Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)

Survival-Kit für IT-Verantwortliche

Prof. Dr. Hannes LubichFachhochschule Nordwestschweiz

224.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Wie sicher muss ein KMU sein? Ein „Survival-Kit“ für IT-

Verantwortliche

324.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Motivation

424.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Inhaltsverzeichnis

• Umgang mit Risiken

• Technische IT-Risken

• Organisatorische IT-Risiken

• Rechtliche / regulatorische Risiken

524.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Antike Gesellschaften Schicksal durch „die Götter“ vorbestimmt

Mittelalter

Neuzeit aktives, abstraktes Risiko-Management

Zukunft Vorhersagen, Derivate, Chaos Theorie

Historische Entwicklung des Risikoverständnisses

ZählenMessenStatistik

WahrscheinlichkeitVersicherungs-

modelle

Arabische Zahlen (0)Cardanoda Vinci

PascalFermat

Bernoulli‘sLeibniz

GaussLaplaceKeynes

von Neumann

624.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Was ist ein “Risiko”?

• Ein Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance). Was als Schaden oder Nutzen aufgefasst wird, hängt von Wertvorstellungen ab.

• „Management“ des Risikos durch Vermeidung, Übertragung, Begrenzung, Akzeptanz, Ignoranz

• Abhängig von Risikotyp und Risikokultur

724.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Beurteilungskriterien

• Ausmass des Schadens• Eintrittswahrscheinlichkeit• Grad der Ungewissheit• Grad der eigenen Einflussnahme• Geographische Ausbreitung und zeitliche Ausdehnung

des Schadens• Mögliche Umkehrbarkeit des Schadens• Verzögerung zwischen dem ursprünglichen Ereignis und

späteren Folgen• Gesellschaftlichen Reaktionen

824.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Risiko-KlassenNur Risiko

AbstraktKonkret

Chance & Risiko

http://www1.chinadaily.com.cn/en/doc/2003-08/18/xinsrc_9027bce6352648cfaecde7b866d84a27_18p5-1.jpg

924.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

IT-Risikoquellen / -ziele

Wer?• Extern:

– Hacker / Cracker– Informationssammler– Kriminelle Personen oder

Organisationen– Aufklärungsdienste– Partner / Kunden– Konkurrenten– Fanatiker / Terroristen– Militär

• Intern:– Unzufriedene Mitarbeiter– Lieferanten / Wartung– System Spezialisten– Kriminelle– Unvorsichtige Mitarbeiter

Was?• Zerstörung von Daten und

Konfigurationen• Ausspähen / Diebstahl von

Informationen oder Software• Verfälschung / Einspeisen von

Falschinformation• Verweigerung oder Verzögerung von

Zugriff oder Auslieferung (denial of service)

• Bedrohung der ordnungsgemässen Geschäftsausübung– Finanz. Verlust– Haftung– Regulation– Image

1024.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Technische IT-Risiken

1124.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Technische IT-Risiken

• Identitätsdiebstahl• Nicht-Anlagen / Nicht-Auswerten von Logs• Sperrung von Inhalten / Zugriffen für MA• Integration von Privat-/Fremdgeräten• Mobile Arbeitsplätze / Heimarbeitsplätze• Nutzung externer Dienste (Sourcing, SaaS)• Diebstahl von geistigem Eigentum

1224.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Organisatorische IT-Risiken

1324.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Organisatorische IT-Risiken

• Secuity Policies: Kontrolle, Durchsetzung und Sanktionierung

• Bewusstseinsbildung / -förderung

• Geschäftsweiterführung im Krisenfall

1424.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Rechtliche / regulatorische IT-Risiken

1524.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Rechtliche / regulatorische IT-Risiken

• Sorgfaltspflicht und Haftung gemäss OR

• Umgang mit schützenswerter Information (eigene, fremde), Aufbewahrungsfristen etc. gemäss DsG, GeBüV

• Zukünftig noch höhere Regulationsdichte

1624.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Zusammenfassung / Wie weiter?

1. Feststellung der geltenden Rechtsnorm2. Festlegung der schützenswerten Güter3. Festlegung der relevanten Risiken4. Festlegung des gewünschten Sollzustandes5. Soll / Ist Vergleich6. Massnahmenplan & Finanzierung7. Fortschrittskontrolle und –kommunikation8. Zyklische Neubeurteilung Soll / Ist

1724.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

1824.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW

Fachhochschule NordwestschweizHochschule für TechnikInstitut für Mobile und Verteilte Systeme

Prof. Dr. Hannes P. LubichDozent für ICT System ManagementSteinackerstrasse 5, CH-5210 Windisch

T: +41 56 462 4758 (direkt)hannes.lubich@fhnw.ch

www.fhnw.ch

Besten Dank für Ihre Aufmerksamkeit

www.fhnw.ch

Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)Wie sicher muss ein KMU sein? � Ein „Survival-Kit“ für IT-Verantwortliche MotivationInhaltsverzeichnisHistorische Entwicklung des RisikoverständnissesWas ist ein “Risiko”?BeurteilungskriterienRisiko-KlassenIT-Risikoquellen / -zieleTechnische IT-RisikenTechnische IT-RisikenOrganisatorische IT- RisikenOrganisatorische IT-RisikenRechtliche / regulatorische IT-RisikenRechtliche / regulatorische IT-RisikenZusammenfassung / �Wie weiter?Foliennummer 17Besten Dank für Ihre AufmerksamkeitDer TEFO-Nachmittag!Foliennummer 20