Datenklau? Das wüsste ich doch! Internetkriminalität Hacker und Datenklauer im (Firmen-) Netz



Ähnliche Dokumente
Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Unternehmensvorstellung

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz bei Energieversorgern

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Kirchlicher Datenschutz

» IT-Sicherheit nach Maß «

GPP Projekte gemeinsam zum Erfolg führen

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Personal- und Kundendaten Datenschutz im Einzelhandel

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Personal- und Patientendaten Datenschutz in Krankenhäusern

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

SENSIBILISIERUNG FÜR CYBERSICHERHEIT: RISIKEN FÜR VERBRAUCHER DURCH ONLINEVERHALTEN

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Datenschutz und Informationssicherheit

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Industriespionage im Mittelstand

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

All for One Steeb. Das SAP Haus. ALL FOR ONE STEEB DAS SAP HAUS

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

Dieter Brunner ISO in der betrieblichen Praxis

Netz- und Informationssicherheit in Unternehmen 2011

Lagedarstellung Cybercrime

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Gemeinsam gegen Cyberkriminalität! German Competence Centre against Cyber Crime e. V.

Informationssicherheit ein Best-Practice Überblick (Einblick)

Big Data im Bereich Information Security

IT Security Investments 2003

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Outpacing change Ernst & Young s 12th annual global information security survey

Wenn Ihr Buchhalter Sie dringend sprechen möchte...

Die Verteilung dieser statistischen Gesamtheit lässt ein valides Ergebnis erwarten.

Sicherheitsanalyse von Private Clouds

eco Umfrage IT-Sicherheit 2016

Herausforderungen 2013 der Marketingentscheider in B2B Unternehmen

Einladung. 4. Herbstsymposium Öffentliche Hand in Mecklenburg-Vorpommern. Rostock, 24. Oktober 2013 EINLADUNG

BVDW: Trend in Prozent

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Das Rechtliche beim Risikomanagement

Web-Umfrage zu IT-Security: Größtes IT-Sicherheitsrisiko bleibt der Mensch

Mit Sicherheit gut behandelt.

Cloud Governance in deutschen Unternehmen

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

operational services YoUr it partner

Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort.

Mobility: Hoher Nutzen

Cloud Computing. Ergebnisse einer repräsentativen Erhebung für das BMELV

Deutschland-Check Nr. 35

So gelingt die sichere Kommunikation mit jedem Empfänger. -Verschlüsselung ist kein Hexenwerk

Das Rechtliche beim Risikomanagement

Prüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden

Umfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010

Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA

Cyber Security im Unternehmen

Wachstumstreiber Kundenkommunikation Sechs kritische Erfolgsfaktoren

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

-Verschlüsselung wer muss wann s verschlüsseln rechtliche Anforderungen an die Sicherheit von E- Mails

Informationssicherheit

Personalentwicklung im Berliner Mittelstand. Darstellung der Studienergebnisse Berlin,

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Informationssicherheit als Outsourcing Kandidat

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Wichtige Themen für die Strategie der Fachverlage (n = 58; Mehrfachnennungen)

Sie wollen gründen oder sich selbständig machen!

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

FORSA-STUDIE ARBEIT, FAMILIE, RENTE WAS DEN DEUTSCHEN SICHERHEIT GIBT

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

ITIL & IT-Sicherheit. Michael Storz CN8

Risikoanalyse mit der OCTAVE-Methode

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

4Brain IT-Netzwerke IT-Sicherheit

Online bewerben - so funktioniert's

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

allensbacher berichte

Die neue Datenträgervernichter DIN 66399

Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt?


Mobile Intranet in Unternehmen

Transkript:

Datenklau? Das wüsste ich doch! Internetkriminalität Hacker und Datenklauer im (Firmen-) Netz Ransbach-Baumbach, 20. November 2014 Dr. Michael Falk, Senior Manager KPMG Security Consulting

KPMG Dienstleistungen im Bereich Security Consulting Unternehmensdarstellung KPMG Security Consulting Über 100 Mitarbeiter im Bereich Security Consulting/ Datenschutz und Datensicherheit Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren ISO-27001-Auditoren für Audits auf der Basis von IT- Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) 3 Mitarbeiter, die Teile von BSI IT-Grundschutz mitgeschrieben haben Großer Pool an zertifizierten Experten (CISA, CISM, CRISC, CISSP, CEH, LPT und weitere) Über 20 spezialisierte Penetrationstester Zugang zum weltweiten KPMG-internen Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen mit 145.000 Mitarbeitern in 152 Ländern. Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungs- und Beratungsunternehmen und ist mit 8.400 Mitarbeitern an 25 Standorten präsent. Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzern- und Jahresabschlüssen. Tax steht für die steuerberatende Tätigkeit von KPMG. Der Bereich Advisory bündelt unser hohes fachliches Know-how zu betriebswirtschaftlichen, regulatorischen und transaktionsorientierten Themen. Für wesentliche Branchen unserer Wirtschaft haben wir eine geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier laufen die Erfahrungen unserer Experten weltweit zusammen und tragen zusätzlich zur Beratungsqualität bei. 1

KPMG Dienstleistungen im Bereich Security Consulting KPMG Security Consulting Security Consulting Über 100 Mitarbeiter im Bereich Security Consulting/ Datenschutz und Datensicherheit Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren ISO-27001-Auditoren für Audits auf der Basis von IT- Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) 3 Mitarbeiter, die Teile von BSI IT-Grundschutz mitgeschrieben haben Großer Pool an zertifizierten Experten (CISA, CISM, CRISC, CISSP, CEH, LPT und weitere) Unsere engagierten Mitarbeiter und ausgewiesenen Experten im Umfeld der IT-Sicherheit greifen auf Erfahrungen aus vergangenen Projekten und Partnerschaften zu anderen Institutionen zurück. KPMG stellt Experten in den Arbeitskreisen Cyber-Sicherheit, Cyber-Lagebild, Cyber-Forensik in der Allianz für Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). KPMG stellt den Sprecher des Arbeitskreises Identity Management und Security der DSAG. KPMG besitzt Expertise aus mehr als eintausend Penetrationstests und Schwachstellenanalysen in klassischen Netzen, Anwendungen und Webanwendungen. KPMG ist dauerhaft Dienstleister für Penetrationstests und Sicherheitsanalysen für viele privatwirtschaftliche Unternehmen und öffentliche Institutionen. KPMG ist Zertifizierungsstelle für Informationssicherheit nach ISO/IEC 27001 (KPMG Cert GmbH). KPMG-Mitarbeiter haben bereits mehrere Bausteine des BSI IT-Grundschutz verfasst, und tragen regelmäßig auf Veranstaltungen des BSI vor. KPMG besitzt über 15 Jahre Erfahrung in der Schulung von IT-Sicherheit, Sicherheitsmanagement, ISO/IEC 27001 und BSI IT-Grundschutz. Über 20 spezialisierte Penetrationstester Zugang zum weltweiten KPMG-internen Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern 2

Aktuelle Bedrohungslage

Was ist Internetkriminalität? KPMG e-crime Studie 2013: Eckdaten und ausgewählte Ergebnisse Anstieg von e-crime-delikten erwartet Gezielte Angriffe durch neue Technologien e-crime eine globale Herausforderung Ein Viertel der befragten Unternehmen war in den vergangenen zwei Jahren von e- Crime betroffen. Zu Recht sehen daher mehr als 80 Prozent der befragten Unternehmen für die Gesamtwirtschaft ein hohes bis sehr hohes Risiko, in e-crime-vorfälle involviert zu werden. Die zunehmende Verbreitung komplexer Technologien im Zuge der mobilen Telekommunikation bereitet somit die Angriffsmöglichkeiten für die komplexeren Deliktstypen. Die Angreifer werden dabei professioneller und führen die Angriffe zunehmend gezielt auf bestimmte Geschäftsbereiche oder Daten hin aus. Die Gefahrenquellen für e-crime werden inzwischen vermehrt länderspezifisch gesehen, die größten Gefahren werden mit China, Russland und dem übrigen Osteuropa verbunden. Bei den tatsächlichen Tätern besetzen die unbekannten Externen die vorderste Position. Hohe Schäden, hohe Kosten Unternehmen erfassen die Schäden durch e-crime-delikte mittlerweile detaillierter, berücksichtigen diese aber noch nicht ausreichend im (IT-) Risikomanagement. Einige Deliktstypen traten innerhalb von zwei Jahren bis zu 50 Mal auf, wobei im Einzelfall Schäden von mehr als einer Million Euro auftraten. Prävention lückenhaft Nach wie vor bereiten den Unternehmen Unachtsamkeit und mangelndes Risikobewusstsein Schwierigkeiten. Die Hälfte der befragten Unternehmen hat die Erfahrung gemacht, dass es eine Herausforderung ist, kompetentes Personal für die Prävention, Erkennung und Reaktion auf e-crime zu finden. Die Gefahr von Reputationsschäden wird unterschätzt Der potentielle Schaden durch Reputationsverlust kann immens sein. Dennoch wird das Risiko durch Unternehmen unterschätzt. Insbesondere Unternehmen der Branchen Medien und Verlage, Energie und Finanzdienstleistungen befürchten Reputationsschäden. 4

Was ist Internetkriminalität? Aktuelle Bedrohungslage (Zahlen aus 2010-2014) 83% der befragten Unternehmen glauben, dass ein gezielter Angriff (APT) bei Ihnen stattgefunden hat. Quelle: Ponemon Studie Bei der Analyse von 900 erfolgreichen Angriffen fand man in 90% der Fälle Hinweise in den Log Dateien, wobei nur 5% der Unternehmen den Angriff erkannt haben. Quelle: Verizon Data Breach Report Private Geräte werden von 95% der Nutzer (auch) dienstlich genutzt. Quelle: IDC 2007 wurden für das Bundesland Nordrhein-Westfalen bereits 34.000 Fälle von Cybercrime registriert 2012 waren es bereits 64.000 Fälle (Tendenz stark steigend). Quelle: Strafverfolgungsstatistik Nordrhein-Westfalen, 2012 5

Warum sind die an Daten interessiert? Die Motivation der Angreifer Computerbetrug Betrügerische Handlungen unter Ausnutzung von Informationstechnologien und der Manipulation von Datenverarbeitungssystemen bzw. -prozessen Verletzung von Urheberrechten Verstoß gegen die Verwertungsrechte von urheberrechtlich geschützten elektronischen Daten Ausspähen oder Abfangen von Daten Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten die sich gerade in der Übermittlung befinden, aber auch von natürlichen Gesprächen über technische Hilfsmittel Manipulation von Konto- und Finanzdaten Unberechtigte Veränderung von Konto- und Finanzdaten in Buchhaltungs- oder Zahlungssystemen Kurzdefinitionen in Anlehnung an Straftatbestände Verletzung von Geschäfts- oder Betriebsgeheimnissen Unbefugte Aneignung und Weitergabe von vertraulichen oder geheimen Informationen unter Nutzung elektronischer Mittel Systembeschädigungen oder Computersabotage Störung von Datenverarbeitungsprozessen, z.b. durch Beschädigung oder Manipulation von Computern, Netzwerken oder Datenträgern Datendiebstahl Unberechtigte Aneignung von Daten Erpressung Erpressung unter Androhung von e-crime-handlungen 6

Thesen & Lösungsansätze

Aktuelle Risiken in der IT-Sicherheit Sicherheitsmanagement These: Technische Sicherheit (alleine) hilft uns weiter 8

Aktuelle Risiken in der IT-Sicherheit Sicherheitsmanagement If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology. BRUCE SCHNEIER, IN "SECRETS AND LIES", 2000 A fool with a tool is still a fool. GRADY BOOCH, ONE OF THE ORIGINAL AUTHORS OF THE UNIFIED MODELING LANGUAGE (UML) 9

Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist These: Nur 5% Ihrer Informationen & Daten sind kritisch und besonders schützenswert. 10

Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist Kronjuwelen im Mittelstand Konstruktionszeichnungen (CAD, Schaltpläne, Aufbaupläne, techn. Dokumentation) Forschung & Entwicklung (Prototypen, Produktinnovationen, Patente, Formeln, Rezepturen) Verfahrensbeschreibungen (Produktionsverfahren, Fertigungsdaten) Stücklisten / Objektlisten Preiskalkulationen (kundenspezifisch), Herstellungskosten Kundenprojekte (Angebotsanfragen, Ausschreibungen, Angebote, Aufträge, Verträge) Kundendaten Medizinische Unterlagen (Patientenakten, Befunde) Daten der Geschäftsführung (Strategie, Unternehmensausrichtung) Kommunikationsdaten (Telefonate, Videokonferenzen, E-Mails) Prüfergebnisse (Interne Revision, QM, Lebensmittelkontrolleure, Aufsichtsbehörden) Personalabrechnung ( Wer verdient wie viel? ) Personenbezogene Daten (Personaldaten / Bundesdatenschutzgesetz) 11

Aktuelle Risiken in der IT-Sicherheit Schützen was schützenswert ist These: Mit 20 Schutzmaßnahmen lassen sich 94% aller Cyber- Bedrohungen abwehren! 12

Aktuelle Risiken in der IT-Sicherheit Handlungsfelder im Mittelstand Risikoorientierte Vorgehensweise Berechtigungsmanagement Netzwerksicherheit Sichere Systemkonfig. (Härtung) Schutz vor Schadsoftware Qualifikation & Awareness 13

Viel Spaß mit Mark Semmler! These: Bis 2015 werden 80% aller erfolgreichen Angriffe durch Ausnutzen von wohlbekannten Schwachstellen erfolgen. Quelle: Gartner Top Security Trends 2012 & 2013 14

Vielen Dank Für weitere Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Ihr Kontakt Dr. Michael Falk Senior Manager, Security Consulting KPMG AG Wirtschaftsprüfungsgesellschaft The Squaire Am Flughafen 60549 Frankfurt am Main Tel. +49 69 9587-3680 Mobile +49 152 090 878 62 E-Mail mfalk@kpmg.com www.kpmg.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback