IT-Sicherheitsgesetz: Auswirkung auf die Praxis

15
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 1 Dr. Keye Moser, SIZ GmbH IT-Sicherheitsgesetz: Auswirkung auf die Praxis Management Forum Halle 10, it-sa 2017, 11.10.2017

Transcript of IT-Sicherheitsgesetz: Auswirkung auf die Praxis

Page 1: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 1

Dr. Keye Moser, SIZ GmbH

IT-Sicherheitsgesetz:

Auswirkung auf die Praxis

Management Forum Halle 10, it-sa 2017, 11.10.2017

Page 2: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 2

Unsere 185+ Mitarbeiter setzen seit 1990 Maßstäbe in Informationssicherheits- und eBanking-Standards …

… sowie seit 2010 auch im

Beauftragtenwesen

Page 3: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 3

Sicherer IT-Betrieb: "Trusted Product ISO 27001 Tool"

Produktfamilie für den Aufbau und Betrieb von ISO 27001-konformen

Informationssicherheits-Managementsystemen

Sicherer Datenschutz

Produktfamilie zur Unterstützung des Datenschutzbeauftragten

Geschäftsfortführungsplanung / BCM und IT-Notfallplanung

Dokumentationswerkzeug mit vorgefüllten Templates und automatisierten Verfahren

S-CERT (Computer Emercency Response Team)

Services zum Management von Schwachstellen und IT-Sicherheitsvorfällen

Auditmodule für sicherheitsrelevante Themen enthalten:

Checklisten zur Identifikation von Schwachstellen

Bewertungsschema zur Risikoeinschätzung und Ergebnisdarstellung

Sicherheitsleitfäden für gängige IT-Systeme

Wir haben ein breites Produktportfolio zur Informationssicherheit und Notfallplanung

Page 4: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 4

Unser Portfolio an Audit-Modulen deckt die wesentlichen Umgebungen ab und wird kontinuierlich ausgebaut (Stand 09/2017)

Betriebssystem-Audits

UNIX-Betriebssysteme

- AIX 5.2 / 5.3 / 6.1 / 7.1

- Solaris 8 / 9 / 10 / 11

- Red Hat Enterprise Linux 6 / 7

Microsoft-Betriebssysteme

- Windows Server 2008 / 2008 R2

- Windows Server 2012 / 2012 R2

- Windows Server 2016

- Windows 7 / 7 SP1 / 10

Virtualisierung

- Citrix-Terminalserver

- Citrix XenApp 7

- Citrix XenServer 6 / 7

- VMware vSphere 4 / 5.x / 6

Mobile-Systeme

- PDA

- iPhone/iPad iOS 8 / 9 / 10

- Blackberry 10

Netzwerk

- Cisco IOS

Storage

- Storage universal

SAP

- SAP Basissystem

- SAP HR/HCM

- SAP NetWeaver Portal

- Delta AIX für SAP

- Delta Oracle für SAP

Büroanwendungen

- Microsoft Office 2010 / 2013

- Adobe Reader X / XI

- Adobe Flash ab 9.x

Anwendungs-Audits

Datenbanken

- IBM DB2 LUW (Linux, Unix, Windows) 10.x

- Microsoft SQL Server 2008 / 2008 R2

- Microsoft SQL Server 2012 / 2014

- Oracle 10g / 11g / 12c

- RDBMS allgemein

Webserver

- Apache Webserver 1.3 / 2.x

- Apache Tomcat 6 / 7

- Microsoft Internet Information

Services (IIS) 7.5

- Microsoft SharePoint 2007

- Microsoft Office SharePoint Server 2010

- Microsoft SharePoint Server 2013

E-Mail / Groupware

- Microsoft Exchange-Server 2010

- Microsoft Exchange-Server 2013 / 2016

- Lotus Notes 8.x / Notes 9.x

Browser

- Microsoft Internet Explorer 8 / 9 / 10 / 11

- Firefox 45 ESR / 52 ESR

- Google Chrome

Übergeordnete Audits

Schutz vor Malware

Content-Security

SPAM

LAN-Sicherheit

TK-Anlage und VoIP

Page 5: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 5

Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche der Informationssicherheit und der Notfallplanung ab

Beratung zum Einsatz / Härtung von Systemen

Beratung zur Dienstleistersteuerung

Aufbau /Optimierung Geschäftsfortführungsplanung / BCM

und IT-Notfallplanung

Konzeption und Durchführung von Notfallübungen

Durchführung von Audits, Penetrationstests, Sicherheitsanalysen

Aufbau / Optimierung von Informationssicherheits- und

IT-Risiko-Managementsystemen

Zertifizierung von Informationssicherheits-Managementsystemen

Langfristunterstützung des Informationssicherheits-Managements

Outsourcing Datenschutzbeauftragter

IT-Sicherheit

IT-Risiko

Page 6: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 6

„Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

(IT-Sicherheitsgesetz)“ vom 17.07.2015

Ziel: Sicherstellung der Funktionsfähigkeit der „Kritischen Infrastruktur“ der

Bundesrepublik Deutschland → „Versorgungssicherheit“ steht im Fokus

Betrifft 7 Sektoren mit hoher Bedeutung für das Funktionieren des Gemeinwesens :

Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit,

Wasser, Ernährung, Finanz- und Versicherungswesen

Das IT-Sicherheitsgesetz ist eine Novelle, d. h. Änderungsgesetz anderer Gesetze.

Betroffen sind u. a.:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik BSIG

Telemediengesetz TMG

Telekommunikationsgesetz TKG

Was ist das IT-Sicherheitsgesetz

Page 7: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 7

Diensteanbieter müssen (soweit technisch möglich und zumutbar):

Schutz vor unerlaubtem Zugriff auf die genutzten technischen Einrichtungen

Schutz vor Verletzungen des Schutzes personenbezogener Daten

Schutz vor Störungen durch äußere Angriffe

Vorkehrungen entsprechend Stand der Technik

Gültigkeit: Seit 2015, keine Übergangsvorschriften.

Folgerung:

Systeme aktuell halten, patchen, aktuelle Verschlüsselungsalgorithmen einsetzen usw.

Änderung im Telemediengesetz: Praktische Auswirkungen

z. B. jeder Webseiten-Betreiber

Page 8: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 8

„Zuständigkeit für KRITIS beim

BSI“, die bisherige öffentliche

Aufsicht bleibt bestehen wie

zuvor.

→ z. T. droht „Doppel-Aufsicht“

Von den KRITIS-Betreibern wird ein

Informationssicherheits-Management

gefordert

„… Vorkehrungen zur Vermeidung von

Störungen der Verfügbarkeit, Integrität,

Authentizität und Vertraulichkeit“ der

genutzten kritischen

„informationstechnischen Systeme,

Komponenten oder Prozesse. …“

Angemessenheit: „Stand der Technik“

vs. Verhältnismäßigkeit

Änderungen BSIG: Neue Aufgaben für das BSI und für die Betreiber kritischer Infrastrukturen!

Page 9: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 9

Bei Überschreiten der Schwellwerte:

Gemäß BSIG ist angemessen sicher zu stellen,

dass Störungen der

Verfügbarkeit,

Integrität,

Authentizität und

Vertraulichkeit

der maßgeblichen kritischen IT-Systeme,

-Komponenten und –Prozesse vermieden

werden.

Einige Sektoren sind ausreichend reguliert,

d.h.: keine Anwendung des Gesetzes

(z. B. Energieversorger,

Telekommunikationsbranche)

„Rest der Welt“:

Das Näheres ist in der zugehörigen

Rechtsverordnung (KritisV) festgelegt.

Darin sind branchen- bzw.

sektorenspezifisch betroffene

Prozesse/Bereiche und Schwellwerte

genannt

Wer ist betroffen?

Page 10: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 10

1. mindestens alle zwei Jahre dem BSI durch

Sicherheitsaudits, Prüfungen oder

Zertifizierungen die Erfüllung der Vorgaben

nachweisen.

Dies schließt die Meldung aufgedeckter

Sicherheitsmängel ein.

2. potentielle oder bereits eingetretene

Sicherheitsvorfälle an das BSI melden.

Was bedeutet das?

Praktische Hilfe zur Umsetzung

Neben dem BSIG gilt natürlich die sonstige

branchenspezifische Regulierung weiter.

Um die Vielfalt der Anforderungen

beherrschen zu können, empfiehlt sich die

Umsetzung eines Informationssicherheits-

Standards wie z. B. ISO 27001, am besten

zusätzlich angereichert um die zusätzlich

bestehende Regulierung.

KRITIS-Betreiber müssen …

Page 11: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 11

Ganzheitlicher Ansatz zum Informationssicherheits- und IT-Risikomanagement

IS-Lifecycle-Prozessunterstützung

Nachschlagewerk für Gesetze, Normen,

Compliance-Themen

werkzeuggestützte Dokumentationsplattform

Risikoorientierter Ansatz

Harmoniert mit gängigen Standards wie

ISO/IEC 27001:2013,

COBIT,

BSI Schichtenmodell,

IDW,

ITIL

Relevante nationale Regulierung

Das Produkt „Sicherer IT-Betrieb“ deckt alle Anforderungen an die Informationssicherheit vollständig ab

Durch KPMG geprüft:

Konformität in Bezug auf

COBIT Security Baseline

Details siehe

http://www.kpmg.de/bescheinigungen/

requestreport.aspx?30969

Page 12: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 12

Sicherheit

Sicherheits-

investition

Verbleibende

Risiken

Kosten

Optimum

Gesamtkosten

Dabei müssen Kosten, Nutzen, Anwendbarkeit und Risiken kontinuierlich austariert werden.

„Bequemlichkeit“

Page 13: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 13

Kontinuierliche Weiterentwicklung des Produkts und Aktualisierung der Inhalte seit

über 15 Jahren

Berücksichtigung der Änderungen aus Gesetzen, Standards, Technik und Best Practice

Informationssicherheits-Management auf Basis „Sicherer IT-Betrieb“

wurde inzwischen bei über 450 Unternehmen im In- und Ausland

(Sprachen: Deutsch und Englisch) etabliert. Hierzu gehören:

Unternehmen aus unterschiedlichen Branchen

Rechenzentren

Sparkassen, Banken und Landesbanken

(öffentliche) Versicherungen

(Finanz-)Dienstleister: Bausparkassen, Investmentgesellschaften, Leasinggesellschaften, …

„Sicherer IT-Betrieb“ ist ein erprobtes System für das Informationssicherheits-Management

Page 14: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 14

Unsere erprobten und effizienten Lösungen führen Sie schnell zu einer Informationssicherheits-Baseline, die bedarfsgerecht ausgebaut werden kann

Gesetzes-Konformität

Konformität zu relevanten Standards

angemessene und erprobte Grundlage

zur Zertifizierung

praktikabel für den IT-Betrieb

Anforderungen:

ISMS-Baseline: Sicherer IT-Betrieb

Optimierung der Sicherheit (optionale Maßnahmen)

Zertifizierung

Definition

ISMS-Scope

ISMS-Prozess und

Organisation

Inventar der

IT-Werte

Basis-Analyse der

IT-Risiken

Basis-Reports für

IT-Risiken

Soll-Ist-Vergleich

& Risiken

Maßnahmen-

plan

BCM / BCP

(Planung/Test)

IT-Notfall

(Planung/Test)

CERT

Support für

Interne Revision IT-System- Audits

Penetrations-

tests

Page 15: IT-Sicherheitsgesetz: Auswirkung auf die Praxis

11,16 11,19

4,27

6,26

GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 15

Vielen Dank für Ihr Interesse!

SIZ GmbH

Simrockstr. 4

53113 Bonn

Telefon: +49 (228) 4495 73 66

Telefax: +49 (228) 4495 75 55

Mobil: +49 151 16230383

[email protected]

www.siz.de

Dr. Keye Moser Diplom-Physiker, CGEIT, CISM

Leiter Sicherheitstechnologie