IT-Sicherheit für KMUs

Ähnliche Dokumente
VdS 3473 Informationssicherheit für KMU

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Informationsveranstaltung zur IT-Sicherheitsrichtlinie (ITSR)

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Cyber Security der Brandschutz des 21. Jahrhunderts

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

ISIS12 und die DS-GVO

Reaktion auf Sicherheitsvorfälle

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Informationssicherheit - Nachhaltig und prozessoptimierend

Locky & Co Prävention aktueller Gefahren

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Informationssicherheit

Sind Sie (sich) sicher?

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Vielen Dank für Ihre Aufmerksamkeit!

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Genügt ein Schloss am PC? Informationssicherheit bei Übersetzungen

ENTSPANNT LERNEN CYBER AKADEMIE- SUMMER SCHOOL. Lead-Auditor nach ISO/IEC Juli IT-Grundschutz-Experte

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Übersicht über die IT- Sicherheitsstandards

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

IT-Grundschutz nach BSI 100-1/-4

IT-SICHERHEITSMANAGEMENT: FORDERUNGEN DER ABNEHMERINDUSTRIEN

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Umgang mit der KRITIS Wasser bei SWD

Medizintec. CE-Kennzeichnung. Risikomanagement POSITION. Zweckbestimmung. systemweite Aufgabe. Positionspapier Medizintechnik braucht Cybersicherheit

Zentrum für Informationssicherheit

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

Training für Energieversorger. Security Awareness. Nachhaltig und wirksam

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

VdS-Richtlinien 3473 Workshop zur LeetCon 2017

Sind Sie (sich) sicher?

IT- und Datensicherheit Der digitalen Geschäftsprozesse im Handwerk

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Ausgewählte Grafiken zur VDMA Pressemitteilung vom VDMA Studie Industrial Security

Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU?

Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl

Die gesamte Systemumgebung physisch getrennt vom Internet betrieben!

Rolle der Körperschaften und Aktivitäten der KBV

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

Bastian Nowak. Warum? Wie? Wer? Wann? Handlungsempfehlungen für Ihre it-sicherheit. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs"

Security-Awareness nachhaltig und wirksam Mit Spannung, Spaß und Spiel zu mehr Sicherheit

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

Zertifizierung gemäß ISO/IEC 27001

Strukturierte Informationssicherheit

BSI IT-Grundschutz in der Praxis

Cyber-Versicherung Die finanzielle Firewall. Achim Fischer-Erdsiek,

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

IT Security Awareness

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

DATENSCHUTZ in der Praxis

Was heißt Digitalisierung für KMU in den Regionen? Gerhard Laga, WKÖ E-Center

Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an?

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

EDV im Mittelstand: praxisnahe Strategien für effektive it-sicherheit

Wirtschaftsschutz in der digitalen Welt

Aktuelle Bedrohungslage

NET WÄCHTER: Schutz, Beschleunigung und Überwachung

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

zentric IT-Security Sicherheit Braucht Vergangenheit

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

ISIS12 Tipps und Tricks

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

Cyber-Sicherheits-Umfrage Ergebnisse, Stand

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Fachverband Versicherungsmakler Datenschutzgrundverordnung DSGVO Technische Anforderungen an die Verwaltungsprogramme der Makler

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Cyberrisiken in der Logistik. Prof. Dr. Christopher W. Stoller, LL.B.

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Cloud Monitor 2017 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

Informationssicherheit in handlichen Päckchen ISIS12

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Sicherer Datenaustausch für Unternehmen und Organisationen

Digitalisierung und WEB maximal agil und trotzdem Konkurs?! Chancen nutzen, Risiken begegnen!

