Workshop 3. Praxisgerechte Informationssicherheit im Leasing. Dr. Keye Moser, SIZ GmbH 3. BDL-Forum Digitalisierung, Berlin, 2.10.

Transkript

1 Workshop 3 Praxisgerechte Informationssicherheit im Leasing Dr. Keye Moser, SIZ GmbH 3. BDL-Forum Digitalisierung, Berlin, Copyright SIZ GmbH

2 Unsere mehr als 190 Mitarbeiter setzen seit 1990 Maßstäbe in IT-Sicherheits- und ebanking-standards seit 2010 auch im Beauftragtenwesen V01/2017 Copyright SIZ GmbH Seite 2

3 Die SIZ GmbH ist ein Gemeinschaftsunternehmen der Sparkassen-Finanzgruppe Rheinischer Sparkassen- und Giroverband Sparkassenverband Bayern Sparkassenverband Rheinland-Pfalz Finanzgruppe Hessen-Thüringen Finanzgruppe Sparkassenverband Niedersachsen Finanzgruppe Ostdeutscher Sparkassenverband Hanseatischer Sparkassen- und Giroverband Finanzgruppe Sparkassenverband Saar Sparkassenverband Westfalen-Lippe Stadtsparkasse München Stadtsparkasse Hannover Deutsche Sparkassen Leasing AG & Co. KG V01/2017 Copyright SIZ GmbH Seite 3

4 Viele Kunden auch außerhalb der Sparkassen- Finanzgruppe setzen auf unsere Sicherheits-Angebote Hamburg, Münster, Nürnberg Hannover, Südwest, Berlin, Baden-Württemberg, West, Hessen, Augsburg München, Ostbayern Copyright SIZ GmbH Seite 4

5 Copyright SIZ GmbH Seite 5

6 Stellenwert der Informationssicherheit für Leasing-Unternehmen Copyright SIZ GmbH Seite 6

7 Was ist Informationssicherheit? Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden (technischen oder nichttechnischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.... Informationssicherheit umfasst u. a. IT-Sicherheit Computersicherheit Datensicherheit Datensicherung (Wikipedia, 09/2018) Copyright SIZ GmbH Seite 7

8 Informationssicherheit bei Leasing-Unternehmen Welche Anforderungen bestehen an die Informationssicherheit in Leasing- Unternehmen? Welche Gefahren/Bedrohungen existieren? Copyright SIZ GmbH Seite 8

9 Das Spielfeld und die Spielregeln werden nicht durch die IT bestimmt oder gesteuert. Die Teams spielen nach eigenen Regeln! Team Hacker Bereicherung Spaß Spionage Team Unternehmen Reputation Marktnähe Wirtschaftlichkeit Team Regulator Gesetze, Vorgaben Nachvollziehbarkeit Prüfbarkeit Team Kunde Trendgetrieben (iphone, facebook, ) Einfachheit alles kostenlos

10 Kosten, Nutzen, Anwendbarkeit und Risiken müssen kontinuierlich austariert werden. Kosten Gesamtkosten Kosten/Nutzen Optimum Sicherheitsinvestition Anwendbarkeit Kalkulierter Schaden Sicherheit

11 Beispiel: Passwortschutz - keiner kann sich ein 13-stelliges komplexes Passwort merken! Konsequenz: z. B. 2-Faktor-Authentisierung

12 Gesetze/Vorschriften Copyright SIZ GmbH Seite 12

13 Ausgangslage Es gibt eine Vielzahl an deutschen und internationalen Gesetzen und Vorschriften ( geltendes Recht ), die das Umfeld der Informationssicherheit regeln. Weiterhin können ggf. auch ausländische (nicht-eu!) Regulierungen einen Einfluss auf die IT haben (Beispiel: Sarbanes-Oxley-Act der USA oder SAS 70 für Dienstleister). Daneben muss zwingend auch die jeweils geltende Rechtsprechung durch die Gerichte berücksichtigt werden. Eine nicht vollständige Auswahl umfasst: Copyright SIZ GmbH Seite 13

14 2018: Wo stehen wir heute z. B. bei Finanzdienstleistern COBIT IDW KRITIS AO PCI/DSS IT-SiG / BSIG IT-Grundschutz NIST Solvency II BAIT MaSi MaRisk MaGo MaInv KWG ISO 2700x HGB Basel III ITIL DSGVO PSD 2 BDSG Neu Eigene Regularien B3S MaComp Cybersicherheit

15 Relevante Standards: ISO27001 in der Praxis Copyright SIZ GmbH Seite 15

16 Informationssicherheits-Standards: ISO/IEC / ISO/IEC (1) Die ISO-Normengruppe ISO umfasst verschiedene, z. T. noch geplante Normen rund um das Thema Informationssicherheit: ISO/IEC 27000:2016 enthält Begriffe und Definitionen, welche in der Normenserie ISO verwendet werden. ISO/IEC 27001:2013 enthält neben dem Management-Rahmen der Informationssicherheit die aus ISO/IEC umzusetzenden Bestandteile eines zertifizierbaren Informationssicherheits-Managementsystems. Besondere Betonung liegt auf dem Management-Prozess. Die Umsetzung der Norm erfordert strenge Beachtung der Norm ISO/IEC ISO/IEC 27002:2013 entstand durch Umbenennung der Norm ISO 17799:2005. Diese Norm enthält best practices zur Herstellung von Informationssicherheit. ISO/IEC 27003:2010 enthält einen Leitfaden zur Umsetzung der ISO ISO/IEC 27004:2016 heißt: Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation und enthält bei der Definition einer Metrik zu beachtende Hinweise. ISO/IEC 27005:2011 behandelt angelehnt an BS und ISO TR das Thema Informationssicherheits-Risikomanagement. ISO/IEC 27006:2015 behandelt die Anforderungen an ISMS-Zertifizierungs- und Auditierungs-Stellen. ISO/IEC 27007:2011 enthält Richtlinien für Auditoren. ISO/IEC TR 27008:2011 enthält Richtlinien für Auditoren von ISMS-Controls. ISO/IEC 27009:2016 enthält Richtlinien für die Anwendung der ISO auf Sektoren (z. B. Finanzdienstl.). ISO/IEC 27014:2013 behandelt de Governance der Informationssicherheit. ISO/IEC 27015: enthält Richtlinien für Finanzdienstleister. (BLAU: Norm bereits verabschiedet) Copyright SIZ GmbH Seite 16

17 Umsetzung der ISO Wer hat praktische Erfahrungen mit dem Aufbau eines Informationssicherheits-Managementsystems? und wie lauten diese? Copyright SIZ GmbH Seite 17

18 Die direkte Umsetzung der Norm ISO/IEC gestaltet sich in der Realität leider aufwändig und schwierig Fakten: ISO/IEC ist eine nach Themenfeldern sortierte Ansammlung von Controls/Anforderungen die an ein ISMS gestellt werden fragt nur ab, ob bestimmte Themen zur Informationssicherheit umgesetzt wurden sagt grundsätzlich nicht, wie etwas umgesetzt werden sollte enthält kein detailliertes Prozess-Modell, das umzusetzen ist, sondern Prozess- Vorgaben, die einzuhalten sind fordert an vielen Stellen umfangreiche und z. T. recht bürokratische Dokumentationen Bei der Ausgestaltung eines ISMS werden große Freiheiten gelassen, sofern die oben genannten Controls beachtet werden, was in der Realität oft Orientierungslosigkeit hervorruft Copyright SIZ GmbH Seite 18

19 Das SIZ-Rahmenwerk Sicherer IT-Betrieb vereinfacht die Implementierung der ISO Das SIZ-Produkt "Sicherer IT-Betrieb" wurde in der Basisvariante, Version 8.0, 10.0, 12.0, 14 und 16 von der TÜViT GmbH als "Trusted Product ISO Tool" zertifiziert. Das Zertifikat bescheinigt, dass die Anforderungen "Trusted Product ISO Tool" in der Version 1.0 erfüllt sind. Dazu gehört, dass das Produkt die Norm ISO vollständig und funktional richtig abdeckt, alle Phasen des PDCA-Zyklus der ISO unterstützt, effiziente Unterstützung bei Erstellung und Management der ISMS-Dokumentation bietet und in ausgewählten Aspekten der Informationssicherheit dem aktuellen Stand der Technik entspricht Copyright SIZ GmbH Seite 19

20 Das Informationssicherheits-Management ist in die Gesamtorganisation eingebettet. Tools alleine helfen nicht weiter! Seite 20

21 Die drei wichtigsten Handlungsfelder müssen für das Unternehmen abgedeckt werden CERT Informationssicherheits- Management Warnung vor und Reaktion auf Angriffe BCM / Notfallmanagement Seite 21

22 Fazit Die weiter zunehmende Digitalisierung ist ein wichtiger Treiber, sich des inhaltlich breiten Themas Informationssicherheit anzunehmen. Dabei helfen Standards. Wichtigster Informationssicherheits-Standard ist die ISO Elementar ist dabei eine auf die eigenen Bedürfnisse angepasste Lösung, Rahmenwerke helfen dabei, nicht die Orientierung zu verlieren: Soviel wie nötig, so wenig wie möglich! Copyright SIZ GmbH Seite 24

23 Vielen Dank für Ihr Interesse!