Mittelstand

Transkript

1 @ Mittelstand IHK Cottbus Unter der Schirmherrschaft des 1 I Mittelstand

2 Bevor wir starten Führen Sie den DsiN-Sicherheitscheck selbst durch: 2 I Mittelstand

3 DsiN-Sicherheitscheck Ergebnisse Ergebnisbericht - Sie erhalten einen als Einstieg in die Thematik IT-Sicherheit 3 I Mittelstand

4 Was erwartet Sie? i 2-3 Stunden geballte Information Welche Gefahren drohen? Was kann/muss ich tun? Speziell für Geschäftsführer von KMU Abwägung von Kosten und Nutzen Konkrete Tipps Erfahrene Referenten Infos von Deutschland Sicher im Netz Ergänzt durch Know-How der Referenten 4 I Mittelstand

5 Ziele des Workshops Für Entscheider Für alle, die für Entscheider arbeiten Eigene Prioritäten erkennen Optionen kennen Organisatorische und technische Notwendigkeiten kennen Idealer Weise: Erste Schritte einleiten Herausforderungen kennen Sicherheitsziele kennen Management-System überblicken Roadmap erstellen 5 I Mittelstand

6 Fragen, die beantwortet werden? WAS ist IT-Sicherheit? Aus Entscheider-Sicht Beispiele: Cloud, BYOD? WARUM IT-Sicherheit? Aktuelle Lage, Auswirkungen der Digitalisierung Wo liegt das Risiko?? WIE erreiche ich IT-Sicherheit? Transparenz schaffen Management-System: Prävention, Reaktion, kontinuierliche Verbesserung? WOMIT fange ich an? Erste Schritte: Richtlinien & Regeln, Awareness Regelungen zu technischen Aspekten, Umgang mit Industrie 4.0? WO bekomme ich Unterstützung? Beratung Weitere Informationen 6 I Mittelstand

7 WAS ist IT-Sicherheit? 1 Wo begegne ich IT-Sicherheit im Alltag (aus 2 Definition 3 Beispiel: Cloud 4 Beispiel: Bring Your own Device 5 Konsequenzen für die Geschäftsleitung 7 I Mittelstand

8 WAS ist IT-Sicherheit? 1 Wo begegne ich IT-Sicherheit im Alltag (aus Geschäftsführer-Sicht)? offensichtlich IT-Betrieb ( IT-Sicherheit kostet ) Passwörter, Anti-Virus,... ( IT-Sicherheit nervt ) Cloud ( IT-Sicherheit erfordert Entscheidungen )! Weniger offensichtlich: Kooperation mit Partnern Schnittstelle zwischen Business und IT Verwendung von Mobilgeräten 8 I Mittelstand

9 WAS ist IT-Sicherheit? 2 Definition WIE: Informationen brauchen: Verfügbarkeit Vertraulichkeit Integrität WOMIT: Technologie: Firewalls, Anti-Virus- Lösungen, Verschlüsselung,... Sichere, gute Software Anpassung von Geschäftsprozessen Verträgen mit Partnern und Lieferanten WAS: Zustand der IT, welche einen störungsfreien und sachgemäßen Betrieb ermöglicht Sowie deren sachgemäße Verwendung um Schäden zu vermeiden WIESO: Risikolage ist ernst Herangehensweise ist zielführend Machbarkeit muss individuell geprüft werden 9 I Mittelstand

10 WAS ist IT-Sicherheit? 3 Beispiel: Cloud Die 5 größten Security-Gefahren beim Cloud Computing: 1. Angriffe auf Cloud Services aus dem Internet 2. Unberechtigter Zugriff auf Cloud-Daten durch andere Kunden 3. Verlust der Nachvollziehbarkeit bei Transaktionen 4. Nichteinhaltung von Datenschutz-Vorgaben 5. Nutzung/ Kopieren von Informationen durch Cloud-Anbieter Cloud Service Provider 10 I Mittelstand

11 WAS ist IT-Sicherheit? 3 Beispiel: Cloud Anforderungen an Cloud-Dienste: Speicherort Europa Rechtesystem und starke Authentifizierung (z.b. SMS-TAN) Regelmäßige Penetrationstests Keine Konkurrenten auf Plattform Fazit/Empfehlungen: Nicht immer sind alle Anforderungen gleichzeitig erfüllbar Ideal: deutscher Anbieter mit Speicherung auf deutschem Boden Tipps zur Auswahl und Umsetzung: DsiN CloudScout DsiN Sicher in die Cloud Lage: Auswahl des richtigen Anbieters ist zentral Anforderungen formulieren und Kontrollen durchführen oft nicht machbar Rechtliches: US Patriot Act: US-Firmen müssen NSA Zugang zu Kundendaten ermöglichen; wird auch zur Wirtschaftsspionage genutzt Datenschutz: Datenhaltung muss auch in Cloud nach den Vorgaben erfolgen 11 I Mittelstand

12 WAS ist IT-Sicherheit? 4 Beispiel: Bring Your own Device Beobachtungen: Nutzen der Bereitstellung von Endgeräten durch die IT nimmt zunehmend ab Notwendigkeit, private Geräte in Firmeninfrastruktur zu integrieren, steigt Junge Leute identifizieren sich mit ihrer IT (Wettbewerbsvorteil) Gleichzeitig always on > Potenzieller Nutzen für Unternehmen Empfehlungen: Endgeräten das Vertrauen in die Sicherheit entziehen Zugriff auf vertrauliche Informationen immer nur über online-zugang ermöglichen Nutzung mit Richtlinie regeln! Leitfaden von BITKOM umsetzen Lage: 43 % der ITK-Unternehmen erlauben ihren Mitarbeitern, eigene Geräte mit Firmennetzwerk zu verbinden Von den Unternehmen, die BYOD zulassen: Erhoffen sich 81 % eine höhere Mitarbeiterzufriedenheit 74 % erwarten Effizienzsteigerungen Rund 40 % wollen moderne arbeitgeber sein Rechtliches: Nur Trennung zwischen dienstlichem und privatem Equipment ist wirklich sauber BYOD oder gegenteilige Alternative COPE (Corporate Owned, Personally Enabled) bedingen immer Kompromisse 12 I Mittelstand

13 WAS ist IT-Sicherheit? 5 Konsequenzen für die Geschäftsleitung Fakt: Geschäftsführer müssen sich mit IT-Sicherheit auseinandersetzen! > Nachhaltige Steuerung statt hektischem Aktionismus Fakt: Ein umfassender Blick ist notwendig! > Strukturierte Vorgehensweise Fakt: an vielen Stellen muss etwas getan werden! > Best Practices aufnehmen und angemessen umsetzen 13 I Mittelstand

14 WARUM IT-Sicherheit? 1 Digitalisierung als 2 aktuelle Lage 3 Risiko Wirtschaftsspionage 4 Ursachen für Datendiebstahl 5 Digitale Schaltstellen im Unternehmen 6 Wo liegt das Risiko: Business oder IT? 7 Fazit für die Geschäftsleitung 14 I Mittelstand

15 WARUM IT-Sicherheit? 1 Digitalisierung als Herausforderung Digitalisierung bietet vielfältige Chancen nicht nur bei Informationsverarbeitung Durch Digitalisierung entstehen aber auch neue Risiken Wachsende Digitalisierung des Geschäftsalltags Herausforderung besteht darin, Chancen zu nutzen und Risiken zu beherrschen. > Das ist die Aufgabe der IT-Sicherheit. 98 % ( % (+ 8 %) 64 % (+ 8 %) 38 % (+ 2 %) Statista % (+ 14 %) 22 % (+ 5 %) 15 I Mittelstand

16 WARUM IT-Sicherheit? 2 Aktuelle Lage Beobachtungen: Digitalisierung ist nicht aufzuhalten! Digitale Naivität ist jedoch weit verbreitet Informationen sind eine Währung KMU sind Organisationsdilemma: digitale Agilität ist gleichzeitig auch Achillesferse Empfehlungen: Wichtigste Frage: Wo ist IT Teil des Kerngeschäfts (wo bringt Digitalisierung Nutzen), wo nicht? Oft nicht IT-Abteilung... Gerade bei KMU muss IT-Sicherheit auf Ebene der Geschäftsleitung adressiert werden! Lage: DsiN-Sicherheitsmonitor: Digitalisierung steigt Sicherheitsbewusstsein sinkt DsiN-Sicherheits-Index: Digitales Sicherheitsgefälle BITKOM-Studie Wirtschaftsspionage 102 Mrd EUR Schaden in 2 Jahren NSA-Enthüllungen Rechtliches: IT-Sicherheit sicherstellen ist Teil der kaufmännischen Sorgfaltspflicht der Geschäftsleitung in allen Geschäftsbereichen GoB > korrekte Rechnungslegung GmbHG: Verletzung Geheimhaltungspflicht, Haftung (auch persönlich) 16 I Mittelstand

17 WARUM IT-Sicherheit? 3 Risiko Wirtschaftsspionage Wirtschaftsspionage, speziell durch Geheimdienste befreundeter Länder, ist zur Zeit ein ernstzunehmendes Problem Man kann sich auf technischer Ebene kaum/ nur gering dagegen schützen Je digitaler das Unternehmen, desto leichter haben es Geheimdienste im Prinzip Anteil der Betroffenen War Ihr Unternehmen in den vergangenen 2 Jahren von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen? (nach Unternehmensgröße) 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % 51 % 47 % 61 % 54 % Gesamt Gesamt 51 % Statista MA MA ab 500 MA 17 I Mittelstand

18 WARUM IT-Sicherheit? 4 Ursachen für Datendiebstahl Anteil der häufigsten Datenlecks Informationslage zu Datendiebstahl nicht sehr verlässlich Auch kein klarer Trend zu erkennen Hacker und Diebstahl von Geräten sind größten Quellen für Datendiebstahl Innentäter sind nicht zu vernachlässigen! (im Jahresvergleich 2008 bis 2013) 1 % 1 % 1 % 2 % 2 % 5 % 6 % 8 % 6 % 8 % 6 % 12 % 15 % 23 % 23 % 23 % 23 % 27 % 29 % 31 % Statista % 40 % 40 % 34 % 0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 % 40 % 45 % Betrug Unbekannt Insider Diebstahl oder Verlust von Unzureichende Hacker- Daten bzw. Datenträgern Sicherheitsrichtlinien Angriff 18 I Mittelstand

19 WARUM IT-Sicherheit? 5 Digitale Schaltstellen im Unternehmen Voraussetzung für funktionierende IT-Sicherheit ist Kenntnis über digitale Schaltstellen im Unternehmen Indikatoren: Wer bestimmt über Einsatz welcher IT-Werkzeuge? Wo laufen besonders viele IT-gestützte Prozesse zusammen? Wo gibt es besonders viele Medienbrüche? Digitale Schaltstellen sind wie Knotenpunkte in einem Netzwerk mit besonders vielen Verbindungen Neben der Vorbildfunktion sind hier auch die Effekte guter (technischer) IT-Sicherheit am größten Wirkt IT-Sicherheit dort nicht, ist das Risiko ebenfalls am größten 19 I Mittelstand

20 WARUM IT-Sicherheit? 6 Wo liegt das Risiko: Business oder IT? IT-Dienstleitung: Leistungserbringung für allgemeine Tätigkeiten Leistungserbringung für Geschäftsprozesse Hier treten Bedrohungen und Schwachstellen auf Geschäftsbereich: Verwendung von IT für eigene Leistungerbringung Hier können entstehende Risiken bewertet werden 20 I Mittelstand

21 WARUM IT-Sicherheit? 6 IT-Sicherheitsrisiken liegen im Business Beobachtungen: Sicherheitsrisiken entstehen auf IT-Seite, wirken sich aber auf Business-Seite aus Die IT (intern oder extern) liefert nur Verantwortungsübernahme durch die IT ist daher nicht sinnvoll möglich! Empfehlungen: Korrekter Weise trennt man zwischen Informationssicherheit (auf der Business-Seite) und IT-Sicherheit (auf der IT-Seite) In diesem Workshop wird beides behandelt Lage: Die IT (Cloud oder On Premise) ist zunehmend in die Wertschöpfung eingebunden Genau das ist Ziel der Digitalisierung Tipps aus der Praxis: Wenn IT-Dienstleister ein Zertifikat haben (z.b. ISO 27001), wird damit der Schutz ihrer eigenen Informationen dokumentiert. Der Schutz von Kundendaten kann nur zusammen mit Kunden bestätigt werden 21 I Mittelstand

22 WaRUM IT-Sicherheit? 6 IT-Risikomanagomanagement wer hat das schon? Hat Ihr Unternehmen ein Risikomanagementsy stem für IT-Sicherheit eingerichtet? 33 % der Unternehmen aus dem Bereich Industrie und Produktion hatten in 2008 ein Risikomanagementsystem für IT-Sicherheit eingerichtet DsiN Sicherheitsmonitor % 16 % 21 % 7 % 17 % 20 % 75 % Anteil der Befragten 50 % 25 % 0 % 52 % 45 % 64 % 73 % 33 % 34 % 19 % Industrie/ Produktion Dienstleistungen/ Handel Finanzen Öffentliche Verwaltung Ja Nein Weiß nicht 22 I Mittelstand

23 WARUM IT-Sicherheit? 7 Fazit für die Geschäftsleitung Die Digitalisierung bringt Chancen, aber auch Risiken > Bewusster Umgang mit den IT-Sicherheitsrisiken notwendig Das KMU-Dilemma macht es nicht einfacher! > Konzentration auf die IT-Risiken in der Wertschöpfung Die Risiken liegen im Business > Die IT kann unterstützen, aber nicht die Verantwortung übernehmen 23 I Mittelstand

24 WIE erreiche ich IT-Sicherheit? 1 IT-Sicherheitsrisiken 2 Ein Managementsystem etablieren 3 Präventionsmaßnahmen beschließen 4 Sicherheitsvorfälle erkennen und behandeln 5 Kontinuierliche Verbesserung sicherstellen 24 I Mittelstand

25 WIE erreiche ich IT-Sicherheit? 1 IT-Sicherheitsrisiken aufnehmen Machen Sie IT-Sicherheitsrisiken transparent! Beispiel: 4,5 1 Empfehlungen: Wichtig: Passen Sie auch Ihre Geschäftsaktivitäten an! Schadenshöhe > 6,7 2,3 12 8,9,10 11 Prüfen Sie 1x jährlich, ob Bewertung noch realistisch ist Leitungsebene ist verantwortlich für Risiken! Eintrittswahrscheinlichkeit > Grundlagen: Risiko = potenzielles Eintreten eines Schadens: Eintrittswahrscheinlichkeit x Schadenshöhe Stellen Sie Risiken in einer Risikomatrix dar Entscheiden Sie: mit welchen Risiken Sie leben wollen, gegen welche Sie etwas tun möchten, und welche Risiken nicht tragbar sind Rechtliches: Formal rechtlich ist ein Rechtemanagement für bestimmte Unternehmen gefordert: Sarbanes Oxley Act, KontraG, Basel II(I) Es ist sinnvoll, nach ISO vorzugehen (auch wenn man nicht alles umsetzt) 25 I Mittelstand

26 WIE erreiche ich IT-Sicherheit? 2 Ein Managementsystem etablieren Informations-Sicherheits-Management- System (ISMS): Ergänzung des Risikomanagements um Steuerungs- und Kontroll-Prozesse Zudem werden bestimmte Sicherheitsmaßnahmen empfohlen (Berechtigungen, Netzwerksicherheit, Awareness,...) Wichtigste aktivitäten für den Start: Richtlinie verabschieden und veröffentlichen Verantwortlichkeiten festlegen Risiko-Berichte einfordern Vorschlag für IT-Sicherheitskonzept erarbeiten lassen Anforderungen sammeln Verantwortlichkeiten definieren Status ermitteln Konzept erstellen Maßnahmen umsetzen Rechtliches: Aus dem IT-Sicherheitsgesetz: ISMS sind für kritische Infrastrukturen vorgeschrieben Für bestimmte Bereiche gibt es zusätzliche Vorgaben für Maßnahmen 26 I Mittelstand

27 WIE erreiche ich IT-Sicherheit? 3 P rä ventionen beschließen Beobachtungen: Es gibt: Prozessuale Maßnahmen, z.b. zusätzliche Freigabe einer Dokumentenversendung Technische Maßnahmen, z.b. Antivirus-Software organisatorische Maßnahmen, z.b. abendliche Rundgänge, ob Schreibtische leer, Fenster zu etc. Empfehlungen: Bei präventiven Maßnahmen wichtig: angemessenheit (Kosten-Nutzen-Verhältnis): Ist eine Vereinzelungsanlage zum Zugang in den Bürotrakt angemessen? Nebenwirkungen und aktzeptanz (Maßnahmen können zu ungewollten Effekten führen): Gibt es zu viele Anforderungen an Passwörter, werden sie aufgeschrieben, und es gibt erkennbare Muster Lage Oft sind Schäden der Informationssicherheit schlecht zu greifen Daher liegt großer Schwerpunkt der Maßnahmen auf Prävention Paket sollte sich an Ihren Top-Risiken orientieren (nicht an einer einfachen Umsetzbarkeit) Tipps aus der Praxis: Informationssicherheitsrisiken mit hoher Eintrittswahrscheinlichkeit sollte auf jeden Fall präventiv begegnet werden! Risiken mit hohem Schaden (und geringer Wahrscheinlichkeit) sollte tendenziell eher mit einer guten Reaktionsfähigkeit begegnet werden (und, wenn möglich, einer Versicherung) 27 I Mittelstand

28 WIE erreiche ich IT-Sicherheit? 3 Sicherheitsvorfälle erkennen und behandeln Um bei eintretenden Gefahren handlungsfähig zu sein, müssen Angriffe (und Verluste) erkannt werden Dass KMUs nicht so oft angegriffen werden, kann auch daran liegen, dass es nicht bemerkt wurde IT-Sicherheitsangriffe sind normal lernen Sie, damit umzugehen! Angriffstypen und was man tun kann: Netzwerkangriffe: arbeiten Sie mit einem professionellen Dienstleister zusammen ( Security Intelligence ) oft zusammen mit Netzwerk-Dienstleistungen im Angebot Angriffe auf Anwendungen: Regelmäßige Prüfungen von Log-Dateien sind PFLICHT Angriffe auf Menschen: Verdachtsmomente sollten gemeldet werden keine Angst vorm Anschwärzen! 28 I Mittelstand

29 WIE erreiche ich IT-Sicherheit? 4 Sicherheitsvorfälle erkennen und behandeln Standardisieren Sie Ihre Reaktion auf Schwachstellen und angriffe in einem Notfallplan! 1. Ermitteln von Schwachstellen in den Systemen > Verwenden Sie externe Quellen für neue Schwachstellen: DsiN Sicherheitsbarometer BSI BürgerCERT 2. Bewerten der Betroffenheit der Systeme > Welche Systeme sind verwundbar? Wie stark? 3. Sofortreaktion bei Angriffen > Abschalten der Systeme? Plan B? 4. Forensische Beweismittelsicherung und Analyse > Auf jeden Fall alles gerichtsfest dokumentieren! Empfehlungen: Für Schwachstellenanalyse und Betroffenheit gibt es Standard-Dienstleistungen Schalten Sie Polizei, ggf. BKA ein! IT-Forensik: Ziehen Sie Experten hinzu! Rechtliches: Vorsicht bei IT-Forensik: Wenn etwas passiert ist: überlassen Sie es den Profis! Selbst gesammelte Beweise sind oft nicht gerichtlich verwertbar Eigene Gegenreaktion kann selbst strafbar sein! 29 I Mittelstand

30 WIE erreiche ich IT-Sicherheit? 4 Sicherheitsvorfälle erkennen und behandeln Stellen Sie eine kontinuierliche Verbesserung sicher! Wenn Präventions- und Reaktionsprozesse einmal etabliert sind, müssen sie wie beim Qualitäts- management regelmäßig auf Verbesserungen hin optimiert werden. PLAN Nur dann ist eine nachhaltige Sicherung der Informationswerte möglich. ACT DO Umgekehrt erlaubt dies auch, mit ersten einfachen Maßnahmen zu starten. CHECK 30 I Mittelstand

31 WIE erreiche ich IT-Sicherheit? 5 Fazit für die Geschäftsleitung IT-Sicherheitsrisiken müssen dem Business bekannt sein! > Priorisieren der Maßnahmen nach Risiko und Anpassung der Geschäftstätigkeiten Prävention ist absolut erforderlich! > Angemessenheit und Akzeptanz der Maßnahmen sind wesentliche Erfolgsfaktoren Sicherheitsvorfälle sind normal! > Erkennung und Notfall-Prozesse müssen Routine werden 31 I Mittelstand

32 WOMIT fange ich an? 1 Erlassen Sie eine 2 Sorgen Sie für Bewusstseinsbildung und Kompetenzentwicklung bei den Mitarbeitern 3 Regeln Sie eine sorgfältige Verwendung von anwendungen und Systemen 4 Regeln Sie einen angemessenen Umgang mit Partnern und Lieferanten 5 Stellen Sie den störungsfreien Betrieb von IT-Systemen sicher 6 Führen Sie IT-Sicherheit in der Produktion ein 7 Setzen Sie Verschlüsselung ein einfach und effektiv! 32 I Mittelstand

33 WOMIT fange ich an? 1 Erlassen Sie eine Informations-Sicherheitsrichtlinie Beobachtungen: Diese Richtlinie muss von der Geschäftsleitung beschlossen und an alle Mitarbeiter aktiv kommuniziert werden Sie muss regelmäßig (z.b. jährlich) auf Aktualität überprüft werden Empfehlungen: Lassen Sie sich eine Richtlinie von einem externen Experten für Ihr Unternehmen erstellen Kosten: ca. 5 Tage Lage: Jedes ISMS erfordert ein zentrales Dokument, in dem Verantwortlichkeiten, Vorgaben und Prozesse zur IT-Sicherheit geregelt sind Verwendete Begriffe dafür: IT-Sicherheitsleitlinie IT Security Policy Informationssicherheitsrichtlinie Rechtliches: Achtung Betriebsrat! Je nachdem, was in der Richtlinie steht, ist sie ggf. mitbestimmungspflichtig: Arbeitsanweisungen Informationen, die Leistungskontrolle dienen könnten Datenschutzbezogene Aspekte 33 I Mittelstand

34 WOMIT fange ich an? 2 Fokussieren Sie Ihre Anstrengungen auf die Mitarbeiter Beobachtungen: Mitarbeiter sind die größte Sicherheitsschwachstelle aber auch die effektivste Sicherheitsmaßnahme! Kein ISMS funktioniert ohne Akzeptanz und Unterstützung der Mitarbeiter Empfehlungen: Es gibt unterschiedliche kritische Gruppen von Mitarbeitern Zentrale Leitfiguren (haben strategische Informationen) Umsetzungschampions (Vernetzung operativer Kenntnisse und Zugänge) Vagabunden (BA-Studierende, Trainees,...) mit gesammelten Berechtigungen Lage: Bei aller Digitalisierung und Standardisierung Mitarbeiter sind immer noch die wesentlichen Know-How-Träger im Unternehmen Tipps aus der Praxis: Mitarbeiter wollen mitgenommen werden Dies bedingt eine zielgruppenspezifische Ansprache Ingenieure anders als Verwaltungsangestellte Vertrieb anders als Support 34 I Mittelstand

35 WOMIT fange ich an? 2 Einteilung von Verbrauchern in verschiedene Nutzergruppen die Methode ist übertragbar auf den Unternehmenskontext: Hohe Kompetenz Fatalisten Souveräne Niedrige Motivation Hohe Motivation Unbeteiligte Naive Niedrige Kompetenz 35 I Mittelstand

36 WOMIT fange ich an? 2 Stellen Sie eine angemessene Bewusstseinsbildung und Kompetenzentwicklung sicher Beobachtungen: Zwei wesentliche Entwicklungsaspekte: Bewusstsein/ Aufmerksamkeit/ Motivation Know-How/ technische Kompetenz Beides ist für ein ISMS zwingend erforderlich Awareness: Entwicklung des Bewusstseins Meist in Kampagnen- oder Roadshow-Form Je mehr Interaktion, desto besser IT-Security-Training: Entwicklung des technischen Verständnisses Damit bessere Risiko-Entscheidungen Vorrangig Funktionsweise von Werkzeugen wichtig Klassische Schulung oder auch Online Lage: Um Mitarbeiter als Security-Maßnahme nutzen zu können, müssen diese die richtigen Dinge bemerken und daraufhin die richtigen Dinge tun Empfehlungen: DsiN IT-Fitness-Test DsiN Verhaltensregeln zur Informationssicherheit 36 I Mittelstand

37 WOMIT fange ich an? 3 Regeln Sie die Nutzung von Anwendungen und Systemen Technische Systeme: Keine zusätzlichen Netzwerk-Schnittstellen, da damit neue Angriffspunkte entstehen Keine ungeprüfte Verbindung von Firmen-Endgeräten (Laptops, Smartphones) mit anderen Netzen Kommunikationsplattformen: Keine Verwendung, wenn Rechte an den Inhalten abgetreten werden (z.b. WhatsApp, Facebook etc.) Keine Verwendung, wenn Kommunikation leicht von Dritten abgehört werden kann (z.b. Instant Messaging ohne SSL) Lage: Wenn die Risikokompetenz nicht überall gegeben, muss Nutzung von Anwendungen/ technischen Systemen reguliert werden, etwa: Eigene WLAN-Router Mobile Endgeräte WhatsApp, Chat-Programme Dropbox, Foren Ggf. Formulierung von separaten Richtlinien Daten- und Anwendungssysteme: Keine Verwendung von Cloud-Ablagesystemen, die fremden Geheimdiensten Zugang ermöglichen (müssen) Keine Weitergabe von Zugangsdaten an Kollegen oder Dritte 37 I Mittelstand

38 WOMIT fange ich an? 4 Regeln Sie die Zusammenarbeit mit Partnern und Lieferanten! Bedenken Sie: Partnerschaften sind selten exklusiv dann geht die Innovationskraft verloren Partner stehen auch immer mit der Konkurrenz im Kontakt Analoges gilt für Lieferanten Empfehlungen: Der Zugang von Informationen für Mitarbeiter von Partnern und Lieferanten muss klar geregelt sein: Need-to-Know -Prinzip: auf das Notwendige begrenzt Regeln müssen technisch umgesetzt und regelmäßig geprüft werden, z.b: Externer Zugang muss alle 3 Monate neu beantragt werden incl. aller Berechtigungen Lage: Innovation entsteht durch Verknüpfung von Wissen und Anwendung auf neue Gebiete Dabei spielen gerade für KMU Partner eine wesentliche Rolle Nur mit Kooperationen entstehen neue Ideen, Konzepte, lassen sich (prototypisch) umsetzen und/oder am Markt platzieren Tipps aus der Praxis: Vereinbaren Sie Sicherheitsziele Security Service Level Agreements (SSLA) in den Verträgen mit den Partnern: Verpflichtende Maßnahmen Berichtspflichten, speziell bei Sicherheitsvorfällen Kontrollmöglichkeiten 38 I Mittelstand

39 WOMIT fange ich an? 5 Stellen Sie den störungsfreien Betrieb von IT-Systemen sicher Für KMU sollte in der Regel der Betrieb von IT-Systemen in der Cloud erfolgen Sollte dennoch Bedarf bestehen, IT-Systeme selbst zu betreiben, sind wesentliche Sicherheitsaktivitäten sicherzustellen Bei der Auswahl von Cloud- Anwendungen sollten insbesondere die AGBs des Anbieters geprüft werden Evtl. auf ein Zertifikat achten ( Cloud Security Alliance, ISO 27019) Was man tun kann: Betriebssystem aktuell halten Anwendung aktuell halten Wenn es eine Web-Schnittstelle gibt: regelmäßig Sicherheitstests durchführen (lassen) EigeneWebseiten regelmäßig prüfen auf Freiheit von Schadcode ( Admin-Berechtigungen gesondert schützen Benutzer-Accounts regelmäßig auf Erforderlichkeit prüfen 39 I Mittelstand

40 WOMIT fa nge ich an? 6 Führen Sie IT-Sicherheit in der Produktion ein Industrie 4.0 ist der Wachstumsmotor bis 2020 Standardisierte unternehmensübergreifende Vernetzung von Produktionsanlagen ermöglicht erhebliche Innovations- und Einsparungspotenziale Sicherheit hinkt hinterher: Betriebssysteme können nicht aktualisiert werden Schnittstellen können unautorisiert aufgerufen werden Kommunikation verläuft unverschlüsselt In der Produktion sind die gleichen Prinzipien anzuwenden wie bei klassischer IT > Da gibt es einiges aufzuholen... ITK Untermehmen: Welche Bedeutung hat Industrie 4.0 für Ihr Unternehmen? Wir bieten bereits spezielle Dienstleistungen und Produkte für Industrie 4.0 an. Wir planen spezielle Dienstleistungen und Produkte für Industrie 4.0 zu entwickeln. Wir planen derzeit noch nicht spezielle Dienstleistungen und Produkte für Industrie 4.0 zu entwickeln, können uns aber vorstellen, das in Zukunft zu tun Industrie 4.0 wird kein Thema für uns sein Weiß nicht/ Keine Angabe 0 % 0 % 0 % 4 % 6 % 10 % 13 % 10 % 12 % 23 % % 31 % 26 % 34 % 40 % Statista % 10 % 20 % 30 % 40 % 50 % 60 % 40 I Mittelstand

41 WOMIT fange ich an? 5 Sichern Sie Ihre Daten vor Zugriff - Verschlüsselung einfach gemacht Dokumentenverschlüsselung: (zur sicheren Übermittlung über das Internet): Verwenden Sie Kompressionswerkzeuge mit Verschlüsselungsoption ( ZIP ) Übermitteln Sie das Passwort über anderen Kanal (z.b. SMS) Festplattenverschlüsselung: (zum Schutz der Daten bei Verlust des Laptops): Schalten Sie die Festplattenverschlüsselung im Betriebssystem an Notieren Sie sich den Notfall-Schlüssel (falls Sie das Boot-Passwort vergessen -Verschlüsselung: Kaufen Sie ein S/MIME-Zertifikat Installieren Sie dieses nach Anleitung des Anbieters Signieren Sie alle s Personen mit Zertifikat können mit einem Klick verschlüsselt darauf antworten Verzeichnisverschlüsselung: (zur sicheren Ablage in der Cloud): Verwenden Sie eine Container-Verschlüsselung Synchronisieren Sie den vollständigen Container in die Cloud 41 I Mittelstand

42 WOMIT fange ich an? 6 Fazit für die Geschäftsleitung Ohne Richtlinien keine Durchsetzbarkeit > Leitlinie und weitere Regelungen müssen beschlossen und aktiv bekannt gemacht werden! Mitarbeiter im Mittelpunkt > Die beste Verteidigung sind aktive Mitarbeiter investieren Sie in Motivation ( Awareness ) und Kompetenz ( Training ) Technik muss beherrscht werden! > Bewusste, geregelte Nutzung der Möglichkeiten der Digitalisierung 42 I Mittelstand

43 Wo bekomme ich Unterstützung? 1 Zufriedenheit mit 2 Wie kann man Beratungsangebote optimal nutzen? 3 Informationen online 43 I Mittelstand

44 Wo bekomme ich Unterstützung? 1 Zufriedenheit mit IT-Beratungen Sind Sie mit der Leistung externer IT-Berater zufrieden? (Zufriedenheit deutscher mittelständischer Unternehmen mit ihrer externen IT-Beratung) 70 % 60 % 62 % 50 % 40 % Anteil der Befragten 30 % 20 % 10 % 0 % Ja 4 % Nein 34 % Wir arbeiten bislang nicht mit externen IT-Beratern 44 I Mittelstand

45 Wo bekomme ich Unterstützung? 2 Hilfe holen: Berater und externe Dienstleister Fluch oder Segen? Verschiedene Berater: IHK & DsiN E-Business-Lotsen Wirtschaftsprüfer IT-Systemhäuser Externe Berater haben hohes Fachwissen und Branchen-Know-How......kennen aber die unternehmensinternen Zusammenhänge nicht Zudem geht Wissen oft verloren, wenn sie fertig sind Tipps aus der Praxis: Führen Sie Tandem-Teams ein > Jede externe Expertise muss intern begleitet werden Umsetzungsverantwortung bleibt immer intern Vereinbaren Sie keine Werksverträge, auch wenn es finanziell attraktiver erscheint > U.U. wird an der Qualität gespart Etablieren Sie eine langfristige Partnerschaft > Nutzen Sie den Berater als Teilzeit -Experten Nutzen Sie Plattformen für die geeignete Auswahl des Beraters > z.b. den IT-Sicherheits-Navigator des BMWE 45 I Mittelstand

46 Wo bekomme ich Unterstützung? 3 Informationsquellen it-sicherheit-in-der-wirtschaft.de DsiN Sicher in die Cloud DSIN CloudScout bitkom.org/publikationen/2013/leitfaden/byod/130304_lfbyod.pdf sicher-imnetz.de/sites/default/files/media/dsin_sicherheitsmonitor_2014_web.pdf DsiN-Sicherheits-Index Bitkom-Studie zur Wirtschaftsspionage DsiN Sicherheitsbarometer BSI BürgerCERT initiative-s.de Verschlüsselung einfach gemacht IT-Sicherheits-Navigator 46 I Mittelstand

47 VIELEN DANK! Haben Sie Interesse an einem Workshop? Nehmen Sie mit uns Kontakt auf! Ihre lokalen IHK Deutschland sicher im Netz e.v. Eine Initiative von DsiN Mit Unterstützung von T-Systems Multimedia Solutions Unter der Schirmherrschaft des Unter der Schirmherrschaft des

48 Haben Sie Interesse an einem Workshop? Nehmen Sie mit uns Kontakt auf! Ihre lokalen IHK Deutschland sicher im Netz e.v. Eine Initiative von DsiN VIELEN DANK! Mit Unterstützung von T-Systems Multimedia Solutions Unter der Schirmherrschaft des