Jörg Schmitt Information Security Manager

Größe: px

Ab Seite anzeigen:

Download "Jörg Schmitt Information Security Manager"

Manuela Bergmann
vor 8 Jahren
Abrufe

1 Jörg Schmitt Information Security Manager ISMS Lead Auditor ISO 27001:2005 IT Security Auditor IT Security Manager IT Sicherheitsbeauftragter Microsoft Certified IT Enterprise Professional ITIL Foundation V3 Master of Science in Applied IT Security 1

Sicherheitsbeauftragter Microsoft Certified IT Enterprise

2 Agenda 1. Ausgangssituation 2. Rechtliche Aspekte / Standards 3. Informationssicherheit als Prozess 4. Das Risikomanagement 5. Live-Demonstration / Beispiele aus der Praxis 2

3 vgl. Prof. Eckert SIT (Fraunhofer Institut für Sicherheit in der Informationstechnologie) 3

4 Agenda 1. Ausgangssituation 2. Rechtliche Aspekte / Standards 3. Informationssicherheit als Prozess 4. Das Risikomanagement 5. Live-Demonstration / Beispiele aus der Praxis 4

5 Rechtsnormen Sicherheit computergestützter Informationssystemen Rechtsnorm Anwendungskontext Gebot / Rechtsfolge KonTraG für Kapitalgesellschaften und gleichgestellte Rechtsformen Maßnahmen (auch informationstechnische) zum Schutz des Fortbestands des Unternehmens und zur Erkennung von Risiken BDSG Erhebung, Verarbeitung, Nutzung personenbezogener Daten technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (insb. Zutritts, Zugangs, Weitergabe, Eingabe, Auftrags, Verfügbarkeitskontrolle) TKG für Anbieter von geschäftsmäßig erbrachten Telekommunikationsdiensten für Anbieter geschäftsmäßig erbrachter Dienste zum Nachrichtenaustausch (z.b. in Computernetzwerken) Maßnahmen zum Schutz personenbezogener Daten sowie des Fernmeldegeheimnisses Zugriffsschutz, Sicherstellung der Verfügbarkeit und Funktionsfähigkeit von Anlagen und Diensten Zusätzlich für Anbieter: Sicherheitsbeauftragter, Sicherheitskonzept StGB bei Verletzung der Sicherheit von computergestützten Informationssystemen Straftatbestände nach materiellem Strafrecht UWG bei Verletzung der Sicherheit (insb. der Vertraulichkeit) von computergestützten Informationssystemen nebenstrafrechtliche Tatbestände UrhG Einsatz von lizenzrechtlicher Software Schutz der Rechte Dritter bei der Nutzung von Software, nebenstrafrechtliche Tatbestände 5

Maßnahmen zum Schutz personenbezogener Daten (insb.

6 KonTraG Kern des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben. KonTraG präzisiert Vorschriften aus dem Handels- und Gesellschaftsrechts, hauptsächlich Vorschriften aus dem HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz). Durch KonTraG wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. Wörtlich heißt das Gesetz (Beispiel 43 GmbHG) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Es stellen sich folgende Fragen: Ist die IT für das Unternehmen wichtig? Stellt ihr Ausfall ein betriebswirtschaftliches Risiko für das Unternehmen dar? Wenn ja, stellt die Außerachtlassung von IT-Security-Maßnahmen einen Haftungsgrund für das Management dar? Dies zwingt die meisten Unternehmen ( 43 GmbHG und 91 Abs. 2 AktG) ein Risikofrüherkennungssystem einzuführen die Risiken und Risikostruktur des Unternehmen im Lagebericht des Jahresabschluss der Gesellschaft zu veröffentlichen 6

KonTraG präzisiert Vorschriften aus dem Handels- und Gesellschaftsrechts, hauptsächlich Vorschriften aus dem HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz).

7 KonTraG - Was kann passieren? Persönliche Haftung mit Privatvermögen von Geschäftsführung oder Vorständen (Ausnahme der beschränkten Haftung möglich) Ordnungswidrigkeiten - 43 BDSG: Euro bzw Euro Bußgeld Straftatbestand - 44 BDSG (vorsätzlicher Verstoß): 2 Jahre Freiheitsstrafe / Geldstrafe - 303a StGB: 2 Jahre Freiheitsstrafe / Geldstrafe Abwertung des Unternehmens durch Wirtschaftsprüfungsgesellschaft - Kreditkonditionen (höhere Zinsen, niedrigere Darlehen...) - Versicherungskonditionen (höhere Versicherungsprämien...) 7

Ordnungswidrigkeiten - 43 BDSG: 50.000 Euro bzw. 300.

8 Standards Informationssicherheit 8

9 Standards Informationssicherheit Die ISO Familie International Standards for Information Security Management sollen einen umfassenden Überblick zum Thema Informationssicherheit bieten greifen auf bereits bekannte Sicherheitsstandards wie BS7799-2,-2,-3, ISO 17799, ISO etc. zurück ermöglichen die erste internationale Zertifizierung im Bereich der Informationssicherheit ISO This is the specification for an information security management system (an ISMS) which replaced the old BS standard ISO This is the series standard number of what was originally the ISO standard (which itself was formerly known as BS7799-1).. ISO This will be the official number of a new standard intended to offer guidance for the implementation of an ISMS (IS Management System) ISO This is the designated number of a new standard covering information security system management measurement and metrics.. ISO This is the methodology independent ISO standard for information security risk management ISO This standard provides guidelines for the accreditation of organizations offering ISMS certification 9

zurück ermöglichen die erste internationale Zertifizierung im Bereich der Informationssicherheit ISO 27001 This is the specification for an information security management system (an ISMS) which

10 Definition Informationen Informationen sind Vermögenswerte, die genauso wie die übrigen wichtigen Vermögenswerte der Organisation wertvoll sind und deswegen in entsprechender Weise geschützt werden müssen. (ISO/IEC 27002:2007) Information als Vermögenswert (Asset) Die Informationen sind Vermögenswerte der Unternehmen! Alle Arten von Informationen werden berücksichtigt: - gedruckt - handgeschrieben - elektronisch gespeichert - per Post oder elektronisch versandt - mittels Video oder verbal kommuniziert usw. Informationssicherheit Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen 10

(ISO/IEC 27002:2007) Information als Vermögenswert (Asset) Die Informationen sind Vermögenswerte der Unternehmen!

11 Definition der Schutzziele Vertraulichkeit Sicherstellen, dass nur autorisierte Personen bzw. Systeme Zugang zu den Informationen haben Integrität Schützen der Genauigkeit und Vollständigkeit der Informationen und deren Verarbeitungsmethoden Verfügbarkeit Sicherstellen, dass autorisierte Nutzer Zugang zu den Informationen und zugehörigen Systemen haben, wenn diese benötigt werden Authentizität Sicherstellen der Echtheit von Informationen über deren Lebenszyklus hinweg ( Von wem ist das? ) 11

deren Verarbeitungsmethoden Verfügbarkeit Sicherstellen, dass autorisierte Nutzer Zugang zu den Informationen und

12 Generelle Schritte zur Umsetzung der ISO

13 BSI Publikationen und Standards für Informationssicherheit 13

14 IT-Grundschutz-Kataloge 14

15 IT-Grundschutz-Kataloge 15

16 IT-Grundschutz-Kataloge 16

17 IT-Grundschutz-Kataloge 17

18 IT-Grundschutz-Kataloge 18

19 IT-Grundschutz-Kataloge 19

20 Agenda 1. Ausgangssituation 2. Rechtliche Aspekte / Standards 3. Informationssicherheit als Prozess 4. Das Risikomanagement 5. Live-Demonstration / Beispiele aus der Praxis 20

21 Informationssicherheit als Prozess 21

22 Agenda 1. Ausgangssituation 2. Rechtliche Aspekte / Standards 3. Informationssicherheit als Prozess 4. Das Risikomanagement 5. Live-Demonstration / Beispiele aus der Praxis 22

23 Das Risikomanagement. nur ca. fünf Prozent der Daten eines Unternehmens stellen die Kronjuwelen dar, also die tatsächlichen geschäftskritischen Informationen. (lt. BSI). wobei 100% der IT Infrastruktur zu schützen sind. Welches Risiko ist akzeptabel? Welche Informationen sind zu schützen und wie wollen wir sie schützen? Welchen Schutz leisten wir uns? = Individueller Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität) 23

24 Definition Risiko Vorsatz Angriff Gefahr Schwachstelle Risiko Bedrohung / Gefährdung Eintrittswahrscheinlichkeit Schadenspotential Zufall Störung 24

25 Der Risikomanagementprozess 25

26 Risikoidentifikation - Bedrohung / Gefährdung Angriffe von außen Interner fehlerhafter Gebrauch und Missbrauch Diebstahl Fehlfunktionen des Systems Dienstunterbrechungen Menschliches Versagen Unvorhergesehene Auswirkungen von Änderungen 26

27 Schadenspotential (Business Impact Analyse) Finanzielle Auswirkungen Operationale Auswirkungen Kunden- und marktbezogene Auswirkungen Interne Auswirkungen (z.b. auf Angestellte) bei Verletzung der Schutzziele Vertraulichkeit Integrität Verfügbarkeit 27

28 DV Betriebskonzept 1. Einleitung (Warum dokumentieren wir..) 2. Geschäftsanforderungen / geschäftlicher Hintergrund ( Was wollen wir tun..) 3. Beschreibung der IT Verfahren (Wie wollen wir es tun.) 4. Technische Dokumentation (Wo können wir nachschauen..) Architekturschaubild / Netzdiagramm Netzwerkkommunikationsbeziehungen / Netzwerkschnittstellen 5. Administration und Berechtigungskonzept (Wer darf tun ) 6. Risikobetrachtung (Welches Risiko besteht nach den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit ) 7. Backup und Notfallkonzept (Was tun, wenn..) Definition des eingeschränkten IT Betriebes Regelung der Verantwortung im Notfall Alarmierungsplan Ersatzbeschaffungsplan Datensicherungsplan Wiederanlaufplan Notfallübungen 8. Organisatorisches (Wo ist vertraglich geschrieben.) 9. Kontakte (mit Wem arbeiten wir ) 28

29 Agenda 1. Ausgangssituation 2. Rechtliche Aspekte / Standards 3. Informationssicherheit als Prozess 4. Das Risikomanagement 5. Live-Demonstration / Beispiele aus der Praxis 29

30 IT Grundschutz und ISMS - Verinice 30

31 Sicherheit in der Cloud - Netclusive Quelle: ITCKH 31

32 Kay Heerwald Geschäftsführer ITCKH seit über 10 Jahren im Bereich IT-Infrastruktur tätig Microsoft Certified IT Enterprise Professional 32

33 Quelle: exec 33

34 Anbieter: Uniscon universal identity control GmbH Agnes Pockels Bogen München, Germany Quelle: 34

35 Schwachstellenscan - Rapid 7 Nexpose 35

36 Fragen und Anregungen??????? Infrastruktur Informationssicherheit 36

Ähnliche Dokumente

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft