Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen

Größe: px

Ab Seite anzeigen:

Download "Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen"

Heiko Krämer
vor 8 Jahren
Abrufe

1 Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen Dr. Alexander Vilbig Leitung Anwendungen SWM Services GmbH M / Wasser M / Bäder M / Strom M / Fernwärme M / Erdgas M / net

Alexander Vilbig Leitung Anwendungen SWM Services GmbH M

2 Übersicht Gliederung ê Unternehmensvorstellung ê MVG Online-Services ê Handy Ticket ê Web-Site, Kundenportal ê Car Sharing, Radverleih ê IT-Sicherheit ê Allgemeine Herausforderungen ê Spezifische Herausforderungen ê Lösungsansätze ê Zusammenfassung 2

Sharing, Radverleih ê IT-Sicherheit ê Allgemeine

3 Das Unternehmen Geschäftsgebiete der Stadtwerke München ê Strom (Erzeugung, Verteilung, Vertrieb) ê Fernwärme (Erzeugung, Verteilung, Vertrieb) ê Erdgas (Verteilung, Vertrieb, Exploration) ê Wasser (Gewinnung, Verteilung, Vertrieb) ê Bäder (Hallen-, Freibäder, Saunen, Eislauf) ê Mobilität (MVG: U-Bahn, Tram, Busse und mehr) ê Telekommunikation (Netze, Vertrieb über M-net) Kunden rund 1,1 Millionen Mitarbeiter rund Umsatz 2013 rund 6,3 Milliarden Euro 3

Vertrieb) ê Bäder (Hallen-, Freibäder, Saunen, Eislauf) ê Mobilität (MVG: U-Bahn, Tram, Busse und mehr) ê

4 Bereichsüberblick und Organisation Informations- und Prozesstechnik Informations- und Prozesstechnik Anwendungen Prozesstechnik Systembetrieb Telekommunikation Zentrale Anwenderbetreuung Zentraler IT-Dienstleister des SWM Konzerns mit über 530 Mitarbeitern und einem Umsatz von ca. 100 Mio. Euro in IT-Partner für Einführung, Entwicklung und laufende Betreuung aller komplexen betrieblichen Informationssysteme. 4

IT-Dienstleister des SWM Konzerns mit über 530 Mitarbeitern und einem Umsatz von ca. 100 Mio.

5 MVG Online Services 5

6 MVG Online Services Handy Ticket ê Realisierung in eigener App MVG Fahrinfo ê Über Benutzer ê Über verkaufte Tickets seit Dez ê Attraktive Zusatzfunktionen ê Verbindungssuche ê Echtzeit-Abfahrtsinformationen ê Betriebszustand von Aufzügen und Rolltreppen ê Umgebungskarte, Netzpläne, ê Stetige Weiterentwicklung ê Kurzstrecken-Ticket ê Guthaben-Ticket, 6

2013 ê Attraktive Zusatzfunktionen ê Verbindungssuche ê Echtzeit-Abfahrtsinformationen ê

7 MVG Online Services Web-Site und Kundenportal ê Relaunch im Mai 2015 ê Über Besucher pro Monat ê Responsive Design für alle Geräte ê Optimiert für Touch-Bedienung ê Zahlreiche Komfortfunktionen ê Verbindungssuche ê Echtzeit-Abfahrtsinformationen ê Aktuelle Betriebsänderungen ê Zeitkarten ê Netzpläne, 7

für Touch-Bedienung ê Zahlreiche Komfortfunktionen ê Verbindungssuche ê

8 MVG Online Services Car Sharing und Radverleih ê Car Sharing bisher als externe Web-Anwendung ê DriveNow, car2go, CiteeCar, STATTAUTO ê Radverleih ab Sommer 2015 ê Mieträder an 125 Stationen ê Freie Ausleihe und Rückgabe im Geschäftsgebiet ê Minutengenaue Abrechnung ê Registrierung und Ausleihe mit eigener App ê Stetige Weiterentwicklung ê Feedback der Benutzer ê Verknüpfung mit MVG Fahrinfo ê Integration von Car Sharing 8

200 Mieträder an 125 Stationen ê Freie Ausleihe und Rückgabe im Geschäftsgebiet ê Minutengenaue Abrechnung

9 Herausforderungen in der IT-Sicherheit 9

10 IT-Sicherheit Allgemeine Herausforderungen ê Gesetzliche Anforderungen: IT-Sicherheitsgesetz 2015 ê Schutz kritischer Infrastrukturen ê Energieversorgung, Wasserversorgung, Mobilität, Telekommunikation ê Meldepflicht für sicherheitsrelevante Vorfälle ê Verpflichtende Einhaltung definierter Mindeststandards ê Technische Herausforderungen ê Zunehmende Komplexität der Systeme ê Anzahl Komponenten/Funktionen ê Verteilung, Skalierung ê Technologische Weiterentwicklung: Web, mobile Geräte, Cloud, ê Zahlreiche Angriffsvektoren: Code Injection, Cross-Site Scripting, ê Organisatorische Herausforderungen ê Verstärkte fachliche Spezialisierung ê Einbindung verschiedener externer Dienstleister 10

Zunehmende Komplexität der Systeme ê Anzahl Komponenten/Funktionen ê Verteilung, Skalierung ê Technologische Weiterentwicklung: Web, mobile Geräte, Cloud, ê Zahlreiche

11 IT-Sicherheit Spezifische Herausforderungen bei Verkehrsunternehmen Qualität? Projekt Kosten Termin ê Hoher Kostendruck, politisch motivierte Terminsetzung ê Fokus auf Hardware und technische Betriebsmittel ê Geringer Grad an Standardisierung ê Gefahr reduzierter Qualität (v.a. bei externen Dienstleistern) 11

ê Fokus auf Hardware und technische Betriebsmittel ê Geringer Grad an

12 Lösungsansätze 12

13 Lösungsansätze Good Practices im Software Engineering ê Technische Standardisierung ê Definiertes, iteratives Vorgehensmodell ê Qualitätssicherungsmaßnahmen ê Automatisierte Tests ê (Code-)Reviews, statische Code Analyse ê Quality Gates ê Schutzbedarfsfeststellung ê Sicherheitsaudits ê Penetrationstests ê Pool aus spezialisierten Dienstleistern ê Wiederholte Durchführung vor Veröffentlichung ê Nutzung gehärteter Komponenten ê Zentrales Kundenprofil, Kryptographie 13

Quality Gates ê Schutzbedarfsfeststellung ê Sicherheitsaudits ê Penetrationstests ê Pool aus spezialisierten

14 Lösungsansätze Organisatorische Maßnahmen ê Standardisierung grundlegender IT-Prozesse ê Incident Management, Change Management, ê Zertifizierung nach ISO ê Aufbau eines integrierten Informationssicherheit- Managementsystems ê Definierte Anforderungen an IT Sicherheit ê Kosteneffizientes Management von Risiken ê Konformität mit gesetzlichen Regelungen ê Zertifizierung nach ISO ê Einbindung der Mitarbeiter ê Schulungen ê Arbeitskreise ê Striktes Lieferantenmanagement 14

Definierte Anforderungen an IT Sicherheit ê Kosteneffizientes Management von Risiken ê Konformität mit gesetzlichen

15 Zusammenfassung Ganzheitlicher Ansatz zum Schutz des Unternehmens ê Sensibilisierung ê Schulung ê Fehlerkultur ê Commitment Mitarbeiter Technik ê Firewalls ê Virenschutz ê Intrusion Detection ê VPN, DMZ, ê Zentrale Verantwortung: (Top-)Management ê Dezentrale Umsetzung: Experten, Sicherheitsbeauftragte, Arbeitskreise Organisation Unternehmen Prozesse ê Basis: ISO ê Erweitert: ISO ê Physische Sicherheit ê Qualitätssicherung ê Sicherheitsaudits 15

Verantwortung: (Top-)Management ê Dezentrale Umsetzung: Experten, Sicherheitsbeauftragte, Arbeitskreise

16 Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit