Measuring Security and Conformity

Größe: px
Ab Seite anzeigen:

Download "Measuring Security and Conformity"

Transkript

1 Measuring Security and Conformity Messbarkeit von IT-Sicherheit in Unternehmen Marcus Rubenschuh Swiss Security Summit, 11. September 23

2 Agenda Woher stammt der Bedarf nach messbarer IT-Sicherheit? Business Cases Erfahrungen Ausblick 2

3 IT-Sicherheit im Unternehmen aus Geschäftssicht Gesetzliche Vorschriften Hacker, Spionage, Innentäter, Terrorismus Kunden Partner, Gesellschafter, Aktionäre, Wettbewerber Kenntnis Einhaltung Bewusstsein Abwehr Verbindlichkeit Verlässlichkeit Vertraulichkeit Nachweise Ordnungsmäßigkeit Unternehmensziele Stellenwert der Sicherheit Geschäftsprozesse Organisation Assets Sicherheit in der Informationstechnik Geschäftsführung Schützenswerte Ressourcen Kenntnis, Bewertung, Absicherung Ausreichende Absicherung Kenntnis der Risiken, Vorgabe von Sicherheitszielen Revision Risikomanagement IT-Abt. Kontrolle der Vorgehensweisen Maßnahmen Einschätzung Implementierung, Betrieb der Maßnahmen Technische Infrastruktur Angemessene Absicherung Fachabt. Sicherheitsanforderungen Informationen Kenntnis, Bewertung, Absicherung 3

4 Woher stammt das Sicherheitsbedürfnis in Unternehmen? Innere und äußere Einflüsse erzeugen ein Sicherheitsbedürfnis, welches in den internen Bereichen unterschiedlichen Zielsetzungen unterliegt. Aktionäre Wettbewerber Spionage Äußere Einflüsse Internal Audit Wie quantifiziere ich Risiken? Wie verifiziere ich Einhaltung von Sicherheitsprozessen? Kann nicht alles prüfen! Vorstand / Geschäftsführung Was sind IT-Risiken? Wie verbreite ich Sicherheitsvorschriften (Policies)? Security / Risk Was ist mein Risiko? Wie soll ich die Vorgaben umsetzen? Was ist alles in meiner Infrastruktur vorhanden? Interne Einflüsse IT Abteilung Wie finde ich neue Schwachstellen? Wie priorisiere ich Schwachstellen? Wie verfolge ich Sicherheitsaufgaben? Gesetzliche Vorschriften Kunden Hacker, Organisierte Kriminalität,Terrorismus 4

5 Der IT-Sicherheitsansatz Um das gewünschte Sicherheitsniveau zu erreichen und zu halten, können die dafür notwendigen Tätigkeiten in drei Phasen unterteilt werden. 1. Schritt: Analyse (Assess) Die Analyse ermittelt den aktuellen Stand der IT-Sicherheit Durch den Vergleich mit best-practices (z.b. ISO 17799, BSI Grundschutz, eigene Richtlinien etc.) werden Lücken identifiziert Analysen für Technik, Organisation oder Verfahren 2. Schritt: Transformation Definition der Zielsituation Spezifikation von IT-Sicherheitsmaßnahmen (technisch, organisatorisch, verfahrensbezogen) Einsetzung der IT-Sicherheitsmaßnahmen 3. Schritt: Aufrechterhaltung (Sustain) Um den durch Schritt 2 erreichten Stand der IT-Sicherheit aufrecht zu erhalten, sind in das tägliche Geschäft Maßnahmen einzubinden (sog. IT-Sicherheitsmanagement) 5

6 Der IT-Sicherheitsansatz Transformation Aufrechterhaltung Sicherheit Analyse Zeit 6

7 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Vorgaben aus externe Anforderungen Regulatorische Vorgaben wie z.b. KontraG (Deutschland), Basel II, Sarbanes Oxley Act, GoBS, BAFin Vorgaben... Standard-Sicherheitsvorgaben: BS 7799, ISO 13335, CobiT, IT-Grundschutz, NIST... Vorgaben aus internen Anforderungen Eigene Sicherheitsstandards (Policies, Richtlinien,...) Umsetzung der externen Anforderungen durch Bereiche, wie: Risikomanagement, IT-Revision, IT-Sicherheit, Controlling... 7

8 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Die Messbarkeit dient verschiedenen Informationsbedürfnissen: Geschäftsführung: Ist das Unternehmen im akzeptablen Maße sicher? Sind die Investitionen in Sicherheit gerechtfertigt? Audit & Revision: Welche hohe, mittlere und niedrige Risiken bestehen? Risikomanagement: Treten kritische Risikoindikatoren ein? IT-Sicherheit: Wie werden die Sicherheitsanforderungen umgesetzt? Allgemein: Wie wirksam sind Sicherheitsmaßnahmen? Wie stehen wir im Vergleich zu anderen Unternehmen/Bereichen/Werken? Daraus leiten sich ab: Wirksamkeit von Sicherheitsmaßnahmen (bzw. Investitionen) Handlungsbedarf 8

9 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Die Messbarkeit kann in verschiedenen Detailstufen erfolgen: Binär: Einschätzung, ob Anforderungen erfüllt werden oder nicht Gestaffelt: Einschätzung, wie eine Anforderung umgesetzt wurde oder welches Risiko aus einer Schwachstelle entsteht (niedrig, mittel, hoch oder Ampelprinzip etc.) Bewertet: Bewertung des Erfüllungsgrades nach einem Bewertungsschema Monetär: Bewertung des Einsparungspotentials (z.b. Verhinderter Schaden oder Kostenreduktion) Weiterhin ist die Häufigkeit der Messungen zu unterscheiden: Fortlaufend, regelmäßig, ad hoc, einmalig 9

10 Woher stammt das Bedürfnis nach Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Das Messen des Stands der Sicherheit selbst ist ein Assessment und hat je nach der Phase, in der sich ein Unternehmen befindet, verschiedene Zielsetzungen: Assessment: Identifizierung und Priorisierung des Handlungsbedarfs Transformation: Verifikation der Wirksamkeit von umgesetzten Maßnahmen Abnahme Aufrechterhaltung: Verifikation der Wirksamkeit etablierter Maßnahmen Identifikation neuer Handlungsfelder, Effizienzsteigerung 1

11 Woher stammt das Bedürfnis der Messbarkeit von Sicherheit? Die Messbarkeit von Sicherheit dient der Ermittlung des Grades der Erfüllung gegenüber den Vorgaben. Ziele Sicherheitsziele für den Geschäftsprozess xy Risiken / Kontrollen Standard-Risiken des Prozesses Kontrollziele des Prozesses R1 P1 P2 P3 P3 P4 P5 R2 R3 K1 R4 K2 Anwendungen A1 A1 A1 A4 A4 A5 A2 A3 Geschäftsprozess IT- Infrastruktur Hardware Software (Betriebssysteme, Middleware) Netzwerke 11

12 Agenda Woher stammt der Bedarf nach messbarer IT-Sicherheit? Business Cases Erfahrungen Ausblick 12

13 Business Cases Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Im Rahmen der Business Cases wurden drei Fälle gewählt, die die Messbarkeit des Sicherheitsstands auf jeweils unterschiedlichen Stufen benötigten Fall 1: Großbank möchte sicherstellen, dass die Sicherheitsrichtlinien für IT- Systeme eingehalten werden Fall 2: Ein Hersteller in der Automobilbranche möchte das Risiko einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen einschätzen Fall 3: Produktionswerk möchte den Stand der IT-Sicherheit in allen 6 Werken ermittlen und vergleichen können 13

14 Business Cases Fall 1 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 1: Großbank möchte sicherstellen, dass die Sicherheitsrichtlinien für IT- Systeme eingehalten werden Es soll ein Verfahren etabliert werden, welches die Einhaltung der Vorgaben unterstützt, die entsprechende Sicherheitsorganisation angepasst werden sowie den Prozess verankert Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Umsetzung der Sicherheitsmaßnahmen Binär Fortlaufend Transformation Anwendungen / Infrastruktur 14

15 Business Cases Fall 1 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 1: Lösungsansatz Definition eines Zertifizierungs- und Akkreditierungsprogramms (Policy) Durchführung der Zertifizierung neuer Anwendungen, Systeme bei Neuerstellung / Aufbau Rezertifizierung bei Änderung oder nach 3 Jahren Akkreditierung bei Akzeptanz der Zertifizierung durch Bereichsverantwortliche Definition der Organisationsfunktion Security Audit Aufgabe: Überwachung der Umsetzung der Sicherheitspolicies 15

16 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 2: Ein Hersteller in der Automobilbranche möchte das Risiko einer Anbindung seiner IT-Systeme an ein fremdes Unternehmen einschätzen Es soll eine Risikoanalyse durchgeführt werden, welches auf Basis von einzuschätzenden bzw. messbaren Faktoren die nicht tragbaren Risiken ermittelt bzw. berechnet. Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Welche untragbaren Risiken bestehen? Gestaffelt / Bewertet Einmalig Analyse Anwendungen / Infrastruktur 16

17 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für die Bewertung möglicher Schäden (Schadenshöhen) wurden im Projekt folgende Kategorien angewendet: 1 = gering = unwesentlich, geringfügig = weniger als 4 Tsd. 2 = mittel = spürbar, nennenswert = weniger als 4 Mio. 3 = hoch = immens, schwerwiegend = mehr als 4 Mio. Beispiele: Personenschäden: 1 = leicht verletzt 2 = krank > 2 Tage 3 = schwer verletzt, tot Schäden an materiellen Werten: 1 = geringfügige Verluste 2 = nennenswerte Verluste 3 = schwerwiegende Verluste Auswirkungen auf den Betrieb: 1 = Abläufe behindert 2 = Abläufe gestört 3 = Abläufe unterbrochen Schäden an immateriellen Werten: 1 = Werte beeinträchtigt 2 = Werte beschädigt 3 = Werte verloren 17

18 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für die Bewertung der Eintrittswahrscheinlichkeit eines Schadens galten folgende Einschätzungen: 1 = geringe Eintrittswahrscheinlichkeit Eintreten des Schadens ist eher unwahrscheinlich; Schaden noch nie vorgekommen; einfacher oder seltener Prozess; gesichertes Umfeld; geregelte Abläufe; geringe Mengen; qualifiziertes Fachpersonal... 2 = mittlere Eintrittswahrscheinlichkeit Eintreten des Schadens ist denkbar; Schaden bereits vorgekommen; wiederkehrender Prozess; gespanntes Umfeld; nicht ausreichend geregelte Abläufe; kritische Mengen; unerfahrenes Personal; fahrlässiges Handeln... 3 = hohe Eintrittswahrscheinlichkeit Eintreten des Schadens ziemlich sicher; Schäden kommen ständig vor; häufiger oder sehr komplizierter Prozess; gestörtes Umfeld; ungeregelte Abläufe; gefährliche Mengen; unqualifiziertes Personal; vorsätzliches Handeln... 18

19 Business Cases Fall 2 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Risikokategorie = Schadenkategorie x Wahrscheinlichkeit Bedrohung Verlust der Vertraulichkeit bei der Übertragung der Daten von A nach B.... Risikokategorie 1, 2 oder 3 Die allgemeine Prävention ist in der Regel ausreichend; es besteht z. Z. kein oder nur geringer Handlungsbedarf. Risikokategorie 4 oder 6 Die bisherigen Präventionsmaßnahmen erscheinen als nicht ausreichend; es sind geeignete Zusatzmaßnahmen zur Verringerung des Risikos erforderlich. Risikokategorie 9 Zusätzliche Maßnahmen sind dringend und zwingend erforderlich, um die erkannte(n) Schwachstelle(n) zu beseitigen. Maßnahmen M1 M2 M5 M13 M14 (Liste aus bestehenden und geplanten Sicherheitsmaßnahmen) Schadenkat Wahrscheinlichkeit... 1 Risiko... 3

20 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Fall 3: Produktionswerk möchte den Stand der IT-Sicherheit in allen 6 Werken ermitteln und vergleichen können Es soll eine Analyse der IST-Situation erstellt werden, bei der der Stand der IT- Sicherheit gemessen werden kann sowie ein Vergleich der einzelnen Werke möglich ist. Anforderung Informationsbedarf Detailstufe Häufigkeit Phase Ebene Intern Sicherheitspolicies Regelmäßig Sicherheitsmaßnahmen / Vergleich zu anderen Werken Bewertet Aufrechterhaltung Anwendungen / Infrastruktur 2

21 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Aktueller Ausgangslage beim Kunden IT-Security Policy Feststellung des Schutzbedarfs Einbettung eines IT-Sicherheitsmanagements Definition von Sicherheitszielen Prüfkatalog Nächste Schritte? Durchführung eines konzernweiten IT-Sicherheitsaudits Definition eines Aktionsplans Umsetzung offen offen offen 21

22 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Aktueller Inhalt der IT-Security Policy Ziele für die IT-Sicherheit bei ABC Scope Vorgehen und Gliederung Schutzbedarf IT-Sicherheitsmanagement IT-Security Policy Prüfleitfaden Abkürzungen Literatur Anwendungsbereiche Software Security Policy Personnel Security Policy Physical and Environmental Security Policy Business Continuity Planning Policy Identification and Authentication (I&A) Policy Logical Access Controls Policy System Integrity Policy Encryption Policy System Audit Policy Data Network Security Policy Communication Security Policy 22

23 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Durch eine geeignete Anwendung des gemeinsam erarbeiteten Prüfleitfadens sollte ein aktueller Überblick über die bei den einzelnen ABC Niederlassungen und Töchtern tatsächlich vorhandenen IT-Sicherheitsvorkehrungen erarbeitet werden. Form des IT Security Audits Prüfungsrisiko und -aufwand verhalten sich umgekehrt proportional. Prüfungsmethoden Selbsterklärungen Prüfung auf der Basis von Dokumentation Prüfung vor Ort mit der Durchführung von Stichproben Vollständige Prüfung Prüfungsaufwand Prüfungsrisiko 23

24 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. Für alle Niederlassungen sollte eine Prüfung auf der Basis von Dokumentation vorgenommen werden. Ausgewählte Standorte wurden vor Ort geprüft. Einteilung der Gesellschaften Kategorie Anzahl von IT- Nutzern Anzahl von Gesellschaften A -1 2 B C Prüfung auf Basis von Dokumentation Prüfung auf der Basis von Stichproben vor Ort 24

25 Business Cases Fall 3 Anhand ausgewählter Business Cases soll das Bedürfnis nach messbarer IT-Sicherheit und der Ansatz dargestellt. 25

26 Agenda Woher stammt der Bedarf nach messbarer IT-Sicherheit? Business Cases Erfahrungen Ausblick 26

27 Erfahrungen Unsere Erfahrungen: Für jegliche Analysen muss ein Ergebnis in messbarer Form vorliegen. Der Detaillierungsgrad ist jedoch maßgeblich bzw. unterschiedlich Im Detail messbare Ergebnisse erlauben es, schnell ein transparentes Bild über den jeweiligen Sicherheitsstand zu erhalten Messbarkeit erzeugt ein Verständnis auf der Entscheidungsebene Bei mehreren vergleichbaren Analysen ist eine historische Betrachtung der Entwicklung möglich (positiv als auch negativ) Aber Es muss immer der thematische Zusammenhang klar sein, z.b. Messung von Schwachstellen der IT-Systeme gegenüber Erfüllungsgrad von IT-Sicherheitspolicies Bei allen nicht technischen Themen sind die Bewertungskriterien zur Messung meist selbst festzulegen Messbarkeit in oder SFR ist noch nicht standardisiert (ROSI Diskussion) 27

28 Agenda Woher stammt der Bedarf nach messbarer IT-Sicherheit? Business Cases Erfahrungen Ausblick 28

29 Vorgehensmodell von Ernst & Young E&Y hat ein Modell zur Ermittlung des monetären Nutzens eines Sicherheitsvorhabens entwickelt Identifikation der IT-Risiken Bewertung der IT-Risiken Simulation der Risiken Auswertung der Ergebnisse Anpasssung der Erhebungsunterlagen auf die zu untersuchenden Sicherheitsinvestitionen. Basis sind IT Sicherheitsstandards (z. B. Grundschutzhandbuch, BS7799,...). Identifikation ausgewählter IT Risiken, die von den zu untersuchenden Security- Investitionen beeinflusst werden. (Die Risikoidentifikation erfolgt im Rahmen eines Workshops mit dem CIO und ausgewählten Abteilungsleitern aus den Fachbereichen und der IT.) Bewertung der identifizierten Risiken nach Schadensausmaß aus Business Sicht und die Häufigkeit in den Klassen Höchstschaden Mittlerer Schaden Kleinstschaden Bereinigung der erhobenen Daten nach Redundanzen und Widersprüchen Ermittlung des anualisierten Schadenserwartungswertes 29 Aufbau des Simulationsmodells unter Berücksichtigung der Wahrscheinlichkeitsverteilun g der identifizierten Risiken Auswirkung des anualisierten Schadenserwartungswertes auf die GuV-Positionen Korrelationen der identifizierten Risiken Simulation der Risiken nach dem Monte-Carlo Verfahren und Ermittlung der Auswirkung der IT Risiken auf die GuV IT Risikofelder Risikoinventar Simulationsmodell Auswirkung der IT Risiken auf die GuV Bestimmung der ausgewählten IT-Risiken aus Unternehmenssicht Bestimmung der Risiken mit den höchsten Risikopotentialen und Ableitung von Handlungsempfehlungen Bestimmung des monetären Nutzen einer IT Security- Investition durch den Vergleich verschiedener Simulationsmodelle (Modell ohne bzw. mit der zu untersuchenden Maßnahme) Ermittlung des Amortisationszeitraums einer Security Investition Gesamtrisiko aus Unternehmenssicht Risikopotentiale und Handlungsempfehlungen Monetärer Nutzen und Amortisationszeitraum einer Investition in IT Security

30 Vorgehensmodell von Ernst & Young Die Identifikation und Bewertung der Risiken erfolgt im Rahmen eines Workshops. Anschließend wird das Simulationsmodell erstellt, auf dessen Ergebnissen der Business Case aufbaut. Identifikation der IT-Risiken Bewertung der IT-Risiken Simulation der Risiken Auswertung der Ergebnisse Identifikation der Risiken (die durch die Security Investition tangiert werden) Simulation der Risiken Identifizierte Risiken Plan-GuV 23 Monte Carlo Simulation R1: R2: R3: Simulation Simulation Simulation Defekter Ausfall Ausfall 1: 2: 3: Server EDI PPS R3 R2 + R3 R1 + R2 Schadenserwartungswert: - 5 Umsatz Schadens- - Materialaufwand erwartungs- = Deckungsbeitrag wert: Personalaufwand sonstige Aufwand AfA /- Finanzergebnis Schadens- = ordentlicher Gewinn erwartungs- wert: a.o. Aufwendungen -5 Ermittlung der GuV- Positionen mit alternativen Wahrscheinlichkeiten VaR zum x%- Niveau,975 Umsatz 7222 Variable Kosten 3574 Gewinn nach Steuern -236 Cash Flow 114 Betriebsergebnis Steuern = Gewinn nach Steuern ,5 17,5,95, , , Bewertung der Risiken Darstellung des Simulationsergebnisses 5. Trials Frequency Chart 177 Outliers,34 Forecast: Gewinn 17 Erwartungswert Aufbau des Business Cases auf Basis der Gewinnerwartung ,26 127,5,17 85,9 42,5, , -2, -5, 1, 25, Kosten (kum.) Nutzen (kum.) Differenz 3

31 Vorgehensmodell von Ernst & Young Jedes identifizierte Risikofeld wird im Rahmen von Workshops analysiert und bewertet. Die Ergebnisse werden in einer Riskomatrix festgehalten. Risikofeld Allgemeine Beschreibung Bezeichnung des Risikos Mögliche Schadensformen/ Auswirkungen Risikobewältigungsmaßnahmen Schadenshöhe/ Eintrittswahrscheinlichkeit Quantifizierung 31

32 Vorgehensmodell von Ernst & Young Die Bewertung der identifizierten IT-Risiken erfolgt aus Geschäftssicht im Rahmen von vordefinierten Risikoklassen. Relevanz Definition Unbedeutende Risiken, die weder Jahresüberschuss noch Unternehmenswert spürbar beeinflussen. Mittlere Risiken, die eine spürbare Beeinträchtigung des Jahresüberschusses bewirken. Bedeutende Risiken, die den Jahresüberschuss stark beeinflussen oder zu einer spürbaren Reduzierung des Unternehmenswertes führen. Schwerwiegende Risiken, die zu einem Jahresfehlbetrag führen und den Unternehmenswert erheblich reduzieren. Bestandsgefährdende Risiken, die mit einer wesentlichen Wahrscheinlichkeit den Fortbestand des Unternehmens gefährden. Die Relevanz stellt die Gesamtbedeutung des Risikos für das Unternehmen dar und wird unter der Berücksichtigung von mittlerer Ertragsbelastung, Höchstschaden (z. B. VaR) und Wirkungsdauer bewertet. 32

33 Vorgehensmodell von Ernst & Young Die Aggregation und Quantifizierung der Risiken erfolgt im Rahmen einer Monte Carlo Simulation für die Einzelposten der GuV. Identifizierte Risiken Plan-GuV 23 Monte Carlo Simulation R1: Defekter Server R2: Ausfall EDI R3: Ausfall PPS Simulation 1: R3 Simulation 2: R2 + R3 Simulation 3: R1 + R2 Schadenserwartungswert: - 5 Schadenserwartungswert: - 5 Schadenserwartungswert: - 1 Umsatz - Materialaufwand = Deckungsbeitrag - Personalaufwand - sonstige Aufwand - AfA +/- Finanzergebnis = ordentlicher Gewinn a.o. Aufwendungen -5 - Steuern = Gewinn nach Steuern ,5 17,5 33

34 Vorgehensmodell von Ernst & Young Aus der Risikosimulation ergeben sich die Streuungen der GuV-Positionen, z. B. des Gewinns. Das Ergebnis zeigt die Wahrscheinlichkeitsverteilung und die Auswirkung auf die GuV-Position. Forecast: Gewinn 5. Trials Frequency Chart 177 Outliers ERGEBNISBEISPIEL,34 17,26 127,5,17 85,9 42,5, -35, -2, -5, 1, 25, 34

35 Vorgehensmodell von Ernst & Young Für die Berechnung des Business Cases muss ein Varianz-Niveau aus der Simulation der entsprechenden GuV Positionen festgelegt werden. ERGEBNISBEISPIEL VaR zum x%- Niveau Umsatz Variable Kosten Gewinn nach Steuern Cash Flow Betriebsergebnis, , , , , Erwartungswert (*) (*) Für die annähernde Normalverteilung des Gewinns wurde der Erwartungswert als Basis für den Business Case gewählt 35

36 Vorgehensmodell von Ernst & Young Durch die Gegenüberstellung von Simulationsläufen mit und ohne eine avisierte Sicherheitsinvestition, kann die Auswirkung der Investition auf den Gewinn ermittelt werden. Das Modell kann auf eine mehrjährige Betrachtung erweitert werden. Vergleich von zwei Simulationsmodellen ( Security Investition wird durchgeführt vs. Security Investition wird nicht durchgeführt ) Fiktive Werte 1. Schritt: Plan-GuV Die Gewinn- und Verlustrechnung des Folgejahres als Basis ansetzen Realisation vs. Non-Realisation des Security Vorhabens 4. Schritt: Nutzenpotential: Ermittlung des Gewinnzuwachses aus der Differenz der beiden Alternativen Schritt: Simulation der GuV ohne Security Investition Darstellung des Gewinns, sollte die Security Investition nicht durchgeführt werden. 3. Schritt: Simulation der GuV mit Security Investition Darstellung des Gewinns, sollte die Security Investition durchgeführt werden. 36

37 Vorgehensmodell von Ernst & Young Der Business Case stellt die Investitionen und Nutzenaspekte eines Sicherheitsvorhabens gegenüber und ermittelt den Zeitpunkt bis zur Erreichung der Rentabilität des Vorhabens. Nutzenpotential: Gewinnpotential aus der Differenz der Realisation bzw. Non-Realisation des Security Vorhabens Amortisationszeitpunkt: Der Punkt stellt den Zeitpunkt zur Erreichung der Rentabilität dar Fiktive Werte Investitionen: Investitionen zur Realisation des Security Vorhabens Kosten (kum.) Gewinn (kum.) Differenz Amortisationszeitpunkt = (Amortisationsjahr 1) + - Kum. Kapitalfluss am Ende des Vorjahres Kapitalfluss im Jahr der Amortisation Amortisationszeitpunkt (Grafische Ermittlung) Investitionen (kum.) = Gewinn (kum.) 37

38 Ende der Präsentation Vielen Dank für Ihre Aufmerksamkeit Ernst & Young AG Ernst & Young AG IT-Security IT-Security Mergenthalerallee 1-12 oder Binzmühlestr Eschborn 822 Zürich

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Cyber Security Competence Center. Vertraulich, zielgerichtet und unabhängig

Cyber Security Competence Center. Vertraulich, zielgerichtet und unabhängig Cyber Security Competence Center Vertraulich, zielgerichtet und unabhängig Zielsetzung und Mitglieder In VOICE sind 400 Mitglieder und über 250 Fachverantwortliche aktiv. Der Verband stärkt den persönlichen

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

15. Compliance Netzwerktreffen

15. Compliance Netzwerktreffen 15. Compliance Netzwerktreffen Die CMS-Prüfung nach IDW PS 980 Dr. Martin Walter, Director Group Compliance Warum externe Prüfung? Das Ziel einer externen Prüfung des Compliance Management Systems ist

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Der IT Security Manager

Der IT Security Manager Der IT Security Manager Klaus Schmidt ISBN 3-446-40490-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40490-2 sowie im Buchhandel Vorwort...XI Über den Autor...XII

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

IT Security Nutzen- und Kostenbewertungen

IT Security Nutzen- und Kostenbewertungen IT Security Nutzen- und Kostenbewertungen GI-Fachgruppe 5.7 IT-Controlling 43. Sitzung am 10.2.2006 Christoph Weinandt Key Account Manager SNC AG Zu Beginn... Christoph Weinandt Key Account Manager Senior

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem

IKS KURZ-CHECK. Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem IKS KURZ-CHECK Die KARER CONSULTING Analyse für Ihr Internes Kontrollsystem Ausgangssituation Mit der am 1. Januar 2008 in Kraft getretenen Revision des Schweizer Obligationsrechtes (insb. Art. 728a, 728b,

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter CosmosDirekt Theorie und Praxis der IT - Sicherheit Ort: Saarbrücken, 19.12.2012 Autor: Antonio Gelardi IT - Sicherheitsbeauftragter Agenda Die Versicherung, CosmosDirekt Der IT Sicherheitsbeauftragte,

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen Software Asset Management (SAM) Vorgehensweise zur Einführung Bernhard Schweitzer Manager Professional Services Agenda Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17.

PricewaterhouseCoopers Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Management operationeller Risiken in der Versicherungsindustrie Trends und zukünftige Anforderungen 17. Juni 2004 Inhalt Was sind operationelle Risiken? Stand und Entwicklung des ORM Integration von ORM

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Business Continuity Management Systeme

Business Continuity Management Systeme Business Continuity Management Systeme Q_PERIOR AG 2014 www.q-perior.com Einführung Verschiedene Gefahren bzw. Risiken bedrohen die wirtschaftliche Existenz eines Unternehmens. Terrorismus: Anschläge auf

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Softwarebasiertes Information Risk Management

Softwarebasiertes Information Risk Management Softwarebasiertes Information Risk Management Geschäftsführer klaus.schmidt@innomenta.de www.innomenta.de Version 1.0 vom 07.10.2002 1 IT-Risikomanagement ist zunächst eine Methodenfrage RISIKOMANAGEMENT

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Strategische Unternehmensführung aus der IT-Sicht

Strategische Unternehmensführung aus der IT-Sicht Strategische Unternehmensführung aus der IT-Sicht Die elementare Aufgabe einer Führungskraft ist die Sicherung der Zukunft der ihr anvertrauten Organisation Business IT Generell: Strategische Ziele Sicherung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr