AUS FEHLERN LERNEN WIE INFORMATIONSSICHERHEIT DOCH ETWAS NÜTZT

Transkript

1 AUS FEHLERN LERNEN WIE INFORMATIONSSICHERHEIT DOCH ETWAS NÜTZT Michael Haack 1

2 WARUM? DIE RICHTIGE MOTIVATION FÜR EIN ISMS Ein Kunde fordert eine Zertifizierung Berater haben vor Hackerangriffen gewarnt Das IT-Sicherheitsgesetz fordert das In den Medien wird von vielen Vorfällen berichtet wir müssen etwas tun! Wir möchten mit einem strukturierten Ansatz die vorhandenen Risiken identifizieren und diese geeignet behandeln 2 HiSolutions 2015 Informationssicherheit

3 WIE? DAS RICHTIGE VORGEHEN FÜR EIN ISMS Wir kaufen Berater ein, die das ISMS aufbauen. Wir schreiben zu jedem Control eine Policy das reicht! Wir definieren einen ganz kleinen Scope, dann ist das Zertifikat ganz schnell und einfach erreicht und wir sind fertig. Wir kaufen ein Tool und befüllen das fertig! Wir lassen uns von einem Berater coachen, so dass wir nach Projektende die Prozesse selbst weiterführen können 3 HiSolutions 2015 Informationssicherheit

4 AUFBAU EINES ISMS UND FERTIG! GAP-Analyse (optional) Asset- Management Risikobehandlung & SOA Audit- Management Verbesserung (KVP) Leitlinie, Anwendungsbereich & interessierte Parteien Risiko Assessment Management Review Maßnahmenumsetzung Zertifizierungsbegleitung ABER: Mit einem Zertifikat ist die Sache nicht erledigt! 4 HiSolutions 2015 ISM und ISMS nach ISO27001

5 EIN ISMS MUSS STÄNDIG AM LEBEN GEHALTEN WERDEN 5

6 VORAUSSETZUNGEN Informations-Sicherheits-Management-System (ISMS) Die Assets sind bekannt und dokumentiert (Strukturanalyse, Schutzbedarf) Die Bedrohungen sind bekannt und dokumentiert Die Gegenmaßnahmen sind ausgewählt und implementiert Die Restrisiken sind dokumentiert und akzeptiert Die Informationssicherheit wird auf Basis eines Plan-Do-Check- Act-Prozesses betrieben 6

7 SCHUTZBEDARFSBEWERTUNG Bewertung durch die Fachabteilung Da die Bewertungskompetenz meist nicht vorhanden ist, sind die Ergebnisse nicht brauchbar (meist zu hoch eingestuft) Umfassende Schulungen wären in der Regel zu teuer und zu aufwändig Besser Bewertung durch den IS-Beauftragten unter Hinzuziehung von Fachbereichsvertretern für Spezialfälle Für ein realistisches Ergebnis müssen die Bewertungen in einen allgemeinen Maßstab gesetzt werden das geht nur übergreifend. 7

8 RISIKO MANAGEMENT VORGEHENSWEISE Bewertung durch die Fachabteilung Die Bewertung von IT-Risiken durch die Fachabteilung sollte sich auf Informationen des ISMS stützen. Die Fachabteilung kennt nur die Brutto-Risiken für die Nettobetrachtung müsste sie die getroffenen Gegenmaßnahmen kennen Merke Risiken hat nicht die IT, sondern der verantwortliche Fachbereich 1 Die IT ist nur Dienstleister für die umsatzrelevanten Fachbereiche 1 Solange es sich nicht um ein Unternehmen mit IT als Geschäftszweck handelt (IT-Dienstleister). 8

9 RISIKO MANAGEMENT RISIKEN RICHTIG BEWERTEN Beispiel 1: Gefährliche Tiere Weltweit ca. 100 tödliche Hai-Unfälle pro Jahr etwa so viele wie durch Quallen. Elefanten ca. 600, Schlangen und Skorpione ca Und allein in Deutschland 20 Tote durch Bienen und Wespen. Beispiel 2: Reiten oder Fliegen? Tote durch Reitunfälle in Deutschland ca. 30 pro Jahr weltweit ca Aber nur 800 durch Flugunfälle. Beispiel 3: Straßenverkehr oder Haushalt? 450 Tote jährlich durch Fahrrad-Unfälle. Straßenverkehr insgesamt Aber im Haushalt ca

10 RICHTLINIEN Fehler bei Richtlinien zu viele, die nur im Schrank landen nicht zielgruppenspezifisch Anwender werden mit Dingen verwirrt, die sie gar nicht lesen und verstehen müssen Richtlinien werden nicht verteilt bzw. bekannt gemacht und nicht durchgesetzt Besser eine Anwender- und eine Admin-Richtlinie, in der jeweils alles Relevante enthalten ist das ist einfach zu vermitteln und leicht zu pflegen die Anwender-Richtlinie als Flyer an alle Anwender verteilen 10

11 AUDIT MANAGEMENT VORFÄLLE ERKENNEN Einhaltung von Maßnahmen kontrollieren Monitoring, Log-Auswertung Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) Auditing, Social Engineering-Tests Vorfallbehandlung Vorfallerkennung Vorfallmeldung Nachbereitung Worauf sollen wir denn achten? Wir wissen ja nicht, was eine Anomalie ist! 11

12 NOTFALLVORSORGE Prävention Notfallvorsorgekonzept Kontinuitätsstrategien Geschäftsfortführungspläne Wiederherstellungs-/Wiederanlaufpläne Notfallübungen und -Tests Reaktion Krisenstab IT-Forensik Krisenkommunikation 12

13 MAßNAHMEN-UMSETZUNG LATERNEN-PRINZIP Es wird nur das umgesetzt, was billig, einfach und bekannt ist Virenschutz Datensicherung Verbote (Datenträger, WLAN etc.) 13

14 MAßNAHMEN-UMSETZUNG KATALOGE IT-Grundschutz-Kataloge vom Bundesamt für Sicherheit in der Informationstechnik (BSI) 88 Bausteine Übergreifende Themen Infrastruktur IT-Systeme Netzwerke Anwendungen 1962 Maßnahmen! 14

15 MAßNAHMEN-UMSETZUNG HÖHRENSAGEN Quelle: Sonderbericht Wirtschaftsschutz,

16 MAßNAHMEN-UMSETZUNG HÖHRENSAGEN Netztrennungen Virenschutz auf Linux- und Mac-Systemen Verschlüsselte Daten an Firewall blockieren Schleusen-PCs Aufwändige Awareness-Kampagnen Informationssicherheitsschulung für alle Mitarbeiter Datenträger (USB-Stick etc.) verbieten Privatnutzung verbieten Passwörter aufschreiben verbieten Multifunktionsdrucker härten URL-Filter WLAN nicht installieren?! 16

17 MAßNAHMEN WIRKEN ZUSAMMEN Bedrohungen Risiko-Reduktion: 50% Risiko-Reduktion: 75% Risiko-Reduktion: 87,5% Risiko-Reduktion: 93,75% Risiko-Reduktion: 96,87% E total = 1-((1-E 1 )*(1-E 2 )*(1-E 3 ) ) Schutzobjekt 17

18 80% SIND SCHNELL ERREICHBAR 18

19 KOSTENBETRACHTUNG Man muss gewisse Kosten für den Notfall einkalkulieren, wenn Prävention um ein Vielfaches teurer wäre. Option: Versicherung 19

20 ANFORDERUNGEN AN MAßNAHMEN Maßnahmen müssen wirtschaftlich, wirksam, praktikabel, angemessen und akzeptabel sein. 20

21 EINSATZ EINES TOOLS Für ein strukturiertes und effizientes Vorgehen ist ein Tool ist immer anzuraten! Mit Excel wird man schnell den Überblick verlieren! Aber nicht ISMS ist GSTOOL-Befüllung ein Tool muss eine ausgefeilter Rechte-/Rollen-Funktionalität aufweisen, damit die Fachabteilungen und die Admins alles selbst eintragen können (Workflows) sondern Nur der IS-Beauftragte pflegt das Tool für seine eigenen Zwecke nur so behält er den Überblick und sorgt für eine gleichbleibende Datenqualität 21

22 KOSTEN EIN ISMS KOSTET NICHTS! Sicherheitsmanagement Die Kosten für ggf. neue Stelle IS-Beauftragter und für ein Tool tragen sich aus der erzielten Risikoreduktion IT-Betrieb Bewertung der Maßnahmenumsetzung, Investitionskosten für ggf. notwendige weitere Maßnahmen (Monitoring-System, Firewall, Verschlüsselung, Awareness-Programm etc.) ist ohnehin Linienaufgabe schon vorher gewesen Fachabteilung Bewertung des Schutzbedarfs und des Risikos ist ohnehin Linienaufgabe schon vorher gewesen 22

23 BETRACHTUNGSBEREICH SCOPE WÄHLEN These Mit einem kleinen Scope ist man schnell fertig. Ein Zertifikat ist billig zu haben. Antwort Richtig wenn man es nur auf ein schnelles und billiges Zertifikat abgesehen hat, um ggf. kurzfristig einen Kunden zufrieden zu stellen. Langfristig wird sich das rächen, da man zumeist wesentliche Dinge vergessen hat, die auch Einfluss auf das Unternehmen haben. Manchmal hat man sogar weniger Aufwand, wenn man gleich alles einbezieht, da man sich die vielen Schnittstellen-Betrachtungen spart. 23

24 VERRINGERUNG DES AUFWANDES Minimierung durch Top-Down-Vorgehen vom Allgemeinen zum Speziellen im ersten Durchgang oberflächliche Betrachtung, um schnell kritische Bereiche zu identifizieren im zweiten Durchgang bei kritischen Bereichen detaillieren, um größte Risiken zu identifizieren im dritten Durchgang in der Breite vertiefen weitere Durchgänge durch fließenden Übergang in die Linie 24

25 ZUSAMMENFASSUNG ein ISMS muss nicht aufgebaut werden jeder hat bereits mehr oder weniger gute Mechanismen zum Risikomanagement ein ISMS dient nicht dem Gesetzgeber oder einem Auditor, sondern einzig der Verminderung der eigenen Risiken Risikomanagement ist essenziell Maßnahmen müssen dem Risiko angemessen sein Lieber bewusst Lücken lassen, statt Geld zu verschwenden Dafür Investition in Überwachungs- und Notfallmaßnahmen Notfallmaßnahmen üben und testen 25

26 HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT HiSolutions AG Bouchéstraße Berlin Theodor-Heuss-Ring Köln