Cyber Security für den Mittelstand · 2016/17 gegenüber 2015/16 zurückgegangen TECHNIK 2017 54%...
Transcript of Cyber Security für den Mittelstand · 2016/17 gegenüber 2015/16 zurückgegangen TECHNIK 2017 54%...
© Cyber-Security, VdS Schadenverhütung GmbHEin Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de
Cyber Security für den Mittelstand Unterstützung durch VdS Schadenverhütung und
praktische Erfahrungen aus der Praxis
ECO/nrwUnit
VdS Schadenverhütung GmbH
30.06.2017 Bochum / G-Data
Christian Schottmüller
Folie 2
Geschichte von VdS
VdS Schadenverhütung GmbH • Cyber-Security • Folie 3
Ansatz von VdS:
den Versicherern praktische Unterstützung bei der Umsetzung zu bieten und
das Konzept der VdS 3473 Richtlinie bei den Versicherern als Baustein ihres eigenen
Produktportfolios für die Kunden nutzbar zu machen.
Gemeinsames Ziel: Steigerung der IT Sicherheit im Mittelstand
Vorteile für den Mittelstand
Cyber Security Konzept für umsetzbare und angemessene IT Sicherheit
wird von der Versicherungswirtschaft akzeptiert
I - Informieren
S - Sensibilisieren
M - Motivieren
S - Strukturieren
Die Versicherungsbranche - GDV- VdS
Folie 4
Überblick
VdS Cyber Konzept
Akzeptanz am Markt
Erste Quick-Check Auswertungen
Quick Audit / Zertifizierungen
Risikoanalysen
Assistance Leistungen
Folie 5
Das VdS Cyber-Konzept
Folie 6
Akzeptanz im Markt
• 80 anerkannte VdS Cyber-Berater
• Verschiedene Systemhäuser schulen nach 3473
• Makler
• Versicherer
• Banken
Cyber-Berater / Systemhäuser
Finanz- und Versicherungs-
wirtschaft
• Verschiedene Zertifizierungen durchgeführt
• Zahlreiche Quick-Audits durchgeführt
• Quick-Check wird als Gesprächsöffner genutzt (ca. 2000 qualifizierte Bewertungen)
• Letztes Jahr zahlreiche Schulungen bei VdS
• Enge Zusammenarbeit mit GDV
Unternehmen/ Verbände
• VdS 3473 sowie Quick-Check ins Englische übersetzt
International
Folie 7
News 2017
• Insgesamt 10 Lehrgangstermine bei VdS (Informationssicherheitsbeauftragter und VdS 3473)
• Durchführung von Inhouse-Schulungen
• VdS 3473 um Anforderungen für die Prozess-und Automatisierungstechnik erweitert
• Einführung VdS Quick-Check Automatisierungstechnik
Schulungen
Weiter-entwicklung
• Viele Anfragen von Behörden
• Unternehmen mit Prozess- und Automatisierungstechnik
Unternehmen
• VdS Quick-Check in Englisch verfügbar
• VdS Richtlinie 3473 auch ins Englische übersetzt
International
Folie 8
Quick-Check
Folie 10
Ergänzender Quick-Check ICS
für produzierende Unternehmen
VdS bietet einen zusätzlichen Quick-Check für
produzierende Unternehmen an
Beide Checks in deutsch und englisch verfügbar
Folie 11
Vorstellung VdS Quick-Check
39 Fragen – kostenlos - Ergebnisbericht
Folie 12
Struktur des VdS Quick-Checks Insgesamt 2000 valide Ergebnisse (März 2015-Mai. 2017)
ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge
58%2017
TECHNIK Mobile Geräte Software Netzwerke IT-Systeme
62%2016
PRÄVENTION Sicherheitsvorfälle Umgebung Datensicherung Ausfälle
58%2016
MANAGEMENT IT-Outsourcing und Cloud
Computing
29%2016
FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57%2016
57%2017
59%2017 46%2017
Folie 13
Im Teilbereich „Organisation“ besteht
weiterhin Nachholbedarf
ORGANISATION
58%2017
46%2016
Organisation der Informations-sicherheit
Richtlinien
Personal
Zugänge
60%
51%2016
70%2016
Der Merkmalsblock „Organisation der Informationssicherheit“ erreicht weiterhin den geringsten Reifegrad.
Insgesamt deutlich solider aufgestellt sind die Teilnehmer beim Umgang mit Zugängen zu Systemen.
Merkmalsblöcke:
FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57%2016 49%2017
59%2017
51%2017
71%2017
2016
Folie 14
Im Teilbereich „Technik“ ist der Reifegrad
2016/17 gegenüber 2015/16 zurückgegangen
TECHNIK
54%2017Mobile Geräte
Mobile Datenträger
Netzwerke
IT-Systeme
53%2017
67%2017
55%2017
Der Reifegrad zur IT-Sicherheit stellt die teilnehmenden Unternehmen mit Blick auf mobile Geräte und mobile Datenträger nicht zufrieden.
In der IT-Sicherheit gibt es weiterhin Optimierungspotenziale mit Blick auf die Merkmale „IT-Systeme “. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard.
Merkmalsblöcke:
FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
57%2017
57%2016
2016: nicht abgefragt
68%2016
54%2016
62%2016
Folie 15
Der Teilbereich „Prävention“ erreicht einen
durchschnittlichen Reifegrad
PRÄVENTION
32%Sicherheitsvorfälle
Umgebung
Datensicherung
Ausfälle
78%2017
80%2017
44%2017
Der Merkmalsblock „Sicherheitsvorfälle“ erreicht zusammen mit dem Merkmalsblock „Ausfälle“ auch in 2016/17 einen nicht zufriedenstellenden Reifegrad.
Merkmalsblöcke:
FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
59%
201758%
31%
80%2016
78%2016
43%2016
2016
2017
2017
2016
Folie 16
Der Teilbereich „Management“ findet keine
ausreichende Beachtung
MANAGEMENT
IT-Outsourcing und Cloud Computing
Der Reifegrad der teilnehmenden Unternehmen hat sich zwar verbessert, ist jedoch mit Blick auf die Merkmale „IT-Outsorucing und Cloud-Computing“ auch in 2016/17 nicht zufriedenstellend.
Merkmalsblöcke:
FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt
46%2017
46%201729%2016
29%2016
Folie 17
Ergebnis der zweiten Auswertungswelle:
Kaum messbare Veränderung!
Klassische Themen, wie die (analoge) Umgebungs-Sicherung sowie die Backup- und IT-Sicherungstechnik, werden von den meisten Unternehmen beherrscht.
Starke Schwächen existieren beim Umgang mit Sicherheitsvorfällen, bei Managementausfällen sowie bei der Integration des Personals und der IT-Dienstleister.
Nur von den wenigsten Firmen werden systematische Risikoanalysen durchgeführt.
Neue Themen wie Cloud-Computing und der Umgang mit mobilen Geräten werden noch nicht systematisch bearbeitet.
Fazit: Informationssicherheit wird vom Management immer noch nicht ausreichend thematisiert. Informationssicherheit endet bei den meisten Unternehmen in den IT-Abteilungen – ein firmenweiter Ansatz existiert häufig nicht.
Folie 18
Quick-Audit / Zertifizierung
Folie 19
Überblick der Auditstufen
Doku-menten-
CheckPrüfung Ergebnis Check-Up
ja Audit Zertifikat jährlich
ja Audit Testat nein
neinSelbst-
auskunftBericht nein
Kompatibel zu ISO 27001
Folie 20
Cyber-Risikoanalyse
Folie 21
Cyber-Risikoanalyse VdS
Workshop
• Anpassung des Risikoberichts auf das Versicherungs-unternehmen
1. Desk Report
• Mittelstand
• Auswertung von Fragebögen (Quick-Check, Wertschöpf-ungskette)
• ggf. Risikodialog
2. Vor-Ort Risikoanalyse
• Industrial
• Risiko-dokumentation
• Cyber-Loss-Prävention-Report
Folie 22
Assistanceleistungen
Folie 23
Assistanceleistung
Telefon Hotline - 24/7
Vor-Ort-Service – max. 100 Km
Quick Intervention
Ziel
Schadenanalyse
Schnelle Herstellung des Regelbetriebs / Notbetriebs
Vermeidung / Begrenzung BU
und weiterer Folgeschäden
Wer macht´s?
Assistanceleistung
Folie 24
Anforderungen:
Kompetenz
Vielseitigkeit
Erreichbarkeit
Präsenz
Verfügbarkeit
Partnerschaften
Zertifizierungen
Wirtschaftlichkeit
Forensik: i.d.R. eigenes Kompetenzfeld
Auswahl Verfahren
Folie 25
ca. 80 Systemhäuser/Berater im Bestand (R 50 – 100 km in BRD)
Vertragsverhältnis zwischen VU/Systemhaus
Assistance - Datenbank beim GDV
Folie 26
Unsere Dienstleistungen
Folie 27
Unsere Dienstleistungen
AusgelagerteRestrisiken:Cyber- PoliceVersicherung
Folie 28
Und jetzt…
Folie 29
Kategorien für Schadenarten/Deckungsbausteine
Direkte Cyberschäden
• Betriebsunterbrechungsschaden• Schäden durch Computerbetrug• Schäden durch Erpressung• Schäden durch Industriespionage• IT-Sachschäden• Schäden durch unkontrollierten
Mittelabfluss bei E-Payment• Wiederherstellungsaufwand für
Produktionskomponenten• Wiederherstellungsaufwand für
IT-Komponenten• Wiederherstellungsaufwand bei
Nichtverfügbarkeit von Komponenten
Schäden aus Krisenmanagement
• Kosten für Krisenberatung• Kosten für Rechtsberatung• Kosten für Cyber-Forensik• Reaktionskosten• PR-Kosten• Informationskosten• E-Discovery• Monitoring Kosten zur eigenen
Kreditwürdigkeit
Haftungsschäden
• Schäden aus Datenschutz und Vertraulichkeitsverletzungen
• Schäden bei Haftungsansprüchen im Medienbereich
• Haftungsansprüche durch Verursachung von Drittschäden
• Haftungsansprüche aus Abfluss von intellektuellem Kapital
• Haftungsansprüche aus E&O• Strafzahlungen und Bußgelder
Cyber-Risiken für Schadenarten/Deckungsbausteine
Folie 30
Dipl.Kfm Christian Schottmüller
Manager Vertrieb
Kooperationen Cyber Security
VdS Schadenverhütung GmbH
Amsterdamer Str. 172
50935 Köln
Tel.: 0221- 7766 372
www.vds.de
Impressum