Risk-News Aktuelle Informationen rund ums Risikomanagement

Größe: px
Ab Seite anzeigen:

Download "Risk-News Aktuelle Informationen rund ums Risikomanagement"

Transkript

1 Enterprise Risk Services 1/2012 Risk-News Aktuelle Informationen rund ums Risikomanagement Liebe Leser, die bekannt gewordenen Cyber-Attacken der letzten Monate zeigen uns deutlich auf, dass die Angreifer keine Industrie und keinen Sektor mehr verschonen: der Bankensektor ist genauso betroffen wie Medienunternehmen, die öffentliche Verwaltung und Technologieunternehmen unabhängig davon, ob es sich hier um einen internationalen Konzern oder ein mittelständisches Unternehmen handelt. Alle Unternehmen sind erklärte Angriffsziele. Industriespionage und Hacker-Attacken sind kein neues Phänomen; während früher Angreifer über das Internet eher idealisierte Ziele verfolgten und teilweise auch nur ihren Spaß haben wollten, stecken heute fast immer knallharte wirtschaftliche Interessen hinter einem Angriff. In den meisten Fällen geht es den häufig sehr professionell organisierten Angreifern darum, bspw. Intellectual Property abzugreifen, Entwicklungsdaten zu kopieren oder an Vertriebs- und Kundeninformationen heranzukommen. Für diese Informationen gibt es einen zwar illegalen, aber weltweiten Markt. Nicht nur aus rechtlicher Sicht, sondern vor allem aus ureigenem Interesse müssen Unternehmen etwas tun, um sich auf solche Angriffe vorzubereiten und die eigenen Kronjuwelen zu schützen. Dr. Hans Röhm In der aktuellen Ausgabe der Risk-News haben wir für Sie eine Themenauswahl zusammengestellt, mit der wir aufzeigen wollen, wie Unternehmen sich auf die geänderte Situation vorbereiten können, und wie Cyber-Security-Maßnahmen geplant und umgesetzt werden können, um weiterhin sichere Geschäfte zu ermöglichen. Ich hoffe, dass Sie für sich neue Impulse für Ihre Arbeit erhalten, und wünsche Ihnen eine spannende Lektüre. Ihr Hans Röhm

2 Cyber Security Peter Wirnsperger Tel: +49 (0) Cyber Security 2011 war das Jahr der Lücken. Die Medien waren voll von Nachrichten über Angriffe auf Netzwerke und gestohlene Daten. Diese Aussage stammt aus der Einleitung zu einem aktuellen Forrester Report. 1 Zunehmende Professionalisierung von Cyber-Kriminellen, neue Technologien beispielsweise BYOD (Bring Your Own Devices), Cloud-Computing sowie integrierte und vernetzte Zusammenarbeit von Geschäftspartnern ziehen neue Bedrohungen und große Herausforderungen nach sich. Striktere Gesetze und die zunehmende Kunden-Awareness beim Thema Datenschutz drängen Unternehmen zum Handeln. Eine neue Bedrohungslage Vor dieser neuen Bedrohungslage ist eine Überarbeitung bisheriger Informationssicherheitsstrategien und -konzepte notwendig. Erfahrungen der letzten Jahre haben gezeigt, dass die Frage, ob ein Angriff erfolgt, nicht vollständig ist. Entscheidend sind genauso Fragen nach wann, wie und weshalb. Maßnahmen dürfen nicht länger ausschließlich auf die Abwehr von Angriffen abzielen, sondern müssen zusätzlich die Zeit nach einer erfolgreichen Attacke in die Planung einbeziehen. Die Konsequenz lautet: Begrenzung des Schadens eines erfolgreichen Angriffs und Abstimmung eines Sicherheitskonzepts mit geeigneten Reaktionen über alle Organisationseinheiten. Mit dem Cyber-Security-Programm stellt Deloitte ein Service-Portfolio bereit, das der neuen Bedrohungslage angepasst ist, das bestehende Maßnahmen einbinden und neu ausrichten kann. Service Cyber Readiness Assessment Wo steht mein Unternehmen, was ist noch zu tun, wo fange ich an? Hat Ihr Unternehmen bereits Maßnahmen gegen Cyber-Bedrohungen getroffen? Kennen Sie Ihre spezifische Bedrohungslage? Sind die getroffenen Maßnahmen angemessen, wirksam und effektiv? Kann man Cyber-Attacken erkennen, eingrenzen und adäquat darauf reagieren? In welchen Bereichen können Sie sich verbessern, um für heute und morgen bereit zu sein? Ein Cyber Readiness Assessment hilft Ihnen, diese Fragen zu klären. Deloittes Cyber Readiness Assessment besteht aus einem vierstufigen Prozess (s. Abbildung), in dessen Mittelpunkt die Durchführung einer Gap-Analyse und ein anschließendes Maturity Rating stehen. Aus den identifizierten Lücken Ihrer Cyber Readiness werden gezielt Maßnahmen (Controls) abgeleitet und priorisiert. Diese Maßnahmen werden in Abstimmung mit anderen strategischen Initiativen Ihres Unternehmens in einen Cyber Transformation Plan gegossen und umgesetzt. Gap-Analyse Deloittes Cyber Security Management Framework bildet den konzeptionellen Rahmen für die Durchführung von Gap-Analysen. Es basiert auf Empfehlungen relevanter Industries Standards (SANS Institute, National Institute of Standards and Technology (NIST), Federal Enterprise Architecture) und unseren eigenen Projekt-Erfahrungen. Cyber Risk Identification & Gap Analysis Maturity Rating Cyber Control Definition & Prioritization Cyber Transformation Plan Development 1 TechRadar For Security & Risk Professionals: Zero Trust Network Threat Mitigation, Q

3 Unter Berücksichtigung Ihrer individuellen Bedrohungslage analysieren wir bestehende Maßnahmen und Prozesse in relevanten Bereichen sogenannte Cyber Security Domains (etwa Governance & Compliance, People, Operations etc.) auf Lücken. Hierzu haben wir den Domains konkrete Control Objectives zugeordnet, anhand derer mögliche Schwachstellen erkannt werden können. Der Domain Operations haben wir z.b. Control Objectives wie Threat Monitoring & Response, Cyber Security Event Monitoring, Cyber Incident & Response Management oder Cyber Resilience Management zugeordnet (s. Abbildung). Maturity Rating Den Reifegrad Ihrer Cyber-Organisation bestimmen wir auf Basis der Ergebnisse der Gap-Analyse. Deloitte verwendet hierzu ein Cyber Maturity Model 2 bestehend aus fünf Reifegraden, von reaktiven gesteuerten (Level 1) bis hin zu risikointelligenten, vorausschauenden und widerstandsfähigen Prozessen (Level 5) (s. Abbildung). Define & Prioritize Improvements Nach der Bestimmung Ihres Model-Reifegrades definieren und priorisieren wir mit Ihnen gezielte Maßnahmen, um Ihr gewünschtes Sicherheitslevel (Goal State) zu erreichen. Kriterien zur Priorisierung können etwa die Wirksamkeit, Komplexität, der Implementierungs-Aufwand, die Relevanz im Hinblick auf die Unternehmensstrategie oder aktuelle externe Ereignisse sein. Domain Level 1 Level 2 Level 3 Level 4 Level 5 Governance & IT-Compliance C G P People C G P Operations C G C Current State G Goal State P Peer State Cyber Security Maturity Level (simplified) P Cyber Threat Level Cyber Terrorism/ Cyber Warfare Advanced Persistent Threats G Conventional Cyber Threats C Level 1: Manual and only reactive Level 2: Tools-based and primarily reactive Level 3: Integrated tools, knowledge exchange Level 4: Proactive and agile Level 5: Resilient. Proactive and mission focused Cyber Readiness Level C Current State G Goal State P Peer State Level 1: Not existent Level 2: Initial or Ad hoc Level 3: Initiative and Repeatable Level 4: Managed and Measureable Level 5: Optimized 2 Entwickelt durch Robert Lentz, vormals DoD CISO und Deputy Assistant Secretary Cyber. 3

4 Transformation Plan Zur Durchführung, Überwachung und Kontrolle der Implementierung der Maßnahmen erstellen wir einen Transformation Plan. Dieser beschreibt im Detail den Weg vom aktuellen Status zum gewünschten Zielzustand. Der Plan basiert auf dem SMART-Prinzip (spezifisch, messbar, erreichbar, realistisch und terminiert) und wird durch uns kontinuierlich überwacht. Assessment vs. Management Mit dem Assessment erstellen wir eine punktuelle Betrachtung der Ist-Situation. Änderungen von Parametern etwa der Bedrohungslage oder geänderte Geschäftsstrategien können jedoch die Effektivität der implementierten Maßnahmen deutlich reduzieren. Deloitte setzt in seinem Cyber-Security-Programm daher gezielt auf einen zyklischen Phasen-Ansatz, bestehend aus Prepare, Aware und Respond. Cyber Readiness Assessment als Teil der Aware-Phase ist daher nicht als ein einmaliges Projekt, sondern als eine regelmäßige Aktivität im Zuge der kontinuierlichen Verbesserung zu verstehen. Die zyklische Durchführung des Assessment bietet nicht nur eine permanente Verbesserung der Schutzmaßnahmen, sondern gibt zudem Aufschluss über die Effektivität der Investitionen in Cyber Security. Top Five Cyber Security Controls Keine verfügbare Technologie ist allein in der Lage, die Bedrohungen für Informationen und Infrastruktur ausreichend zu begrenzen. Um die angemessene Cyber Security zu erhalten, die auch der individuellen Bedrohungslage und strategischen Zielen gerecht wird, müssen neben technischen auch immer organisatorische Maßnahmen umgesetzt werden. Nachfolgend haben wir die aus unserer Sicht wichtigsten Empfehlungen zur Erzielung von Cyber Security zusammengetragen. 1. Cyber-Security-Strategie Cyber-Angriffe etwa Hacking von Webservern oder Malware-Infiltration stellen nicht nur eine Bedrohung für die IT und die Informationen, sondern für das gesamte Unternehmen dar. Cyber Security ist damit eine Aufgabe des Top-Managements. Strategische Ziele und Prioritäten in Bezug auf Cyber Security sollten klar definiert sein. Die Strategie ist die Ausgangsbasis des Bewusstseins für und den Umgang mit Cyber-Risiken. 2. Cyber Readiness Assessment Der erste Schritt auf dem Weg, die adäquate Cyber Readiness zu erreichen, ist das Verständnis der aktuellen Bedrohungs- und Risikolage. Bevor Maßnahmen zur Erhöhung der Sicherheit auf operativer und strategischer Ebene ergriffen werden, sollten Sie sich der tatsächlichen und potenziellen Bedrohungen bewusst werden. Hierzu sind eine umfassende Analyse möglicher Bedrohungsszenarien und eine Bestandsaufnahme der bisher ergriffenen Maßnahmen notwendig. 3. Aktives Monitoring möglicher Bedrohungen und Risiken Eines der größten Risiken besteht durch das Ausnutzen von Schwachstellen unberechtigt genutzter oder nicht ausreichend geschützter Systeme und Software. Konfigurationsmanagement, aktives Monitoring und Frühwarnsysteme sind daher unerlässlich. An erster Stelle zu nennen ist die Implementierung eines Intrusion-Detection-/Prevention-Systems zur Erkennung von unberechtigten Zugriffen auf Netzwerke und IT-Systeme. Eine angemessene Ausgestaltung des Identity and Access Management gehört selbstredend dazu. Unbedingt sollten weiterhin Methoden zur Erkennung von Schadcodes in selbst entwickelter Software und Web-Angeboten eingeführt und umgesetzt werden. 4. Vulnerability Assessments und sichere Konfiguration Die Abfrage eines aktuellen Sicherheitsbildes über im Unternehmensnetz genutzte Systeme und Software sollte zu jedem Zeitpunkt möglich sein. Ein Sicherheitsbild umfasst Informationen wie System-Typ, Software- Version, Patch-Level und relevante bekannte Verwundbarkeiten der genutzten Systeme und Software. Security Images für alle neuen in das Netzwerk eingebrachten Systeme sollten entwickelt und regelmäßig neu beurteilt werden. Um Schwachstellen frühzeitig zu erkennen und zeitnah zu beheben, ist eine regelmäßige Durchführung von toolgestützten Vulnerability Scannings aller Systeme im Netzwerk und im Besonderen der über das Internet erreichbaren Systeme notwendig. 5. Cyber Security Training & Awareness Das dauerhafte Beherrschen von Cyber-Risiken und eine schrittweise Verbesserung bedürfen einer lernenden Organisation. Hierfür werden Mitarbeiter benötigt, die jederzeit sicherheitsbewusst handeln. Sei es für Endbenutzer der Umgang mit Laptops, Smartphones oder Unternehmensinformationen bei der täglichen Arbeit, sei es für IT- und Sicherheitsverantwortliche das richtige System-Operating: Motivation, Sensibilisierung, regelmäßige Kommunikation, Schulung und Training bilden die Eckpfeiler. 4

5 Cyber Security und Compliance Cyber-Angriffe auf geschäftskritische oder sicherheitsrelevante Informationen nehmen zu und reichen vom Diebstahl vertraulicher Datensätze bis zur Sabotage von ganzen Wertschöpfungsketten. Infolgedessen wächst die Bedeutung einer wirksamen Verteidigung gegen Cyber-Angriffe. Gleichzeitig müssen externe und interne Anforderungen eingehalten werden, sodass ein zentraler Aspekt dieser Verteidigung der Aufbau und die Aufrechterhaltung einer wirksamen Compliance-Organisation ist. Eine fehlende oder nicht ausreichende Vorbereitung auf Cyberangriffe würde sonst das zusätzliche Risiko beinhalten, gegen diese regulatorischen Vorgaben oder geltende Industriestandards zu verstoßen. Die Anforderungen an eine Compliance-Organisation sind vielfältig und im Zusammenhang mit Cyber Security nicht immer eindeutig oder sofort transparent. Die Organisation muss in die bestehende Unternehmensstruktur eingebunden und dabei sowohl an den wesentlichen Geschäftsprozessen als auch den unterstützenden Informationssystemen ausgerichtet werden. Als erste Anforderung sticht der Datenschutz hervor, dem besonders hier eine wichtige Funktion zukommt. Weitere Anforderungen, wie beispielsweise PCI DSS oder auch regulatorische Anforderungen aus der Finanzwelt, dem Telekommunikationssektor oder dem Health-Care-Umfeld, spielen eine wichtige Rolle und müssen in die Planung einfließen. Hierbei stehen Dokumentationsanforderungen, Organisationsvorgaben und vor allem Berichtswege bei Eintreten des Ernstfalls im Fokus. Zu unterscheiden sind drei unterschiedliche Ebenen: Die Organisationsebene definiert die regulatorischen sowie internen Anforderungen. Durch die Implementierung von Sicherheitsrichtlinien soll insbesondere das Sicherheitsbewusstsein der Organisation nachhaltig gestärkt und verbessert werden. Die Prozessebene definiert auf der Basis dieser Sicherheitsrichtlinien und auf den Ergebnissen von Risikoanalysen spezifische Kontrollziele, die zur Gewährleistung der regulatorischen sowie internen Anforderungen erreicht werden müssen. Die Informationssystemebene implementiert geeignete technische und organisatorische Maßnahmen zur Umsetzung der Kontrollziele und zur Abdeckung wesentlicher Cyber-Risiken. Diese Maßnahmen werden im Rahmen eines Kontrollframeworks auf der Basis gängiger Standards wie beispielsweise SANS, NIST, ISO oder COBIT umgesetzt und müssen kontinuierlich überwacht werden. Durch den Aufbau der Compliance-Organisation auf diesen drei Ebenen können die Anforderungen von Gesetzen und Regularien eingehalten und die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen über die Wertschöpfungskette hinweg sichergestellt werden. Projektbeispiele Am Anfang stand der Penetrationstest Der CISO eines großen, international agierenden Unternehmens erteilte Deloitte den Auftrag, zu testen, ob die Unternehmens-IT auf aktuelle Cyber-Gefahren vorbereitet wäre. Hierzu sollte Deloitte eine Auswahl der aus dem Internet erreichbaren Systeme und Anwendungen auf Herz und Nieren prüfen. Um ein realistisches Bild zu erhalten, war der Test wie ein echter Angriff vorzunehmen und nicht auf eine Sicherheitsanalyse zu beschränken. Es sollte tatsächlich der Versuch unternommen werden, empfindliche Informationen herauszuschleusen. Wie bei jedem Penetrationstest mussten zu Beginn Umfang und Zeiträume festgelegt werden, um trotz des möglichst realistischen Ansatzes nicht den laufenden Betrieb oder die Sicherheit der Systeme zu gefährden. Die Festlegung der Testanforderungen und der Angriffsszenarien fiel umso leichter, als wir uns auf das internationale Deloitte-Netzwerk optimal stützen konnten. Innerhalb kürzester Zeit brachten wir Experten aus Spanien, Indien, Ungarn und Deutschland im Projektteam zusammen, ohne dass eine Reise unternommen werden musste. Hier kam einer der großen Vorteile der geübten Zusammenarbeit im Deloitte-Netzwerk zum Tragen: Weltweit werden einheitliche Arbeits- und Dokumentationsmethoden angewandt, und auch die eingesetzten Tools in unseren Laboren sind international abgestimmt. Cyber Security? Das heißt doch nur Schutz vor Angriffen aus dem Internet Ein klar strukturierter Angriffsplan für alle Teams war notwendig, da ansonsten das Projekt aufgrund der Zeitund Budgetbegrenzungen schnell an seine Grenzen gestoßen wäre. Mit kommerziellen Softwaretools sowie mit von Deloitte selbst entwickelten Programmen und Skripten begannen wir zunächst, im Rahmen klassischer Systemtests die Schwachstellen in Software oder Architektur zu ermitteln. Schnell stellte sich heraus, dass die Sicherheitsbedenken unseres Kunden berechtigt waren, wenngleich grundsätzliche Schutzmaßnahmen sehr gut umgesetzt worden waren. Die Verteidigung ist aber immer nur so stark wie das schwächste Glied in der Kette. Am Ende 5

6 erlangten wir Administrationsrechte auf Systemen, entwendeten Tausende Mitarbeiterdatensätze und erkundeten das interne Netzwerk. Wenn es um die externe Sicherheit von IT-Systemen geht, müssen jedoch auch andere Angriffsmöglichkeiten in Betracht gezogen werden. Ein weiterer Bestandteil des Projektes war es, das Sicherheitsbewusstsein der Mitarbeiter zu überprüfen. Wir verschickten eine gefälschte Phishing- , die eine für dieses Projekt programmierte Schadsoftware enthielt. Vorbei an den Sicherheitsmechanismen konnten wir diese Mail bis zu den Mitarbeitern leiten und so unsere Schadsoftware ausführen lassen. Dies war dann der Ausgangspunkt für weitere Attacken. Sehr viele Mitarbeiter erwiesen sich als zu leichtgläubig und öffneten die mit Schadsoftware versehenen Dateianhänge: Die Quote war mit über 50% erschreckend hoch. Die Resultate des Projekts sprachen für sich, die Folge war eine komplette Über- und Neubearbeitung des Cyber-Security-Programms mithilfe von Deloitte. oder? Eher oder! Denn das Internet ist nur ein möglicher Weg, um in Unternehmensnetzwerke einzudringen. In einem zweiphasigen Projekt für ein anderes Unternehmen ging es hauptsächlich um die interne Sicherheit. An insgesamt elf Standorten in verschiedenen Ländern schlüpften wir in die Rolle einer Person, die Zugang zu den Büros hat. Dies hätte natürlich jemand sein können, dem es gelang, sich einzuschleichen aber auch Berater oder Mitarbeiter mit bösen Absichten können interne Angreifer sein. Manchmal reicht es sogar schon aus, sich nur in der Nähe des Gebäudes zu befinden, in dem eine Firma ihren Sitz hat. Wireless LAN hat sich in den letzten Jahren etabliert, um Geräte an ein Netzwerk anzubinden und um unberechtigt in Netzwerke einzusteigen. Dabei muss noch nicht einmal ein Zugangspunkt der Firma das Einfallstor bilden Mitarbeiter bringen mittlerweile Geräte aus ihrem Privatbesitz mit in die Firma, um den Kabelsalat auf ihrem Schreibtisch zu beseitigen. Dass diese Geräte nicht sicher konfiguriert werden, liegt auf der Hand. Deloitte hat daher Methoden entwickelt, um sämtliche Drahtlosnetzwerke aufzuspüren und diese in einer übersichtlichen Landkarte, unterschieden nach autorisierten und nicht autorisierten Zugangspunkten, darzustellen. Das Ergebnis dieser Projekte Auch wenn die Fragestellungen solcher Projekte recht unterschiedlich sind, sie haben dennoch ein gemeinsames Ziel: die nachhaltige Behebung aller Sicherheitsprobleme, auf verschiedenen Ebenen und in verschiedener Form, um auch für neue Bedrohungen besser aufgestellt zu sein. 6

7 Zertifizierbare Informationssicherheit Hubert Langener Tel: +49 (0) Angriffe auf die Informationstechnik aus dem Internet heraus sind derzeit ein häufiges Thema in den Medien und daher allseits präsent. Dies ist aber nur eine Facette der Informationssicherheit: Nicht vernachlässigt werden sollten beispielsweise der Abfluss von Informationen durch illoyale Mitarbeiter und Dienstleister, Betriebsstörungen durch unklare organisatorische Regelungen oder gar Betriebsunterbrechungen durch Vorfälle im Rechenzentrum. Vor dem Hintergrund der Vielschichtigkeit der Risiken fällt es Unternehmen zunehmend schwerer, ein angemessenes und wirkungsvolles Schutzniveau für ihre Informationstechnik herzustellen und dabei gleichzeitig alle relevanten Risiken zu erfassen. Hinzu kommt, dass sich die Risikolage ständig verändert und die Schutzmaßnahmen regelmäßig angepasst werden müssen. Aufgrund der großen Bedeutung der Informationstechnik für den Geschäftserfolg wenden viele Unternehmen zwischenzeitlich die klassischen Managementmethoden Ziele setzen, Steuern und Kontrollieren auch im Bereich der Informationssicherheit an. Unterstützt werden sie dabei durch den internationalen Standard ISO/IEC (Information Technology Security Techniques Information Security Management Systems Requirements), der hierzu einen weltweit anerkannten Leitfaden liefert. Ganzheitlicher Schutz von Informationen Die Bedeutung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen ergibt sich unmittelbar aus der Un ter nehmensstrategie. Daher empfiehlt es sich, die Schutzziele für Informationen von der Unternehmensstrategie abzuleiten und mit dieser in Einklang zu bringen. Grundlage ist dabei eine Risiko- und Auswirkungsanalyse, mit der zentrale Parameter wie Schutz be darf von Anwendungen, maximale Wiederanlaufzeiten nach einer Störung oder tolerierbare Aktu ali tätsverluste von Informationen ermittelt werden können. Hieraus ergeben sich dann die konkreten Maßnahmen zum Schutz der Systeme und Anwendungen, von Informationen und Netzwerken sowie der Infrastruktur und der Mitarbeiter. Dabei hat es sich in der Praxis bewährt, sich bei der Auswahl und Umsetzung der Maßnahmen am Lebenszyklus der Infor ma tions technik zu orientieren und zwischen fünf Phasen zu unterscheiden: Planung und Konzeption Beschaffung und Entwicklung Betrieb Aussonderung Notfallvorsorge Um einen wirkungsvollen Schutz herzustellen, reicht es jedoch nicht aus, nur rein technische Maß nah men in Erwägung zu ziehen. Von wesentlicher Bedeutung sind auch deren organisatorische Einbettung in die Unternehmensprozesse und deren übergreifendes Zusammenspiel. Dies gilt auch über Abteilungsgrenzen hinaus und für Prozesse, die zwar nicht in den Bereich der Informationstechnik fallen, aber dennoch unmittelbaren Einfluss auf das erreichbare Schutzniveau haben: Personalbeschaffung, -betreuung und -entwicklung Beschaffung von Material und Dienstleistungen Einhaltung von gesetzlichen und regulatorischen Vorgaben Business Continuity Management Erst dann, wenn Aspekte der Informationssicherheit zu einem inhärenten Bestandteil aller Geschäftsprozesse geworden sind, kann von praktizierter Informationssicherheit gesprochen werden. Um das erreichte Schutzniveau nicht mittelfristig wieder zu verlieren, muss sichergestellt sein, dass die umgesetzten Maßnahmen den sich ständig wandelnden Rahmenbedingungen beispielsweise bei Korrektur der Unternehmensstrategie, neuen technischen Entwicklungen oder Veränderungen der Risikolage angepasst werden. Dies wird durch einen systematischen und kon - tinuierlichen Verbes se rungs pro zess erreicht, der die Schutzmaßnahmen regelmäßig auf den Prüfstand stellt und ggf. neu ausrichtet. Unabhängig davon, dass durch ein Informationssicherheits-Managementsystem die Risikolage des Unternehmens nachhaltig verbessert wird, führen alle Effekte zusammengenommen häufig auch zu einem weiteren Vorteil: der Redu zierung der Kosten im Bereich der Informationstechnik und somit zur Ver besserung der Ertragslage des Unternehmens. Nutzen einer Zertifizierung Durch die Orientierung am internationalen Standard ISO/IEC kann an den Erfahrungen weltweit tätiger und erfolgreicher Unternehmen sowie am aktuellen Stand der Wissenschaft partizipiert werden. Gleichzeitig eröffnet dies dem Unternehmen die Möglichkeit, sich von neutraler Stelle das erfolgreiche Erreichen eines angemessenen und wirkungsvollen Schutzniveaus durch ein Zertifikat bestätigen zu lassen. Mit einem zertifizierten Informationssicher heits-managementsystem (ISMS) beweist ein Unter neh men, dass es sei ne Risiken kennt und geeignete Schutzmaß nahmen 7

8 umgesetzt hat. Für Anteils eig ner, Kunden, Liefe ranten und Mitarbeiter wird sichtbar, welch hohen Stellenwert die Informationssicherheit im Unternehmen besitzt und wie verantwortungsvoll mit anvertrauten Informationen um ge gangen wird. Es ist im Rahmen von Ausschreibungen vermehrt zu beobachten, dass Kunden ihre potenziellen Partner auf Nachweise zur Informationssicherheit ansprechen. Derartige Forderungen sind im Bereich Qualität oder Umwelt schon seit mehreren Jahren üblich und Ausdruck einer verantwortungsvollen Unternehmensführung. Ein Zertifikat erspart dann nicht nur das Ausfüllen von seitenlangen Fragebögen und Selbstauskünften, sondern belegt eindeutig und transparent die Leistungsfähigkeit des Unternehmens. Dies kann ein entscheidender Vorteil gegenüber Wett bewerbern sein. Zertifizierungsverfahren Die Zertifizierung sollte grundsätzlich durch eine sog. akkreditierte Zertifizierungsstelle durchgeführt werden. Nur so ist sichergestellt, dass das Verfahren nach international anerkannten Regeln durchgeführt wird und das Zertifikat die gewünschte Reputation besitzt. Zur Zertifizierung des Informationssicher heits-managementsystems ist im ersten Jahr ein Zertifi zie rungs audit und in den beiden fol genden Jahren jeweils ein Überwachungsaudit durchzuführen. Gegenstand der Audits sind die Anforderungen der Kapitel 4 8 sowie des normativen Anhangs A der ISO/IEC Im Rahmen der Audits überzeugen sich die Auditoren der Zertifizierungsstelle einmal im Jahr vor Ort davon, dass Deloitte Certification Services GmbH Die Deloitte Certification Services GmbH (Deloitte Cert) ist die recht lich eigenständige Zerti fizierungs stelle der Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft mit Sitz in Düsseldorf. Deloitte Cert ist bei der Deutschen Akkreditie rungsstelle GmbH (DAkkS) als Zertifizierungs stelle für Managementsysteme in den Bereichen Qualität (ISO 9001), Umwelt (ISO 14001), Energieeffizienz (EN 16001/ ISO 50001), Arbeits- und Gesundheitsschutz (OHSAS 18001/SCC) und Informations sicherheit (ISO/IEC 27001) akkredi tiert. Gleichzeitig erfüllen unsere Zertifikate die An forderungen des International Ac cre ditation Forum (IAF) und wer den wel tweit anerkannt. Eine Stärke von Deloitte Cert ist die Zertifi zie rung integrierter Management sy steme in den vorstehend genannten Bereichen in Form von kombi nierten Audits. In Zusammenarbeit mit der De loit te & Touche GmbH Wirtschafts prü fungs gesellschaft verbinden wir Audits nach ISO/IEC auch mit Prü fun gen nach SAS 70/ISAE Unsere Auditoren prüfen nicht nur das Erfüllen von Normforde rungen, wir sehen vielmehr das Informationssicherheits-Managementsystem als Instrument eines aktiven Risikomanagements im Sinne einer nachhaltigen Unternehmensführung. Daher geben wir unseren Mandanten auch Hinweise zur Effektivität, Effi zienz, Verlässlichkeit und Comp liance ihrer Prozesse. Auf diese Weise werden Managementsysteme für unsere Man danten zu Assets, deren Wert weit über das reine Zertifikat hinaus geht. das Informationssicher heits-manage mentsystem die Anforderungen des Standards erfüllt, Ziele und Maßnahmen in die tägliche Praxis umgesetzt worden sind, ein angemessenes Schutzniveau erreicht wurde sowie eine kontinuierliche Verbesserung und Weiterentwicklung stattfindet. Nach erfolgreichem Abschluss der Audits stellt die Zertifizierungsstelle das Zertifikat aus. Die Gültigkeit des Zertifikats be trägt drei Jahre und kann dann bei Ablauf durch eine sog. Re-Zertifizierung um weitere drei Jahre verlängert werden. 8

9 Cyber Security in SAP-Systemen Marcus Götz Tel: +49 (0) Jakob Lang Tel: +49 (0) In der letzten Deloitte Global Security Survey 1 wurde festgestellt, dass dem Thema Cyber Security in SAP-Systemlandschaften höchste Priorität beigemessen werden sollte. Sicherheitslücken im SAP-System, dem sämtliche Daten und Angaben zur Unternehmensstruktur und allen Prozessen zu entnehmen sind, können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben. So können durch Hackerangriffe und/ oder ein unzureichendes Berechtigungskonzept sensible Daten eingesehen oder sogar extrahiert werden. Dies kann besonders gravierend sein, wenn beispielsweise vertrauliche Konstruktionszeichnungen in der Automobilindustrie, Rezepte in der Pharmaindustrie oder Kontoinformationen von Bank-Kunden an die Öffentlichkeit gelangen. Zunehmend setzen sich auch im SAP-Umfeld Web-Technologien durch, wie der Zugriff auf SAP-Systeme über Portale oder auch mittels mobiler Endgeräte. Dadurch können bei unzureichender Konfiguration weitere Sicherheitslücken entstehen. Die Abbildung gibt einen Überblick über wichtige Sicherheitskomponenten, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen und damit die Sicherheit von Unternehmensdaten und -werten im SAP- System gefährden. Software zur Remote-Einwahl Die Software, die zur Einwahl über RFC-Verbindungen benötigt wird, ist im Internet als Freeware verfügbar. Bei unzureichendem Schutz der RFC-Schnittstellen könnten Mitarbeiter mithilfe dieser Software und zusätzlicher Systeminformationen (weiter unten beschrieben) uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, auch wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen. Firmennetzwerk Den unerlaubten Zugriff erleichtern weiterhin unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk, wobei insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle das Risiko eines erfolgreichen Eindringens erhöhen. Jan Czichos Tel: +49 (0) Typisches Bedrohungsszenario Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerkes über Remote-Function-Call-(RFC-)Verbindungen. Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAPund einem externen System. Die RFC-Bibliotheksfunktionen unterstützen die Programmiersprachen C und Visual Basic (auf Windows-Plattformen). 2 Freie Verfügbarkeit von Software zur Remote-Einwahl Benutzerkonten Alle Installationen werden durch den Softwareanbieter mit den sog. Standardbenutzern (SAP*, DDIC, ) ausgeliefert. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben zudem über Internetportale allgemein zugänglich. Bei Kenntnis von Teilen der Systemauthentifizierung (Benutzername und Passwort) werden unbefugte Zugriffe leicht möglich. Unsichere Konfiguration des Firmennetzwerks Unsichere Konfiguration der RFC-Verbindungen im Berechtigungskonzept Unzureichender Schutz von Benutzerkonten Zu geringe Komplexität der Passworteinstellungen in der SAP-Systemkonfiguration 1 Raising the Bar 2011 TMT Global Security Study Key Findings. 2 SAP Help Online Portal. 9

10 Ein weiteres Risiko stellt die Weitergabe von Zugangsdaten oder die Nutzung von Gruppenbenutzern dar. Bei Letzteren sind Zugangsdaten mehreren Anwendern gleichzeitig bekannt, was die Nachvollziehbarkeit von Systemzugriffen erschwert bzw. unmöglich macht. Passwörter In der Systemkonfiguration bietet SAP die Möglichkeit, Eigenschaften von Passwörtern und deren Verwendung bei Anmeldungen vorzugeben. Erfordern die eingerichteten Systemeinstellungen keine hinreichend komplexen Passwörter oder führt die mehrfache Fehleingabe nicht zur Sperrung des Benutzerkontos, können gültige Passwörter mit unverhältnismäßig geringem Aufwand geknackt und so ein nicht-autorisierter Zugriff erlangt werden. Konfiguration der RFC-Verbindungen Ebenfalls in der Systemkonfiguration werden Parametereinstellungen für ein- und ausgehende RFC-Verbindungen festgelegt. Entsprechende Berechtigungsobjekte innerhalb von Zugriffsberechtigungen ermöglichen zugeordneten Benutzern dann, RFC-Verbindungen aufzubauen. Nach erfolgreichem Aufbau einer Verbindung hat der Benutzer nicht nur Zugriff auf Daten, sondern kann diese sogar aus dem System heraus übertragen. SAP Security Healthcheck Als Maßnahme gegen solche und ähnliche Bedrohungen hat Deloitte den SAP Security Healthcheck entwickelt, welcher u.a. eine schnelle und aussagekräftige Bestandsaufnahme des aktuellen Gefährdungsgrades der SAP- Systeme ermöglicht. Der SAP Security Healthcheck beginnt mit einer Ist-Aufnahme der Systemsicherheit, des Rollenkonzeptes und der Notfall- und Administrationsprozesse (strukturiert in vier Säulen siehe Abbildung). Die automatisierte Auswertung der relevanten Systeminformationen erfolgt mittels einer Deloitte-Prüfungssoftware, die auch im Rahmen von Jahresabschlussprüfungen verwendet wird. Darüber hinaus kann bei Bedarf auch ein simulierter Angriff auf ein vorab ausgewähltes Zielsystem durchgeführt werden. Die Ergebnisse der Überprüfung werden durch Deloitte bewertet und in Form von Handlungsempfehlungen mit dem Kunden besprochen. Abhängig vom Grad der Gefährdung erfolgen notwendige Anpassungen entweder kurzfristig (Quick Wins), mittelfristig (Umsetzung in einem Projekt) oder längerfristig (Einplanung im Regelbetrieb). Maßnahmen zur Verbesserung der Cyber Security in SAP-Systemen Unerlaubte Zugriffe von außerhalb können durch verschiedene Maßnahmen auf jede der vier beschriebenen Säulen geschehen. Gestützt werden alle Säulen durch etablierte Sicherheitsrichtlinien, die u.a. verbindliche Vorgaben für die Bewertung von Benutzeranfragen, Umsetzung von Berechtigungsänderungen und Überwachung kritischer Zugriffsrechte schaffen. 1. SAP-Systemsicherheit Optimierung der Parametereinstellungen (speziell für Passwörter, Anmeldeversuche, RFC-Verbindungen und Berechtigungsprüfungen) und Implementierung von Schutzebenen für Standardbenutzer und Berechtigungen. Grundlagen von SAP-Berechtigungskonzepten Zugriffskontrollen und Funktionstrennung (SOD) SAP-Systemsicherheit Definition, Einhaltung und Durchsetzung der Sicherheitsrichtlinien Parametereinstellungen Logging von Tabellenänderungen Rollenkonzept Definition von Rollen und Verantwortlichkeiten Ausgereiftes Rollendesign Wahrung der Funktionstrennung Kontrolle von kritischen Berechtigungen Dokumentation Super-/Notfallbenutzer- Konzept Kontrollierte Handhabung von Berechtigungen in Ausnahmefällen Kontrolle der Nutzung der Ausnahmeberechtigungen Gewährleistung der Nachvollziehbarkeit Prozesse Prozesse zur Verwaltung von Berechtigungen sind dokumentiert, kommuniziert und werden vom Business gelebt. Schlüsselkontrollen (Genehmigung von Zugriffen, SOD Checks) Periodische Kontrollen (Re-Zertifizierung, SOD Management) 10

11 2. Rollenkonzept In diesem Bereich ist vor allem ein transparentes und aufgabenbezogenes Rollenkonzept von großer Wichtigkeit. Die Ausgestaltung der Berechtigungsrollen sollte nach dem Prinzip der minimalen Berechtigung erfolgen. Funktionstrennungsanforderungen, insbesondere im Bereich der Basis-Administration, sind im Konzept zu berücksichtigen. Besonders zu beachten ist die korrekte Ausprägung relevanter Berechtigungsobjekte (z.b. S_RFC) innerhalb von Rollen und Profilen. 3. Super-/Notfallbenutzer-Konzept Bei der Konzeption von Notfallkonzepten sollte auf die Verwendung von SAP-Standardberechtigungen verzichtet werden. Nach der Verwendung von Notfall-Usern müssen in jedem Fall eine Auswertung der Protokollierung hinsichtlich kritischer Zugriffe und die Einleitung von korrektiven Maßnahmen bei Abweichungen erfolgen. 4. Prozesse Überwachungsprozesse minimieren das Risiko, indem Schwachstellen entweder präventiv vermieden oder schnell identifiziert werden, um Gegenmaßnahmen einzuleiten. Speziell die Überwachung der Maßnahmen zu den vorangegangenen Punkten schafft ein stabiles Fundament und unterstützt ein etabliertes Risikoniveau nachhaltig. Weitere Maßnahmen Über den SAP-Router können SAP-Netzwerkverbindungen gezielt und abgesichert aus dem eigenen Netzwerk in ein anderes weitergeleitet werden. Der SAP-Router arbeitet mit SNC (Secure Network Communications). Dabei werden durch zuverlässige Authentifizierung und Verschlüsselung der zu übermittelnden Daten sichere Netzwerkverbindungen hergestellt. Auch für die Infrastruktur- und Middlewarekomponenten der SAP-Landschaft (Portal, Betriebssysteme, Datenbanken etc.) sind geeignete Sicherheitsmaßnahmen umzusetzen, um Schwachstellen zu vermeiden. Abschließende Bemerkungen Bisher bei Unternehmen durchgeführte SAP Security Healthchecks verdeutlichen, dass Cyber Security auch im SAP-Umfeld eine besonders wichtige Rolle spielt, zukünftig sogar immer weiter an Bedeutung gewinnen wird. Deloitte verfügt im Bereich Cyber Security und SAP-Sicherheit über Spezialistenteams, die unsere Kunden bei der Analyse und Bewertung der Risiken, der Bereinigung und dem sicheren Betrieb von SAP-Systemen unterstützen können. Dabei profitieren unsere Kunden nicht nur von unserer Fachkompetenz, sondern auch von unserer strategischen Partnerschaft mit SAP, wodurch wir stets über aktuelle Produktkenntnisse verfügen. Die Bandbreite der Deloitte-Dienstleistungen reicht von der Bewertung der Architektur der Anwendungsumgebung sowie des Designs und der Implementierung von SAP-Berechtigungskonzepten bis hin zu gezielten Entwickler- und Mitarbeiterschulungen. Für Rückfragen und weitere Informationen steht Ihnen Herr Marcus Götz gerne zur Verfügung. 11

12 Cyber Security in Smart Grids Ludwig Einhellig Tel: +49 (0) Patrick Düssel Tel: +49 (0) Infolge der Atomkatastrophe in Fukushima revidierte die Bundesregierung ihr bisheriges Energiekonzept, verstärkt rückten die erneuerbaren Energien in den Fokus. Unter den zahlreichen Gesetzesänderungen, wie beispielsweise dem Erneuerbare-Energien-Gesetz 2012 (EEG), ist auch das Energiewirtschaftsgesetz (EnWG), das die Anforderungen an die Verwendung intelligenter Energiezähler und auch die Beschaffenheit der künftigen Energieverteilsysteme selbst beschreibt. Smart Grids sind intelligente Stromnetze, bei denen neben den Verteilungsleitungen über ein separates Informationsnetz bidirektional System- und Verbrauchsdaten ausgetauscht werden, um eine optimale Übertragung und Verteilung der Elektrizität vom Lieferanten bis zum Verbraucher zu gewährleisten (Abb. 1). Die Vorteile von Smart Grids Ein Smart Grid besteht im Wesentlichen aus vier Funktionsbereichen: Energieerzeugung, Energieübertragung, Energieverteilung und Energieverbrauch. Die Prozesse zur Energieerzeugung, -übertragung und -verteilung werden dezentral durch Energiemanagementsysteme gesteuert. Zur Übermittlung von Mess- und Steuerdaten sowie Tarifinformationen wird parallel zum Energienetz eine Kommunikationsinfrastruktur betrieben, welche die vier Funktionsbereiche miteinander verbindet. Energiedienstleister (z.b. für Rechnungsmanagement oder Messdienstleistungen) und Energiehandel (u.a. Broker, Börsen, Clearinghäuser) erhalten über definierte Schnittstellen Zugriff auf Erzeuger- und Verbraucherdaten. Die Kommunikation der Daten erfolgt dabei nicht nur über proprietäre, sondern zunehmend auch über standardisierte Kommunikationsprotokolle. Diese Daten können dabei sowohl über private als auch über öffentlich zugängliche Netzwerke (z.b. Internet) übertragen werden. Herausforderungen Eine durch Informations- und Kommunikationstechnologie (IKT) unterstützte intelligente Strominfrastruktur ist durch ihre Flexibilität unerlässlich für die Verwirklichung zukunftsfähiger Energie-Szenarien. Durch den vermehrten Einsatz von IKT und die damit verbundene erhöhte Anzahl von Schnittstellen im Energienetz entstehen aber auch neue Sicherheitsrisiken in Bezug auf Netzverfügbarkeit, Systemintegrität und Datenschutz. Der Gesetzgeber hat weitgehend auf Vorgaben, die Kommunikationswege, ihre konkrete operative Ausgestaltung oder ihre technische Einbindung betreffend, verzichtet. Trotz fehlender Standards und Leitlinien, die sich auf ihre Eignung hin kritisch betrachten ließen, ist es bereits durch erste Smart-Meter-Rollouts möglich, ein ausreichend genaues Bild der involvierten Prozesse zu zeichnen, wodurch auch ein entscheidender Punkt unter die Lupe genommen werden kann: die neuen Risiken. Regulatorische Änderungen Zunächst ist wichtig zu wissen, was de lege lata eigentlich gefordert wird: 21 EnWG regelt, über welche Mindestfunktionen ein intelligentes Messsystem (bestehend aus Zähler und Gateway) verfügen muss, einzig die Ausstattung bedarf noch eines detaillierten Branchenkonsenses. Abb. 1 Klassisches Energienetz Smart Grid Kohle Solarenergie Energiespeicher Energieversorger Wasserkraft Kernenergie Energieversorger Kohle Wasserkraft Solarenergie Windenergie Energiespeicher Kernenergie Windenergie Solarenergie Energiespeicher Elektromobilität Windenergie Übertragung/Verteilung von Energie in eine Richtung Bidirektionale Übertragung/Verteilung von Energie und Informationen Energieverbraucher Energiefluss Periodischer Informationsfluss Kontinuierlicher Informationsfluss 12

13 Das Aufkommen intelligenter Zähler konfrontiert die Versorger mit einem neuen Sicherheitsproblem. Gemäß 21 lit. e EnWG haben Messsysteme zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität den folgenden Anforderungen zu genügen: Zur Datenerhebung, -verarbeitung, -speicherung, -prüfung und -übermittlung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die zum einen den Anforderungen von Schutzprofilen entsprechen sowie zum anderen besondere Anforderungen an die Gewährleistung von Interoperabilität erfüllen. Die an der Datenübermittlung beteiligten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen. Gemäß 21 lit. g EnWG dürfen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus dem Messsystem oder mithilfe des Messsystems ausschließlich durch zum Datenumgang berechtigte Stellen 1 erfolgen und nur geschehen, soweit dies erforderlich ist für 1. das Begründen, inhaltliche Ausgestalten und Ändern eines Vertragsverhältnisses auf Veranlassung des Anschlussnutzers; 2. das Messen des Energieverbrauchs und der Einspeisemenge; 3. die Belieferung mit Energie einschließlich der Abrechnung; 4. das Einspeisen von Energie einschließlich der Abrechnung; 1 Zum Datenumgang berechtigt sind gem. 21 lit. g EnWG der Messstellenbetreiber, der Netzbetreiber und der Lieferant sowie die Stelle, die eine schriftliche Einwilligung des Anschlussnutzers, die den Anforderungen des 4a des Bundesdatenschutzgesetzes genügt, nachweisen kann. Für die Einhaltung datenschutzrechtlicher Vorschriften ist die jeweils zum Datenumgang berechtigte Stelle verantwortlich. 5. die Steuerung von unterbrechbaren Verbrauchseinrichtungen in Niederspannung; 6. die Umsetzung variabler Tarife einschließlich der Verarbeitung von Preis- und Tarifsignalen für Verbrauchseinrichtungen und Speicheranlagen sowie der Veranschaulichung des Energieverbrauchs und der Einspeiseleistung eigener Erzeugungsanlagen; 7. die Ermittlung des Netzzustandes in begründeten und dokumentierten Fällen; 8. das Aufklären oder Unterbinden von Leistungserschleichungen. Offene Baustellen und damit Wegweiser dafür, was noch an zusätzlichen Regelungen zu erwarten ist sind Fragen ob der Einbindung von Energiespeichern im Allgemeinen, Nachtspeicherheizungen und Wärmepumpen sowie Lademodulen von Elektromobilen. Hier existieren noch keine Regelungen anders im Einsatzbereich der erstgenannten Pflichteinbau-Fallgruppen für Strom und Gas. Sicherheit als kritischer Erfolgsfaktor Das Smart Grid stellt per se eine cyberkritische Infrastruktur dar, deren Störung oder Ausfall schwerwiegende wirtschaftliche oder gesellschaftliche Schäden nach sich ziehen kann. Es ist daher ein umfassendes IT-Sicherheitskonzept erforderlich, welches physische, technische sowie administrative Maßnahmen zur kontinuierlichen Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aufeinander abstimmt und in sich vereint. Die besonderen Eigenschaften einer komplexen und integrierten Lieferkette müssen dabei berücksichtigt werden. Technische Herausforderungen Infrastruktur Smart Grids unterscheiden sich im Wesentlichen von einem klassischen Energienetz darin, dass sie einer dezentralen Struktur folgen und aus einer Vielzahl heterogener, komplex vernetzter und dynamischer Systeme bestehen. Vertikale Geschäftsprozesse in den Unternehmen erschweren die Trennung vertrauenswürdiger Prozesssteuerungsnetze von nicht-vertrauenswürdigen Unternehmensnetzen (z.b. innerbetriebliches Reporting). Um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten für Versorgungs- und Steuerungsprozesse zu gewährleisten, ist die Umsetzung einer effektiven Sicherheitsarchitektur erforderlich, welche geeignete physische, technische und administrative Maßnahmen aufeinander abgestimmt vorsieht. Die Einhaltung von Industriestandards (wie z.b. ANSI/ISA ) sollte berücksichtigt werden. 13

14 Abb. 2 Attacker Sophistication Accidental Discovery Malware Insider Applikationen Interoperabilität ist eine wesentliche Voraussetzung für die Realisierung von Smart Grids. In einem Smart Grid werden Mess- und Verbrauchsdaten über eine gemeinsame Kommunikationsinfrastruktur übertragen. Durch den Einsatz von serviceorientierten Softwarearchitekturen können Erzeuger, Händler, Dienstleister und Verbraucher prozessrelevante Daten in einer heterogenen IT-Landschaft über sog. Web Services übertragen. Die Entwicklung solcher Applikationen erfordert hohe Qualitätssicherungsstandards und die Einhaltung formaler Prozesse der Softwareentwicklung (SDLC 2 ), um sicherheitsrelevante Funktionen bereits im Softwareentwurf zu berücksichtigen und Programmierungsfehler frühzeitig zu erkennen und zu beseitigen. Sofern vorhanden, ist die Umsetzung der Vorgaben aus Schutzprofilen nach ISO und aus speziell für Smart-Grid-Komponenten entwickelten technischen Richtlinien (z.b. BSI TR-03109) bei der Softwareentwicklung zu beachten. Kommunikation Zur Steuerung der Prozesse im Bereich Energieerzeugung, -übertragung und -verteilung kommen sog. SCADA 3 -Netze zum Einsatz, die nicht wie bislang in der Industrieautomation üblich isoliert betrieben werden, sondern Systeme der einzelnen Funktionsbereiche auch beispielsweise über das Internet miteinander verbinden. Die Kommunikation erfolgt dabei nicht nur über proprietäre, sondern zunehmend auch über standardisierte Kommunikationsprotokolle. Es müssen Maßnahmen zur Sicherstellung von Vertraulichkeit und Integrität übertragener sowie gespeicherter Daten bereitgestellt werden. Ein kontinuierliches Vulnerability Management ermöglicht zudem die frühzeitige Identifikation, Bewertung und Korrektur von infrastrukturellen sowie applikationsspezifischen Schwachstellen. Lone Hacker/ Hobbyist Business Partner 'Script kiddy' Disgruntled ex-it Administrator Competitor Disgruntled Customer Disgruntled ex-employee State-sponsored Cyber Warfare Organised Crime Hacker Collectives Cyber Terrorism 'Hacktivism' Compliance Im Gegensatz zum klassischen Energienetz werden die Funktionsbereiche eines Smart Grid von einer Vielzahl unterschiedlicher, potenziell nicht vertrauenswürdiger Geschäftspartner abgewickelt, die prozessrelevante Daten untereinander austauschen. Die Einhaltung einheitlicher Sicherheitsstandards (z.b. gemäß ISO oder BSI 100-1) ist daher für einen sicheren Betrieb des Smart Grid unabdingbar. Darüber hinaus sind die Umsetzung und Gewährleistung von geltenden Datenschutzbestimmungen zwingend notwendig, um Kunden- und Verbrauchsdaten zwischen Geschäftspartnern kooperativ austauschen zu können. Notfallmanagement Aufgrund der hohen Komplexität des Gesamtsystems und der Abhängigkeiten zwischen den Teilsystemen sind Folgeschäden, z.b. hervorgerufen durch sog. Kaskadeneffekte, nur schwer abschätzbar. Maßnahmen zum Notfallmanagement (BCM 4 ), welche systemische Interdependenzen bei der Risikoanalyse berücksichtigen, sind daher zwingend erforderlich. Bedrohungen im Bereich Cyber Security Ein Smart Grid ist einer Vielzahl von Bedrohungen ausgesetzt. Durch die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologien zur Gewährleistung der Versorgungssicherheit im Smart Grid sowie zur Realisierung von Dienstleistungen geht von gezielten Cyber-Angriffen eine besonders große Gefahr aus. Aufgrund der wirtschaftlichen und gesellschaftlichen Bedeutung von Smart Grids ist zu erwarten, dass intelligente Stromnetze in Zukunft weniger durch Hobby -Hacker, sondern vermehrt durch Cyber-Aktivisten, cyberterroristische Vereinigungen, organisierte Kriminalität und ausländische Regierungen 5 angegriffen werden. Diese Angreifer zeichnen sich vor allem durch ein hohes technisches Fachwissen, hohe Motivation, diszipliniertes Verhalten und große finanzielle Ressourcen aus. Angriffe, die sich aus sog. Advanced Persistent Threats (APT) ergeben, erfolgen gezielt, koordiniert und über einen langen Zeitraum (Abb. 2). Obwohl die Manipulation von Smart-Meter-Daten auf der Verbraucherseite (Cyber Fraud) auch eine große Bedrohung darstellt, gehen von gezielten Angriffen auf die Smart-Grid-Infrastruktur weitaus größere Gefahren aus. Auf der nächsten Seite sind einige relevante Angriffe aufgeführt. Attacker Determination 2 Software Development Life Cycle. 3 Supervisory Control and Data Acquisition. 4 Business Continuity Management. 5 Z.B. im Kontext von Cyber-Kriegsführung. 14

15 Denial of Service (DoS) DoS-Angriffe auf Internetgateways beim Verbraucher (z.b. Smart Metering Gateway ) sowie auf interne Netze von Industrieautomationsanlagen können zur Unterbrechung der Stromversorgung führen. Malware Hijacking einzelner Systeme in Industrieautomationsanlagen durch gezielte Installation von Malware kann zur Fremdsteuerung von Prozessen und zum Verlust sensibler Daten führen. Poisoning Poisoning von internen Infrastrukturdiensten (z.b. DNS Cache Poisoning ) kann zur Übernahme von Diensten sowie zur Störung oder zum Ausfall des Prozessbetriebes führen. Exploitation Das Ausnutzen von Softwareschwachstellen kann zur Übernahme und Fremdsteuerung von Systemen in Industrieautomationsanlagen führen. Industrieautomationsanlagen haben in der Regel einen langen kontinuierlichen Betrieb, der auf langen Wartungsintervallen beruht. Nur in großen Zeitabständen können bekannte Schwachstellen durch Anwendung entsprechender Patches beseitigt werden, weshalb sich lange Zeiträume ergeben, in denen Angreifer die Möglichkeit haben, Schwachstellen auszunutzen. Man-in-the-Middle Kommunikationsprotokolle, die in SCADA-Netzen eingesetzt werden, können unter Umständen bei der Übertragung in Netzwerken abgehört, aufgezeichnet, ggf. entschlüsselt, modifiziert und übertragen werden. So kann z.b. ein Angreifer durch gezielte Modifikation von Registerwerten eines Programmable Logic Controller (PLC) ein inkonsistentes Prozessbild auf der Master Terminal Unit (MTU) eines SCADA-Netzes erzeugen und auf den falschen Werten basierend inkorrekte Steueranweisungen an die PLCs verursachen mit dem Ziel, den Prozess in einen undefinierten Zustand überzuführen. Cyber Security für Smart Grids Unternehmen, die innerhalb eines Smart Grid operieren, müssen Risiken verstehen, Bedrohungen identifizieren, Maßnahmen, um bekannte Bedrohungen zu adressieren, umsetzen sowie die Fähigkeit besitzen, zeitnah und effektiv auf Cyber-Bedrohungen zu reagieren. Auf Grundlage einer speziell für Smart Grids entwickelten Risk Map können unternehmensspezifische Herausforderungen und Risikobereiche identifiziert werden. Dadurch ist es möglich, Maßnahmen zur Risikoreduktion zu priorisieren und Prozesse sowie Kontrollen kosteneffektiv in die Gesamtlösung zu integrieren. Ein effektives Informationssicherheits-Managementsystem (ISMS) ist darüber hinaus notwendig, um Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren und kontinuierlich zu verbessern (Abb. 3). Abb. 3 Technische, Prozess- & Governance- Kontrollen 3 Cyber Threat Prevention and Monitoring Präventive und detektive Technologien 2 Cyber Threat Intelligence (CTI) Smart Grid Cyber Security 4 Cyber Incident Response 1 Smart Grid Risk Assessment Availability Integrity Data Protection Regulatory Compliance 2 Entwurf und Implementierung von 3 Entwurf und Implementierung von Anwendungsfällen in Bezug auf physischen, technischen und administrativen 4 Cyber Espionache, APTs, Kontrollen auf Basis Clandestine -Aktivitäten sowie des Risk Assessment Insider-Bedrohungen Beschaffung und Auswertung von Lageinformationen über Cyber- Bedrohungen Benchmarking und Überwachung von Cyber-Aktivitäten Identifikation und Behandlung von Cyber-Vorfällen, Sofortmaßnahmen zur Eindämmung der Bedrohung Analyse von Cyber-Vorfällen (Wer hat was, wann, wie gemacht?) Ableitung von präventiven Maßnahmen zur Vermeidung von identifizierten Cyber-Vorfällen 15

16 Mit der guten alten Zeit des Messwesens dürfte es für immer vorbei sein. Fazit und Ausblick Aufgrund der wirtschaftlichen und gesellschaftlichen Bedeutung stellen Smart Grids in Zukunft ein attraktives Angriffsziel für Hacker dar. Die hohe Komplexität der zugrunde liegenden Kommunikationsinfrastruktur, die Integration einer Vielzahl unterschiedlicher Unternehmen zur Realisierung von Lieferketten und Dienstleistungen, die Nutzung öffentlicher Netzwerke für die Übertragung prozessrelevanter Daten und die zunehmende Konvergenz von proprietären hin zu standardisierten Kommunikationsprotokollen führen zu einer vergrößerten Angriffsfläche, die es einem Angreifer erleichtert, verschiedene Attacken unterschiedlicher Form mit Erfolg durchzuführen. Bislang musste man Energieversorgern in Sachen (Informations-)Sicherheit wenig erklären. Das Aufkommen intelligenter Energiezähler konfrontiert sie nun aber mit neuen Herausforderungen, wobei die anhaltende Datenschutzdebatte den Versorgern erkennbar ungelegen kommt. Das Geschäft mit den Messeinrichtungen lief bislang in stabilen Bahnen und warf für die Messstellenbetreiber garantierte Erlöse ab. Mit der guten alten Zeit des Messwesens dürfte es allerdings für immer vorbei sein. Die Versorger versuchen zwar, einen Großteil der entstehenden Risiken auf die Zählerhersteller abzuwälzen, doch die Endgerätehersteller werden die Messstellenbetreiber mit BSI-konformen Messgeräten nur von kundenseitigen Datenschutzanforderungen freistellen, nicht aber von den generellen Risiken beim Aufsetzen einer föderalen Sicherheitsarchitektur. Bereits jetzt ist absehbar, dass sich Energieverbrauchszähler neben ihrer Funktion als Messgerät immer mehr zu einem Datentresor entwickeln. Mit der Verwendung und dem stetig anwachsenden Zusammenspiel moderner Informations- und Kommunikationstechnologien erwachsen bei der Realisierung von intelligenten Stromnetzen weitere Herausforderungen rund um die Verfügbarkeit, Integrität und Vertraulichkeit von prozessrelevanten sowie kundenspezifischen Daten. Ein ganzheitliches Sicherheitskonzept ist somit notwendig, das sowohl innerbetriebliche als auch zwischenbetriebliche Geschäftsprozesse und Schnittstellen innerhalb einer Lieferkette berücksichtigt, Bedrohungen und Risiken innerhalb eines Unternehmensverbundes identifiziert und diese physisch, technisch und administrativ kontrollieren kann. Wie aktuelle Erfahrungen aus den USA zeigen, kommt es bereits zu ersten Konflikten zwischen den Herstellern von Gateways und Service-Providern, die als Last-Aggregatoren Lastschaltfunktionen in den Haushalten einzelner Energieverbraucher vornehmen müssen: Den Service-Providern ist es derzeit nämlich nicht möglich, die von den Geräteherstellern in den Gateways hinterlegten Schaltwerte zu ändern. Es muss ein tragfähiges Zertifizierungs- und Sicherheitsregime etabliert und Zertifizierungsprozesse müssen definiert werden, die gleichermaßen robust und adaptiv sind. Versorger und Endgerätehersteller sind also gut beraten, aufmerksam die Markterfahrungen zu studieren, die hierzu bereits aus anderen Branchen und anderen Ländern vorliegen. Der Bereich Energy & Resources von Deloitte kann dabei helfen! 16

17 Das könnte Sie auch interessieren Compliance im Wandel Integrated-Compliance- &-Risk-Management als Ansatz für eine gesicherte Zukunft Contract Risk Compliance Mehrwert durch Lizenz- und Vertragsprüfungen Corporate Governance Forum 2/2012 Informationen für Aufsichtsrat und Prüfungsausschuss Deloitte Process Analysis Innovativer Ansatz im Bereich der Datenanalyse Für mehr Informationen Andreas Herzig Tel: +49 (0) Hinweis Bitte schicken Sie eine an wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen. Für weitere Informationen besuchen Sie unsere Webseite auf Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.s.d. BDSG und, soweit gesetzlich zulässig, die mit ihr verbundenen Unternehmen nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürstendamm 23, Berlin, oder widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Diese Veröffentlichung enthält ausschließlich allgemeine Informationen und weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited ( DTTL ), noch eines der Mitgliedsunternehmen von DTTL oder eines der Tochterunternehmen der vorgenannten Gesellschaften (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen in den Bereichen Wirtschaftsprüfung, Unternehmensberatung, Finanzen, Investitionen, Recht, Steuern oder in sonstigen Gebieten. Diese Veröffentlichung stellt keinen Ersatz für entsprechende professionelle Beratungs- oder Dienstleistungen dar und sollte auch nicht als Grundlage für Entscheidungen oder Handlung dienen, die Ihre Finanzen oder Ihre geschäftlichen Aktivitäten beeinflussen könnten. Bevor Sie eine Entscheidung treffen oder Handlung vornehmen, die Auswirkungen auf Ihre Finanzen oder Ihre geschäftlichen Aktivitäten haben könnte, sollten Sie einen qualifizierten Berater aufsuchen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. To be the Standard of Excellence für über Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), und/oder ihr Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu Limited und ihrer Mitgliedsunternehmen finden Sie auf Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Stand 07/2012

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt.

Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt. Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt. Thomas Tschersich Quelle Grafik: www.zdnet.de Viele große Unternehmen wurden in jüngster Vergangenheit

Mehr

Smart Grid: Problembereiche und Lösungssystematik

Smart Grid: Problembereiche und Lösungssystematik Smart Grid: Problembereiche und Lösungssystematik Claudia Eckert Fraunhofer-Institut AISEC, München VDE/GI-Forum: Informationssicherheit im Stromnetz der Zukunft. 14.3.2014 IKT ist das Nervensystem des

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

in a changing world.

in a changing world. in a changing world. Wir tun alles für den sicheren Erfolg Ihrer Unternehmung ISPIN AG ist ein führender Anbieter von Cyber Security- und Netzwerklösungen sowie Beratungsleistungen rund um die Informationssicherheit

Mehr

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Christian Bruns, Informationssicherheit BTC Business Technology Consulting AG Vorstellung Vorstellung Christian Bruns Wirtschaftsinformatik

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements Pallas GmbH und Secunia präsentieren Compliance und Nutzen eines automatisierten Patch Managements Software-Schwachstellen Fehler im Anwendungscode: Sicherheitsrisiken Funktionalität Eine Schwachstelle,

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Operational Excellence - ASOC 2.0

Operational Excellence - ASOC 2.0 Operational Excellence - ASOC 2.0 Kai Grunwitz Vice President Professional Services Central Europe München 19.05.2015 Agenda Kurzvorstellung NTT Com Security Security Operations: Aufgaben und Herausforderungen

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Projekt. Roll-Out Messsysteme Infrastruktur. Intelligente Messsysteme in der Umsetzung Das Netze BW Projekt ROMI

Projekt. Roll-Out Messsysteme Infrastruktur. Intelligente Messsysteme in der Umsetzung Das Netze BW Projekt ROMI Projekt Roll-Out Messsysteme Infrastruktur Intelligente Messsysteme in der Umsetzung Das Netze BW Projekt ROMI Energiegemeinschaft Herbstveranstaltung 2014 Ein Unternehmen der EnBW Agenda 1 Hintergründe

Mehr

Anforderungen an Energie- Managementsysteme nach ISO 50001. Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS)

Anforderungen an Energie- Managementsysteme nach ISO 50001. Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) Anforderungen an Energie- Managementsysteme nach ISO 50001 Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) ISO 50001 4.1 Allgemeine Anforderungen Das Energiemanagementsystem (EnMS)

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Smart Meter Gateway Administrator

Smart Meter Gateway Administrator unternehmensberatung und software gmbh Smart Metering Smart Meter Gateway Administrator Strategie Integration Rollout Zähl- und Messwesen im digitalen Zeitalter Herausforderungen Im zweiten Quartal 2014

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Nachhaltige Sicherstellung der Einhaltung grundlegender Anforderungen Hans Honecker IT-Sicherheit und

Mehr