IT-Sicherheit im Unternehmen

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit im Unternehmen"

Felix Boer
vor 7 Jahren
Abrufe

1 IT-Sicherheit im Unternehmen Ansatz 1 Jedes Wirtschaftsunternehmen, jede Behörde, jede Verwaltung oder irgendeine andere Gruppierung ist Teil der Gesellschaft und damit auch ein IT-System Ansatz 2 Jedes Wirtschaftsunternehmen, jede Behörde, jede Verwaltung oder irgendeine andere Gruppierung enthält informationsverarbeitende Subsysteme aus Menschen und Maschinen und ist damit selbst in dieser Hinsicht ein IT-System. SiUnt Okt-01 /Unt0

Wirtschaftsunternehmen, jede Behörde, jede Verwaltung oder irgendeine andere Gruppierung enthält

2 IT-Sicherheit im Unternehmen Grundlage Information ist heute die vierte, mindestens gleichgewichtige Grundvoraussetzung neben den drei klassischen Komponenten Kapital Arbeitskraft Boden (Rohstoffe). für eine leistungsfähige Wirtschaft. Folgerung: Bereitstellung und Nutzung von Information muss im Unternehmen mit (mindestens) der gleichen Umsicht geplant und betrieben werden wie die der klassischen Komponenten. SiUnt Okt-01 /Unt1

3 IT-Sicherheit im Unternehmen (Fts.) Das bedeutet für die Informationsverarbeitung: Verträglichkeit mit den Unternehmenszielen Konsistenz der Organisation Primat der Unternehmensführung Informationstechnik (IT-Systeme und IT-Verfahren) darf im Unternehmen keine Eigendynamik entwickeln ( Beherrschbarkeit). SiUnt Okt-01 /Unt2/

Unternehmenszielen Konsistenz der Organisation Primat der Unternehmensführung

4 Duale Sicherheit als Unternehmensstrategie Grundsatz Leistungsfähigkeit und Sicherheit der Informationstechnik *) sind gleichrangige Forderungen. Ziel Primat der Unternehmensziele Verlässlichkeit + Beherrschbarkeit der Informationstechnik und der Informationen ( Daten) nach Maßgabe der Anforderungen des Unternehmens SiUnt Sep-01 /Un3/ *) Genauer: aller Einrichtungen und aller Vorgänge im Zusammenhang mit Informationsverarbeitung (Datenverarbeitung) und Kommunikation Personen und deren Handlungen eingeschlossen

Ziel Primat der Unternehmensziele Verlässlichkeit + Beherrschbarkeit der Informationstechnik und der Informationen ( Daten) nach

5 Duale Sicherheit als Unternehmensstrategie (Fts.) Forderung Ordnungsgemäßer Umgang mit Information *) und Informationstechnik in allen Teilen des Unternehmens Folgerung Gewährleiste sichere, d.h. verlässliche und beherrschbare Informationsverarbeitung durch planvolles Vorgehen im Sinne der vorgegebenen Anforderungen (insb. der Unternehmensziele) auf allen Ebenen: physisch personell organisatorisch informationstechnisch. SiUnt Sep-01 /Unt4/ *) D.h. nicht nur mit den Zeichen gemäß DIN 44300, sondern insbesondere auch mit deren Interpretation, d.h. mit den Daten

sichere, d.h. verlässliche und beherrschbare Informationsverarbeitung durch planvolles Vorgehen im Sinne der vorgegebenen Anforderungen (insb.

6 Duale Sicherheit als Unternehmensstrategie (Fts.) Schlusskette Informationsverarbeitung lebensnotwendig für das Unternehmen. Informationsverarbeitung so leistungsfähig wie möglich. Informationsverarbeitung so sicher wie nötig. SiUnt Okt-01 /Unt5/ Sicherheit ist zuerst Vorstandssache, dann Aufgabe der Linie!

Informationsverarbeitung so leistungsfähig wie möglich.

7 Duale Sicherheit als Unternehmensstrategie (Fts.) Unternehmensgrundsatz Sicherheit der Informationsverarbeitung muß integriert werden, nicht aufgezwungen ( Akzeptanz)! Wechselwirkung Unternehmensziele Unternehmensstrategie Sicherheitsstrategie Falsche Behauptung Sicherheit beeinträchtigt Leistungsfähigkeit SiUnt Okt-01 /Unt6/

werden, nicht aufgezwungen ( Akzeptanz)!

8 Duale Sicherheit als Unternehmensstrategie (Fts.) Aufgabe der IT im Unternehmen Vertraulichkeit, Integrität und Verfügbarkeit von Geräten, Daten, Programmen und Personen als wesentlichen Bestandteil des Unternehmens aufbauen und erhalten. Zurechenbarkeit und Rechtsverbindlichkeit der Vorgänge, Veranlassungen und Ergebnisse wo immer gefordert sicherstellen. SiUnt Okt-01 /Unt7/

Daten, Programmen und Personen als wesentlichen Bestandteil des Unternehmens aufbauen und

9 Aufgabe der Führung Planen und Durchsetzen einer sicheren Informationsverarbeitung im gesamten Unternehmen Folgerungen Einführen und Durchsetzen dieses Leitsatzes als Prinzip für das ganze Unternehmen und eines darauf aufbauenden unternehmensweiten Sicherheitskonzepts Schaffen der materiellen und immateriellen Voraussetzungen Überzeugen der Mitarbeiter in Führung und Linie Akzeptanz Einleiten und Durchsetzen aller Planungen, Änderungen, Beschaffungen und Kontrollen personell technisch organisatorisch SiUnt Sep-01 /Unt8/

Sicherheitskonzepts Schaffen der materiellen und immateriellen Voraussetzungen Überzeugen der Mitarbeiter in Führung und Linie

10 Aufgabe der Linie Gewährleisten einer sicheren Informationsverarbeitung im gesamten Unternehmen SiUnt Sep-01 /Unt9/ Folgerungen bestmögliche Annäherung an die Anforderungen, insbesondere des Sicherheitskonzepts Kompensation der Auswirkungen nicht-ordnungsmäßiger Komponenten Analyse Untersuchung und Bewertung von Bedrohungen und Schwachstellen Konzeption Erarbeitung der Komponenten eines Sicherheitskonzepts Installation Einführung der Maßnahmen und Verfahren Betrieb Durchführung der Maßnahmen und Verfahren ergänzt durch Kontrolle und Revision Überwachung und Nachprüfung aller Vorgänge und Objekte

Untersuchung und Bewertung von Bedrohungen und Schwachstellen Konzeption Erarbeitung der Komponenten eines Sicherheitskonzepts Installation Einführung

11 Bedrohungen Fehler in Systemen und Komponenten (Hardware, Software, Organisation) Infrastruktur menschliche Unzulänglichkeit Manipulation vorsätzliche Änderung ( Missbrauch, Sabotage, ) dazu, vor allem bei interessierten Benutzern Spieltrieb Neugier und zunehmend bei Insidern Frust Rache SiUnt Sep-01 /Unt10/

vorsätzliche Änderung ( Missbrauch, Sabotage, ) dazu, vor allem bei

12 Ziele der Bedrohungen Rechnerhardware jeder Art vor allem Personal Computer, Arbeitsplatzsysteme, Kommunikationssysteme Netze, Übertragungsstrecken Knoten- und Vermittlungssysteme, Server und zentrale Systeme Verteiler, Software aller Art Systemprogramme, Anwendungssysteme, Fremdsoftware, Datenbestände Stamm- und Bewegungsdaten, Bibliotheken, Archive und Sicherungskopien, Infrastruktur Personen Gebäude und Räume Ver- und Entsorgungseinrichtungen, Verkehrsflächen eigenes und fremdes Personal Hilfs- und Katastrophendienste Besucher, SiUnt Sep-01 /Unt11/

Anwendungssysteme, Fremdsoftware, Datenbestände Stamm- und Bewegungsdaten, Bibliotheken, Archive und Sicherungskopien, Infrastruktur

13 Motive aktiver Bedrohungen (Manipulationen) Wirtschaftsspionage allgemein Konkurrenzspionage Sabotage Gegenstände von Manipulationen Entwicklung Dokumentationen (Chemie, Pharmazie, ) Designunterlagen (Kfz, ) Konstruktionsunterlagen, Vertrieb, Verwaltung Kunden- und Lieferantendaten Finanz-, Vertriebs-, Lieferantendaten, Produktion Steuerparameter Produktionsdaten, Ziel von Manipulationen Wettbewerbsvorteile in, am Rande und außerhalb der Legalität SiUnt Sep-01 /Unt12/

Vertrieb, Verwaltung Kunden- und Lieferantendaten Finanz-, Vertriebs-, Lieferantendaten, Produktion Steuerparameter

14 Strategie physisch/infrastrukturell Vorgehensweise Planung, Errichtung, Betrieb und Kontrolle des Aufbaus und des Zusammenwirkens aller physischen Bestandteile der IT-Systeme Gebäude und Infrastruktur (Ein- und Ausgänge, Zufahrten, ) Versorgungs- und Entsorgungseinrichtungen Verkehrs- und Übertragungswege Installationen für Informationsverarbeitung und Kommunikation Planung, Einführung, Betrieb und Kontrolle aller Abläufe der Informationsverarbeitung und Kommunikation unter dem gemeinsamen Prinzip Leistungsfähigkeit + Sicherheit SiUnt Sep-01 /Unt13/

Entsorgungseinrichtungen Verkehrs- und Übertragungswege Installationen für Informationsverarbeitung und Kommunikation Planung, Einführung,

15 Strategie personell Prinzipien letztlich auf Kenntnis über Personen fußend (Nutzen klassischer Hilfsmittel der Psychologie) Risiken schlecht abschätzbar trotzdem unverzichtbar Folgerungen sorgfältige Wahl der Personen ( Wer soll, wer darf was wie tun? ) niemals Generalvollmachten, Berechtigungen nach dem Minimalprinzip ( need to know ) Überwachung und Kontrolle von Personen ( immer problematisch!) letztlich Frage des Vertrauens in Personen Verhaltens- / Ehren-Codex des Unternehmens (code of honor) Vorbild der Führungskräfte SiUnt Sep-01 /Unt14/

) niemals Generalvollmachten, Berechtigungen nach dem Minimalprinzip ( need to know ) Überwachung und Kontrolle von Personen ( immer

16 Strategie organisatorisch Information Controlling Prinzip Festlegung (Planung) Bekanntmachung des Umgangs Kontrolle aller IT-Systeme und IT-Vorgänge des Unternehmens und ihrer Nutzung SiUnt Sep-01 /Unt15/

Umgangs Kontrolle aller IT-Systeme und IT-Vorgänge

17 Strategie informationstechnisch Prinzip Einsatz sicherer, also verlässlicher und beherrschbarer rer IT-Systeme in allen Teilen des Unternehmens Zentrale Frage der IT-Sicherheit Wann sind IT-Systeme sicher? SiUnt Sep-01 /Unt16/

IT-Systeme in allen Teilen des Unternehmens Zentrale

Ähnliche Dokumente

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

10 IT-Sicherheit Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen http://www.bsi.de 10-10 Definitionen