Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen für Rechnernetze und Informationssicherheit Auditor für ISO 27001 nach BSI IT-Grundschutz Bremen, 26. Oktober 2011 1
Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) Bonn 11.2.2011 2
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 3
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 4
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 5
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 6
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 7
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 8
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 9
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 10
Informationssicherheit Warum beschäftigen wir uns nicht damit? Darum kümmert sich der IT-Administrator Ich habe einen Virenscanner und eine Firewall Meine Daten interessieren niemanden Dafür habe ich keine Zeit / kein Budget Das ist doch nicht unser Kerngeschäft Das ist bisher immer gut gegangen Darum kümmern wir uns später.. Es gibt viele Argumente, warum man sich gerade jetzt nicht mit Informationssicherheit auseinandersetzen kann! 2
Wann beschäftigen Sie sich mit Informationssicherheit? Ein Sicherheitsvorfall ist aufgetreten Die rechtlichen Rahmenbedingungen haben sich geändert oder sind auf einmal ins Bewusstsein gerückt Kundenanforderungen Forderungen der Banken Eigene Untersicherheiten Zunehmende Gefährdungslage... KPMG-Studie: e-crime-studie 2010, Computerkriminalität in der deutschen Wirtschaft siehe: www.kpmg.de/docs/20100810_kpmg_e-crime.pdf 12
Bedrohungen für Ihr Unternehmen: externe interne Bedrohungen Bedrohungen Wettbewerber Hacker Geheimdienste Erpresser... eigene Mitarbeiter ehemalige Mitarbeiter Externe Freaks DAUs... 13
Lösungen für Ihr Unternehmen: Informationssicherheit managen ISO 27000 Familie internationaler Standard Vergleichbarkeit Übertragbar Anerkannt Verbreitet 14
Lösungen für Ihr Unternehmen: ISO 27001 nach BSI IT-Grundschutz Informationssicherheit managen Deutsches Verfahren zur Implementierung eines Informationssicherheitsmanagement Systems (ISMS) nach ISO 27001 Stark formalisiert häufig aufwendig Nachvollziehbar und reproduzierbar In Deutschland und Europa anerkannt International in der Regel nicht / bedingt anerkannt Die Struktur bietet sich an für erste Sicherheitsuntersuchungen in Unternehmen und Organisationen 15
BSI-IT-Grundschutz 16
Praktisches Vorgehen: Vereinfachte Sicherheitsuntersuchung: Quick Security Check Erstellen von Sicherheits-, Betriebs- und Datenschutzkonzepten für IT- Systeme und IT-Anwendungen Risikoanalysen Beispiele aus der Praxis 17
Automobilzulieferer (Quick Security Check eines dedizierten IT-Systems) VoIP-Anlage (wesentlicher Teil des Geschäfts läuft per Telefonverkauf) Strukturanalyse nach BSI IT-Grundschutz für: VoIP-Systeme - Kommunikationsnetz - Groupware Ergebnisse: Erarbeitung und Priorisierung der notwendigen Maßnahmen zur Verbesserung der Betriebssicherheit der Lokalen Datennetze und der VoIP-System Risikobewusstsein entwickelt 18
Krankenhausbetrieb Entwicklung eines Protokollierungskonzepts zur revisionssicheren Protokollierung relevanter administrativer Tätigkeiten Windows Server 2008 und MS-Exchange Server 2007 SP2 Protokolliert werden sollten: - Zugriff auf Nutzer-Verzeichnisse durch Administratoren Einrichten, Verändern der Eigenschaften und Löschen von Nutzern Zugriff auf Postfachspeicher von Nutzern Verändern der Zustelloptionen von Nutzern Ergebnisse: Umfangreiches Protokollierungskonzept und Abstimmung mit den Personalvertretungsgremien 19
aus: Präsentation IT-Grundschutztag Bremen, A. Geschonneck 20
Sicherheitsuntersuchung: Quick Security Check: Vorgehensweise: 3-5-tägige Beratung, vereinfachte Strukturanalyse nach BSI IT-Grundschutz Ergebnis: Detaillierter Überblick über die IT-Sicherheitslage im Unternehmen. Priorisierte Auflistung der Maßnahmen zur Verbesserung der IT-Sicherheit Ganzheitliche Analyse und Maßnahmenvorschläge Ausgangsbasis für eine Zertifizierung nach ISO 27001 (BSI IT-Grundschutz) Ansprechpartner: tgt:, 3
und wie geht es weiter?... Mobile Computing --> iphone, ipad, etc. Cloud Computing Virtualisierung 22
Informationssicherheit und Datenschutz: Forschung und Entwicklung in Bremen und der Region www.is-bremen.de 23
BSI IT-Grundschutztag am 16. Juni 2012 Universität Bremen Koordiniert durch IS-Bremen Thema: aktuell 2010, über 230 Anmeldungen aus dem ganzen Bundesgebiet demnächst unter: www.is-bremen.de/veranstaltungen.html