Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung

Ähnliche Dokumente

TeleTrusT-interner Workshop. Nürnberg, 21./ Ammar Alkassar Sirrix AG/TeleTrusT

Angewandte Forschung zur IT Sicherheit: Das Fraunhofer SIT in Darmstadt

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft

eco Umfrage IT-Sicherheit 2016

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Risikomanagement-Studie für Österreich. Status und Trends in Enterprise-Risikomanagement mit Konnex zu IT-Risiken

»d!conomy«die nächste Stufe der Digitalisierung

Mobility: Hoher Nutzen

Industrie 4.0 und mögliche Auswirkungen auf die Sicherheit und Gesundheit von Beschäftigten

Industrie 4.0 Chancen und Anforderungen für den Mittelstand (Thesen)

Industrie 4.0 in Deutschland

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Verpasst der Mittelstand den Zug?

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Herausforderungen des Enterprise Endpoint Managements

Industrial Defender Defense in Depth Strategie

Industrie 4.0 braucht den Mittelstand Synergieworkshop Industrie 4.0 im Mittelstand

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Cloud Computing mit IT-Grundschutz

Intelligente und vernetzte Produkte

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

Kunden im Dickicht der sozialen Netzwerke finden und binden - Content-Pushen ist out, eine perfekte Context- Strategie entscheidet über Ihren Erfolg

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Umfrage Automation (in the) Cloud?

Datenschutz und Informationssicherheit

IDV Assessment- und Migration Factory für Banken und Versicherungen

paluno Software & CPS Matthias Book Innovationsworkshop Horizon 2020 ICT

GPP Projekte gemeinsam zum Erfolg führen

SID Social Media Report 2010/2011 Aktuelle Untersuchung zur Nutzung von Social Media im Beruf

ITIL und Entwicklungsmodelle: Die zwei Kulturen

BILFINGER INDUSTRIAL MAINTENANCE DAS NEUE BILFINGER MAINTENANCE CONCEPT BMC

Web-Marketing und Social Media

Bring Your Own Device welche Veränderungen kommen damit? Urs H. Häringer, Leiter Technology Management, 29. Mai 2012

Big Data: Nutzen und Anwendungsszenarien. CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

100,000 3,000. SAP Education im Überblick. Events / Woche mit Schulungssystemen. Nutzer abonnieren den SAP Learning Hub. Personen geschult pro Jahr

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd :48:05

Cloud Computing: Startschuss für eine Cloud- Strategie der Schweizer Behörden

Kurzvorstellung Netzwerk CyberDatenSouveränität

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Virtual Roundtable: Business Intelligence - Trends

EINLADUNG. Office 2020: Dokumentenmanagement in der Zukunft Seminar der Rhenus Office Systems am im Sicherheitsarchiv Frankfurt

Jahrestagung Kompetenznetze Deutschland

Nachhaltige Beschaffung führt zu Wettbewerbsvorteilen

Open Source als de-facto Standard bei Swisscom Cloud Services

Information Security Awareness

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Wir organisieren Ihre Sicherheit

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Chancen und Risiken bei der Einführung von Informationsmanagement-Plattformen

Forschungsprofil des Lehrstuhls Technologie- und Innovationsmanagement

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Bedeutung Risiko- und Business Continuity Management in der Privatwirtschaft. Raiffeisen Informatik GmbH

IT-Security Portfolio

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Beratung.Transfer.Umsetzung. Der Spion aus dem Cyberspace 2. Symposium Sicherheit im Unternehmen

So gelingt die sichere Kommunikation mit jedem Empfänger. -Verschlüsselung ist kein Hexenwerk

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

ITIL & IT-Sicherheit. Michael Storz CN8

IT Security Investments 2003

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

Social Media bei DB Bahn: Service-Dialog & Marketing für den Personenverkehr der Deutschen Bahn.

Schutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH

EuroCloud Deutschland Confererence

Suche und Navigation in Medienarchiven mittels Audio Mining

8 Juli Transparenz durch Governance Data Governance als kritischer Erfolgsfaktor für Predictive Analytics

Big, Bigger, CRM: Warum Sie auch im Kundenmanagement eine Big-Data-Strategie brauchen

IT-Sicherheitsmanagement bei einer großen Kommune

IT-Sicherheit in der Verwaltungspraxis März 2013, Frankfurt a. M.

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Cloud Computing für KMU-Unternehmen. Michael Herkens

DOCH. KARRIERECHANCE WISSENSCHAFT FRAUNHOFER-INSTITUT FÜR FÜR DIE WISSENSCHAFT LEBEN UND GLEICHZEITIG DIE WIRTSCHAFT ANKURBELN GEHT NICHT.

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

Synergien des Energiemanagements mit der Heimvernetzung

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Jump Start - Intensivtraining für Product Lifecycle Management (Frankfurt, München, Stuttgart)

Risikoanalyse mit der OCTAVE-Methode

Beispiele der Beteiligung der Mitarbeiter zur Ressourceneffizienz in der Rhein Chemie Rheinau GmbH. 11. Netzwerkkonferenz, Berlin,

Technologie für eine bessere Welt mit Sicherheit smarter

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Major / Minor Operations & Information Management (O&IM)

Warum Wissensmanagement?

SICHERES ENTERPRISE MESSAGING

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Praktikum Digital Evidence Stephan Heuser, Fraunhofer SIT. Speaker Name, Fraunhofer SIT Job title / Darmstadt Date

IT-Security Herausforderung für KMU s

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

EMC. Data Lake Foundation

Inhaltsverzeichnis VII

IT-Trends und -Hypes. Ihre Qualifizierung beim REFA-Bundesverband. Experten bringen demografische Herausforderungen auf den Punkt. Das Know-how.

Johannes Greifoner Siemens PLM Software Stuttgart, 12. November 2015 DIGITALISIERUNG INNOVATIONSTREIBER AUF DEM WEG ZUR INDUSTRIE 4.

Security Awareness ja, aber wie?

HERZLICH WILLKOMMEN! Ihr Geschäftsmodell im Mittelpunkt. Mein Name ist Günter Apel - Gründer und Geschäftsführer

IT-Grundschutz: Cloud-Bausteine

Sicherheitsanalyse von Private Clouds

Transkript:

Trends in der IT Sicherheit: Neue Herausforderung für Schulung und Sensibilisierung Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt

Fraunhofer Gesellschaft Forschen für die Praxis Technische Innovation zur Steigerung der Wettbewerbsfähigkeit Deutschlands und Europas Gegründet 1949 Europas größte Einrichtung für angewandte Forschung 18 000 Mitarbeiter 60 Institute + 20 Forschungsgruppen Jährliches Budget ca. 1,65 Mrd Niederlassungen in EU, USA, Asien, Naher Osten Institutionelle Förderung (1/3) plus Auftragsforschung für Industrie (1/3) und öffentliche Hand (1/3) http://www.fraunhofer.de 2

Fraunhofer Institut für Sichere Informationstechnologie SIT Darmstadt und SIT München Berlin Gegründet: 1961 als DRZ Leitung: Prof. Dr. Michael Waidner Birlinghoven Darmstadt München Gegründet: 2008 Leitung: Prof. Dr. Claudia Eckert Spin offs: 75 R&D 25 IT + Admin 2 Lehrstühle Prof. Sadeghi Prof. Waidner BMBF ECSPRIDE 3

Überblick Trends und Themen in der IT Sicherheit Sensibilisierung und Schulung zur Sicherung der Informationssicherheit 4

Strategie der Fraunhofer Gesellschaft Relevante Megatrends bis zum Jahr 2050 Demographischer Wandel Urbanisierung Globalisierung Energie und Ressourcen Umwelt und Klimaschutz Gesundheit Mobilität Wissensgesellschaft Leben und Arbeiten 5

Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenexplosion Datenexplosion und Datenanalyse 2020: 35 Trillionen GB an digitaler Information (IDC 2010) Neue Quellen Endbenutzer: unstrukturiert, social networks Sensoren Oftmals sehr sensitiv (vertraulich, integer) Problematisch: Qualität, Rechte, Provenance, Lebenszyklus (insb. Löschung) Chance und Gefahr durch neue Algorithmen und Architekturen für Suche, Data Mining, Analytics 6

Wohin geht die Informationssicherheit? Wichtige IT Trends: Cloud Computing Cloud Computing und Mobile Endgeräte Kostenreduktion durch Economies of Scale Abhängigkeit von IT außerhalb eigener Kontrolle IT geteilt mit potentiellen Angreifern Neue Systemmanagement Tools & Prozesse Problematisch regulatorische / forensische Situation Konvergenz von PC, Telefon, Konsole, Sensoren,... Universelles Cloud Dienstezugangsgerät Konsumerisierung von IT Endgeräten Industrialisierung von IT Services Deperimeterisierung ( Jericho Forum ) 7

Wohin geht die Informationssicherheit? Wichtige IT Trends: Future Internet Vernetzte kritische Infrastrukturen Energie, Wasser, Strom, Produktion, Logistik, Krankenversorgung, Polizei, Absicherung existierender Systeme sehr komplex und oft sehr teuer Neue IT Architekturen: Dezentral, Autonomisch, Internet der Dinge und Dienste: Future Internet, Ambient Intelligence, Smarter Planet, Vernetzung von Nicht IT Gegenständen RFID Tags in Produkten Car to X Kommunikation Soziale Netzwerke 8

Wohin geht die Informationssicherheit? Wichtige IT Trends: Compliance Compliance und Komplexität International mehr und komplexere Gesetze Aufkommen von Haftungsregeln für Datenschutz und Datensicherheit Analogie zur Sicherheitsgurtpflicht in den 50er 70er Jahren Steigende Kosten und Risiken von Unsicherheit Wachsende Bedeutung von Secure Engineering Ausbildung, Methoden, Tools Wirtschaftlichkeitsbetrachtungen von IT Sicherheit Benutzbarkeit von IT Sicherheit 9

Wohin geht die Informationssicherheit? Wichtige IT Trends: Datenschutz Datenschutz Renaissance nach 9/11 Zunehmender Konsens Beispiel: Entwurf des Neuen Personalausweises in Deutschland Zielkonflikt im Web 2.0 / Soziale Netzwerke Selbstbestimmung über eigene Daten Veröffentlichung von user generated Content Bayrisches Staatsministerium des Inneren Daten im Cloud Computing Daten in Geodaten / Bilddatenbanken Vorratsdatenspeicherung 10

Wohin geht die Informationssicherheit? Wichtige IT Trends: Cybersecurity Cyber Sicherheit Angreifer Organisiert finanziell / politisch motiviert ressourcen mächtig Advanced Persistent Threats MGM 1962 Joseph Wiseman as Dr. No 11

Sensibilisierung und Schulung zur Sicherung der Informationssicherheit

Herausforderung: Ganzheitliche Informationssicherheit 13

Bewertung der Risiken für die Informationssicherheit Platz 1: Fehler der eigenen Mitarbeiter Quelle: <kes>/microsoft Sicherheitsstudie 4/2010 14

Gefahren für die Ganzheitliche Informationssicherheit Nachlässigkeit und Fehlverhalten Mangelhafte Entsorgung vertraulicher Daten Ungelöschte Festplatten vom Flohmarkt: 34% (BBC, 2009) Ungelöschte Smartphones im Müll: 43% (BT, 2008) Test mit Realdaten Software Tests mit Produktivdaten: 71% (CIO Magazin, 2009) Besprechungen im öffentlichen Raum Preisabstimmung im Zug zur Produktpräsentation Vergessen Umgebung am Telefon: 68% (Cisco, 2008) Photo: Courtesy Bruce Schneier Falscher Umgang mit Passwörtern (Feldexperiment London, 2008) Ein festes PW dienstlich und privat: 48% Kennen PW von Kollegen: 50% Geben eigenes PW telefonisch an Support: 58% 15

Gefahren für die Ganzheitliche Informationssicherheit Verlorene Mobile Geräte Gefunden (2007) Münchner Taxiunternehmen: 3.800 PDAs UK Reinigungen: 9.000 USB Sticks Flughafen Frankfurt: 1.500 Laptops DB Züge: 669 Laptops Verloren oder gestohlen an US Flughäfen (pro Jahr) 600.000 Laptops Vergessen in Londoner Taxis (2007): 110.000 Mobiltelefone 10.000 Smartphones 6.000 Laptops 1.800 USB Sticks 16

Gefahren für die Ganzheitliche Informationssicherheit Mögliche Ursachen IT Sicherheit ist technikfokussiert Einführung von Firewalls, Virenscannern, IDS Verschlüsselungslösungen Policies an Technik angepasst, nicht an Benutzbarkeit Jean Tinguely, Heureka (Zürihorn) Photo: Micha L. Rieser / IT Sicherheit ist benutzerunfreundlich Zu viele Passwörter Gilt für Endnutzer und für Systemadministratoren Wenig Kenntnis über Sinn und Konzept von Maßnahmen Aberwitzige Sicherheitsabfragen Unsichere Anfangskonfigurationen Social Engineering als Bedrohung nicht ausreichend wahrgenommen 17

Weg zur ganzheitlichen Informationssicherheit Zusammenspiel von Technik und Nutzerverhalten Sicherheitsniveau kann nur durch Zusammenspiel technischer Maßnahmen und Anhebung des Sicherheitsbewusstseins erhöht werden Menschen in den Fokus der IT Sicherheit rücken Konzertiertes Verhalten der Mitarbeiter fördern Aufmerksamkeit für Social Engineering Sorgfältiger Umgang mit sensiblen Daten (Laptop, Smartphone, ) Berücksichtigung von Sicherheit bei Prozess und Lösungsentwurf Angemessene Verwendung bestehender Sicherheitslösungen 18

Weg zur ganzheitlichen Informationssicherheit Ziele eines Schulungs und Sensibilisierungsprogramms Aufmerksamkeit für IT- Sicherheit erzeugen (Kommunikation der IT- Sicherheitsleitlinien) Gewinnung des Interesses der Mitarbeiter für Sicherheitsmaßnahmen 1. Stufe: Bewusstsein warum Verstehen 2. Stufe: Schulung was Wissen 3. Stufe: Training wie Fähigkeit Vermittlung von Grundwissen Vermittlung von Praxiswissen für angemessene Reaktionen von Mitarbeitern bei Störfällen Aufrechterhaltung des Interesses durch regelmäßige Kampagnen 19

Aufbau einer Sicherheitskultur Der Baustein B1.13 des IT Grundschutzes Aufzeigen von Gefährdungen und Empfehlungen zu Maßnahmen zur Sensibilisierung und Schulung zur Informationssicherheit : Planung und Konzeption von Kampagnen und Schulungen Beschaffung (etwa Auswahl von Trainern) Umsetzung (Aufbau einer Organisation) Betrieb (Durchführung von Schulungen) 20

Aufbau einer Sicherheitskultur Erfolgsfaktoren Erfolgreiche Schulungsprogramme und Maßnahmen zur Sensibilisierung benötigen: 1. Eine Vision und ein messbares Ziel 2. Eine einheitliche Strategie 3. Einen Unterstützer aus dem oberen Management ( Paten ) und zahlreiche Vorbilder (Führungskräfte) 4. Wenige einfache Regeln 5. Einen präzisen Zuschnitt auf die Unternehmenskultur 6. Einen an Lernzielen orientierten strukturierten Aufbau 7. Eine kontinuierliche Folge verzahnter Einzelmaßnahmen 8. Eine verbindende Klammer (Key Visual, Brand, Claim) 9. Eine geeignete Auswahl von Marketingmaßnahmen ( Form Follows Function ) 10. Eine systematische, begleitende Ergebnismessung 21

Angebote des Fraunhofer SIT Schulungen und Sensibilisierungsmaßnahmen Durchführung von Bedarfsanalysen Entwicklung von Konzepten für Schulungen und Sensibilisierungsmaßnahmen Durchführung von Schulungen Entwicklung von Online Seminaren Evaluierung von Schulungsmaßnahmen Durchführung von 22

V D Weitere Informationen: sit.fraunhofer.de www.cased.de Meine Koordinaten: michael.waidner@sit.fraunhofer.de +49 6151 869 250 Fraunhofer SIT, Rheinstraße 75, D64295 Darmstadt 23