Bedrohungslagen und Handlungsfelder in der Informationssicherheit

Transkript

1 Bedrohungslagen und Handlungsfelder in der Informationssicherheit 48. Landrätetagung / Sascha Kuhrau Rothenburg ob der Tauber Sascha Kuhrau 10 / 2016 Seite 1 Vorstellung Sascha Kuhrau Inhaber a.s.k. Datenschutz Öffentlicher und nicht-öffentlicher Bereich Beratung und Unterstützung bundesweit Datenschutz Informationssicherheit ISMS / Zertifizierungen Externer Datenschutzbeauftragter Trainer der BVS (Informationssicherheit / IT- Sicherheit / Datenschutz) Zertifizierter Informationssicherheitsbeauftragter (OTH Regensburg) Zertifizierter ISIS12 Berater und Lizenznehmer Sascha Kuhrau 10 / 2016 Seite 2 1

2 Locky legt Bayerns Computer lahm Sascha Kuhrau 10 / 2016 Seite 3 Totschläger Darum kümmert sich bei uns die IT! Ist doch noch nie was passiert! Wir haben keine schützenswerten Daten! Wir haben keine interessanten Daten! Sascha Kuhrau 10 / 2016 Seite 4 2

3 Widersprüchlich 61% der IT-Verantwortlichen räumen dem Schutz wichtiger Daten eine hohe oder sehr hohe Priorität ein. Aber nur 38% der Endnutzer halten diesen Schutz für wichtig oder sehr wichtig Folge: Datenpannen aufgrund von Unkenntnis, Fahrlässigkeit und Desinteresse von Mitarbeitern (60%) Sascha Kuhrau 10 / 2016 Seite 5 IT-Sicherheit ist nicht Informationssicherheit Informationssicherheit umfasst den Schutz von Informationen und Informationsressourcen vor Zerstörung Enthüllung Modifizierung Missbrauch sowie die Sicherstellung der Wiederherstellbarkeit, wenn sich Zerstörung nicht vermeiden lässt. Der Begriff IT-Sicherheit umfasst eine Teilmenge von Informationssicherheit, konzentriert auf den Schutz von Informationen, die durch Informationstechnologie (IT) verarbeitet oder darauf gespeichert werden. Sascha Kuhrau 10 / 2016 Seite 6 3

4 Informationssicherheit = Datensicherheit = Sicherheit von Prozessen / Abläufen Datenschutz IT-Sicherheit Teilmengen Datenschutz Schutz personenbezogener Daten IT-Sicherheit - Technikbezogen Sascha Kuhrau 10 / 2016 Seite 7 Motivation GMV oder die Frage Ist halt ein Muss Wollen Sie das nächste Dettelbach oder Fraunhofer sein? Art. 7 BayDSG (1993) Art. 8 BayEGovG (2015) Sascha Kuhrau 10 / 2016 Seite 8 4

5 Art. 8 BayEGovG Informationssicherheit und Datenschutz nicht IT-Sicherheit und Datenschutz Technische und organisatorische Maßnahmen (Art. 7 BayDSG) Aber auch Haustechnik etc. ist keine IT-Sicherheit! Achtung, Achtung, allerspätestens hier verlassen Sie die IT-Sicherheit! Sascha Kuhrau 10 / 2016 Seite 9 ISMS versus oder gleich Informationssicherheitskonzept? Der Name macht keinen Unterschied Wichtig: Fokus auf langfristig / dauerhaft > keine einmalige Sache PDCA Kreislauf (Plan Do Check Act) Sascha Kuhrau 10 / 2016 Seite 10 5

6 Informationssicherheit in kommunalen Verwaltungen? 2016 a.s.k. Datenschutz Bedrohungslage und Handlungsfelder Inform ationssicherheit Sascha Kuhrau 10 / 2016 Seite 11 Allgemeine Risiken Einfach mal so machen Nicht-strategisches Vorgehen Die IT wird s schon richten Wie groß ist Ihre IT? Welches Budget hat diese? Woher weiß die IT, was alles in der Informationssicherheit (als Obermenge der IT-Sicherheit) zu leisten ist? Qualifikation? Auswahl einer unpassenden Systematik Mitarbeiterzahl Außenstellen Kritikalität Bedrohungslage Falsche Motivation Stichwort Fördermittel 2016 a.s.k. Datenschutz Bedrohungslage und Handlungsfelder Inform ationssicherheit Sascha Kuhrau 10 / 2016 Seite 12 6

7 Risiko zu Beginn Etwas tun, nur weil es man es tun muss, ist die schlechteste Motivation überhaupt Sascha Kuhrau 10 / 2016 Seite 13 Risiken im Verlauf Fehlende / Unzureichende Dienstanweisung Informationssicherheit Fehlende Zuständigkeiten z.b. Informationssicherheitsbeauftragter oder Pro Forma bestellte Funktionen (oft Datenschutzbeauftragter) Fehlende Mitarbeiterschulung und Sensibilisierung Fehlende Dokumentation Fehlende Kommunikation und... und... und... Sascha Kuhrau 10 / 2016 Seite 14 7

8 2 Tipps aus der Praxis Sichere Alternative zu Whatsapp Messenger LkT-Forum Geschlossenes System Für Landrätinnen und Landräte bzw. Mitarbeiter der Landratsämter Ende-zu-Ende-Verschlüsselung Freischaltung über Herrn Klaus Geiger Awareness schaffen mit Wolfi Awareness Kampagne Stadt Oldenburg Ziele: Mitarbeiter nachhaltig schulen und dafür Sorge tragen, dass in der Organisation eine Sicherheitskultur gelebt wird 12 Themen 12 Monate 1 Jahr Kosten: Beschäftigte, 1,25 Euro pro Mitarbeiter Sascha Kuhrau 10 / 2016 Seite 15 Es wird teuer Kosten einer Datenpanne pro betroffenem Datensatz Öffentlicher Sektor 93 Euro Nicht-öffentliche Stelle 151 Euro Stand Sascha Kuhrau 10 / 2016 Seite 16 8

9 Fragestellung? Feststellung! Es geht nicht mehr um das OB Nur noch um das WANN Sascha Kuhrau 10 / 2016 Seite 17 Risiko Untätigkeit Rechtsverstoß mit allen möglichen Konsequenzen Risiko des Sicherheitsvorfalls > anschließende Haftung der Leitung Die Uhr tickt ( ) Unsicher, welche Vorgehensweise richtig ist? Starten Sie mit dem Quick Check Datenschutz + Datensicherheit der Innovationsstiftung Bayerische Kommune (kostenfrei, Word Checkliste) Weiterhin: Stiftungsprojekt Ende Oktober 2016 Vorstellung Entwurf eines Sicherheitskonzepts auf Basis Art. 8 BayEGovG Der größte Fehler ist, nichts zu tun! Sascha Kuhrau 10 / 2016 Seite 18 9

10 Bildnachweise / Quellen Video quer: Locky legt Bayerns Computer lahm Youtube Sicherheitsstudie 2016: sicherheitsverhalten-von-mitarbeitern-bleibt-wesentliches-risiko / Awareness Kampagne Stadt Oldenburg Sascha Kuhrau 10 / 2016 Seite 19 Schriftarten Verwendet Lacuna Regular + Lacuna Italic (free fonts) Prüfen, ob auf System vorhanden. Wenn nicht, bitte installieren. Download Link Sascha Kuhrau 10 / 2016 Seite 20 10