Digitalisierung und WEB maximal agil und trotzdem Konkurs?! Chancen nutzen, Risiken begegnen!

Transkript

1 Digitalisierung und WEB maximal agil und trotzdem Konkurs?! Chancen nutzen, Risiken begegnen! Sicherheitsmanagement, Datenschutz und rechtliche Anforderungen

2 Inhalt Digitale Herausforderung Bedrohungslage Anforderungen Umsetzungen in der Praxis

3 Inhalt Die Digitale Herausforderung Die Bedrohungslage Die Anforderungen Die Umsetzungen in der Praxis

4 Die Marktforscher von IDC schätzen, dass 2020 weltweit rund 30 Milliarden Dinge wie etwa Maschinen, Autos, Waschmaschinen und Kühlschränke über das Internet vernetzt sein werden.

5 IT Mega Trends Sicherheit durch Governance Analysis/ Forecast ISMS Prevention Clearance Detection

6 Inhalt Die Digitale Herausforderung Die Bedrohungslage Die Anforderungen Die Umsetzungen in der Praxis

7 Jüngste IT-Sicherheit-Vorfälle Quelle: Zeit Online

8 Top Risiko im Fokus - Cybervorfälle Warum Cybervorfälle ein immer größeres Risiko werden Quelle: Allianz Global Corporate & Specialty

9 Wichtigste Unternehmensrisiken 2017 in Deutschland Quelle: Allianz Global Corporate & Specialty

10

11 Test zur Aufmunterung: Links zerlegen 1 Start 2 Erster / 3 Punkt nach.com irgendetwas.paypal.com/derlinkgehtweiter Beispiele Zieladresse (Domain)

12 Inhalt Die Digitale Herausforderung Die Bedrohungslage Die Anforderungen Die Umsetzungen in der Praxis

13 IT-Sicherheitsgesetz Am in Kraft getreten Am erste BSI-KRITIS- Verordnung oder Rechtsverordnung (RVO) bekannt als 1. RVO-Korb für Energie: Elektrizität, Gas, Mineralöl Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Informationstechnik und Telekommunikation 2. RVO-Korb wird 2017 erwarten für Transport und Verkehr Gesundheit Finanz- und Versicherungswesen

14 Was muss ich als KRITIS- Betreiber tun? nützliche Erklärung

15 EU-Datenschutzgrundverordnung (EU DS-GVO) Strukturierte Erfassung der datenschutzrelevanten Prozesse im Unternehmen Auf Basis dieser Prozesse ist eine Risikoanalyse sowie eine Datenschutz- Folgenabschätzung durchzuführen Entsprechend dem bestehenden Risiko sind Betriebe verpflichtet, "technische und organisatorische Maßnahmen" zu ergreifen Rechte der Betroffenen Anzeigepflicht Wer die hier getroffenen Regeln verletzt, muss mit heftigen Sanktionen von bis zu 20 Mio. Euro beziehungsweise 4 Prozent des weltweiten Jahresumsatzes rechnen. Alle Unternehmen, die bereits ein funktionierendes Informationssicherheits- Managementsystem nach ISO eingeführt haben, sind hier im Vorteil.

16 Informationssicherheit & Datenschutz Integrative Betrachtung Informationssicherheit Geschäftsprozesse Informationen Assets Risikomanagement Datenschutz Verfahren Personenbezogene Daten Assets Risikomanagement 05/2018 Office Infrastruktur Information Security Mgmt. Keine gesetzlichen Vorgaben Etablierte Vorgaben ISO/IEC & ff BSI? Kritische Infrastruktur IT-Sicherheitsgesetz 2015 Produktionsumgebungen Erweiterte Vorgaben ISO/IEC 27019* BSI* 01/2018 Vorgaben der Branchenverbände z. B. * Netzagentur ** Wasserverband

17 DIMS vereint den Datenschutz mit der Informationssicherheit Integriertes Management System DSMS ISMS Datenschutz-Informationssicherheit-Management System

18 Inhalt Die Digitale Herausforderung Die Bedrohungslage Die Anforderungen Die Umsetzungen in der Praxis

19 Einleitung: Datenschutz- und Informationssicherheitsmanagement Informationen existieren in vielfältiger Art und Form... z.b. in den Köpfen von wichtigen Wissensträgern (Mensch) z.b. in Form von Papier (Dokumente, Akten,...) z.b. in Systemen, auf Medien und in Netzwerken (USB, DVD,...) Informationssicherheit umfasst mehr als nur Technik

20 Einleitung: Datenschutz- und Informationssicherheitsmanagement Informationen existieren in vielfältiger Art und Form... z.b. in den Köpfen von wichtigen Wissensträgern (Mensch) z.b. in Form von Papier (Dokumente, Akten,...) z.b. in Systemen, auf Medien und in Netzwerken (USB, DVD,...) Informationssicherheit umfasst mehr als nur Technik

21 Schutzziele Informationssicherheitsmanagement Eigenschaft, einer autorisierten Person bei Bedarf zugänglich und nutzbar zu sein. Eigenschaft, dass Informationen Unberechtigten nicht verfügbar ist. Vertraulichkeit Verfügbarkeit Integrität Information Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten

22 Schutzziele Informationssicherheitsmanagement Vertraulichkeit Verfügbarkeit Eigenschaft, dass Informationen Unberechtigten nicht verfügbar ist. Integrität Vertraulichkeit Verfügbarkeit Eigenschaft, einer autorisierten Person bei Bedarf zugänglich und nutzbar zu sein. Integrität (Datenschutzrelevanz) Information Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten

23 3 lines of defence Es ist die gesamte Organisation betroffen Hacking Geschäftsführung Fachabteilungen Richtlinien Awareness Informationssicherheit Datenschutz Überprüfung Revision Zertifizierung Sozial Engeneering IT-Service Bewertungen Vorfälle Arbeitssicherheit Umweltschutz Bewertungen Reporting Gesetzes Organe Compliance Spionage Externe Partner Digitale Transformation Wirtschaft 4.0 Cloud Computing Mobil Computing

24 Kriminalität 3 lines of defence Es ist die gesamte Organisation betroffen Hacking 1. Fachabteilungen Richtlinien Informationssicherheit Geschäftsführung Awareness Fachabteilungen Datenschutz Überprüfung Revision Zertifizierung Sozial Engeneering 2. Themenkompetenz Bewertungen Bewertungen IT-Service Arbeitssicherheit Vorfälle Reporting Umweltschutz Gesetzes Organe Spionage Compliance 3. Überprüfung (Audits) Externe Partner Digitale Transformation Wirtschaft 4.0 Cloud Computing Mobil Computing

25 IT-GRC & ISMS! ISMS - Einbindung auf allen Ebenen: Unternehmensziele & IT-Ziele Normen Controls & Fragekataloge ISMS Scope & IS-Framework nach den Normen-Controls Geschäftsprozesse / IT-Serviceprozesse Informationsbewertung nach V,I,V & Datenschutzrelevanz Informationen & Assets bewerten Risikobewertung der Assets nach Bedrohungs- und Schwachstellenkatalogen / Gefährdungen Strukturanalyse der Assets Bewertung der Assets nach vorgegebenen IS Anforderungen Risikobewertung der Assets nach Bedrohungs- und Schwachstellenkatalogen Mitarbeiterdaten / Organisation

26 IT-GRC & ISMS! ISMS - Einbindung auf allen Ebenen: Unternehmensziele Unternehmensziele & IT-Ziele Normen Controls & Fragekataloge ISMS Scope & IS-Framework nach den Normen-Controls Geschäftsprozesse Geschäftsprozesse / IT-Serviceprozesse Informationsbewertung nach V,I,V & Datenschutzrelevanz Risikoanalyse Assets Informationen & Assets bewerten Risikobewertung der Assets nach Bedrohungs- und Schwachstellenkatalogen / Gefährdungen Strukturanalyse der Assets Bewertung der Assets nach vorgegebenen IS Anforderungen Risikobewertung der Assets nach Bedrohungs- und Schwachstellenkatalogen Mitarbeiterdaten / Organisation

27 Organisatorische Maßnahmen eines DIMS Quelle: TÜV Rheinland

28 Organisatorische Maßnahmen eines DIMS 80% der Maßnahmen sind organisatorisch Quelle: TÜV Rheinland

29 Untersuchungsbereiche mit dem Fokus auf Informationssicherheit - klassisch Informationssicherheit (nach ISO/IEC = IT-/Cyber Security + physikalischer Schutz + Absicherung des Geschäftsbetriebes (+ Datensicherheit) Untersuchungsbereich Office-Umgebung Gemeinsamer Untersuchungsbereich Datacenter Untersuchungsbereich Industrieumgebung Scope: - Unternehmensorganisation - Hauptsächlich Aktivitäten während der Regel-Arbeitszeit - Businessprozesse und personelle Ressourcen - Ganzheitliches Risikomanagement - zentrale Systeme wie ERP, Mail/Exchange, Fileserver - oft: IT Service- und Supportstrukturen, kaskadierendes Know-How - Vertraulichkeit, Verfügbarkeit u. Integrität von Informationen Scope: - Plant-Organisation - oft 24x7x365 Betrieb - Wertschöpfungskette und technischen Ressourcen - Operatives Risikomanagement - dezentrale Industrielle ICS Systeme wie SCADA, DCS, PLC - Leitstand-Organisation: tiefes Spezialwissen im 1st-Level - Echtzeitfähigkeit, Verfügbarkeit und Integrität von DATEN

30 Untersuchungsbereiche mit dem Fokus auf Informationssicherheit - klassisch Informationssicherheit (nach ISO/IEC = IT-/Cyber Security + physikalischer Schutz + Absicherung des Geschäftsbetriebes (+ Datensicherheit) Untersuchungsbereich Office-Umgebung Gemeinsamer Untersuchungsbereich Datacenter Untersuchungsbereich Industrieumgebung Office Gemeinsame Betrachtung Produktion Scope: - Unternehmensorganisation - Hauptsächlich Aktivitäten während der Regel-Arbeitszeit - Businessprozesse und personelle Ressourcen - Ganzheitliches Risikomanagement - zentrale Systeme wie ERP, Mail/Exchange, Fileserver - oft: IT Service- und Supportstrukturen, kaskadierendes Know-How - Vertraulichkeit, Verfügbarkeit u. Integrität von Informationen Scope: - Plant-Organisation - oft 24x7x365 Betrieb - Wertschöpfungskette und technischen Ressourcen - Operatives Risikomanagement - dezentrale Industrielle ICS Systeme wie SCADA, DCS, PLC - Leitstand-Organisation: tiefes Spezialwissen im 1st-Level - Echtzeitfähigkeit, Verfügbarkeit und Integrität von DATEN

31 Untersuchungsbereiche mit dem Fokus auf Informationssicherheit HEUTE! Herausforderungen der Zukunft wie Digitalisierungsvorhaben im Rahmen der Industrie 4.0 sowie Internet of Things IoT): Stärkere Vernetzung von Prozessen und Ressourcen führt zu integrierte Analyse und Nutzung von Informationen/Daten, die Zahl der Sensoren und der Grad der Interoperabilität zwischen IT und OT (Operational Technology; Betriebstechnik) nimmt stark zu Bedrohungen für ICS: Attacken auf die Office-Welt (Viren, Würmer, Trojaner) greifen durch bis auf die Plant-Umgebung direkter Angriff auf Industrieanlagen aus dem Internet Nutzung aller industriell- genutzten Ethernet-Protokolle für den Transport von Schadware (siehe Stuxnet) Beseitigung technischer Schwachstellen im industriellen Umfeld aufwendig

32 Notwendigkeit gemeinsamer Regelungen zur ORGANISATORISCHEN Absicherung Ableitung der Organisation der Sicherheit aus der Unternehmensorganisation Folgende Rollen und VERANTWORTLICHKEITEN sollten festgelegt werden: Leiter der Informationssicherheit Risikomanager Compliance-Verantwortlicher Prozessverantwortliche in Office- und Industrieumgebung Systemverantwortliche im Datacenter-Umfeld Gemeinsame Krisenorganisation mit festgelegten Kompetenzen und Ressourcen Folgende Prozesse und Methoden sollten festgelegt werden (Basics): Sensibilisierung und Schulung der Mitarbeiter Umgang mit Störungen (Incident-Management) Umgang mit technischen Veränderungen (Change-Management)

33 Blickwinkel ändern Die Betrachtung der Technik löst nicht die Aufgabenstellung Technische Absicherung der Informationstechnologie: Hard- und Software IT-Sicherheit IT-Administration Cyber Security Serviceprozesse

34 Blickwinkel ändern Die Betrachtung der Technik löst nicht die Aufgabenstellung Organisation Prozesse Menschen Anwender Administratoren Externe Partner Infrastruktur

35 Fazit Management-Commitment einholen Budget & Ressourcen festlegen Richten Sie jetzt ein DIMS Datenschutz-/ IS- Management System ein Legen Sie die Methoden und Prozesse fest Führen Sie eine DIMS-Software ein

36 Haben Sie Fragen? Kontaktieren Sie uns! Besuchen Sie uns auf unserer Webseite oder rufen einfach an! Ihr Ansprechpartner für Fragen: Herr Werner Wüpper Tel.: 040/ Mobil: Wüpper Management Consulting GmbH im Internet: