Post on 09-Jun-2020
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Cyber Security – der Brandschutz
des 21. Jahrhunderts
oder
VdS 3473 – Der Cyberstandard für KMU
CeBIT, 21.03.2017 © 2017 Markus Edel , VdS Schadenverhütung GmbH
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Situation
http://www.faz.net/aktuell/wirtschaft/unternehmen/jede-woche-6000-cyberangriffe-gegen-vw-
14393188.html
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Cyber-Security – Ein Thema für VdS
Aufbau des Systems
VdS 3473
Ergänzungen und Erfahrungen
VdS-Assistance-Netzwerk
VdS Quick-Check
Agenda
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Gestern und Heute
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS als Tochterunternehmen des GDV nah an der
Versicherungswirtschaft
Versicherer sehen Herausforderungen für KMU
Versicherer suchen Lösungen für die Risikobewertung
Versicherer suchen Lösungen für die IT-Versicherung bei
KMU und evtl. Assistanceleistungen
Cyber-Security – Thema für VdS
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Gesetzgebung (IT-Sicherheitsgesetz Kritische Infrastrukturen)
Insbesondere KMU zunehmend im Fokus der Angreifer
Risiken: Marktposition - Reputation - Kosten
Überlebenswichtig: Vermeide die Betriebsunterbrechung
Cyber-Security – Thema für die Wirtschaft
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Daraus abgeleitete Ziele:
Fokus: Schutzniveau des Mittelstandes (KMU) anheben
IT-Risiken der KMU für Versicherer und andere
Interessensgruppen bewertbar machen
Ziele
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Marktsituation IT-Security
?
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Die kleinen und mittleren Unternehmen (KMU) umfassen in
Deutschland
rund 99,7 % aller umsatzsteuerpflichtigen Unternehmen,
in denen knapp
65,8 % aller sozialversicherungs-pflichtigen Beschäftigten
angestellt sind,
rund 37,5 % aller Umsätze erwirtschaftet werden sowie
rund 83,0 % aller Auszubildenden ausgebildet werden.
Quelle: ifm Bonn
KMU bislang nicht adressiert! Aber:
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Marktsituation IT-Security
?
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Marktsituation IT-Security
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Überblick
Doku-menten-
Check Prüfung Ergebnis Check-Up
ja Audit Zertifikat jährlich
ja Audit Testat nein
nein Selbst-
auskunft Bericht nein
Kompatibel zu ISO 27001
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Jung: Erstveröffentlichung 07/2015, erstes Zertifikat 12/2015
Kurz: 28 Seiten Vorgaben (so wenig wie möglich, so viel wie nötig)
Frei: Keine konkreten technischen Vorgaben
Allgemeingültig: Passt für alle Branchen/Organisationen
Kompatibel: Als Teilmenge
zu BSI Grundschutz,
ISO 27001 und BDSG
Kostengünstig zu
implementieren
VdS 3473 Eigenschaften
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473 Aufbau
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473 Inhaltsübersicht
Kapitel Kapitel
1. Allgemeines (Unterschied SOLLTE, MUSS) 10. IT-Systeme und ff. der Begriff „Basisschutz“
2. Normative Verweise (u.a. BSI 100-2 bis -4, ISO 9001, 22301, 31000)
11. Netzwerke und Verbindungen
3. Glossar 12. Mobile Datenträger (Risiko, Schutz, Verlust)
4. Organisation der Informationssicherheit 13. Umgebung (Server, akt. Komponenten, Leitungen)
5. Leitlinien zur Informationssicherheit 14. IT-Outsourcing und Cloud-Computing (Verträge)
6. Richtlinien zur Informationssicherheit 15. Zugänge und Zugriffsrechte (Administration)
7. Personal (vor, während, nach der Beschäftigung) 16. Datensicherung und Archivierung (Technik, Verfahren)
8. Wissen (Aktualität, Weiterbildung) 17. Störungen und Ausfälle
9. Identifizierung kritischer IT-Ressourcen 18. Sicherheitsvorfälle (Erkennen, Reaktion)
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
4. Organisation der Informations-sicherheit
- Verantwortlichkeiten - Verantwortung des Topmanagements - Informationssicherheitsbeauftragter (ISB) - Informationssicherheitsteam (IST), Zusammensetzung - IT-Verantwortlicher - Ggf. Datenschutzbeauftragter - Administratoren - Vorgesetzte mit Personalverantwortung - Personal - Projektverantwortliche (zum ISB) - Lieferanten und sonstige Auftragnehmer
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
6. Richtlinien zur Informations-sicherheit
- Notwendig zur Unterstützung und Konkretisierung der IS-Leitlinie - Für wen, warum, Ziel, keine Kollision mit anderen IS-LL oder IS-RL,
Hinweis auf Konsequenz bei Nichtbeachtung - Zwingend erforderlich für
- Nutzer (Generelle Nutzung, private Nutzung, Abwesenheit, Missbrauch)
- Lieferanten und sonstige Auftragnehmer - Mobile IT-Systeme - Mobile Datenträger - Datensicherung - Störungen und Ausfälle - Sicherheitsvorfälle
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
9. Identifizierung kritischer IT-Ressourcen
- Welche Ressourcen? Prozesse, Informationen, IT-Systeme, mobile Datenträger und Verbindungen, Individualsoftware
- Wie? Über Business Impact Analyse CIA – Confidentiality, Integrity, Availability
oder deutsch: Vertraulichkeit, Unversehrtheit, Verfügbarkeit - Dreh- und Angelpunkt:
- Eine Ressource ist als kritisch einzustufen, wenn ihre Beeinträchtigung zu katastrophalen Schäden (s. Abschnitt 3 „Glossar“: an Leib/Leben, zentralen Geschäftsprozessen, zentralen Unternehmenswerten, Rechtskonformität, Schadenshöhe) führen kann
- IT-Systeme, mobile Datenträger und Verbindungen sind dann kritisch, wenn sie kritische Informationen verarbeiten, speichern oder übertragen
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
10. IT-Systeme und im Folgenden der Begriff „Basisschutz“
- Inventarisierung, Lebenszyklus - Basisschutz: Festlegungen zu Updates, Beschränkung des
Netzwerkverkehrs, Protokollierung, externe Schnittstellen, Schutz vor Schadsoftware, Starten von fremden Medien, Authentifizierung, Zugriffsbeschränkungen
- Zusätzliche Maßnahme für mobile IT-Systeme (IS-RL, Schutz, Verlust) - Zusätzliche Maßnahme für kritische IT-Systeme (Notbetrieb,
Robustheit, etc.)
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
11. Netzwerke und Verbindungen
- Dokumentation, Pläne - Aktive Netzwerkkomponenten: sind IT-Systeme, siehe Abschnitt 10 - Netzübergänge (physikalisch, protokolliert, administriert) - Basisschutz - Zusätzliche Maßnahmen für kritische Verbindungen
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473
Kapitel Themen
17. Störungen und Ausfälle
- IS-Richtlinie - Reaktion
- Überblick - Gegenmaßnahmen - Dokumentation - Beweissicherung - Schadensbehebung - Nachbereitung
- Zusätzliche Maßnahmen für kritische IT-Systeme - Wiederanlaufpläne - Abhängigkeiten untereinander
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
VdS 3473 Anhang 1 für produzierendes Gewerbe
Verfügbarkeitsanforderung steht im Vordergrund
Echtzeit-Datenverarbeitung
getrennte IT-Verantwortliche für Office- /Produktions-
umgebung
geänderte / zusätzliche Anforderungen
an Netzwerktrennung, Zugänge, Schutz
vor Schadsoftware, Fernwartung
teilweise geändertes Wording
Ergänzungen und Erfahrungen
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Erfahrung im Krankenhausbereich (BSI-KRITIS 2017)
auch Vertraulichkeit im Vordergrund (NDAs)
Zugriff auf Medizintechnik oft nur administrativ möglich
Schutz vor Schadsoftware? (Embedded systems)
Patchmanagement nicht durchgängig möglich
Verbot durch Hersteller
Verfügbarkeitsanforderung
ggf. physikalische Risiken für
Serverräume / Etagenverteiler
Ergänzungen und Erfahrungen
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Der Mittelstand braucht Unterstützung und
passende Lösungen
VdS 3473 auf dem Weg zum Branchenstandard
für KMU-Cyber-Security
Quick-Check und Quick-Audit als Einstieg und zur
Risikobewertung
Alle Richtlinien kostenlos als Download verfügbar unter
https://vds.de/cyber/
Zusammenfassung
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Assistanceleistungsangebot für die Versicherer
Telefon Hotline
Vor-Ort-Service
Quick Intervention
Ziel
Schadenanalyse
Schnelle Herstellung des Regelbetriebs / Notbetriebs
Vermeidung / Begrenzung BU
und weiterer Folgeschäden
Wer macht´s?
Assistanceleistung
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Anforderungen:
Kompetenz
Vielseitigkeit
Erreichbarkeit
Präsenz
Verfügbarkeit
Partnerschaften
Zertifizierungen
Wirtschaftlichkeit
Forensik: i.d.R. eigenes Kompetenzfeld
Auswahl
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
ca. 80 Systemhäuser/Berater im Bestand (R 50 – 100 km in BRD)
Vertragsverhältnis zwischen VU/Systemhaus
Zusätzliche Geschäftsmöglichkeit für Sie?
Assistance-Datenbank für VU
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Vorstellung VdS Quick-Check
www.vds-quick-check.de
39 Fragen – kostenlos - Ergebnisbericht
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Ergänzender Quick-Check ICS für
produzierende Unternehmen
VdS bietet einen zusätzlichen Quick-Check für
produzierende Unternehmen an
Beide Checks in deutsch und englisch verfügbar
Insgesamt fast 2000 valide Ergebnisse (März 2015-Feb. 2017)
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Struktur und aktueller Ergebnisstand
des VdS Quick-Checks – Stand März 2017
ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge
58% 2017
TECHNIK Mobile Geräte Software Netzwerke IT-Systeme
62% 2016
PRÄVENTION Sicherheitsvorfälle Umgebung Datensicherung Ausfälle
58% 2016
MANAGEMENT IT-Outsourcing und Cloud
Computing
29% 2016
Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57% 2016
57% 2017
59% 2017 46% 2017
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Im Teilbereich „Organsation“ besteht
weiterhin Nachholbedarf
ORGANISATION
58% 2017
46% 2016
Organisation der Informations-sicherheit
Richtlinien
Personal
Zugänge
60%
51% 2016
70% 2016
Der Merkmalsblock „Organisation der Informationssicherheit“ erreicht weiterhin den geringsten Reifegrad.
Insgesamt deutlich solider aufgestellt sind die
Teilnehmer beim Umgang mit Zugängen zu Systemen.
Merkmalsblöcke:
Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57% 2016 49% 2017
59% 2017
51% 2017
71% 2017
2016
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Im Teilbereich „Technik“ ist der Reifegrad
2016/2017 gegenüber 2015/2016
zurückgegangen
TECHNIK
54% 2017 Mobile Geräte
Mobile Datenträger
Netzwerke
IT-Systeme
53% 2017
67% 2017
55% 2017
Der Reifegrad zur IT-Sicherheit stellt die teilnehmenden Unternehmen mit Blick auf mobile Geräte und mobile Datentärger nicht zufrieden.
In der IT-Sicherheit gibt es weiterhin Optimierungspotenziale mit Blick auf die Merkmale „IT-Systeme “. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard.
Merkmalsblöcke:
Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57% 2017
57% 2016
2016: nicht abgefragt
68% 2016
54% 2016
62% 2016
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Der Teilbereich „Prävention“ erreicht einen
durchschnittlichen Reifegrad
PRÄVENTION
32% Sicherheitsvorfälle
Umgebung
Datensicherung
Ausfälle
78% 2017
80% 2017
44% 2017
Der Merkmalsblock „Sicherheitsvorfälle“ erreicht zusammen mit dem Merkmalsblock „Ausfälle“ auch in 2016/17 einen nicht zufriedenstellenden Reifegrad.
Merkmalsblöcke:
Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
59%
2017 58%
31%
80% 2016
78% 2016
43% 2016
2016
2017
2017
2016
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Der Teilbereich „Management“ findet keine
ausreichende Beachtung
MANAGEMENT
IT-Outsourcing und Cloud Computing
Der Reifegrad der teilnehmenden Unternehmen hat sich zwar verbessert, ist jedoch mit Blick auf die Merkmale „IT-Outsorucing und Cloud-Computing“ auch in 2016/17 nicht zufriedenstellend.
Merkmalsblöcke:
Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
46% 2017
46% 2017 29% 2016
29% 2016
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Zusammenfassung zur zweiten Auswertungswelle:
Kaum messbare Veränderung
Klassische Themen, wie die (analoge) Umgebungs-Sicherung sowie die Backup- und IT-Sicherungstechnik, werden von den meisten Unternehmen beherrscht.
Starke Schwächen existieren beim Umgang mit Sicherheitsvorfällen, bei Managementausfällen sowie bei der Integration des Personals und der IT-Dienstleister.
Nur von den wenigsten Firmen werden systematische Risikoanalysen durchgeführt.
Neue Themen wie Cloud-Computing und der Umgang mit mobilen Geräten werden noch nicht systematisch bearbeitet.
Fazit: Informationssicherheit wird vom Management immer noch nicht ausreichend thematisiert. Informationssicherheit endet bei den meisten Unternehmen in den IT-Abteilungen – ein firmenweiter Ansatz existiert häufig nicht.
© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
er-Security
Dipl.-Ing. Markus Edel
Amsterdamer Str. 172
D - 50735 Köln
Tel. +49 (0) 221 7766 - 380
Fax. +49 (0) 221 7766 - 377
Mobil +49 (0) 172 8870047
https://vds.de/cyber/
Impressum