Cyber Security der Brandschutz des 21....

© Markus Edel, VdS Schadenverhütung GmbH Ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de

Cyber Security – der Brandschutz

des 21. Jahrhunderts

oder

VdS 3473 – Der Cyberstandard für KMU

CeBIT, 21.03.2017 © 2017 Markus Edel , VdS Schadenverhütung GmbH


Situation

http://www.faz.net/aktuell/wirtschaft/unternehmen/jede-woche-6000-cyberangriffe-gegen-vw-

14393188.html


Cyber-Security – Ein Thema für VdS

Aufbau des Systems

VdS 3473

Ergänzungen und Erfahrungen

VdS-Assistance-Netzwerk

VdS Quick-Check

Agenda


Gestern und Heute


VdS als Tochterunternehmen des GDV nah an der

Versicherungswirtschaft

Versicherer sehen Herausforderungen für KMU

Versicherer suchen Lösungen für die Risikobewertung

Versicherer suchen Lösungen für die IT-Versicherung bei

KMU und evtl. Assistanceleistungen

Cyber-Security – Thema für VdS


Gesetzgebung (IT-Sicherheitsgesetz Kritische Infrastrukturen)

Insbesondere KMU zunehmend im Fokus der Angreifer

Risiken: Marktposition - Reputation - Kosten

Überlebenswichtig: Vermeide die Betriebsunterbrechung

Cyber-Security – Thema für die Wirtschaft


Daraus abgeleitete Ziele:

Fokus: Schutzniveau des Mittelstandes (KMU) anheben

IT-Risiken der KMU für Versicherer und andere

Interessensgruppen bewertbar machen

Ziele


Marktsituation IT-Security

?


Die kleinen und mittleren Unternehmen (KMU) umfassen in

Deutschland

rund 99,7 % aller umsatzsteuerpflichtigen Unternehmen,

in denen knapp

65,8 % aller sozialversicherungs-pflichtigen Beschäftigten

angestellt sind,

rund 37,5 % aller Umsätze erwirtschaftet werden sowie

rund 83,0 % aller Auszubildenden ausgebildet werden.

Quelle: ifm Bonn

KMU bislang nicht adressiert! Aber:



?


Überblick

Doku-menten-

Check Prüfung Ergebnis Check-Up

ja Audit Zertifikat jährlich

ja Audit Testat nein

nein Selbst-

auskunft Bericht nein

Kompatibel zu ISO 27001


Jung: Erstveröffentlichung 07/2015, erstes Zertifikat 12/2015

Kurz: 28 Seiten Vorgaben (so wenig wie möglich, so viel wie nötig)

Frei: Keine konkreten technischen Vorgaben

Allgemeingültig: Passt für alle Branchen/Organisationen

Kompatibel: Als Teilmenge

zu BSI Grundschutz,

ISO 27001 und BDSG

Kostengünstig zu

implementieren

VdS 3473 Eigenschaften


VdS 3473 Aufbau


VdS 3473 Inhaltsübersicht

Kapitel Kapitel

1. Allgemeines (Unterschied SOLLTE, MUSS) 10. IT-Systeme und ff. der Begriff „Basisschutz“

2. Normative Verweise (u.a. BSI 100-2 bis -4, ISO 9001, 22301, 31000)

11. Netzwerke und Verbindungen

3. Glossar 12. Mobile Datenträger (Risiko, Schutz, Verlust)

4. Organisation der Informationssicherheit 13. Umgebung (Server, akt. Komponenten, Leitungen)

5. Leitlinien zur Informationssicherheit 14. IT-Outsourcing und Cloud-Computing (Verträge)

6. Richtlinien zur Informationssicherheit 15. Zugänge und Zugriffsrechte (Administration)

7. Personal (vor, während, nach der Beschäftigung) 16. Datensicherung und Archivierung (Technik, Verfahren)

8. Wissen (Aktualität, Weiterbildung) 17. Störungen und Ausfälle

9. Identifizierung kritischer IT-Ressourcen 18. Sicherheitsvorfälle (Erkennen, Reaktion)


VdS 3473

Kapitel Themen

4. Organisation der Informations-sicherheit

- Verantwortlichkeiten - Verantwortung des Topmanagements - Informationssicherheitsbeauftragter (ISB) - Informationssicherheitsteam (IST), Zusammensetzung - IT-Verantwortlicher - Ggf. Datenschutzbeauftragter - Administratoren - Vorgesetzte mit Personalverantwortung - Personal - Projektverantwortliche (zum ISB) - Lieferanten und sonstige Auftragnehmer


VdS 3473

Kapitel Themen

6. Richtlinien zur Informations-sicherheit

- Notwendig zur Unterstützung und Konkretisierung der IS-Leitlinie - Für wen, warum, Ziel, keine Kollision mit anderen IS-LL oder IS-RL,

Hinweis auf Konsequenz bei Nichtbeachtung - Zwingend erforderlich für

- Nutzer (Generelle Nutzung, private Nutzung, Abwesenheit, Missbrauch)

- Lieferanten und sonstige Auftragnehmer - Mobile IT-Systeme - Mobile Datenträger - Datensicherung - Störungen und Ausfälle - Sicherheitsvorfälle


VdS 3473

Kapitel Themen

9. Identifizierung kritischer IT-Ressourcen

- Welche Ressourcen? Prozesse, Informationen, IT-Systeme, mobile Datenträger und Verbindungen, Individualsoftware

- Wie? Über Business Impact Analyse CIA – Confidentiality, Integrity, Availability

oder deutsch: Vertraulichkeit, Unversehrtheit, Verfügbarkeit - Dreh- und Angelpunkt:

- Eine Ressource ist als kritisch einzustufen, wenn ihre Beeinträchtigung zu katastrophalen Schäden (s. Abschnitt 3 „Glossar“: an Leib/Leben, zentralen Geschäftsprozessen, zentralen Unternehmenswerten, Rechtskonformität, Schadenshöhe) führen kann

- IT-Systeme, mobile Datenträger und Verbindungen sind dann kritisch, wenn sie kritische Informationen verarbeiten, speichern oder übertragen


VdS 3473

Kapitel Themen

10. IT-Systeme und im Folgenden der Begriff „Basisschutz“

- Inventarisierung, Lebenszyklus - Basisschutz: Festlegungen zu Updates, Beschränkung des

Netzwerkverkehrs, Protokollierung, externe Schnittstellen, Schutz vor Schadsoftware, Starten von fremden Medien, Authentifizierung, Zugriffsbeschränkungen

- Zusätzliche Maßnahme für mobile IT-Systeme (IS-RL, Schutz, Verlust) - Zusätzliche Maßnahme für kritische IT-Systeme (Notbetrieb,

Robustheit, etc.)


VdS 3473

Kapitel Themen

11. Netzwerke und Verbindungen

- Dokumentation, Pläne - Aktive Netzwerkkomponenten: sind IT-Systeme, siehe Abschnitt 10 - Netzübergänge (physikalisch, protokolliert, administriert) - Basisschutz - Zusätzliche Maßnahmen für kritische Verbindungen


VdS 3473

Kapitel Themen

17. Störungen und Ausfälle

- IS-Richtlinie - Reaktion

- Überblick - Gegenmaßnahmen - Dokumentation - Beweissicherung - Schadensbehebung - Nachbereitung

- Zusätzliche Maßnahmen für kritische IT-Systeme - Wiederanlaufpläne - Abhängigkeiten untereinander


VdS 3473 Anhang 1 für produzierendes Gewerbe

Verfügbarkeitsanforderung steht im Vordergrund

Echtzeit-Datenverarbeitung

getrennte IT-Verantwortliche für Office- /Produktions-

umgebung

geänderte / zusätzliche Anforderungen

an Netzwerktrennung, Zugänge, Schutz

vor Schadsoftware, Fernwartung

teilweise geändertes Wording



Erfahrung im Krankenhausbereich (BSI-KRITIS 2017)

auch Vertraulichkeit im Vordergrund (NDAs)

Zugriff auf Medizintechnik oft nur administrativ möglich

Schutz vor Schadsoftware? (Embedded systems)

Patchmanagement nicht durchgängig möglich

Verbot durch Hersteller

Verfügbarkeitsanforderung

ggf. physikalische Risiken für

Serverräume / Etagenverteiler



Der Mittelstand braucht Unterstützung und

passende Lösungen

VdS 3473 auf dem Weg zum Branchenstandard

für KMU-Cyber-Security

Quick-Check und Quick-Audit als Einstieg und zur

Risikobewertung

Alle Richtlinien kostenlos als Download verfügbar unter

https://vds.de/cyber/

Zusammenfassung


Assistanceleistungsangebot für die Versicherer

Telefon Hotline

Vor-Ort-Service

Quick Intervention

Ziel

Schadenanalyse

Schnelle Herstellung des Regelbetriebs / Notbetriebs

Vermeidung / Begrenzung BU

und weiterer Folgeschäden

Wer macht´s?

Assistanceleistung


Anforderungen:

Kompetenz

Vielseitigkeit

Erreichbarkeit

Präsenz

Verfügbarkeit

Partnerschaften

Zertifizierungen

Wirtschaftlichkeit

Forensik: i.d.R. eigenes Kompetenzfeld

Auswahl


ca. 80 Systemhäuser/Berater im Bestand (R 50 – 100 km in BRD)

Vertragsverhältnis zwischen VU/Systemhaus

Zusätzliche Geschäftsmöglichkeit für Sie?

Assistance-Datenbank für VU


Vorstellung VdS Quick-Check

www.vds-quick-check.de

39 Fragen – kostenlos - Ergebnisbericht


Ergänzender Quick-Check ICS für

produzierende Unternehmen

VdS bietet einen zusätzlichen Quick-Check für

produzierende Unternehmen an

Beide Checks in deutsch und englisch verfügbar

Insgesamt fast 2000 valide Ergebnisse (März 2015-Feb. 2017)


Struktur und aktueller Ergebnisstand

des VdS Quick-Checks – Stand März 2017

ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge

58% 2017

TECHNIK Mobile Geräte Software Netzwerke IT-Systeme

62% 2016

PRÄVENTION Sicherheitsvorfälle Umgebung Datensicherung Ausfälle

58% 2016

MANAGEMENT IT-Outsourcing und Cloud

Computing

29% 2016

Farblegende Grün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

57% 2016

57% 2017

59% 2017 46% 2017


Im Teilbereich „Organsation“ besteht

weiterhin Nachholbedarf

ORGANISATION

58% 2017

46% 2016

Organisation der Informations-sicherheit

Richtlinien

Personal

Zugänge

60%

51% 2016

70% 2016

Der Merkmalsblock „Organisation der Informationssicherheit“ erreicht weiterhin den geringsten Reifegrad.

Insgesamt deutlich solider aufgestellt sind die

Teilnehmer beim Umgang mit Zugängen zu Systemen.

Merkmalsblöcke:


57% 2016 49% 2017

59% 2017

51% 2017

71% 2017

2016


Im Teilbereich „Technik“ ist der Reifegrad

2016/2017 gegenüber 2015/2016

zurückgegangen

TECHNIK

54% 2017 Mobile Geräte

Mobile Datenträger

Netzwerke

IT-Systeme

53% 2017

67% 2017

55% 2017

Der Reifegrad zur IT-Sicherheit stellt die teilnehmenden Unternehmen mit Blick auf mobile Geräte und mobile Datentärger nicht zufrieden.

In der IT-Sicherheit gibt es weiterhin Optimierungspotenziale mit Blick auf die Merkmale „IT-Systeme “. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard.

Merkmalsblöcke:


57% 2017

57% 2016

2016: nicht abgefragt

68% 2016

54% 2016

62% 2016


Der Teilbereich „Prävention“ erreicht einen

durchschnittlichen Reifegrad

PRÄVENTION

32% Sicherheitsvorfälle

Umgebung

Datensicherung

Ausfälle

78% 2017

80% 2017

44% 2017

Der Merkmalsblock „Sicherheitsvorfälle“ erreicht zusammen mit dem Merkmalsblock „Ausfälle“ auch in 2016/17 einen nicht zufriedenstellenden Reifegrad.

Merkmalsblöcke:


59%

2017 58%

31%

80% 2016

78% 2016

43% 2016

2016

2017

2017

2016


Der Teilbereich „Management“ findet keine

ausreichende Beachtung

MANAGEMENT

IT-Outsourcing und Cloud Computing

Der Reifegrad der teilnehmenden Unternehmen hat sich zwar verbessert, ist jedoch mit Blick auf die Merkmale „IT-Outsorucing und Cloud-Computing“ auch in 2016/17 nicht zufriedenstellend.

Merkmalsblöcke:


46% 2017

46% 2017 29% 2016

29% 2016


Zusammenfassung zur zweiten Auswertungswelle:

Kaum messbare Veränderung

Klassische Themen, wie die (analoge) Umgebungs-Sicherung sowie die Backup- und IT-Sicherungstechnik, werden von den meisten Unternehmen beherrscht.

Starke Schwächen existieren beim Umgang mit Sicherheitsvorfällen, bei Managementausfällen sowie bei der Integration des Personals und der IT-Dienstleister.

Nur von den wenigsten Firmen werden systematische Risikoanalysen durchgeführt.

Neue Themen wie Cloud-Computing und der Umgang mit mobilen Geräten werden noch nicht systematisch bearbeitet.

Fazit: Informationssicherheit wird vom Management immer noch nicht ausreichend thematisiert. Informationssicherheit endet bei den meisten Unternehmen in den IT-Abteilungen – ein firmenweiter Ansatz existiert häufig nicht.


er-Security

Dipl.-Ing. Markus Edel

Amsterdamer Str. 172

D - 50735 Köln

Tel. +49 (0) 221 7766 - 380

Fax. +49 (0) 221 7766 - 377

Mobil +49 (0) 172 8870047

https://vds.de/cyber/

Impressum

Cyber Security der Brandschutz des 21....

Documents

Transcript of Cyber Security der Brandschutz des 21....