Global Headquarters: 5 Speen Street Framingham, MA USA P F

Größe: px
Ab Seite anzeigen:

Download "Global Headquarters: 5 Speen Street Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com"

Transkript

1 Global Headquarters: 5 Speen Street Framingham, MA USA P F W H I T E P A P E R S i n d I h r e s e n s i t i v e n D a t e n s i c h e r? E i n e S t u d i e z u m S t a t u s d e r I T - S e c u r i t y - P r a x i s i n D e u t s c h l a n d Gesponsert von: Tripwire Matthias Zacher Oktober 2011 Eric Domage Basis des vorliegenden Whitepapers ist eine Befragung von IT Security Fach- und Führungskräften in Deutschland durch IDC. Diese Befragung ist im Sommer 2011 durchgeführt worden. Grundlegende Ergebnisse der Befragung sind: IT Security Verantwortliche in Deutschland verfügen über ein klar umrissenes Verständnis ihres Aufgabengebiets nämlich dem Schutz des operativen Geschäfts, der Unternehmensmarken und der Sicherung des Kundenvertrauens. Der Stellenwert von sicherheitsrelevanten Daten (persönliche Kundendaten, Finanzdaten und geistiges Eigentum) ist exakt definiert und potenzielle Geschäftsschädigungen (Verlust des Kundenvertrauens bzw. von Umsätzen sowie rechtliche Sanktionen). durch Vorkommnisse in der IT können genau eingeschätzt werden Compliance ist eines der wichtigsten und umfassendsten Themen, bei einem starken lokalen Fokus. IT Security Experten in Deutschland müssen eine ganze Reihe an gesetzlichen Anforderungen und Richtlinien berücksichtigen und verarbeiten. Allerdings zeigt die Befragung auch eine gewisse Zurückhaltung gegenüber offiziellen Audits und Prüfungen der Security Policy und flächendeckenden IT Security Controls. Die Unternehmen halten die obligatorischen gesetzlichen Regelungen ein, die Fähigkeit auf mögliche ernsthafte Zwischenfälle im Nachhinein zu reagieren ist eher schwach ausgeprägt- In den Unternehmen eingesetzte IT Security Controls erfüllen heute Basisanforderungen (Daten-Recovery, Malware-Abwehr, Accessmanagement). Aber tiefergehende Instrumente, die Schwachstellen in der IT Security aufdecken und Abhilfe schaffen könnten (Security Configuration Management, Störfallbearbeitungen, Auslastungstests) werden bisher kaum eingesetzt. Aktuelle IT Security Controls adressieren vor allem die Verbesserung von Security Skills, Audit Log Monitoring, Account Monitoring, Asset Inventory und Data Loss Prevention. Zusätzlich zur Befragung wurden Expertengespräche in Fokusgruppen geführt. Dabei zeigt sich ein einheitliches Bild der aktuellen Entwicklungen. Die befragten IT- Experten sind mit den aktuellen IT Security-Anforderungen durch das Business vertraut Das Thema Sicherheit und Compliance findet immer stärker Berücksichtigung. Dennoch scheint die IT-Sicherheit, gemessen am Grad der Automatisierung von IT Security Controls (Maßnahmen, Vorgehensweisen und IT Security Technologie), noch auf einem niedrigen Stand bei deutschen Unternehmen zu sein.

2 IDC geht davon aus, dass automatisierte Security Controls ein geeigneter Ansatz sind, wenn es darum geht, den aktuellen Level der IT-Sicherheit zu verbessern und ROI (Return-on-Investment) zu generieren. Des Weiteren können IT Security Controls gezielt dort eingesetzt werden, wo Optimierungsbedarf besteht und somit interne Ressourcen für wichtigere Aufgaben freigesetzt werden. Das senkt zugleich die Total Costs für IT Security. #IDCWP41T 2011 IDC

3 I N H A L T S V E R Z E I C H N I S Einführung... 1 Methodik... 1 Aktuelle Situation... 2 Schutz von Daten... 2 Typen von zu schützenden Daten... 2 IT Security Controls... 7 PCI DSS im Detail Einführung Compliance mit PCI DSS PCI DSS Anforderungen Zusammenfassung Copyright-Hinweis P 2011 IDC #IDCWP41T

4 A B B I L D U N G S V E R Z E I C H N I S 1 Welche Arten von sensitiven Daten müssen von Ihrem Unternehmen geschützt werden? Was wären die Auswirkungen auf Ihr Unternehmen, wenn sensible Daten verloren gingen oder kompromittiert würden? Wie zuversichtlich sind Sie, dass Sie im Falle eines erfolgreichen Angriffs auf Ihre IT die Ursache und alle nicht autorisierten Eingriffe schnell herausfinden und identifizieren können? Was ist der Hauptgrund, warum IT Sicherheitstechnologien und Maßnahmen erfolgreiche Angriffe auf die IT nicht verhindern bzw. nicht rechtzeitig entdecken können? Welche der folgenden IT Security Controls haben Sie bereits implementiert, wollen Sie erweitern oder beabsichtigen Sie zu implementieren? Welche der folgenden IT Security Controls beabsichtigen Sie zu erweitern oder zu implementieren? Top 10 Nennungen Welche der folgenden IT Security Controls haben Sie nicht implementiert? Top 10 Nennungen Führt Ihr Unternehmen Audits zur Wirksamkeit der eingesetzten IT Security Controls durch? Mit welchen der folgenden Gesetze und Richtlinien muss Ihr Unternehmen compliant sein? Verfügen Sie über ein formelles Informations-Sicherheits-Management System, das die Risiken im Zusammenhang mit Ihren sensitiven Unternehmensdaten beschreibt und die IT Security Controls definiert, die für den Schutz notwendig sind? Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien beruht Sind Sie derzeit PCI DSS compliant? Bitte wählen Sie aus den folgenden 12 PCI DSS-Compliance Anforderungen diejenige aus, die am EINFACHSTEN zu erfüllen ist Bitte wählen Sie aus den folgenden 11 PCI DSS-Compliance Anforderungen diejenige aus, die am SCHWIERIGSTEN zu erfüllen ist Werden in Ihrem Unternehmen regelmäßig PCI DSS Compliance Audits durchgeführt? P #IDCWP41T 2011 IDC

5 E i n f ü h r u n g 2011 ist ein äußert herausforderndes Jahr hinsichtlich der IT-Sicherheit in Unternehmen. Das gilt umso mehr für die Verantwortlichen, die für die Sicherheit sorgen müssen. Über Sicherheitslücken und Datenlecks in Unternehmen wird derzeit vielfach in den Medien berichtet und die Zahl strafrechtlich relevanter Attacken und Angriffe auf die Daten von Behörden, Unternehmen und Privatpersonen steigt kontinuierlich. Der richtige Umgang mit sicherheitsrelevanten (sensitiven) Daten ist für viele Organisationen aufgrund fehlender Mittel, knapper personeller Ressourcen und mangelnder technischer Expertise schwierig, oftmals mit desaströsten Folgen. Aber die Unternehmen in Deutschland verstärken ihre Anstrengungen zum Schutz sensitiver Daten und setzen in wachsendem Maße vorbeugende Maßregeln und Mechanismen ein. Die Spannbreite dieser Maßnahmen reicht von Schulungen und Awareness Programmen bis zur Einführung neuer IT Security Lösungen. Das Einführen einer passenden technischen Lösung zum Schutz von Daten ist absolut wichtig geworden. Einerseits sind Angriffe aufgrund verfeinerter Vorgehensweise immer schwieriger zu erkennen und andererseits erfordern komplexe und umfassende Technologien adäquate Schutzvorrichtungen. M e t h o d i k Ziel des vorliegenden Whitepapers ist es, die aktuellen Herausforderungen und Bedürfnisse deutscher Unternehmen und Institutionen hinsichtlich des Schutzes sensitiver Daten und der Rolle von IT Security Controls zu untersuchen. Dabei wird auf die Sichtweisen und Anforderungen von Unternehmen eingegangen, der stetig wachsenden Bedrohung sensitiver Daten entgegen zu steuern und dem Bedürfnis nach leistungsfähigeren IT Security Controls nachzukommen. Diese Anforderungen stehen in engem Zusammenhang mit sich ändernden technologischen Standards und der Art und Weise, wie IT heutzutage im Unternehmensalltag Verwendung findet. Dementsprechend bedarf es immer mehr Schutzvorkehrungen und Gegenmaßnahmen, um Bedrohungen der IT zu entschärfen. In dieser Studie wird dabei auch auf Compliance Richtlinien in Deutschland eingegangen. IDC hat 2011 im Juli und August 150 Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zur IT Security und aktuellen Bedrohungsszenarien befragt, um ein besseres Verständnis über den Einsatz von IT Security Lösungen und die Abwehr von Gefährdungspotenzialen zu bekommen. Ergänzend zur Befragung fanden zudem Diskussionen in Fokusgruppen mit IT Security Verantwortlichen auf Senior Level in München und Frankfurt statt. Der Teilnehmerkreis der Befragung und der Fokusgruppen setzte sich aus Experten und Managern zusammen, die vorwiegend für die Sicherheit der IT in ihrem Unternehmen zuständig sind. Im Branchensplit der Studienteilnehmer stellt die Industrie den größten Anteil, gefolgt von den Branchen Handel, Unternehmensdienstleistungen, das Gesundheitswesen, Finanzdienstleister und Andere. Das vorliegende Dokument fasst die Key-Ergebnisse der Befragung und der Diskussion der Fokusgruppen zusammen IDC #IDCWP41T 1

6 A k t u e l l e S i t u a t i o n IT Security und damit der Schutz von Daten, Informationstechnologie und der IT Landschaft insgesamt zählt seit vielen Jahren zu den Topthemen der IT-Abteilungen deutscher Unternehmen. Obwohl Unternehmen in Deutschland die Wichtigkeit dessen erkannt haben, ist absolute IT Sicherheit heutzutage noch immer eine Illusion. IT Security ist immer komplexerer und anspruchsvollerer geworden und muss fortwährend neue Aspekte und Angriffsszenarien berücksichtigen. Laut Bundeskriminalamt (BKA) ist die Zahl der Cyber-Verbrechen im Jahr 2010 um 19 % angestiegen. Für 2011 erwartet IDC weiterhin eine wachsende Zahl von Bedrohungen, Angriffen und Sicherheitslücken. S c h u t z v o n D a t e n Die Entwicklung immer neuer Technologien zur Steigerung der Effektivität und Effizienz in Unternehmen geht aus Sicht der IT Security mit einem parallelen Anstieg der Bedrohungen für sensitive Daten Hand in Hand. Mit den heutigen Bedrohungsszenarien sind Angriffe auf die IT Infrastruktur alltäglich geworden und der Diebstahl sensitiver Daten stellt keine Seltenheit mehr dar. Typen von zu schützenden Daten Der Schutz der Sicherheit und Vertraulichkeit von Daten ist für jedes Unternehmen von hoher Bedeutung. Die vorliegende Befragung bestätigt, dass der Schutz personenbezogener Daten, Kundendaten und Finanzdaten bei über 90 % der Befragten ein Top Thema darstellt. Weitere Daten, bei denen erhöhter Sicherheitsbedarf besteht, sind geistiges Eigentum und Fachwissen, Daten von Kreditkartenbesitzern, Patientendaten und einige weitere gesetzlich geschützte und nicht geschützte Daten. 2 #IDCWP41T 2011 IDC

7 A B B I L D U N G 1 W e l c h e A r t e n v o n s e n s i t i v e n D a t e n m ü s s e n v o n I h r e m U n t e r n e h m e n g e s c h ü t z t w e r d e n? Personenbezogene daten 93,3% Kundendaten 92,0% Finanzdaten 91,3% Geistiges Eigentum, Fachwissen 69,3% Daten von Kreditkartenbesitzern 48,0% Patientendaten 16,7% Andere gesetzlich geschützte Daten 4,0% Andere nicht gesetzlich geschützte Daten 1,3% 0% 50% 100% n = 150 Umso mehr Technologien in einem Unternehmen eingesetzt werden, desto stärker häufen sich die Gefahren, sensible Daten zu streuen oder zu verlieren. Die Diskussion in den Fokusgruppen hat gezeigt, dass Unternehmen mit einer wachsenden Anzahl von Einbrüchen in die Informationstechnologie umgehen müssen. Die Anzahl der Angriffe auf unternehmensinterne IT-Infrastrukturen liegt bei bis zu Angriffen im Monat, Tendenz steigend. Es hat den Anschein, als seien die Fokusgruppenteilnehmer wesentlich offener im Umgang mit dieser Problematik, denn die Befragung in den Unternehmen zeichnet ein anderes Bild. Auch hier wurde nach der Anzahl der Angriffe auf die IT- Infrastruktur der Unternehmen gefragt über die Hälfte der Befragten äußerte sich dazu gar nicht, das Ergebnis der Übrigen ist wie folgt: Mehr als 15 % der befragten Unternehmen gaben an, noch nie Opfer eines Angriffs gewesen zu sein, 21 % bezifferten die Angriffe zwischen 1 und 10 im Monat, Bei 7 % der Befragten gebe es Angriffe im Monat. Die tatsächliche Situation spiegeln diese Zahlen nicht wider IDC geht davon aus, dass die Anzahl der Angriffe tatsächlich wesentlich höher ist und dass diese sich durch große Raffinesse auszeichnen. Viele Unternehmen haben erhebliche Probleme damit, das Gefahrenpotenzial neuer Bedrohungen einzuschätzen und es kommt erschwerend hinzu, dass es häufig keine unternehmensweiten Informationen über erfolgreiche Angriffe auf das Unternehmen gibt IDC #IDCWP41T 3

8 Die Befragten bezifferten in der Umfrage die Anzahl der in letzten 12 Monaten erfolgten Angriffe recht niedrig, was nach IDC Meinung nicht die Realität abbildet. Tatsächlich sind, wie aktuelle Reports und Nachrichten zeigen, erfolgreiche Angriffe im letzten Jahr dramatisch angestiegen. Der Verlust sensitiver Informationen wirkt sich nicht nur in Form wirtschaftlichen Verlustes aus, sondern kann das Image eines Unternehmens langfristig stören und damit eine ersthafte Bedrohung darstellen. Das Ergebnis zeigt, dass über 95 % der Befragten davon ausgehen, ein Datenverlust führe zu einem Vertrauensverlust der Kunden und habe negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens. Dazu kommen Umsatzverluste (67,3 %), Schadenersatz, Wiederherstellungskosten, Vertragsstrafen und höhere Betriebskosten (66,7 %), gesetzliche Strafen und Bußgelder (52,7 %) sowie der Verlust des eigenen Jobs (12,7 %). Insgesamt decken sich diese Ergebnisse auch mit den Ausführungen in den Fokusgruppen. A B B I L D U N G 2 W a s w ä r e n d i e A u s w i r k u n g e n a u f I h r U n t e r n e h m e n, w e n n s e n s i b l e D a t e n v e r l o r e n g i n g e n o d e r k o m p r o m i t t i e r t w ü r d e n? Vertrauensverlust der Kunden, negative Auswirkungen auf das Unternehmens-Brand bzw. den Ruf des Unternehmens 95,3% Umsatzverlust 67,3% Schadensersatz, Wiederherstellungskosten, Vertragsstrafen, höhere Betriebskosten 66,7% Gesetzliche Strafen, Bußgelder, Kompensationen 52,7% Ich würde meine Stelle verlieren 12,7% 0% 50% 100% n = 150 Wenn eine Sicherheitslücke entdeckt wird, müssen Unternehmen diese umgehend schließen und schnell alle Auswirkungen des Angriffs ausfindig machen. Dazu gehören beispielsweise eingeschleuster Schadcode, zerstörte Daten und Dateien sowie jegliche andere unbefugten Zugriffe auf die IT-Infrastruktur (Nutzerprofile und Rechte). Um die Rechtsgültigkeit und Integrität der Daten sicherzustellen, bedürfen die Unternehmen verschiedener Lösungen, Policies und Methoden. 4 #IDCWP41T 2011 IDC

9 A B B I L D U N G 3 W i e z u v e r s i c h t l i c h s i n d S i e, d a s s S i e i m F a l l e e i n e s e r f o l g r e i c h e n A n g r i f f s a u f I h r e I T d i e U r s a c h e u n d a l l e n i c h t a u t o r i s i e r t e n E i n g r i f f e s c h n e l l h e r a u s f i n d e n u n d i d e n t i f i z i e r e n k ö n n e n? Nicht zuversichtlich (6,7%) Weiß nicht (1,3%) Sehr zuversichtlich (48,0%) Teils teils (44,0%) n = 150 Das Problem möglichen Datenverlustes ist zurzeit das wichtigste Thema der IT Security Verantwortlichen. IDC geht davon aus, dass Datenlecks- und Verluste sich nicht nur dramatisch auf die IT-Sicherheit auswirken, sondern auch auf den Geschäftsbetrieb insgesamt. Die Frage aber ist: Wie können IT Security Manager und Leiter Verletzungen der Datensicherheit erfolgreich bekämpfen und wie schnell kann die Quelle eines Angriffs tatsächlich ausfindig gemacht werden? Hat ein erfolgreicher Angriff stattgefunden, so müssen Unternehmen so schnell wie möglich handeln, um auf unerlaubte Vorgänge und Zugriffe reagieren zu können. In der Befragung geben jedoch weniger als die Hälfte der Unternehmen an, diesen Anforderungen gewachsen zu sein und auf Angriffe entsprechend reagieren zu können, 44 % der Unternehmen fühlen sich teilweise dazu in der Lage. 7 % hingegen gaben sogar an, nicht zuversichtlich dahingehend zu sein, bei einem Angriff richtig zu reagieren und 1 % der Befragten weiß es nicht. In Regel werden unbefugte Zugriffe mit einer Kombination aus Configuration Management, Change Monitoring und Network Change Detection bekämpft. Es sollte besonderes Augenmerk auf diese Themen gelegt werden, um auch zukünftige Angriffe kontrollieren zu können. Es gibt sehr unterschiedliche Gründe für das Versagen der IT Security bei der Erkennung und Schließung von Sicherheitslücken. Die drei häufigsten sind dabei der Mangel an passenden Fachkräften (48,7 %), fehlendes internes Know-how (42,7 %) 2011 IDC #IDCWP41T 5

10 und zu geringes Budget für den Kauf geeigneter Technologien (39,3 %). Insgesamt zeigt dieses Ergebnis den großen Handlungsbedarf auf, entsprechende Fähigkeiten im Unternehmen aufzubauen. Dabei muss darauf geachtet werden, die entsprechenden Ressourcen gezielt einzusetzen dort, wo eventuelle Angriffe am wahrscheinlichsten und am schwerwiegendsten sind. A B B I L D U N G 4 W a s i s t d e r H a u p t g r u n d, w a r u m I T S i c h e r h e i t s t e c h n o l o g i e n u n d M a ß n a h m e n e r f o l g r e i c h e A n g r i f f e a u f d i e I T n i c h t v e r h i n d e r n b z w. n i c h t r e c h t z e i t i g e n t d e c k e n k ö n n e n? Keine passenden Fachkräfte 48,7% Fehlendes internes Know-how Zu wenig Budget, um geeignete Technologien zu kaufen Eingesetzte Technologien sind unzulänglich / ineffektiv 34,0% 39,3% 42,7% Zu wenig IT Controls im Einsatz Mitarbeiter sind von Datenvolumen überfordert, das durch bestehende Lösungen entsteht Mangelnde Koordination oder Integration von bestehenden Technologien Derzeitige IT Sicherheitsmaßnahmen und Technologien werden nicht gepflegt (gewartet) 33,3% 32,0% 29,3% 24,0% Weiß nicht 7,3% 0% 30% 60% n = 150 Genauere Betrachtung der Aussagen der IT Security Verantwortlichen macht deutlich, wie unterschiedlich allgemeines Wissen und Expertise über die Mitglieder der Fokusgruppen verteilt sind. Während einige über ein großes Portfolio an IT Security Mitarbeitern innerhalb des Unternehmens verfügen, sind andere auf einen besonderen Bereich oder eine bestimmte Abteilung spezialisiert. Viele der neueren Security Mitarbeiter verfolgen eher einen technisch-basierten Lösungsansatz für die IT Security, zugleich wird aber die Informationssicherheit auf der Agenda der Verantwortlichen immer wichtiger. Dies ist zum Teil der Tatsache geschuldet, dass die Infrastruktur immer komplexer wird, aber auch immer neue gesetzlichen Vorschriften und Compliance Richtlinien zu beachten sind. Insgesamt ergibt sich daraus die Notwendigkeit eines erweiterten Ansatzes einer IT Security Strategie und Umsetzung. Je stärker sich Unternehmen mit IT-Sicherheit auseinandersetzen, desto eher werden neue, effektivere Abwehransätze entwickelt. 6 #IDCWP41T 2011 IDC

11 I T S e c u r i t y C o n t r o l s IT Security Controls sind Maßnahmen für die Prävention, Bearbeitung und Minimierung geschäftlicher Risiken. Sie stellen die unternehmensinternen Abläufe, Policies und Technologien dar, die den reibungslosen Ablauf grundlegender betrieblicher Prozesse sichern. Durch die Einführung von IT Security Controls werden Unternehmen in die Lage versetzt, ihre Abwehrfähigkeit gegenüber Datenverlust oder -diebstahl zu stärken. IDC hat in der vorliegenden Untersuchung die Einstellung deutscher Unternehmen zu diesen IT Security Controls eruiert. Im Zuge der Befragung und der Diskussion in den Fokusgruppen wurde eine Liste mit 18 grundlegenden IT Security Controls erarbeitet, die zur Entschärfung der Risiken von Datenverlusten von besonderer Bedeutung sind. Beide Gruppen haben dabei sehr interessante Einblicke zur Einführung dieser Schutzmaßnahmen gegeben. Abbildung 5 zeigt die von den Befragten am häufigsten eingeführten IT Security Controls im Vergleich zu den Plänen, diese künftig zu erweitern oder eine Einführung zu planen. Wichtigkeit und Relevanz der verschiedenen IT Security Controls im Einsatz bei den Unternehmen hängen im Wesentlichen von deren Konfiguration und der Sensitivität der Daten ab IDC #IDCWP41T 7

12 A B B I L D U N G 5 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e b e r e i t s i m p l e m e n t i e r t, w o l l e n S i e e r w e i t e r n o d e r b e a b s i c h t i g e n S i e z u i m p l e m e n t i e r e n? Malware-Schutz Informationssicherheitsrichtlinien Datenwiederherstellung Access Management Data Loss Prevention Anwendungssoftware Security Asset Inventory Audit Log Monitoring und Analyse Account Monitoring und Überwachung Datenverschlüsselung System Changes Monitoring und Analyse Security Skills & Awareness Training Secure Network Engineering (Boundary Defense) Vulnerability Assessment & Wiederherstellung Penetrations-Testing Überwachung drahtloser (WLAN) Geräte Incident Response Secure Configuration Standards (Hardening) 93,3% 84,7% 93,3% 78,0% 74,0% 76,7% 67,3% 70,7% 65,3% 64,7% 64,7% 58,7% 66,7% 58,7% 53,3% 51,3% 52,7% 51,3% 1,3% 9,3% 0,0% 6,6% 10,6% 6,7% 10,6% 6,6% 10,7% 10,6% 9,3% 14,6% 4,0% 9,9% 8,6% 7,3% 5,3% 5,3% 0% 50% 100% Bereits implementiert Erweiterung oder Einführung geplant n = 150 Über 90 % der befragten Unternehmen gaben an, solche grundlegenden Basis Security Controls wie Malware-Schutz, Datenwiederherstellung und Informationssicherheitsrichtlinien entweder bereits zu nutzen oder eine Erweiterung oder Einführung in Planung zu haben. Unter den fünf häufigsten Antworten finden sich zudem Access Management und Data Loss Prevention. Innerhalb der Fokusgruppen wird dies bestätigt. So betonten die Teilnehmer, dass es heutzutage unerlässlich ist, einen aktiven automatisierten Malware-Schutz in jedem System auf dem aktuellsten Stand zu haben. Abbildung 6 zeigt die Top 10 der IT Security Controls, die erweitert oder eingeführt werden sollen. Angeführt wird die Liste von Security Skills & Awareness, Datenverschlüsselung sowie Account Monitoring und Überwachung, welche aktuell viel Aufmerksamkeit bekommen, sich aber bisher noch auf einem niedrigen Nutzungs- bzw. Erweiterungs-Level befinden. 8 #IDCWP41T 2011 IDC

13 A B B I L D U N G 6 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s b e a b s i c h t i g e n S i e z u e r w e i t e r n o d e r z u i m p l e m e n t i e r e n? T o p 1 0 N e n n u n g e n Security Skills & Awareness Training 8,7% 6,0% Datenverschlüsselung 6,7% 4,0% Account Monitoring und Überwachung 6,0% 4,7% Asset Inventory 7,3% 3,3% Data Loss Prevention 9,3% 1,3% Vulnerability Assessment & Wiederherstellung System Changes Monitoring und Analyse Informationssicherheitsrichtlinien 6,7% 4,7% 6,0% 4,7% 3,3% 3,3% Penetrations-Testing Überwachung drahtloser (WLAN) Geräte 7,3% 5,3% 2,0% 1,3% 0% 5% 10% 15% 20% Einführung geplant Erweiterung geplant n = 150 IDC geht davon aus, dass einige der IT Security Controls noch unterbewertet und unterschätzt werden. Secure Configuration Standards, welche die Liste der am wenigsten implementierten IT Security Controls (Abbildung 7) anführt, ist ein Beispiel hierfür. IT Unternehmen müssen eine sichere Konfiguration der Computer und Netzwerke gewährleisten, "gehärtete" Systeme nachrüsten und regelmäßig updaten. Handlungsbedarf besteht auch bei der Verbesserung von Due Diligence, Assurance und Datenschutz IDC #IDCWP41T 9

14 A B B I L D U N G 7 W e l c h e d e r f o l g e n d e n I T S e c u r i t y C o n t r o l s h a b e n S i e n i c h t i m p l e m e n t i e r t? T o p 1 0 N e n n u n g e n Secure Configuration Standards (Hardening) Überwachung drahtloser (WLAN) Geräte Incident Response Capability Penetrations-Testing Vulnerability Assessment & Wiederherstellung Secure Network Engineering (Boundary Defense) Security Skills & Awareness Training System Changes Monitoring und Analyse Account Monitoring und Überwachung Data Loss Prevention 41,3% 40,3% 40,0% 36,7% 28,7% 27,3% 24,7% 24,0% 23,3% 22,0% 0% 25% 50% n = 150 Quelle: IDC, 201 Häufige Prüfungen (Audits) der Effektivität von IT Security Controls gehören zu den wichtigsten Elementen der Messung der Qualität einer sicheren IT Infrastruktur. Fast 73 % der befragten Unternehmen geben an, derartige Prüfungen zwar durchzuführen, aber nur gelegentlich oder in großen zeitlichen Abständen. Wie Abbildung 8 verdeutlicht, führen die meisten Unternehmen diese Prüfungen einmal jährlich durch (53 %), halbjährlich sind es 10 % und bei 9 % wird auf eine quartalsweise Prüfung geachtet. Besorgniserregend ist aber, dass fast ein Viertel der Befragungsteilnehmer (24 %) keinerlei Qualitätsmanagement in diesem Bereich einsetzt, also die Effektivität der IT Security Controls gar nicht überprüft. Wenn keine regelmäßigen Überprüfungen der IT Security Controls stattfinden, verringert das den Wert dieser Instrumente erheblich, da stets sichergestellt sein muss, dass sie funktionieren und effektiv sind. Unternehmen können unmöglich etwas verwalten, das sie nicht vorher messen und der Mangel häufiger Prüfungen führt damit zu einem erhöhten geschäftlichen Risiko. 10 #IDCWP41T 2011 IDC

15 Incident Response Capability Penetration Testing Vulnerability Assessment & Remediation 28,7% 40,0% 36,7% Secure Network Engineering (Boundary Defense) 27,3% A B B I L D U N G 8 Security Skills & Awareness Education 24,7% F ü h r t I h r U n t e r n e h m e n A u d i t s z u r W i r k s a m k e i t d e r Systems Changes Monitoring and Analysis e i n g e s e t z t e n I T S e c u r i t y C o n t r o l s d u r c h? 24,0% Account Monitoring and Control 23,3% Ja, einmal im Jahr Data Loss Prevention 22,0% 53,3% Audit Log Monitoring and Analysis Nein 24,0% Asset Inventory Ja, alle sechs Monate Access 10,0% Management 14,0% 21,3% 19,3% Ja, alle drei Monate Weiß nicht Data Encryption 9,3% Information Security Policy 3,3% Data Recovery Capability 14,0% 5,3% 4,7% 0% Malware Defenses 30% 4,7% 60% n = 150 Application Software Security 1,3% 0% 10% 20% 30% 40% 50% (%) Unternehmen müssen eine stetig steigende Anzahl von Richtlinien einhalten (Compliance), von denen einige branchenübergreifend sind und andere bestimmte interne Policies oder branchenspezifische Anforderungen abdecken. Die für diese Studie befragten Unternehmen listen eine ganze Reihe solcher Richtlinien auf, die für ihren geschäftlichen Alltag wichtig sind, welche in Abbildung 9 dargestellt sind. Die branchenübergreifenden Richtlinien, die das deutsche Gesetz fordert, werden dabei am häufigsten genannt. Dazu zählt das Bundesdatenschutzgesetz (BDSG) (91.3%) sowie das Aktiengesetz (AktG), GmbH-Gesetz (GmbHG) und das Handelsgesetzbuch (Handelsgesetzbuch) mit zusammen 66,7 % IDC #IDCWP41T 11

16 A B B I L D U N G 9 M i t w e l c h e n d e r f o l g e n d e n G e s e t z e u n d R i c h t l i n i e n m u s s I h r U n t e r n e h m e n c o m p l i a n t s e i n? Bundesdatenschutzgesetz (BDSG) Interne Compliance-Vorschriften und Regeln 91,3% 87,3% AktG, GmbHG, HGB GDPdU 66,7% 62,7% Basel II, Solvency II PCI DSS KontraG Sox / Eurosox MaRISK SAS 70 (SSAE 16) und PS 951 Weiß nicht. 41,3% 33,3% 27,3% 19,3% 12,0% 9,3% 1,3% 0% 50% 100% n = 150 Mit 87,3 % sind interne Compliance-Vorschriften und Regeln an zweiter Stelle genannt, was die große Bedeutung interner Richtlinien für deutsche Unternehmen unterstreicht. Gemeint sind damit Policies und Abläufe, die durch das Management festgelegt werden um das eigene geschäftliche Risiko zu minimieren. Gesetzliche Compliance Richtlinien sind für IT Abteilungen heute nicht mehr neu, dennoch befinden sich die Unternehmen immer noch auf unterschiedlichen Verständnis- und Umsetzungsstufen, wenn es um die Verinnerlichung dieser Prozesse und dessen effiziente Gestaltung geht. Die steigende Aufmerksamkeit gegenüber Compliance-Anforderungen, sowohl deren Beachtung als auch Implementierung, zieht ein deutliches Potenzial zur Automatisierung der Überwachung nach sich. Verschiedene Sicherheitsstufen sollten, wann immer es möglich ist, kombiniert werden um eine umfassende Absicherung der Systeme zu gewährleisten. Das Ziel der Implementierung eines Information Security Managements Systems ist grundsätzlich immer die Eindämmung und Begrenzung aktueller und künftiger geschäftlicher Risiken, daneben aber auch die Einhaltung aktueller Richtlinien und gesetzlicher Anforderungen zum Schutz und der Vertraulichkeit von Informationen. Dabei muss ein gutes Security Management in seinen Policies und Abläufen drei Dimensionen integrieren: Menschen, Prozesse und Technologie. 12 #IDCWP41T 2011 IDC

17 A B B I L D U N G 10 V e r f ü g e n S i e ü b e r e i n f o r m e l l e s I n f o r m a t i o n s - S i c h e r h e i t s - M a n a g e m e n t S y s t e m, d a s d i e R i s i k e n i m Z u s a m m e n h a n g m i t I h r e n s e n s i t i v e n U n t e r n e h m e n s d a t e n b e s c h r e i b t u n d d i e I T S e c u r i t y C o n t r o l s d e f i n i e r t, d i e f ü r d e n S c h u t z n o t w e n d i g s i n d? Weiß nicht. (2,7%) Wir haben kein Informations- Sicherheits- Management (30,7%) Wir haben eine formelle Vorgehensweise implementiert, die auf einem der folgenden Standards oder Richtlinien (66,7%) n = 150 Wurde erst einmal ein offizielles Information Security Management Systemeingerichtet, zeigt sich schnell der enorme Gewinn, da es von diesem Zeitpunkt an IT Security Verantwortlichen möglich wird, den Stand der Sicherheit zu messen und abzubilden. Zwei Drittel der befragten Unternehmen verfügen bereits, wenn auch in unterschiedlichen Ausprägungen, über ein offizielles Information Security Management System, in denen auch die Risiken für sensible Daten und die notwendigen Security Controls definiert sind. Das übrige Drittel hat derartige Modelle bisher nicht entwickelt. Nach IDC Meinung stellen Information Security Management Systeme grundlegende Instrumente dar, die von Unternehmen eingeführt werden sollten. Es sind hinreichende Ressourcen zur Anleitung entsprechender Security Policies vorhanden, sodass das "Was" kein Problem darstellen sollte. Security Verantwortliche der Fokusgruppen neigen bisher dazu, einzelne Policies für ihr Unternehmen auszuwählen und zu verwenden, während nur einige Verantwortliche komplette Standards implementieren. Dadurch können schnell Sicherheitslücken entstehen. Unternehmen, die bereits offizielle Modelle eingeführt haben, setzen auf Standardbasierte oder Best-Practices-Systeme. Die meisten Befragten (58 %) nutzen dementsprechend den IT-Grundschutz, ein Vorgehensmodell des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erstellung eines Information Security Management Systems. Andere genannte Modelle basieren auf ISO 2700x (44%), ITIL 2011 IDC #IDCWP41T 13

18 (30%), Information Security Forum Best Practices (24%), PCI DSS (17%) und COBIT (11%). A B B I L D U N G 11 W i r h a b e n e i n e f o r m e l l e V o r g e h e n s w e i s e i m p l e m e n t i e r t, d i e a u f e i n e m d e r f o l g e n d e n S t a n d a r d s o d e r R i c h t l i n i e n ber u h t. IT Grundschutz 58,0% ISO 2700x 44,0% ITIL (Information Technology Infrastructure Library) Information Security Forum Best Practices (ISF) PCI DSS COBIT Keine der Genannten. 30,0% 24,0% 17,0% 11,0% 15% 0% 30% 60% n = 150 P C I D S S i m D e t a i l Einführung PCI DSS (Payment Card Industry Data Security Standard) ist eine im Auftrag der großen Kreditkartenmarken entwickelte Information Security Richtlinie des PCI Data Security Councils, welche spezifische Compliance Anforderungen für Unternehmen, die Kreditkarteninhaberinformationen verwalten, umfasst. Dieser Standard bietet ein erprobtes System zur Entwicklung stabiler und überprüfbarer Sicherheitsprozesse, das die Vorsorge, Ermittlung und Reaktion auf Störfälle bezüglich der Sicherheit in Relation zum Verlust sensibler Daten beinhaltet. Compliance mit PCI DSS Wie bereits Abbildung 9 verdeutlicht, nutzen 33 % der befragten Unternehmen PCI DSS. Innerhalb des Kreditkartenverkehrs haben diese Unternehmen unterschiedliche Rollen 61,3 % sind Händler, 25,3 % Service Provider und 13,3 % sind Banken. Mehr als 25 % der Banken, die PCI DSS einsetzen, tun dies seit mehr als zwei Jahren. Sie haben bereits Erfahrung im Umgang mit dem Aufbau und der Instandhaltung sicherer Netzwerke und dem Schutz der Daten Ihrer Kreditkarteninhaber. 20 % verwenden PCI DSS seit einem Jahr und weitere 20 % befinden sich noch in der Entscheidungsphase. Überraschenderweise haben 35 % 14 #IDCWP41T 2011 IDC

19 der befragten Unternehmen, die bestimmte Standards einhalten müssen, noch keinerlei Erfahrung mit PCI DSS zur Prüfung ihrer Compliance Vorschriften. A B B I L D U N G 12 S i n d S i e d e r z e i t P C I D S S c o m p l i a n t? Wir sind nicht PCI DSS-konform 34,7% Ja, seit mehr als zwei Jahren 25,3% Ja, seit einem Jahr 20,0% Wir sind gerade im PCI DSS Assessment 20,0% 0% 20% 40% n = 75 PCI DSS Anforderungen PCI DSS besteht aus 12 Anforderungen, die in Kombination oder durch Erweiterung mit "klassischen" IT Security Controls eine umfassende Minimierung des Risikos sicherstellen können. Als eines der sehr umfangreichen und strukturierten Systeme, analysiert es den Aufwand für die Einhaltung der vorgegeben Standards und gibt damit einen erweiterten detaillierteren Einblick über den aktuellen Status der IT Security Controls. Bei der Frage, welche der Anforderungen des PCI DSS für die befragten Unternehmen am EINFACHSTEN zu erfüllen seien, wird deutlich, dass die Umsetzung der Anforderungen 1, 5 und 8 am einfachsten für die befragten Unternehmen ist. Im Detail sind dies der Schutz von Karteninhaberdaten (Anf. 1), die Verwendung und regelmäßige Aktualisierung der Antivirensoftware (Anf. 5) und die Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff (Anf. 8). Damit decken sich die Antworten gut mit denen, die bereits in Abbildung 5 dargestellt wurden und die jene IT Security Controls aufzeigten, die am häufigsten in den Unternehmen eingesetzt werden. Diejenigen PCI DSS Anforderungen, die am einfachsten für die Unternehmen umzusetzen sind, sind auch jene, die von Security- Organisationen aktuell bereits eingesetzt werden und ihnen am vertrautesten sind IDC #IDCWP41T 15

20 A B B I L D U N G 13 B i t t e w ä h l e n S i e a u s d e n f o l g e n d e n 1 2 P C I D S S - C o m p l i a n c e A n f o r d e r u n g e n d i e j e n i g e a u s, d i e a m E I N F A C H S T E N z u e r f ü l l e n i s t. Anforderung 1: Karteninhaberdaten 36,0% Anforderung 5: Verwendung und regelmäßige Aktualisierung von Antivirensoftware Anforderung 8: Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff Anforderung 2: Systemkennwörter und andere Sichehreitsparameter verwenden 8,0% 14,7% 26,7% Anforderung 3: Schutz gespeicherter Karteninhaberdaten Anforderung 9: Physischen Zugriff auf Karteninhaberdaten beschränken Anforderung 10: Netzwerkressourcen und Karteninhaberdaten Anforderung 12: Befolgung einer Informationssicherheits- Richtlinie für das gesamte Personal Anforderung 4: Offene, öffentliche Netze Anforderung 6: Entwicklung und Wartung sicherer Systeme und Anwendungen Anforderung 7: Geschäftsinformationsbedarf Anforderung 11: Regelmäßiges Testen der Sicherheitssysteme und -prozesse Weiß nicht 4,0% 2,7% 1,3% 1,3% 1,3% 0,0% 0,0% 0,0% 4,0% 0% 10% 20% 30% 40% n = 75 Die drei am SCHWIERIGSTEN zu erfüllbaren Anforderungen von PCI DSS sind in Abbildung 14 (Anf. 10, 11 und 12) darstellt. Sie beziehen sich auf den Schutz der Netzwerkressourcen von Karteninhabern (Anf. 10), das Befolgen einer Informationssicherheitsrichtlinie für das gesamte Personal (Anf. 12) und das regelmäßige Testen der Sicherheitssysteme und -prozesse (Anf. 11). Erneut decken sich diese Erkenntnisse mit denen, die bereits in Abbildung 8 dargestellt wurden und die Security Controls abbildeten, die aktuell am seltensten eingesetzt werden. Diese Anforderungen sind also solche, die zum einen noch nicht hinreichend eingesetzt und zum anderen heutzutage noch unterschätzt werden. 16 #IDCWP41T 2011 IDC

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010

Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010 Zusammenfassung der Umfrageergebnisse Customer Intelligence in Unternehmen 23.12.2010 Autoren: Alexander Schramm Marcus Mertens MuniConS GmbH Einleitung Unternehmen verfügen heute über viele wichtige Informationen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Michael Felber Senior Presales Consultant - Central Europe Tripwire Inc. Cyber-Sicherheit gewinnt

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

ITSM Executive Studie 2007

ITSM Executive Studie 2007 ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf

IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf Pressemeldung Frankfurt am Main, 02. Februar 2012 IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf Software Quality Assurance wird nicht geliebt aber praktiziert. Die

Mehr

Sicherheit im Fokus. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit.

Sicherheit im Fokus. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit. Beim Thema Kartenzahlung wird viel über Sicherheit und Missbrauch gesprochen. Es stehen heute gute Lösungen und Möglichkeiten zur Verfügung, um die

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Pressemeldung Frankfurt, 24. April 2013 IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Unternehmen verlassen sich für das Management ihrer Cloud Services auf IT

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Kompromittierte IT? Wieder in Compliance überführen! Configuration Control. Uwe Maurer Senior Practice Leader Secure Operations 20.03.

Kompromittierte IT? Wieder in Compliance überführen! Configuration Control. Uwe Maurer Senior Practice Leader Secure Operations 20.03. Configuration Control Uwe Maurer Senior Practice Leader Secure Operations 20.03.2013 Kompromittierte IT? Wieder in Compliance überführen! www.integralis.com Agenda Vorstellung Ablauf eines komplexen Angriffs

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

E-Interview mit Herrn Dr. Winokur, CTO von Axxana

E-Interview mit Herrn Dr. Winokur, CTO von Axxana E-Interview mit Herrn Dr. Winokur, CTO von Axxana Titel des E-Interviews: Kostengünstige Datenrettung ohne Verlust und über alle Distanzen hinweg wie mit Enterprise Data Recording (EDR) von Axxana eine

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Informationssicherheit in Deutschland, Österreich und der Schweiz 2015

Informationssicherheit in Deutschland, Österreich und der Schweiz 2015 Informationssicherheit in Deutschland, Österreich und der Schweiz 2015 Eine Studie zur Informationssicherheit in deutschen, österreichischen und Schweizer Unternehmen und Organisationen. Im Rahmen der

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Checkliste IT-Sicherheit Seite 1 von 10

Checkliste IT-Sicherheit Seite 1 von 10 Checkliste IT-Sicherheit Seite 1 von 10 1. Wieviele Mitarbeiter sind in Ihrem Unternehmen mit einem PC ausgestattet? [ ] Mit PC und Internet-Zugang [ ] Mit PC ohne Internet-Zugang [ ] Gesamt-Anzahl Mitarbeiter

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft Veranstaltung IT Trends 2014 - Ihr Weg in die Zukunft Prinzip Partnerschaft IT Trends 2014 Im digitalen Zeitalter hat die weltweite Kommunikation rasant zugenommen. Bites und Bytes immer detailliert im

Mehr

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN KAPITEL ZAHLEN UND FAKTEN.3 MDM-Systeme MDM-Systeme sind in Unternehmen und Organisationen noch nicht flächendeckend verbreitet, ihr Einsatz hängt unmittelbar mit dem Aufbau von mobilen Infrastrukturen

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10.

Android, ios und Windows Phone dominieren zurzeit den Markt für mobile Firmware, wesentlich kleiner ist der Marktanteil von Blackberry OS10. Zahlen und Fakten. Firmware Mit Firmware wird bei mobilen Endgeräten der Anteil des Betriebssystems bezeichnet, der auf die Hardware in dem Gerät angepasst ist und mit dem Gerät durch Laden in einen Flash-Speicher

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: FrontRange IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die Cloud als Herausforderung frontrange Fallstudie: Inventx Informationen zum Unternehmen Inventx ist ein Schweizer

Mehr

EN 50600-3-1: Informationen für Management und Betrieb

EN 50600-3-1: Informationen für Management und Betrieb : Informationen für Management und Betrieb 1 Agenda Einführung Informationen für Management und Betrieb Abnahmetests Prozesse o Übersicht o Betriebsprozesse o Management Prozesse Anhang A: Beispiel zur

Mehr

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013

datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 datacenter.de ist eine Marke der noris network AG Compliance und Datenschutz Im Rechenzentrum Joachim Astel 09.10.2013 Die Gefahr von innen Ihre geschäftskritischen Daten sind in Gefahr Spionage Mitarbeiter

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: REALTECH IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die cloud als herausforderung realtech Unternehmensdarstellung Informationen zum Unternehmen www.realtech.de Die

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

PRÄSENTATION ZUR BACHELORARBEIT

PRÄSENTATION ZUR BACHELORARBEIT PRÄSENTATION ZUR BACHELORARBEIT THEMA: Katastrophenmanagement im Rahmen von ITSCM am Beispiel der Sparkasse Hildesheim AUTOREN: Christian Heber & Daniela Baehr GLIEDERUNG 1 Einleitung 2 Der ITSCM-Lifecycle

Mehr

Information Security Awareness

Information Security Awareness Information Security Awareness Marcus Beyer Senior Security Awareness Architect Hewlett-Packard (Schweiz) GmbH Sarah Ahmed Junior Security Awareness Consultant Hewlett-Packard (Schweiz) GmbH Copyright

Mehr

Automatisierung des IT-Lebenszyklus

Automatisierung des IT-Lebenszyklus Automatisierung des IT-Lebenszyklus System und Infrastructure Management Day - 2006 Michael Naunheim EMEA Regional Marketing Manager Altiris Services GmbH Wer ist Altiris? Gegründet 1998 - seit Mai 2002

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

Complete User Protection

Complete User Protection Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

IBM Security Systems: Intelligente Sicherheit für die Cloud

IBM Security Systems: Intelligente Sicherheit für die Cloud : Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

in a changing world.

in a changing world. in a changing world. Wir tun alles für den sicheren Erfolg Ihrer Unternehmung ISPIN AG ist ein führender Anbieter von Cyber Security- und Netzwerklösungen sowie Beratungsleistungen rund um die Informationssicherheit

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

IT Security Nutzen- und Kostenbewertungen

IT Security Nutzen- und Kostenbewertungen IT Security Nutzen- und Kostenbewertungen GI-Fachgruppe 5.7 IT-Controlling 43. Sitzung am 10.2.2006 Christoph Weinandt Key Account Manager SNC AG Zu Beginn... Christoph Weinandt Key Account Manager Senior

Mehr

IT-Sicherheit vs. juristische Realität

IT-Sicherheit vs. juristische Realität IT-Sicherheit vs. juristische Realität - Praxisrelevante Herausforderungen für Unternehmen - anlässlich der Roadshow NTT Com Security "Information Security World (ISW) on Tour" am 16.10.2014 in Wien IT-Sicherheit

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

Aktivität zahlt sich aus

Aktivität zahlt sich aus 4 Betrieblicher Datenschutz: Aktivität zahlt sich aus Mit der zunehmenden Verbreitung moderner Informationstechnologien in den Betrieben fällt dem Datenschutz für Arbeitnehmer eine immer wichtigere Rolle

Mehr

Der Payment Card Industry Data Security Standard (PCI DSS)

Der Payment Card Industry Data Security Standard (PCI DSS) Der Payment Card Industry Data Security Standard (PCI DSS) Wahlpflichtfach an der FH Brandenburg im Master-Studiengang Security Management WS 2014/2015 Dozent: Patrick Sauer, M.Sc. Agenda 1. Vorstellung

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr