Wege aufzeigen. Faktencheck - ein Online-SelbsCest zu Datenschutz und IT-Sicherheit Kommunale Nürnberg, 15. Oktober

Transkript

1 Wege aufzeigen Wege aufzeigen Faktencheck - ein Online-SelbsCest zu Datenschutz und IT-Sicherheit Kommunale Nürnberg, 15. Oktober Partner: 2014 techconsult GmbH Tel.: +49 (0) 561/ hcps:// Eduard Heilmayr, Mitglied der GeschäYsleitung

2 Projektbestandteile Drei Komponenten: Studie, Portal und Benchmark STUDY Security-Bilanz Deutschland Studienergebnisse Eine Studie zur IT-Sicherheit mi2el- ständischer Unternehmen und öﬀentlichen Verwaltungen in Deutschland BENCHMARK PORTAL Security-Bilanz Deutschland Studien-Download-Bereich, Partner-Portal etc. Fragebogen Vergleichsdaten Heise-Security-Consulter zur eigenen und dem Vergleich mit Unternehmen der gleichen Branche/Größenklasse 2014 techconsult GmbH Tel.: +49 (0) 561/ hcps://

3 Studie Security Bilanz Deutschland Jährliche ganzheitliche repräsenta`ve Studie, Ersterhebung Anfang 2014 Fokus auf IT- und Informa`onssicherheit in micelständischen Unternehmen und öffentlichen Verwaltungen Über 500 befragte Unternehmen/Verwaltungen jährlich Ergebnis der Studie 2015: IT-Sicherheit hat sich verschlechtert Studie liefert Inhalte und Vergleichsdaten für den Online-Self-Check Heise Security Consulter: kostenfreies Benchmark für Anwender 3

4 Wie gefährdet ist Ihr Unternehmen? Self Check mit dem Heise Security Consulter Online Fragebogen, unterteilt nach Themenbereichen 2014 techconsult GmbH Tel.: +49 (0) 561/ hcps:// 4

5 Wie gefährdet ist Ihr Unternehmen? Direkte Ergebnisauswertung Vergleich der eigenen Einschätzung zu Mi<elstand Gesamt, Branche und Größenklasse Zusammenfassung der Top Pains, d.h. der größten Problemstellen Detailanalyse der Handlungsfelder Machen Sie den Self Check! h2ps:// techconsult GmbH Tel.: +49 (0) 561/ hcps:// 5

6 Detailsta`s`ken zum Benchmark Detailsta`s`ken zum Benchmark WEBSITE-BESUCHER BENCHMARK-TEILNEHMER auswertbare (Teil-)Befragungen 2014 techconsult GmbH Tel.: +49 (0) 561/ hcps:// 6

7 Demografische Merkmale der Studien- und Benchmark-Teilnehmer Studie Größenklassenverteilung Benchmark Höherer Anteil kleiner Unternehmen (20 bis 199 Mitarbeiter) 31% 20 bis 199 Mitarbeiter 39% 200 bis 499 Mitarbeiter 500 bis Mitarbeiter 30% Größenklasse Benchmark Studie 20 bis 199 Mitarbeiter 74,9 % 39,2 % 200 bis 499 Mitarbeiter 10,7 % 30,1 % 500 bis Mitarbeiter 14,4 % 30,7 % Gesamt (n) Branchenverteilung 7% 15% 40% Basis: 503 Unternehmen 27% 12% Industrie Handel Dienstleistung Banken und Versicherungen Öffentliche Verwaltung / Non Profit Branche 2014 techconsult GmbH Tel.: +49 (0) 561/ hcps:// Branchenverteilung unterscheidet sich zwischen Benchmark und Studie nur gering; etwas höherer Anteil Dienstleistung Benchmark Studie Industrie 19,4 % 26,5 % Handel 9,1 % 12,0 % Dienstleistungen 54,9 % 39,6 % Banken und Versicherungen 3,1 % 7,2 % Öffentliche Verwaltungen / Non 13,5 % 14,7 % Profit Unternehmen Gesamt (n) Ca Verwaltungen 7

8 Studienergebnisse Management Summary Umsetzungsprobleme nehmen zu: Der Sicherheitsindex sinkt um 3 Punkte auf nur noch 54 von 100 Indexpunkten. Absicherung gegen Bedrohungen wird schlechter bewertet: Der Gefährdungsindex steigt um 2 Punkte auf 48 von 100 möglichen Indexpunkten Sicherheitsindex Sicherheitspolster: 11 Punkte Gefährdungsindex 54 Sicherheitspolster: 6 Punkte

9 Handlungsbedarf hoch Akuter Handlungsbedarf bei knapp der HälYe der Unternehmen und öffentlichen Verwaltungen sehr gut 21% gut 14% befriedigend 9% ausreichend 10% mangelhaw 45% Viele Unternehmen erreichen in der Studie weniger als 50 von maximal 100 Punkten beim Sicherheitsindex. Bes`mmen Sie die Situaòn Ihrer IT- und Informaònssicherheit, z.b. mit dem Heise Consulter unter hcps://

10 Ausgewählte Detailergebnisse für öffentliche Verwaltungen / Non-Profits 10

11 Detailsta`s`ken zum Benchmark Relevanz von Bedrohungsszenarien keine der Genannten Systemausfälle und Datenverlust durch Systemausfälle (Hardware-Defekte, SoWware-Fehler etc.) Datenverlust durch Unachtsamkeit und Fehlverhalten der Mitarbeiter (Geräteverlust, versehentliche Löschung etc.) Unbefugter Zugang zu unseren Systemen und Daten (Trojaner, Hackerangriffe, Spyware) Phishing und Social Engineering Interne Angriffe (z.b. Datendiebstahl, Sabotage) Denial-of-Service-A2acken (Angriffe mit dem Ziel, die Verfügbarkeit unserer Systeme zu verringern) Befall unserer Systeme durch SchadsoWware wie Viren und Würmer Aushebelung der Zugangsbeschränkungen durch eigene Mitarbeiter 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% SBD Studie SBD Benchmark Basis: 502 Unternehmen/Verwaltungen (Studie) Ca Unternehmen/Verwaltungen (Benchmark) 11

12 Studienergebnisse Management Summary Der Anteil der Unternehmen und öffentlichen Verwaltungen/Non-Profits, die nicht gut abgesichert sind, steigt an. Absicherung von Mobilgeräten ist noch kri`scher: Rund 70% der Unternehmen und Verwaltungen haben Probleme mit der Absicherung gegen Angriffe auf Mobilgeräte, anspruchsvolle/ zielgerichtete Angriffe sowie Überwachung und Spionage 12

13 Studienergebnisse Management Summary Lösungen für den Basisschutz in Sachen IT- und Informaònssicherheit bei mehr als der HälYe der Unternehmen und öffentl. Verwaltungen/Non-Profits nicht gut umgesetzt. Tendenz: Mit steigender Komplexität und Integraònsèfe der Lösungen wird die Umsetzung Umsetzung deutlich schlechter BASISSCHUTZ-LÖSUNGEN ANSPRUCHSVOLLERE IT-LÖSUNGEN KOMPLEXE UND INTEGRIERTE IT-LÖSUNGEN 13

14 Schutz vor Bedrohungen in öffentlichen Verwaltungen/Non-Profit-Unternehmen Datenverlust durch Unachtsamkeit und Fehlverhalten der Mitarbeiter (Geräteverlust, versehentliche Löschung etc.) 72% Interne Angriffe (z.b. Datendiebstahl, Sabotage) 62% Phishing und Social Engineering 62% Systemausfälle und Datenverlust durch Systemausfälle (Hardware- Defekte, SoYware-Fehler etc.) 62% Unbefugter Zugang zu unseren Systemen und Daten (Trojaner, Hackerangriffe, Spyware) Denial-of-Service-ACacken (Angriffe mit dem Ziel, die Verfügbarkeit unserer Systeme zu verringern) Aushebelung der Zugangsbeschränkungen durch eigene Mitarbeiter Befall unserer Systeme durch SchadsoYware wie Viren und Würmer 58% 57% 55% 52% 0% 10% 20% 30% 40% 50% 60% 70% 80% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/ nicht vorhanden" Das größte Handlungsfeld in der öffentlichen Verwaltung ist durch Mitarbeiter verursachter Datenverlust. 72% fühlen sich dagegen nicht gut abgesichert.

15 Umsetzung rechtliche Absicherungen in öffentlichen Verwaltungen/Non-Profit-Unternehmen Wir haben eine vertragliche Definiòn/Festlegung von Zuständigkeiten und HaYung. 67% Wir haben festgelegt, dass Nachweise und Dokumentaònen erbracht werden müssen, die aufzeigen, dass Datenschutz und Datensicherheit gewährleistet sind. 63% Wir schließen Geheimhaltungsvereinbarungen/Non-Disclosure Agreements (NDA) ab. 60% Wir überprüfen regelmäßig die Einhaltung der festgelegten Maßnahmen und Regelungen. 58% Wir treffen vertragliche Regelungen zur AuYragsdatenverarbeitung nach dem Bundesdatenschutz-Gesetz (BDSG). 49% 0% 10% 20% 30% 40% 50% 60% 70% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/nicht vorhanden" 67 % der öffentlichen Verwaltungen / Non-Profits geben an, dass vertragliche Definiònen von Zuständigkeiten und HaYung nicht gut umgesetzt sind

16 Umsetzung strategische Maßnahmen in öffentlichen Verwaltungen/Non-Profit-Unternehmen Festlegung der Prozesse zur Definiòn und Dokumentaòn der einzusetzenden Maßnahmen 75% Festlegung der Prozesse zur regelmäßigen Überprüfung der eingesetzten technischen, organisatorischen und rechtlichen Maßnahmen auf Aktualität, ggf. Aktualisierung/Überarbeitung 71% Festlegung der Prozesse zur regelmäßigen Überprüfung auf Einhaltung der Regelungen 71% Integraòn von IT-Security in Unternehmensprozesse 65% Abs`mmung der Inves`òns- und Personalplanung hinsichtlich Bedarf im Bereich IT-Security und Bereitstellung von Ressourcen (Personal, Budgets) 63% Festlegung einer unternehmensweiten IT-Security-Leitlinie (Policy) 60% 0% 10% 20% 30% 40% 50% 60% 70% 80% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/ nicht vorhanden" Definiòns- und Dokumentaònsprozesse sind bei drei Vierteln der Verwaltungen nicht gut gelöst oder sogar nicht vorhanden.

17 Umsetzung technische Maßnahmen Datenspeicherung und -übertragung Verschlüsselte Datenspeicherung 65% Dokumentensignatur/Sicherstellung der Datenintegrität micels digitaler Signaturen 57% Verschlüsselte Datenübertragung 57% Physisch getrennte Datenspeicherung 52% 0% 10% 20% 30% 40% 50% 60% 70% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/ nicht vorhanden" 65 % der Verwaltungen/Non-Profits bewerten Ihre Umsetzung der verschlüsselten Datenspeicherung als nicht gut.

18 Umsetzung IT-sei`ge Lösungen einfach Spamfilter 61% Redundante Hardware/Systeme 60% Client- und Systemmanagement 59% Verzeichnisdienste und Iden`tätsmanagement (IdM) 50% Redundante Datenspeicherung 49% Nutzerprofile und Nutzer-/Gruppenrichtlinien 44% Datensicherungs-, Backup- und Wiederherstellungs-Lösungen 44% Firewalls 41% An`viren-Lösungen und Malware-Erkennung 40% 0% 10% 20% 30% 40% 50% 60% 70% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/ nicht vorhanden" Selbst einfachere IT-Lösungen wie Spamfilter weisen bei mehr als der HälYe der öffentlichen Verwaltungen/Non-Profits Probleme auf.

19 Umsetzung organisatorische Maßnahmen Mitarbeiterzentrierte Maßnahmen und Informa;onsvermi=lung Regelmäßige Schulung von Mitarbeitern 68% Awareness-Kampagnen für das Thema IT-Security 63% Übungen zum Thema IT-Security 63% Auyau von eigenem Security-Know-how (z.b. durch Fortbildung der IT-Mitarbeiter) 60% Regelmäßige Informa`on über aktuelle Bedrohungen 57% 0% 10% 20% 30% 40% 50% 60% 70% 80% Anteil der Verwaltungen/Non-Profits mit Umsetzung befriedigend" bis sehr schlecht/ nicht vorhanden" Zwei DriCel der öffentlichen Verwaltungen und Non-Profit-Unternehmen geben an, dass die regelmäßige Schulung von Mitarbeitern nicht gut umgesetzt ist.

20 Detailsta`s`ken zum Benchmark Pain-Score nach auffälligen Branchen und Größenklassen TECHNISCH (DATENSICHERHEIT / AUTHENTIFIZIERUNG) Industrie 76,1 % Verwaltung / Non- Profit 74,6 % Verwaltung / Non- Profit 83,3 % Industrie 84,3 % Handel 78,4 % Industrie 85,9 % Verschlüsselte Datenspeicherung 70,0 % Nutzung von Dokumentensignatur 78,6 % Einsatz von Passwortrichtlinien 41,8 % Biometrische Authen`fizierung 81,7 % Nutzung von USB- Token, Smart- Cards usw. 66,0 % Dienstleistung 80,8 % 20

21 Detailsta`s`ken zum Benchmark Pain-Score nach auffälligen Branchen und Größenklassen TECHNISCH - ANSPRUCHSVOLLE UMSETZUNG Lösungen zur Datenverschlüsselung 72,8 % Mobile Device / App Management 79,7 % Industrie 82,2 % Lösungen zur VoIP-Verschlüsselung 83,1 % Öffentl. Verwaltung / Non Profit 86,0 % Mitarbeiter 82,0 % Öffentl. Verwaltung / Non Profit 83,3 % Industrie 88,9 % Handel 80,5 % Lösungen zur - Verschlüsselung 75,4 % Sichere Kollabora`onslösungen 76,8 % Webbasierte / Virtuelle Datenräume 79,6 % Industrie 86,3 % 21

