Cyber Security der Brandschutz des 21. Jahrhunderts

Transkript

1 Cyber Security der Brandschutz des 21. Jahrhunderts oder VdS 3473 Der Cyberstandard für KMU CeBIT, Markus Edel, VdS Schadenverhütung GmbH

2 Situation html

3 Agenda Cyber-Security Ein Thema für VdS Aufbau des Systems VdS 3473 Ergänzungen und Erfahrungen VdS-Assistance-Netzwerk VdS Quick-Check

4 Gestern und Heute

5 Cyber-Security Thema für VdS VdS als Tochterunternehmen des GDV nah an der Versicherungswirtschaft Versicherer sehen Herausforderungen für KMU Versicherer suchen Lösungen für die Risikobewertung Versicherer suchen Lösungen für die IT-Versicherung bei KMU und evtl. Assistanceleistungen

6 Cyber-Security Thema für die Wirtschaft Gesetzgebung (IT-Sicherheitsgesetz Kritische Infrastrukturen) Insbesondere KMU zunehmend im Fokus der Angreifer Risiken: Marktposition - Reputation - Kosten Überlebenswichtig: Vermeide die Betriebsunterbrechung

7 Ziele Daraus abgeleitete Ziele: Fokus: Schutzniveau des Mittelstandes (KMU) anheben IT-Risiken der KMU für Versicherer und andere Interessensgruppen bewertbar machen

8 Marktsituation IT-Security?

9 KMU bislang nicht adressiert! Aber: Die kleinen und mittleren Unternehmen (KMU) umfassen in Deutschland rund 99,7 % aller umsatzsteuerpflichtigen Unternehmen, in denen knapp 65,8 % aller sozialversicherungs-pflichtigen Beschäftigten angestellt sind, rund 37,5 % aller Umsätze erwirtschaftet werden sowie rund 83,0 % aller Auszubildenden ausgebildet werden. Quelle: ifm Bonn

10 Marktsituation IT-Security?

11 Marktsituation IT-Security

12 Überblick Doku- menten- Check Prüfung Ergebnis Check-Up Kompatibel zu ISO ja Audit Zertifikat jährlich ja Audit Testat nein nein Selbstauskunft Bericht nein

13 VdS 3473 Eigenschaften Jung: Erstveröffentlichung 07/2015, erstes Zertifikat 12/2015 Kurz: 28 Seiten Vorgaben (so wenig wie möglich, so viel wie nötig) Frei: Keine konkreten technischen Vorgaben Allgemeingültig: Passt für alle Branchen/Organisationen Kompatibel: Als Teilmenge zu BSI Grundschutz, ISO und BDSG Kostengünstig zu implementieren

14 VdS 3473 Aufbau

15 VdS 3473 Inhaltsübersicht Kapitel Kapitel 1. Allgemeines (Unterschied SOLLTE, MUSS) 10. IT-Systeme und ff. der Begriff Basisschutz 2. Normative Verweise (u.a. BSI bis -4, ISO 9001, 22301, 31000) 11. Netzwerke und Verbindungen 3. Glossar 12. Mobile Datenträger (Risiko, Schutz, Verlust) 4. Organisation der Informationssicherheit 13. Umgebung (Server, akt. Komponenten, Leitungen) 5. Leitlinien zur Informationssicherheit 14. IT-Outsourcing und Cloud-Computing (Verträge) 6. Richtlinien zur Informationssicherheit 15. Zugänge und Zugriffsrechte (Administration) 7. Personal (vor, während, nach der Beschäftigung) 16. Datensicherung und Archivierung (Technik, Verfahren) 8. Wissen (Aktualität, Weiterbildung) 17. Störungen und Ausfälle 9. Identifizierung kritischer IT-Ressourcen 18. Sicherheitsvorfälle (Erkennen, Reaktion)

16 VdS 3473 Kapitel 4. Organisation der Informationssicherheit Themen - Verantwortlichkeiten - Verantwortung des Topmanagements - Informationssicherheitsbeauftragter (ISB) - Informationssicherheitsteam (IST), Zusammensetzung - IT-Verantwortlicher - Ggf. Datenschutzbeauftragter - Administratoren - Vorgesetzte mit Personalverantwortung - Personal - Projektverantwortliche (zum ISB) - Lieferanten und sonstige Auftragnehmer

17 VdS 3473 Kapitel 6. Richtlinien zur Informationssicherheit Themen - Notwendig zur Unterstützung und Konkretisierung der IS-Leitlinie - Für wen, warum, Ziel, keine Kollision mit anderen IS-LL oder IS-RL, Hinweis auf Konsequenz bei Nichtbeachtung - Zwingend erforderlich für - Nutzer (Generelle Nutzung, private Nutzung, Abwesenheit, Missbrauch) - Lieferanten und sonstige Auftragnehmer - Mobile IT-Systeme - Mobile Datenträger - Datensicherung - Störungen und Ausfälle - Sicherheitsvorfälle

18 VdS 3473 Kapitel 9. Identifizierung kritischer IT- Ressourcen Themen - Welche Ressourcen? Prozesse, Informationen, IT-Systeme, mobile Datenträger und Verbindungen, Individualsoftware - Wie? Über Business Impact Analyse CIA Confidentiality, Integrity, Availability oder deutsch: Vertraulichkeit, Unversehrtheit, Verfügbarkeit - Dreh- und Angelpunkt: - Eine Ressource ist als kritisch einzustufen, wenn ihre Beeinträchtigung zu katastrophalen Schäden (s. Abschnitt 3 Glossar : an Leib/Leben, zentralen Geschäftsprozessen, zentralen Unternehmenswerten, Rechtskonformität, Schadenshöhe) führen kann - IT-Systeme, mobile Datenträger und Verbindungen sind dann kritisch, wenn sie kritische Informationen verarbeiten, speichern oder übertragen

19 VdS 3473 Kapitel 10. IT-Systeme und im Folgenden der Begriff Basisschutz Themen - Inventarisierung, Lebenszyklus - Basisschutz: Festlegungen zu Updates, Beschränkung des Netzwerkverkehrs, Protokollierung, externe Schnittstellen, Schutz vor Schadsoftware, Starten von fremden Medien, Authentifizierung, Zugriffsbeschränkungen - Zusätzliche Maßnahme für mobile IT-Systeme (IS-RL, Schutz, Verlust) - Zusätzliche Maßnahme für kritische IT-Systeme (Notbetrieb, Robustheit, etc.)

20 VdS 3473 Kapitel 11. Netzwerke und Verbindungen Themen - Dokumentation, Pläne - Aktive Netzwerkkomponenten: sind IT-Systeme, siehe Abschnitt 10 - Netzübergänge (physikalisch, protokolliert, administriert) - Basisschutz - Zusätzliche Maßnahmen für kritische Verbindungen

21 VdS 3473 Kapitel 17. Störungen und Ausfälle Themen - IS-Richtlinie - Reaktion - Überblick - Gegenmaßnahmen - Dokumentation - Beweissicherung - Schadensbehebung - Nachbereitung - Zusätzliche Maßnahmen für kritische IT-Systeme - Wiederanlaufpläne - Abhängigkeiten untereinander

22 Ergänzungen und Erfahrungen VdS 3473 Anhang 1 für produzierendes Gewerbe Verfügbarkeitsanforderung steht im Vordergrund Echtzeit-Datenverarbeitung getrennte IT-Verantwortliche für Office- /Produktionsumgebung geänderte / zusätzliche Anforderungen an Netzwerktrennung, Zugänge, Schutz vor Schadsoftware, Fernwartung teilweise geändertes Wording

23 Ergänzungen und Erfahrungen Erfahrung im Krankenhausbereich (BSI-KRITIS ) auch Vertraulichkeit im Vordergrund (NDAs) Zugriff auf Medizintechnik oft nur administrativ möglich Schutz vor Schadsoftware? (Embedded systems) Patchmanagement nicht durchgängig möglich Verbot durch Hersteller Verfügbarkeitsanforderung ggf. physikalische Risiken für Serverräume / Etagenverteiler

24 Zusammenfassung Der Mittelstand braucht Unterstützung und passende Lösungen VdS 3473 auf dem Weg zum Branchenstandard für KMU-Cyber-Security Quick-Check und Quick-Audit als Einstieg und zur Risikobewertung Alle Richtlinien kostenlos als Download verfügbar unter

25 Assistanceleistung Assistanceleistungsangebot für die Versicherer Ziel Telefon Hotline Vor-Ort-Service Quick Intervention Schadenanalyse Schnelle Herstellung des Regelbetriebs / Notbetriebs Vermeidung / Begrenzung BU und weiterer Folgeschäden Wer macht s?

26 Auswahl Anforderungen: Kompetenz Vielseitigkeit Erreichbarkeit Präsenz Verfügbarkeit Partnerschaften Zertifizierungen Wirtschaftlichkeit Forensik: i.d.r. eigenes Kompetenzfeld

27 Assistance-Datenbank für VU ca. 80 Systemhäuser/Berater im Bestand (R km in BRD) Vertragsverhältnis zwischen VU/Systemhaus Zusätzliche Geschäftsmöglichkeit für Sie?

28 Vorstellung VdS Quick-Check 39 Fragen kostenlos - Ergebnisbericht

29 Ergänzender Quick-Check ICS für produzierende Unternehmen VdS bietet einen zusätzlichen Quick-Check für produzierende Unternehmen an Beide Checks in deutsch und englisch verfügbar Insgesamt fast 2000 valide Ergebnisse (März 2015-Feb. )

30 Struktur und aktueller Ergebnisstand des VdS Quick-Checks Stand März ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge TECHNIK Mobile Geräte Software Netzwerke IT-Systeme 58% 57% 57% 62% PRÄVENTION Sicherheitsvorfälle Umgebung Datensicherung Ausfälle MANAGEMENT IT-Outsourcing und Cloud Computing 59% 46% 58% 29% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

31 Im Teilbereich Organsation besteht weiterhin Nachholbedarf ORGANISATION 58% Merkmalsblöcke: 57% Organisation der Informationssicherheit 49% 46% Der Merkmalsblock Organisation der Informationssicherheit erreicht weiterhin den geringsten Reifegrad. Insgesamt deutlich solider aufgestellt sind die Teilnehmer beim Umgang mit Zugängen zu Systemen. Richtlinien Personal Zugänge 59% 60% 51% 51% 71% 70% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

32 Im Teilbereich Technik ist der Reifegrad / gegenüber 2015/ zurückgegangen TECHNIK 57% Merkmalsblöcke: 62% Mobile Geräte 54% 57% Der Reifegrad zur IT-Sicherheit stellt die teilnehmenden Unternehmen mit Blick auf mobile Geräte und mobile Datentärger nicht zufrieden. In der IT-Sicherheit gibt es weiterhin Optimierungspotenziale mit Blick auf die Merkmale IT- Systeme. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard. Mobile Datenträger Netzwerke IT-Systeme : nicht abgefragt 53% 67% 68% 55% 54% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

33 Der Teilbereich Prävention erreicht einen durchschnittlichen Reifegrad PRÄVENTION 59% Merkmalsblöcke: 58% Sicherheitsvorfälle 32% 31% Der Merkmalsblock Sicherheitsvorfälle erreicht zusammen mit dem Merkmalsblock Ausfälle auch in /17 einen nicht zufriedenstellenden Reifegrad. Umgebung Datensicherung 78% 80% 80% 78% Ausfälle 44% 43% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

34 Der Teilbereich Management findet keine ausreichende Beachtung MANAGEMENT 46% Merkmalsblöcke: 29% IT-Outsourcing und Cloud Computing 46% 29% Der Reifegrad der teilnehmenden Unternehmen hat sich zwar verbessert, ist jedoch mit Blick auf die Merkmale IT-Outsorucing und Cloud- Computing auch in /17 nicht zufriedenstellend. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

35 Zusammenfassung zur zweiten Auswertungswelle: Kaum messbare Veränderung Klassische Themen, wie die (analoge) Umgebungs-Sicherung sowie die Backup- und IT-Sicherungstechnik, werden von den meisten Unternehmen beherrscht. Starke Schwächen existieren beim Umgang mit Sicherheitsvorfällen, bei Managementausfällen sowie bei der Integration des Personals und der IT-Dienstleister. Neue Themen wie Cloud-Computing und der Umgang mit mobilen Geräten werden noch nicht systematisch bearbeitet. Nur von den wenigsten Firmen werden systematische Risikoanalysen durchgeführt. Fazit: Informationssicherheit wird vom Management immer noch nicht ausreichend thematisiert. Informationssicherheit endet bei den meisten Unternehmen in den IT-Abteilungen ein firmenweiter Ansatz existiert häufig nicht.

36 Impressum er-security Dipl.-Ing. Markus Edel Amsterdamer Str. 172 D Köln Tel. +49 (0) Fax. +49 (0) Mobil +49 (0)