Informations Sicherheit: Herausforderungen und Erfahrungen aus der Praxis

Transkript

1 Informations Sicherheit: Herausforderungen und Erfahrungen aus der Praxis Erwin Recktenwald Dipl.-Ing., Dipl.-Wirtsch. Ing. Management Consulting 29. September 2014

2 ÜBERSICHT 1 Markt und Management 2 Sicherheitsrisiken und Schutzbedarf 3 Sicherheit und Notfallplanung Diskussion Copyright Erwin Recktenwald 2

3 Markt und Management

4 WELT DER SPENDER IM UMBRUCH TRENDS IM SPENDENMARKT INTENSIVER WETTBEWERB UM SPENDER NEUE SPENDER GEWINNEN TRANSPARANZ UND DIREKTE ERGEBNISSE FÜR SPENDER NUTZUNG SOCIAL MEDIA UM SPENDEN COMMUNITIES ZU BILDEN NUTZUNG VON BUSINESS INTELLIGENCE ZUR GEZIELTEN SPENDERANSPRACHE ZUNAHME VON CORPORATE PARTNERSHIPS IM SPENDENMARKT LOKALE UND SPEZIFISCHE INITIATIVEN WACHSEN Copyright Erwin Recktenwald 4

5 NEUE RISIKEN IN GLOBALEN MÄRKTEN INFORMATION SICHERHEITS RISIKEN STEIGEN DURCH DIGITALISIERUNG KONTINUIERLICHE ZUNAHME VON CYBER ATTACKEN GLOBAL - NAHEZU JEDES UNTERNEHMEN IST BETROFFEN DIEBSTAHL / MANIPULATION SENSIBLER SPENDER-UND KUNDENDATEN IN GROßEM STILE GEZIELTE TECHNOLOGISCHE ANGRIFFE AUF DIE HAUSEIGENE IT SICHERHEITSLAGE PRIMÄR DURCH DAS VERHALTEN DER MENSCHEN BESTIMMT AUFNAHME NEUER GESCHÄFTSPARTNER MIT SCHWACHSTELLEN IM INFORMATIONSSCHUTZ ERHEBLICHE REPUTATIONSSCHÄDEN DURCH KNOW-HOW/INFORMATIONSVERLUSTE Copyright Erwin Recktenwald 5

6 ZUNEHMENDE VERNETZUNG DER MENSCH IM KOMPLEXEN ZUSAMMENSPIEL NEUER WERTSCHÖPFUNGSKETTEN UND DIGITALISIERUNG Komplexe Stakeholder-Matrix Moderne Technologie Business Informationen Interaktion der Menschen Copyright Erwin Recktenwald 6

7 SICHERHEITSVORFÄLLE EIN GROßTEIL DER ANGRIFFE FINDET AUF LOKALER EBENE STATT MENSCH UND TECHNOLOGIE SIND GLEICHERMAßEN GEFORDERT IT-Sicherheitsvorfälle, die "vor Ort" verursacht wurden (z.b. gezielter Datenklau, Einschleusen eines Sonstige Vorfälle; 12% Angriffe über das Internet auf unsere IT-Systeme (z.b. Online-Einbruch in Source: STATISTA, BITKOM, Deutschland; ARIS; August 2014; Befragte; Unternehmen ab 20 Mitarbeitern Copyright Erwin Recktenwald 7

8 HERKUNFT DER ANGRIFFE WETTBEWERBER, MITARBEITER, KUNDEN, LIEFERANTEN IM IN- WIE IM AUSLAND KÖNNEN BETEILIGT SEIN 0% 20% 40% 60% Eigene Mitarbeiter; 24% Konkurrierendes ausländisches Unternehmen; 45% 80% 100% Ehemalige Mitarbeiter; 21% Inländische Kunden oder Lieferanten; 14% Ausländische Kunden oder Lieferanten; 14% Source: STATISTA, Deutschland; Valid Research; Juli 2013; 400 Befragte; Führungskräfte deutscher Unternehmen Copyright Erwin Recktenwald 8

9 MOTIVATION HINTER ZUNEHMEND GEZIELTEN ANGRIFFEN GENERIERUNG WETTBEWERBSVORTEIL UND/ODER FINANZIELLER VORTEIL 0% 20% 40% 60% 80% 100% Wettbewerbsvorteil; 48% Finanzieller Vorteil; 41% Unwissenheit; 7% Reputationsschädigung; 3% Source: STATISTA, Deutschland; Valid Research; Juli 2013; 400 Befragte; Führungskräfte deutscher Unternehmen, die bereits von Datenklau und Spionage geschädigt wurden Copyright Erwin Recktenwald 9

10 AUFDECKUNG DER SICHERHEITVORFÄLLE DIE ÜBERWIEGENDEN FÄLLE WERDEN ZUFÄLLIG ENTDECKT, IMMERHIN EIN VIERTEL DURCH INTERNE KONTROLLEN MEISTENS DEUTLICH ZU SPÄT 0% 20% 40% 60% Zufall; 33% Internes Kontrollsystem; 24% Strafverfolgungs- /Aufsichtsbehörden; 14% Interne Routineprüfungen; 14% Source: STATISTA, Deutschland; Valid Research; Juli 2013; 400 Befragte; Führungskräfte deutscher Unternehmen die bereits von Datenklau und Spionage geschädigt wurden Copyright Erwin Recktenwald 10

11 MANGEMENT - VERANTWORTUNG GESCHÄFT UND GOVERNANCE UNTER EINEN HUT BRINGEN Herausforderungen Aufsichtsgremien / Pflichten / Haftung Digitalisierung der Wirtschaft (Industrie 4.0, Big Data, etc.) Innovation und unternehmerische Flexibilität, um Geschäftserfolg nachhaltig zu sichern Unternehmenswerte schützen und Schaden vermeiden/begrenzen als wesentlicher Beitrag zur Kontinuität des Geschäfts Image und Reputation des Unternehmens aufbauen/nachhaltig sichern Sicherstellung gesetzeskonformes und ordnungsgemäßes Handeln (Compliance) Beachtung Ordnungspolitik Erfüllung Kontroll-/Aufsichtspflichten Gewährung Nachvollziehbarkeit von Entscheidungen Sicherstellung (Dokumentation) Transparenz/Publizität Copyright Erwin Recktenwald 11

12 Sicherheitsrisiken und Schutzbedarf

13 AKTUELLE BEDROHUNGEN ANGREIFER GEHEN ZIELGERICHTET UND PROFESSIONELL VOR Technische Aspekte Pers./Organ. Aspekte Schadprogramme Advanced Persistent Threats Phishing Attacken Spam Hacking DDoS Angriffe Diebstahl mobiler Geräte Wettbewerbsvorteil Produkt Know-How Attacken Beweggründe Finanzbetrug Reputationsschädigung Wirtschaftsspionage Wirtschaftskriminalität Social Engineering Local Leaks Erpressung Copyright Erwin Recktenwald 13

14 VERBREITUNG DER RISIKEN ALLE UNTERNEHMEN STEHEN IM FOKUS Angriffe auf Unternehmen Grundsätzlich sind Unternehmen jeder Größe und alle Branchen von Angriffen auf vertrauliche Informationen bedroht. Über 80% der größeren Unternehmen waren Cyber Attacken ausgesetzt. Kleinere und mittlere Unternehmen stehen ebenfalls im Visier der Wirtschafts-Kriminellen Copyright Erwin Recktenwald 14

15 RISIKEN UND MENSCHLICHES VERHALTEN DAS VERHALTEN DER MENSCHEN STEHT IM MITTELPUNKT MENSCHEN IM SYSTEM Das Verhalten der Menschen stellt die größte Schwachstelle dar Unachtsamkeit u. Nachlässigkeit Fahrlässigkeit u. kriminelles Handeln Personengruppen sind vielfältig vertreten Mitarbeiter und Mitarbeitende, Lieferanten und Partner, Konkurrenten im In- und Ausland Drei ausgewählte Praxisbeispiele Dienstleister und Verantwortung Mensch und emotionale Dispositionen Management und Awareness Copyright Erwin Recktenwald 15

16 BEISPIEL 1: ZUSAMMENARBEIT MIT DIENSTLEISTERN AUFTRAGGEBER TRÄGT DIE GESAMTVERANTWORTUNG Grundsatzaspekte Informationen/Daten sind wichtige Wirtschaftsgüter, die einen besonderen Schutz erfordern Auftraggeber sind für störungsfreien Geschäftsablauf verantwortlich Schadenshaftung ggü. Kunden Wichtige Massnahmen: Auswahl Dienstleister auf Basis eines ecks Ch der Vertrauenswürdigkeit und der Leistungsf ähigkeit Festlegung Qualitäts- und Sicherheits - Levels (SLA s) Verantwortung Sicherheit und Compliance Regelmäßiger Info - Austausch Festlegung Vereinbarungen zu Datenschutz und Sicherheit Steuerung, Aufsicht und Kontrolle der DL: Checks/Audits Sichere Datenlöschung nach Auftragserledigung Hinwei s: Für Einhaltung gesetzlicher Bestimmungen/Compliance der ist Auftraggeber verantwortlich Copyright Erwin Recktenwald 16

17 BEISPIEL 2: SCHWACHSTELLE MENSCH EMOTIONALITÄT BESTIMMT DAS VERHALTEN Loyal Missbrauch Verhalten Mitarbeitende Die überwiegende Mehrheit von vertraulichen Informationen wird Dritten durch Unachtsamkeit oder Nachlässigkeit eigener Mitarbeiter bekannt s, Präsentationen Soziale Kontakte Profilierung/Eitelkeiten Vergessene Unterlagen Nur wenige Informationen werden aktiv beschafft; diese sind dann meistens sehr kritisch und beinhalten das höchste Schadenspotential ca. 90% offene Beschaffung ca. 10% geheime Aktivitäten Copyright Erwin Recktenwald 17

18 BEISPIEL 3: WIRTSCHAFTSKRIMINALITÄT UND -SPIONAGE MANAGEMENT: ANGRIFFE UND SCHÄDEN WERDEN UNTERSCHÄTZT Offene Beschaffung Informationsbeschaffung Geheime Aktivitäten Auswertung Unternehmens Infos Eindringen in Info - Systeme Publikationen/Präsentationen Hackerangriffe Überwachung der Kommunikation Pressemitteilungen Bürokommunikation Internet / Social Networks Telefon Besuch von Veranstaltungen Social Networks/Plattformen Messen, Kongresse Workshops, Seminare Teilnahme an Projekten Industrie-/ Wissenschaftsprojekte Abschöpfung aus Gesprächen Restaurants/Lounges Verkehrsmittel Social Engineering: Betrüger nutzen gezielt menschliche Eigenschaften und Schwächen aus, um vertrauliche Informationen abzugreifen. Persönliches Umfeld ausspionieren Falsche Identitäten vorgeben Vertrauenswürdige Quelle vortäuschen Copyright Erwin Recktenwald 18

19 Sicherheit und Notfallplanung

20 SICHERHEITS- UND NOTFALLPLANUNG DIE IMPERATIVE FÜR DYNAMISCHE UND EFFIZIENTE SICHERHEIT Mindshift hin zu Detection realisieren und vernetztes Vorgehen aus Mensch-Organisation-Technik etablieren Kritikalität von Businessinformationen aktiv managen Technische Aspekte und erreichte Sicherheitsniveaus im Management regelmäßig mit Businessauswirkung darstellen Finanz- und Reputationsrisiken im Schadensfall proaktiv limitieren Dynamisches Sicherheitsportfolio entlang der Kern-Geschäftsvorfalle etablieren Notfallpläne erarbeiten und regelmäßig üben Sicherheit im Unternehmen leben und vorleben Copyright Erwin Recktenwald 20

21 INTEGRATIVES SICHERHEITS - MANAGEMENT SICHERHEIT ERFORDERT EINEN VERNETZTEN ANSATZ Mensch Technik Prozesse Verhalten Mitarbeitende Mitarbeiter Consultant/Contractor Lieferanten Service Kräfte Netze und Systeme Techn. Infrastruktur Büro - Kommunikation Datenverarbeitung Zutritt Liegenschaften Arbeitsabläufe Kunden - Admin. Partner - Kooperation Auftragsbearbeitung Akquisition Geschäfts- Analyse Geschäfts - Anforderungen an die Sicherheit Copyright Erwin Recktenwald 21

22 SCHUTZBEDARF KLASSIFIZIERUNG VON DATEN UND FESTLEGUNG KRITIKALITÄT KRITIKALITÄTSSTUFEN Geschäfts - Objekte Organ. Maßnahmen Kritischer Schutzbedarf Essentielle Angebote Merger & Acquisition Produktentwicklung Projekt mit Steering Board Non Disclosure Sicherheitsüberprüfungen Erweiterter Schutzbedarf Kunden- und Vertragsdaten Strategie/Geschäftsmodelle Preise und Konditionen Definierter Tln Kreis Prozess Monitoring Regelmäßige Audits Basis Schutzbedarf Interne Kommunikation Allg. Geschäftsverkehr Präsentationen MA Schulungen Awareness Kampagnen Verschluss Dokumente Risiko - Landkarte Identifizierung der Risiken und Festlegung der Klassifizierung ist primäre Leitungsaufgabe Copyright Erwin Recktenwald 22

23 GESCHÄFTSMODELL INFORMATIONSSICHERHEIT TECHNISCHER INFORMATIONSFLUSS MUSS TRANSPARENT SEIN Businessorientiertes Modell Sicherheitsgrundsatz Die Sicherheit von Daten erfordert einen klar und eindeutig definierten Rahmen von organisatorischen, personellen, prozessualen u. techn. Regelungen u. Vorgaben Wichtige Maßnahme Die Erstellung einer Datenlandkarte, die Datenverarbeitung zw. Systemen u. Applikationen aufzeigt, ist eine Grundvoraussetzung zur Gestaltung eines Sicherheitssystems Copyright Erwin Recktenwald 23

24 SICHERHEITS NIVEAU DYNAMISCH MANAGEN EREIGNISSE BESTIMMEN SICHERHEITSMASSNAHMEN Niveau Angebote Produktentwicklung Kooperationen Zeit Hohes Niveau VPN/DMZ Verschlüsselung Secure Data Rooms Personelle Sec. Basis Niveau Virenschutz Firewalls Identity -Mgmt Physikalische Security Copyright Erwin Recktenwald 24

25 NOTFALLPLANUNG UND BASISSCHUTZ GUTE PLANUNG UND VORBEREITUNG ERGIBT HANDLUNGSSICHERHEIT Headline Xxx Xxx Notfall - Massnahmen Potentielle Notfall - Szenarien ausarbeiten Notfall Team auswählen und trainieren Mandat, Rollen, Verantwortungen Kontakte für Herbeiruf/Bereitschaft Kommunikations - Konzept vorbereiten Stellungnahme des Unternehmens Zusammenarbeit Presse, Behörden Voraussetzung Detaillierte Kenntnis der Situation/Lage Basis - Schutz Virenscanner Firewall - Funktionalität Regelmäßige Software Updates Schnelles Patch Management Gewissenhafte Konfiguration Starke Passwörter Redundanzen für IT- Sys., Strom, Klima Backups für gespeicherte Daten Zutrittskontrolle von Gebäuden/Räumen Copyright Erwin Recktenwald 25

26 SICHERHEITSRAHMEN EFFIZIENTE SICHERHEIT ERFORDERT DAS LEBEN VON REGELN/VORGABEN Benutzer- und Rechte Mgmt Sicherheits - Organisation Sicherheits - Richtlinien Audits und Assessments Awareness - Kampagnen Datenanalyse Monitoring und Logging Penetration - Tests Verschlüsselung Authentifikation Sicherheits - Regelungen und Massnahmen Organisatorische Maßnahmen Technische Maßnahmen Copyright Erwin Recktenwald 26

27 Zusammenfassung

28 ZUSAMMENFASSUNG SICHERE GESTALTUNG DER GESCHÄFTSABLÄUFE Wichtige Erkenntnisse aus der Praxis Ausgangspunkt jeder Sicherheitsanalyse ist die Bewertung der Geschäftssituation und der Geschäftsentwicklung und die hieraus abzuleitenden Geschäftsanforderungen an die Sicherheit. Nur ein ganzheitlicher, integrativer Sicherheitsansatz, der die Bereiche Personal, Organisation/Prozesse und Technik vernetzt betrachtet, sichert eine optimale Sicherheit. Informationen/Daten müssen klassifiziert und die Kritikalität festgelegt werden, damit auf dieser Basis der notwendige Schutzbedarf der Geschäftsobjekte bestimmt werden kann Auf dieser Basis kann ein Sicherheits Management System gestaltet werden, das die Wirtschaftlichkeit, Wirksamkeit und Nachhaltigkeit der Sicherheits - Massnahmen gewährleistet Copyright Erwin Recktenwald 28

29 Vielen Dank für ihre Aufmerksamkeit Gerne beantworte ich ihre Fragen!

30 Kontakt Erwin Recktenwald Dipl.-Ing., Dipl.-Wirtsch. Ing. Management Consulting Mobile: