IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

Ähnliche Dokumente
Übergabe DE-CIX Internet Exchange (BSI-IGZ )

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz - der direkte Weg zur Informationssicherheit

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI

Die Umsetzung von IT-Sicherheit in KMU

Cloud Computing mit IT-Grundschutz

C R I S A M im Vergleich

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

IT-Grundschutz: Cloud-Bausteine

Internetnutzung (Teil 1)

Marc Schober Bundesamt für Sicherheit in der Informationstechnik. Cyber-Sicherheit: Lagebild und Möglichkeiten des Erfahrungsaustauschs

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Cyber-Sicherheitslage / Allianz für Cyber-Sicherheit

Sicherer als sicher. Sicherheit in IT und Internet Handlungsmöglichkeiten

Neues vom IT-Grundschutz: Ausblick und Diskussion

GPP Projekte gemeinsam zum Erfolg führen

D , neue Perspektiven für die elektronische Kommunikation

Sicherer -Transport (BSI TR-03108)

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

IT-Grundschutzhandbuch

Sicherheitsanalyse von Private Clouds

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Sicherheit der Komponenten der Telematik-Infrastruktur

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Dieter Brunner ISO in der betrieblichen Praxis

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Allianz für Cyber-Sicherheit

Datenschutz und Informationssicherheit


Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen. Dr. Harald Niggemann

IS-Revision in der Verwaltung

IT Security Investments 2003

Der D21-Leitfaden "IT-Sicherheitskriterien im Vergleich"

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Akkreditierung gemäß D -Gesetz

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Unternehmensvorstellung

Datenschutz und IT-Grundschutz für Museen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Neue Technologien sicher nutzen: IT-Sicherheit in der öffentlichen Verwaltung

3 Juristische Grundlagen

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informations-Sicherheit mit ISIS12

Allianz für Cyber-Sicherheit

IT-Sicherheitszertifikat

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Virtuelle Kommune. Pilotprojekt mit der VG Mendig. Ein besonderes Cloud-& egovernment-projekt. Präsentation am in Mainz

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO Konformität. datenschutz cert GmbH Version 1.2

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

BSI-Standard der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

Risiken und Perspektiven einer sicheren Infrastruktur Internet

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

IT-Sicherheitslage im Mittelstand 2011

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre

Informationssicherheit in handlichen Päckchen ISIS12

Persönliche Einladung. Zur IT Managers Lounge am 4. November 2009 in Köln, Hotel im Wasserturm.

Informations- / IT-Sicherheit Standards

Analyse zum Thema Lasertechnologie

BSI Technische Richtlinie

Ausgaben für Recht, öffentliche Ordnung und Verteidigung

IT-Sicherheit betrifft alle

1. Tagung zum Schutzprofil für Smart Meter

Das Angebot zur Informationssicherheit für KMUs

Windows 10. Vortrag am Fleckenherbst Bürgertreff Neuhausen.

Entwicklung des realen BIP im Krisenjahr 2009

Systemen - Einleitung

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

TÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal

Transkript:

IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik

Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung im BSI Folie 2

Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für ITSicherheit. Jahresbudget: 51 Mio. Mitarbeiter: rund 400 Standort: Bonn Folie 3

Kunden und Dienstleistungen Regierung und Verwaltung Unterstützung E-Government IT-Sicherheitsberatung Entwicklung von Kryptosystemen Lauschabwehr Betrieb des Regierungsnetzes Wissenschaft Kooperation mit Universitäten Trendanalysen Vergabe von Forschungsaufträgen Bürger Sensibilisierungskampagnen BSI - Internetangebot www.bsi.bund.de www.bsi-fuer-buerger.de Fachbeiträge in Zeitschriften Veranstaltungen, Messen, Kongresse Wirtschaft Nationales CERT IT-Grundschutz Zertifizierung Sicherheitspartnerschaften Folie 4

IT-Sicherheit: Zahlen & Fakten Steigende Zahl von Angriffen 15% der Internetnutzer hatten 2003 Sicherheitsprobleme im Internet* pro Tag 10-15 neue Viren 1996: 10 von 1000 PCs infiziert 2002: 160 von 1000 PCs steigende Schäden: 2003 allein durch Viren rund 13 Mrd. Dollar** * Destatis (10/2004) ** Computer Economics 2004 Folie 5

ABER: Mangelnde Investitionsbereitschaft... in die Technik: IT-Sicherheit ist für 90 Prozent der Unternehmen für die Erreichung des Unternehmensziels wichtig* Aber: 75 Prozent der Unternehmen investieren weniger als 10 Prozent des IT-Budgets für Sicherheit. Rund 12 Prozent haben bislang überhaupt kein Geld für Security-Maßnahmen ausgegeben.** Positiv: Je größer das Unternehmen, desto mehr Sicherheitsmechanismen.*** * Ernst&Young (2003) ** CompTIA (2003) ***Statistisches Bundesamt (2004) Folie 6

Mangelnde Investitionsbereitschaft... in die Ausbildung der Mitarbeiter: 75 Prozent aller IT-Leiter sehen menschliches Versagen als größtes IT-Sicherheitsrisiko* Aber: nur 35 Prozent der Unternehmen veranschlagen ITBudget für die Ausbildung/Sensibilisierung der Mitarbeiter** rund ein Viertel aller Angreifer sind Mitarbeiter*** * Hitachi Data Systems (2003) ** Ernst&Young (2003) *** Mummert (2002) Folie 7

Weitere Sicherheitsbarrieren Sicherheitsbarrieren sind vielfältig: Zeitmangel Budgetknappheit zunehmende Komplexität der Sicherheitsbedrohung mangelnde Awareness bei den Mitarbeitern Komplexität der Technologie fehlende Sicherheitsstrategie fehlendes qualifiziertes Personal Mögliche Folgen: Imageschäden/Probleme bei Bekannt werden von vertraulichen Daten Schäden durch Ausfallzeiten Folie 8

Deshalb: Vorbeugen! BSI Dienstleistungen: Methoden und Werkzeuge zur Integration von IT-Sicherheit IT-Grundschutz Zertifizierung Folie 9

Ziel IT-Grundschutz Durch geeignete Anwendung von infrastrukturellen, organisatorischen, personellen und technischen Standardsicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Anwendungen dienen kann. Folie 10

IT-Grundschutzhandbuch Sammlung von Standardsicherheitsmaßnahmen für typische IT-Systeme Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten Standard für IT-Sicherheit Nachschlagewerk: rund 2.500 Seiten ständige Aktualisierung kostenfreie elektronische Version: www.bsi.bund.de/gshb Folie 11

Leitfaden IT-Sicherheit IT-Grundschutz kompakt GSHB zu umfangreich für die Belange von kleinen und mittleren Unternehmen (KMU) Essenz aus GSHB für KMUs auf 50 Seiten aufbereitet Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen Zielgruppe: IT-Verantwortliche und Administratoren in kleinen und mittleren Unternehmen und Behörden Download unter: www.bsi.bund.de/gshb/leitfaden/index.htm Folie 12

IT-Grundschutz-Schulung Selbstlernkurs auf HTML-Basis Warum? Hohe Nachfrage nach Grundschutz-Schulungen Unterstützung von KMUs (niedrigere Schwelle zum Einstieg) Wie? verschiedene Lehrabschnitte mit Übungsfragen und Beispielen Zeitaufwand: 4-5 Stunden ersetzt eine 1- bis 2-tägige Schulung Wo? www.bsi.bund.de/gshb/webkurs/index.htm Folie 13

IT-Grundschutz-Tool 3.1 seit August 2004 verfügbar unterstützt bei der Erstellung und Fortschreibung von IT-Sicherheitskonzepten und Sicherheitsrevisionen für Behörden kostenlos für übrige Kunden Staffelpreise (Einzellizenz: 765 Euro + MwSt.) kostenloser Download: 30-Tage-Testversion 3300 Lizenzen im Einsatz Weitere Informationen: http:/ www.bsi.bund.de/gstool Folie 14

Zertifizierung im BSI GS-Zertifikat CC-Zertifizierung ITSEC-Zertifizierung Folie 15

BSI Zertifizierungsschema Produkt-Zert.: Produkt-Lösg. Internationale Anerkennung Grundschutz: Einsatzkonzepte BSI-Zertifikat* BSI als nationale Sicherheitsbehörde IT-Grundschutz-Zertifikat IT-Grundschutz-Zertifikat bestätigt Umsetzung des IT-Grundschutzes in Systemen * Nachweis gegenüber Dritten (z.b.: Kunden, Branchenverbände, Versicherer, DS-Beauftragte) Produkt-Zertifikat CC/ITSEC Kunde, Anwender, Betreiber 120 lizenzierte Auditoren Unterstützung durch: akkreditierte Prüfstellen lizenzierte Auditoren international. Gremien bzgl. Kriterienabstimmung und gegenseitige Anerkennung Produkt-Zertifikat bestätigt produktspezifische Sicherheitsmerkmale 12 akkreditierte Prüfstellen Folie 16

Das IT-Grundschutz-Zertifikat Warum? Unternehmen und Behörden wollen Sicherheitsniveau dokumentieren (intern/nach außen) Wie sicher sind meine Geschäftspartner? Maßstab für Umsetzung von Standard-Sicherheitsmaßnahmen Dafür steht es: In der Institution...... ist IT-Sicherheit anerkannter Wert.... ist IT-Sicherheitsmanagement vorhanden.... sind Standardsicherheitsmaßnahmen umgesetzt.... zu einem bestimmten Zeitpunkt wurde ein definiertes ITSicherheitsniveaus erreicht. Folie 17

CC - Zertifizierung Festlegung Sicherheitseigenschaften des Produkts in Verbindung mit den dort auftretenden Bedrohungen (z.b. Loginfunktion) Festlegung des Grades der Vertrauenswürdigkeit (z.b. Quellcodeanalyse) Festlegung von Einsatzumgebungen und Installationsbedingungen Feststellung von inhärenten Schwachstellen und entsprechenden Gegenmaßnahmen Möglichkeit der Nutzung von vorgegebenen Profilen (Protection Profiles) -> Vergleichbarkeit von Produkten Folie 18

IT-Sicherheits-Zertifizierung: Kriterien Common Criteria for Information Technology Security Evaluation Part I: Introduction and general model May 1998 1998: Common Criteria (CC) V2.0 1999: ISO/IEC 15408 Version 2.0 CCIB-98-026 S Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) Juni 1991 1991: Information Technology Security Evaluation Criteria (ITSEC) Zentralstelle für Sicherheit IT-SICHERHEITSKRITERIEN Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) xyz, Datum 1989: German IT Security Criteria (ITS) Folie 19

Zertifizierungsverfahren: Beteiligte Partner HERSTELLER ZERTIFIZIERUNGSSTELLE stellt Know-How über Kriterien und Prüfverfahren zur Verfügung PRÜFSTELLE wahrt die Gleichwertigkeit der Prüfverfahren Garant für Neutralität Folie 20

Internationale Anerkennung der IT-Sicherheitszertifizierung Zertifizierende und anerkennende Nationen Anerkennende Nationen Finnland Griechenland Australien/ Neuseeland Israel Italien Deuschland Niederlande Frankreich Norwegen Großbritannien Spanien Kanada Schweden USA Ungarn Türkei Österreich Folie 21

Aktuelle Zertifikate - Beispiele Infineon Smartcard-Controller (Smart Card IC SLE66CX322P) Gemplus Smart Card Betriebssystem (GemXpresso Pro E64 PK) SuSE Betriebssystem (Linux) IBM Betriebssysteme, Directory-Server, Tivoli Microsoft Firewall GeNUA Firewall Utimaco PC-Sicherheitsprodukte Renesas (Hitachi) Smartcard-Controller (AE43C Version 01) Philips Smartcard-Controller (P16WX064V0C) G+D Tachosmart Card (STARCOS SPK 2.4 mit Tachograph Card Applikation) Folie 22

Informationen I www.bsi.bund.de BSI-Internetauftritte www.bsi-fuer-buerger.de Folie 23

Informationen II www.mittelstand-sicher-im-internet.de Folie 24

Informationen III Info-CD-ROMs Folie 25

Informationen IV IT-Grundschutz-Hotline Telefon: 01888-9582-369 E-Mail: gshb@bsi.bund.de IT-Grundschutz-Zertifikat E-Mail: gssiegel@bsi.bund.de IT-Grundschutz-Tool Telefon: 01888-9582-299 E-Mail: gstool@bsi.bund.de CD-ROM auch in Englisch verfügbar kostenlos unter www.bsi.bund.de IT-Sicherheitszertifizierung Telefon: 01888-9582-111 E-Mail: zerti@bsi.bund.de Print-Version ca. 2.500 Seiten, 148 Bundesanzeigerverlag Folie 26

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Präsident Godesberger Allee 185-189 D-53175 Bonn Tel: +49-1888-9582-330 Fax: +49-1888-9582-90330 kai.fuhrberg@bsi.bund.de www.bsi.bund.de Folie 27

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback