Informationssicherheit ein Best-Practice Überblick (Einblick)

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit ein Best-Practice Überblick (Einblick)"

Günther Glöckner
vor 8 Jahren
Abrufe

1 Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen für Rechnernetze und Informationssicherheit Auditor für ISO nach BSI IT-Grundschutz Bremen, 26. Oktober

Bremen Lehrbeauftragter an der Hochschule Bremen für Rechnernetze und

2 Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) Bonn

3 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 3

4 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 4

5 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 5

6 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 6

7 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 7

8 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 8

9 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 9

10 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 10

11 Informationssicherheit Warum beschäftigen wir uns nicht damit? Darum kümmert sich der IT-Administrator Ich habe einen Virenscanner und eine Firewall Meine Daten interessieren niemanden Dafür habe ich keine Zeit / kein Budget Das ist doch nicht unser Kerngeschäft Das ist bisher immer gut gegangen Darum kümmern wir uns später.. Es gibt viele Argumente, warum man sich gerade jetzt nicht mit Informationssicherheit auseinandersetzen kann! 2

interessieren niemanden Dafür habe ich keine Zeit / kein Budget Das ist doch nicht unser Kerngeschäft Das ist

12 Wann beschäftigen Sie sich mit Informationssicherheit? Ein Sicherheitsvorfall ist aufgetreten Die rechtlichen Rahmenbedingungen haben sich geändert oder sind auf einmal ins Bewusstsein gerückt Kundenanforderungen Forderungen der Banken Eigene Untersicherheiten Zunehmende Gefährdungslage... KPMG-Studie: e-crime-studie 2010, Computerkriminalität in der deutschen Wirtschaft siehe: 12

einmal ins Bewusstsein gerückt Kundenanforderungen Forderungen der Banken Eigene Untersicherheiten

13 Bedrohungen für Ihr Unternehmen: externe interne Bedrohungen Bedrohungen Wettbewerber Hacker Geheimdienste Erpresser... eigene Mitarbeiter ehemalige Mitarbeiter Externe Freaks DAUs... 13

14 Lösungen für Ihr Unternehmen: Informationssicherheit managen ISO Familie internationaler Standard Vergleichbarkeit Übertragbar Anerkannt Verbreitet 14

15 Lösungen für Ihr Unternehmen: ISO nach BSI IT-Grundschutz Informationssicherheit managen Deutsches Verfahren zur Implementierung eines Informationssicherheitsmanagement Systems (ISMS) nach ISO Stark formalisiert häufig aufwendig Nachvollziehbar und reproduzierbar In Deutschland und Europa anerkannt International in der Regel nicht / bedingt anerkannt Die Struktur bietet sich an für erste Sicherheitsuntersuchungen in Unternehmen und Organisationen 15

aufwendig Nachvollziehbar und reproduzierbar In Deutschland und Europa anerkannt International in der Regel nicht /

16 BSI-IT-Grundschutz 16

17 Praktisches Vorgehen: Vereinfachte Sicherheitsuntersuchung: Quick Security Check Erstellen von Sicherheits-, Betriebs- und Datenschutzkonzepten für IT- Systeme und IT-Anwendungen Risikoanalysen Beispiele aus der Praxis 17

von Sicherheits-, Betriebs- und Datenschutzkonzepten

18 Automobilzulieferer (Quick Security Check eines dedizierten IT-Systems) VoIP-Anlage (wesentlicher Teil des Geschäfts läuft per Telefonverkauf) Strukturanalyse nach BSI IT-Grundschutz für: VoIP-Systeme - Kommunikationsnetz - Groupware Ergebnisse: Erarbeitung und Priorisierung der notwendigen Maßnahmen zur Verbesserung der Betriebssicherheit der Lokalen Datennetze und der VoIP-System Risikobewusstsein entwickelt 18

Kommunikationsnetz - Groupware Ergebnisse: Erarbeitung und Priorisierung der notwendigen Maßnahmen zur

19 Krankenhausbetrieb Entwicklung eines Protokollierungskonzepts zur revisionssicheren Protokollierung relevanter administrativer Tätigkeiten Windows Server 2008 und MS-Exchange Server 2007 SP2 Protokolliert werden sollten: - Zugriff auf Nutzer-Verzeichnisse durch Administratoren Einrichten, Verändern der Eigenschaften und Löschen von Nutzern Zugriff auf Postfachspeicher von Nutzern Verändern der Zustelloptionen von Nutzern Ergebnisse: Umfangreiches Protokollierungskonzept und Abstimmung mit den Personalvertretungsgremien 19

durch Administratoren Einrichten, Verändern der Eigenschaften und Löschen von Nutzern Zugriff auf Postfachspeicher von Nutzern

20 aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 20

21 Sicherheitsuntersuchung: Quick Security Check: Vorgehensweise: 3-5-tägige Beratung, vereinfachte Strukturanalyse nach BSI IT-Grundschutz Ergebnis: Detaillierter Überblick über die IT-Sicherheitslage im Unternehmen. Priorisierte Auflistung der Maßnahmen zur Verbesserung der IT-Sicherheit Ganzheitliche Analyse und Maßnahmenvorschläge Ausgangsbasis für eine Zertifizierung nach ISO (BSI IT-Grundschutz) Ansprechpartner: tgt:, 3

22 und wie geht es weiter?... Mobile Computing --> iphone, ipad, etc. Cloud Computing Virtualisierung 22

23 Informationssicherheit und Datenschutz: Forschung und Entwicklung in Bremen und der Region 23

24 BSI IT-Grundschutztag am 16. Juni 2012 Universität Bremen Koordiniert durch IS-Bremen Thema: aktuell 2010, über 230 Anmeldungen aus dem ganzen Bundesgebiet demnächst unter:

Ähnliche Dokumente

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem