Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Transkript

1 Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015

2 Aktuelle Lage Digitale Angriffe auf jedes zweite Unternehmen Vorfälle verursachen Schäden von rund 51 Milliarden Euro pro Jahr Automobilbau, Chemieindustrie und Finanzwesen am häufigsten betroffen (Quelle: BITKOM ) Schadprogramme / Tag (Quelle: Karspersky Lab, 12/2013) Schäden durch Cyberangriffe kosten KMU s im Durchschnitt Euro (Quelle: Kaspersky Lab im Jahr 2014) Cyberkriminalität auf Platz 4 der häufigsten Wirtschaftsstraftaten weltweit (Quelle: PwC s 2014 Global Economic Crime Survey) Quelle: IT-Sicherheit Report 2015

3 Bedrohungen für Unternehmen: Cyberkriminalität ist ein profitables Geschäft Verkauf von Kundendaten / Zugangsdaten Erpressung oder Betrug Verkauf von Rechenleistung Verkauf von Sicherheitslücken Verkauf von Tools und Infrastruktur für Angriffe

4 Welche Folgen können für Sie aus Cyberangriffen entstehen? Verlust geschäftskritischer Daten (Kronjuwelen) Entgangener Umsatz für den Zeitraum des Ausfalls Ermittlungskosten (Forensik) Kosten für die Beseitigung der Schwachstellen Kosten für die Benachrichtigung Betroffener (Kunden/Lieferanten/Partner) Vertrauensverlust / Reputationsschäden Sanktionen durch die Aufsichtsbehörde (z. B. Bayerisches Landesamt für Datenschutzaufsicht)

5 Diese Maßnahmen sind Pflicht! Checkliste Virenschutz Firewall Datensicherung Patchmanagement

6 Angriffsziel Mensch Phishing Malware/Trojaner Unwissen der Mitarbeiter Viele potenzielle Opfer Social Engineering: How to phish? Spam Gezielt über offene Informationen durch soziale Netzwerke. Über die Zielperson Zugriff auf Unternehmensinformationen wie z. B. Unternehmensstruktur, etc. Kevin Mitnick (Social Engineering Experte) Robin Sage (MIT Absolventin) Analystin für Cybersicherheit Experiment von Thomas Ryan: 1 Monat 300 hochrangige Kontakte aus Militär und Wirtschaft Jobangebote von Google und Rüstungskonzern Lockheed

7 Angriffsziel Mensch: SPAM, Es kommt immer auf die Story an!

8 Angriffsziel Mensch: Spyware

9 Schutzmaßnahmen Interne Richtlinien für den Umgang mit: Sozialen Netzwerken Passwörter (Security Policy ) Entsorgung von Dokumenten Vertrauliche Dokumente am Arbeitsplatz Arbeitsstation beim Verlassen des Arbeitsplatzes (sperren) Vertraulichen Informationen auf Geschäftsreise Quelle: Karikatur: Klaus Stuttmann Mitarbeiter regelmäßig schulen

10 Angriffsziel Hardware Mikrokontroller PC/Laptop Smartphone/Tablet Heimautomatisierung Fahrzeuge Industrieanlagen Quelle: Süddeutsche Zeitung

11 Angriffsziel Hardware: Mobile Devices Verlust Mithören und Mitlesen in der Öffentlichkeit Verloren innerhalb ½ Jahr: Mobiltelefone Laptops 900 USB-Sticks Kommunikation wird abgehört Daten werden ausgelesen

12 Schutzmaßnahmen Checkliste Einsatz mobiler Geräte Mitarbeiter im Umgang mit mobilen Geräten schulen und sensibilisieren. Nutzung der dienstlichen und privaten Geräte im Unternehmen regeln. Öffentliche WLANs vermeiden! Geräte nur mit bekannte und sichere WLANs verbinden. Aktuelle Firmware, eine Firewall und Virenscanner auf alle Geräte installieren. Keine sensible Daten auf mobilen Geräten oder in Public Clouds (icloud, Dropbox, Google Drive,...) ablegen! Mobile Geräte sollten über eine Fernlöschfunktion verfügen.

13 Fazit Es gibt keine absolute Sicherheit Spannungsfeld: Sicherheit, Kosten und Produktivität Stellschrauben: Prozesse/Organisation, Technologie und Faktor Mensch Technologie Faktor Mensch, Organisation

14 Ihre IHK steht Ihnen zur Seite Informationsveranstaltungen in jedem der 9 Kammerbezirke Halbjährige Sprechtage in jedem der 9 Kammerbezirke Erstellung von: Leitfäden, Merkblätter, Goldene Regeln Präsenz auf regionalen Messen und Veranstaltungen (it-sa, Communication World, CeBIT, etc.) Bereitstellen von umfassenden Content für die Internetauftritte der IHKs / BIHK. Aufschlussberatung Vereinzelte Firmenbesuche

15 Kostenlose bayernweite IHK-Veranstaltungen Workshop IT-Security Angels: Passwörter & Verschlüsselung am in Nürnberg (Wirtschaftsrathaus) Prävention IT-Kriminalität am in Nürnberg (Polizeipräsidium ) Sicher Global kommunizieren am in Nürnberg Prävention IT-Kriminalität am in Nürnberg (Polizeipräsidium ) IT-Security-Forum: Gefahren und praktische Hilfestellung am in Bayreuth IT-Sicherheit im Mittelstand am in Gunzenhausen IT-Sicherheit: Gefahren und praktische Hilfestellung am in Coburg IT-Sicherheitsforum: Gefahren und praktische Hilfestellung am in Nürnberg IT-Sicherheitsforum: Gefahren und praktische Hilfestellung am in Aschaffenburg Industrie 4.0 meets IT-Sicherheit am in Coburg E-Commerce kompakt: Schwerpunkt IT-Sicherheit am in Nürnberg Informationssicherheitstools für den Mittelstand am in Nürnberg (itsa) IT-Notfallkoffer in Dezember 2015 in Nürnberg

16 Ihre IHK steht Ihnen zur Seite Leitfaden zur Informationssicherheit in KMUs Merkblatt Informationssicherheit im Mittelstand Newsletter Internet Blog: Informationssicherheit für KMUs

17 Vielen Dank für Ihre Aufmerksamkeit! Claudiu Bugariu, B. Sc. Wirtschaftsinformatik Industrie- und Handelskammer Nürnberg für Geschäftsbereich Innovation Umwelt Informationssicherheit Ulmenstraße Nürnberg Tel.: Fax: Blog: Internet: