Quelle: fotolia Schutzschilde aufbauen und aufrechterhalten EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 1
Ihr Referent Inhaber Ing.-Büro DaTeCom IT-Sicherheitsbeauftragter Cyber-Security-Consultant Datenschutzbeauftragter EDV-Gutachter EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 2
Agenda Einführung Aktuelle Bedrohungen Wer sind die Täter Was ist ihre Motivation? IT-Sicherheit Was ist das überhaupt? Schäden durch mangelhafte IT-Sicherheit IT-Sicherheit in der Cloud Wie erreicht man IT-Sicherheit? Praktische Umsetzung Zusammenfassung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 3
Aktuelle Bedrohungen EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 4
Aktuelle Bedrohungen Verschlüsselungs-Trojaner (Ransomware) Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 5
Aktuelle Bedrohungen Angriffe auf Web-Seiten EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 6
Aktuelle Bedrohungen Industrie-Spionage Quelle: Hans-Jörg Walter EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 7
Aktuelle Bedrohungen Verlust / Diebstahl von IT-Geräten In 28 Prozent der befragten Unternehmen sind in den letzten zwei Jahren zum Beispiel Computer, Smartphones oder Tablets gestohlen worden" Quelle: Studie des bitkom aus 2015 und was ist mit den Geräten, die im Zug, Taxi etc liegen gelassen wurden? Rund 20.000 Handys bleiben jährlich in Zügen und an Bahnhöfen liegen Quelle: Zeitschrift Impulse 07/2015 EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 8
Aktuelle Bedrohungen Ausspähen von Zugangsdaten (Phishing) Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 9
Aktuelle Bedrohungen Diebstahl von Kundendaten Quelle: datenschutzticker.de EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 10
Aktuelle Bedrohungen Gezielte Angriffe in sozialen Netzwerken (facebook & co) Quelle: fotolia Ich habe 1.000 Kontakte! und alle sind meine Freunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 11
Wer sind die Täter? EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 12
und was ist ihre Motivation? Rache Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 13
und was ist ihre Motivation? schnöder Mammon Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 14
und was ist ihre Motivation? die dunkle Seite der Macht Quelle: fotolia EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 15
Was ist überhaupt IT-Sicherheit? Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik): IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 16
Schäden durch mangelhafte IT-Sicherheit direkter finanzieller Schaden Umsatz-/Gewinneinbruch Produktionsausfall Schadenersatzforderungen von Geschäftspartnern Imageverlust Existenzbedrohung Ausfall kritischer Infrastrukturen => KRITIS => IT-Sicherheitsgesetz (2016) EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 17
Was gehört zur IT-Sicherheit? Hardware: Firewall, USV, Redundanz (Speicher, Cluster, Internet ) Software: Virenschutz, Backup, Verschlüsselung, VPN, SSL, https aktuelle Progr.- / OS-Versionen (XP!), Updates/Patches Reicht das? NEIN! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 18
Was gehört noch zur IT-Sicherheit? Organisatorische Maßnahmen (Auszug!): Zugriffsrechte, Passwort-Wechsel Fernwartung, Fremdfirmen Datenträger-Handling (USB-Sticks!), Datenvernichtung! Schulung und Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Dokumentationen Überblick EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 19
Was gehört zur IT-Sicherheit? Quelle: Uwe Freikamp EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 20
IT-Sicherheit in der Cloud Cloud = (teilweises) Auslagern von Zuständigkeiten Bereich Zutrittskontrolle Stromversorgung Redundanz Virenschutz Backup aktuelle Software Verschlüsselung Zuständigkeit Cloud Cloud Cloud (+ Kunde) Cloud + Kunde Cloud Cloud + Kunde Cloud + Kunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 21
IT-Sicherheit in der Cloud Bereich Zuständigkeit Zugriffsrechte, Passwort-Wechsel Fernwartung, Zugriff durch Fremdfirmen Datenträger-Handling (USB-Sticks!) Datenvernichtung! Schulung/Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Doku Überblick Kunde Cloud + Kunde Kunde Kunde Kunde Cloud + Kunde Cloud + Kunde Kunde Kunde EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 22
Verantwortung für die IT-Sicherheit Die Verantwortung liegt immer bei Ihnen! Wer haftet, wenn etwas schief geht? Der Vorstand bzw. die Geschäftsführung! Daher gilt: IT-Sicherheit ist Chef-Sache! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 23
Merksätze der IT-Sicherheit IT-Sicherheit entsteht nicht von allein! IT-Sicherheit kostet Geld! aber man kann sie nicht kaufen! 100%-ige Sicherheit gibt es nicht! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 24
Ist IT-Sicherheit statisch? Die Bedrohungen verändern sich! Das Unternehmen verändern sich! Neue Mitarbeiter, Kunden, Lieferanten, Technologien Ihre Geschäftsprozesse verändern sich! Neue Produkte, Verfahren, Vertriebswege Maßnahmen müssen daher regelmäßig angepasst werden IT-Sicherheit ist kein Zustand sondern ein Prozess! EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 25
Schritte im Prozess der IT-Sicherheit Initiierung Analyse Dokumentation Planung Umsetzung Überwachung Anpassung Was benötigt man dafür? EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 26
Informations-Sicherheits-Management-System (ISMS) Management-System: Systematische, geplante Herangehensweise an das Erreichen von Unternehmenszielen und die Umsetzung der Unternehmenspolitik. PDCA Quelle: fotolia Plan Do Check Act EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 27
Überblick über ISM-Systeme (Auszug) BSI Grundschutz ursprünglich entwickelt vom BSI für deutsche Behörden ISO/IEC 27001 International anerkannte Norm für Organisationen aller Größen ISIS12 InformationsSIcherheitsmanagementSystem in 12 Schritten entwickelt in Bayern für KMUs VdS 3473 Entwickelt vom VdS (Verband deutscher Sachversicherer) Fokus auf KMUs EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 28
Aufwand für die Implementierung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 29
Gemeinsamkeiten aller ISM-Systeme Audits (intern oder extern) Zertifizierung (nur durch externe Auditoren) Fortlaufende Überwachung (intern oder extern) Re-Zertifizierung alle 2-5 Jahre (nur durch externe Auditoren) EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 30
Ziel der IT-Sicherheit Ein angemessenes Sicherheitsniveau Was ist denn angemessen? Kommt d rauf an. kleiner Web-Shop (Nebenerwerb) Rechtsanwaltskanzlei mit E-Akte Steuerberater mit ständiger Internet-Anbindung Medizinisches Labor als Dienstleister für 500 Arztpraxen Handelsplattform amazon EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 31
Vorgehensweise (am Beispiel VdS 3473) Quelle: VdS Schadensverhütung GmbH EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 32
Umsetzung der VdS 3473 (6-Phasen-Modell) Phase 1 - Start Phase 2 - Vorbereitungen Phase 3 - Grundanforderungen Phase 4 - Basisschutz Phase 5 - Kritische Teile der IT-Infrastruktur Phase 6 - Überführung in den Betrieb EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 33
Zusammenfassung Die Bedrohungen im IT-Bereich sind vielfältig Alle Unternehmensgrößen sind betroffen Es gibt unterschiedliche Tätergruppen und Motivationen Schäden können existenzbedrohend sein IT-Sicherheit ist primär eine organisatorische Aufgabe IT-Sicherheit ist Chefsache! Cloud-Nutzung löst keine Sicherheits-Probleme IT-Sicherheit ist kein Zustand sondern ein Prozess! ISM-Systeme helfen bei der Umsetzung EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 34
Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen? Kontaktdaten: freikamp@edv-sachverstand.nrw Telefon 02151 / 523 84 61 EDV-Sachverstand.nrw IHK Duisburg 30.11.2016 35