(Microsoft PowerPoint - 2015-08-27 Vortrag ...

Hinterher ist man immer schlauer …wie Sie späte Einsicht vermeiden.

Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime27.08.2015

DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 2

Vorstellung

DATATREE AG

Beratung von Unternehmen und öffentlichen Stellen

– bei der Einführung von Datenschutzkonzepten und IT-Sicherheitsleitlinien

– bei der Umsetzung konkreter Maßnahmen und Dienstvereinbarungen im Bereich Datenschutz und IT-Sicherheit

– bei der Sicherstellung durch entsprechende Kontrollmechanismen

Prof. Dr. Thomas Jäschke

– Vorstand der DATATREE AG und externer Datenschutzbeauftragter für Unternehmen

– Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management GmbH

– mehr als 20 Jahren Expertise in Datenschutz und Datensicherheit


Überblick – Themen des heutigen Vortrages

InformationssicherheitsmanagementGrundlagen & Definitionen

Informationssicherheitsmanagement in der Praxis

Organisation des Informationssicherheitsmanagements

Quellen und weiterführende Links


Datenschutz

� schützt natürliche Personen vor Verletzungen ihrer Persönlichkeitsrechte

� Personenbezogene Daten, NICHT Firmeninterna, Patente …

� Basis ist das Grundgesetz,aus dem sich das Bundesdatenschutzgesetz ableitet

InformationssicherheitsmanagementGrundlagen und Definitionen

Datensicherheit

� ist der Schutz der Hardware, Software, IT-Infrastruktur vor Missbrauch, unberechtigten Zugriffen, Diebstahl, Verlust, höherer Gewalt.

� ALLE Daten eines Unternehmens

� Neben Maßnahmen der IT-Sicherheit auch Maßnahmen wie z.B. Sicherung der Gebäude, Notstromversorgung

GemeinsamkeitenInteressenskonflikte



Informationen … sind interpretierte Daten, nicht nur in digitaler oder

elektronischer Form.

Informationssicherheit ist…

Aufrechterhaltung der Vertraulichkeit,Integrität und Verfügbarkeit von Informationen¹

• Sie beinhaltet IT-Sicherheit als Leistungsdomäne

• Berücksichtigt zusätzlich weitere Themen, z.B.:

– Strategie, Compliance, Prozesse

– Techn. und org. Maßnahmen

• Fokus auf Schutzbedarf

¹(ISO/IEC 27001)

IT- Sicherheit

Informationssicherheit



Rechtliche Vorgaben durch (Auszug)

• Bundesdatenschutzgesetz (BDSG)

• Telekommunikationsgesetz (TKG)

• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

• Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme(IT-Sicherheitsgesetz)

• Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)

• ggf. Gesetze anderer Länder … bspw. US-GesetzeSarbanes-Oxley Act (u.a. IT-Compliance), US Patriot Act



Technische Vorgaben durch

• IT-Grundschutz-Kataloge und BSI-Standards 100-1 bis 100-4 vom Bundesamt für Informationstechnik (BSI)

• ISO/IEC 27001

– beschreibt Anforderungen an ein ISMS-Managementsystem

– ermöglicht Zertifizierung

– zu 100% kompatibel mit IT-Grundschutzkatalog, erweitert diesen

– für international tätige und börsennotierte Unternehmen geeignet

• IT Infrastructure Library (ITIL)

– Sammlung dokumentierter IT Best Practice

– Meist verwendete Dokumentation bei Absicherung von informationsverarbeitenden Einrichtungen



IT-Grundschutzkataloge – Empfehlungen von Methoden, Prozessen und

Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen

Bausteine

Übergeordnete Aspekte

Infrastruktur

IT-Systeme

Netze

Anwendungen

Maßnahmen

Infrastruktur

Organisation

Hard-/Software

Personal

Kommunikation

Notfallvorsorge

Gefährdung

Elementare Gefahren

Höhere Gewalt

Menschliches Verhalten

Organs. Mängel

Technisches Versagen

Vorsätzliche Handlungen


Informationssicherheitsmanagementin der Praxis

Problemstellungen in vielen Unternehmen

• Historische Aufteilung von Verantwortlichkeiten

• Fehlendes Budget & personelle Ressourcen

• Informationssicherheit oft ein Lippenbekenntnis

• Rudimentäre Ausrichtung an Unternehmenszielen und -strategie

• Keine gemeinsame, unternehmensübergreifende Strategie –Zielsetzung

• Reduktion von Informationssicherheit auf IT-Sicherheit, Faktor Mensch bleibt unbeachtet

• Stetig steigende Anforderungen durch Gesetze und Compliance setzen andere Prioritäten als Unternehmen selbst



Erste Schritte - Situationsanalyse

� Gebäudesituation (Sicherung des Gebäudes, Räumlichkeiten, Umgang mit Besuchern, …)

� Organigramm, Hierarchie (Aufgaben, Zuständigkeiten, Rollenverteilung, externe Dienstleister, …)

� Vorhandene Berechtigungen (Admins, Mitarbeiter, leitende Angestellte, Geschäftsführung)

� Vorhandene Infrastruktur (Server, Netzwerke, Cloud/Hosting, Clients, Mobilgeräte, Anwendungen, Software …)

� Vorhandene Sicherheitsmaßnahmen (Firewall, Back-Ups, Brandschutz…)

� Richtlinien (Umgang mit Privatnutzung, E-Mails, Social Media, …)

TIPP: Strukturierung der Bestandsaufnahme im Unternehmen nachAnlage zu § 9 BDSG (technisch-organisatorische Maßnahmen)



Erste Schritte - Schutzbedarfsanalyse Welche Daten und Informationen liegen im Unternehmen vor und welchen Schutzbedarf haben sie im Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit:

1. Einstufung von Informationen und Daten in die Schutzbedarfskategorien normal– hoch – sehr hoch (Bsp. nach: Negative Außenwirkung, finanzielle Schäden, Verstoß gegen Gesetze …)

2. Formulierung von Schadensszenarien (maximale Schäden, Folgeschäden)

3. Feststellung des Schutzbedarfs der Anwendungen

4. Feststellung des Schutzbedarfs der IT-Systeme (Bsp. Verteilung, Abhängigkeiten …)

5. Feststellung des Schutzbedarfs der Kommunikation (Außenverbindung, Weitergabe vertraulicher Daten …)

6. Schutzbedarf der IT-Räume

7. Identifikation eines besonders hohen Schutzbedarfes



Die nächsten Schritte – Modellierung

Erstellung eines Maßnahmen-Kataloges anhand der IT-Grundschutz-Kataloge, z.B. einem Schichtenmodell („Layer“):

• Übergreifende Aspekte (Personal, Organisation, Informationssicherheitsmanagement, Outsourcing …)

• Infrastruktur (Gebäude, Verkabelung, Home Office-Modelle, Schutzschränke …

• IT-Systeme (Server, Client, Hosts …)

• Netze (Kommunikationsnetze, WLAN, Internet, …)

• Anwendungen (Office-Programme, E-Mail, Datenbanken …)



Die nächsten Schritte – SicherheitscheckPrüfung der im Modell festgelegten Maßnahmen, inwieweit diese im Unternehmen

• umgesetzt

• teilweise umgesetzt

• nicht umgesetzt

• entbehrlich

sind.

Zu ergreifende Maßnahmen:

• Auswahl der verantwortlichen Ansprechpartner (u.a. auch Hausdienste ...)

• Durchführung eines Soll-Ist-Vergleichs ggf. anhand von Stichproben

• Dokumentation der Ergebnisse



Die nächsten Schritte – Realisierung der Maßnahmen

• Sichtung des Basischecks – welche Maßnahmen sind bereits umgesetzt, welche nicht?

• ggf. Anpassung der Sicherheitsmaßnahmen an neu festgestellten Sicherheitsbedarf, Umsetzbarkeit etc.

• Kosten- und Aufwandschätzung

• Festlegung der Umsetzungsreihenfolge der Maßnahmen, Priorisierung

• Festlegung der Verantwortlichkeiten

• Begleitung der Umsetzung durch Maßnahmen wie Information an die Mitarbeiter, Schulungen, Sensibilisierung der Mitarbeiter



… und im Anschluss …

• Aufrechterhaltung des Sicherheitsprozesses

• Prüfung des Prozesses auf Effektivität und Effizienz

• Kontinuierlicher Verbesserungsprozess

• Schaffung eines dauerhaften Sicherheitsbewusstseins bei den Mitarbeitern durch wiederholte Schulungen

• Ansprechpartner für die Probleme der Mitarbeiter im Alltag sein

• Aufnahme von Sicherheitsvorfällen in Prozess

• Zertifizierung (wer möchte …) nach BSI, ISO 27001 …


Organisation des Informationssicherheitsmanagement

Strategische Ausrichtung

• Integration Top-Level Management

• Ausrichtung an Unternehmenszielen und -strategie

• Anpassung von Firmenkultur und -philosophie

Organisatorische und betriebliche Maßnahmen

• Verfahrens- und Arbeitsanweisungen

• Sicherheitsbewusstsein schaffen – Awareness

• Betriebsprozesse standardisieren, dokumentieren



Der Informationssicherheitsbeauftragte oder Chief Information Security Officer (CISO) ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Unternehmung.

Aufgaben: (Auszug)

• Schutzbedarfsanalyse

• Steuerung und Dokumentation des Informationssicherheitsprozesses

• Formulierung einer IS-Richtlinie

• Regelungen zur Informationssicherheit zu erlassen(Notfallplan, Sicherheitskonzept, usw.)

• sicherheitsrelevante Projekte zu koordinieren

• Kontrollinstanz der IT-Sicherheit

• Prüfung der getroffenen Maßnahmen bezüglich gesetzlicher Anforderungen bes. in Bezug auf Datenschutz



Aufbauorganisation

• der Berichtsweg findet direkt zurGeschäftsführung/Chief Executive Officer (CEO) statt

• CISO kann als Stabsstelleeingerichtet werden

• der CISO ist nicht dem CIO unterstellt

• Sicherung und Risikomanagementaller Informationswerte (Assets)eines Unternehmens sind die Aufgabendes CISO

• IT-Security ist eine Untermenge der Aufgaben eines CISO

CEO

CISO CIO



Gemeinsame Kompetenzen für Datenschutz und Informationssicherheit

• beide Rollen schließen sich nicht aus

• Aspekte der Personalunion:

– Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden

– konfliktträchtige Themen ggf. noch nachrichtlich an die Revision weiterleiten

– ausreichend Ressourcen für die Wahrnehmung beider Rollen

• Erfüllungsgehilfen

• qualifizierter Vertreter


Zusammenfassung

• Sicherheitsbewusstsein muss gestärkt werden

– Firmenkultur und –philosophie

– Einbindung der Mitarbeiter

• Klare Verantwortlichkeiten bei Geschäftsführung, CISO und Mitarbeitern

• Kontinuierlicher Prozess erforderlich

Wie Sie späte Einsicht vermeiden

• Informationssicherheitsmanagement wird zunehmend zu einem der wichtigsten Erfolgsfaktoren von Unternehmen

• Schaffung entsprechender Strukturen unabdingbar – und möglich


Quellen und weiterführende Links

• Leitfaden Informationssicherheit

IT-Grundschutz-Profile „Anwendungsbeispiel für den Mittelstand“

IT-Grundschutz-Profile „Anwendungsbeispiel für eine kleine Institution“

u.v.m.: www.bsi.bund.de

• Leitfaden zur Informationssicherheit in kleinen und mittlerenUnternehmen, hrsg. IT-Beauftragter der Bayrischen Staatsregierung

www.bihk.de

• Informationssicherheit für KMUhrsg. Bayrischer IT-Sicherheitscluster e.V.

www.muenchen.ihk.de („Einstiegsmodell“)

• Anlage zu § 9 BDSG technisch-organisatorische Maßnahmen(Auftragsdatenverarbeitung), Muster erhältlich z.B. unterwww.gdd.de oder www.bitkom.org

Bei Rückfragen stehen wir Ihnen gerne zur Verfügung:

DATATREE AGHeubesstraße 1040597 Düsseldorf

Tel. (0211) 931 907 10| Fax (0211) 931 907 99 [email protected] | www.datatree.eu

Vielen Dank für Ihre

Aufmerksamkeit!

(Microsoft PowerPoint - 2015-08-27 Vortrag ...

Documents

Transcript of (Microsoft PowerPoint - 2015-08-27 Vortrag ...