Status Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016
Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 2
Das VdS Cyber-Security-Konzept Folie 3
Der schnelle kostenlose Überblick www.vds-quick-check.de Folie 4
Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 5
Wie schützen sich Unternehmen vor Angriffen? Ca. 6% der befragten Unternehmen planen nach VdS 3473! Folie 6
Akzeptanz im Markt Cyber-Berater / Systemhäuser Finanz- und Versicherungswirtschaft International Unternehmen/ Verbände 56 anerkannte VdS Cyber-Berater Verschiedene Systemhäuser schulten nach 3473 Makler Versicherer Banken VdS 3473 sowie Quick-Check ins Englische übersetzt VdS 3473 ins Türkische übersetzt Verschiedene Zertifizierungen durchgeführt Zahlreiche Quick-Audits durchgeführt Quick-Check wird als Gesprächsöffner genutzt (ca. 700 qualifizierte Bewertungen) Letztes Jahr drei Schulungen bei VdS Kooperationen mit BVMW, VDVM, Hannover- IT Enge Zusammenarbeit mit GDV Folie 7
Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 8
Struktur und aktueller Ergebnisstand des VdS Quick- Checks über alle teilnehmenden Unternehmen ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge TECHNIK Mobile Geräte Software Netzwerke IT-Systeme 57% 62% PRÄVENTION MANAGEMENT Sicherheitsvorfälle Umgebung Datensicherung Ausfälle IT-Outsourcing und Cloud Computing 58% 29% www.vds-quick-check.de Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 9
Im Teilbereich Organisation ist der erhobene Reifegrad nicht ausreichend ORGANISATION 57% Merkmalsblöcke: Organisation der Informationssicherheit 46% Der Merkmalsblock Organisation der Informationssicherheit erreicht den geringsten Reifegrad. Insgesamt deutlicher solider aufgestellt sind die Teilnehmer beim Umgang mit Zugängen zu Systemen. Richtlinien Personal 60% 51% Zugänge 70% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 10
Die Organisation der Informationssicherheit ist bei den Teilnehmern nicht ausreichend ORGANISATION Einzelmerkmale: Organisation der Informationssicherheit 46% Das Top-Management hat das Thema IT- Sicherheit bei den Teilnehmern nicht immer verbindlich auf der Agenda. Bei 45% aller Teilnehmer sind die Verantwortlichkeiten für die IT-Sicherheit nach eigenen Angaben nicht eindeutig definiert. 42% Unser Topmanagement hat sich schriftlich verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen. 55% Wir haben klare Verantwortlichkeiten für unsere Informationssicherheit definiert. 40% Wir haben das Prinzip der Funktionstrennung umgesetzt, d.h. Ausführung und Kontrolle der Aufgaben zur Gewährleistung der Informationssicherheit sind voneinander getrennt. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 11
Im Teilbereich Technik wird ein leicht besserer Reifegrad erreicht TECHNIK 62% Merkmalsblöcke: Mobile Geräte 57% Der Reifegrad zur IT-Sicherheit mit Blick auf mobile Geräte stellt in den teilnehmenden Unternehmen nicht zufrieden. Optimierungspotenziale bietet die IT-Sicherheit mit Blick auf die Merkmale IT-Systeme. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard. Software Netzwerke IT-Systeme 69% 68% 54% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 12
In der Hälfte aller teilnehmenden Unternehmen exisitiert keine Richtlinie, wie mit mobilen Geräten umgegangen werden soll Technik Einzelmerkmale: Mobile Geräte 50% 57% Wir haben eine Richtlinie, in der der Umgang mit mobilen Geräten festgelegt ist. Jedes zweite teilnehmende Unternehmen regelt den Umgang mit mobilen Endgeräten nicht. In 40% aller teilnehmenden Unternehmen wissen Mitarbeiter und Führungskräfte eher nicht, was im Fall eines Diebstahls zu tun ist. 61% Die Daten auf unseren mobilen Geräten sind vor unberechtigtem Zugriff geschützt. 60% Im Fall eines Verlustes oder Diebstahles eines mobilen Gerätes wissen unsere Nutzer was zu tun ist. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 13
Nur ein Bruchteil der Teilnehmer führt regelmäßig und systematisch Risikoanalysen für kritische IT-Systeme durch Technik Einzelmerkmale: IT-Systeme 68% 54% Wir haben eine Aufstellung aller IT-Systeme unseres Unternehmens, die wir laufend aktualisieren. Die Mehrheit der teilnehmenden Unternehmen verfügt über ein Schutzkonzept für ihre IT-Systeme. Gleichzeitig wird jedoch weitgehend auf regelmäßige Risikoanalysen verzichtet. 64% Wir haben ein Schutzkonzept, wie unsere IT-Systeme abgesichert werden. 30% Wir führen für besonders kritische IT-Systeme regelmäßig Risikoanalysen nach einem festgelegten Turnus durch. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 14
Der Teilbereich Prävention erreicht einen durchschnittlichen Reifegrad PRÄVENTION 58% Merkmalsblöcke: Sicherheitsvorfälle 31% Der Merkmalsblock Sicherheitsvorfälle erreicht zusammen mit dem Merkmalsblock Ausfälle einen nicht zufrieden stellenden Reifegrad. Umgebung Datensicherung 80% 78% Ausfälle 43% Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 15
Nahezu alle Unternehmen schützen sich vor Datenverlust Prävention Einzelmerkmale: Datensicherung 93% 78% Wir schützen uns vor dem Verlust der wichtigsten Unternehmensdaten durch eine Datensicherung. Fast alle Unternehmen verfügen über ein Backup, aber nur 60 % testen dieses auch. 59% Wir stellen durch regelmäßige Tests nach einem festgelegten Turnus sicher, dass unsere Datensicherung funktioniert. 83% Unsere Datensicherungsmedien werden örtlich getrennt von den gesicherten Systemen aufbewahrt, so dass bei einem Brand oder Wasserschaden nicht beide Datenquellen betroffen sind. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 16
Nur 40% der Teilnehmer verfügen über einen Übersichtsplan zur Reihenfolge kritischer Systeme bei einer Wiederinbetriebnahme Prävention Einzelmerkmale: Ausfälle 46% 43% Wir besitzen für unsere kritischen Systeme Wiederanlaufpläne. Über die Hälfte der Unternehmen sind nicht ausreichend auf Ausfälle vorbereitet. Insbesondere fehlen konkrete Pläne und Handlungsempfehlungen. 40% Wir besitzen einen Übersichtsplan, aus dem hervorgeht, in welcher Reihenfolge kritische Systeme wieder in Betrieb genommen werden müssen. 42% Unsere Wiederanlaufpläne und unser Übersichtsplan werden so aufbewahrt, dass sie auch bei einem Notfall schnell verfügbar sind. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 17
Im Teilbereich Management ist der Reifegrad nicht zufriedenstellend MANAGEMENT 29% Merkmalsblöcke: IT-Outsourcing und Cloud Computing 29% Der Reifegrad der teilnehmenden Unternehmen mit Blick auf IT-Outsorucing und Cloud- Computing stellt nicht zufrieden. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 18
