Vorstellung der Studienergebnisse: IT-Sicherheitsstandards und ITCompliance 2010

Transkript

1 Seite 1 Vorstellung der Studienergebnisse: IT-Sicherheitsstandards und ITCompliance 2010 IT-Grundschutz-Tag / it-sa 2010 Nürnberg, Dr. Stefan Kronschnabl, Research Director ibi research an der Universität Regensburg GmbH

2 Seite 2 Kooperationspartner der Studie

3 Seite 3 Agenda 1. Vorstellung der Kooperationspartner 2. Ziel, Durchführung und Aufbau der Studie 3. Teilnehmerstruktur 4. Wesentliche Ergebnisse

4 Seite 4 Agenda 1. Vorstellung der Kooperationspartner 2. Ziel, Durchführung und Aufbau der Studie 3. Teilnehmerstruktur 4. Wesentliche Ergebnisse

5 Seite 5 Institut für Bankinnovation (ibi research) an der Universität Regensburg GmbH Aktuelle Spitzenforschung gefördert durch BMBF und BMWI Entwicklung von Innovationen (Konzepte, Software) und Unterstützung bei der Umsetzung Anfertigung von Marktstudien und Wieentwickeln sichdie Inindividuelle formations und Kommunikations-Technologien? Beratung Geräte und Infrastrukturen e und Methoden Know-How-Networking SchSoftwaresystem werpunkte: Konvergenz, Wieverändert sich das Kundenverhalten? Standards, Potenziale Privatkunden Akteure und Rahmenbedingungen Treibende Kräfte Geschäftskunden Schwerpunkte: Technologienutzung und Akzeptanz, Kundenbedürfnisse Wieverändert sich der Markt? Wiereagierendie Unternehmen? Strategie und IT-Systeme Organisation und Prozesse Schwerpunkte: Vertriebsstrukturen, vernetzte Leistungserstellung, Systemarchitekturen Schwerpunkte: Non- und Nearbanks, Fragmentierung, E-Business

6 Seite 6 Partnernetzwerk

7 Seite 7 Bundesamt für Sicherheit in der Informationstechnik (BSI) Nationale Sicherheitsbehörde, zentraler ITSicherheits-dienstleister des Bundes Ziel: Voranbringen der IT-Sicherheit in Deutschland Angebot für private und gewerbliche Nutzer und Anbieter von Informationstechnik Anliegen: enge Zusammenarbeit mit allen Akteuren der IT- und Internetbranche auf dem Gebiet der ITSicherheit

8 Seite 8 IT-Grundschutz / SecuMedia Verlag Der SecuMedia Verlag liefert seit 30 Jahren verlässliche Informationen zum Thema Sicherheit Selbstverständnis: Plattform für den Austausch von Informationen Veröffentlichungen mit hohem Praxisbezug Informationsdienst IT-Grundschutz: monatlich erscheinende, 16-seitige Fachblatt für CIOs, ITManager und Verantwortliche für Informationssicherheit Ziel: Unterstützung bei der täglichen Arbeit und fundierte Berichterstattung über aktuelle Trends im Bereich ITSicherheit sowie Neues in Rechtsprechung, Technik und Anwendungen

9 Seite 9 Agenda 1. Vorstellung der Kooperationspartner 2. Ziel, Durchführung und Aufbau der Studie 3. Teilnehmerstruktur 4. Wesentliche Ergebnisse

10 Seite 10 Ziele der Studie Aufzeigen des Status Quo und Entwicklungstendenzen hinsichtlich IT-Sicherheitsstandards und IT-Compliance: Verwendung und Verbreitung von Standards bzw. ITFrameworks Umsetzung relevanter IT-Compliance Anforderungen Aufdeckung von Verbesserungspotentialen und Wünschen durch Anwender Darstellung von Schwächen vorhandener Softwarelösungen

11 Seite 11 Durchführung der Studie Offene Umfrage über Onlinebefragungstool sowie in gedruckter Form Aufforderung zur Teilnahme über die Fachzeitschrift Banking and Information Technology (BIT), den Informationsdienst IT-Grundschutz, den Newsletter von ibi research, den SecuMedia Verlag sowie die Homepage des BSI. Zeitraum der Befragung:

12 Seite Fragen Fragebogenstruktur Zertifizierung 17 Fragen Verwendete ITFrameworks 7 Fragen Rezertifizierun g 6 Fragen IT-Compliance 15 Fragen (optional) Durch optionale bzw. irrelevante Fragen variierte die Zahl der beantworteten Fragen je nach Teilnehmer zwischen 26 und 65.

