Cyber Security der Brandschutz des 21. Jahrhunderts

Transkript

1 Cyber Security der Brandschutz des 21. Jahrhunderts oder VdS Der neue Cyber-Standard für KMU it-sa Markus Edel, VdS Schadenverhütung GmbH

2 Agenda Fehler-aus.html

3 Agenda Cyber-Security Ein Thema für VdS Aufbau des Systems VdS 3473

4 Gestern und Heute

5 Cyber-Security Thema für VdS VdS als Tochterunternehmen des GDV nah an der Versicherungswirtschaft Versicherer sehen Herausforderungen für KMU Versicherer suchen Lösungen für IT-Versicherung bei KMU Der Versicherer muss Risiken bewerten ggf. Abwehrmaßnahmen definieren und deren Wirksamkeit prüfen

6 Cyber-Security Thema für die Wirtschaft Gesetzgebung (IT-Sicherheitsgesetz Kritische Infrastrukturen) Aber auch KMU zunehmend im Fokus der Angreifer Überlebenswichtig: Keep the company running!

7 Ziele Daraus abgeleitete Ziele: Fokus: Schutzniveau des Mittelstandes (KMU) anheben IT-Risiken der KMU für Versicherer und andere Interessensgruppen bewertbar machen

8 Marktsituation IT-Security?

9 KMU bislang nicht adressiert! Aber: Die kleinen und mittleren Unternehmen (KMU) umfassen in Deutschland rund 99,7 % aller umsatzsteuerpflichtigen Unternehmen, in denen knapp 65,8 % aller sozialversicherungspflichtigen Beschäftigten angestellt sind, rund 37,5 % aller Umsätze erwirtschaftet werden sowie rund 83,0 % aller Auszubildenden ausgebildet werden. Quelle: ifm Bonn

10 Marktsituation IT-Security?

11 Marktsituation IT-Security

12 Überblick Doku- menten- Check Prüfung Ergebnis Check-Up ja Audit vor Ort Zertifikat jährlich ja Audit vor Ort Testat nein nein Self- Assessment Bericht (PDF) nein

13 VdS 3473 Eigenschaften Jung: Erstveröffentlichung 07/2015, erstes Zertifikat 12/2015 Kurz: 28 Seiten Vorgaben (so wenig wie möglich, so viel wie nötig) Frei: Keine konkreten technischen Vorgaben Allgemeingültig: Passt für alle Branchen/Organisationen Kompatibel: Als Teilmenge zu BSI Grundschutz, ISO und BDSG Kostengünstig zu implementieren

14 VdS 3473 Marktanalyse 10/2015

15 VdS 3473 Aufbau

16 VdS 3473 Inhaltsübersicht Kapitel Kapitel 1. Allgemeines (Unterschied SOLLTE, MUSS) 10. IT-Systeme und ff. der Begriff Basisschutz 2. Normative Verweise (u.a. BSI bis -4, ISO 9001, 22301, 31000) 11. Netzwerke und Verbindungen 3. Glossar 12. Mobile Datenträger (Risiko, Schutz, Verlust) 4. Organisation der Informationssicherheit 13. Umgebung (Server, akt. Komponenten, Leitungen) 5. Leitlinien zur Informationssicherheit 14. IT-Outsourcing und Cloud-Computing (Verträge) 6. Richtlinien zur Informationssicherheit 15. Zugänge und Zugriffsrechte (Administration) 7. Personal (vor, während, nach der Beschäftigung) 16. Datensicherung und Archivierung (Technik, Verfahren) 8. Wissen (Aktualität, Weiterbildung) 17. Störungen und Ausfälle 9. Identifizierung kritischer IT-Ressourcen 18. Sicherheitsvorfälle (Erkennen, Reaktion)

17 VdS 3473 Kapitel 4. Organisation der Informationssicherheit Themen - Verantwortlichkeiten - Verantwortung des Topmanagements - Informationssicherheitsbeauftragter (ISB) - Informationssicherheitsteam (IST), Zusammensetzung - IT-Verantwortlicher - Ggf. Datenschutzbeauftragter - Administratoren - Vorgesetzte mit Personalverantwortung - Personal - Projektverantwortliche (zum ISB) - Lieferanten und sonstige Auftragnehmer

18 VdS 3473 Kapitel 5. Leitlinien zur Informationssicherheit Themen - Sie definiert Ziele und den Stellenwert der IS im Unternehmen - Sie definiert sämtliche Positionen für den IS-Prozess und weist auf deren Aufgaben hin - Sie weist auf die Konsequenzen ihrer Nichtbeachtung hin - Muss vom Topmanagement beschlossen und bekannt gegeben werden

19 VdS 3473 Kapitel 6. Richtlinien zur Informationssicherheit Themen - Notwendig zur Unterstützung und Konkretisierung der IS-Leitlinie - Für wen, warum, Ziel, keine Kollision mit anderen IS-LL oder IS-RL, Hinweis auf Konsequenz bei Nichtbeachtung - Zwingend erforderlich für - Nutzer (Generelle Nutzung, private Nutzung, Abwesenheit, Missbrauch) - Lieferanten und sonstige Auftragnehmer - Mobile IT-Systeme - Mobile Datenträger - Datensicherung - Störungen und Ausfälle - Sicherheitsvorfälle

20 VdS 3473 Kapitel 9. Identifizierung kritischer IT- Ressourcen Themen - Welche Ressourcen? Prozesse, Informationen, IT-Systeme, mobile Datenträger und Verbindungen, Individualsoftware - Wie? Über Business Impact Analyse CIA Confidentiality, Integrity, Availability - Dreh- und Angelpunkt: - Eine Ressource ist als kritisch einzustufen, wenn ihre Beeinträchtigung zu katastrophalen Schäden (s. Abschnitt 3 Glossar : an Leib/Leben, zentralen Geschäftsprozessen, zentralen Unternehmenswerten, Rechtskonformität, Schadenshöhe) führen kann - IT-Systeme, mobile Datenträger und Verbindungen sind dann kritisch, wenn sie kritische Informationen verarbeiten, speichern oder übertragen

21 VdS 3473 Kapitel 10. IT-Systeme und im Folgenden der Begriff Basisschutz Themen - Inventarisierung - Lebenszyklus - Basisschutz: Festlegungen zu Updates, Beschränkung des Netzwerkverkehrs, Protokollierung, externe Schnittstellen, Schutz vor Schadsoftware, Starten von fremden Medien, Authentifizierung, Zugriffsbeschränkungen - Zusätzliche Maßnahme für mobile IT-Systeme (IS-RL, Schutz, Verlust) - Zusätzliche Maßnahme für kritische IT-Systeme (Notbetrieb, Robustheit, etc.)

22 VdS 3473 Kapitel 11. Netzwerke und Verbindungen Themen - Dokumentation, Pläne - Aktive Netzwerkkomponenten: sind IT-Systeme, siehe Abschnitt 10 - Netzübergänge (physikalisch, protokolliert, administriert) - Basisschutz - Zusätzliche Maßnahmen für kritische Verbindungen

23 VdS 3473 Kapitel 17. Störungen und Ausfälle Themen - IS-Richtlinie - Reaktion - Überblick - Gegenmaßnahmen - Dokumentation - Beweissicherung - Schadensbehebung - Nachbereitung - Zusätzliche Maßnahmen für kritische IT-Systeme - Wiederanlaufpläne - Abhängigkeiten untereinander

24 Grundlagen VdS Quick-Check online unter VdS 3474 Quick-Audit für Cyber-Security Verfahren VdS 3473 Informationssicherheit in KMU - Anforderungen VdS 3475 Informationssicherheit in KMU - Zertifizierungsverfahren Download unter

25 Zusammenfassung Der Mittelstand braucht Unterstützung und passende Lösungen Neu: VdS 3473 wird der Branchenstandard für KMU-Cyber-Security Neu: Quick-Check und Quick-Audit als Einstieg und zur Bewusstseinsschaffung bei niedrigeren Risiken

26 Danke für Ihre Aufmerksamkeit.