22 Detailsta`s`ken zum Benchmark Pain-Score nach auffälligen Branchen und Größenklassen TECHNISCH - SEHR ANSPRUCHSVOLLE UMSETZUNG Industrie 88,0 % Öffentl. Verwaltung / Non Profit 83,48% Automa`sierte Schwachstellen- Scans 81,5 % Security Informa`on & Event Management 85,0 % Öffentl. Verwaltung / Non Profit Industrie 84,6 % 84,3 % Handel 81,1 % Threat Monitoring / UTM 80,7 % Handel Industrie 83,3 % 89,6 % Forensische Tools & Log-file- Analysen 85,7 % Industrie 90,2 % Dienst leistung 83,7 % Öffentl. Verwaltung / Non Profit 87,6 % Banken / Versicherungen 86,6 % 22

23 Detailsta`s`ken zum Benchmark Pain-Score nach auffälligen Branchen und Größenklassen STRATEGISCH Öffentl. Verwaltung / Non Profit 59,4 % Dienst- leistung 55,9 % Abs`mmung Inves``ons-/ Personalplanung 56,2 % Banken und Versicherungen 62,5 % Handel 59,6 % Regelmäßige Überprüfung der Einhaltung 68,8 % Industrie 68,3 % Industrie 59,7 % Regelmäßige Überprüfung der Maßnahmen auf Aktualität 55,8 % 23

24 Detailsta`s`ken zum Benchmark Pain-Score nach Security-Handlungsfeldern Der Pain-Score bezeichnet den Anteil der Unternehmen, die bei ausgewählten Maßnahmen und Lösungen eine mangelhaye Umsetzung angeben. TECHNISCH ORGANISATORISCH Verschlüsselte Datenspeicherung 70,0 % Dokumentensignatur/Sicherstellung der Datenintegrität micels digitaler Signaturen 78,6 % Regelmäßige Tests und Übungen der No{all- und Reak`onspläne 86,0 % Verfahren nach IT-Grundschutz des BSI, wie IT-Strukturanalyse, Schutzbedarfsfeststellung und Risikoanalysen 84,5 % Biometrische Authen`fizierungsverfahren 81,7 % Übungen zum Thema IT-Security 86,7 % RECHTLICH STRATEGISCH Dokumenta`on zum Datenschutz 61,1 % Überprüfung der Einhaltung v. Compliance Regeln 69,0 % Überprüfung der strategischen Security Maßnahmen 55,8 % Überprüfung der Einhaltung v. Regeln 58,8% Festlegung von Zuständigkeit und HaYung 54,1 % Budget & Personalplanung abges`mmt auf Security Strategie 56,2% 24

25 5 SchriCe zu einer besseren IT-Sicherheit 1. Verschaffen Sie sich Klarheit über Ihre Situa`on. 2. Machen Sie sich schlau. Suchen Sie z.b. Partner. 3. Das Sicherheitsbudget muss separat geplant werden. 4. Ausgaben für IT- und Informa`onssicherheit sollten min. 1/3 des IT-Budgets (1% des Jahresumsatzes) betragen. 5. Das Budget sollte die technische, organisatorische, rechtliche und strategische Ebene umfassen.

26 SBD bei den IHKn (Auswahl) Frankfurt am Main IHKn stellen Eins`eg für Benchmark bereit Kassel/Marburg Bayreuth Coburg 26

27 Testen Sie Ihre IT-Sicherheit selbst mit dem Heise Security Consulter Umfassende Betrachtung der IT- und in Ihrem Unternehmen Auswertung inkl. Vergleich mit Unternehmen/Verwaltungen Ihrer Größe und Branche aus der der Studie Auswertung ist nach einer kostenfreien Registrierung jederzeit wieder aufrular und veränderbar Starten Sie jetzt Ihren Sicherheits-Check unter h<ps:// Downloads Studienberichte und Strategiepapier auf Portal verfügbar 27

28 Kontakt und weitere Informaònen techconsult GmbH Baunsbergstraße 37 D Kassel Niederlassung München: Hans-Pinsel-Straße 10a D Haar Telefon: +49 (0) 561 / Fax: +49 (0) 561 / Internet: info@techconsult.de hcp:// Peter Burghardt GeschäYsführer Telefon: +49 (0) 561/ peter.burghardt@techconsult.de Eduard Heilmayr Mitglied der GeschäYsleitung Telefon: +49 (0) 561/ eduard.heilmayr@techconsult.de Henrik Groß Studienleiter Telefon: +49 (0) 561/ henrik.gross@techconsult.de Weitere Informaònen für Journalisten und PR: Nancy Weddig Public Relaòns & Projektmanagement Telefon: +49 (0) 561/ Telefax: +49 (0) 561/ nancy.weddig@techconsult.de 28