VdS-Richtlinien 3473 Workshop zur LeetCon 2017

Größe: px

Ab Seite anzeigen:

Download "VdS-Richtlinien 3473 Workshop zur LeetCon 2017"

Gregor Fuchs
vor 6 Jahren
Abrufe

1 VdS-Richtlinien 3473 Workshop zur LeetCon 2017 Michael Wiesner GmbH, Der Navigator für Informationssicherheit im Mittelstand

Vorstellung Michael Wiesner Der Navigator für Informationssicherheit im Mittelstand seit 1994 Berater, Auditor, Penetrationstester Co-Autor VdS-Richtlinien

2 Vorstellung Michael Wiesner Der Navigator für Informationssicherheit im Mittelstand seit 1994 Berater, Auditor, Penetrationstester Co-Autor VdS-Richtlinien 3473 & Lead Auditor ISO & VdS 3473, CISM, CRISC, T.I.S.P., OSCP, VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 2

3 Agenda Einführung Erfahrungen Entwicklungen Q&A VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 3

4 Workshop: Es darf mitgearbeitet werden! VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 4

5 Einführung VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 5

6 VdS 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) 07/2015 für kleine und mittlere Unternehmen (KMU), den gehobenen Mittelstand, Verwaltungen, Verbände und sonstige Organisationen Öffentlich und kostenfrei ( 38 Seiten, davon 28 Seiten Anforderungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 6

7 Herkunft VdS Schadenverhütung Gesamtverband der Deutschen Versicherungswirtschaft (GDV) VdS Schadenverhütung 100% Tochter Technischer Arm der Versicherungswirtschaft VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 7

8 Herkunft Jedes Unternehmen hat Brandschutzvorkehrungen Die meisten haben sich gegen Brandschäden versichert (Gebäudeversicherungen, Inhaltsversicherungen, Betriebsunterbrechungsversicherung, ) Warum nicht auch gegen Cyber-Gefahren (z.b. Hackerangriff) versichern? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 8

9 Herkunft Wie lässt sich das Risiko einschätzen, dass ein Unternehmen Opfer eines Hackerangriffs wird? Wir lässt sich das Restrisiko auf ein akzeptables Niveau senken? Nur Restrisiken werden versichert! Wie kann der Nachweis darüber erbracht werden? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 9

10 Herkunft Unternehmen müssen Mindeststandards in Bezug auf Informationssicherheit einhalten Die Einhaltung und Wirksamkeit muss nach einem standardisierten Verfahren überprüft werden können Die Umsetzung muss für möglichst viele Unternehmen mit überschaubarem Aufwand möglich sein VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 10

11 Herkunft VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 11

12 Eigenschaften Informationssicherheitsmanagementsystem (ISMS) Verantwortlichkeiten, Leitlinie und Richtlinien zur Informationssicherheit Verfahren, Risikoanalyse und -behandlung Risikobasierte organisatorische und technische Maßnahmen (kritisch, unkritisch) Kontinuierlicher Verbesserungsprozess (KVP) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 12

13 Eigenschaften Einfache, schnelle Implementierung Eindeutige Sprache (MUSS, DARF NICHT, SOLLTE) Minimalistischer Analyse- und Dokumentationsaufwand Definition von Zielen, Freiheit bei der Umsetzung Pareto-Prinzip (80/20) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 13

14 Eigenschaften Geltungsbereich: Komplette Informationsverarbeitung (am Standort) Organisatorische und technische Grundanforderungen Kritische und unkritische IT-Ressourcen Basisschutz für unkritische IT-Ressourcen Zusatzmaßnahmen für kritische IT-Ressourcen Risikoanalyse zur Kompensation VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 14

15 Stärken Versicherungswirtschaft als Treiber Erfahrungen aus Schäden fließen ein Minimalisierter Aufwand ( so viel wie nötig, so wenig wie möglich ) Zertifizierungsfähig VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 15

16 Schwächen Sehr jung wenig Praxiserfahrung Bekanntheitsgrad Geringeres Sicherheitsniveau als ISO und BSI IT-Grundschutz (?) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 16

17 Kompatibilität Maßnahmen sind aufwärtskompatibel zu ISO und BSI IT-Grundschutz Verfahren aus etablierten Standards werden empfohlen (z.b. ISO 9001) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 17

18 Kompatibilität VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 18

19 Zertifizierung Quelle: VdS VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 19

20 Erfahrungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 20

21 Unternehmen Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz Funktioniert auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (int.) Standorten Wird als Baseline genutzt und durch ergänzende Maßnahmen angepasst (z.b. bei Teilbereichen mit ISO Anforderung) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 21

22 Branchen Produzierendes Gewerbe/ Industrie Anlagen- und Maschinenbau Banken- und Versicherungswirtschaft Ver- und Entsorgungsunternehmen Stadtverwaltungen, Gemeinden, Kommunen Transport & Logistik Gesundheitswesen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 22

23 Aufwände Einführung 5-30 (externe) Beratertage zur Einführung (interne) Personentage für ISB 1-18 Monate Umsetzungszeit Zusätzliche Aufwände bei größeren oder komplexen Unternehmen (z.b. zusätzliche Gremien, wie ISMT, Internationalisierung, ) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 23

24 Aufwände Betrieb 1-3 Personentage pro Monat für ISB 0,5-1 Personentag pro Monat für IST Zusätzliche Aufwände bei größeren oder komplexen Unternehmen (z.b. zusätzliche Gremien, wie ISMT, Internationalisierung, ) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 24

25 Probleme Fähigkeiten des Unternehmens Mangelndes Engagement des Topmanagements Unzureichende Fähigkeiten im Change- bzw. Projektmanagement Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc. VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 25

26 Probleme Fähigkeiten der Mitarbeiter Führungsschwäche bei Topmanagement oder Personalverantwortlichen Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB) Mangelnde Fachkompetenz VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 26

27 Probleme Herangehensweise Initialer Reifegrad wird zu hoch angesetzt Unreflektiertes Übernehmen von Templates Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe Unzureichende Ressourcen (Tagesgeschäft) Unzureichende Beachtung interner (politischer) Gegebenheiten VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 27

28 Unterstützung VdS 3473 Wiki Gefährdungskataloge des BSI /ITGrundschutzKataloge/Inhalt/Gefaehrdungskataloge /gefaehrdungskataloge_node.html Ishikawa-Diagramm Diagramm VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 28

29 Entwicklungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 29

30 Richtlinien Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO) Integration in Umsetzungs-Tools (z.b. DocSetMinder, verinice) Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 30

31 VdS Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme Mapping-Projekt mit BSI IT-Grundschutz Synopse-Projekt VdS 3473 ISO VdS zur Umsetzung der DSGVO, basierend auf 3473-Struktur VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 31

32 Versicherer Musterbedingungen für Cyber-Versicherungen VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 32

33 Ausblick Weitere Leitfäden zur Umsetzung (z.b. Gesundheitswesen, Kommunen) Revision und Überführung in 10000er-Reihe (2018?) Anerkannter Stand der Technik? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 33

34 Q&A VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 34

35 Vielen Dank! Michael Wiesner GmbH Am Eichhölzchen 22 D Haiger +49 (0) (0) info@michael-wiesner.info Der Navigator für Informationssicherheit im Mittelstand

Ähnliche Dokumente

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts Cyber-Security für kleine und mittlere Unternehmen (KMU) Zum Referenten Claus Möhler Jahrgang 1975 Berater für Informationssicherheit Seit 2000 bei