Unter der Schirmherrschaft des

Transkript

1 2.0 Unter der Schirmherrschaft des :01

2 :01

3 Anwender müssen nicht nur Sicherheit haben wollen, sondern auch eigenständig beurteilen können, was sie wirklich benötigen. Dafür sind Kompetenzen erforderlich. Die Workshops liefern einen ersten Einstieg für Geschäftsführer kleinerer Unternehmen. Klemens Gutmann Mitgründer und Geschäftsführer der regiocom-gruppe 3 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

4 Dr. Martin Wansleben Geleitwort Mit zunehmendem Grad der Digitalisierung sind die Unternehmen immer mehr auf zuverlässige Informations- und Kommunikationssysteme angewiesen. Die Unternehmen machen sich deshalb zu Recht Gedanken über die Sicherheit ihrer Daten. Über alle Branchen hinweg sehen Unternehmer die IT-Sicherheit als größtes Hemmnis für die Digitalisierung in ihrem Unternehmen an. Dabei lassen sich die wichtigsten Gefahren schon mit einigen grundlegenden Vorkehrungen eindämmen. Viele denken zunächst an die Technik. Da sind wir in Deutschland gut aufgestellt: Es gibt viele gute Anbieter von sicheren Netzwerken und Unternehmensanwendungen. Worauf bei der Auswahl zu achten ist, kann man in unseren Workshops erfahren. Darüber hinaus müssen Prozesse und Verantwortliche etabliert werden. Ein Ziel unserer Aktivitäten ist aber auch, dafür zu sensibilisieren, dass die Mitarbeiter in den Unternehmen kompetent sein müssen für den sicheren Umgang mit den digitalen Medien. Denn nur entsprechend qualifizierte Mitarbeiter können die Potenziale der Digitalisierung voll ausschöpfen und darüber hinaus Innovationen auf Basis der neuen Technologien hervorbringen. Letztlich benötigen Unternehmen je nach eigenem Risikoprofil zugeschnittene Maßnahmen technische und nicht-technische. Die Workshops sollen dazu beitragen, einen Einstieg in die Materie zu finden. Dr. Martin Wansleben Hauptgeschäftsführer Deutscher Industrie- und Handelskammertag 2.0 I 4 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

5 Dr. Thomas Kremer Geleitwort Sehr geehrte Teilnehmerinnen und Teilnehmer, Angreifer aus dem Cyberraum haben in kleinen und mittelständischen Unternehmen oft leichtes Spiel : Vertrauliche Unterlagen und persönliche Daten können fast ungeschützt eingesehen, kopiert und manipuliert werden. Reputations-, Rechtsverluste und erhebliche Schäden drohen. Den wachsenden Anforderungen der Digitalisierung halten die IT-Systeme in den meisten Unternehmen nicht stand. Übergreifende Konzepte gegen Cyberangriffe, Schulungen von Mitarbeitern, die verschlüsselte -Kommunikation und weitere Sicherheitsmaßnahmen, um Angriffen vorzubeugen, bleiben weiterhin eher die Ausnahme. Die Cyber-Sicherheitsstrategie der Bundesregierung setzt ein klares Zeichen zur Stärkung von digitalen Kompetenzen für IT-Sicherheit, auch in mittelständischen Unternehmen. Der digitale Selbstschutz steht im Mittelpunkt der Bemühungen unserer Aufklärungsarbeit. Der Verein Deutschland sicher im Netz e.v. und der Deutsche Industrie- und Handelskammertag laden Sie gemeinsam mit Ihrer Industrie- und Handelskammer zu praxisnahen Workshops ein. Die Workshops richten sich an Geschäftsführer und IT-Entscheider in kleinen und mittleren Unternehmen. Erfahrene Referenten geben Ihnen praxisnahe Tipps für mehr Sicherheit in Ihren Unternehmen an die Hand. Sie erhalten kostenfreie, aktuelle Unterrichtsmaterialien. Wir freuen uns auf Ihre Teilnahme! Dr. Thomas Kremer DsiN Vorstandsvorsitzender 5 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

6 Cyber-Risiken erkennen, Bewusstsein für IT-Sicherheit schaffen und diese umsetzen - so engagieren wir uns für den Mittelstand! Oliver Wolf Leiter Workshop, Avira IT-Sicherheit@Mittelstand 2.0 I 6 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

7 Inhalt Geleitwörter Dr. Martin Wansleben, Dr. Thomas Kremer...4 Gebrauchsanleitung...8 Warum Informationssicherheit?...10 Informationssicherheit erfordert einen kontinuierlichen Prozess...12 Statusaufnahme und Risikoanalyse...14 Basisschutz durch Prävention: technisch, organisatorisch, finanziell Reaktion auf Schwachstellen und Sicherheitsvorfälle...18 Der Mitarbeiter im Fokus...20 Verantwortlichkeiten im Unternehmen...21 Und los gehts...23 Zusatzmodule Die Datenschutz-Grundverordnung...25 IT-Sicherheitsgesetz und kritische Infrastrukturen...26 Wirtschaftsspionage und Wirtschaftsschutz...27 Zusammenarbeit mit Behörden und externen Organisationen...28 Die Cloud als Backoffice...29 Das Internet als Verkaufsraum...30 Industrie 4.0: Sichere Vernetzung der Produktion...31 Cyberversicherungen...32 Privates und Dienstliches - am besten getrennt Verschlüsselung Umgang mit Lieferanten und Partnern...35 Guidelines für Referenten...36 Wo bekomme ich Unterstützung?...36 DIHK und IHKs...38 Deutschland sicher im Netz...39 Impressum I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :35

8 Gebrauchsanleitung Das vorliegende Handout der Workshopreihe 2.0 der gemeinsamen Initiative von Deutschland sicher im Netz e.v. und dem DIHK hilft Ihnen als Begleitung bei der Teilnahme an dem Workshop. Ziel der Workshops ist es, auf Geschäftsführungs- und Entscheiderebene für kleine und mittlere Unternehmen wesentliche inhaltliche Impulse zu setzen, um das bereits vorhandene grundsätzliche Bewusstsein, dass für IT-Sicherheit etwas getan werden muss, mit konkreten Handlungsanleitungen zu ergänzen. Die Inhalte orientieren sich an ISO als dem referentiellen Ansatz für das Etablieren von IT-Sicherheit in Unternehmen und Organisationen. Der Foliensatz ist durch eine Orientierungshilfe strukturiert, welche den Aufbau eines Informationssicherheitsmanagementsystems abbildet. Die Zusatz- oder Sonderthemen sind aufgrund der Aktualität aufgenommen worden und werden je nach Interesse durch den Referenten erläutert. Der Foliensatz für die Workshops ist Bestandteil dieses Handouts. Sie haben in den Notiz-Feldern die Möglichkeit, Ihre persönlichen Anmerkungen einzutragen. Damit kann das Handout auch zur individuellen Nachbearbeitung der Workshops dienen. Um die Workshops kontinuierlich verbessern zu können, bitten wir Sie um das Ausfüllen der im Rahmen des Workshops durch die IHK ausgeteilten Feedbackbögen. Damit möchten wir sicherstellen, dass die Workshops den Erwartungen der Zielgruppe entsprechen oder wir bedarfsweise auch noch besser auf deren Ansprüche zuarbeiten können. Wir wünschen Ihnen viel Erfolg! DIHK & Deutschland sicher im Netz 2.0 I 8 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

9 Die Orientierungshilfe 9 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

10 Warum Informationssicherheit? 1. Nutzen Sie die Vorteile der Digitalisierung 2. Halten Sie die Gesetze ein! 2.0 I 10 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

11 Warum Informationssicherheit? 3. Reduzieren Sie die persönliche Haftung der Geschäftsführer 11 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

12 Informationssicherheit erfordert einen kontinuierlichen Prozess Was ist Informationssicherheit? Sicherheit aus zwei unterschiedlichen Perspektiven 2.0 I 12 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

13 Informationssicherheit erfordert einen kontinuierlichen Prozess Der Informationssicherheitsprozess 13 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

14 Statusaufnahme und Risikoanalyse Schutzbedarf und Risiko ermitteln Darstellung der TOP Risiken 2.0 I 14 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

15 Statusaufnahme und Risikoanalyse Optionen für den Umgang mit Risiken 15 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

16 Basisschutz durch Prävention: technisch - organisatorisch - finanziell Präventionsmaßnahmen Technische Präventionsmaßnahmen IT-Sicherheit@Mittelstand 2.0 I 16 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

17 Basisschutz durch Prävention: technisch - organisatorisch - finanziell Organisatorische Präventionsmaßnahmen Finanzielle Präventionsmaßnahmen 17 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

18 Reaktion auf Schwachstellen und Sicherheitsvorfälle Schwachstellen vs. Vorfälle Umgang mit Schwachstellen und Incidents 2.0 I 18 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

19 Reaktion auf Schwachstellen und Sicherheitsvorfälle Angriffe erkennen und bearbeiten 19 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

20 Der Mitarbeiter im Fokus Der Mitarbeiter: die beste Sicherheitsmaßnahme Sensibilisierung und Kompetenzentwicklung 2.0 I 20 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

21 Verantwortlichkeiten im Unternehmen Verantwortlichkeiten Erstellen Sie eine Sicherheitsleitlinie 21 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

22 Verantwortlichkeiten im Unternehmen Ach ja: die Rolle der IT-Abteilung 2.0 I 22 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

23 Und los geht s Wie fange ich an? Wo bekomme ich Hilfe? 23 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

24 Das Erkennen, Bewerten und Minimieren von Cyber-Risiken gehört auch für den Mittelstand zu den Eckpfeilern eines nachhaltigen Risikomanagements. Dafür setzen wir uns ein. Dr. Robert Reinermann Sprecher der Geschäftsführung, VdS Schadenverhütung GmbH 2.0 I 24 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

25 Die Datenschutz-Grundverordnung Die Datenschutzgrundverordnung Gemeinsamkeiten und Unterschiede zum ISMS 25 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

26 IT-Sicherheitsgesetz und kritische Infrastrukturen Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz was ist zu tun? 2.0 I 26 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

27 Wirtschaftsspionage und Wirtschaftsschutz Wirtschaftsspionage Neue EU-Richtlinie zum Geheimnisschutz (Juni 2016) 27 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

28 Zusammenarbeit mit Behörden und externen Organisationen Zusammenarbeit mit Behörden Zusammenarbeit mit anderen Organisationen 2.0 I 28 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

29 Die Cloud als Backoffice Die Cloud als Backoffice Risiko oder Segen? Eigenbetrieb oder Cloud? 29 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

30 Das Internet als Verkaufsraum Das Internet als Verkaufsraum was ist zu beachten? Eigenbetrieb oder Teilnahme an Marktplätzen? 2.0 I 30 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

31 Industrie 4.0: Sichere Vernetzung der Produktion Sichere Vernetzung der Produktion Anforderungen an Maschinen-Software-Hersteller / -Dienstleister 31 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

32 Cyberversicherungen Wie funktionieren Cyberversicherungen? Cyberversicherungen: Entscheidungshilfe 2.0 I 32 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

33 Privates und Dienstliches - am besten getrennt Bring Your Own Device (BYOD) Privates und Dienstliches am besten getrennt 33 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :01

34 Verschlüsselung Verschlüsselung und co. leicht gemacht Empfehlungen zum Einsatz von Verschlüsselung 2.0 I 34 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

35 Umgang mit Lieferanten und Partnern Sicherheitsanforderungen an Lieferanten und Partner Mit Sicherheit die richtigen Partner und Lieferanten finden 35 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

36 Guidelines für unsere Referenten Referenten, die sich im Rahmen der Workshopreihe engagieren, bekennen sich zu folgenden Verhaltensregeln: 1. Produkt- und herstellerneutrale Unterrichtung 2. Kostenfreie Vermittlung von Inhalten und Materialien 3. Offenheit für alle interessierten IHK-Mitglieder zur Teilnahme am Workshop 4. Einbringen von Ergänzungen und Anregungen zur Optimierung von Schulungsinhalten gegenüber DsiN und DIHK 5. Achtung der Urheberrechte von involvierten Workshop-Materialien 6. Achtung der Persönlichkeitsrechte aller Beteiligten 7. Vermittlung von aktuellem Wissen als Botschafter für Digitale Sicherheit Für Rückfragen und Anregungen zu unseren Guidelines und allgemeinen Fragen wenden Sie sich gerne an Wo bekomme ich Unterstützung? Das DsiN-Sicherheitsbarometer zeigt aktuelle Risiken im Internet für Privatanwender sowie kleine Unternehmen und bietet passende Sicherheitstipps. Auch als kostenfreie App erhältlich: 2.0 I 36 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

37 37 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

38 DIHK und IHKs Industrie- und Handelskammern und ihr Dachverband, der Deutsche Industrie- und Handelskammertag engagieren sich in den Regionen für mehr Daten- und Informations-sicherheit. Der DIHK hat im August 2013 gemeinsam mit anderen Verbänden und dem Bundes-ministerium des Innern eine intensive Zusammenarbeit beim Wirtschaftsschutz vereinbart. Unter dem Dach der Initiative Wirtschaftsschutz ( bündeln Wirtschaft und Staat ihre Aktivitäten für mehr Sicherheit in der Wirtschaft und arbeiten auf fachlicher und strategischer Ebene zusammen. Viele IHKs sind aktiv, um Unternehmen zu sensibilisieren, zu informieren und Erfahrungsaustausch herbeizuführen. Sie führen zahlreiche Veranstaltungen und Weiterbildungen durch. IHKs sind in den Regionen gut vernetzt, z. B. mit Vereinen für Sicherheit in der Wirtschaft, regionalen Initiativen und Forschungseinrichtungen. Die Ansprechpartner der IHKs sind in engem Austausch mit den Unternehmen zu deren Bedarfen beim Thema IT-Sicherheit Deutschland sicher im Netz und die IHK-Organisation haben am 11. September 2015 die bundesweite Workshopreihe unter der Schirmherrschaft des Bundesministeriums für Wirtschaft und Energie (BMWi) gestartet. 2.0 I 38 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

39 DsiN gemeinsam für IT-Sicherheit eutschland sicher im Netz ist als gemeinnütziger Verein zentraler Ansprechpartner beim DThema IT-Sicherheit und Schutz von Daten. Gegründet 2006 auf dem ersten Nationalen IT-Gipfel, getragen von Unternehmen, Verbänden und Bürgervereinen, steht die Initiative unter der Schirmherrschaft des Bundesministers des Innern. Aktuell engagieren sich über 25 Unternehmen, Verbände und Vereine der digitalen Wirtschaft und Gesellschaft bei DsiN als Mitglieder. In der Digitalen Agenda 2014 bis 2017 wurde DsiN zur Aufklärungsarbeit einer breiteren Öffentlichkeit betraut. Die Cyber-Sicherheitsstrategie der Bundesregierung von 2016 bestärkte DsiN in dieser Rolle ausdrücklich. Produktneutral und herstellerübergreifend ist DsiN zentraler Ansprechpartner für Verbraucher und mittelständische Unternehmen. Der Verein hat das Ziel, bei Verbrauchern und in Unternehmen ein Bewusstsein für einen sicheren Umgang mit Internet und IT zu fördern, sowie einen praktischen und messbaren Beitrag für mehr IT-Sicherheit zu leisten. DsiN versteht sich als Partner für die Politik, gesellschaftliche Gruppen und die Wissenschaft, besonders im Bereich Sicherheit in der Informationstechnik. Die Initiative wird insbesondere unterstützt von den DsiN-Mitgliedern Avira, Deutscher Sparkassen- und Giroverband e. V. und VdS Schadenverhütung. 39 I IT-Sicherheit@Mittelstand 2.0 Handout_It-Sicherheit@Mittelstand2.0_ohne_Vorwort.indd :02

40 Verantwortlich: Michael Kowalski, Prof. Dr. Sachar Paulus, Dr. Katrin Sobania, Sascha Wilms Gestaltung: ideengut Agentur für Kommunikation Impressum Stand: Mai 2017 DIHK Deutscher Industrie- und Handelskammertag e.v. Breite Straße Berlin Tel Deutscher Industrie- und Handelskammertag e.v Alle Rechte bleiben vorbehalten In Kooperation mit Deutschland sicher im Netz e.v. Hinweis: Die Inhalte und Dokumente sind ausschließlich zur internen Verwendung bestimmt und dürfen daher nicht an Dritte weitergegeben bzw. von Dritten genutzt werden :02