Informationssicherheit für KMU

Transkript

1 Informationssicherheit für KMU FFHS Referat: Handout Martin Leuthold Zürich, 1. Dezember 2016

2 Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun?

3 Ziele Diskussion der Lageentwicklung in der Informationssicherheit (Trends, Angreifergruppen, etc.) Was heisst das für Informationssicherheits-Management? Was sind die Herausforderungen für KMU? Was sollen KMU tun? 3

4 Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun?

5 Entwicklung Gefahren & Business Impact Wer? Was? Business impact? CxO Scam Bsp. Deutschland - Bundeswehr - Sicherheitsbehörde (2017: 60 à 400) IoT, OT MedTech FinTech Kunden, Kunden- Daten, Mitarbeitende, Lieferant, F&E- Partner, Finanzieller Schaden(direkt) Finanzieller Schaden (indirekt) Reputationsschaden Vertrauensverlust (Kunden) Vertrauensverlust (Partner) Non-Compliance Strafen & Verfahrenskosten Verlust Innovations-Vorsprung Verlust Wettbewerbsfähigkeit Manipulation IoT Komponenten Störung kritischer Infrastukturen Produktionsunterbruch Source: based on material from 5

6 Whiteboard / Flipchart: Was sind die Auswirkungen auf die Risikolandschaft? Gestern Heute Morgen (Event/y) Ransomware, DDoS auf E-Shop 19 APT auf IP CxO Fraud Fraudulent Transaction Produktionsausfall bei Kunde 21 Zerstörung Produktionsanlage Rückruf Wearables 22 Sammelklage (Mio CHF) 6

7 Fokusverschiebung im Information Security Management Organisiertes Verbrechen kritsche Angreifergruppe. Bleibende Aufgaben: Grundschutz Betrieb auf Branchen-Niveau. Kontinuierliches Awareness Programm. Zusätzliche Themen: Informationszentrischer Schutz der kritischen Informationen. Komfortable und sichere Lösungen ermöglichen. Neue Konzepte für IoT Angriffe schnell detektieren und sofort reagieren. Regional relevante, hochwertige Threat Intelligence. Zusammenarbeit: Bündelung der Kräfte Information Assets Criminals Source: Roger Halbheer (adaptiert). Terrorists 7

8 Gestern: Gestaffelte Verteidigung Morgen: Informationszentrischer Schutz Source: / Source: 8

9 Benutzerfreundlich, bezahlbar, betreibbar, sicher sonst droht Schatten-IT 9

10 Neue Sicherheitskonzepte für IoT nötig? Beispiele Source: Source: Source: 10

11 Detektion, Incident Response, Threat Intelligence: Bsp SWITCH CERT SWITCH-CERT Swiss Universities NREN Financial Services E-Banking Security Registry.ch/.li Incident Handling (Analysis & Coordination) Network Security Monitoring Detection & Notification Forensik Critical Threat Alerting Malware Monitoring Malware Analysis Fraud Detection & Countermeasures DNSfirewall Service (Response Policy Zone) Domain Abuse Phishing & Malware Distribution Notice & Takedown DNS Operations TLD Authoritative NS Secondary NS DNSSEC Key Management Information Services (Security Reports, Security Blog, Security Awareness, CSIRT-Trainings) Community Services for Universities, Banks, Hoster Working Groups / Info Events FIRST TF-CSIRT Partner & Cooperation Network APWG ENISA Law Enforcement Cooperation Regulator Cooperation Swiss CSIRT Forum Swiss Internet Security Alliance 3 rd party Cooperations 11

12 Agenda 1 Ziele 2 Bedrohungsentwicklung & Auswirkungen auf Infosec-Management 3 Was sollen KMU tun?

13 Fragen Welches sind die 10 wichtigsten Massnahmen, die Sie in Ihrem Unternehmen umsetzen um sich vor Angriffen aus dem Internet zu schützen? Quellen für KMU IT-Security Leitfäden (folgende 3 Slides) ISSS / Infosurance: MELANI / GovCERT.ch: checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html Zentral: Information Risk Management aufbauen & Geschäftsleitung einbinden 13

14 Infosurance / ISSS: 10 Punkte für KMU: Grundschutz 1. Pflichtenheft für IT-Verantwortliche 2. Regelmässige Datensicherung mittels Backup (inkl. Offline-Kopie wegen Ransomware) 3. Aktuelles Antivirus-Programm 4. Internetzugang mit Firewall schützen 5. Alle Software aktuell halten 6. Starke Passwörter verwenden 7. Mobile Geräte schützen 8. IT-Benutzerrichtlinien bekannt machen (Awareness) 9. Umgebung der IT-Infrastruktur schützen 10. Dokumente und Datenträger ordnen 14

15 MELANI / GovCERT.ch: Organisatorische Massnahmen Regeln der IT- und IT-Sicherheits-Verantwortlichkeiten Regelmässige Schulung der Mitarbeitenden in IT und IT- Sicherheit (kontinuierliche Awareness-Massnahmen) Regeln der Zuständigkeiten mit dem/den IT-Dienstleister/n Informationssicherheits-Risikomanagement mit Einbezug der Geschäftsleitung (Review) Passwortpolicy und Umsetzung: Komplexität ist wichtig! Prozesssicherheit bei Zahlungsvorgängen (e-banking): Einschränkung der Funktionen auf das notwendige Minimum Mindestens 4-Augenprinzip & wenn möglich Verwendung verschiedener Verträge für Freigaben 15

16 MELANI / GovCERT.ch Technische Massnahmen Virenschutz auf jedem Computer Regelmässiges Backup aller Daten (offline; Überprüfung) Logdateien (wichtige Systeme/Applikationen) aufbewahren (mindesten 6 Mte) Least Privilege, Must Have Prinzip bei Zugriffsberechtigungen Netzwerk segmentieren Spamfilter verwenden Schädliche -Anhänge & solche mit aktiven Inhalten (Makros) blockieren Personal Firewall auf dem Computer & zusätzliche Firewall am Internetzugang Starke Authentisierung bei Remote Zugängen (z.b. VPN) Passwort-Policy-Umsetzung technisch erzwingen Regelmässige, zeitnahe Softwareupdates (wenn möglich automatisch) Vorsicht bei Verwendung von Cloud-Diensten Verschlüsselung von Daten (mobile Geräte, Cloud) Webauftritt: Content Management System auf aktuellem Stand halten 16

17 Kontakt Martin Leuthold, Head of Security / CISO martin.leuthold@switch.ch Mobile Business

18 Working for a better digital world