Datenschutzmanagement als integraler Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) Ein Appell

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Infoveranstaltung IT-Sicherheit für KMU: Angriffe auf und Schutzmaßnahmen für mobile Endgeräte

Internet, Datennetze und Smartphone

PC-Sicherheit. Maarten Lenting. WEB HARDWARE IT-LiFE SOFTWARE SICHERHEIT SERVICE

Transkript:

Quelle: fotolia Schutzschilde aufbauen und aufrechterhalten EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 1

Ihr Referent Inhaber Ing.-Büro DaTeCom IT-Sicherheitsbeauftragter Cyber-Security-Consultant Datenschutzbeauftragter EDV-Gutachter EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 2

Agenda Einführung Aktuelle Bedrohungen Wer sind die Täter Was ist ihre Motivation? IT-Sicherheit Was ist das überhaupt? Schäden durch mangelhafte IT-Sicherheit IT-Sicherheit in der Cloud Wie erreicht man IT-Sicherheit? Praktische Umsetzung Zusammenfassung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 3

Aktuelle Bedrohungen EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 4

Aktuelle Bedrohungen Verschlüsselungs-Trojaner (Ransomware) Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 5

Aktuelle Bedrohungen Angriffe auf Web-Seiten EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 6

Aktuelle Bedrohungen Industrie-Spionage Quelle: Hans-Jörg Walter EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 7

Aktuelle Bedrohungen Verlust / Diebstahl von IT-Geräten In 28 Prozent der befragten Unternehmen sind in den letzten zwei Jahren zum Beispiel Computer, Smartphones oder Tablets gestohlen worden" Quelle: Studie des bitkom aus 2015 und was ist mit den Geräten, die im Zug, Taxi etc liegen gelassen wurden? Rund 20.000 Handys bleiben jährlich in Zügen und an Bahnhöfen liegen Quelle: Zeitschrift Impulse 07/2015 EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 8

Aktuelle Bedrohungen Ausspähen von Zugangsdaten (Phishing) Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 9

Aktuelle Bedrohungen Diebstahl von Kundendaten Quelle: datenschutzticker.de EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 10

Aktuelle Bedrohungen Gezielte Angriffe in sozialen Netzwerken (facebook & co) Quelle: fotolia Ich habe 1.000 Kontakte! und alle sind meine Freunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 11

Wer sind die Täter? EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 12

und was ist ihre Motivation? Rache Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 13

und was ist ihre Motivation? schnöder Mammon Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 14

und was ist ihre Motivation? die dunkle Seite der Macht Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 15

Was ist überhaupt IT-Sicherheit? Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik): IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 16

Schäden durch mangelhafte IT-Sicherheit direkter finanzieller Schaden Umsatz-/Gewinneinbruch Produktionsausfall Schadenersatzforderungen von Geschäftspartnern Imageverlust Existenzbedrohung Ausfall kritischer Infrastrukturen => KRITIS => IT-Sicherheitsgesetz (2016) EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 17

Was gehört zur IT-Sicherheit? Hardware: Firewall, USV, Redundanz (Speicher, Cluster, Internet ) Software: Virenschutz, Backup, Verschlüsselung, VPN, SSL, https aktuelle Progr.- / OS-Versionen (XP!), Updates/Patches Reicht das? NEIN! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 18

Was gehört noch zur IT-Sicherheit? Organisatorische Maßnahmen (Auszug!): Zugriffsrechte, Passwort-Wechsel Fernwartung, Fremdfirmen Datenträger-Handling (USB-Sticks!), Datenvernichtung! Schulung und Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Dokumentationen Überblick EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 19

Was gehört zur IT-Sicherheit? Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 20

IT-Sicherheit in der Cloud Cloud = (teilweises) Auslagern von Zuständigkeiten Bereich Zutrittskontrolle Stromversorgung Redundanz Virenschutz Backup aktuelle Software Verschlüsselung Zuständigkeit Cloud Cloud Cloud (+ Kunde) Cloud + Kunde Cloud Cloud + Kunde Cloud + Kunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 21

IT-Sicherheit in der Cloud Bereich Zuständigkeit Zugriffsrechte, Passwort-Wechsel Fernwartung, Zugriff durch Fremdfirmen Datenträger-Handling (USB-Sticks!) Datenvernichtung! Schulung/Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Doku Überblick Kunde Cloud + Kunde Kunde Kunde Kunde Cloud + Kunde Cloud + Kunde Kunde Kunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 22

Verantwortung für die IT-Sicherheit Die Verantwortung liegt immer bei Ihnen! Wer haftet, wenn etwas schief geht? Der Vorstand bzw. die Geschäftsführung! Daher gilt: IT-Sicherheit ist Chef-Sache! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 23

Merksätze der IT-Sicherheit IT-Sicherheit entsteht nicht von allein! IT-Sicherheit kostet Geld! aber man kann sie nicht kaufen! 100%-ige Sicherheit gibt es nicht! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 24

Ist IT-Sicherheit statisch? Die Bedrohungen verändern sich! Das Unternehmen verändern sich! Neue Mitarbeiter, Kunden, Lieferanten, Technologien Ihre Geschäftsprozesse verändern sich! Neue Produkte, Verfahren, Vertriebswege Maßnahmen müssen daher regelmäßig angepasst werden IT-Sicherheit ist kein Zustand sondern ein Prozess! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 25

Schritte im Prozess der IT-Sicherheit Initiierung Analyse Dokumentation Planung Umsetzung Überwachung Anpassung Was benötigt man dafür? EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 26

Informations-Sicherheits-Management-System (ISMS) Management-System: Systematische, geplante Herangehensweise an das Erreichen von Unternehmenszielen und die Umsetzung der Unternehmenspolitik. PDCA Quelle: fotolia Plan Do Check Act EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 27

Überblick über ISM-Systeme (Auszug) BSI Grundschutz ursprünglich entwickelt vom BSI für deutsche Behörden ISO/IEC 27001 International anerkannte Norm für Organisationen aller Größen ISIS12 InformationsSIcherheitsmanagementSystem in 12 Schritten entwickelt in Bayern für KMUs VdS 3473 Entwickelt vom VdS (Verband deutscher Sachversicherer) Fokus auf KMUs EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 28

Aufwand für die Implementierung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 29

Gemeinsamkeiten aller ISM-Systeme Audits (intern oder extern) Zertifizierung (nur durch externe Auditoren) Fortlaufende Überwachung (intern oder extern) Re-Zertifizierung alle 2-5 Jahre (nur durch externe Auditoren) EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 30

Ziel der IT-Sicherheit Ein angemessenes Sicherheitsniveau Was ist denn angemessen? Kommt d rauf an. kleiner Web-Shop (Nebenerwerb) Rechtsanwaltskanzlei mit E-Akte Steuerberater mit ständiger Internet-Anbindung Medizinisches Labor als Dienstleister für 500 Arztpraxen Handelsplattform amazon EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 31

Vorgehensweise (am Beispiel VdS 3473) Quelle: VdS Schadensverhütung GmbH EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 32

Umsetzung der VdS 3473 (6-Phasen-Modell) Phase 1 - Start Phase 2 - Vorbereitungen Phase 3 - Grundanforderungen Phase 4 - Basisschutz Phase 5 - Kritische Teile der IT-Infrastruktur Phase 6 - Überführung in den Betrieb EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 33

Zusammenfassung Die Bedrohungen im IT-Bereich sind vielfältig Alle Unternehmensgrößen sind betroffen Es gibt unterschiedliche Tätergruppen und Motivationen Schäden können existenzbedrohend sein IT-Sicherheit ist primär eine organisatorische Aufgabe IT-Sicherheit ist Chefsache! Cloud-Nutzung löst keine Sicherheits-Probleme IT-Sicherheit ist kein Zustand sondern ein Prozess! ISM-Systeme helfen bei der Umsetzung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 34

Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen? Kontaktdaten: freikamp@edv-sachverstand.nrw Telefon 02151 / 523 84 61 EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 35

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback