Überblick und Praxis - nrw-units.de · Security Awareness Koordinator (TÜV-Cert) Cyber-Security...

1 © Andreas Kirsch, Security Assist

Security Assist GmbH

Unsere Erfahrung Ihre Sicherheit

Informationssicherheit Überblick und Praxis

Andreas Kirsch, Security Assist GmbH




Zu meiner Person Jahrgang 1965, verheiratet, drei Kinder

30 Jahre in der Sparkassenorganisation tätig

Davon 16 Jahre als Leiter IT-Revision und stellv. Leiter Interne Revision

Mandantenprüfungen für 12 Sparkassen durchgeführt

Seit 2016 als Management Consultant bei der Firma Security Assist tätig.

Beratung & Dienstleistung zu Informationssicherheit

Dienstleistung IT-Revision / Datenschutz / ISMS

Schulungen / Security-Awareness / BCM / Durchführung von Audit‘s

Qualifikationen

Diverse Fachseminare an den Sparkassenakademien

T.I.S.P – Teletrust Information Security Professional

IT-Security Manager

Datenschutzauditor (TÜV-Cert)

Externer Datenschutzbeauftragter (TÜV-Cert)

Security Awareness Koordinator (TÜV-Cert)

Cyber-Security Berater (nach VDS 3473)

BSI-Multiplikator zum „Erwerb der zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG“




Sicherheitsmanagement Business Continuity Management Krisenmanagement

• Datenschutz

• Arbeitssicherheit

• Informationssicherheit

• Infrastruktursicherheit

• Security Awareness

• Geschäftsfortführung

• Wiederherstellung

• Notfallübungen

• Krisenbewältigung

Sicherheitsstrategie, -organisation und -prozesse

IT-Sicherheit Sicherheitstechnik Personelle

Sicherheitsdienstleistungen

• Gefahrenmeldetechnik

• Brandschutz

• Videoüberwachung

• Zutrittskontrolle

• Zeiterfassung

• Mechanische Sicherheit

• Objektschutz

• Empfangsdienst

• Geld- und Wertlogistik

• Kurier-/Belegguttransporte

• IT-Compliance

• IT-Revision

• Netzwerksicherheit

• Systemsicherheit

• Datensicherheit

• Content Security

oper

ativ

st

rate

gis

ch





Geschäftsfelder

Prüfung

Optimierung

Umsetzung

Strategie

* Personelle Sicherheitsdienstleistungen

IT-

Sic

he

rhe

it

Arb

eit

ss

ich

erh

eit

Vo

rbe

ug

en

de

r

Bra

nd

sc

hu

tz

Mensch - Technik - Organisation

Sicherheit

Geschäft

sfe

ld 1

Geschäft

sfe

ld 3

RZ-Sicherheit

Sicherheitstechnik

Arbeitssicherheit /

vorbeugender

Brandschutz

Hafensicherheit

IT-Sicherheit

PSD*

RZ

- S

ich

erh

eit

Ha

fen

sic

he

rhe

it

Geschäft

sfe

ld 4

Geschäft

sfe

ld 2

Geschäft

sfe

ld 5

Geschäft

sfe

ld 6

Sic

he

rhe

its

tec

hn

ik

PS

D*




Agenda

Begrüßung

Motivation für Informationssicherheit

ISO, BSI, ISIS12 und Co.

Informationssicherheit im laufenden Betrieb

Informationssicherheit in der Revisionspraxis

Prüffeld IT-Sicherheit




Informationssicherheit

Als Informationssicherheit bezeichnet man Eigenschaften von

informationsverarbeitenden und -lagernden Systemen, welche die

Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der

Vermeidung von Schäden und der Minimierung von Risiken.

In der Praxis orientiert sich die Informationssicherheit heute unter anderem an

der ISO/IEC Standard-Reihe 2700x

Begriffsdefinition

Quelle: Wikipedia




Die heutige Arbeitswelt




Risiken




Schäden




Beispiel




BSI Lagebericht 2016 / Bekannte Schadprogramme




Heise Online 21.10.2016

Wegen einer massiven DDoS-

Attacke sind die Services

großer US-Internetdienste,

darunter unter anderem Twitter,

Paypal, Netflix und Spotify,

am Freitagabend in Teilen der

USA und Europas zeitweise

nicht zu erreichen.

Das US-Unternehmen Dyn

teilte am Freitag mit, es

untersuche eine Reihe von

Angriffen auf seine DNS-

Infrastruktur.

Krebs‘ Spekulationen zielen in

die Richtung, dass Hacker ein

riesiges Botnet aus Smart

Devices aufgebaut haben

könnten.

Krebs‘ spricht davon, dass

schlecht abgesicherte Geräte,

etwa Überwachungskameras,

digitale Videorecorder und

private Router infiltriert worden

sein könnten.

Risiko: Das Internet der Dinge




Motivation für IT-Sicherheit

Eigeninteresse

Schutz von Informationen und Wissen

Schutz der Investitionen

Schutz der Infrastrukturen





Stakeholder (Personen, die Ansprüche an ein Unternehmen stellen)

Kunden: zuverlässige / verfügbare Service- oder

Dienstleistung

persönliche Daten des Mitarbeiters

Investoren fordern Corporate Governance

(Führung und Überwachung eines Unternehmens)





Internet der Dinge

BYOD

Big DATA

Digitale Sorglosigkeit

Windows XP

SPAM

Cyper-Kriminalität Social Engineering

Social Media

Malware

Ransomware

Gesetzliche Anforderungen

Wettbewerb

Externe Vorgaben




Begriffsdefinition

Ursache

Wirkung




Begriffsdefinition

Konzeptionelle IT-Sicherheit

(Informationssicherheit)

Operative IT-Sicherheit

(IT-Sicherheit)

https://de.dreamstime.com/lizenzfreies-stockbild-tauziehen-image1143506

Verteidigungslinien ??




Three lines of defence




Agenda

Begrüßung


ISO, BSI und Co.







ISMS, IT-Sicherheit, Standards....?

Müssen wir das machen?

Wo steht das geschrieben ?

Irgend jemand wird Ihnen garantiert mal diese Frage stellen.




Rechtliche Vorgaben / Pflicht oder Kür?

Risikoabsicherung Versicherungen, Eigenkapital (Basel II und Basel III)

Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG)

Datenschutz (EU-DSGVO, BDSG, Teledienstdatenschutz, TKG, etc.)

Allgemeine Geheimhaltungspflichten, Bankgeheimnis (KWG)

Auskunft- und Nachweispflichten (HGB, Steuerrecht, GoBD, etc.)

Sarbanes-Oxley Act (SOX)

IDW, FAIT,……




Informationssicherheit nach BSI

Ein angemessenes IT-Sicherheitsniveau kann daher in zunehmendem Maße

nur durch geplantes und organisiertes Vorgehen aller Beteiligten durchgesetzt

und aufrechterhalten werden.

Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von IT-

Sicherheitsmaßnahmen ist somit ein durchdachter und gesteuerter

IT-Sicherheitsprozess.

Diese Planungs- und Lenkungsaufgabe wird als IT-Sicherheits-

management bezeichnet.

BSI Standard 200-1 (Anforderungen an ein ISMS)

Konform zu ISO 27001

Kompakter Einstieg: „Leitfaden zur Basis-Absicherung nach IT-Grundschutz:

In 3 Schritten zur Informationssicherheit“




Forderung nach einem ISMS

MaRisk (Mindestanforderung das das Risikomanagement)

AT 7.2 – Textziffer 2

Durch die Implementierung eines IT-Sicherheitsmanagements, das auf gängigen Standards

basiert, sollten die Anforderungen des Unternehmens bzgl. der

Integrität (Sicherstellung der Datenvollständigkeit und -richtigkeit sowie Verhinderung von

Datenmanipulationen),

der Verfügbarkeit (Schutz vor unbefugter bzw. nicht vorhersehbarer Vorenthaltung von

Informationen oder Daten, maximale tolerierbare Ausfalldauer),

der Authentizität (Echtheit bzw. Rechtsgültigkeit der Daten und Ergebnisse) und

der Vertraulichkeit für die Daten und Anwendungen (Schutz vor unbefugter Preisgabe von

Informationen) ermittelt und die Sicherheit der Informationsverarbeitung gesteuert werden




IDW (Institut der Wirtschaftsprüfer) Prüfungsstandard 330

„Abschlussprüfung bei Einsatz von Informationstechnologie“

Risikoindikator „Know-How und Ressourcen“

Trotz der fortschreitenden Technik im IT-Bereich, ist der Faktor „Mensch“

für die Risikoanalyse unvermindert von Bedeutung. Wesentlich für den IT-

Betrieb und die Geschäftsabwicklung ist aktuelles und spezifisches

Fachwissen.

Dies gilt nicht nur für die IT-Spezialisten in den IT-Abteilungen, sondern

auch für die Anwender des eingesetzten IT-Systems.




IDW (Institut der Wirtschaftsprüfer) Prüfungsstandard 330

„Abschlussprüfung bei Einsatz von Informationstechnologie“

Risikoindikator „IT-Infrastruktur“

Risiken der IT-Infrastruktur müssen durch ein auf das Bedürfnis des

Unternehmens gerichtetes Sicherheitskonzept und die daraus abgeleiteten

technischen und organisatorischen Kontrollen bewältigt werden.

Als wesentliche Voraussetzung für die Beurteilung des IT-Kontrollsystems

hat der Abschlussprüfer die Angemessenheit der Bewertung der IT-

Fehlerrisiken durch die Unternehmensleitung im Rahmen der Umsetzung der

IT-Strategie und des Sicherheitskonzeptes zu beurteilen.




IDW Stellungnahme zur Rechnungslegung FAIT 1

Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT

Kapitel 4.1

Voraussetzungen für ein geeignetes IT-Umfeld sind eine angemessene

Grundeinstellung zum Einsatz von IT und ein Problembewusstsein für

mögliche Risiken aus dem IT-Einsatz bei der Geschäftsführung und

den Mitarbeitern.

Zu einem geeigneten IT-Umfeld gehört auch das Bewusstsein für die

IT-Sicherheit im Unternehmen. Dieses ist zugleich eine wesentliche

Bedingung für die angemessene Umsetzung des IT-Sicherheitskonzeptes.




Sarbanes Oxley Act (SOX)

SOX gilt für amerikanische börsenotierte Unternehmen

auch für ausländische Tochtergesellschaften und deren

Kooperationspartner.

Dafür wurde in der 8. EU-Richtline Euro-SOX verabschiedet

SOX stellt in Section 404 umfangreiche Anforderungen

Es wird auf Best-Practice-Ansätze verwiesen.

Vertraulichkeit, Verfügbarkeit und Integrität als Basisziele

SOX empfiehlt die Umsetzung von ISO 27001

Weitere Ziele können zusätzlich mit CobiT erreicht werden.




KontraG

Umfangreiches Artikelgesetz aus dem Jahre 1998

Haftung der Vorstände wurde erweitert

Aufbau eines Risikomanagementsystems wird empfohlen

Der Aufbau umfasst auch IT-Sicherheit

Vertraulichkeit, Verfügbarkeit und Integrität als Basisziele

Anforderungen aus KontraG können mit der Umsetzung der

ISO-27001 erfüllt werden.




IT-Sicherheitsgesetz (ITSiG) / BSIG

Unter einem Information Security Management System (ISMS) versteht

man einen Teilbereich des Unternehmens-Managementsystems, das die

IT-Sicherheit behandelt.

Im Rahmen der IT Sicherheitsgesetz (ITSiG) werden dabei die

geforderten branchenspezifischen Mindeststandards für die

Informationssicherheit durch die Anforderungen an ein ISMS flankiert….

Um im Sinne des ITSiG ein nachhaltiges und angemessenes

Sicherheitsniveau zu erreichen, sind von Betreibern kritischer

Infrastrukturen Anforderungen an die Absicherung von Systemen in allen

Phasen eines Prozesses zu berücksichtigen, zu überprüfen und durch

verantwortliche Sicherheitsverantwortliche freizugeben.




Warum also ein

Informationssicherheitsmanagement?

Wachsende Anforderungen durch steigende Komplexität

Langfristige Sicherung der Geschäftsgrundlage durch Umsetzung

eines (auch wirtschaftlich) angemessenen Sicherheitsniveaus

Konformität zu gesetzlichen Regelungen

Wettbewerbsfähigkeit

Erfüllung von Anforderungen durch Partner oder Versicherungen

Angemessenes Sicherheitsniveau, sinnvolle Umsetzung und

Erfolgskontrolle

……..




Informationssicherheit vs. Risikomanagement

Informationssicherheit hat in den letzten Jahren in den

Unternehmen zunehmend an Bedeutung gewonnen.

Informationssicherheit ist verstärkt zum Bestandteil des internen

Risikomanagement geworden.

Ein Risikomanagement angereichert mit Aspekten der

Informationssicherheit wird zunehmend von WP-Gesellschaften

eingefordert.




Welcher Standard ist für mein Unternehmen relevant?




Welcher Standard ist für mein Unternehmen relevant?

Wie heißt es immer so schön?

Es kommt darauf an…….

Was für eine Unternehmensform haben Sie?

Was sind Ihre Treiber für IT-Sicherheit?

Ohne eine geordnetes Informationssicherheitsmanagement (ISMS)

geht es nicht und das funktioniert in den meisten Fällen nur auf

Basis eines anerkannten Standards.

Ihr Vorstand/Geschäftsführer muss entscheiden welcher Standard in

Ihrem Unternehmen umgesetzt wird.

Wichtig ist, dass der bevorzugte Standard dokumentiert ist.




Was gibt es alles auf dem Markt?

Standards für die Erstellung, Auditierung und Zertifizierung von

IT-Sicherheit haben sich seit vielen Jahren etabliert.

BSI Standards zum IT-Grundschutz (Konform zu ISO 27001)

ISO-Norm 27001 (Einführung eines ISMS) und 27002 (Best-Practice)

ISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten)

VDS 3473 (Cyber-Security für kleine und mittlere Unternehmen)

Unternehmensspezifische Standards

SITB in Sparkassen

Forum-ISM in Geno-Banken

Sonstige Standards

ITIL (IT-Infrastructure Library)

ISO 20000 (Norm zum IT Service Management ITSM)

Cobit (Control Objectives for Information and Related Technology)




Agenda

Begrüßung


ISO, BSI und Co.



Aktuelle Prüffelder zur IT-Sicherheit




Welche Aufgaben hat mein ISMS?

Die Formulierung von Sicherheitszielen

Die Formulierung des Anwendungsbereiches (Scope)

Die Bestimmung der Assets (Werte)

Die Risikobeurteilung

Die Risikobehandlung

Die kontinuierliche Verbesserung (PDCA)

…..




Was muss mein ISMS darstellen?

Sicherstellung und Aufrechterhaltung von IT-Sicherheit

Stichwort PDCA – Plan Do Check Act

Aufgaben im IT-Sicherheitsmanagement

Etablierung einer IT-Sicherheitsorganisation

Erstellung von IT-Sicherheitskonzepten

Angemessene IT-Sicherheitsmaßnahmen zum Umgang mit Risiken

Rollen und Verantwortlichkeiten

Top-Down-Ansatz muss gewährleistet sein




Wie muss mein ISMS organisiert sein?

Festlegen des ISMS

Umsetzung und Durchführung des ISMS

Überprüfen des ISMS

Verbessern des ISMS




Warum IT-Sicherheitsmanagement?

Quelle: https://www.it-daily.net/it-sicherheit/enterprise-security/8330-informationssicherheit-richtig-managen-die-neue-iso27001-2013




IT-Sicherheitsmanagement?

Quelle: https://www.it-daily.net/it-sicherheit/enterprise-security/8330-informationssicherheit-richtig-managen-die-neue-iso27001-2013

T

O

P

-

D

O

W

N




Schutzbedarf

In der IT-Sicherheit dreht sich alles darum, Unternehmenswerte

(Assets) zu schützen.

Gegen was genau und in welchem Ausmaß etwas zu schützen ist,

beschreibt der Schutzbedarf.

Im Zuge einer Schutzbedarfsfeststellung wird dabei der Grad des

erforderlichen Schutzes definiert.

Schutzziele:

Vertraulichkeit

Verfügbarkeit

Integrität




Risiko

Mit der Berechnung des Risikos für eine mögliche Verletzung eines

Schutzziels visualisiert man die Höhe einer Gefährdung und macht sie

dadurch erst handhabbar.

Der Eintritt eines Risikos verhindert die Erreichung eines Schutzziels

und mithilfe der Risikoberechnung wird das Risiko des Eintretens

quantifiziert.

Wie gehe ich mit Risiken um?

Das Risiko kann eliminiert werden.

Das Risiko wird akzeptiert und damit getragen.

Ein Risiko kann aus dem eigenen Verantwortungsbereich ausgelagert werden.

In den häufigsten Fällen wird man ein aufgedecktes Risiko reduzieren wollen.




Das Dilemma von KMU, Dienstleister oder Kommunen

Welche externen Anforderungen sind gegeben?

Welcher Standard ist für mich der richtige Standard?

Wie viel Kosten kommen auf mich zu?

Habe ich geeignetes Personal zur Umsetzung?

Wie schnell lässt sich eine geeignete Umsetzung realisieren?

Existierende und markterprobte Standards sind für den Mittelstand in

der Regel zu komplex.

Insofern werden einfache Verfahren für den Mittelstand benötigt.

„Man sollte alles so einfach wie möglich sehen - aber auch

nicht einfacher.“ (Albert Einstein)




ISIS12 – 3 Fakten

ISIS12 (kurz für Informations-Sicherheitsmanagement System in 12

Schritten) ist ein Modell zur Einführung eines Information Security

Management System (ISMS).

Es beinhaltet eine Untermenge der Forderungen der IT-

Grundschutz-Kataloge und der ISO/IEC 27001 und soll es auf diese

Weise dem Mittelstand einfacher machen, Informationssicherheit

systematisch herzustellen.

ISIS12 bildet eine unabhängig zertifizierbare Einstiegsstufe in ein

ISMS, wobei eine Kompatibilität zu IT-Grundschutz und ISO/IEC 27001

und somit die Möglichkeit für ein späteres "Upgrade" gewahrt bleibt




ISIS in 12 Schritten




VDS 3473 – 3 Fakten

Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere

Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben

und Hilfestellungen für die Implementierung eines Informations-

sicherheitsmanagementsystems sowie konkrete Maßnahmen für die

organisatorische sowie technische Absicherung von IT-Infrastrukturen.

Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen

ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu

gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.

Die Richtlinien stehen nicht im Widerspruch zu ISO 27001 oder IT-

Grundschutz, so dass bei Bedarf, z.B. wegen gesetzlichen oder regulatorischen

Vorgaben, jederzeit „aufgerüstet“ werden kann.




VDS 3473




Sind Sie Betreiber einer kritischen Infrastruktur?

BSIG regelt IT-Sicherheit zum Schutz Kritischer Infrastrukturen

Präzisierung der KRITIS- Auswahlkriterien erfolgt in BSI-KritisV

Zwei Körbe (Mai 2016 und Juni 2017)

Betreiber hat zum Schutz der Kritischen Infrastrukturen die Pflicht zur

Umsetzung angemessener Maßnahmen nach Stand der Technik

Branchenspezifische Sicherheitsstandards (B3S) können dies präzisieren

Betreiber muss Nachweise zur Umsetzung erbringen (Prüfpflicht)

Betreiber hat Registrier- und Meldepflicht, BSI hat Informationspflicht




Agenda

Begrüßung


ISO, BSI und Co.



Aktuelle Prüffelder zur IT-Sicherheit




Revision und ISMS

Die Revision hat risikoorientiert und prozessunabhängig die

Wirksamkeit und Angemessenheit des Risikomanagement im

Allgemeinen und des internen Kontrollsystems…….zu prüfen und zu

beurteilen….. dazu gehören auch die IT-Risiken

Definition von Prüffeldern mit besonderen Risiken……

Das ISMS ist aufgrund seiner zentralen Rolle zur Reduzierung der

IT-Risiken innerhalb des Unternehmens als ein solches Prüffeld mit

besonderen Risiken zu definieren.




Revision und ISMS

Die Revision hat einen umfassenden und jährlich

fortzuschreibenden Prüfungsplan zu erstellen.

Alle Aktivitäten und Prozesse sind in angemessenen Abständen

grundsätzlich innerhalb von drei Jahren zu prüfen.

Besondere Risiken (auch IT-Risiken) sind jährlich zu prüfen.

Geschäftskritische Prozesse sind mit in den Prüfungsplan zu

integrieren. Stichwort: BIA (Business Impact Analyse)

Das erfordert im Bereich ISMS eine permanente Beobachtung der

Risikolage und eine Nachjustierung sofern sich die Risikolage ändert.




Revision und ISMS

Um die identifizierten Veränderungen in die Risikobewertung mit

einfließen zu lassen muss der IT-Prüfer über adäquate Informationen

verfügen.

Dafür ist es zwingend notwendig:

das der IT-Prüfer in die Risikomelde- und -bewertungsprozesse im

Unternehmen eingebunden ist.

das der IT-Prüfer Bestandteil des ISM-Teams ist.

das der IT-Prüfer in Alarmmeldewege oder im Krisenstab

eingebunden ist.

Achtung: Der IT-Prüfer darf die dritte Verteidigungslinie nicht verlassen.




Agenda

Begrüßung


ISO, BSI und Co.







Aktuelle Prüffelder im Bereich IT-Sicherheit

Informationssicherheitsmanagementsystem (ISMS)

Welcher Standard wurde festgelegt und umgesetzt?

Wie sind die Rollen und Verantwortlichkeiten definiert?

Existiert eine IT-Security Policy?

Existiert eine IT-Strategie?

Wie wird die Aufrechterhaltung des ISMS sichergestellt?

Welche IT-Risiken sind definiert worden?

Welche Maßnahmen zur Risikoreduzierung wurden vorgenommen?

Welche Restrisiken wurden definiert und übernommen?

…..




Aktuelle Prüffelder im Bereich IT-Sicherheit

Schutzbedarfsanalyse (SBA)

Existiert eine aktuelle Schutzbedarfsanalyse?

Existiert eine Informationsklassifizierung?

Sind die Schutzbedarfsklassen plausibel und schlüssig?

Wie sieht die Risikobehandlung aus?

Wird der Schutzbedarf auf Prozesse und/oder Anwendungen

durchgeführt?

Einbindung in das ISMS?




Ein Blick in die Zukunft

Übergreifende Strukturanalyse





Schutzbedarf prozessbezogen auf Basis von Informationscluster





Konsistente Vererbung des Schutzbedarfs im Geschäftsprozess




Danke für Ihre Aufmerksamkeit





Management Consultant

Martin-Schmeißer-Weg 12a

44227 Dortmund

Tel. 0231 - 476448-46

Mobil 01577 - 1965286

Andreas Kirsch [email protected]

Visitenkarte

Überblick und Praxis - nrw-units.de · Security Awareness Koordinator (TÜV-Cert) Cyber-Security...

Documents

Transcript of Überblick und Praxis - nrw-units.de · Security Awareness Koordinator (TÜV-Cert) Cyber-Security...