Gefahren für die IT-Sicherheit lauern insbesondere intern!

Transkript

1 Gefahren für die IT-Sicherheit lauern insbesondere intern! Probleme erkennen, Probleme bannen: IT-Sicherheit effizient und kostengünstig herstellen Bochum, 21. April 2005 Internet: Nützenberger Str Wuppertal Telefon: (0) Telefax: (0)

2 Gliederung 1 UIMC Eine kurze Vorstellung 2 Ziele und Gefahren für die IT-Sicherheit 3 Typische Problemfelder in KMU 4 Ansätze zur Verbesserung der IT-Sicherheit 5 Eine mögliche Lösung unter Berücksichtigung von KMU-Spezifika Bochum, 21. April 2005 IT-Trends 2

3 Vorstellung des Referenten Tim Hoffmann (Dipl.-Kfm.) Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte: u. a. Organisation und Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte: Datenschutz und IT-Sicherheit insbesondere für Klein- und Mittelunternehmen Bochum, 21. April 2005 IT-Trends 3

4 Unternehmensgruppe Dr. Vossbein Betriebs-GmbH 66,7 % GmbH Bochum, 21. April 2005 IT-Trends 4

5 IndividuelleBeratungen und Konzeptionen Unternehmensmanagement Unternehmensführung Controlling Aufbau- und Ablauforganisation Planung und Budgetierung Informationssystemmanagement Marketing Aktivitätenfelder Standardisierte Beratungen und Konzeptionen UMC - Unternehmensund Management- Checkup Sicherheits- Schwachstellen- Analyse (Si-SSA) für Informationssysteme Datenschutz- Checkup gem. BDSG + IuKDG individuelle Beratungen und Konzeptionen IV-Management IV-Sicherheit IV-Revision (Auditing) Datenschutzberatung externe Datenschutzbeauftragung Datenschutz - und sicherheit im Gesundheitssektor Erstellen/Überprüfen von Pflichtenheften Unternehmensplanung und -budgetierung IV-Systemplanung (IV-) Controlling Datenschutz betriebliche und außerbetriebliche Fort- und Weiterbildung Unternehmensorganisation Sicherheitskonzeptionen Organisationsmittel BS 7799 Arbeitsplatzsicherheit SW-Lösungen für interne und externe Beratungs- und Auditierungsprojekte Bochum, 21. April 2005 IT-Trends 5

6 Gliederung 1 UIMC Eine kurze Vorstellung 2 Ziele und Gefahren für die IT-Sicherheit 3 Typische Problemfelder in KMU 4 Ansätze zur Verbesserung der IT-Sicherheit 5 Eine mögliche Lösung unter Berücksichtigung von KMU-Spezifika Bochum, 21. April 2005 IT-Trends 6

7 Vertraulichkeit Ziele und Gefahren Systeme und/oder sensitive Daten werden von Unbefugten ausgehorcht Wichtige Daten fallen an Konkurrenten oder gelangen in die Öffentlichkeit Verstoß gegen Datenschutzgesetze Verlust der Vertrauenswürdigkeit bei Kunden, Lieferanten & Mitarbeitern Verfügbarkeit Verlust wichtiger Daten Absturz /Ausfall des Systems, so dass nicht gearbeitet werden kann Integrität Systeme werden zerstört oder mit Viren infiziert Wichtige Daten werden von Unbefugten verändert Bochum, 21. April 2005 IT-Trends 7

8 Ziele und Gefahren Schutz vor Diebstahl sensitiver Daten des Unternehmens Schutz vor Fehlbedienungen oder unsachgemäße Handhabung durch Mitarbeiter Schutz vor Manipulationen Bochum, 21. April 2005 IT-Trends 8

9 Schäden - Eine kurze Bilanz Schäden mit mittlerer und größerer Bedeutung: 8% Sabotage (inkl. DoS) und höhere Gewalt 9% Informationsdiebstahl/unbefugte Kenntnisnahme 38% Hardware-Mängel/-Defekte 43% Software-Mängel/-Defekte 51% Mitarbeiter-Irrtum und -Nachlässigkeit 54% Malware (Viren, Würmer, Trojanische Pferde etc.) Quelle: KES-Studie 2004 Bochum, 21. April 2005 IT-Trends 9