13 Seite 13 Agenda 1.Vorstellung der Kooperationspartner 2.Ziel, Durchführung und Aufbau der Studie 3.Teilnehmerstruktur 4.Wesentliche Ergebnisse

14 Seite 14 Teilnehmeranzahl und -struktur Hohe Akzeptanz der Studie Teilnehmer aus nahezu allen Branchen Aber: 82 % aus der Dienstleistungs-branche; Verteilung:

15 Seite 15 Teilnehmerstruktur Überwiegend wurde der Fragebogen durch (IT-) Sicher-heitsbeauftragte ausgefüllt Die Beteiligung kleiner Unternehmen war sehr gering. IT-Sicherheitsbeauftragte nur bei 15 % in kleinen Unternehmen

16 Seite 16 Agenda 1. Vorstellung der Kooperationspartner 2. Ziel, Durchführung und Aufbau der Studie 3. Teilnehmerstruktur 4. Wesentliche Ergebnisse

17 Seite 17 Themenblock 1: Bedeutung und Relevanz

18 Seite 18 Hohe Bedeutung der Thematik unterstreicht die Relevanz der Studie Hoher bis sehr hoher Stellenwert von ITSicherheit Mehrheit geht von weiter steigender Bedeutung von ITSicherheit und ITCompliance aus

19 Seite 19 Bedeutung von IT-Sicherheit/ITCompliance Allgemein: Bedeutung von IT-Sicherheit höher als von ITCompliance Bedeutung von IT-Sicherheit bei kleinen Institutionen am größten kleinen Institutionen großen Institutionen

20 Seite 20 Hat hohe Bedeutung Auswirkungen auf die Vorgehensweise bei Missachtung von Vorgaben? 1. Belehrung/Gespräch mit dem Vorgesetzten meist der erste Schritt 2. Anpassung von Prozessen direkt als zweite Konsequenz Aber auch:

21 Seite 21 Themenblock 2: Optimierungshemmnisse

22 Seite 22 Hindernisse bei der Optimierung Steigende Anforderungen erfordern mehr finanziellen Mitteln und mehr qualifiziertes Personal 45 % der Befragten klagen über Mangel an Mitarbeiter in der IT-Sicherheit

23 Seite 23 Qualitätsbewertung der Umsetzung Die meisten Teilnehmer bewerten ihre Umsetzung zu ITSicherheit und IT-Compliance als befriedigend bis gut

24 Seite 24 Bewertung der Umsetzung von Anforderungen Mangelnde Akzeptanz der Fachabteilungen durch (vermutlich) unzureichende Einbindung der Mitarbeiter Umsetzungsgeschwindigkeit meist nur mittelmäßig Realisierungsgeschwindigkeit von Anforderungen Akzeptanz der Fachabteilungen Vermutung: Zusammenhang zwischen schlechter gegenüber laufenden Anpassungen Akzeptanz in den Fachabteilungen und langsamer Umsetzung Dies ist somit weiteres Optimierungshemmnis

25 Seite 25 Hintergrund: Hauptprobleme des ITSicherheit und IT Compliance Managements Mangelnde Akzeptanz bei Mitarbeitern und Geschäftsleitung Ebenso Unterstützung durch die Geschäftsführung, Vorstand oftmals zu gering

26 Seite 26 Themenblock 3: Softwareunterstützung und Zertifizierung

27 Seite 27 Software und deren Mängel Softwareunterstützung im Bereich IT-Sicherheit ausgeprägter als im Bereich IT-Compliance Dilemma der Hersteller: Mehr Funktionsumfang zu niedrigerem Preis gefordert Wird durch Software unterstützt? Mängel von Standardsoftware Die meisten Institute arbeiten mit fremdentwickelten Produkten Bei IT-Compliance verzichtet die Hälfte auf Softwareunterstützung

28 Seite 28 Zertifizierung und Anwendung von Standards Nur wenige Institutionen sind nach ISO auf Basis von IT-Grundschutz und ISO/IEC zertifiziert. Dennoch handelt ein Großteil nach den Vorgaben dieser Standards.

29 Seite 29 Zertifizierung und Anwendung von Standards Der IT-Grundschutz ist in der öffentlichen Verwaltung weit verbreitet Öffentliche Verwaltung, Verteidigung und Sozialversicherung Kredit- und Versicherungsgewerbe

30 Seite 30 Vorbereitungszeit für die Zertifizierung Vorbereitungszeit für Zertifizierung meist länger als 8 Monate

31 Seite 31 Nutzungsdauer von Standards / ITFrameworks IT-Grundschutz seit 16 Jahren ein Erfolgsmodell Signifikante Anstiege zwischen 2004 und 2009

32 Seite 32 Relevanz Qualified IT-Grundschutz Expert Experte für den IT-Grundschutz wird von den meisten Teilnehmern gewünscht

33 Seite 33 Softwareunterstützung Softwareunterstützung zur Zertifizierung nach Aufgabenbewältigung durch das GSTool bei ISO auf Basis von ITGrundschutz ISO auf Basis von ITGrundschutz davon: 66% Grundschutz-Tool 16% verinice

34 Seite 34 Re-Zertifizierung Die meisten Institutionen ließen sich bisher nicht rezertifizieren Wurde Mehr alseine dierezertifizierung Hälfte plant künftig keine bereits Ist eine Refinanzierung in Planung? durchgeführt? Rezertifizierung

35 Seite 35 Themenblock 4: IT-Compliance special

36 Seite 36 Positive Effekte durch IT-Compliance Management Institutionen versprechen sich vom IT-Compliance Management einen höhere Transparenz

37 Seite 37 Gesetzlicher Handlungsbedarf zum Datenschutz Datenschutzgesetze werden insgesamt als ausreichend angesehen

38 Seite 38 Umgang mit Gesetzen und Reglungen Das Wissen um Gesetze und Regelungen ist nicht ausreichend Bei über einem Drittel der Institutionen fehlt ein Verantwortlicher für die Bekanntmachung von Gesetzen Sind die zuständigen Mitarbeiter mit Gibt es einen Verantwortlichen für die und Regelungen den maßgeblichen Gesetzen und Bekanntmachung neuer Gesetze und Reglungen vertraut? Reglungen?

39 Seite 39 Implementierung von Normen und Gesetzen Rechtsnormen benötigen die meiste Zeit zur Implementierung Am häufigsten gibt es Umsetzungsschwierigkeiten bei Schwierigkeiten bei der Umsetzung Arbeitsintensive Reglungen und Datenschutzgesetzen Normen

40 Seite 40 Key-Findings Bedeutung der Thematik sehr hoch und weiterhin zunehmend Qualität der IT-Sicherheit und IT-Compliance noch nicht ausreichend Optimierungshemmnisse: Fehlende finanzielle Mittel und fehlendes qualifiziertes Personal Mangelnde Akzeptanz seitens der Mitarbeiter stellt größtes Problem dar und verzögert die Umsetzung Institutionen lassen sich kaum (re-)zertifizieren, aber handeln oftmals nach den Standards Kaum Einsatz von Software zur Unterstützung

41 Seite 41 Was folgt daraus? Dringender Handlungsbedarf bei Unternehmen im Bezug auf Personal und Budget Erster möglicher Schritt: Kompetenz aufbauen durch einen Qualified IT-Grundschutz Expert Akzeptanz der Mitarbeiter muss verbessert werden Verbesserung der Business-IT-Alignment notwendig eine kontinuierliche Einbindung der Mitarbeiter in Anpassungsprozesse erhöht die Akzeptanz Anreize zur Rezertifizierung müssen geschaffen werden: Regularien könnten sinnvolle Hilfe darstellen Handlungsbedarf bei Softwareherstellern Software muss besser auf die Bedürfnisse der Institutionen zugeschnitten werden

42 Seite 42 Sponsoren der Studie

43 Seite 43 Die Autoren Dr. Stefan Kronschnabl Research Director Ibi research GmbH Elmar Török Chefredakteur Infodienst ITGrundschutz Fachredaktion BSI Grundschutzkataloge SecuMedia Verlag Stephan Weber Business Consulant Ibi research GmbH Christian Dirnberger Universität Regensburg Isabel Münch Referatsleiterin ITSicherheitsmanagement und IT-Grundschutz Bundesamt für Sicherheit in der I nformationstechnik (BSI)

44 Seite 44 Vielen Dank für Ihre Aufmerksamkeit Vollständige Studie erhältlich unter: Ansichtsexemplare und weitere Informationen am Stand 318 bei GRC-Suite iris neben Psylock