Summary. SecurityRadar 2014. Spezial: Cyber Risk Resilience



Ähnliche Dokumente
Internetkriminalität

eco Umfrage IT-Sicherheit 2016

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

IT-Trend-Befragung Xing Community IT Connection

»d!conomy«die nächste Stufe der Digitalisierung

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Verpasst der Mittelstand den Zug?

Staatssekretär Dr. Günther Horzetzky

» IT-Sicherheit nach Maß «

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Hinweis: Die Umfrage wurde von 120 Unternehmen in Deutschland beantwortet.

Welches Übersetzungsbüro passt zu mir?

Ergebnisse: Online- Fundraising Studie 2011 von Thomas Seidl & Altruja GmbH

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

IT-Security Herausforderung für KMU s

Pflegeversicherung von AXA: Langfristige Erhaltung der Lebensqualität als zentrale Herausforderung

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Die Verteilung dieser statistischen Gesamtheit lässt ein valides Ergebnis erwarten.

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

64% 9% 27% INFORMATIONSSTATUS INTERNET. CHART 1 Ergebnisse in Prozent. Es fühlen sich über das Internet - gut informiert. weniger gut informiert

Pflegende Angehörige Online Ihre Plattform im Internet

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Cyber Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Industriespionage im Mittelstand

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

GPP Projekte gemeinsam zum Erfolg führen

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

TELEARBEIT IM DORNRÖSCHENSCHLAF AKZEPTIERT, ABER KAUM GENUTZT! 1/08

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Mobile Intranet in Unternehmen

Die Invaliden-Versicherung ändert sich

Die Wirtschaftskrise aus Sicht der Kinder

Der beste Plan für Office 365 Archivierung.


statuscheck im Unternehmen

Gutes Leben was ist das?

facebook wie geht das eigentlich? Und was ist überhaupt Social media?

D i e n s t e D r i t t e r a u f We b s i t e s

Business-Master Unternehmer-Training

Partnerschaftsentwicklung für KMU

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM

Umfrage Bedeutung von Innovationen und gesellschaftliche Relevanz

Nicht über uns ohne uns

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Informationssicherheitsmanagement

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Datenschutz und Informationssicherheit

Fragebogen Social Media reloaded

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Was meinen die Leute eigentlich mit: Grexit?

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd :48:05

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheitsgefühl österreichischer

Gesetzliche Aufbewahrungspflicht für s

Die Post hat eine Umfrage gemacht

SWOT Analyse zur Unterstützung des Projektmonitorings

Checkliste zur Planung einer Webseite

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Der nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes

Traditionelle Suchmaschinenoptimierung (SEO)

Forderungsausfälle - Ergebnisse einer repräsentativen Studie von Forsa - September 2009

Adobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Ihre PLM-Prozessexperten für Entwicklung und Konstruktion

Berufsunfähigkeit? Da bin ich finanziell im Trockenen.

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Mit dem richtigen Impuls kommen Sie weiter.

AUSZUG CHANCEN UND POTENTIALE VON SOCIAL MEDIA MARKETING FÜR VERBÄNDE STUDIE. Stand März LANGEundPFLANZ // Agentur für New Marketing

Kundenbefragung als Vehikel zur Optimierung des Customer Service Feedback des Kunden nutzen zur Verbesserung der eigenen Prozesse

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Qualitätsbedingungen schulischer Inklusion für Kinder und Jugendliche mit dem Förderschwerpunkt Körperliche und motorische Entwicklung

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Aussage: Das Seminar ist hilfreich für meine berufliche Entwicklung

Wolfgang Straßer. Unternehmenssicherheit in der Praxis. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

Was sind Soziale Netzwerke? Stelle dazu selbstständig Überlegungen an!

Überwachung elektronischer Daten und ihr Einfluss auf das Nutzungsverhalten im Internet

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Cloud-Computing. Selina Oertli KBW

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

STRATEGISCHE PERSONALPLANUNG FÜR KLEINE UND MITTLERE UNTERNEHMEN. Fachtagung CHANGE Papenburg Kathrin Großheim

Professionelle Seminare im Bereich MS-Office

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Telenet SocialCom. verbindet Sie mit Social Media.

Geyer & Weinig: Service Level Management in neuer Qualität.

Das Leitbild vom Verein WIR

NACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU. Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase.

Leichte-Sprache-Bilder

Naturgewalten & Risikoempfinden

IdM-Studie der Hochschule Osnabrück Identity Management lokal oder aus der Cloud?

Organisation des Qualitätsmanagements

Was sind Jahres- und Zielvereinbarungsgespräche?

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Transkript:

Summary SecurityRadar 2014 Spezial: Cyber Risk Resilience

Marco Marchesi CEO, ISPIN AG ZURICH Liebe Leserinnen und Leser Der SecurityRadar 2014 bestätigt, was in den letzten Jahren als Trend erkennbar wurde: Es zeichnen sich klare Schwerpunkte in der Informations- und IT-Sicherheit ab. Die Zeiten, in denen man Höchstleistungen für Überzeugungsarbeit im Unternehmen aufwenden musste, sind zwar nicht ganz vorbei (und werden es auch nie sein), doch die täglichen Schlagzeilen über Zwischenfälle in diesem Bereich und das Bewusstsein, dass ein Schaden nicht primär technisch ist, sondern die Reputation des Unternehmens betrifft, zeigen Wirkung. Zudem scheint der Schock, der durch das Aufkommen neuer Benutzer-Endgeräte (z. B. BYOD1) und die Verwendung von Internet-Diensten (z. B. Public Cloud Services) ausgelöst wurde, dahingehend überwunden, dass nachhaltige Sicherheitslösungen gesucht, evaluiert, implementiert und genutzt werden. Es ist erfreulich zu sehen, dass die Grundkonzeption solcher Lösungen auch den Weg in das sicherheitsbezogene Weisungswesen der Unternehmen findet. Trotz dieser positiven Veränderungen sollte aber nicht in Vergessenheit geraten, dass die gesamte Weiterentwicklung der Technologie und die damit verbundenen neuen Risiken den aktuellen implementierten Sicherheitsmassnahmen oft hinterher hinken. Dieser Umstand zwingt die Unternehmen, weiterhin nach innova- 1 Bring Your Own Device (z. B. das gestattete Verwenden der privaten Smart- Phones für Geschäftszwecke). tiven und effektiveren Sicherheitslösungen zu suchen. Solche Innovationen bilden einen Schwerpunkt im aktuellen SecurityRadar. Sie sind unter dem Stichwort Cyber Risk Resilience zusammengefasst. Es geht dabei primär um die Detektion und gegebenenfalls Verhinderung von exogenen logischen Einbrüchen in die unternehmenseigene IT. Was vor ein paar Jahren noch ein exotisches Gebiet war, an dem das Management in der Regel nicht sonderlich interessiert war, hat sich zu einer pro Volkswirtschaft mehrere Milliarden grossen Verlustquelle entwickelt. Es geht heute nicht mehr um Amateur-Hacker, die aus Neugier an der Sache handeln; es geht um Wirtschaftskrieg zwischen Nationen und um Wirtschaftsspionage mit geostrategischem Ausmass. Aufgrund dessen ist dieses Gebiet aus dem Schattendasein der Sicherheitsfachleute in das Blickfeld von Politik und Öffentlichkeit geraten. Es ist Aufgabe der Sicherheitsdisziplinen, hier mit zeitgemässen Antworten aufzuwarten. Der vorliegende SecurityRadar soll dabei als Ideenquelle, Argumentarium und/oder Entscheidungshilfe Unterstützung leisten. Ich wünsche Ihnen Freude und Inspiration beim Lesen des SecurityRadar 2014. Herzliche Grüsse Marco Marchesi