10 Schäden - Eine kurze Bilanz Hoher Umsetzungsgrad 99% Datensicherung 97% Virenschutz 95% Firewalls aber: fehlende Beachtung der Rahmenbedingungen (beispielsweise beim Virenschutz) 40% automatische Updates 15% aktualisieren erst bei Verstoß 20% keine festgeschriebenen Sicherheitsrichtlinien Quelle: KES-Studie 2004 und Informationweek Bochum, 21. April 2005 IT-Trends 10

11 Schäden - Eine kurze Bilanz Ausfallzeit & mittlere Kosten Virus-/Wurm-Infektion 54,54 Min. EUR ,00 Fehlalarm 5,66 Min. EUR 1.187,00 Hoax 10,1 Min. EUR 1.270,00 Vorfallszahlen durchschnittliche Vorfallszahl: 37 Malware-Infektionen, 9 Fehlalarme und 8 Hoaxes p. a. steigende Vorfallszahlen Haupteinfallstor: (Schwachstelle Mitarbeiter!?) Quelle: KES-Studie 2004 Bochum, 21. April 2005 IT-Trends 11

12 Gliederung 1 UIMC Eine kurze Vorstellung 2 Ziele und Gefahren für die IT-Sicherheit 3 Typische Problemfelder in KMU 4 Ansätze zur Verbesserung der IT-Sicherheit 5 Eine mögliche Lösung unter Berücksichtigung von KMU-Spezifika Bochum, 21. April 2005 IT-Trends 12

13 Typische Problemfelder in KMU Basis der Anforderungen an IT-Sicherheit generell sehr ähnlich Möglichkeiten zur Lösung müssen jedoch wegen unterschiedlicher Gegebenheiten verschieden gestaltet werden Stark differierende Unternehmen nicht mit den gleichen Methoden angehen: Unternehmens-/Umsatzgröße Branche/Wirtschaftszweig Relevanz der IT-Sicherheit für das Unternehmen Mittelverfügbarkeit Mitarbeiterverfügbarkeit und -Qualität geringer Organisationsgrad Dominanz anderer Funktionen Bochum, 21. April 2005 IT-Trends 13

14 Typische Problemfelder in KMU Behinderung der Verbesserung der Lage 62% Geld 51% Bewusstsein der Mitarbeiter 45% Bewusstsein der Geschäftsleitung 33% fehlende kompetente Mitarbeiter 31% Grundlagen/Konzept 18% fehlende Methoden und Werkzeuge 8% fehlende praxisorientierte Berater Quelle: KES-Studie 2004 Bochum, 21. April 2005 IT-Trends 14

15 Typische Problemfelder in KMU Vor dem Hintergrund fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen sind Probleme bei KMU besonders schwerwiegend geringe finanzielle Mittel für IT bzw. IT-Sicherheit geringe Verfügbarkeit von Fachpersonal oftmals auch fehlende Motivation Bochum, 21. April 2005 IT-Trends 15

16 Typische Problemfelder in KMU IT-Sicherheit ist ein lästiges Übel! (32% der befragten KMU in KES-Studie 2004) Bochum, 21. April 2005 IT-Trends 16

17 Gliederung 1 UIMC Eine kurze Vorstellung 2 Ziele und Gefahren für die IT-Sicherheit 3 Typische Problemfelder in KMU 4 Ansätze zur Verbesserung der IT-Sicherheit 5 Eine mögliche Lösung unter Berücksichtigung von KMU-Spezifika Bochum, 21. April 2005 IT-Trends 17

18 Ansätze zur Verbesserung in KMU Ziel: Entwicklung zum Erreichen des State of the Art trotz geringer Mittel und geringem Know Hows unter Berücksichtigung der Angemessenheit Grundgedanken: Optimierung der Vor Ort-Leistungen Hohe Standardisierung Hoher Einsatz von Kommunikationstechnologien Bochum, 21. April 2005 IT-Trends 18

19 Ansätze zur Verbesserung in KMU Leistungen vor Ort seitens des leistenden Beraters teuer kostenintensiven Leistungen aus Effizienzgründen reduzieren Sicherstellung von ausreichender Kompetenz in KMU Einsatz moderner Kommunikations- und standardisierter Organisationsmittel Berücksichtigung der Angemessenheit durch Standardisierung standardisierte Vorgehensweisen Organisationsmittel Schulungsmittel nicht-ständige Präsenz vor Ort durch den Einsatz moderner Kommunikationsmittel ergänzen/ausgleichen Bochum, 21. April 2005 IT-Trends 19

20 Gliederung 1 UIMC Eine kurze Vorstellung 2 Ziele und Gefahren für die IT-Sicherheit 3 Typische Problemfelder in KMU 4 Ansätze zur Verbesserung der IT-Sicherheit 5 Eine mögliche Lösung unter Berücksichtigung von KMU-Spezifika Bochum, 21. April 2005 IT-Trends 20

21 Rückblick: Typische Problemfelder Vor dem Hintergrund fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen sind Probleme bei KMU besonders schwerwiegend geringe finanzielle Mittel für IT bzw. IT-Sicherheit geringe Verfügbarkeit von Fachpersonal oftmals auch fehlende Motivation Bochum, 21. April 2005 IT-Trends 21

22 Mögliche Lösungen fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen Schneller und systematischer Überblick des Status Quo Schwachstellenerkennung und Maßnahmenvorschläge durch computergestützte Analyse-Tools auch als Selbst-Checkup Bochum, 21. April 2005 IT-Trends 22

23 Mögliche Lösungen Bochum, 21. April 2005 IT-Trends 23

24 Mögliche Lösungen fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen Sensibilisierung und Schulung ohne großen Organisationsaufwand einer Schulungsveranstaltung mittels multimedialen Lern-/E-Learning-Tool auch als ständig verfügbares Nachschlagewerk nutzbar Bochum, 21. April 2005 IT-Trends 24

25 Mögliche Lösungen Bochum, 21. April 2005 IT-Trends 25

26 Mögliche Lösungen fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen Einheitliche und umfassende Regelungen im Unternehmen für Mitarbeiter und IT-Verantwortliche mit Hilfe eines IT-Sicherheitshandbuchs Eigenschaften: Gestaltungs-/Organisationsmittel Schaffung von Transparenz der organisatorischen Tatbestände Informationsquelle Führungsinstrument für Vorgesetzte Bochum, 21. April 2005 IT-Trends 26

27 Mögliche Lösungen fehlender Überblick über Status Quo ( Wie gut sind wir? ) fehlende Ausbildung der Mitarbeiter fehlende organisatorische Regelungen/Vorgaben fehlendes internes Wissen Verfügbarkeit eines Fachberaters/Experten persönlich via Kommunikationsmittel (Hotline, -Center) Erfahrungsaustausch Informationssystem zu aktuellen Themen der IT-Sicherheit (z. B. Internet-Portal oder Newsletter) Bochum, 21. April 2005 IT-Trends 27

28 Weitere Lösungen der UIMC Gleiches Konzept für Datenschutz Externe Datenschutzbeauftragung oder DSB-Coaching Standardisierte Hilfsmittel (Analyse, Organisationsmittel, Schulung) ständige Verfügbarkeit ohne vor Ort-Präsenz Berücksichtigung der KMU-Problemfelder Hohe Synergieeffekte mit IT-Sicherheitskonzept Schnittmengen zwischen Datenschutz und IT-Sicherheit Sensibilisierung der Mitarbeiter im Umgang mit System und Daten wechselseitige Unterstützung von Datenschutz und IT-Sicherheit gleichzeitige Betrachtung/Bearbeitung sicherheits-/sicherungsspezifischer Fragestellungen Bochum, 21. April 2005 IT-Trends 28

29 Vielen Dank für Ihre Aufmerksamkeit! UIMC Dr. Vossbein GmbH & Co. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) URL: UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de URL: Bochum, 21. April 2005 IT-Trends 29