Veranstaltung Cybercrime Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Transkript

1 Veranstaltung Cybercrime Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

2 Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen bei der Einführung von Datenschutzkonzepten und IT-Sicherheitsleitlinien bei der Umsetzung konkreter Maßnahmen und Dienstvereinbarungen im Bereich Datenschutz und IT-Sicherheit bei der Sicherstellung durch entsprechende Kontrollmechanismen Prof. Dr. Thomas Jäschke Vorstand der DATATREE AG und externer Datenschutzbeauftragter für Unternehmen Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie& Management GmbH mehr als 20 Jahren Expertise in Datenschutz und Datensicherheit DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 2

3 Überblick Themen des heutigen Vortrages Informationssicherheitsmanagement Grundlagen & Definitionen Informationssicherheitsmanagement in der Praxis Organisation des Informationssicherheitsmanagements Quellen und weiterführende Links DATATREE AG Roadshow Cybercrime - Informationssicherheitsmanagement 3

4 Grundlagen und Definitionen Datenschutz schützt natürliche Personen vor Verletzungen ihrer Persönlichkeitsrechte Personenbezogene Daten, NICHT Firmeninterna, Patente Basis ist das Grundgesetz, aus dem sich das Bundesdatenschutzgesetz ableitet Datensicherheit ist der Schutz der Hardware, Software, IT-Infrastruktur vor Missbrauch, unberechtigten Zugriffen, Diebstahl, Verlust, höherer Gewalt. ALLE Daten eines Unternehmens Neben Maßnahmen der IT- Sicherheit auch Maßnahmen wie z.b. Sicherung der Gebäude, Notstromversorgung Gemeinsamkeiten Interessenskonflikte DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 4

5 Grundlagen und Definitionen Informationen sind interpretierte Daten, nicht nur in digitaler oder elektronischer Form. Informationssicherheit ist Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen¹ Sie beinhaltet IT-Sicherheit als Leistungsdomäne Berücksichtigt zusätzlich weitere Themen, z.b.: Strategie, Compliance, Prozesse Techn. und org. Maßnahmen Fokus auf Schutzbedarf Informationssicherheit IT- Sicherheit ¹(ISO/IEC 27001) DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 5

6 Grundlagen und Definitionen Rechtliche Vorgaben durch (Auszug) Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz (TKG) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ggf. Gesetze anderer Länder bspw. US-Gesetze Sarbanes-Oxley Act (u.a. IT-Compliance), US Patriot Act DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 6

7 Grundlagen und Definitionen Technische Vorgaben durch IT-Grundschutz-Kataloge und BSI-Standards bis vom Bundesamt für Informationstechnik (BSI) ISO/IEC beschreibt Anforderungen an ein ISMS-Managementsystem ermöglicht Zertifizierung zu 100% kompatibel mit IT-Grundschutzkatalog, erweitert diesen für international tätige und börsennotierte Unternehmen geeignet IT Infrastructure Library (ITIL) Sammlung dokumentierter IT Best Practice Meist verwendete Dokumentation bei Absicherung von informationsverarbeitenden Einrichtungen DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 7

8 Grundlagen und Definitionen IT-Grundschutzkataloge Empfehlungen von Methoden, Prozessen und Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen Bausteine Übergeordnete Aspekte Infrastruktur IT-Systeme Netze Anwendungen Gefährdung Elementare Gefahren Höhere Gewalt Organs. Mängel Menschliches Verhalten Technisches Versagen Vorsätzliche Handlungen Maßnahmen Infrastruktur Organisation Personal Hard-/Software Kommunikation Notfallvorsorge DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 8

9 in der Praxis Problemstellungen in vielen Unternehmen Historische Aufteilung von Verantwortlichkeiten Fehlendes Budget & personelle Ressourcen Informationssicherheit oft ein Lippenbekenntnis Rudimentäre Ausrichtung an Unternehmenszielen und -strategie Keine gemeinsame, unternehmensübergreifende Strategie Zielsetzung Reduktion von Informationssicherheit auf IT-Sicherheit, Faktor Mensch bleibt unbeachtet Stetig steigende Anforderungen durch Gesetze und Compliance setzen andere Prioritäten als Unternehmen selbst DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 9

10 in der Praxis Erste Schritte -Situationsanalyse Gebäudesituation (Sicherung des Gebäudes, Räumlichkeiten, Umgang mit Besuchern, ) Organigramm, Hierarchie (Aufgaben, Zuständigkeiten, Rollenverteilung, externe Dienstleister, ) Vorhandene Berechtigungen (Admins, Mitarbeiter, leitende Angestellte, Geschäftsführung) Vorhandene Infrastruktur (Server, Netzwerke, Cloud/Hosting, Clients, Mobilgeräte, Anwendungen, Software ) Vorhandene Sicherheitsmaßnahmen (Firewall, Back-Ups, Brandschutz ) Richtlinien (Umgang mit Privatnutzung, s, Social Media, ) TIPP: Strukturierung der Bestandsaufnahme im Unternehmen nach Anlage zu 9 BDSG (technisch-organisatorische Maßnahmen) DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 10

11 in der Praxis Erste Schritte -Schutzbedarfsanalyse Welche Daten und Informationen liegen im Unternehmen vor und welchen Schutzbedarf haben sie im Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit: 1. Einstufung von Informationen und Daten in die Schutzbedarfskategorien normal hoch sehr hoch (Bsp. nach: Negative Außenwirkung, finanzielle Schäden, Verstoß gegen Gesetze ) 2. Formulierung von Schadensszenarien (maximale Schäden, Folgeschäden) 3. Feststellung des Schutzbedarfs der Anwendungen 4. Feststellung des Schutzbedarfs derit-systeme (Bsp. Verteilung, Abhängigkeiten ) 5. Feststellung des Schutzbedarfs der Kommunikation (Außenverbindung, Weitergabe vertraulicher Daten ) 6. Schutzbedarf der IT-Räume 7. Identifikation eines besonders hohen Schutzbedarfes DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 11

12 in der Praxis Die nächsten Schritte Modellierung Erstellung eines Maßnahmen-Kataloges anhand der IT-Grundschutz-Kataloge, z.b. einem Schichtenmodell ( Layer ): Übergreifende Aspekte (Personal, Organisation, Informationssicherheitsmanagement, Outsourcing ) Infrastruktur (Gebäude, Verkabelung, Home Office-Modelle, Schutzschränke IT-Systeme (Server, Client, Hosts ) Netze (Kommunikationsnetze, WLAN, Internet, ) Anwendungen (Office-Programme, , Datenbanken ) DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 12

13 in der Praxis Die nächsten Schritte Sicherheitscheck Prüfung der im Modell festgelegten Maßnahmen, inwieweit diese im Unternehmen umgesetzt teilweise umgesetzt nicht umgesetzt entbehrlich sind. Zu ergreifende Maßnahmen: Auswahl der verantwortlichen Ansprechpartner (u.a. auch Hausdienste...) Durchführung eines Soll-Ist-Vergleichs ggf. anhand von Stichproben Dokumentation der Ergebnisse DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 13

14 in der Praxis Die nächsten Schritte Realisierung der Maßnahmen Sichtung des Basischecks welche Maßnahmen sind bereits umgesetzt, welche nicht? ggf. Anpassung der Sicherheitsmaßnahmen an neu festgestellten Sicherheitsbedarf, Umsetzbarkeit etc. Kosten- und Aufwandschätzung Festlegung der Umsetzungsreihenfolge der Maßnahmen, Priorisierung Festlegung der Verantwortlichkeiten Begleitung der Umsetzung durch Maßnahmen wie Information an die Mitarbeiter, Schulungen, Sensibilisierung der Mitarbeiter DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 14

15 in der Praxis und im Anschluss Aufrechterhaltung des Sicherheitsprozesses Prüfung des Prozesses auf Effektivität und Effizienz Kontinuierlicher Verbesserungsprozess Schaffung eines dauerhaften Sicherheitsbewusstseins bei den Mitarbeitern durch wiederholte Schulungen Ansprechpartner für die Probleme der Mitarbeiter im Alltag sein Aufnahme von Sicherheitsvorfällen in Prozess Zertifizierung(wer möchte ) nach BSI, ISO DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 15

16 Organisation des Informationssicherheitsmanagement Strategische Ausrichtung Integration Top-Level Management Ausrichtung an Unternehmenszielen und -strategie Anpassung von Firmenkultur und -philosophie Organisatorische und betriebliche Maßnahmen Verfahrens- und Arbeitsanweisungen Sicherheitsbewusstsein schaffen Awareness Betriebsprozesse standardisieren, dokumentieren DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 16

17 Organisation des Informationssicherheitsmanagement Der Informationssicherheitsbeauftragte oder Chief Information Security Officer (CISO) ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Unternehmung. Aufgaben: (Auszug) Schutzbedarfsanalyse Steuerung und Dokumentation des Informationssicherheitsprozesses Formulierung einer IS-Richtlinie Regelungen zur Informationssicherheit zu erlassen (Notfallplan, Sicherheitskonzept, usw.) sicherheitsrelevante Projekte zu koordinieren Kontrollinstanz der IT-Sicherheit Prüfung der getroffenen Maßnahmen bezüglich gesetzlicher Anforderungen bes. in Bezug auf Datenschutz DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 17

18 Organisation des Informationssicherheitsmanagement Aufbauorganisation der Berichtsweg findet direkt zur Geschäftsführung/ Chief Executive Officer (CEO) statt CISO kann als Stabsstelle eingerichtet werden der CISO ist nicht dem CIO unterstellt Sicherung und Risikomanagement aller Informationswerte (Assets) eines Unternehmens sind die Aufgaben des CISO IT-Security ist eine Untermenge der Aufgaben eines CISO CISO CEO CIO DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 18

19 Organisation des Informationssicherheitsmanagement Gemeinsame Kompetenzen für Datenschutz und Informationssicherheit beide Rollen schließen sich nicht aus Aspekte der Personalunion: Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden konfliktträchtige Themen ggf. noch nachrichtlich an die Revision weiterleiten ausreichend Ressourcen für die Wahrnehmung beider Rollen Erfüllungsgehilfen qualifizierter Vertreter DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 19

20 Zusammenfassung Wie Sie späte Einsicht vermeiden Informationssicherheitsmanagement wird zunehmend zu einem der wichtigsten Erfolgsfaktoren von Unternehmen Schaffung entsprechender Strukturen unabdingbar und möglich Sicherheitsbewusstsein muss gestärkt werden Firmenkultur und philosophie Einbindung der Mitarbeiter Klare Verantwortlichkeiten bei Geschäftsführung, CISO und Mitarbeitern Kontinuierlicher Prozess erforderlich DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 20

21 Quellen und weiterführende Links Leitfaden Informationssicherheit IT-Grundschutz-Profile Anwendungsbeispiel für den Mittelstand IT-Grundschutz-Profile Anwendungsbeispiel für eine kleine Institution u.v.m.: Leitfaden zur Informationssicherheit in kleinen und mittleren Unternehmen, hrsg. IT-Beauftragter der Bayrischen Staatsregierung Informationssicherheit für KMU hrsg. Bayrischer IT-Sicherheitscluster e.v. Einstiegsmodell ) Anlage zu 9 BDSG technisch-organisatorische Maßnahmen (Auftragsdatenverarbeitung), Muster erhältlich z.b. unter oder DATATREE AG Roadshow Cybercrime- Informationssicherheitsmanagement 21

22 Vielen Dank für Ihre Aufmerksamkeit! Bei Rückfragen stehen wir Ihnen gerne zur Verfügung: DATATREE AG Heubesstraße Düsseldorf Tel. (0211) Fax (0211)