COMPLIANCE UND IT-SECURITY · 2019. 4. 15. · Unternehmens zur Durchführung der von ihnen...

COMPLIANCE UND IT-SECURITY Kommt die Bedrohung immer von außen?

Jens Borchers Beratung für Informationsmanagement / cat out gmbh

ECC 2019 Hamburg, 4. April 2019

ECC2019

DiesesWerkeinschließlichallerseinerTeileauchvonDrittenisturheberrechtlichgeschützt.

JedeVerwertung,dienichtausdrücklichvomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenschriftlichenZustimmung.

DasgiltinsbesonderefürVervielfältigungen,Bearbeitungen,ÜbersetzungenunddieEinspeicherungundVerarbeitunginelektronischerForm.

Version:1.0/04.04.2019

JensBorchersBeratungfürInformationsmanagement

Lönsstr.41D-21077Hamburg

[email protected]

KommtdieBedrohungimmervonaußen?

COMPLIANCE UND IT-SECURITY

04.04.2019ComplianceundIT-Security2

ECC2019

AGENDA

1|ComplianceundIT-Security–WoistderZusammenhang?DieBedrohungslageistbekannt,oder?EinpaarDefinitionenExterneundinterneRegelwerke

2|AufbaueinesInformationSecurityManagementSystemsVorgabendesGesetzgebersundandererGremienGartnerSecurityArchitectureStandardszumVorgehen

3|DieverkannteGefahr–der„Innentäter“DieGrenzenvon„Innen“und„Außen“verschwimmenTechnikalleinistnichtdieLösungzurAbwehr

4|FazitundEmpfehlungen04.04.2019ComplianceundIT-Security3

ECC2019

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE BEDROHUNGSLAGE IST BEKANNT, ODER?


ECC2019

§  Schon2016inKraftgetreten,abererst2017/18–kurzvorEndederÜbergangsfrist–indenFokusgeraten�  EU-Verordnung2016/679:Daten-Schutz-Grund-Verordnung(EU-DSGVO)

-  EndederÜbergangsfrist25.05.2018-  DasgroßeThemainvielenUnternehmenin2017undnochAnfang2018

§  Etwas“untergegangen”,abergenausowichtig�  EU-Richtlinie2016/943:SchutzvonKnow-howundGeschäftsgeheimnissen

-  EndederÜbergangsfristam08.06.2018-  „GesetzzurUmsetzungderRichtlinie(EU)2016/943zumSchutzvonGeschäftsgeheimnissenvorrechtswidrigemErwerbsowierechtswidrigerNutzungundOffenlegung“

-  DeutscheUmsetzungbisheutenichtfertig(ReferentenentwurfJuli2018)

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE GESETZLICHE „BEDROHUNGSLAGE“ IST AUCH BEKANNT


ECC2019

§  IT-Sicherheitsgesetzvon2015�  GiltfürmehrUnternehmenalslangläufigangenommen

§  FürFinanzdienstleister:BAIT(11/2017)alsUmsetzungderMaRisk

§  FürvieleIndustrienspezifischeNormenundStandards�  z.B.VDE/IEC62443-xfürProduktionsbetriebe

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE GESETZLICHE „BEDROHUNGSLAGE“ IST AUCH BEKANNT


ECC2019

§  “(IT-)Governance”�  AlleVorgabenundImplementierungenvonOrganisationsstrukturen,

ProzessenundAbhängigkeiten,diefürdie(IT-)OrganisationseinheitendesUnternehmenszurDurchführungdervonihnenverantwortetenAufgabenerforderlichsind.“[Goecken2016]-  PrimäraufLinienstrukturenundGremienfokussiert

§  „(IT-)Compliance“�  DieBefolgungoderEinhaltungvonRegeln,GesetzenundVorschriften

-  IT-ComplianceisteinTeilbereichderComplianceaufderGesamtunternehmensebene,dersämtlichegesetzlicheundandereregulatorischeVorgabenhinsichtlichdesbetrieblichenEinsatzesvonITadressiert.[Strasser2012]

-  PrimäraufProzesseundderenAbsicherungsmaßnahmenfokussiert

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY EIN PAAR DEFINITIONEN


ECC2019

§  GovernanceundCompliancewerdendurcheineReihevonRegelwerkenumgesetzt,diesichi.d.R.anexternenVorgabenorientieren�  DieEinhaltungistgegenüberexternenGremiennachzuweisen�  Diesekönnensein:Finanzverwaltung(GoBD,HGB),Wirtschaftsprüfer(PSxxx),

Aufsichtsbehörden(prominentestesicherBaFinimFinanzdienstleistungs-bereich->MaRisk,BAIT),weiterebranchenspezifische

§  AlleMaßnahmendienenletztlicheinemHauptziel:MinimierungvonRisikenfürdasUnternehmen,u.a.�  FinanzielleRisiken(wiez.B.Eigenkapital,LiquiditätbeiBanken)�  Sicherheitsrisiken(wiez.B.UmweltsicherheitbeiProduktionsbetrieben)�  UmgangmitGeschäftsgeheimnissen

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY EXTERNE UND INTERNE REGELWERKE


ECC2019

§  IT-Securityistein(zunehmendwichtigerer)BestandteilderGovernance-undCompliance�  NichtnurinBezugaufdieklassischenIT-Themenwiez.B.

-  AuthentifizierungundAutorisierung-  ZugangsschutzzukritischenDaten-  Datensicherungen-  Notfallmanagement

�  OrganisatorischeAbsicherungvonIT-unterstütztenProzessen-  Sicherheits-ChecksfürMitarbeitermitkritischenPrivilegien(Administratoren)-  On-boardingneuerMitarbeiter(internundextern)-  Off-boardingvonMitarbeitern(geradeexterner!),dienichtmehrtätigsind-  VertraglicheRegelungenfürdieZeitwährendundnachderBeschäftigung

1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY IT-SECURITY UND GOVERNANCE/COMPLIANCE


ECC2019

§  EU-DSGVO�  Artikel25:DatenschutzdurchtechnischeundorganisatorischeMaßnahmen�  Artikel32:SicherheitderVerarbeitung

-  Vertraulichkeit,Integrität,VerfügbarkeitundBelastbarkeit-  NotwendigkeitzurEinführungeinesDatenschutz-Managementsystem(DSMS)

�  Artikel42:ZertifizierungderimplementiertenMaßnahmen-  Nachweiszwar„freiwillig“,aberimDatenschutzverletzungsfallsicherlichhilfreich-  IneinigenBranchenmittlerweileein„Muss“

§  IT-Sicherheitsgesetz�  2015FortschreibungdesBSI-Gesetzesvon2009�  AusweitungdesBegriffs„BetreiberkritischerInfrastrukturen“

-  SchließtjetztauchBetreibervonWeb-Angebotenmitein!

2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS VORGABEN DES GESETZGEBERS ZUR IT-SICHERHEIT


ECC2019

§  ISO/IEC2700x–internationalanerkannterStandardzurImplementierungeinesISMS�  ZertifizierungnachISO/IEC27001invielenBereichenheuteStandard�  ISO/IEC27001:2017–AufbauundWartungeinesISMS

-  Plan-Do-Check-Act-Ansatz:Konzept,Implementierung,Überprüfung,Optimierung

§  BSI-Grundschutz-Handbücher�  UmsetzungdesIT-SicherheitsgesetzesdurchentsprechendeHandbücher(200-1

bis200-4)unddiverseHandlungsempfehlungen-  wiez.B.geradezumMindestabstandgeoredundanterRechenzentrenvon5auf200km

�  EnthältwiederumReferenzaufISO/IEC27000

§  WeitereStandardsderWirtschaftsprüfer(insb.PS330)

2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS INTERNATIONALE UND NATIONALE GREMIEN ZUR STANDARDISIERUNG


ECC2019

2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS


Quelle:Gartner-MarketGuideforEndpointDetectionandResponseSolutions,November2018

BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)

ECC2019

§  Predict/Analyse-Phase�  Definierender„Außengrenzen“

-  „Perimeter“-  DurchmultipleCloudsnichteinfachergeworden

�  FestlegungderkritischenAssets-  ZusammenspielmitDataGovernance

�  ErmittelnderGesamt-Bedrohungslage-  Schutzbedarfsanalyse

�  AufstellungeinesSicherheitsplansmitorganisatorischenundtechnischenAnsätzen

2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)


ECC2019

§  Prevent/AufbauaktiverAbwehrmaßnahmen�  IsolierungeinzelnerNetz-Zonen�  Firewall-Topologie

-  Backland-Firewalls�  Angriffsabwehr

-  DDoS-  IntrusionDetection-  Virenscanner/Malware-Abwehr

�  Zugangssysteme-  “IAM”–IdentityandAccessManagement-  Multi-Faktor-Authentifizierung



ECC2019

§  Detect/ÜberwachungderProzesse�  Logging–„Nichtabstreitbarkeit“�  Datenfluss-Überwachung

-  „DLP“–DataLossPrevention-  Insbesonderedort,woDatendieUnternehmenssphäreverlassenkönnen

�  ErmittlungungewöhnlichenVerhaltens-  „SIEM“–SecurityInformationandEventManagement

-  „UEBA“–UserandEntityBehavioralAnalytics

�  ZunehmendEinsatzvonKI-Methoden



ECC2019

2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL: DATA PROTECTION PLATFORM (DIGITAL GUARDIAN)

04.04.2019ComplianceundIT-Security16Quelle:DigitualGuardianDataProtectionPlatform

Analytics/UEBAAnalyse-,Workflow-undReporting-Cloud-ServiceWorkspaces

SaaSfürEchtzeitberichte,Ereignis-AnalysenbenutzerdefinierteDashboardsu.Berichte

ManagementConsoleKonfigurationu.BereitstellungvonAgenten,

VerwaltungRichtlinienu.VerteilunganAppliancesundAgenten

ApplicationsDataDiscovery,DataClassification,DLP,EDR,

UEBA,CloudDataProtectionAgent

ÜberwachungSystem-,Benutzer-,Daten-AktivitätAppliance

ÜberwachungNetzwerkKommunikation,Datenbanken,StorageRepositories,Cloud

ECC2019

§  Respond/MaßnahmenbeiSicherheitsvorfällen�  ImRahmenvonSIEMundITIL-Incident

ManagementdasDurchlaufendefinierterProzesse-  VermeidungweitererSchäden-  WiederherstellungeinesgesichertenZustands

�  ErmittlungderSicherheitslückenundBeteiligter-  „Forensik“

�  KontinuierlicheOptimierung



ECC2019

§  TypenundMotivevonAngreifern:�  EigeneUnterhaltung�  TesteigenerFähigkeiten�  Ruhm�  Rache�  Sicherheitsproblemeaufdecken�  TestlauffürgrößerenAngriff�  ErpressungvonGeld�  Spionage

-  Wirtschaftsspionage-  PolitischeSpionage

�  Sabotage

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ ANGREIFER UND IHRE MOTIVE


Quelle:SchulungIT-Sicherheit-mitunsdigital,März2019

ECC2019

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ BITKOM-STUDIE 2017 (BETRACHTUNGSZEITRAUM 2 JAHRE)


Quelle:https://www.bitkom.org/sites/default/files/pdf/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf

ECC2019

§  „[…]Menschen[…],dieinUnternehmenundOrganisationengezieltundmitVorsatzdoloseHandlungendurchführen.InnentäterkönnendurchAngreifergezieltinOrganisationenpositioniertwordenseinoderMenschenwerdendurchverschiedeneUmständezuInnentätern.“[Grützner/Jakob2015inBKA-Innentäter-Studie]

§  AbgrenzungzuMitarbeitern,dieunfreiwilligHandlangervonAngreifernwerden:�  SchwachePasswörter�  Phishing�  KorrumpierteWebsites�  UngeprüfteexterneDatenträger�  VermischungPrivat/Firma

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ DEFINITION


ECC2019

§  AlleAbwehr-Technik(„Prevent“)versagtbeiSocialEngineering�  „SocialEngineeringistderVersuch,unterAusnutzungmenschlicher

EigenschaftenZugangzuKnow-howzuerhalten.DerAngreifernutztdabeiDankbarkeit,Hilfsbereitschaft,Stolz,Karrierestreben,Geltungssucht,BequemlichkeitoderKonfliktvermeidungaus.DabeibietenhäufigsozialeNetzwerkeoderauchFirmenwebseitenMöglichkeiten,umsichaufseinOpfergründlichvorzubereiten.“(DefinitiondesVerfassungsschutzesBrandenburg)

�  SEfunktioniert,weilnormalemenschlicheEigenschaftenausgenutztwerden.

§  Aber:UEBA/SIEM-Werkzeuge(„Detect“)könnenHinweisegeben,z.B.�  AuffälligesVerhaltenwieRemote-LoginzuungewöhnlichenZeiten�  ZugriffaufsonstniebenutzteDaten,dienichtzumeigenenArbeitsbereich

gehören(aberfürdenMitarbeiter–ggf.fälschlich–erreichbarsind)

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ SOCIAL ENGINEERING ALS ANGRIFFS-STRATEGIE


ECC2019

Echtzeit-ThreatIntelligencezurIdentifizierungvonBedrohungeninnerhalbundaußerhalbdeseigenenNetzwerks.

§  DatenausMillionenvonQuellenimInternetsowieimDeepundDarkWebwerdenerfasst,verarbeitetunddiefürUnternehmenrelevantenInformationenextrahiert.

§  AlsService,z.B.Blueliv.

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ BEOBACHTUNG NICHT NUR DER EIGENEN SPHÄRE (BLUELIV)


Blueliv:VerwaltenvonCyberrisikenfürRisikomanager

ECC2019

§  IT-SicherheitdurchGovernance/Compliance�  SchonBewertungbeimBewerbermanagement

-  BKA-RichtlinienfürkritischePositionen(Administratoren)einsetzen

�  KlareArbeitsvertragsregelnfürneueMitarbeiter,dieauchSicherheitsthemenregeln-  vorallemindenletztenWochenvorundnachdemAusscheiden-  HoheAbschreckungs-VertragsstrafenauchnachBeschäftigungsende

�  KlareRegelwerkeauchfürdasManagement-  Abwehrvonz.B.„CEOFraud“funktioniertnurso!-  „GanzdringendeundgeheimeAngelegenheit“und„malebenGefallentun“sindauchfürManagertabu!

-  MindestensVier-Augen-PrinzipundvereinbarteBestätigungskanäle

3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ NUR KOMBINATION GOVERNANCE/COMPLIANCE MIT TECHNIK HILFT


ECC2019

§  DieBedrohung–auchvonInnen–nimmttendenziellzu!�  JüngereManagerweltweitnehmenunethischesVerhaltenfürErfolginKauf

-  Wefoundthatrespondentsunder35yearsofagearemorelikelytojustifyfraudorcorruptiontomeetfinancialtargetsorhelpabusinesssurviveaneconomicdownturn,with1in5youngerrespondentsjustifyingcashpaymentscomparedto1in8respondentsover35.[EY-Studie2018]

§  Fazit:NureinganzheitlicherAnsatzvonTechnikundOrganisationimZusammenspielkanndieSicherheitsrisikenderGegenwartundZukunftzumindestmindern!

§  WichtigsterAnsatz:Sensibilisierung,SchulungenundSchaffungeines“gesundesMisstrauens”–undimmerwiedereigene„Angriffe“

§  “Compliancehasaroleinthefirstlineofdefense.”[EY-Studie2018]

4 – FAZIT UND EMPFEHLUNGEN TECHNIK UND ORGANISATION IM ZUSAMMENSPIEL


Quelle:Ernst&Young-15thGlobalFraudSurvey2018-https://fraudsurveys.ey.com/ey-global-fraud-survey-2018/

©2019BorchersBfIHamburg

FRAGEN UND KOMMENTARE WILLKOMMEN!


Quelle:https://pixabay.com/de/vectors/mikrofon-audio-musik-h%C3%B6ren-159768/

ECC2019

KONTAKT


MarinaDöhling [email protected]@cat-out.comwww.cat-out.com

MARKETINGUNDVERTRIEB

Dipl.-Math.JensBorchersSr.ExecutiveConsultant

[email protected]

COMPLIANCE UND IT-SECURITY · 2019. 4. 15. · Unternehmens zur Durchführung der von ihnen...

Documents

Transcript of COMPLIANCE UND IT-SECURITY · 2019. 4. 15. · Unternehmens zur Durchführung der von ihnen...