SecureAware. IT-Sicherheitskonzepte nach ISO ISMS effektiv einführen,sicherheitsbewusstsein fördern.

Transkript

1 SecureAware IT-Sicherheitskonzepte nach ISO ISMS effektiv einführen,sicherheitsbewusstsein fördern. Vertreten in der Schweiz durch insinova ag, Sumpfstrasse 32, CH-6300 Zug, Tel

2 Agenda Wer ist Neupart? Gedanken zur momentanen Lage bzgl. IT Security Was hat IT Security mit dem Straßenverkehr zu tun? IT-Security Policies SecureAware und seine Module 2

3 Wer ist Neupart? 1997 Neupart & Munkedal -> VIGILANTe / Dänemark Beurteilung der IT-Sicherheitsanfälligkeit in Unternehmen & Behörden Problem war immer das gleiche: Was machen die Anwender? Anfälligkeit von innen! Unwissenheit! 2002 Gründung von Neupart S/A in Kopenhagen Lars Neupart und Morten Harboe Grundgedanke: Human security; Security Awareness Die Kontrolle der Informationssicherheit Konzentration auf Security Policies 3

4 Wer ist Neupart? Seit 2003 Internationaler Vertrieb wird ausgeweitet Partner in Norwegen, Büro in den USA Anfragen aus der ganzen Welt Oktober 2005 Gründung der Neupart GmbH Gesellschafter: Rudolf Gelhaus, Günter H. Hirschmann, Lars Neupart Referenzen: 6 von 20 dänischen Ministerien, z.b. Landwirtschaftsministerium & Finanzminsterium, Gemeinden, Energieversorger, Luftfahrtverwaltung DK, Finanzdienstleister, WarnerMusic, Premiere Systems, Erfurt & Sohn, ADP 4

5 5

6 IT-Sicherheitsrichtlinien meist undokumentiert IT-Security ist Chefsache Jedoch: Verantwortlich für IT-Security sind heutzutage IT-Administratoren 43 % CIO / Chef IT-Security 28 % Geschäftsführer / CEO 21 % Andere 8 % Wer ist für die Dokumentation der IT-Sicherheitsrichtlinie zuständig? CIO / Chef IT-Security 23 % IT-Administratoren 22 % Geschäftsführer / CEO 18 %

7 IT-Sicherheitsrichtlinien meist undokumentiert - 2 Eine IT-Sicherheitsrichtlinie ist vorhanden, 50 % aber nicht dokumentiert Es gibt keine Direktiven zu allgemeinen Themen, 28 % wie z.b. Notfälle, Datenverlust usw. Eine IT-Sicherheitsrichtlinie existiert nicht, 9 % noch nie davon gehört Es existiert eine IT-Sicherheitsrichtlinie, allerdings nur für Internet-Nutzung 54 % Umgang mit s 53 % Quelle: Computerwoche 33/2005

8 Forderungen an Unternehmen Unternehmen müssen sich zunehmend mit dem Thema Sicherheit befassen: BDSG Bundendatenschutzgesetz Vorgabe von Großkonzernen für Zulieferer: Beispiel Automobilindustrie, BMW fordert von seinen Zulieferern Aussagen zum Informationsschutz Banken, Versicherer, Gesetzliche Vorgaben BASEL II - Ausschuss im internationalen Bankensystem um einheitliche Wettbewerbsbedingungen zu schaffen - Ermittlung der Ausfallwahrscheinlichkeit auf Basis eines internen Ratings 8

9 KonTraG - die wichtigsten Aspekte Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Zielt in erster Linie auf börsennotierte AGs Ausstrahlungswirkung auf GmbHs abhängig von Größe, Komplexität und Struktur u.s.w. 91 Abs. 2 AktG Verpflichtung des Vorstandes ein System zur Früherkennung existenzbedrohender Risiken einzurichten Erweiterte Pflichten der Geschäftsleitungen im Bereich des Risikomanagements sowie der Berichtspflicht zur künftigen Entwicklung des Unternehmens 9

10 Gesetzeslage 106 UrhG unerlaubte Verwertung urheberrechtlich geschützter Werke (1) Wer in anderen als den gesetzlich zugelassenen Fällen ohne Einwilligung des Berechtigten ein Werk oder eine vervielfältigt, verbreitet oder öffentlich wiedergibt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit einer Geldstrafe bestraft. Praktisch heißt das: Die Verbreitung im Internet liegt immer vor, wenn die Datei auf dem Rechner des Internetnutzers angekommen ist. Dabei ist nicht ausschlaggebend, ob der Nutzer die Möglichkeit des Zugriffs auf die Daten genutzt oder ob der Anbieter die Daten übermittelt hat. (BGH 1 StR 66/01 Verbreiten im Internet vom ) 10

11 Gesetzeslage & die Auswirkungen Das Fehlen einer nachweisbaren Kontrolle der IT Strukturen auf die Angemessenheit des IT Sicherheitsniveaus, führt zur strafrechtlichen Verantwortung und zivilrechtlichen Haftung des Topmanagements bzw. des Unternehmensverantwortlichen! Urteile: Fahrlässiges Zugänglichmachen von Pornographie (Kammergericht Berlin vom ) Haftung für Datenverlust (OLG Hamm vom ) 11

12 Was folgt beim Verdacht? 94 StPO Beschlagnahme Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen. Bei Verlust von sensiblen Daten wie z.b. Patientendaten schaltet sich das BKA ein. Es stellt sich die Frage: Wie lange halten Sie Ihren Betrieb ohne IT, ohne Server, ohne Ihre digitalen Geschäftsdaten am Leben? Wie lange bleiben Ihre Kunden IHRE Kunden, wenn Sie keinen Zugriff auf Ihre Daten haben. 12

13 Persönliches Interesse an IT Security! Wir möchten uns alle darauf verlassen können, dass der Datenaustausch mit Geschäftspartnern einige Kriterien erfüllt: Vertraulichkeit - Schutz vor unbefugtem Zugriff Integrität - Schutz vor Veränderung, Verlust oder Zerstörung Authentizität Ursprung / Originalität der Daten Aber wie? 13

14 Persönliches Interesse an IT Security! Trotzdem möchten wir uns alle darauf verlassen können, dass der Datenaustausch mit Geschäftspartnern einige Kriterien erfüllt: Vertraulichkeit - Schutz vor unbefugtem Zugriff Integrität - Schutz vor Veränderung, Verlust oder Zerstörung Authentizität Ursprung / Originalität der Daten IT-Security ist mehr als der Einsatz von technologischen Lösungen gegen akute Bedrohungen. Klar strukturierte Richtlinien & Sicherheitsbewusstsein bei Mitarbeitern schafft dauerhaften Schutz! 14

15 Ein Beispiel zu Security Policies Wie würde der Straßenverkehr ohne Regeln aussehen? 15

16 Ein Beispiel zu Security Policies Wie würde der Straßenverkehr ohne Regeln aussehen? Verkehrsregeln stellen die Verkehrssicherheit her 1. Regeln werden beschlossen 2. Regeln werden kommuniziert 3. Regeln werden umgesetzt IT Sicherheitsregeln stellen die IT- Sicherheit her = Security Policies! 16

17 Security Policies Gewährleistung folgender Aspekte für IT-Sicherheit: Vertraulichkeit Integrität! Umsetzung gemäß ISO-27001/17799! Verfügbarkeit IT Sicherheit ist abhängig von Menschen & Technology 17

18 ISO-27001/ Das internationale Interesse an BS 7799 führte zu seiner Einführung in ISO, wo BS 7799 Teil 1 im Dezember 2000 schließlich zu einem internationalen Standard gemacht wurde. ISO/IEC 17799:2005 ist ein internationaler Standard namens "Leitfaden zum Management von Informationssicherheit. Diese Maßnahmen basieren auf den Erfahrungen der Industrie und besten Praktiken und sollten hilfreich und geeignet für fast alle Organisationen sein, unabhängig von deren Größe oder Branche. Anfang 2006 wird BS7799 und ISO in ISO zusammengefasst und ISO erhält eine eigene Zertifizierung. Für die IT-Sicherheit ist der Unternehmensverantwortliche privat haftbar. ISO fordert die Dokumentation der IT-Sicherheit in Unternehmen. 18

19 ISO-27001/ Richtlinien Erforderlich, um die von Unternehmen angestrebte Sicherheit festzulegen 2. Verteilung der Sicherheitsaufgaben Festlegung der Verwaltungsstruktur innerhalb des Unternehmens. Legt fest wer für welche Sicherheitsbereiche zuständig ist 3. Klassifizierung und Kontrolle unternehmenskritischer Daten Inventarliste aller unternehmenskritischen Daten Mittelklassifizierung und steuerung 4. Mitarbeiter-Sicherheit Einbindung des Risiko-Faktor Mensch Einweisung des Personals in den sicheren Umgang mit IT Sensibilisierung der Mitarbeiter für IT-Sicherheit Mitarbeiter-Verpflichtung auf Einhaltung einschlägiger Gesetze & Vorschriften Regelungen für den Einsatz von Fremdpersonal Schulung zu IT-Sicherheitsmassnahmen Behandlung von Sicherheitsvorfällen 19

20 ISO-27001/ Infrastruktur-Sicherheit Physische und Umgebungs-Sicherheit Geeignete Aufstellung von IT-Systemen und Geräten Passwortschutz für PC und Server Bildschirm-Sperre Regelung für Wartungs- und Reparaturarbeiten Regelung der Mitnahme von Datenträgern u. IT-Komponenten 6. Kommunikations- und Betriebs-Management Netz- und Systemmanagement Kontinuierliche Dokumentation aller IT-relevanten Prozesse und der System- Konfiguration Behandlung von Sicherheitsvorfällen Sicherheitsvorgaben für die Nutzung von Standard-Software und Nutzungsverbot nicht freigegebener Software Computer-Virenschutzkonzept -sicherheit Datensicherungs-Konzept: Regelmässige Datensicherung Datenschutz-Aspekte bei der Protokollierung der IT-Administration 20

21 7. Zugriffskontrolle ISO-27001/ Kontroll & Überwachungsmaßnahmen fü den Zugriff auf Netzwerke und Anwendungsressourcen Schutz vor internem Missbrauch und externen Systemeindringlingen 8. Anwendungs-Entwicklung und Pflege/Wartung Kryptografie-Konzepte: Verschlüsselung von Daten Umgang mit digitalen Signaturen Outsourcing von Software-Entwicklungen 9. Geschäftskontinuitäts-Management Notfallvorsorge-Konzept Geschäftswiederherstellungs-Plan 21

22 10. Richtlinieneinhaltung ISO-27001/ Einhaltung von Lizenzbestimmungen BDSchG Regeln für Beweise Management-Verpflichtung zur Einhaltung der Sicherheitsrichtlinie Regelmässige prüfung der Sicherheitsrichtlinien & deren technische Umsetzung ISO ist der globale Sicherheitsstandard in der IT-Sicherheit. In 10 Kapiteln wird die Grundlage für einen ISMS geschaffen. 22

23 Der Mensch, das Sicherheitsproblem Nr.1 Menschen mit begrenztem Wissen über Datensicherheit sind das schwächste Glied der IT-Security. ISO Kapitel 4 - Mitarbeiter Sicherheit Neuparts Aufgabe: Sicherheitsregeln (Security Policies) einführen und pflegen Sicherheitsregeln an Mitarbeiter kommunizieren Sicherheitsregeln kontrollieren und prüfen ISO-27001/17799 Konformität sicherstellen 23

24 Unsere Lösung - SecureAware Ein hochprofessionelles Werzeug Implementierung eines ISO-27001/17799-konformen Sicherheitskonzepts, Information Security Mangagement System (ISMS) Security Policies kosteneffizient im Unternehmen einführen, dokumentieren & kommunizieren Sicherheitsbewusstsein im Unternehmen durch Zugang zu spezifischen Sicherheitsregeln und Lernprogrammen schaffen Sicherheitsbewusstsein testen, IT Security Tests für alle Mitarbeiter Wissensstand der Mitarbeiter durch Reports erkennen & dokumentieren 24

25 3-stufige Umsetzung eines ganzheitlichen IT-Security- Konzepts mit SecureAware Erstellung einer ganzheitlichen IT-Sicherheitsrichtlinie mit Regeln & Verfahren Ausbildung der Mitarbeiter in IT Security Überprüfung des IT-Sicherheitsbewusstseins Compliance Management Risk Management 25

26 SecureAware - Die Struktur der Sicherheitsrichtlinie Übergeordnete IT-Sicherheitsstrategie Warum? Unternehmensziele, Strategie, Sicherheits-Level mit z.b. Kunden/Lieferanten Die IT-Sicherheitsregeln Verfahren Was? Was muss man, was darf man, was ist zu unterlassen? Datensicherung, ,usw. Wie? Anleitung zur Implementierung, Dokumentation 26

27 SecureAware - zielgruppenspezifische Verfahren Übergeordnete IT-Sicherheitsstrategie Unternehmenseinheitlich Die IT-Sicherheitsregeln Verfahren Standardanwender Administratoren Remoteanwender Management Zielgruppenspezifisch 27

28 Die Module von SecureAware SecureAware Policy Sicherheitsregeln und Verfahren erstellen, pflegen und kommunizieren Das IT-Sicherheitsniveau ist variabel einstellbar Die Regeln und Verfahren sind nach Zielgruppen differenzierbar nach Themen zugriffsgünstig gruppierbar Die erstellte Sicherheits-Richtlinie ist konform zu anerkannten Standards (ISO-27001/17799, BS-7799) 28

29 29

30 Die Module von SecureAware SecureAware Education Zielgenaue Sicherheitsausbildung auf e-learning Basis 10 Lektionen für eine IT-Security Grundausbildung der Mitarbeiter Professionelle Didaktik durch Film- und Sprachuntermalung Ausbildung findet nach den konzeptionellen Vorgaben des Managements statt und nach individueller zeitlicher Disposition der Mitarbeiter kosten- und zeit-effizient 30

31 Inhalt von SecureAware Education 1. Schädliche Programme 2. Passwörter 3. Verwendung 4. Internet-Zugang 5. Softwareinstallation 6. Datensicherung 7. Zugang zum Netzwerk des Unternehmens 8. Mobile Geräte 9. Verschlüsselung 10. Behandlung von Sicherheitsvorfällen 31

32 SecureAware 32

33 Die Module von SecureAware SecureAware Survey Implementierung von Sicherheitsbewusstsein bei den Mitarbeitern Web basierte Tests zum IT-Security Wissen der Mitarbeiter Überprüfung ob der jeweils relevante Inhalt vom jeweiligen Mitarbeiter verstanden wurde Managementreports zur Dokumentation des IT-Security Wissenstands 33

34 Die Module von SecureAware 34

35 Neues Module 1 von SecureAware V3 SecureAware Compliance ISMS Checkliste, Anforderungen an einen ISMS im Rahmen eines Prozess-Ansatzes Compliance Management basierend auf ISO27001 / ISO17799 Controls and implementation guidelines Managementreport dokumentiert den Zustand des ISMS ist Managementstandard, Report richtet sich an die Geschäftsleitung 35

36 36

37 Neues Module 2 von SecureAware V3 Risk Management Risikoanalyse und Bewertung Integration in Sicherheitsrichtlinien Beurteilung der Auswirkungen Standardisierte Fragenkataloge sorgen für objektive Bewertung Reports werden generiert 37

38 Der Nutzen eines ISMS für das Unternehmen Business Continuity Minimierung des Betriebsausfall-Risikos Günstigere Versicherungsprämien Vermeidung des privaten Haftungs-Risikos für GF/Vorstand KonTraG Vermeidung strafrechtlicher Risiken BDSchG / StGB / TDG Verbesserte Position bei arbeitsgerichtlichen Auseinandersetzungen KSchG und Abfindung Verbesserte Bonität im Kredit-Rating der Banken Basel II

39 SecureAware Eine Demoversion von SecureAware erhalten Sie auf oder in der Schweiz bei 39