Eine Frage der Verantwortung!

Transkript

1 (IT)-Risikomanagement oder doch noch mehr? Eine Frage der Verantwortung!

2 Kurz- Vorstellung: Dipl.-oec. ITZ Informationstechnologie GmbH Heinrich-Held-Str. 16, Essen Person - geb verheiratet, 4 Kinder Ausbildungen - Elektroanlageninstallateur - Ruhrkohle AG - Energieanlagenelektroniker - Ruhrkohle AG Studium - Wirtschaftswissenschaften Uni Duisburg-Essen / Marketing und strategischess Management - Abschluss: Dipl.-Ökonom Berufliche Stationen - Account-Management, Vertriebs- und Marketingleitung, Managing Director (Benelux/Amsterdam), Member Board of Directors Northern Europe (9 Länder) Berufliche Erfahrungen - > 25 Jahre IT-Markt - > 10 Jahre im Gesundheitswesen (Spezialgebiete: Risikomanagementanalysen und umsetzungen, DIN EN , ISMS, 27001(x), BSI etc.) Zertifizierungen - zertifizierter Risikomanager Consultant- und Expert-Level / ITIL, Cisco, HP, Enterasys, Imprivata, protected networks u.a.

3 ITZ Informationstechnologie GmbH IT-Systemhaus Gegründet 1994 Hauptsitz in Essen Bundesweite Präsenz ca. 120 Mitarbeiter Umsatz 2016: > 40 Mio. Euro ein 100%iges Unternehmen der Bechtle Gruppe (7.000 Mitarbeiter, 3 Mrd. Umsatz, gegr. 1987, börsennotiertes, deutsches, inhabergeführtes Unternehmen) Geschäftsführung: Thomas Stachorra und Peter Heinrichs 3 ITZ Essen Alexander Wittstein - Vertrieb

4 Begriffe / Schlagwörter KRITIS (Betreiber kritischer Infrastrukturen/Segmentierung/Rechtsverordnungen) IT-Sicherheitsgesetz (IT-SiG) InformationsSicherheitsManagementSystem ISMS ISO 27001(x) DIN EN (Gesundheitswesen) EU-DSGVO (Datenschutz-Grundverordnung) Cyper-Crime / Cyber-Abwehr

5 Anforderungen Kernforderung: RISIKOMANAGEMENT als Fundament Bezogen auf die Schutzziele: - Verfügbarkeit - Vertraulichkeit - Integrität - Sicherheit - Rechtskonformität Mindestanforderung: Stand der Technik

6 Betrachtungs-Scope rechtliche organisatorische technische wirtschaftliche

7 IT-SiG und KRITIS

8 Zusammenfassung KRITIS/IT-SiG Für SIE relevant??? Fristsetzung zur Umsetzung der Vorgaben an die Unternehmen: 2 Jahre nach Inkrafttreten (25. Juli 2015): RECHTSVERORDNUNG!!!!! Mindestanforderung zur Umsetzung der Vorgaben: Stand der Technik! Kernforderung: Einführung eines ISMS gemäß ISO Mindeststandard! Risikomanagement-Prozess inkl. Business-Impact-Analysen (BIA) einführen und umsetzen Fest, zugewiesenen Ansprechpartner im Unternehmen benennen und an BSI übermitteln bis Rechtsverordnung: Zertifizierung ISO (2 Jahre Zeit) durch unabhängige, zugelassene Stelle.(Zertifikat an BSI vorlegen) Meldepflicht an das BSI bei Vorfällen (unaufgefordert melden) Nachweis über regelmässige Audits (alle 2 Jahre) ans BSI melden externe Prüfer. Ausweitung der Befugnisse zur externen Prüfung durch das BSI: unangemeldete Audits! Bussgelder drohen! (= siehe analog EU-DSGVO)

9 Neues IT-Sicherheitsgesetzt (IT-SiG) Mit dem IT-Sicherheitsgesetz fordert der Gesetzgeber die Einhaltung oder zumindest die Berücksichtigung des "Stand der Technik" für die eingesetzten technischen Einrichtungen. Eine weitere Konkretisierung der relevanten Sy ysteme und Komponenten erfolgt von Seiten des Gesetzgebers nicht. Jeder Risikomanagement- und IT Governance-Prozess erfordert einen objektiven und nachvollziehbaren STAND DER TECHNIK, um Effizienz und Effektivität von Maßnahmen nachweisen zu können und muss umfänglich dokumentiert werden.

10 Einordnung der Begrifflichkeit: Stand der Technik

11 Der Stand der Technik Scoringmodellierung Speculative Grade Ratingkennzahlen Investment Grade Ratingkennzahlen Versicherungs- ratingansatz ) Stand der Technik (SdT Produktionsbetriebe ng) Energieversorger (Stromhandel/Erzeugun Gesundheitsbetriebe Best Available Technique (B BAT) Default CCC B BBB BBB A AA AAA keine Sicherheitsmassnahmen maximal RKZ Ratingkennzahl

12 EU-Datenschutz-Grundverordnung (DSGVO) - Auszug - ab Mitte 2018(25. Mai) wird die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) Geltung erlangen und dann die EU-Datenschutzrichtliniee (Richtlinie 95/46/EG) ersetzen. - das Bundesdatenschutzgesetz (BDSG) in der aktuellen Form ist damit Geschichte. - Marktortprinzip (alle Unternehmen erfasst, auch aussereuropäische die in EU anbieten) - Privacy by design (bei der Entwicklung) und privacy by default(voreingestellte IT-Systeme) - Datenschutz Folgeabschätzungen - Unterrichtung von Betroffenen und Aufsichtsbehörden bei Verstößen - Begrenzung der Profilbildung - Datensicherheit am Stand der Technik orientiertt - alle Maßnahmen müssen risikoabhängig betrachtet werden - Auftragsdatenverarbeitung und neue Informationspflichten - Höhere Bussgelder

13 EU-Datenschutz-Grundverordnung (DSGVO) Die DSGVO ist ein komplexes Gesetz, die Inventarisierung sämtlicher Daten ist ein erster sinnvoller Schritt in Richtung Compliance. Unternehmen müssen herausfinden, welche Daten wo gespeichert sind, wer darauf zugreifen kann und welche Berechtigungen erteilt wurden. Datensicherheit muss risikoabhängiger und individueller werden, um DSGVO zu entsprechen. Dokumentieren Dokumentieren.Dokumentieren n: künftig sind Sie in der Nachweispflicht, etwa um technische Schutzmaßnahmen in Ihrer Datenverarbeitung nachzuweisen.

14 Vorgehens- und Bewertungsmethodik (ISO PDCA A)

15

16 CRISAM Umsetzung des 10-Punkte-Plans der Deutschen Krankenhausgesellschaft

17 Business - Impact Analyse /Bedrohungsklassen-Zuordnung Modellierung mittels Fehlerbaumanalyse nach strukturierten Interviews

18 Festlegung Risikoakzeptanzwertes: BBB

19 Festlegung Risikoakzeptanzwertes: A

20 Zielvorgabenbestimmung IT-Sicherheit auf ein für das Unternehmen sinnvolles und betriebswirtschaftliches Niveau bringen und halten

21 Kosten-Nutzen Analyse: AUSGANGSLAGE Fragestellung: Wo liegt das wirtschaftliche Optimum? Business Process Owner IT-SERVICE Rating F&C MFL [ ] ERP BB B ,- Office BBB ,- Internet BBB - F&E MFL [ ] Produktion MFL [ ] , , , , ,- - ERGEBNIS IST-Bewertung Erwartetes Risiko p.a. Risikokosten in 5 Jahren , ,00

22 Ziel-Rating BBB Business Process Owner IT-SERVICE Rating F&C MFL [ ] ERP BBB BBB ,- Office BBB ,- Internet BBB - F&E MFL [ ] Produktion MFL [ ] , , , , ,- - ERGEBNIS IST-Bewertung Erwartetes Risiko p.a. Risikokosten in 5 Jahren Maßnahmenkosten: Nutzwert in 5 Jahren ca , , ,00

23 Ziel-Rating A Business Process Owner IT-SERVICE Rating F&C MFL [ ] ERP A A ,- Office A ,- Internet A - F&E MFL [ ] Produktion MFL [ ] , , , , ,- - ERGEBNIS IST-Bewertung Erwartetes Risiko p.a. Risikokosten in 5 Jahren Maßnahmenkosten: Nutzwert in 5 Jahren ca , , , ,00

24 Abschluss und Key-Findings Angesichts weiterer bestehender und weiter anwachsender Sicherheitsstandards wird der schlüssige Nachweis entsprechender Entlastungsgründe im Schadensfalle nicht einfach sein. Da schließlich das persönliche Haftungsrisiko durch eine gesetzliche Beweislastumkehr verschärft und mit weitreichenden Konsequenzen belastet ist, lassen sich Unternehmen wie Leitung nur durch ein effizientes Risiko- und Informationssicherheitsmanagement wirksam schützen. = analog DSGVO

25 Abschluss und Key-Findings Legen Sie Ihrem Risikomanagement eine klare und nachvollziehbare Methodik zugrunde (ISO 31000) Bewerten Sie Ihre IT-Risiken immer in an ihrer Ursachen-Wirkungsbeziehungen (Fehlerbaum-Analyse) Messen Sie Ihre IT-Risiken immer an ihren Auswirkungen für das Business (Business-Impact-Analyse) Maßnahmen zur Risikoreduktion monetär, analog zu Investitionsprojekten bewerten (Kosten-Nutzen-Analyse) Entscheidenn Sie bewusst und Reden Sie miteinander (intern wie extern)

26 Kontaktdaten ITZ Informationstechnologie GmbH Dipl.-oec. CRISAM zertifizierter Risikomanager/ISO Heinrich-Held-Str Essen Tel.: Mobil:

27 Zeit für Ihre Fragen Vielen Dank!