prozessbezogen. 2. Zusätzliche Budget werden für IT-Sicherheit in KMUs oft nicht oder nur selten frei gemacht. 3. Das Know How der Unternehmen und des Managements bewegt sich aufgrund der fortschreitenden Technik oftmals auf einem mittelmäßigen Computer Bild Niveau 11 Was heißt das meistens praktisch? 4. IT-Sicherheit wird nicht als Managementaufgabe begriffen und häufig ausschließlich durch die EDV Abteilung abgewickelt (Stichwort Rating Basel II) 5. Vielen sind gesetzliche Anforderungen für IT-Sicherheit wie das GmbH Gesetz, Handelsgesetzbuch, Aktiengesetz, KonTraG, GDPdU, Datenschutzgesetz etc. sind unbekannt. 6. IT-Sicherheit wird nicht als ein fortlaufender und übergreifender Prozess begriffen. 12 6

7 Elemente einer elektronischen Auftragsabwicklung 13 Darstellung der Prozesskette Einspeisung der Daten in das EDV System Auslösung und Überwachung von Logistikschritten Kundenanfrage Verarbeitung Produktion Logistik Faktura Elektronische Anfrage z.b. via Auslösen von Produktionsschritten auf Basis von aktuellen Rahmendaten Abrechung und Beendigung des Auftrags 14 7

8 Sicherheitsaspekte dieser Prozesskette 15 Sicherheitsaspekte 1. Sichere Übermittlung der Auftragsdaten (z.b. SSL) 2. Prüfung der Identität und Authentizität des Auftraggebers z.b. durch die elektronische Signatur 3. Absicherung der ans Internet angebundenen EDV Systeme (Firewall, Virenschutz etc.) 4. Zugangs- und Passwortverwaltung für die internen EDV Systeme (Stichworte Passowortstrategie, USB etc.) 5. Dokumentation des Sicherheitskonzeptes für diesen Prozess (Stichwort Skalierbarkeit, Updates etc.) 16 8

9 Sicherheitsaspekte 6. Sichere Speicherung und Verarbeitung der personenbezogenen Daten (Datenschutzgesetz) 7. Gesetzeskonforme Archivierung der Auftragsdaten (Rechnungsdaten etc. Stichwort GDPdU) 8. Backup und Notfallstrategie für unvorhergesehne Fälle (Stromausfall, höhere Gewalt, Vertretungsregelungen) 9. Regelmäßige Überprüfung der IT-Sicherheit (z.b. durch Penetrationstests, Social Hacking etc.) 17 Grundlegendes zur IT-Sicherheit 18 9

10 Fragen die für jeden Prozess zu stellen sind? 1. Welche Daten in Ihrem Unternehmen sind in welchem Prozess bzw. Prozessschritt schützenswert? (Gibt es Backup- & Notfallstrategie, Lagerung des Backup, Serverraum) 2. Welcher finanzielle Schaden würde bei Verlust entstehen? (Das Schadensrisiko bestimmt die Höhe der finanziellen Aufwendungen) h 19 Fragen die für jeden Prozess zu stellen sind? 3. Welches Bedrohungspotenzial hat das Unternehmen? (Zugriffsrechte von Innen d.h. durch Mitarbeiter und durch Außen d.h. Kunden, Zulieferer und Partner) Schutzbedarfsfeststellung 4. Besteht ein Sicherheitskonzept zumindest teilweise? (Hierbei sollten auch innerbetriebliche soziale Faktoren berücksichtigt werden) 5. Gibt es gesetzliche Auflagen für den Prozess zu erfüllen? (GDPdu, Datenschutzgesetz, E-Commerce Richtlinie etc.) 20 10

11 Argumente für IT-Sicherheit Mitarbeiter sind zuverlässiger und die Arbeitsqualität steigt. Wettbewerbsvorteile durch gesteigertes Vertrauen von Kunden und Partnern Effektivere und leichtere Administration der Systeme (Zeit und Kostenersparnis durch gepflegte IT-Infrastruktur) Gesetzliche Vorgaben werden erfüllt und Strafen vermieden. 21 Hilfsmittel und weitere Informationen 22 11

12 Hilfe für das eigene Securitykonzept Das BSI Grundschutzhandbuch kompakt Dieses durch das BSI herausgegebene kompakte Grundschutzhandbuch gibt eine Anleitung für die Erstellung eigener individueller Sicherheitskonzepte anhand immer wiederkehrender sicherheitsrelevante Fragestellungen für den Mittelstand. Neben einem kurzem Glossar, Gesetzesvorgaben und Sicherheitsszenarien, findet man hier häufigste Versäumnisse und wichtige Sicherheitsmaßnahmen sowie Hinweise für das komplette Grundschutzbuch und IT-Sicherheitszertifikate 23 Weitere Hilfe für das eigene Securitykonzept Das BSI Grundschutztool (GS-Tool) Unterstützung bei bei der Erstellung, Verwaltung, und Fortschreibung des eigenen IT-Sicherheitskonzeptes auf Basis des IT-Grundschutzhandbuches mit detailliertem Berichtssystem zur Auswertung der erfassten Daten

13 Weitere Hilfen Informationsquellen im Internet (Netzwerk elektronischer Geschäftsverkehr) (Newsseite mit vielen hilfreichen Berichten) (Neueste sicherheitsrelevante Nachrichten) (Neueste Informationen zu allen IT-Security Themen) (IT-Notfallzentrum für den Mittelstand) (Fachjournal zum Datenschutz und zur Datensicherheit) 25 Fazit 1. Es ist wichtig IT-Sicherheit auf der Prozessebene umfassend zu betrachten. 2. Diese Prozesse sind auf Schwachstellen zu überprüfen sowie Maßnahmen zur deren Behebung zu ergreifen. 3. Dies eine Managementaufgabe, da hierfür dauerhaft benötige finanzielle, personelle und zeitliche Ressourcen bereitgestellt werden müssen. 4. Eine einmalige Anpassung der IT-Sicherheit reicht nicht aus, die Anpassung und Durchführung von Maßnahmen muss als fortlaufender Prozess begriffen werden

14 Fragen??? 27 Vielen Dank für Ihre Aufmerksamkeit Bei Fragen: Heiko Oberlies IT-Berater der IHK Bonner Talweg Bonn Tel (02 28) Fax (02 28)