Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen

Transkript

1 Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen Kai Wittenburg Geschäftsführer, ISO27001 Auditor (BSI) Ihre IT in sicheren Händen

2 Was ist Informationssicherheit? Vorhandensein von Integrität: Vollständigkeit, Korrektheit, Unverfälschtheit Vertraulichkeit: Bekanntgabe gegenüber festgelegten Personenkreis Verfügbarkeit Informationen und Systeme stehen zur Verfügung in einem geplanten Ausmaß.

3 Bedrohungsklassen Höhere Gewalt Feuer, Wasser, Blitz Organisatorische Mängel Fehlende oder unzureichende Regelungen Menschliche Fehlhandlungen Fehlerhafte Administration, Konfiguration Technisches Versagen Defekte Datenträger, Vorsätzliche Handlungen Diebstahl, Vandalismus,

4 Bedrohungen Asbest Ausfall der Klimaanlage Ausfall Know-How Träger Ausfall des Netzwerks Auslaufende Säure Auslaufende Kühlmittel Bauarbeiten Betrug Blitzschlag Bombendrohung Bombenexplosion Büschelentladung CO2 Fehlalarm Datenverlust Deckeneinsturz Defekte Daten Diebstahl Dieselgenerator Eisregen Elektrostatische Entladung Epidemie Erdbeben Evakuierung Explosion Feuchtigkeit Feuer Flugzeugabsturz Geborstene Leitungen Gefrorene Leitungen Gelöschte Bänder Hacker Hagelschauer Halon-Entladung Hardwaredefekt Hardwarefehler Hausmeister Insekten Kabeldurchtrennung Kondensation Krankheit Kurzschluss Lecke Leitungen Leck eines Kühlturms Menschliches Versagen Mikrowellenstrahlung Nagetiere Notfallschalter Orkan PCB-Verseuchung Probleme mit der Stromversorgung Programmierfehler Putzfrau Rauchschäden Sabotage Schießerei Schneesturm Softwarefehler Software- Versionsprobleme Spannungsabfall Spannungsspitze Spannungsstoß Sprinklerentladung Störung der USV Streik Stromausfall Sturm Terrorismus Tornado Transformatorbrand Überschwemmung Überlaufende Toiletten Umzug des Data Center Vandalismus Verkehrsunfall Vernichtete Daten Verschüttete Chemikalien Verzögerungen bei einem Umzug Virus Vulkanausbruch Wasser (verschiedene Gründe) Zugentgleisung Quelle: Contingency Planning Research, Inc.

5 Aktuelles...

6 Größte Bedrohung? Die Mitarbeiter! Schwächstes Glied in der Sicherheitskette Fehlendes Sicherheitsbewusstsein Leichte Opfer für Social Engineering Weit reichende Berechtigungen

7 neam IT-Services GmbH

8

9 Was tun? Der Sicherheitsprozess Initiierung des Sicherheitsprozesses: Sicherheitsleitlinie Sicherheitsmanagement Erstellen eines IT Sicherheitskonzeptes Umsetzung fehlender Maßnahmen in den Bereichen: Infrastruktur Organisation Personal Technik Notfallvorsorge Sensibilisierung & Schulung zur IT Sicherheit Aufrechterhaltung im laufenden Betrieb

10 ISO auf der Basis von IT Grundschutz (BSI) Schaffung eines Standard Sicherheitsniveaus durch Infrastrukturelle Organisatorische Personelle und Technische Standard Sicherheitsmaßnahmen

11 ISO auf der Basis von IT Grundschutz (BSI)

12

13 ISO auf der Basis von IT Grundschutz (BSI) Auswahl der wichtigsten Maßnahmen aus den BSI Grundschutzkatalogen Aufwand ca. 3 4 Stunden Kostenfreies Angebot an Unternehmen mit Arbeitsplätzen

14 Ablauf 1. Anfrage an die IHK/ ebusinesslotsen OWL 2. Auswahl des Auditors 3. Terminabsprache zwischen Interessenten und Auditor 4. Vor Ort Audit 5. Auswertung

15 Fragenkatalog

16 Auswertung Handlungsbedarf in den einzelnen Themengebieten:

17 Was tun? Informationssicherheitsmanagementsystem (ISMS) Sicherheitsbeauftragter ZEIT!!! Sensibilisierungsmaßnahmen für Mitarbeiter Konzept nach BSI Präsentationen Newsletter, Intranet

18 % aller Daten werden von den Bösen geklaut. Den Rest verschlampen die Guten. neam IT-Services GmbH 18

19 neam IT Services GmbH Technologiepark 21 D Paderborn