Status Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016

Ähnliche Dokumente
Cyber Security für den Mittelstand Unterstützung durch VdS Schadenverhütung und praktische Erfahrungen aus der Praxis

Cyber Security der Brandschutz des 21. Jahrhunderts

DSGVO erfolgreich meistern

Cyber Security der Brandschutz des 21. Jahrhunderts

Test GmbH Test Hamburg Hamburg

VdS-Richtlinien 3473 Workshop zur LeetCon 2017

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Cyber-Versicherung Die finanzielle Firewall. Achim Fischer-Erdsiek,

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Was jetzt zu tun ist.

Was jetzt zu tun ist. Mindestens.

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Was jetzt zu tun ist. Mindestens.

IT-Sicherheit für KMUs

VdS 3473 Informationssicherheit für KMU

Cloud Monitor 2017 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Sind Sie (sich) sicher?

BSI IT-Grundschutz in der Praxis

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

Training für Energieversorger. Security Awareness. Nachhaltig und wirksam

Hacking und die rechtlichen Folgen für die Geschäftsleitung

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

Richtlinie VdS 3473 Cyber Security für KMU

Cyber-Sicherheit in der mobilen Kommunikation. Arne Schönbohm, Präsident Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Informationssicherheit

Cyber-Sicherheits-Umfrage Cyber-Risiken, Meinungen und Maßnahmen

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Informationssicherheit - Nachhaltig und prozessoptimierend

Zugriff auf Unternehmensdaten über Mobilgeräte

Ernst & Young Best Practice Survey Risikomanagement 2005

Netz- und Informationssicherheit in Unternehmen 2010

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Der Informationssicherheitsprozess in der Niedersächsischen Landesverwaltung

Wo fängt IT-Sicherheit an oder wo hört sie auf?

Cloud-Monitor 2018 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Checkliste für Ihre Informationssicherheit

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Cloud Computing Security

Management- und Organisationsberatung. Business Continuity Management (BCM)

IT SECURITY UND DIGITALE KOMPETENZ. Business Breakfast 28. Juni 2017

Datenschutzgrundverordnung (EU DS-GVO) anhand von praktischen Beispielen

IT Managed Service & Datenschutz Agieren statt Reagieren

Wirtschaft. Technik. Zukunft. IT-SECURITY MANAGER/-IN IHK. Schutz firmeninterner Daten.

Was heißt Digitalisierung für KMU in den Regionen? Gerhard Laga, WKÖ E-Center

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg

VDMA IT-Security Report (Ergebnisauszug)

Kurz Audit PLM / PDM. GORBIT GmbH. Ihr Partner in allen Phasen Ihrer IT-Projekte und Ihrem Software Life Cycle. GORBIT - Ihr IT Partner

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Thomas W. Harich. IT-Sicherheit im Unternehmen

IT Security Investments 2003

Sicherheitsanalyse von Private Clouds

Grundlagen des Datenschutzes und der IT-Sicherheit

Technisch-organisatorische Maßnahmen

Janotta und Partner. Digitalisierung

Zertifizierung von Hochwasserschutzelementen. Bettina Falkenhagen Herborn,

dacoso Technik, die funktioniert. In einer Zusammenarbeit, die Spaß macht. dacoso im Überblick data communication solutions

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

IT- und Medientechnik

Cloud Computing Top oder Flop? 17. November 2010

Cyber Crime ein Hype oder ständiger Begleiter?

Verlust von Unternehmensdaten?

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Mit Sicherheit mehr Gewinn

Auf der sicheren Seite Software-Compliance garantieren?

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Genügt ein Schloss am PC? Informationssicherheit bei Übersetzungen

Cybersicherheit einfach machen: DsiN-Angebote für KMU

Bastian Nowak. Warum? Wie? Wer? Wann? Handlungsempfehlungen für Ihre it-sicherheit. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs"

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Integration eines bereichsübergreifenden Managementsystems. Gunnar Bellingen. Merseburg, LMK 2010,

Aktuelle Strategien der Krankenkassen im Qualitätsmanagement der Rehabilitation

DS-GVO und IT-Grundschutz

ICT-Sicherheitsleitlinie vom 11. August 2015

RESEARCH SERVICES. Studie Identity- & Access-Management Platin-Partner Silber-Partner Bronze-Partner

Praktisches Cyber Risk Management

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Pressegespräch zum 4. Zukunftskongress Staat & Verwaltung. Krise als Chance Gemeinsam handeln Im föderalen Staat: Effizient und digital!

