IT kompetent & wirtschaftlich

Transkript

1 IT kompetent & wirtschaftlich

2 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential für das eigene Unternehmen - Compliance Anforderungen an Unternehmen heute - Das Technik Alibi wie gut schützen Firewall und Co. wirklich? - Wie schütze ich MEIN Unternehmen wirkungsvoll? - Welchen Bedrohungen ist MEIN Unternehmen ausgesetzt - Organisatorische Maßnahmen - Technische Maßnahmen - Nützliche Links und Informationen

3 2 Wieso IT-Sicherheit und Datenschutz? Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität Homeoffice User Mobile User Internet User Firmen Netzwerk Firmen daten Cloud Computing / Outsourcing

4 3 Wieso IT-Sicherheit und Datenschutz? Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität Gefahrenquellen: Gezielte Spionage und Datendiebstahl Hobbyhacker Viren und Schadsoftware Mangelhaft geschützte Heim PC`s Unsichere Verbindungen ins Firmennetz Nicht abgebaute, dauerhaft offene Verbindungen Ungesicherter Zugriff auf Firmen Physisch ungeschützte Plattform. Überall dabei... Leicht zu kompromittieren

5 4 Wieso IT-Sicherheit und Datenschutz? Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität Gefahrenquellen: Übertragung unverschlüsselter Daten Einfacher Weg Schadsoftware im Unternehmen zu platzieren Einfach abzufangen im Internet Zugriff auf alle relevanten Daten Umgang mit Passwörtern Mangelhafte Administration im Firmennetz Service oft aus ausländischen Rechenzentren bei Cloud Services Datensicherheit hängt von Qualität des Anbieters ab Daten werden immer über das öffentliche Netz übertragen Lohnendes Ziel für Hacker, da Daten von vielen Firmen erreichbar

6 5 Wieso IT-Sicherheit und Datenschutz? Risikopotential für das eigene Unternehmen Jedes Unternehmen hat sensible Daten! Risikopotential ist abhängig von den Daten des Unternehmens. Beispiele: Finanzdienstleister: Persönliche Kundendaten, Finanzdaten, Lohndaten,... (Web) Shop-Betreiber: Persönliche Kundendaten, Kreditkarteninformationen,... Produzierende Unternehmen: Patente, Produktionsverfahren, Kundendaten,... Hacking ist heute nicht mehr beschränkt auf Profis. Durch frei verfügbare Tools im Internet kann jeder durchschnittlich begabte Schüler auf ungeschützte Daten zugreifen Oft sind Unternehmen nur durch Zufall betroffen, ohne gezielte Absicht Laut Verfassungsschutz kommen auf jedes produzierende Unternehmen mehrere hundert Angriffsversuche pro Monat. Viele davon aus China Anzahl der gemeldeten Sicherheitsvorfälle seit dem Jahr 2000 um ca. 500% gestiegen (Quelle: cert.org)

7 6 Wieso IT-Sicherheit und Datenschutz? Risikopotential für das eigene Unternehmen Mögliche Auswirkungen: Verlust von Kundenvertrauen Öffentliche Bloßstellung des Unternehmens Verstoß gegen Gesetze (BDSG) Verstoß gegen Markstandards (PCI, ISO,...) Einbüßen der Marktstellung Verlust von Neuaufträgen wegen fehlender Nachweise

8 Wieso IT-Sicherheit und Datenschutz? Compliance Anforderungen an Unternehmen heute Beispiele: IT-Grundschutz nach BSI: Empfohlener Standard für jedes Unternehmen und den öffentlichen Dienst. In aktueller Form seit ISO 2700x: International Organization for Standardization. 27er Reihe für Datensicherheit PCI DSS: Payment Card Industrie - Data Security Standard, Sicherheitsstandard für Kreditkartendaten und bargeldlosen Zahlungsverkehr PS 951: Wirtschaftsprüfernorm für Prüfung von Outsourcing und Outplacement Prozessen PIA nach BDSG: Privacy Impact Assessment. Neuer Standard für den Mittelstand. In Europa verbreitet, in Deutschland auf dem Vormarsch, gestützt durch das Bundesdatenschutzgesetz Mittelstand bisher nur am Rande betroffen, jedoch wird Druck, auch aus EU, höher. Beispiel PIA! 7

9 8 Das Technik Alibi wie gut schützen Firewall und Co wirklich? Wer kann was? Firewall: Erlaubt oder verbietet Verbindungen ins Internet oder vom Internet ins interne Netzwerk auf IP-Adressen / Port Ebene Virenschutz: Erkennt und entfernt Computerviren und Malware IDS/IPS: Intruder Detection/Prevension System Erkennt Angriffsmuster und und blockiert aktiv oder meldet einen möglichen Angriff Spam-Filter: Schützt im wesentlichen vor unerwünschten Werbe- s und evtl. Mailbomben

10 9 Das Technik Alibi wie gut schützen Firewall und Co wirklich? Technische Hilfsmittel sind essentieller Bestandteil der Sicherheitsstrategie eines Unternehmens, aber nur ein Teil des Gesamtkonzeptes. Eine Firewall allein ist kein Schutz! Weitere wesentliche Bestandteile: Regelmäßige Updates von Firewall, Virenschutz und Co. Richtige Konfiguration der Hilfsmittel und regelmäßige Überprüfung Härten und Patchen der Betriebssysteme und Software Ausschließliche Verwendung aktueller Software-Versionen Regelmäßige Schulung und Sensibilisierung der Mitarbeiter Klare Verantwortung für Datensicherheit im Unternehmen Verantwortlicher Einsatz von technischen Möglichkeiten Sinnvolle Rechteverwaltung im Netz ( business need to know ) Klares Konzept für den Umgang mit sensiblen Daten

11 10 Wie schütze ich mein Unternehmen wirkungsvoll? Welchen Bedrohungen ist MEIN Unternehmen ausgesetzt? Schritt 1 Analyse: Welche Daten sind in meinem Unternehmen schützenswert? Welche Mitarbeiter müssen mit diesen Daten arbeiten? Wo benötige ich diese Daten - Übertragungswege? Wo sind Gefahrenpotentiale in meiner IT-Umgebung? Evtl. Analyse mit Unterstützung eines kompetenten Dienstleisters?

12 11 Wie schütze ich mein Unternehmen wirkungsvoll? Organisatorische Maßnahmen Schritt 2 Umsetzung organisatorische Maßnahmen: Benennung eines Datensicherheitsbeauftragten mit festgelegten Aufgaben und Terminen Überprüfung des Rechtekonzeptes Regelmäßige Awareness Schulung der Mitarbeiter Einschränkung des Zugriff auf sensible Daten wo immer möglich Sinnvolle Passwort Regeln für Anwender Aktiver Umgang mit der Aufgabe Datensicherheit. Intern und Extern Einführung eines Prozesses zum Verhalten bei Sicherheitsvorfällen

13 12 Wie schütze ich mein Unternehmen wirkungsvoll? Technische Maßnahmen Schritt 3 Umsetzung technische Maßnahmen: Einsatz aktueller Sicherheitstechnik (Firewall, IPS, Virenschutz) Härtungskonzept für Hardware (nur Dienste die gebraucht werden) Sicherstellen regelmäßige Updates und Patches für gesamte Technik Regelmäßige Überprüfung der Konfiguration von Servern, Firewalls und Sicherheitstechnik Beurteilung welche IT Dienste ich benötige und welche nicht (sinnvoller Einsatz von Technik)

14 13 Nützliche Links und Informationen Kostenloser Test (Fragebogen) von Datev zur Überprüfung der eigenen Umgebung: BSI (Bundesamt für Sicherheit in der Informationstechnik): IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) BSI: Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen rheit_kmu.pdf;jsessionid=2e955d607d5caacb72dbb36a1af98c57.2_cid244? blob=publication File Hessisches Ministerium für Wirtschaft, Verkehr und Landesentwicklung: IT-Sicherheit für den Mittelstand BSI: IT-Grundschutz Standard:

15 Hampel-CoSi IT Service GmbH In den Käppeleswiesen Sigmaringen Tel / Fax / [email protected] Hampel-CoSi IT Service GmbH Kaiserstraße Bad Saulgau Tel / Fax / [email protected] Weitere Niederlassungen: Singen, Illertissen, München hamcos - immer ganz in Ihrer Nähe