6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG
Informationssicherheit ist nicht nur Datenschutz Informationssicherheit fürs Unternehmen Datenschutz für den Betroffenen Informationssicherheit in der gesamten Wertschöpfungskette des Unternehmens Lieferant Datenschutz personenbezogener Daten Kunde Aufbau eines InformationsSicherheitsManagementSystem (ISMS)
Warum Informationssicherheit? Schutz vor Kapitalschäden jeglicher Art Image- und Vertrauensverlust Datenverlust Produktivitätsausfall Wirtschaftsspionage Verletzung von Marken-/Urheberrechten Verletzung des Bundesdatenschutzgesetzes
Schwachstellen der Informationssicherheit Beispiele Hardware & Infrastruktur Software Betriebliche Schwachstellen Mensch Mobile Geräte
Schwachstelle: Mensch Thema Passwörter Fehleinschätzung MENSCH Vergesslichkeit Nachlässigkeit Unabsichtliche Fehler Täuschung Wissen Bewusstsein sensibilisiertes Verhalten
Schwachstelle: Mobile Geräte Vergessene Geräte in Londoner Taxis im Zeitraum: ½ Jahr 55.000 5.000 3.000 900
Informationssicherheit braucht Commitment Von der Geschäftsleitung Bereitschaft Bewusstsein Klare Vorgaben Gelebte Informationssicherheit IS bis zum Praktikanten IS
Informationssicherheit ist nicht nur IT Management der Informationssicherheit IS IS Organisation & Prozesse Personalschulung & Awareness Datenschutz & Compliance Sichere IT-Landschaft Vertraulichkeit Verfügbarkeit Integrität
Beteiligte Abteilungsleitung Datenschutzbeauftragter Personalabteilung Mitarbeiter Beteiligt sind ALLE Geschäftsleitung Informationssicherheitsbeauftragter IT-Abteilung Lieferanten Externe / Drittparteien Kunden
Standard der Informationssicherheit ISO27001 Seit September 1993: Sammlung von Best Practices 15.Oktober 2005: Veröffentlichung als internationale Norm Bildet Managementrahmen der Informationssicherheit = Zertifizierungsstandard ISO27002 Ergänzung zum ISO27001 Basis zur Verfahrens-, Maßnahmen- und Regelerstellung Kein Zertifizierungsstandard, sondern Leitfaden Maßnahmenkatalog: 11 Kategorien, 39 Maßnahmenziele, 133 Maßnahmen
Warum ein ISO27001-Zertifikat? Imagefaktor Qualitätsmerkmal und Gütesiegel Wettbewerbsfaktor Transparenz und Struktur in der IT Deckt Optimierungspotentiale auf Erhöht die Datenqualität für alle Abteilungen Steigert die Produktivität
Zur ISO27001 in 10 Schritten 1. Definition des Geltungsbereichs der ISO27001 und Freigabe durch das Management 2 Erstellung einer Informationssicherheitsleitlinie 3 Definition der Risikobewertungsmethodik und der Akzeptankriterien 4. Anwendbarkeitserklärung des Maßnahmenkatalogs 5. Aktives Management Commitment zu diesen Festlegungen 6. Einführung des Informationssicherheitsmanagementsystems (ISMS) 7. Laufende Überwachung 8. Interne Auditierung des Systems 9. Management Review 10. Ständige Verbesserung durch Vorbeuge- und Korrekturmaßnahmen
Maßnahmen aus der ISO27001 ein Kurzüberblick 1-4 1-4 Definition Definition des des Managementrahmens Managementsystems 5 Erstellung einer Informationssicherheitsleitlinie 6 Interne Organisation und externe Beziehungen 7 Asset Management und Klassifizierung von Assets 8 Personelle Sicherheit im Rahmen des Anstellungsverhältnis 9 Physische Sicherheit in der gesamten Organisation 10 Definierte Prozesse, Verantwortlichkeiten, Systemplanung und Abnahme, Virenschutz, Backup, Netzwerksicherheit, Handhabung von Medien, E-Commerce, Monitoring 11 Zugangskontrolle, Nutzer-, Privilegien- und Passwortmanagement, Zonierung und Isolierung von sensiblen Systemen, Mobile Geräte und Telearbeit 12 Beschaffung und Wartung von Informationssystemen, Sicherheit in der Entwicklung, Changemanagement, Schwachstellenmanagement, Verschlüsselungstechniken 13 Umgang mit Schwachstellen und Sicherheitsvorfällen Lesson learned 14 Notfallmanagement und Sicherstellung des Geschäftsbetriebs 15 Compliance mit rechtlichen oder andersgearteten Auflagen
Dokumente Personal & Schulungen Audits (intern/extern) Organigramm & Vertretungsregeln IS-Leitlinie Arbeitsanweisungen Notfallhandbuch ISMS- Handbuch Managementreview Incident Management Datenschutz Hardware-/ Software- / Netzwerk- Dokumentation
Die Umsetzung der ISO27001 erfolgt risikoorientiert Wirtschaftlich Pragmatisch Individuell Mit gesundem Menschenverstand
Risikoorientierter Ansatz Schwachstelle Schaden Risiko Bedrohung
Risikoorientierter Ansatz Einfaches Verfahren zur Risikobewertung über Klassifizierung: Wahrscheinlichkeit (Kombination aus Bedrohungen und Schwachstellen) Sehr Niedrig Niedrig Mittel Hoch Sehr hoch < 1.000 1 2 3 4 5 < 10.000 2 3 4 5 6 Schadenspotential < 100.000 3 4 5 6 7 < 1 Mio. 4 5 6 7 8 > 1 Mio. 5 6 7 8 9
Von der Theorie zur Praxis Am Ende kann Informationssicherheit aber nur dann erfolgreich gelebt werden, wenn sie die Menschen in einem Unternehmen erreicht. Denn: Das Internet und die daraus hervorgehenden Risiken sind Neuland.
Umgang mit dem neuen Medium Das neue Medium ist brandgefährlich, weil es nicht berechtigten Personen Informationen zugänglich macht, vom Wesentlichen ablenkt und zu gefährlichen Spielchen verführt.
Umgang mit dem neuen Medium Frei nach Platon, der sich um ca. 350 v. Chr. skeptisch zur Verbreitung der Schrift äußerte.
Wie ist der Umgang heute? Facebook wächst täglich um 2,7 Milliarden Likes und ca. 300 Millionen Bilder 90% der heute verfügbaren Daten wurden in den letzten zwei Jahren erzeugt
Den Umgang lernen Wir alle müssen den Umgang mit den neuen Medien und den zugänglichen Informationen lernen. Dies betrifft besonders auch Unternehmen und ihre Mitarbeiter. Der Faktor Mensch hat im Kontext der Informationssicherheit eine Schlüsselrolle.
Projektbeispiele
Maschinenbauunternehmen 500 Mitarbeiter Verbesserung Informationssicherheit / Awareness Sensibilisierung der Mitarbeiter durch: Plakatkampagne Passwortaktion Durchführung von Audits Durchführung von Schulungsmaßnahmen Kosten: Extern: 25 Personentage Beratungsleistung ca. 30.000 EUR Intern: 50 PT für die Umsetzung empfohlener Maßnahmen
IT-Beratungsunternehmen 150 Mitarbeiter Einführung des Standards ISO27001 Umsetzung von Maßnahmen zu den Themenpaketen: Business Continuity Management Risikomanagement Verschlüsselung User Accounts Qualitätsmanagement Kosten: Extern: 10 Personentage Beratungsleistung ca. 10.000 EUR Intern: 30 PT für die Umsetzung empfohlener Maßnahmen
Fleischzerlegungsbetrieb 15 Mitarbeiter Umsetzung Awarenesskampagne Aufbauend auf: HACCP-Konzept QM-System Durch gezielte Tests vor und nach Durchführung der Awarenesskampagne konnte nachgewiesen werden, dass sich der Sensibilisierungsgrad der Mitarbeiter erheblich verbessert hat. Konkret bedeutet dies, dass 12 von 15 Mitarbeitern nach der Awarenesskampagne adäquat auf einen Informationssicherheitsvorfall reagiert haben.
Fleischzerlegungsbetrieb 15 Mitarbeiter Umsetzung Awarenesskampagne Kosten: 3 externe Beratungstage 3.000,- EUR Abzgl. EU-Förderung -1.500,- EUR Kosten effektiv 1.500,- EUR Die EU-Förderung kann in Anspruch genommen werden von Unternehmen die seit mindestens einem Jahr am Markt bestehen und weniger als 250 Personen beschäftigen und einen Jahresumsatz von nicht mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen Euro haben.
Es ist besser, Deiche zu bauen, als darauf zu hoffen, dass die Flut allmählich Vernunft annimmt. Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor