IT-Sicherheit für KMUs

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit für KMUs"

Hedwig Schuler
vor 6 Jahren
Abrufe

1 Quelle: fotolia Schutzschilde aufbauen und aufrechterhalten EDV-Sachverstand.nrw IHK Duisburg

2 Ihr Referent Inhaber Ing.-Büro DaTeCom IT-Sicherheitsbeauftragter Cyber-Security-Consultant Datenschutzbeauftragter EDV-Gutachter EDV-Sachverstand.nrw IHK Duisburg

3 Agenda Einführung Aktuelle Bedrohungen Wer sind die Täter Was ist ihre Motivation? IT-Sicherheit Was ist das überhaupt? Schäden durch mangelhafte IT-Sicherheit IT-Sicherheit in der Cloud Wie erreicht man IT-Sicherheit? Praktische Umsetzung Zusammenfassung EDV-Sachverstand.nrw IHK Duisburg

4 Aktuelle Bedrohungen EDV-Sachverstand.nrw IHK Duisburg

5 Aktuelle Bedrohungen Verschlüsselungs-Trojaner (Ransomware) Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg

6 Aktuelle Bedrohungen Angriffe auf Web-Seiten EDV-Sachverstand.nrw IHK Duisburg

7 Aktuelle Bedrohungen Industrie-Spionage Quelle: Hans-Jörg Walter EDV-Sachverstand.nrw IHK Duisburg

8 Aktuelle Bedrohungen Verlust / Diebstahl von IT-Geräten In 28 Prozent der befragten Unternehmen sind in den letzten zwei Jahren zum Beispiel Computer, Smartphones oder Tablets gestohlen worden" Quelle: Studie des bitkom aus 2015 und was ist mit den Geräten, die im Zug, Taxi etc liegen gelassen wurden? Rund Handys bleiben jährlich in Zügen und an Bahnhöfen liegen Quelle: Zeitschrift Impulse 07/2015 EDV-Sachverstand.nrw IHK Duisburg

9 Aktuelle Bedrohungen Ausspähen von Zugangsdaten (Phishing) Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg

10 Aktuelle Bedrohungen Diebstahl von Kundendaten Quelle: datenschutzticker.de EDV-Sachverstand.nrw IHK Duisburg

11 Aktuelle Bedrohungen Gezielte Angriffe in sozialen Netzwerken (facebook & co) Quelle: fotolia Ich habe Kontakte! und alle sind meine Freunde EDV-Sachverstand.nrw IHK Duisburg

12 Wer sind die Täter? EDV-Sachverstand.nrw IHK Duisburg

13 und was ist ihre Motivation? Rache Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg

14 und was ist ihre Motivation? schnöder Mammon Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg

15 und was ist ihre Motivation? die dunkle Seite der Macht Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg

16 Was ist überhaupt IT-Sicherheit? Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik): IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. EDV-Sachverstand.nrw IHK Duisburg

17 Schäden durch mangelhafte IT-Sicherheit direkter finanzieller Schaden Umsatz-/Gewinneinbruch Produktionsausfall Schadenersatzforderungen von Geschäftspartnern Imageverlust Existenzbedrohung Ausfall kritischer Infrastrukturen => KRITIS => IT-Sicherheitsgesetz (2016) EDV-Sachverstand.nrw IHK Duisburg

18 Was gehört zur IT-Sicherheit? Hardware: Firewall, USV, Redundanz (Speicher, Cluster, Internet ) Software: Virenschutz, Backup, Verschlüsselung, VPN, SSL, https aktuelle Progr.- / OS-Versionen (XP!), Updates/Patches Reicht das? NEIN! EDV-Sachverstand.nrw IHK Duisburg

19 Was gehört noch zur IT-Sicherheit? Organisatorische Maßnahmen (Auszug!): Zugriffsrechte, Passwort-Wechsel Fernwartung, Fremdfirmen Datenträger-Handling (USB-Sticks!), Datenvernichtung! Schulung und Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Dokumentationen Überblick EDV-Sachverstand.nrw IHK Duisburg

20 Was gehört zur IT-Sicherheit? Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg

21 IT-Sicherheit in der Cloud Cloud = (teilweises) Auslagern von Zuständigkeiten Bereich Zutrittskontrolle Stromversorgung Redundanz Virenschutz Backup aktuelle Software Verschlüsselung Zuständigkeit Cloud Cloud Cloud (+ Kunde) Cloud + Kunde Cloud Cloud + Kunde Cloud + Kunde EDV-Sachverstand.nrw IHK Duisburg

22 IT-Sicherheit in der Cloud Bereich Zuständigkeit Zugriffsrechte, Passwort-Wechsel Fernwartung, Zugriff durch Fremdfirmen Datenträger-Handling (USB-Sticks!) Datenvernichtung! Schulung/Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Doku Überblick Kunde Cloud + Kunde Kunde Kunde Kunde Cloud + Kunde Cloud + Kunde Kunde Kunde EDV-Sachverstand.nrw IHK Duisburg

23 Verantwortung für die IT-Sicherheit Die Verantwortung liegt immer bei Ihnen! Wer haftet, wenn etwas schief geht? Der Vorstand bzw. die Geschäftsführung! Daher gilt: IT-Sicherheit ist Chef-Sache! EDV-Sachverstand.nrw IHK Duisburg

24 Merksätze der IT-Sicherheit IT-Sicherheit entsteht nicht von allein! IT-Sicherheit kostet Geld! aber man kann sie nicht kaufen! 100%-ige Sicherheit gibt es nicht! EDV-Sachverstand.nrw IHK Duisburg

25 Ist IT-Sicherheit statisch? Die Bedrohungen verändern sich! Das Unternehmen verändern sich! Neue Mitarbeiter, Kunden, Lieferanten, Technologien Ihre Geschäftsprozesse verändern sich! Neue Produkte, Verfahren, Vertriebswege Maßnahmen müssen daher regelmäßig angepasst werden IT-Sicherheit ist kein Zustand sondern ein Prozess! EDV-Sachverstand.nrw IHK Duisburg

26 Schritte im Prozess der IT-Sicherheit Initiierung Analyse Dokumentation Planung Umsetzung Überwachung Anpassung Was benötigt man dafür? EDV-Sachverstand.nrw IHK Duisburg

Unternehmenszielen und die Umsetzung der Unternehmenspolitik.

27 Informations-Sicherheits-Management-System (ISMS) Management-System: Systematische, geplante Herangehensweise an das Erreichen von Unternehmenszielen und die Umsetzung der Unternehmenspolitik. PDCA Quelle: fotolia Plan Do Check Act EDV-Sachverstand.nrw IHK Duisburg

28 Überblick über ISM-Systeme (Auszug) BSI Grundschutz ursprünglich entwickelt vom BSI für deutsche Behörden ISO/IEC International anerkannte Norm für Organisationen aller Größen ISIS12 InformationsSIcherheitsmanagementSystem in 12 Schritten entwickelt in Bayern für KMUs VdS 3473 Entwickelt vom VdS (Verband deutscher Sachversicherer) Fokus auf KMUs EDV-Sachverstand.nrw IHK Duisburg

29 Aufwand für die Implementierung EDV-Sachverstand.nrw IHK Duisburg

30 Gemeinsamkeiten aller ISM-Systeme Audits (intern oder extern) Zertifizierung (nur durch externe Auditoren) Fortlaufende Überwachung (intern oder extern) Re-Zertifizierung alle 2-5 Jahre (nur durch externe Auditoren) EDV-Sachverstand.nrw IHK Duisburg

31 Ziel der IT-Sicherheit Ein angemessenes Sicherheitsniveau Was ist denn angemessen? Kommt d rauf an. kleiner Web-Shop (Nebenerwerb) Rechtsanwaltskanzlei mit E-Akte Steuerberater mit ständiger Internet-Anbindung Medizinisches Labor als Dienstleister für 500 Arztpraxen Handelsplattform amazon EDV-Sachverstand.nrw IHK Duisburg

32 Vorgehensweise (am Beispiel VdS 3473) Quelle: VdS Schadensverhütung GmbH EDV-Sachverstand.nrw IHK Duisburg

33 Umsetzung der VdS 3473 (6-Phasen-Modell) Phase 1 - Start Phase 2 - Vorbereitungen Phase 3 - Grundanforderungen Phase 4 - Basisschutz Phase 5 - Kritische Teile der IT-Infrastruktur Phase 6 - Überführung in den Betrieb EDV-Sachverstand.nrw IHK Duisburg

34 Zusammenfassung Die Bedrohungen im IT-Bereich sind vielfältig Alle Unternehmensgrößen sind betroffen Es gibt unterschiedliche Tätergruppen und Motivationen Schäden können existenzbedrohend sein IT-Sicherheit ist primär eine organisatorische Aufgabe IT-Sicherheit ist Chefsache! Cloud-Nutzung löst keine Sicherheits-Probleme IT-Sicherheit ist kein Zustand sondern ein Prozess! ISM-Systeme helfen bei der Umsetzung EDV-Sachverstand.nrw IHK Duisburg

35 Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen? Kontaktdaten: Telefon / EDV-Sachverstand.nrw IHK Duisburg

Ähnliche Dokumente

VdS 3473 Informationssicherheit für KMU

T.I.S.P. Community Meeting Frankfurt a.m., 10. - 11.11.2016 VdS 3473 Informationssicherheit für KMU Michael Wiesner Michael Wiesner GmbH Michael Wiesner Informationssicherheit seit 1994 Berater, Auditor,