Nur 30% der teilnehmenden Unternehmen planen und fixieren Anforderungen an IT-Outsourcing vertraglich Management Einzelmerkmale: IT-Outsourcing und Cloud-Computing 29% Für zwei Drittel aller Unternehmen scheint IT-Outsourcing eine spontane Angelegenheit zu sein. Es wird weder geplant, noch werden Anforderungen vertraglich fixiert. 33% Für jedes IT-Outsourcing Vorhaben haben wir notwendigen Anforderungen an die Sicherheit definiert. 25% Für jede Nutzung von Cloud Computing haben wir notwendigen Anforderungen an die Sicherheit definiert. 29% Wir haben mit jedem unserer Dienstleister für IT- Outsourcing bzw. Cloud Computing einen Vertrag geschlossen, der unsere definierten Anforderungen enthält und zu deren Erfüllung verpflichtet. Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt Folie 19
Die Reife der teilnehmenden Unternehmen schwankt in den einzelnen Teilbereichen des Quick-Checks deutlich Reifegrad Anteil Teilnehmer Reifegrad Anteil Teilnehmer Bis 20% 14% Bis 20% 6% 20 bis 49% 25% 20 bis 49% 22% 50 bis 69% 29% 50 bis 69% 36% 70 bis 89% 14% 70 bis 89% 19% ab 90 % 18% ab 90 % 17% ORGANISATION TECHNIK Reifegrad Anteil Teilnehmer Reifegrad Anteil Teilnehmer Bis 20% 9% Bis 20% 60% 20 bis 49% 27% 20 bis 49% 15% 50 bis 69% 32% 50 bis 69% 8% 70 bis 89% 19% 70 bis 89% 0% ab 90 % 13% ab 90 % 17% PRÄVENTION MANAGEMENT Folie 20
Management Summary zur ersten Auswertungswelle des VdS Quick-Check Cyber Security Im Teilbereich Organisation ist der erhobene Reifegrad nicht ausreichend Die Organisation der Informationssicherheit ist bei den Teilnehmern nicht ausreichend Das Top-Management hat das Thema IT-Sicherheit bei den Teilnehmern nicht immer verbindlich auf der Agenda. bei 45% aller Teilnehmer sind die Verantwortlichkeiten für die IT-Sicherheit nach eigenen Angaben nicht eindeutig definiert Im Teilbereich Technik wird ein leicht besserer Reifegrad erreicht In der Hälfte aller teilnehmenden Unternehmen exisitiert keine Richtlinie, wie mit mobilen Geräten umgegangen werden soll Nur ein Bruchteil der Teilnehmer führt regelmäßig und systematisch Risikoanalysen für kritische IT-Systeme durch Der Teilbereich Prävention erreicht einen durchschnittlichen Reifegrad Nahezu alle Unternehmen schützen sich vor Datenverlust Die Prävention von IT-Sicherheitsvorfällen weist bei den Teilnehmern deutliche Schwächen auf Nur 40% der Teilnehmer verfügen über einen Übersichtsplan zur Reihenfolge kritischer Systeme bei einer Wiederinbetriebnahme Im Teilbereich Management ist der Reifegrad nicht zufriedenstellend Der Reifegrad der teilnehmenden Unternehmen mit Blick auf IT-Outsorucing und Cloud-Computing stellt nicht zufrieden Nur 30% der teilnehmenden Unternehmen planen und fixieren Anforderungen an IT- Outsourcing vertraglich Folie 21
Inhalte Wie sah das Konzept noch einmal aus? Wie ist die Akzeptanz im Markt? Welche praktischen Erkenntnisse ergeben sich? Was gibt es Neues? Folie 22
News 2016? Schulungen Weiterentwicklung International Unternehmen Insgesamt 10 Lehrgangstermine bei VdS (Informationssicherheitsbeauftragter und VdS 3473) Durchführung von Inhouseschulungen VdS 3473 wird um Anforderungen für die Prozess- und Automatisierungstechnik erweitert Einführung VdS Quick-Check Automatisierungstechnik zur CeBIT Standard bei cfpa Europe eingespielt VdS Quick-Check in Englisch verfügbar VdS 3473 auch ins Englische übersetzt Einführung Standard auch in die Türkei im April 2016 auf der VdS Fachtagung Viele Anfragen aus Behörden Unternehmen mit Prozess- und Automatisierungstechnik im Fokus Folie 23
Geschafft!! Dr. Robert Reinermann VdS Schadenverhütung GmbH Geschäftsführer Amsterdamer Str. 174 50735 Köln Email: rreinermann@vds.de Tel.: +49 (0) 221 7766-199 Fax: +49 (0) 221 7766 198 www.vds.de Folie 24