Herzlich Willkommen. IT-Sicherheit im Unternehmen. zeptrum Dr. Adamsen PartG mbb WPG/StBG 1

Transkript

1 Herzlich Willkommen IT-Sicherheit im Unternehmen zeptrum Dr. Adamsen PartG mbb WPG/StBG 1

2 Was ist IT-Sicherheit Sicherheit von Informationstechnik hat zwei Ausprägungen Funktionssicherheit (safety) Informationssicherheit (security) Aufgabe ist der Schutz von (Unternehmens-) Organisationen und deren Werten gegen Bedrohungen und wirtschaftliche Schäden Ausgehend von diesen übergeordneten Begriffen beinhaltet der Begriff IT-Sicherheit weitere Aspekte zeptrum Dr. Adamsen PartG mbb WPG/StBG 2

3 Datensicherheit Datensicherheit verfolgt das technische Ziel jegliche Datenbestände in ausreichendem Maße gegen Verlust Manipulation unerlaubtem Zugriff andere Bedrohungen zu sichern Datensicherheit wird häufig mit dem Begriff Datenschutz verknüpft Datenschutz kann nur gewährleistet werden, wenn eine ausreichende Datensicherheit in einer Organisation besteht. zeptrum Dr. Adamsen PartG mbb WPG/StBG 3

4 Datenschutz Schutz personenbezogener Daten vor Missbrauch Geschütz werden soll die Privatsphäre (Prinzip der informationellen Selbstbestimmung) Technische und organisatorische Maßnahmen erforderlich, die verhindern, dass vertrauliche bzw. personenbezogene Daten in unbefugte Hände gelangen Die Maßnahmen in Organisationen / einem Unternehmen richten sich nach innen und außen Entwicklung der informationellen Selbstbestimmung von 1983 zur der ab dem zur Anwendung kommenden EU-Datenschutzgrundverordnung zeptrum Dr. Adamsen PartG mbb WPG/StBG 4

5 Denial-of-Service-Attacke im E-Commerce Quelle: Marsh / ACE Versicherung / Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 5

6 Basissicherheit Einrichtung eines Internetschutzes / Schutzes: Sicherheitssoftware, möglichst Kombination aus Virenschutz, Zugriffsschutz, Firewall, erkennen von infizierten Internetseiten, Möglichkeit der Einschränkung des Zugriffs auf gefährdete Inhalte Regelmäßige Aktualisierung der Betriebssysteme (Server und Workstations) mit den Sicherheitsupdates der Hersteller. Regelmäßige Aktualisierung der eingesetzten Anwendersoftware. Einspielen von Softwareupdates für die eingesetzte Hardware (Firmware Updates) Umsetzen eines hinreichenden Datensicherungskonzeptes und Sicherstellung einer entsprechenden Aufbewahrung der Datensicherung auch außerhalb des Unternehmens (Stichwort: Verlustrisiko). Erstellen redundanter Sicherungen auf verschiedenen Speichermedien. zeptrum Dr. Adamsen PartG mbb WPG/StBG 6

7 120 IT Sicherheitslage Die Digitalisierung der Wirtschaft schreitet weiter voran, während die IT-Sicherheitslage im Sinne von eingesetzten Schutzmaßnahmen dabei recht zeitstabil bleibt. Auffällig ist, dass die bisher weniger eingesetzten Schutzmaßnahmen tendenziell aufholen, allerdings teilweise noch große Verbesserungspotentiale ausweisen % / / / Quelle: DsiN-Sicherheitsmonitor 2016 zeptrum Dr. Adamsen PartG mbb WPG/StBG 7

8 Ransomware: shootingstar in aus Russland Princess Locker Locky Petya Goldeneye Chimera PopcornTime TeslaCrypt Cryptowall Satana Spora Quelle: Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 8

9 Social Engineering zeptrum Dr. Adamsen PartG mbb WPG/StBG 9

10 KOMPLEXITÄT IT-Sicherheit im Unternehmen ISIS 12 BSI IT-Grundschutz ISO/IEC ISMS ISIS 12 ISA + Informations-Sicherheits-Analyse Einstieg in die Informationssicherheit ZEITAUFWAND Quelle: Bayerischer IT-Sicherheitscluster e.v. zeptrum Dr. Adamsen PartG mbb WPG/StBG 10

11 Was muss drin ein? Auf diese Bausteine sollten Sie u.a. achten Alle Arten von Angriffen über das Medium IT/Internet Betriebsunterbrechungskosten Strafen aufgrund Lieferausfälle Forensische Kosten Wiederherstellungskosten Erpressungskosten Datendiebstahl und Datenschutzverletzung (unabh. von Gründen) Vorsätzliche Handlung von Mitarbeitern Juristische Beratung / Unterstützung im Meldeverfahren Spezialistenteams in 24 Stunden Kreditüberwachungsdienstleistungen Prüfung von Haftpflichtansprüchen (Fremd-/Drittschadendeckung) Quelle: Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 11

12 Was leisten die besten Policen? Präventionsberatung Telefonhacking Urheberrechtsverletzungen Ausfall IT-Dienstleistung / Cloud Ausfall Telekommunikationsnetz Vorsätzliche Manipulation durch Mitarbeiter Selbstbehalte frei wählbar, unter 4 Stunden im Ertragsausfall Schadensuchkosten auch bei keinem versicherten Schaden Vollumfängliches Reputationsmanagement inkl. Maßnahmen Zusätzl. Gefahren Quelle: Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 12

13 Verpflichtungen der Versicherungsnehmer Obliegenheiten Gesetzlich geforderte und Branchenübliche Maßnahmen Tägliche Datensicherung (Offline-Sicherung) Sicherstellung der Rücksicherbarkeit Schutz durch Firewalls und Virenscanner Patch-Management Zugriffsschutz für personenbezogene und andere sensible Daten Notfallplan, insb. für Sofortmaßnahmen Quelle: Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 13

14 Chronologie eines Versicherungsfalles Angriff wird registriert Erstkontakt Versicherer oder Dienstleister Forensische Untersuchung Bekämpfung des Eindringlings Wiederherstellung Systeme und Daten Krisenmanagement setzt ein Information an Betroffene Behördliches Meldeverfahren Einsatz Reputationsmanagement Quelle: Carsten Wehland zeptrum Dr. Adamsen PartG mbb WPG/StBG 14

15 Vielen Dank für Ihre Aufmerksamkeit! BERUFLICHER SITZ Lise-Meitner-Allee Bochum Tel.: Fax: BÜRO WITTEN Gerichtsstraße Witten Tel.: Fax: zeptrum Dr. Adamsen PartG mbb WPG/StBG