bis 800 MA 32% 12% Behörden und Verwaltungen 39% Bankenund Versicherungen mehr als 7.000 MA 31% Wie gross sind die Unternehmen? Welche Unternehmen wurden befragt? CIOs 17% Wer wurde befragt? 19% Industrie 29% Dienstleistungen 27% Sicherheitsbeauftragte 31% 24% bis 7.000 MA 20% bis 2.500 MA 17% CISOs Personen mit Sicherheitsaufgaben Bis 10 57% 26,6% Ja Keine Mehr als 350 Bis 80 Bis 150 5% 9% je 3% Anzahl aufgedeckter Sicherheitsvorfälle pro Unternehmen. 23,4% Nein 23,4% Evt. mit kleineren technischen Anpassungen 17,2% Technische Massnahmen vorhanden, aber Konzept fehlt In der Lage, mit den vorhandenen Mechanismen, z. B. im Logging & Monitoring- Bereich, unberechtigtes Eindringen in ein nicht öffentliches Netzwerk systematisch zu erkennen? Nein, aber in Planung Ja, seit Längerem Nein, auch nicht geplant 19% 33% 20% 29,0% Ja, Massnahmen implementiert oder geplant 29,0% Ja, absolut dieses Thema erscheint in unserem Risikoinventar 22,6% Ja, wir sprechen darüber, aber keine Massnahmen vorgesehen Ja, vor Kurzem angeschafft 11% 6,5% Eher nicht aufgrund unseres Geschäfts sollten wir kein Ziel sein 4,8% Nein, wir sind von diesem Risiko eher nicht betroffen Im Einsatz: Intrusion und APT (Advanced Persistent Threat) ausgerichtete Detektions- Technologien. 1,6% Nein habe mir hierzu noch keine weiteren Gedanken gemacht. Netzwerk durch Cyber-Attacken bedroht?

Highlights und Auszüge aus den Ergebnissen des SecurityRadar 2014 In einigen Branchen sind Regeln und Regulatorien im Sinne von Quasi-Standards noch restriktiver geworden und entsprechend aufwändiger zu erreichen. Im Umgang mit neuen Herausforderungen der letzten Jahre wie BYOD (Bring Your Own Device), Cloud oder Soziale Medien ist eine erste Welle der Selbstregulierung mit verbesserter Risikostrategie eingetreten bzw. haben sich die technischen Möglichkeiten im Umgang mit Gefahren in wichtigen Bereichen verbessert. Die regelmässigen Veröffentlichungen über Datenschutz- und Sicherheitsvorfälle beschleunigen den Trend, den Fokus nicht nur auf technische und organisatorische Aspekte zur richten, sondern auch weiche Faktoren wie z. B. Reputation oder Awareness proaktiv anzugehen. Während Angriffe von Internen abgenommen haben, ist die Zunahme von externen Angriffen die markanteste Veränderung gegenüber 2012. Diese Zunahme ist auch auf vermehrte Entdeckungen durch bessere Detektionssysteme und transparentere Kommunikation von Vorfällen zurückzuführen. Nicht alle Unternehmen sind diesem Angriffsvektor gleichermaßen gewachsen. Bauchschmerzen bereitet die Professionalisierung der organisierten Wirtschaftskriminalität, nicht nur weil Hacks zunehmend von Nachrichtendiensten mithilfe innovativer technischer Werkzeuge durchgeführt werden, sondern weil auch gezielt Social Engineering (etwa via Soziale Medien) eingesetzt wird. Letzteres ist ein Thema, dem man vielerorts mit einer gewissen Hilflosigkeit begegnet. Das Social Engineering vermag die positiven Entwicklungen im Bereich DLP (Data Leakage Protection) mindestens teilweise zu kompensieren. Unternehmungen müssen rasch und deutlich soziale Einfalltore bei Mitarbeitenden identifizieren und Negativwirkungen abschwächen (z. B. durch Awareness). Manche weitere in der Studie genannten Schmerzpunkte lassen sich unmittelbar oder mittelbar mit den oben genannten Themen in Verbindung bringen. Genannt wurden Spionage, DDoS-Attacken, Phishing, Datendiebstahl, Zero-day-exploits, etc. Trotz zunehmender Erkenntnis hinsichtlich der Bedeutung weicher Faktoren, werden im Zuge der Risikominimierung häufig klassische Maßnahmen (Verschlüsselungstechnologien, Policy-Frameworks etc.) der Sensibilisierung von Mitarbeitenden vorgezogen. Viele Risiken werden im Kontext von Big Data genannt. Letzteres wird jedoch nicht nur als Gefahr, sondern durchaus auch als Chance für Unternehmungen wahrgenommen. Unter dem Strich schätzt nur knapp die Hälfte der Probanden die Sicherheitslage in ihren Unternehmen als (sehr) gut ein. Dies ist ein leichter Abwärtstrend, der vermutlich vor allem auf die zunehmenden Wirksamkeitsüberprüfungen von Sicherheitsmassnahmen zurückzuführen ist. Trotz teilweise neuer Risiken und Probleme scheint der Fatalismus der letzten Jahre gebremst, da deutliche Bemühungen festzustellen sind, zahlreiche der negativen Entwicklungen einzuholen. Dies geschieht u. a. durch einen integrativen, strategisch ausgerichteten Methodenansatz. Beispiele von Themenbereichen, bei denen sich neue Sicherheitsansätze abzeichnen, sind Virtualisierung, Cloud Services und mobile Kommunikation. Es ist zu erwarten, dass in diesen Bereichen in naher Zukunft weitere Fortschritte gemacht werden.

Folgende Entwicklungen im Bereich der Wirtschafts- und Internetkriminalität bereiten mir Bauchschmerzen. Advanced Persistent Threat. APT, 0-Day Exploits, BYOD (zumeist gefordert vom höheren Management unter gleichzeitiger Minderung der Sicherheitsanforderungen), APT s, Zero-Day-Attacken, High Tech im Cybercrime-Bereich. Social Media (in unserem Business nicht wirklich als Risiko begriffen). Hacking von Steuerungssystemen. Datenklau. Datendiebstahl. Datenklau ohne Spuren zu hinterlassen. Datendiebstahl, PDF Trojaner, eigene Domain black listed, etc. Einschleusen von Viren, Zugriff auf Patientendaten (Erpressung). Trojaner, Hacker, Spionage. Spionage. Organisierte Kriminalität mit sehr gutem Know-how, sei es durch legitimierte staatliche Organisationen oder durch illegale Organisationen. Kann man z. B. amerikanischen Security-Produkten überhaupt noch trauen...? PRISM. Zunehmende Risiken im Bereich Cybercrime, v. a. im mobile computing. Ungenügende Sensibilisierung von (mit-)verantwortlichen Stellen. Sensibilisierung aller Mitarbeitenden. Technik allein löst das Problem nicht. Daten werden durch interne Mitarbeitende unkontrolliert aus den Systemen geholt und an Unberechtigte weitergegeben. PRISM und andere Spionageprogramme, steigende Schlagkraft (Organisationsstrukturen, Budget) der kriminellen Organisationen. Staatlicher Datenschutz, Die Beurteilung des Risikos aus der Vielzahl der Bedrohungen mit der stetig steigenden Komplexität der Informationssysteme. Data Loss Prevention. Dass (un)bekannte Schwachstellen immer rascher ausgenutzt werden respektive es dafür einfach zu bedienende Tools gibt. Die Professionallisierung der Angriffe. Die Professionelle, auf das Unternehmen Advanced persistent threats in Form von Spionage und um zu versuchen, Kontrolle über kriti- technisch (via Internet), physisch abgestimmte Angriffe; egal, ob rein weltweite Vernetzung sche Infrastrukturen zu erlangen. oder eine Kombination davon. von Angreifern oder Systemen, die einen Angriff machen. Hackerangriffe, DoS-Attacken. Nutzung von weltweiten Cloud-Services ohne entsprechende Sensibilität der Endbenutzer. Digitalisierung der momentan noch analogen proprietären Kommunikationstechnologien. Zunahme Angriffe/Abnahme Komplexität der Angriffe. Gezielte Angriffe auf das Unternehmen. Die immer besser werdenden Angriffe von verschiedenen Seiten aus dem Internet, z. T. targeted und z. T. random. Der sorglose Umgang mit Social Media und die Machtlosigkeit gegenüber den Geheimdiensten (z. B. NSA), die Flut an Daten und Informationen die ohne Eigentümer offen liegen. Das gezielte Ausspähen von wichtigen Entscheidungsträgern der Firma. Das staatlich legitimierte Schnüffeln in allem und jedem (PRISM & Co.); von Kriminalität spricht jedoch in diesem Kontext kaum einer. PRISM & Big Data intransparenter Staat Black Box Cloud mit US-/UK-Partnern. Die Durchdringung der privaten Tools und des privaten Nutzungsverhaltens in die professionellen Bereiche hinein. Zero day exploits. Unerkannter Datenabfluss. Dass die Angriffe zunehmen und nur schwer erkennbar sind. Dadurch sind ständig neue Technologien notwendig, um der Situation gerecht zu werden, was die Komplexität und den Aufwand massiv steigert. Zunehmende Profesionalität und Verfügbarkeit krimineller Services. BYOD und Sicherheit. Können wir uns jederzeit und rechtzeitig vor W- und I-Kriminalität schützen? Sind wir nicht immer einen Zug hinterher? Der Schutzbedarf bei richtiger Umsetzung verschlingt eine hohe Summe Geld. Wirtschaftlichkeitsbetrachtungen müssen eventuell neu definiert werden. Social Network, Phishing. Der Umgang von Behörden und Institutionen (Microsoft, Apple etc.) auf Druck von Regierungen mit Daten (s. NSA). Keine, solange Budget und qualifiziertes Peronal zur Verfügung stehen. Professionalisierung und Personalisierung. Targeted Attacks (mit Phishing und Social Engineering). Gezielte Social-Engineering- Attacken, Spearhead Phising. Hacken von Firewalls durch andere Staaten. Spionageaffären, welche seitens Behörden initiiert werden. Zunehmender Kostendruck Öffnung der Unternehmensgrenzen, Cloud Computing Gezielte persönliche Angriffe über Mitarbeiter per Telefon/E-Mail, um Schadsoftware auf den Firmencomputern zu platzieren. Targeted Social Engineering; die Furcht vor u. a. solchen Entwicklungen führt leider auch zur Kriminalisierung der Mitarbeitenden auf Vorrat und zu merkwürdigen Massnahmen, welche mit Compliance gerechtfertigt werden. Die Regulatorien an sich. Das Bankgeheimnis lockert sich mit jedem Tag und auf der anderen Seite schützen wir die Daten mehr und mehr, bis die eigenen Mitarbeiter gar nicht mehr richtig arbeiten können. Wir schiessen mit Kanonen auf TOTE Spatzen. Keine.

Igor Kovalchuk - Fotolia.com Themenübersicht des SecurityRadar 2014 Das erwartet Sie im Studienband: Status quo der Informationssicherheit in der Schweiz Das Risiko als ständiger Begleiter erkennen und managen Der Faktor Mensch Spezial: Cyber Risk Resilience Sicherheit mobiler Endgeräte Die nächsten Schritte in die Zukunft Budget-Management und -Verteilung Studiengrundlage / Demografische Daten Änderung Erscheinungsjahr Liebe Leserinnen und Leser Aus organisatorischen Gründen konnte der SecurityRadar dieses Mal erst im Juni 2014 herausgegeben werden. Die Studieninhalte entstammen dem Jahr 2013, 2014 bezieht sich auf das Erscheinungsjahr. Auch zukünftig werden wir uns im Titel jeweils auf das Erscheinungsjahr beziehen. Besten Dank für Ihre Kenntnisnahme. Die Netzwoche ist das Schweizer ICT-Magazin für Business-Entscheider und Medienpartner des ISPIN SecurityRadar 2014. Als ICT-Fachzeitschrift berichtet die Netzwoche regelmässig über aktuelle Sicherheitsthemen, welche Unternehmen beschäftigen. Dazu gehören auch die Brennpunkte, die der aktuelle SecurityRadar herausgeschält hat. Im Rahmen der Medienpartnerschaft mit ISPIN AG wird die Netzwoche zudem IT-Sicherheitsverantwortlichen und CISOs den Puls fühlen und sie mit den Ergebnissen der Studie konfrontieren. www.ispin.ch Kontakt und Anfragen zum SecurityRadar 2014 Rainer Kessler und Frank Burmistrzak Studienteam des SecurityRadar 2014 E-Mail: securityradar@ispin.ch ISPIN AG ZURICH Grindelstrasse 6 CH-8303 Bassersdorf Tel.: +41 44 838 31 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback