Bild 1 Bild 2 Bild 3 Bild 4 Darstellung der aktuellen Sicherheitslage und Herausforderungen für LANXESS Dirk Fleischer, Leiter
Manchmal ist es hilfreich zu verstehen warum deviantes oder deliquentes Verhalten entsteht 2
Führende Unternehmen sahen insbesondere diese Sicherheitsrisiken im Jahr 2013 Asymmetrische Konflikte Data Breach Localisation Regulatory Changes Integrity Breach 1% Cyber Terrorism 1% 1% 17% 1% Wirtschaftliche Konflikte 25% Financial Instability Terrorism 6% Protests and Riots 10% 3 Crime 5% 4% War - Syria 1% War - Israel 10% War - Iran Quelle: Control Risks, Riskmap Report 2013 18% Geopolitical Instability Klassische Konflikte
Auch die individuellen Ängste spielen bei der Beurteilung der Sicherheitslage eine entscheidende Rolle Quelle: R+V Versicherung, Studie, 2012 4 Quelle: http://www.spf.gov.sg/prints/annual/2011/index.html
Herausforderungen für Lanxess Corporate Security Terrorismus Industriespionage Kriminalität und Krisen 5
Media 6
Wo findet Industriespionage statt? 7
In Zeiten asynchroner Bedrohungslagen haben Staaten ihre Konzepte angepasst. Der Nachrichtendienst muss seine Anstrengungen verstärken, um die russische Wirtschaft und die Interessen russischer Unternehmen im Ausland aktiver zu unterstützen.. Wladimir Putin am 17. Oktober 2007 Informationen aus der Aufklärung sind unbezahlbar. So hätten wissenschaftlichtechnische Informationen und zugehöriges Knowhow einen Effekt, den man in Zahlen mit vielen Nullen messen müsse. SWR-Chef Sergej Lebedew - Business Intelligence (BI) ist eine Engineering-Sammlung, Policy-Analyse- und Bewertungsmethoden, um nützliche Informationen für die Beleuchtung und Entscheidungsunterstützung zu generieren. Sie nutzt alle Ressourcen der Informationstechnologie und Kommunikation, Personal-Netzwerke und ihre Fähigkeit zur Beeinflussung, damit Unternehmen oder an der Staat, konkurrenzfähiger und effizienter konkurrieren kann. Praktiziert von allen wichtigen Industrie-und Schwellenländern, kann es bieten Unternehmen einen Wettbewerbsvorteil, und der Staat, um Ereignisse und wirtschaftlichen Veränderungen zu antizipieren. 8 http://www.economie.gouv.fr/scie
Die USA haben eine nationale Strategie zum Schutz der eigenen Wirtschaft in Kraft gesetzt 9
Die Masse der Angriffe findet offen statt Angriffsarten Offen Open source Ermittlungen Besucher Vorträge Social Engineering Social Hacking Verdeckt Professionelle Ermittlungen Spionage Einbrüche Penetration der IT Telefon Überwachung 80% - 90% der Angriffe 10% - 20% der Angriffe 10
Würden Sie diesen Stecker an Ihrem Rechner erkennen? 11
Das Robin Sage Experiment Kennen Sie wirklich alle Freunde in Ihren sozialen Netzwerken? Robin Sage lebte 28 Tage in der virtuellen Welt Danach hatte sie mehr als 300 Freunde und 2 Jobangebote Unter anderem für Lockheed als IT Security Expert 12
Social Engineering Contest 13
Wenn Social Engineering auf kriminelle Energie trifft 14
Lagebild Terrorismus und Extremismus Terrorismus in Deutschland Einschätzung des BKA:..weiterhin intensivierte Gefährdung......jederzeit in Form von Anschlägen unterschiedlicher Dimension... rund 400 Ermittlungsverfahren 1.000 potentiell gefährliche Personen dabei mehr als 100 bekannte Gefährder Menschenverachtung, die sich nicht mehr steigern lässt. rd. 50 in Krisengebieten ausgebildet 15
Ausgewählte gesetzliche Rahmenbedingungen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Vorbeugender personeller Sabotageschutz (Deutschland: SÜG/SÜFV) Außenwirtschaftsgesetz (AWG) Kriegswaffenkontrollgesetz (KrWaffKontrG) Störfallverordnung (StörfallV) Leitfaden Störfallkommission Maßnahmen gegen Eingriffe Unbefugter ADR/RID/ADNR Kapitel 1.10 International Maritime Code for Dangerous Goods (IMDG) Code International Air Transport Association (IATA) Code Verordnung (EG) Nr. 300/2008 // 185/2010 // 881/2002 Europäisches Programm zum Schutz kritischer Infrastrukturen (EPCIP) Leitfaden Basisschutzkonzept für Kritische Infrastrukturen Customs-Trade Partnership Against Terrorism (C-TPAT) Responsible Care Security Code Container Security Initiative (CSI) International Ship and Port Facility Security Code (ISPS) Authorized Economic Operator (AEO) CBRN-Aktionsplan ISO 28.000, 27000, DIN 77200, 9000 ff. 16
Gemeinsamkeiten dieser Regelungen Security ist Teil einer Unternehmensphilosophie. Security ist kein Zufallsprodukt sondern das Ergebnis eines gesteuerten Prozesses. Jedermann im Unternehmen ist für Security mitverantwortlich. Gemeinsam werden Risiken identifiziert und bewertet und bewusste Entscheidungen getroffen. In einem Netzwerk mit zahlreichen Partnern werden Securitymaßnahmen fortgeschrieben. Unberechtigte Personen haben zu gesicherten Bereichen keinen Zutritt und können nicht auf Sachen einwirken. Securitymaßnahmen müssen regelmäßig überprüft werden. 17
Tragenden Elemente eines wirksamen Securitymanagements Ziele Prozesse Rollen und Verantwortung Risiko und codexorientierte Security Beurteilung der LANXESS Sicherheitslage Umsetzung der gesetzlichen Bestimmungen Operationalisierung von Standards Prozessorientiertes Securitymanagement Beschreibung und Umsetzung der wesentlichen Prozesse Plan Do Check ActAnsatz Klare Verantwortungen Schaffung dezentraler Verantwortlichkeiten zur Sicherstellung der Security Compliance Höherer Stellenwert der Sicherheit im Konzern Balance aus Qualität und Wirtschaftlichkeit Gesteigertes Vertrauen bei den Geschäftsfeldern Konzernweite Sicherheitsstandards 18 18