Internet, Datennetze und Smartphone

Transkript

1 Internet, Datennetze und Smartphone Damit der Segen nicht zum Fluch wird -Auszug- In Zusammenarbeit mit Dr.-Ing. Bastian Rüther GUT Certifizierungsgesellschaft mbh

2 Weiterentwicklung- Internet of Things (IoT) Zunehmende Vernetzung von Geräten, Sensoren, etc. via IP-Netz PC verschwindet immer mehr und wird durch smarte Geräte" ersetzt Haushaltsgeräte, Unterhaltungselektronik, Warensortimenten, Kraftfahrzeuge, medizinische Geräte, Stromnetze aber auch Maschinen, Produktionseinrichtungen, etc. zu erwartende Anzahl installierter IoT-Geräte nach Sektor Quelle: BI Intelligence Estimates 2

3 Alles schön und gut ABER Technische Entwicklungen machen das Leben leichter und bequemer aber die zunehmende Digitalisierung birgt auch nicht zu unterschätzende Risiken: Abhängigkeit und Datensicherheit Wie lange kommen Sie ohne Smartphone aus? Wie lange kommt Ihr Unternehmen ohne Internet aus? 3

4 Risiken der Vernetzung - Zahlen 255 Mio. Schadprogramme weltweit und Varianten kommen jeden Tag hinzu 60 Es gibt schätzungsweise global agierende Cybercrime- Organisationen Ca. 1 Mio. Computer sind 2015 in Deutschland von Kriminellen gekapert worden 30% der Unternehmen haben 2014 einen IT-Sicherheitsvorfall festgestellt; 1/3 der Fälle wurden absichtlich oder unabsichtlich- durch Mitarbeiter verursacht Quelle: GDV 4

5 Risiken der Vernetzung - Beispiele Der Hochofen eines deutschen Stahlwerks wurde manipuliert und ließ sich nicht mehr geregelt herunterfahren 2014 In Südkorea wurde ein Atomkraftwerk gehackt und Daten sowie Informationen entwendet Bei beiden Vorfällen entstand Betreiber vor allem materieller Schaden Was aber geschieht, wenn Hacker oder sonstige Kriminelle auf Systeme zugreifen, um gezielt Schäden (z.b. Umweltschäden) zu provozieren? Hier wird deutlich: Es geht nicht mehr nur um traditionelle Industrieprodukte sondern auch um kritische Infrastruktur! 5

6 Risiken der Vernetzung - Brandgefährlich Berechnung zu Kosten, die bei Ausfall der IT entstehen; am Beispiel von zwei unterschiedlichen Branchen Ausfalldauer Einzelhandel Wertpapierhandel 3,5 Stunden 1,5 Tage 8 Tage Dollar ( ) Dollar ( ) Dollar ( ) Dollar ( ) Dollar ( ) Dollar ( ) 14 Tage unkalkulierbar unkalkulierbar Quelle: BSI 6

7 Risiken der Vernetzung - Beispiele 2006: AOL gibt 20 Millionen Daten durch einen technischen Fehler frei - dazu gehörten vertrauliche Daten von Nutzern. 2009: 134 Millionen Kundendaten stahlen Cyberkriminelle mit Hilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems. 2013: Bei einem Cyberangriff auf Adobe wurden ca. 38 Mio. Datensätze von Kunden gestohlen - darunter die Kreditkarten-informationen von knapp 3 Mio. registrierten Kunden. Die Hacker wurden nicht gefasst. 2016: Bei einem Cyberangriff wurden Konten von knapp 1 Mrd. Yahoo-Usern kompromittiert. Dabei wurden Namen, -Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. Jetzt: auf Android-Smartphones wurden Google-Konten von mehr als einer Million Nutzern mit einer Malware namens Gooligan durch einen Hackerangriff infiziert. Quelle: Medienberichte 7

8 Informationssicherheits-MS (ISMS) nach ISO Systemnorm erstmals am 15. Oktober 2005 als internat. Standard bekannt gemacht im März 2015 finale Veröffentlichung der Überarbeitung DIN ISO/IEC 27001:2015 in deutscher Sprache erstmals mit High Level Structure 8

9 Entwicklung der ISO / IEC Jahre 9

10 Informationssicherheits-MS (ISMS) nach ISO Was soll die Norm? Organisation in die Lage versetzen, Daten und Informationen von Kunden und anderen Parteien wirksam zu schützen deren Rechte und Interessen zu wahren den diesbezüglichen Anforderungen gerecht zu werden 10

11 Informationssicherheits-MS (ISMS) nach ISO Was kann die Norm? Kontinuierliche Informationssicherheit gewährleisten Risiko im Unternehmen minimieren Datensicherheit erhöhen Informationssicherheit im Unternehmensalltag implementieren Externen Anforderungen gerecht werden Besonders für Unternehmen, in denen sensible Daten und Informationen von Personen oder Unternehmen verarbeitet werden Als strategisches Werkzeug jedoch in allen Unternehmen einsetzbar, die IT-Technologie zur Verarbeitung von Daten nutzen 11

12 IT-Sicherheitsgesetz (IT-SiG) 2015 Betreiber kritischer Infrastrukturen sind zur Einführung von technischen und organisatorischen Mindestmaßnahmen, sowie zur Meldung von IT-Sicherheitsvorfällen verpflichtet. kritischen Infrastrukturen = Einrichtungen aus den Sektoren: Energie Gesundheit Wasser Ernährung Informationstechnik und Finanz- und Telekommunikation Versicherungswesen Transport und Verkehr 12

13 IT-Sicherheitsgesetz (IT-SiG) 2015 Zur Erfüllung können z.b. internat. Normen und Standards herangezogen werden. ISO beschreibt Voraussetzungen für Informationssicherheits- Managementsystem Unternehmen, die nach diesem Standard zertifiziert sind, erfüllen somit gesetzliche Anforderungen 13

14 IT-Sicherheitsgesetz (IT-SiG) 2015 Betreiber von Strom- und Gasnetzen sind bereits jetzt verpflichtet, die Anforderungen des IT- Sicherheitskataloges der Bundesnetzagentur gem. 11 Absatz1a Energiewirtschaftsgesetz zu erfüllen und dies durch Vorlage eines Zertifikats nachzuweisen. Dieser fordert explizit den Nachweis über eine Zertifizierung nach ISO bis zum sowie die Umsetzung der im Sicherheitskatalog aufgeführten Anforderungen. Für Wasserversorger werden die Anforderungen im nächsten Jahr festgelegt. Es wird jedoch ebenfalls die Verpflichtung zur Implementierung eines ISMS nach ISO/IEC erwartet. 14

15 IT-Sicherheitskatalog gem. 11 Absatz 1a EnWG Veröffentlicht durch Bundesnetzagentur mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikationsund elektronischen Datenverarbeitungssysteme Ziele: Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten Sicherstellung der Integrität der verarbeiteten Informationen und Systeme Gewährleistung der Vertraulichkeit verarbeiteter Informationen. 15

16 Haben Sie noch Fragen? Wenden Sie sich gern an die Mitarbeiter der GUTcert Ihre Ansprechpartnerin: Sindy Prommnitz Tel: GUT Certifizierungsgesellschaft mbh 16