DATENSICHERHEIT IM UNTERNEHMENReferat im Rahmen von VDWF-„voll wild“ am 27.09.2016

Jürgen ReinhardBetrieblicher Datenschutzbeauftragter

der BIKAR-METALLE GmbH

DATENSCHUTZ - DATENSICHERHEITGrundlagen und Definitionen

Quelle: ecommerce magazin

VIEL AUFREGUNG RUNDUM DEN YAHOO-HACK!Mindestens 500 Millionen Yahoo-Nutzer sind Opfer des Hackerangriffs geworden

1Daten sind unser privates Eigentum

Daten sind meist vertraulich und für Unternehmen ein entscheidender

Erfolgsfaktor.

2Datenschutz / Datensicherheit

Ihr Schutz steht deshalb ganz oben auf der Liste der Verantwortlichen und doch

gelangen immer wieder gewaltige Datensätze ins Dark Web.

3Daten bringen bares Geld

Das gilt auch für Benutzerdaten,

die sich jemand illegal verschafft.

4

Hohes Sicherheitsrisiko

Betroffen sind Namen, Geburtsdaten, E-Mail-Adressen, Telefonnummern aber

auch persönliche Angaben der User, etwa Sicherheitsfragen und Antworten, mit

denen normalerweise die Nutzer, aber nun eben auch die Hacker ganz einfach ein

Passwort zurücksetzen und ändern können.

52012: Datenpanne bei LinkedIn

Es konnten über 80 Prozent der Passwörter aus den LinkedIn-Konten geknackt

werden. So unglaublich es klingt: Mehr als 1,1 Millionen Nutzer verwendeten als

Passwort „123456“, fast 190.000 entschieden sich für „password“.

6Mitarbeitersensibilisierung – „Awareness“ (Bewusstsein / Aufmerksamkeit)

Wenn die Nutzer solche Passwörter wählen, ist die Wahrscheinlichkeit hoch, dass

sie die gleichen auch für verschiedene Benutzerkonten verwenden – vom Social-

Media-Portal bis hin zum Onlinebanking.

Datenschutz & Datensicherheit

[ ]

Quelle: Bitkom

COMPUTER-KRIMINALITÄTZahlen und Fakten zu e-Crime in Deutschland

68% 66% 60% 58% 58%

Automobilbau Chemie und

Pharma

Finanzen und

Versicherung

Gesundheit Medien und

Kultur

Computer-Kriminalität

Die am stärksten betroffenen Branchen in

Deutschland 2013-2014

28%

ITK-Geräte

17%

Sensible Daten

14%

Physische

Dokumente

Diebstahl

8%

Besprechungen,

Telefonate

8%

Elektronische

Kommunikation

Abhören

16%

Sabotage 19%

Social Engineering

Sonstige

Computer-Kriminalität

Die häufigsten e-Crime-Delikte

in Deutschland 2013-2014

Jedes zweite Unternehmen wurde in

den letzten zwei Jahren Opfer von

digitaler Wirtschaftsspionage.

21%nicht betroffen

28%vermutlich betroffen

51%betroffen

Anteile der betroffenen

deutschen Firmen bei

Datendiebstahl, Spionage

und Sabotage

Quelle: Computerwoche, BSI

PASSWORTSICHERHEITSicherer Schutz gegen Diebstahl im Internet

Passwort-Regeln

1 Passwort alle fünf Wochen wechseln

2 Passwort muss acht Zeichen

oder mehr enthalten

3Passwort muss Groß- und

Kleinbuchstaben, Zahlen und

Satzzeichen enthalten

4Jahreszahlen, Vornamen und

Buchstabenfolgen wie abc, 123, 111

oder qwertz sind unsicher

5Typische einfache Ausdrücke wie

"password" oder Login-Namen dürfen

nicht Bestandteil eines Kennworts sein

6 Passwörter dürfen nicht auf Zetteln in

Computernähe notiert werden

3% 3%

13%

40%

41%

■ Ich habe für jeden Dienst ein eigenes Passwort

■Ich habe mehrere Passwörter, aber ich benutze schon mal eines für mehrere Dienste

■ Ich benutze dasselbe Passwort für alle Dienste

■ Ich habe kein Passwort, ich nutze keinen Online-Dienst

■ Keine Angabe

Statistik: PasswortvergabeWeniger als die Hälfte der befragten Nutzer haben

für jeden Online-Dienst ein eigenes Passwort.

279.193

270.454

149.775

85.816

78.838

25.501

18.872

198.922

Webmailkonten

Handelsplattformen

Soziale Netzwerke

Banking

Internetshops

Internetanbieter

Reiseportale

Sonstige

Gestohlene Identitäten

und Passwörter Am häufigsten von Identitäts- und Passwortdiebstahl

betroffene Plattformen in Deutschland 2010

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-SICHERHEIT IN DEUTSCHLANDZahlen und Fakten zu digitalen Bedrohungen

Bedrohung 2011 2013 Prognose

DDoS ► ▲ ▲

Botnetze ▲ ► ►

Drive-by-Exploits ▲ ▲ ►

Schadprogramme ▲ ▲ ▲

Identitätsdiebstahl ▲ ► ►

Spam ► ▼ ►

▲ steigend ▼ sinkend ► gleichbleibend

GefährdungsbarometerEntwicklung von digitalen Bedrohungen nach

Einschätzung des Bundesamts für Sicherheit in der

Informationstechnik (BSI). 1DDoS-Angriffe mit Botnetzen

Stört die Erreichbarkeit von Webservern oder die Netzanbindung des

Unternehmens.

2Gezieltes Hacking von Webservern

Zur Platzierung von Schadsoftware oder für Spionageangriffe auf angeschlossene

Netze bzw. Datenbanken.

3Drive-by-Exploits

Schadsoftware-Infiltration über Werbebanner, um Kontrolle über die betroffenen

Computer zu übernehmen.

4Schadsoftware-Infiltration per Social Engineering

Phishing- und Spam-E-Mails mit dem Ziel der Übernahme des betroffenen

Rechners und anschließender Spionage.

5Spam oder Drive-by-Exploits

Verbreitung von Schadsoftware per E-Mail oder Webseiten mit Ziel des

Identitätsdiebstahls beim Opfer.

6Mehrstufige Angriffe

Datenmanipulation bei Sicherheitsdienstleistern oder zentralen

Zertifizierungsstellen, um dann die eigentlichen Ziele anzugreifen.

TOP 6 der Cyber-Gefährdungen

Quelle: Dell

CHECKLISTEfür den Einsatz von Firmen-Notebooks

□ Nur sichere Passwörter technisch erlaubt

□ BIOS-Setup-Passwort gesetzt

□ Authentifizierung vor dem Start von Windows

□ Login-Daten per „Trusted Platform Modul“ (TPM) geschützt

□ Zentrale Identity-Access-Management-Software (IAM) zur Verwaltung

□ Fingerabdruck- oder Smart-Card-Login implementiert

1Authentifizierung

□ Zugang zum Firmennetzwerk nur per VPN

□ SSL-Zertifikate aktuell und gültig

□ Backup aller Daten (ebenfalls verschlüsselt)

2Kommunikationsschutz

□ Backups aller Daten verschlüsselt durchführen

□ Verschlüsselung nach militärischen Sicherheitskriterien

□ Cloud-Datenaustausch über transparente Verschlüsselung

□ Festplatten-Verschlüsselung (Self-Encrypting Drive, SED) aktiviert

□ Datenverschlüsselung bei externen Medien (USB-Sticks)

3Datenverschlüsselung

□ Kapselung von Anwenderprogrammen

□ Automatische Software-Aktualisierungen aktivieren

□ Firewall eingerichtet und aktiv

□ Zentral verwaltete, aktuelle Antiviren-, Anti-Malware-Software aktiv

□ Firewall und Antivirus-Programm mit heuristische Erkennung verwenden

□ User-Rechte passend beschränkt

□ USB-Anschlüsse deaktiviert

4Malware-Schutz

Quelle: KPMG/e-Crime 2015

Durchschnittliche Schadenshöhepro E-Crime-Fall bei Unternehmen in Deutschland

128000.0 €

199000.0 €

241000.0 €

253000.0 €

337000.0 €

348000.0 €

584000.0 €

609000.0 €

Manipulation von Konto- und Finanzdaten

Computerbetrug

Systembeschädigung und Computer-Sabotage

Ausspähen oder Abfangen von Daten

Erpressung

Datendiebstahl

Verletzung von Urheberrechten

Verletzung von Geschäfts- und Betriebsgeheimnissen

Cybercrime teuer für

deutsche UnternehmenNach der Studie „e-Crime 2015“waren in

den letzten zwei Jahren 40 Prozent der

Unternehmen in Deutschland von

Computer-Kriminalität betroffen.

Gesundheit Aktien Malware Dating Betrug Produkte Erziehung Porno andere

Quelle: Trustwave Global Security Report

Zahlen und Fakten zu SpamVerteilung der Spam-Kategorien 2014 weltweit in Prozent

2008

92,6 %

2011 2014

Entwicklung: Spam-Anteil

an allen eingehenden

E-Mails von 2008 bis 2014

77,0 % 59,7 %Das Thema Gesundheit

nimmt bei Spam-Mails den

ersten Platz ein.

72,4%

7,5%6,0%

3,1% 2,3% 2,2% 1,9% 1,1%3,6%

Quelle: KPMG

Risiko Informations-Technologie:Private Internet-Nutzung in der Firma Umfrage zum Schadenspotential von Informationstechnologien 2012

64%

62%

52%

46%

39%

30%

16%

10%

Mobile Telekommunikation, z. B. auch E-Mail- bzw. Internet Nutzung auf mobilen Endgeräten

Mobile Datenträger, z. B. USB-Sticks, externe Festplatten

Soziale Netzwerke

Dienstliche E-Mail-Nutzung

Private Internet- und E-Mail-Nutzung, Online Banking, Online Shopping

„Bring Your Own Device“ (BYOD)

Internettelefonie, z. B. Skype

Nichts davon

Umfrage:Bei einer Umfrage von KPMG wurden 500 Führungskräfte in

deutschen Unternehmen gefragt:

„Welche der folgenden Anwendungen von

Informationstechnologie schätzen Sie als besonders

risikobehaftet für Ihr Unternehmen ein?“

74%

86%

Quelle: BT Global Services /Cisco 2013

Nutzung privater Geräte in FirmenNutzungsszenarien für „Bring Your own Device“-Anwendungen

Lesen dienstlicher E-Mails

67%

81% 52% 59%

22%

51%

37%

48%

Internetzugang für geschäftliche

Zwecke

Zugriff auf Unterlagen, die auf Firmen-

Servern liegen

Einsatz von frei verfügbaren Apps für

dienstliche Zwecke (Twitter, Facebook)

Nutzung von Unternehmens-Apps

(Termine, Meetings, Reisebuchungen)

International Deutschland

Quelle: Check Point Security 2013

Private Geräte in UnternehmenInformationen zu „Bring Your own Device“ am Arbeitsplatz

89%2012

93%2013

Vergleich: Anzahl der Mitarbeiter,

die persönliche mobile Geräte in

Firmennetzwerken nutzten

Sicherung von Firmeninformation

Kontrolle der Zugriffe auf Firmen- und

Privatnetzwerke

Geräte-Managment mit Firmen- und Privatdaten

Aktuelle Version von Betriebssystem und

Programmen

Sicherheitslösungen für alle verwendeten

Betriebssysteme

keine Herausforderungen

Herausforderung für Unternehmen beim Einsatz

von privaten Geräten im Firmennetzwerk

7%

14%

38%

59%

63%

67%

Quelle: Bitkom

IT-SICHERHEIT IN UNTERNEHMENInformationen zu Security-Maßnahmen in deutschen Firmen

50%21%

AuthentifizierungEin Umfrage der Bitkom zeigt: Große Unternehmen ab 500 Mitarbeiter

verwenden im hohen Maße Authentifizierungsverfahren. Nur 21 Prozent

der kleinen Firmen mit 10 bis 99 Beschäftigten setzen auf solche Technik.

VerschlüsselungDer Einsatz von Kryptoverfahren bei der

Kommunikation in deutschen Unternehmen

80% Netzwerkverbindungen

45% Daten auf Datenträger

40% E-Mail

29%

23%Absicherung gegen Datenabfluss

Angriffserkennungssysteme

Test auf AngriffeNur wenige Unternehmen setzen Technik

gegen den Datenabfluss und zum Erkennen

von Angriffen von außen ein.

Quelle: Check Point Security

MOBILE SICHERHEITFakten und Zahlen zum Einsatz mobiler Geräte

2%

3%

31%

43%

61%

82%

keine Bedenken

andere

Kosten für Ersatz des gestohlenen oder verlorenen Geräts

Verstoß gegen Vorschriften und damit verbundene Strafen

Informationen über Sicherheitslücken für zukünftige Angriffe

Verlust oder Diebstahl von InformationenSicherheitsbedenken

bei IT-ProfisEine Studie von Check Point Security

ermittelte, dass 98 Prozent aller

professionellen Anwender

Sicherheitsbedenken nach Verlust

oder Diebstahl mobiler Geräte

haben.

64%

30%

6%

ansteigend gleichbleibend sinken

Kosten für Security

bei Verlust mobiler GeräteBei den meisten Firmen steigen die

Kosten für die Sicherheit nach

Verlust von mobilen Geräten.

Jahr Android Blackberry iOS Windows Phone

2014 64% 4% 16% 16%

2013 49% 9% 25% 17%

2012 34% 16% 25% 29%

Sicherheitsrisiken nach mobilem BetriebssystemEntwicklung der letzten drei Jahre mit Anstieg des Risikos bei Android

Quelle: BKA

INTERNET-KRIMINALITÄTEntwicklungen und Zahlen in Deutschland

50.254

59.839 59.494

63.959 64.426

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

2009 2010 2011 2012 2013

Anstieg der Fälle von Cyber-CrimeDie vom Bundeskriminalamt erfassten Fälle von

Internet-Kriminalität in den Jahren 2009 bis 2013

2.276 2.524 4.544 10.857 12.766

2009 2010 2011 2012 2013

Datenveränderung und

Computer-Sabotage

11.491 15.190 15.726 16.794 15.909

2009 2010 2011 2012 2013

Ausspähen und Abfangen

von Daten

Quelle: Varonis

Menschlicher Faktor beim Einsatzprivater Geräte in Firmennetzwerken

Wie schützen sich

Unternehmen vor dem

Einsatz privater Geräte

im Unternehmen?

16%BYOD-Verbot

24%Verschlüsselung

57%Passwortschutz

35%Remote-Löschung

50%der befragten IT-Professionals sagen: Ein Mitarbeiter des

Unternehmens hat schon einmal ein Gerät mit wichtigen

Daten verloren.

22%der befragten IT-Professionals sagen: Ein verlorenes Gerät

mit wichtigen Daten verursachte eine Sicherheitsproblem

für das Unternehmen.

Quelle: Allianz Barometer 2015

Rang Risiko 2015 Rang 2014 Trend

1 Betriebs- und Lieferkettenunterbrechung 44% 1 (39%) -

2 Naturkatastrophen 28% 2 (29%) -

3 Feuer, Explosion 27% 3 (24%) -

4 Rechtliche Veränderungen 20% 5 (22%) ▲

5 Cyber-Kriminalität, IT-Ausfälle, Spionage, Datenmissbrauch 17% 9 (11%) ▲

6 Marktstagnation oder -rückgang 17% 4 (22%) ▼

7 Reputationsrisiken 15% 7 (14%) -

8 Politische/soziale Unruhen, Krieg 13% Neu ▲

9 Verschärfter Wettbewerb 13% 6 (16%) ▼

10 Diebstahl, Betrug und Korruption 11% 8 (12%) ▼

Risiken im Bereich IT-

Technologie machen den

befragten Unternehmen einer

Allianz-Umfrage die größten

Sorgen. Das Risiko stieg im

Vergleich zu 2014 um vier

Tabellenplätze.

TOP10

Unternehmens-Risiken

2015Europa, Afrika, Naher Osten (EMEA)

Quelle: Allianz Barometer 2015

Unternehmens-Risiken 2015-2020Europa, Afrika, Naher Osten (EMEA)

11%

15%

19%

21%

37%

Betriebs- und Lieferkettenunterbrechnung

Terrorismus, Krieg

Naturkatastrophen

Politische Riskien (Unruhen, Kriege)

Cyber-Risiken

Was sind die größten Unternehmens-Risiken in den nächsten fünf Jahren?Bei der Befragung durch die Allianz nahmen 516 Risikomanager und Experten im Bereich

Unternehmensversicherung aus 47 Länder teil. IT-Sicherheit führt dabei das Feld der erwarteten Risiken in den

nächsten fünf Jahren bei der Befragung an.

Die Prozentwerte geben den Anteil aller relevanten Antworten wieder (zwischen 225 und 280 Nennungen insgesamt). Mehrfachnennungen berücksichtigt.

SITUATIONSANALYSEInformationssicherheitsmanagement in der Praxis

SCHUTZBEDARFANALYSEInformationssicherheitsmanagement in der Praxis

MODELLIERUNGInformationssicherheitsmanagement in der Praxis

ZUSAMMENFASSUNGHinterher ist man immer schlauer … wie Sie späte Einsicht vermeiden.

Wie Sie späte Einsicht

vermeiden

• Informationssicherheitsmanagement wird

zunehmend zu einem der wichtigsten

Erfolgsfaktoren von Unternehmen

• Schaffung entsprechender Strukturen

unabdingbar – und möglich

Sicherheitsbewusstsein

muss gestärkt werden

– Firmenkultur und -philosophie

– Einbindung der Mitarbeiter

• Klare Verantwortlichkeiten bei Geschäftsführung,

CISO und Mitarbeitern

• Kontinuierlicher Prozess erforderlich

Ein Chief Information Security Officer (CISO) bezeichnet die

Rolle des Verantwortlichen für Informationssicherheit in einer

Organisation.

ENDE

Herzlichen Dank für Ihre

Aufmerksamkeit.