Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im GmbH Hans-Peter Fries Business Security

Transkript

1 Informationssicherheit in der GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

2 Firmenportrait Juni 2002 gegründet heute 28 Mitarbeiter Sitz: Leichlingen/Rheinland IT-Strategie- und Technologieberatung kein HW- oder SW-Vertrieb Beratungsschwerpunkte IT-Risikomanagement IT-Outsourcing Zielgruppe: Mittelständische bis große Organisationen und GmbH, Schloß Eicherhof, D Leichlingen 2

3 Geschäftsfelder Informationssicherheit Risikomanagement IT GmbH, Schloß Eicherhof, D Leichlingen 3

4 Risiko Begriffliche Definition: Risiko (griechisch für Klippe, Gefahr) meint die Beschreibung eines Ereignisses mit der Möglichkeit negativer Auswirkungen. Ursächlich ist das Risiko mit einem Wagnis GmbH, Schloß Eicherhof, D Leichlingen 4

5 IT-Risikomanagement IT-Risikomanagement = Der bewusste und gezielte Umgang mit den Risiken, die sich für Organisationen durch den Einsatz von IT ergeben können! Aus der Risikoverantwortung leitet sich das Risikomanagement GmbH, Schloß Eicherhof, D Leichlingen 5

6 Risikomanagement und Informationstechnik Warum IT-Risikomanagement? ohne Einsatz von IT keine Innovation Produktion Verkauf Einkauf etc. mehr GmbH, Schloß Eicherhof, D Leichlingen 6

7 IT - Risikomanagement Elemente von IT-Risikomanagement Business Continuity Business Security Business GmbH, Schloß Eicherhof, D Leichlingen 7

8 IT und Risikomanagement Aufgaben von IT Risikomanagement: Schutz vor Verlust von Unternehmens-Know-How und Wertschöpfung etc. Schutz vor Risiken, die sich vertraglich gesetzlich aus der IT ergeben GmbH, Schloß Eicherhof, D Leichlingen 8

9 Was ist Unternehmens Know-how? kann sein: Produktentwicklungen Produktionsprozesse Vertriebsinformationen Finanzdaten GmbH, Schloß Eicherhof, D Leichlingen 9

10 Warum und vor wem oder was schützen? Die deutsche Wirtschaft im Fokus der Betrachtung Deutschland ist seit Jahren DIE Exportnation Deutsches Ingenieurwissen ist führend Die deutschen Unternehmen sind - einladend - schlecht geschützt Know-how Verlust kann existentiell GmbH, Schloß Eicherhof, D Leichlingen 10

11 Deshalb schützen wir unser Business! Business Security ist mehr als IT-Security IT-Security in deutschen Unternehmen dient überwiegend der Business Continuity (lediglich der Verfügbarkeit) weniger dem Schutz der GmbH, Schloß Eicherhof, D Leichlingen 11

12 Oft gehört 100% Sicherheit gibt es nicht! Stimmt, aber 10 bis 20 % Sicherheit sind zu wenig! Es gilt die relevanten 5-10% Daten GmbH, Schloß Eicherhof, D Leichlingen 12

13 Oft gehört Bei uns ist noch nie was passiert. Sind Sie GmbH, Schloß Eicherhof, D Leichlingen 13

14 Einige Fakten zum Thema IT-Sicherheit Rechner im Internet werden statistisch alle 39 Sekunden attackiert. Im Durchschnitt 2244 Mal am Tag. (Quelle: Heise, Studie der Universität Maryland) alle 3 Sekunden werden neue virenverseuchte Webseiten entdeckt, d. h. rund pro Tag. (Quelle: Sophos, 2012) Alle 53 Sekunden wird in den USA ein Laptop gestohlen 97 % bleiben für immer verschwunden (Quelle FBI / Zeitung US GmbH, Schloß Eicherhof, D Leichlingen 14

15 Business Security Wie arbeiten potentielle Angreifer? Social Engineering Hackingangriff von außen Ausnutzen von IT-Schwachstellen Netze, Endgeräte, Smartphones Informationsbeschaffung von innen GmbH, Schloß Eicherhof, D Leichlingen 15

16 Wo werden Daten gefunden? in Büros Besprechungsräume Druckerstationen auf Papier Flipcharts/Whiteboards Ordner/Mappen Papierkörbe Schreibtische Schränke Papierarchive etc. PC s/notebooks/pda s CD s, DVD s, USB IT Netzwerk/Server GmbH, Schloß Eicherhof, D Leichlingen 16

17 Beispiel Social Engineering Vorbereitungsphase Informationsbeschaffung via Firmenwebsite Google Earth - Maps - StreetView Social Networks (Facebook, Xing und Co.) etc. Vor-Ort Beobachtung Wo befinden sich die Eingänge? Wann kommen die MA? Pausenverhalten ( Rauchertreffs, Kantine, Parkplatz etc.) Verhalten ggfs. von Werksschutz etc. GmbH, Schloß Eicherhof, D Leichlingen 17

18 Social Engineering, gern genutzt Ausnutzung von antrainierten Verhaltensweisen Gewinnung von vertraulichen Informationen z.b.: Kennwörter Strukturinformationen Informationen über andere Mitarbeiter Erlangen von Zutritt zu gesicherten Bereichen z.b.: Unternehmensgelände Produktionsstätten Büros Forschungs- und Entwicklungsbereiche GmbH, Schloß Eicherhof, D Leichlingen 18

19 Phishing Gezielte Phishing Attacken sind selbst für Experten nur schwer erkennbar Angreifer erhalten reguläre Zugangsdaten Phishing-Attacken lassen sich technisch erschweren, aber nicht verhindern Geschulte Mitarbeiter können Phishing-Attacken besser erkennen Fehlende Alarmierungsprozesse erschweren die GmbH, Schloß Eicherhof, D Leichlingen 19

20 IT Schwachstellen Trojaner Spam Passwortsniffen Auslesen gespeicherter Passwörter Passwortcracken Exploit (ausnutzen bekannter Schwachstellen) Bluetooth WLAN Handy Trojaner GmbH, Schloß Eicherhof, D Leichlingen 20

21 Endgeräte mobile Geräte Manager, Vertriebler, Ingenieure frequentieren (HotSpot) oft: Hotels Flughafen Lounges Bahnhöfe und Züge Kongresszentren GmbH, Schloß Eicherhof, D Leichlingen 21

22 100% Sicherheit gibt es nicht, aber. Fazit vieler Überprüfungen: bei der Firewall hört die Informationssicherheit auf organisatorische Sicherheit lückenhaft physische Sicherheit (Gebäudezugänge etc.) lückenhaft vorhandene Policies werden nicht gelebt oder keine Policies Bewusstsein bei Geschäftsleitung und folglich auch bei den Mitarbeitern ist nicht vorhanden die Bedeutung wird total unterschätzt wer interessiert sich schon für GmbH, Schloß Eicherhof, D Leichlingen 22

23 Business Security wir gehören zusammen! Physische Sicherheit Gebäude- und Zugangsschutz IT-Sicherheit State-of-the-Art Security Produkte & Technologien Organisatorische Sicherheit Security Policies, Prozesse, Awareness von Management und GmbH, Schloß Eicherhof, D Leichlingen 23

24 Sicherheit ist nie zu teuer! wenn Sie es gezielt angehen strukturiert betreiben als Prozess betrachten als unternehmensweite Aufgabe ansehen wenn Sie es als notwendig für den Schutz Ihrer Unternehmenswerte und Wettbewerbsfähigkeit halten Ihre GmbH, Schloß Eicherhof, D Leichlingen 24

25 Zusammenfassung Security zu vernachlässigen ist fahrlässig kann existentiell werden vor der Implementierung von Schutzmechanismen und maßnahmen kommt erst die Definition der Sicherheitsziele die Technik ist komplex, aber beherrschbar aber ohne Organisation ist sie GmbH, Schloß Eicherhof, D Leichlingen 25

26 Appell 100% Sicherheit gibt es nicht! Stimmt! Aber sich mit Wissen um die Risiken mit nur 10% bis 20% Sicherheit zu begnügen ist GmbH, Schloß Eicherhof, D Leichlingen 26

27 Fazit Organisatorische Sicherheit und Sicherheitsbewusstsein aller Beteiligten sind elementar für Know-how Schutz! Risikoverantwortung und Risikomanagement ist GmbH, Schloß Eicherhof, D Leichlingen 27

28 Vielen Dank für Ihre Aufmerksamkeit! Ihre Fragen bitte Hans-Peter GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)