Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz

Größe: px

Ab Seite anzeigen:

Download "Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz"

Gudrun Hofmeister
vor 8 Jahren
Abrufe

1 Unabhängige Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz Gesundheit für ihre IT

2 VORTRAG CyberSecurity & Datenschutz - erfolgreiche Strategien E-Spionage, CyberSecurity und Datenschutz in Österreich IT-Ziviltechniker Wolfgang Prentner. Four Points by Sheraton - Panoramahaus, Dornbirn. 8. April 2014 Gesundheit für Ihre IT

Österreich IT-Ziviltechniker Wolfgang Prentner.

3 ÜBERBLICK Vorstellung ZTP E-Spionage CyberSecurity Datenschutz 3 Kurzgeschichten Strafbestimmungen und Haftung Zusammenfassung

4 Wer sind wir? IT-Ziviltechnikergesellschaft Ziviltechnikergesellschaft für Informationstechnologie 4 seit 15 Jahren

5 5 Gesundheit für Ihre IT

6 Was sind wir? Unabhängige Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz Gesundheit für ihre IT

7 Wolfgang Prentner IT-Ziviltechniker 1980: Hauptschule Götzis/Altach, 1983: Lehre Josef Otten Hohemens, 1988: HTL-Dornbirn 1998: Studium und Promotion an der TU-Wien im IT-Sicherheitsbereich 1999: IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit 2001: Gründung der ZT-PRENTNER-IT GmbH 2002: Vorsitzender der Bundesfachgruppe IT der Bundeskammer der Arch+lng (seit 2012 Stv.) 2003: E-Government Beauftragter des Bundeskomitees "Die Freien Berufe Österreichs". Dazu zählen die Bundeskammern der Ärzte, Apotheker, Notare, Rechtsanwälte, Patentanwälte, Wirtschaftstreuhänder, Tierärzte, Zahnärzte und Ziviltechniker 2004: Mitglied der Plattform Digitales Österreich im Bundeskanzleramt 2012: Mitglied des Executive Board Unternehmensserviceportal (USP) BM für Finanzen

(seit 2012 Stv.) 2003: E-Government Beauftragter des Bundeskomitees "Die Freien Berufe Österreichs".

8 ZTG Ziviltechnikergesetz 4 Abs. 3 Die von Ziviltechnikern im Rahmen ihrer Befugnis ausgestellten öffentlichen Urkunden werden von den Verwaltungsbehörden in derselben Weise angesehen, als wenn diese Urkunden von Behörden ausgefertigt wären...

9 Heute IT-Situation Komplexität, Hacker und Fehlhandlungen IT-Problem Transparenz, Sicherheit und Vertrauen IT-Lösung prüfen-, überwachen und zertifizieren 9

10 Wovor schützen wir Sie! Unwissenheit! Schlamperei! Fahrlässigkeit! Haftungsansprüchen! Jobverlust 10

11 kein Gewerbe nicht Teil der WKO JA NEIN Beratung Generalplaner Prüfstelle Bewertung, Koordinierung Zertifizierung nach ZTG 4 Software-Treuhandschaft keine ausführenden Tätigkeiten wie z.b. keine Software-Entwicklung kein Vertrieb von Software kein Vertrieb von Hardware kein Rechenzentrum Betrieb keine Störungsbehebung daher unabhängig und kein lnteressenskonflikt mit gewerblichen IT-Dienstleistern

keine Software-Entwicklung kein Vertrieb von Software kein Vertrieb von Hardware kein Rechenzentrum

12 ZT Tätigkeiten ZT Tätigkeiten Mitglied der ZT-Kammer Beraten Planen Prüfen Zertifizieren 12 Transparenz, Sicherheit und Vertrauen

13 ZTP Tätigkeit Prüf- und Überwachungsstelle IT-Systeme IT-Projekte IT-Konzepte IT-Probleme prüfen prüfen prüfen prüfen Projekte ab ,- 13 Beraten Koordinieren und Zertifizieren

14 IHR NUTZEN Prüfergebnis +42% Attacken IT-Systeme Schwachstellenbericht mit Maßnahmenkatalog Aufbau einer Abwehrstrategie Entlastung der Technik und Management Haftungsübernahme Stand der Technik Grundlage für Jahresabschluss Staatl. anerkannte Zertifizierung prüfen Mobile Apps Web-Portale Netzwerke Webserver Mailserver Firewalls Finanzsysteme Gesunheitssysteme Datenbanken Cloudlösungen Sonderprüfungen

15 IHR NUTZEN Prüfergebnis Sinnhaftigkeit Vollständigkeit (Stichwort Changes) Ganzheitlichkeit anforderungskonform qualitativ +32% Erfolgslosigkeit Kosten gerechtfertigt Normen- und Standardkonformität Compliance, Gesetze und Verordnungen IT-Konzepte prüfen Lastenhefte Pflichtenhefte Spezifikationen Sicherheitskonzepte Testpläne Technologiekonzepte Kryptokonzepte Sonderprüfungen

Standardkonformität Compliance, Gesetze und Verordnungen IT-Konzepte prüfen Lastenhefte

16 IHR NUTZEN +87% keine Bindung IT-Probleme prüfen Störung IT-Dienstleister Datenklau Fehlhandlung Missverständnisse Spionage Prüfergebnis Problemanalyse und technische Beratung vor Ort Beweissicherung und Forensik im Schadensfall Technischer Befund der Gesamtsituation Koordinierung der Problembehebung Kostenkontrolle

und technische Beratung vor Ort Beweissicherung und Forensik im Schadensfall

17 17 Dienstleistungen

18 Dienstleistung 1 IT-Systeme prüfen

19 Dienstleistung 2 IT-Probleme prüfen

20 Dienstleistung IT-Projekte prüfen 3 IT-Fitness Check

21 Dienstleistung 4 Software Treuhand staatl. befugt

22 ZTP Wirkung 100% 10% Psychologische Wirkung 20% Menschliche Wirkung 70% Technische Wirkung 22

23 VORTRAG E-Spionage, CyberSecurity und Datenschutz in Österreich

24 IT- S ICHERHEIT

25 3 Kurzgeschichten 1. Google Maps 2. Smartphone und Notebook als Geschenke 3. Wirtschaftsspionage - Online Überwachung Offene FTP-Server

26 IT- SICHERHEIT Unversehrtheit Vertraulichkeit IT- Sicherheit (Dreifaltigkeit) Verfügbarkeit

27 27 Ihre Verantwortung

28 IHR VERANT- WORTUNG Einhaltung von Gesetzen und Vorschriften Finanzsektor, Behörden Verhaltenscodex Konformität (IT-Compliance) ISO 27000, ISO 80000, ISO 20000, ÖNORM 7700 SLA, Sicherheitskonzept, Sicherheitsleitlinie AGBG, UGB, GmbHG, AktG, BOA, DSG, TKG, E-HealthG Standards und Normen Verträge, Richtlinien Leitlinien Gesetze, Verordnungen

29 SIE Ihre Verantwortung 1313a ABGB: Erfüllungsgehilfe/IT-Dienstleister 1299 ABGB: Für die Sorgfaltspflicht eines Aufsichtsratsmitglieds gilt grundsätzlich ein erhöhter Sorgfaltsmaßstab im Sinne des 1299 ABGB (Sachverständigenhaftung). Dieser Maßstab trifft nicht das Organ Aufsichtsrat insgesamt, sondern jedes einzelne Aufsichtsratsmitglied.

30 Professioneller Datendieb The devil inside

31 Cybercrime c +42% an gezielten Attacken +31% aller Angriffe auf Unternehmen unter 250 Mitarbeitern neu entdeckte System-Schwachstellen, davon 415 auf Mobilen-Geräten wie Smartphones. +125% - Ausspähung sozialer Netzwerke +30% Angriffe auf Web-Seiten (APT) Quelle: Symatec Security Report 2013

32 nur 13% emotionale Bindung

33 50% Daten gehören auch mir

34 Beispiel Festplatten- Verschlüsselung 1 Festplatten-Verschlüsselung: ja/nein? Risiko: kritisch, hoch, mittel, gering? Stand der Technik: ja/nein?

35 Beispiel Festplatten- Verschlüsselung 2 Server Risiko: mittel/hoch Fahrlässigkeit im Schadensfall: ja Arbeitsplatzcomputer Risiko mittel/hoch Fahrlässigkeit im Schadensfall: ja Mobile Geräte Laptop: Risiko hoch/kritisch Smartphones: Risiko hoch/kritisch Fahrlässigkeit im Schadensfall: ja

36 Basis unser Arbeit Stand der Technik Best Practice Vorschriften - Richtlinien, Leitlinien Normen und Standards IT-Compliance IT-Governance IT-Gesetze

37 Prozess Standards von A bis Z ISO Software Lebenszyklus (SPICE) ISO Service Management (ITIL) ISO Reihe - Informationssicherheitsmanagement (ISMS) ISO Medizintechnik meets IT COBIT.

38 Technologie Standards Internet-Systeme, App CC - Common Criteria IFIP - TC 11: Security and Protection ONORM 7700 BSI - Websicherheit OWSAP - Mobile Security (Best Pratice) Anerkannte Regeln der Technik Stand der Technik (Industrie-Standards) (Stand der Wissenschaft) Bits und Bytes

39 Schuldfrage Österreich

40 Sicherheit Vorfälle aktuell und mitten unter uns 1 40

41 Datenklau Sky (Medienbericht 2014) Fritz.Box (Medienbericht 2014) Apotheken (Medienberichte 2013) HVB Sozialversicherung (Medienberichte 2013) SPÖ und FPÖ gehackt Anonymous (Medienberichte 2011) Land Kärnten und LKH Kärnten lahm gelegt - Conficker Virus (2009)

42 Hack SPÖ 2011 Inhalt der Website geändert 600 User und Passwörter sichtbar Passwörter unverschlüsselt gleich Accounts auf Social Platforms (Facebook,..) Falschmeldung auf Facebook-SPÖ Gruppe Webseite der SPÖ, wie sie beim Hack aussah, inklusive Passwörter:

43 E- S pion a ge Internet Router Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access

44 Firewall FTP-Port 1337 offen - steht in der Hackerszene für LEET, also Elite

45 Man-in- the- Middle Attack

46 Schuldfrage Verschulden Auftraggeber (verflochtene Unternehmen) Entwickler (Web-/App Anwendung und Datenbank) Netzwerk/Infrastruktur (FW/Router/System) Outsourcer/Betreiber/Cloud (lokal, international, Cloud) Haftung Schadenersatz

47 Tools System Board Mittel Backtrack/Kali DVD Keyghost mit Bluetooth Write-Blocker OWSAP-Tools Internet Kommerzielle Anbieter

48 INTENRET SICHERH EITSGURT Video

49 StGB Strafgesetzbuch 118a (1): Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1): Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1): Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b: Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c: Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft

50 StGB Strafgesetzbuch 122ff: Verletzung Betriebsgeheimnis; Strafrahmen bis 3 Jahre 246: Staatsfeindliche Verbindungen; Strafrahmen bis 5 Jahre 252: Verrat von Staatsgeheimnissen; Strafrahmen bis 10 Jahre 242: Hochverrat; Strafrahmen bis 20 Jahre Datenschutzgesetz 52 bis ,- Mediengesetz 7 bis ,- Telekommunikationsgesetz 109 bis ,-

51 Abwehr Aufbau von Abwehrsystemen Schutz gegen internen und externen Datenklau

52 Kunden Neukunden: Kapsch, Magna, Kolping

53 Zertifikat

54 Zertifikat CIO Peter Sagmeister, CFO Harald Keckeis, ZT Wolfgang Prentner Vorarlberger Landeskrankenhäuser

55 Cybersecurity Zertifikat Vorarlberger Landeskranken häuser ORF Vorarlberg

56 Zusam menfas sung Durch Unwissenheit, Schlapperei, Gutgläubigkeit und Fehlverhalten entstehen immer wieder Datenpannen. Die Prüfung, Überwachung und Zertifizierung Ihrer IT-Systeme, Projekte und Konzepte verringern das Risiken vom Datenverlust, Haftungen und Imageschäden.

57 Live Hacking

58 Live Hacking E-Spionage (Wer bist du?) System (Ich bin Windows XP Version ) Schwachstelle abfragen (Internet Fragen) Angriff (über Exploit) 5 Systemübernahme

59 LOREM I P S U M

60 Danke! Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen?

Ähnliche Dokumente

Gesundheit für ihre IT

Gesundheit für ihre IT Sicherheitsmanagement - Enterprise & Risk Management Haftungsrechtliche und sicherheitstechnische Optimierung beim Cloud Computing ZT Dr. Wolfgang Prentner IT-Ziviltechniker, staatlich