Cloud-Lösungen von cojama.

Benchmarking von Energieversorgern

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

IT Security Day 2017,

it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Schutz vor moderner Malware

So verkaufen Sie StorageCraft Cloud Backup for Office 365

SAP S/4HANA Design Thinking Workshop

SAP R/3 und Outlook Exchange in der Cloud

Umfrage: Verschlüsselung in Rechenzentren Zusammenfassung

MimoSecco. Computing. Cloud. CeBIT, Hannover

Cybersicherheit in kleinen und mittleren Unternehmen

Mobile Security Awareness: Überzeugen Sie Ihre Mitarbeiter, mobile Endgeräte sicher zu nutzen! 17. Cyber-Sicherheits-Tag

Cyber-Versicherungen Was man dazu wissen muss

Transkript:

Status Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016

Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 2

Das VdS Cyber-Security-Konzept Folie 3

Der schnelle kostenlose Überblick www.vds-quick-check.de Folie 4

Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 5

Wie schützen sich Unternehmen vor Angriffen? Ca. 6% der befragten Unternehmen planen nach VdS 3473! Folie 6

Akzeptanz im Markt Cyber-Berater / Systemhäuser Finanz- und Versicherungswirtschaft International Unternehmen/ Verbände 56 anerkannte VdS Cyber-Berater Verschiedene Systemhäuser schulten nach 3473 Makler Versicherer Banken VdS 3473 sowie Quick-Check ins Englische übersetzt VdS 3473 ins Türkische übersetzt Verschiedene Zertifizierungen durchgeführt Zahlreiche Quick-Audits durchgeführt Quick-Check wird als Gesprächsöffner genutzt (ca. 700 qualifizierte Bewertungen) Letztes Jahr drei Schulungen bei VdS Kooperationen mit BVMW, VDVM, Hannover- IT Enge Zusammenarbeit mit GDV Folie 7

Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 8

Struktur und aktueller Ergebnisstand des VdS Quick- Checks über alle teilnehmenden Unternehmen ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge TECHNIK Mobile Geräte Software Netzwerke IT-Systeme 57% 62% PRÄVENTION MANAGEMENT Sicherheitsvorfälle Umgebung Datensicherung Ausfälle IT-Outsourcing und Cloud Computing 58% 29% www.vds-quick-check.de Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 9

Im Teilbereich Organisation ist der erhobene Reifegrad nicht ausreichend ORGANISATION 57% Merkmalsblöcke: Organisation der Informationssicherheit 46% Der Merkmalsblock Organisation der Informationssicherheit erreicht den geringsten Reifegrad. Insgesamt deutlicher solider aufgestellt sind die Teilnehmer beim Umgang mit Zugängen zu Systemen. Richtlinien Personal 60% 51% Zugänge 70% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 10

Die Organisation der Informationssicherheit ist bei den Teilnehmern nicht ausreichend ORGANISATION Einzelmerkmale: Organisation der Informationssicherheit 46% Das Top-Management hat das Thema IT- Sicherheit bei den Teilnehmern nicht immer verbindlich auf der Agenda. Bei 45% aller Teilnehmer sind die Verantwortlichkeiten für die IT-Sicherheit nach eigenen Angaben nicht eindeutig definiert. 42% Unser Topmanagement hat sich schriftlich verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen. 55% Wir haben klare Verantwortlichkeiten für unsere Informationssicherheit definiert. 40% Wir haben das Prinzip der Funktionstrennung umgesetzt, d.h. Ausführung und Kontrolle der Aufgaben zur Gewährleistung der Informationssicherheit sind voneinander getrennt. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 11

Im Teilbereich Technik wird ein leicht besserer Reifegrad erreicht TECHNIK 62% Merkmalsblöcke: Mobile Geräte 57% Der Reifegrad zur IT-Sicherheit mit Blick auf mobile Geräte stellt in den teilnehmenden Unternehmen nicht zufrieden. Optimierungspotenziale bietet die IT-Sicherheit mit Blick auf die Merkmale IT-Systeme. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard. Software Netzwerke IT-Systeme 69% 68% 54% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 12

In der Hälfte aller teilnehmenden Unternehmen exisitiert keine Richtlinie, wie mit mobilen Geräten umgegangen werden soll Technik Einzelmerkmale: Mobile Geräte 50% 57% Wir haben eine Richtlinie, in der der Umgang mit mobilen Geräten festgelegt ist. Jedes zweite teilnehmende Unternehmen regelt den Umgang mit mobilen Endgeräten nicht. In 40% aller teilnehmenden Unternehmen wissen Mitarbeiter und Führungskräfte eher nicht, was im Fall eines Diebstahls zu tun ist. 61% Die Daten auf unseren mobilen Geräten sind vor unberechtigtem Zugriff geschützt. 60% Im Fall eines Verlustes oder Diebstahles eines mobilen Gerätes wissen unsere Nutzer was zu tun ist. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 13

Nur ein Bruchteil der Teilnehmer führt regelmäßig und systematisch Risikoanalysen für kritische IT-Systeme durch Technik Einzelmerkmale: IT-Systeme 68% 54% Wir haben eine Aufstellung aller IT-Systeme unseres Unternehmens, die wir laufend aktualisieren. Die Mehrheit der teilnehmenden Unternehmen verfügt über ein Schutzkonzept für ihre IT-Systeme. Gleichzeitig wird jedoch weitgehend auf regelmäßige Risikoanalysen verzichtet. 64% Wir haben ein Schutzkonzept, wie unsere IT-Systeme abgesichert werden. 30% Wir führen für besonders kritische IT-Systeme regelmäßig Risikoanalysen nach einem festgelegten Turnus durch. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 14

Der Teilbereich Prävention erreicht einen durchschnittlichen Reifegrad PRÄVENTION 58% Merkmalsblöcke: Sicherheitsvorfälle 31% Der Merkmalsblock Sicherheitsvorfälle erreicht zusammen mit dem Merkmalsblock Ausfälle einen nicht zufrieden stellenden Reifegrad. Umgebung Datensicherung 80% 78% Ausfälle 43% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 15

Nahezu alle Unternehmen schützen sich vor Datenverlust Prävention Einzelmerkmale: Datensicherung 93% 78% Wir schützen uns vor dem Verlust der wichtigsten Unternehmensdaten durch eine Datensicherung. Fast alle Unternehmen verfügen über ein Backup, aber nur 60 % testen dieses auch. 59% Wir stellen durch regelmäßige Tests nach einem festgelegten Turnus sicher, dass unsere Datensicherung funktioniert. 83% Unsere Datensicherungsmedien werden örtlich getrennt von den gesicherten Systemen aufbewahrt, so dass bei einem Brand oder Wasserschaden nicht beide Datenquellen betroffen sind. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 16

Nur 40% der Teilnehmer verfügen über einen Übersichtsplan zur Reihenfolge kritischer Systeme bei einer Wiederinbetriebnahme Prävention Einzelmerkmale: Ausfälle 46% 43% Wir besitzen für unsere kritischen Systeme Wiederanlaufpläne. Über die Hälfte der Unternehmen sind nicht ausreichend auf Ausfälle vorbereitet. Insbesondere fehlen konkrete Pläne und Handlungsempfehlungen. 40% Wir besitzen einen Übersichtsplan, aus dem hervorgeht, in welcher Reihenfolge kritische Systeme wieder in Betrieb genommen werden müssen. 42% Unsere Wiederanlaufpläne und unser Übersichtsplan werden so aufbewahrt, dass sie auch bei einem Notfall schnell verfügbar sind. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 17

Im Teilbereich Management ist der Reifegrad nicht zufriedenstellend MANAGEMENT 29% Merkmalsblöcke: IT-Outsourcing und Cloud Computing 29% Der Reifegrad der teilnehmenden Unternehmen mit Blick auf IT-Outsorucing und Cloud- Computing stellt nicht zufrieden. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 18

Nur 30% der teilnehmenden Unternehmen planen und fixieren Anforderungen an IT-Outsourcing vertraglich Management Einzelmerkmale: IT-Outsourcing und Cloud-Computing 29% Für zwei Drittel aller Unternehmen scheint IT-Outsourcing eine spontane Angelegenheit zu sein. Es wird weder geplant, noch werden Anforderungen vertraglich fixiert. 33% Für jedes IT-Outsourcing Vorhaben haben wir notwendigen Anforderungen an die Sicherheit definiert. 25% Für jede Nutzung von Cloud Computing haben wir notwendigen Anforderungen an die Sicherheit definiert. 29% Wir haben mit jedem unserer Dienstleister für IT- Outsourcing bzw. Cloud Computing einen Vertrag geschlossen, der unsere definierten Anforderungen enthält und zu deren Erfüllung verpflichtet. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 19

Die Reife der teilnehmenden Unternehmen schwankt in den einzelnen Teilbereichen des Quick-Checks deutlich Reifegrad Anteil Teilnehmer Reifegrad Anteil Teilnehmer Bis 20% 14% Bis 20% 6% 20 bis 49% 25% 20 bis 49% 22% 50 bis 69% 29% 50 bis 69% 36% 70 bis 89% 14% 70 bis 89% 19% ab 90 % 18% ab 90 % 17% ORGANISATION TECHNIK Reifegrad Anteil Teilnehmer Reifegrad Anteil Teilnehmer Bis 20% 9% Bis 20% 60% 20 bis 49% 27% 20 bis 49% 15% 50 bis 69% 32% 50 bis 69% 8% 70 bis 89% 19% 70 bis 89% 0% ab 90 % 13% ab 90 % 17% PRÄVENTION MANAGEMENT Folie 20

Management Summary zur ersten Auswertungswelle des VdS Quick-Check Cyber Security Im Teilbereich Organisation ist der erhobene Reifegrad nicht ausreichend Die Organisation der Informationssicherheit ist bei den Teilnehmern nicht ausreichend Das Top-Management hat das Thema IT-Sicherheit bei den Teilnehmern nicht immer verbindlich auf der Agenda. bei 45% aller Teilnehmer sind die Verantwortlichkeiten für die IT-Sicherheit nach eigenen Angaben nicht eindeutig definiert Im Teilbereich Technik wird ein leicht besserer Reifegrad erreicht In der Hälfte aller teilnehmenden Unternehmen exisitiert keine Richtlinie, wie mit mobilen Geräten umgegangen werden soll Nur ein Bruchteil der Teilnehmer führt regelmäßig und systematisch Risikoanalysen für kritische IT-Systeme durch Der Teilbereich Prävention erreicht einen durchschnittlichen Reifegrad Nahezu alle Unternehmen schützen sich vor Datenverlust Die Prävention von IT-Sicherheitsvorfällen weist bei den Teilnehmern deutliche Schwächen auf Nur 40% der Teilnehmer verfügen über einen Übersichtsplan zur Reihenfolge kritischer Systeme bei einer Wiederinbetriebnahme Im Teilbereich Management ist der Reifegrad nicht zufriedenstellend Der Reifegrad der teilnehmenden Unternehmen mit Blick auf IT-Outsorucing und Cloud-Computing stellt nicht zufrieden Nur 30% der teilnehmenden Unternehmen planen und fixieren Anforderungen an IT- Outsourcing vertraglich Folie 21

Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 22

News 2016? Schulungen Weiterentwicklung International Unternehmen Insgesamt 10 Lehrgangstermine bei VdS (Informationssicherheitsbeauftragter und VdS 3473) Durchführung von Inhouseschulungen VdS 3473 wird um Anforderungen für die Prozess- und Automatisierungstechnik erweitert Einführung VdS Quick-Check Automatisierungstechnik zur CeBIT Standard bei cfpa Europe eingespielt VdS Quick-Check in Englisch verfügbar VdS 3473 auch ins Englische übersetzt Einführung Standard auch in die Türkei im April 2016 auf der VdS Fachtagung Viele Anfragen aus Behörden Unternehmen mit Prozess- und Automatisierungstechnik im Fokus Folie 23

Geschafft!! Dr. Robert Reinermann VdS Schadenverhütung GmbH Geschäftsführer Amsterdamer Str. 174 50735 Köln Email: rreinermann@vds.de Tel.: +49 (0) 221 7766-199 Fax: +49 (0) 221 7766 198 www.vds.de Folie 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback