Quelle: fotolia IT-Sicherheit für KMUs€¦ · • Gezielte Angriffe in sozialen Netzwerken...

IT-Sicherheit für KMUsSchutzschilde aufbauen und aufrechterhalten

IT-Sicherheit für KMUs IHK Duisburg 30.11.2016

Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 1

Quelle: fotolia

Ihr Referent

Dipl.-Ing. Uwe Freikamp

• Inhaber Ing.-Büro DaTeCom

• IT-Sicherheitsbeauftragter • Cyber-Security-Consultant• Datenschutzbeauftragter• EDV-Gutachter



Agenda

• Einführung• Aktuelle Bedrohungen• Wer sind die Täter – Was ist ihre Motivation?• IT-Sicherheit – Was ist das überhaupt?• Schäden durch mangelhafte IT-Sicherheit• IT-Sicherheit in der Cloud• Wie erreicht man IT-Sicherheit?• Praktische Umsetzung• Zusammenfassung



Aktuelle Bedrohungen




• Verschlüsselungs-Trojaner (Ransomware)



Quelle: fotolia


• Angriffe auf Web-Seiten




• Industrie-Spionage



Quelle: Hans-Jörg Walter


• Verlust / Diebstahl von IT-Geräten

„In 28 Prozent der befragten Unternehmen sind in den letzten zwei Jahren zum Beispiel Computer, Smartphones oder Tablets gestohlen worden"

Quelle: Studie des bitkom aus 2015

… und was ist mit den Geräten, die im Zug, Taxi etc liegen gelassen wurden?

„Rund 20.000 Handys bleiben jährlich in Zügen und an Bahnhöfen liegen“ Quelle: Zeitschrift Impulse 07/2015




• Ausspähen von Zugangsdaten (Phishing)



Quelle: Uwe Freikamp


• Diebstahl von Kundendaten



Quelle: datenschutzticker.de


• Gezielte Angriffe in sozialen Netzwerken (facebook & co)



Quelle: fotolia

„Ich habe 1.000 Kontakte! …und alle sind meine Freunde …“

Wer sind die Täter?



… und was ist ihre Motivation?

• Rache



Quelle: fotolia


• schnöder Mammon



Quelle: fotolia


• die dunkle Seite der Macht



Quelle: fotolia

Was ist überhaupt IT-Sicherheit?

• „IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informations-technik durch angemessene Maßnahmen geschützt sind.“



Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik):

Schäden durch mangelhafte IT-Sicherheit

• direkter finanzieller Schaden• Umsatz-/Gewinneinbruch • Produktionsausfall • Schadenersatzforderungen von Geschäftspartnern • Imageverlust • Existenzbedrohung• Ausfall kritischer Infrastrukturen

=> KRITIS => IT-Sicherheitsgesetz (2016)



Was gehört zur IT-Sicherheit?

• Hardware: Firewall, USV, Redundanz (Speicher, Cluster, Internet…)

• Software: Virenschutz, Backup, Verschlüsselung, VPN, SSL, https aktuelle Progr.- / OS-Versionen (XP!), Updates/Patches

Reicht das?NEIN!



Was gehört noch zur IT-Sicherheit?

• Organisatorische Maßnahmen (Auszug!):

Zugriffsrechte, Passwort-Wechsel Fernwartung, Fremdfirmen Datenträger-Handling (USB-Sticks!), Datenvernichtung! Schulung und Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Dokumentationen – Überblick



Was gehört zur IT-Sicherheit?



Quelle: Uwe Freikamp

IT-Sicherheit in der Cloud

Bereich

Zutrittskontrolle Stromversorgung Redundanz

Virenschutz Backup aktuelle Software Verschlüsselung



Cloud = (teilweises) Auslagern von Zuständigkeiten

Zuständigkeit

Cloud Cloud Cloud (+ Kunde)

Cloud + Kunde Cloud Cloud + Kunde Cloud + Kunde

IT-Sicherheit in der Cloud

Zugriffsrechte, Passwort-Wechsel Fernwartung, Zugriff durch Fremdfirmen Datenträger-Handling (USB-Sticks!) Datenvernichtung! Schulung/Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Doku – Überblick



Kunde Cloud + Kunde Kunde Kunde Kunde Cloud + Kunde Cloud + Kunde Kunde Kunde

Bereich Zuständigkeit

Verantwortung für die IT-Sicherheit

• Die Verantwortung liegt immer bei Ihnen!

• Wer haftet, wenn etwas schief geht?Der Vorstand bzw. die Geschäftsführung!

• Daher gilt:

IT-Sicherheit ist Chef-Sache!



Merksätze der IT-Sicherheit

IT-Sicherheit entsteht nicht von allein!

IT-Sicherheit kostet Geld!

… aber man kann sie nicht kaufen!

100%-ige Sicherheit gibt es nicht!



Ist IT-Sicherheit statisch?

• Die Bedrohungen verändern sich!

• Das Unternehmen verändern sich!Neue Mitarbeiter, Kunden, Lieferanten, Technologien

• Ihre Geschäftsprozesse verändern sich!Neue Produkte, Verfahren, Vertriebswege

• Maßnahmen müssen daher regelmäßig angepasst werden

• IT-Sicherheit ist kein Zustand sondern ein Prozess!



Schritte im Prozess der IT-Sicherheit

Initiierung Analyse Dokumentation Planung Umsetzung Überwachung Anpassung

Was benötigt man dafür?



Informations-Sicherheits-Management-System (ISMS)

• Management-System:Systematische, geplante Herangehensweise an das Erreichen von Unternehmenszielen und die Umsetzung der Unternehmenspolitik.



Quelle: fotolia

PDCA

PlanDoCheckAct

Überblick über ISM-Systeme (Auszug)

• BSI Grundschutzursprünglich entwickelt vom BSI für deutsche Behörden

• ISO/IEC 27001International anerkannte Norm für Organisationen aller Größen

• ISIS12InformationsSIcherheitsmanagementSystem in 12 Schrittenentwickelt in Bayern für KMUs

• VdS 3473Entwickelt vom VdS (Verband deutscher Sachversicherer) Fokus auf KMUs



Aufwand für die Implementierung



Gemeinsamkeiten aller ISM-Systeme

• Audits (intern oder extern)

• Zertifizierung(nur durch externe Auditoren)

• Fortlaufende Überwachung (intern oder extern)

• Re-Zertifizierung alle 2-5 Jahre (nur durch externe Auditoren)



Ziel der IT-Sicherheit

Ein angemessenes Sicherheitsniveau

Was ist denn angemessen?Kommt d´rauf an ….

kleiner Web-Shop (Nebenerwerb)

Rechtsanwaltskanzlei mit E-Akte

Steuerberater mit ständiger Internet-Anbindung

Medizinisches Labor als Dienstleister für 500 Arztpraxen

Handelsplattform amazon



Vorgehensweise (am Beispiel VdS 3473)



Quelle: VdS Schadensverhütung GmbH

Umsetzung der VdS 3473 (6-Phasen-Modell)

Phase 1 - Start

Phase 2 - Vorbereitungen

Phase 3 - Grundanforderungen

Phase 4 - Basisschutz

Phase 5 - Kritische Teile der IT-Infrastruktur

Phase 6 - Überführung in den Betrieb



Zusammenfassung

Die Bedrohungen im IT-Bereich sind vielfältig

Alle Unternehmensgrößen sind betroffen

Es gibt unterschiedliche Tätergruppen und Motivationen

Schäden können existenzbedrohend sein

IT-Sicherheit ist primär eine organisatorische Aufgabe

IT-Sicherheit ist Chefsache!

Cloud-Nutzung löst keine Sicherheits-Probleme

IT-Sicherheit ist kein Zustand sondern ein Prozess!

ISM-Systeme helfen bei der Umsetzung



IT-Sicherheit für KMUs

Vielen Dank für Ihre Aufmerksamkeit!

Noch Fragen?

Kontaktdaten: [email protected] 02151 / 523 84 61



Quelle: fotolia IT-Sicherheit für KMUs€¦ · • Gezielte Angriffe in sozialen Netzwerken...

Documents

Transcript of Quelle: fotolia IT-Sicherheit für KMUs€¦ · • Gezielte Angriffe in sozialen Netzwerken...