20.03.2009
1
Bad Neustadt, 19.03.2009
Warum ist das Thema Sicherheitgerade für die Geschäftsführungvon entscheidender Bedeutung?
Andreas GabrielMECK c/o Universität WürzburgBegleitprojekt Sicherheit des NEG
http://www.meck-online.de und http://www.ec-net.de/sicherheit
Ein aktuelles Beispiel für „gelebte Sicherheit“
1 Sie starten die S chmaschine Ihres Vertra ens1. Sie starten die Suchmaschine Ihres Vertrauens
intitle:"Live View / - AXIS 205"
2. Sie suchen nach dem folgenden Text
20.03.2009
2
Über was reden wir hier überhaupt?
Quelle: http://www.axis.com, http://www.mediacoms.de, http://www.computerhome.nl, http://pro.corbis.com
Die Ergebnisliste auf unsere Suchanfrage
237 Trefferin 0,12 Sek.
20.03.2009
3
Ein Beispiel: Live am Oxford City Centre
Quelle: http://webcam.oii.ox.ac.uk
Sie können einfach nicht genug bekommen?
Quelle: http://212.59.162.17:82
20.03.2009
4
Wo verbringen denn Sie so Ihren Urlaub?
Ortschaft:HaarlemLand:
Quelle: http://mozart.amadeus-hotel.com:81
Land:Niederlande
Bekommen Sie jetzt auch Angst?
Live view / - AXIS 205 Network Camera version 4.05- [ Diese Seite übersetzen ]
St. Martin - Deggendorf Note: webcam images and any other contents are thewebcam images and any other contents are the property and responsibility of their owners!
Quelle: http://webcam03.deg.net
20.03.2009
5
Sammlung von Kameras
Quelle: http://www.opentopia.com
621 Kameras116 Zuschauer
Wo gibt es „Free Live Webcams“?
Afghanistan (1)Argentina (2)Australia (2)Austria (7)Brazil (1)Bulgaria (10)Canada (24)CZECH REPUBLIC (11)
Hong Kong (1)Hungary (2)Iceland (1)India (1)Israel (1)Italy (24) Japan (7)Korea South (1)
Slovakia (1) Slovenia (1)Spain (8)Sweden (42)Switzerland (14)Taiwan (7)Turkey (3)Ukraine (8)CZECH REPUBLIC (11)
Denmark (5)Egypt (1)Estonia (5) Finland (5)France (7)Germany (21)
Korea, South (1)Luxembourg (1)Mexico (6)Netherlands (41)Norway (13)Poland (9)Russia (23)
Ukraine (8)United Kingdom (26)United States (250)
Quelle: http://www.opentopia.com
20.03.2009
6
Einige Beispiele aus Deutschland
„Stadtverwaltung Amberg“ „Marktplatz Osnabrück“
„Universität Duisburg-Essen“ „ ACR Autocentrum Rahlstedt, Hamburg“
Die Presse über Google
Quellen: http://www.heise.de, http://www.wiwo.de, http://www.tz-online.de
Das sog. „Googlemobil“
20.03.2009
7
Die wichtigsten Informationenüber uns• Netzwerk Elektronsicher Geschäftsverkehr• MECK Würzburg/Mainfranken• IHK Würzburg-Schweinfurt• IHK Würzburg-Schweinfurt• Universität Würzburg• Handwerkskammer für Unterfranken
Netzwerk Elektronischer Geschäftsverkehr28 regionale Zentren in ganz
Unser Netzwerk
-28 regionale Zentren in ganzDeutschland
-1 Branchenzentrum „Handel“mit Sitz in Köln
-Projektträger: Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)
14
Luft und Raumfahrt (DLR)-Förderung durch das BMWi
(Bundesministerium fürWirtschaft und Technologie)
http://www.ec-net.de
20.03.2009
8
Vertreter des NEG in der Region: Mainfränkisches Electronic Commerce Kompetenzzentrum
Sie erreichen uns unter: http://www meck-online de
Unsere Intension Hier finden Sie unsDas MECK-Team
Sie erreichen uns unter: http://www.meck-online.de
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 15
Veran-staltungen
BeiIhnen
Bildquellen: www.hausnummer-online.de; www.fahnenversand.de
… und zahlreiche Partner
Über meine Person: Andreas Gabriel
h // i b d
http://www.wiinf.uni-wuerzburg.de
http://www.uni-wuerzburg.de
http://www.meck-online.de
http://www.ec-net.de
Seit 2006: Seit 2000:Mein Schwerpunkt:Certified Lead Auditor
ISO 27001
Seit 2000:Kampfsport-Trainer (Judo)
Seit 2008:Selbstverteidigungs- und Selbstbehauptungslehrer
Seit 2008:Übungsleiter GewaltpräventionAb 07/2009:
Betrieblicher Datenschutzbeauftragter
pDer „kreative Umgang“ mit
dem Thema Sicherheit
http://www.ec-net.de/sicherheit ISO 27001Grundschutz
20.03.2009
9
Begleitprojekt „Informationssicherheit“
Sie erreichen uns unter:http://www.ec-net.de/sicherheit
Dr. Kai HudetzAndreas Duscha
Dagmar Lange(Projektleiterin)
Prof. Dr. Günther Markus Wirth Neef
Andreas Gabriel
Branchenbeispiel Handwerk 1
17 branchenspezifische Best-Practice-Anleitungen aus dem Jahr 2007
pBranchenbeispiel Handwerk 2
Branchenbeispiel EinzelhandelBranchenbeispiel Produktion/Großhandel
Branchenbeispiel Maschinenbau 1Branchenbeispiel Maschinenbau 2Branchenbeispiel Maschinenbau 3
Branchenbeispiel SondermaschinenbauBranchenbeispiel TextilindustrieB h b i i l L i tik
Quelle: http://www.ec-net.de/EC-Net/Navigation/netz-informationssicherheit,did=236904.html
Branchenbeispiel LogistikBranchenbeispiel Öffentliche Verwaltung
Branchenbeispiel Finanzwesen/VersicherungBranchenbeispiel Gesundheitswesen
Branchenbeispiel Automatisierungs-/WartungstechnikBranchenbeispiel Informationstechnik
Branchenbeispiel AnlagenbauBranchenbeispiel Umwelt-/Geotechnik
20.03.2009
10
Zwei Wege, um einen Kooperationspartner zu finden
Bildquellen: www.clipart-gallery.de; www.radfahren-auf-ruegen.de
Geschäftsführung EDV-Verantwortliche
Netzwerk Elektronischer Geschäftsverkehr
Warum ist dieses Thema für Sie interessant?
Gesellschaftsrecht § 91 II AktG § 43 GmbHG § 116 AktG KonTraG §§ 823, 1004, 280 BGB Handelsrecht§ 377 HGB § 239 Abs. 4 HGB G t l t
Telekommunikationsrecht§ 88 TKG § 206 II Nr. 2 StGB §§ 1, 88, 89, 91ff. TKG Telemediengesetz§§ 1f. TMGZivilrecht§ 280 I BGB § 634 BGB
Steuerrecht§ 146 Abs. 5 AO Urheberrecht§§ 97 ff. i.V.m. § 100 UrhG Datenschutzrecht§ 4f, § 43, I und II BDSG § 9 BDSG und Anlage zu § 9§ 823 BGB § 7 BDSGGesetz gegen unlauteren
Wettbewerb §§ 3, 4 Nr. 11 UWG § 10 UWG Strafrecht§ 85 II TKG i.V.m. § 206 II Nr. 2 StGB oder § 303 a StGB
§ 634 BGB § 437 / 634 BGB Vorvertraglich ggf. § 311, Abs. 2 BGB § 823, Abs. 2 BGB § 1004 BGB i.V.m. § 40 TKG§§ 611, 242 BGB
§ 7 BDSG § 44 BDSG §§ 4g, 38, Abs. 5 BDSG §§ 1 II; 27 I BDSG GG Art.2 i.V.m. Art.1Sicherheitsüberprüfungsgesetz§§ 2, 7-10 SüG
20.03.2009
11
Ein Beispiel:§43 GmbHG
(1) Di G häf f h h b i d A l h i d G ll h f di S f l(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
(3) 1 Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des § 30 zuwider Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft gemacht oder den Bestimmungen des § 33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind.
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 21
eigene Geschäftsanteile der Gesellschaft erworben worden sind. 2 Auf den Ersatzanspruch finden die Bestimmungen in § 9b Abs. 1 entsprechende Anwendung.3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.
(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in 5 Jahren.Quelle: http://www.gesetze-im-internet.de/gmbhg/__43.html
Begrifflichkeiten im Bereich EDV und SicherheitDefinition IT“:
Definition „IT-Sicherheit“:„Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene M ß h f i b M ß b h ä k i d “
„IT umfasst im Sinne des BSI-Errichtungsgesetzes alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen.“
Definition „IT :
Quelle: BSI Schulung IT-Grundschutz – Glossar
Definition „Datenschutz“:
Maßnahmen auf ein tragbares Maß beschränkt sind.“ Quelle: BSI Schulung IT-Grundschutz – Glossar
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbe-zogener Daten (…) Quelle: § 1 Bundesdatenschutzgesetz
20.03.2009
12
Definition „Informationssicherheit“
I f ti i h h it h t Zi l di V b it S i h d„Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit,
Verfügbarkeit und Integrität (Vollständigkeit) der Informationen und Systeme in ausreichendem Maß sichergestellt wird. (…) Dabei umfasst die Informations-
sicherheit, neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten, auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.“
Quelle: http://de.wikipedia.org
DatenschutzIT-Sicherheit
Informationssicherheit
Quelle: In Anlehnung an C. Simon; Bildquelle: www.clipart-gallery.de
Bewertung anhand„Vertraulichkeit“ / „Vollständigkeit“ / „Verfügbarkeit“
Unter Vertraulichkeit versteht man dass eine Information nur für Befugte zugänglich„Unter Vertraulichkeit versteht man, dass eine Information nur für Befugte zugänglich ist, Unbefugte dagegen keinen Zugang zu der Information haben. So kann beispiels-weise nur der Sender und Empfänger eine Nachricht im Klartext lesen. Kurzformel: Information nur für Berechtigte“
„Die Integrität von Daten ist also gewährleistet, wenn die Daten vom angegebenen Absender stammen und vollständig sowie unverändert an den Empfänger übertragen worden sind.“Kurzformel: Daten müssen unverändert den richtigen Empfänger erreichen
Quelle: http://de.wikipedia.org
Kurzformel: Daten müssen unverändert den richtigen Empfänger erreichen
Kurzformel: Uneingeschränkte Nutzungsmöglichkeit der EDV
20.03.2009
13
Bewertung der Kriterien:Vertraulichkeit – Vollständigkeit – VerfügbarkeitV3
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 25
Länge der Aufrechterhaltung des Betriebes ohne folgende Dienste
Telefon
Eigener File-Server
Internetrecherche
1 2 3 4 5
Eigener Internetauftritt
Buchhaltung
Eigener Internethandel
n ≥ 156
weniger als eine Stunde
bis zu vier Stunden bis zu einem Tag bis zu einer Woche mehr als eine Woche
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit
20.03.2009
14
Mögliche Bedrohungen aus den letzten 18 Monaten
1
2
3
Quelle: http://silicon.de
3
Wo befindet sich der „Gegner“?
50
30
15
5
1
Ang
reife
r Fremde RegierungenKonkurrentenHackerfrustrierte Mitarbeiter
Quelle: Computer Security Institute Survey
0 10 20 30 40 50 60
prozentualer Anteil
Mindestens jeder zweite Fehler kommt von innen!
20.03.2009
15
Es gibt immer zwei Seiten einer Geschichte …
Geschäftsführung
Bildquelle: www.clipart-gallery.de
Mitarbeiter/Mitarbeiterinnen
Bei Angestellten gibt es drei Phasen zu berücksichtigen
NeueinstellungNeueinstellung
Während der
SicherheitsrichtlinieArbeitsordnungDatenschutzerklärung etc.
Kompetenzenregeln
Einhaltung derRegeln sicher-
Bildquellen: www.radfahren-auf-ruegen.deTrennung
derBeschäftigung
Accounts sperrenFreigaben löschenVerantwortlichkeiten neu regeln etc.
regeln gstellen
20.03.2009
16
Aufbau einer Sicherheits-Richtlinie•Allgemeine RegelungenAllgemeine Regelungen
•Speichern der eigenen Daten (Ort, Umfang, Name …)•Einhaltung der Bestimmungen des BDSG•Umsetzung anderer Gesetzte im Unternehmen (Bsp.: Jugendschutz)
•Persönliche Regelungen•Private Nutzung von Firmenressourcen, besonders WWW und eMail•Regelmäßiger Besuch von Schulungsveranstaltungen
•EDV orientierte Regelungen•EDV-orientierte Regelungen•Umgang mit eMail („Was“ darf „Wer“ „Wann“ per eMail senden?)•Verschlüsselung•Umgang mit Viren/Würmern/Trojanern•Installation/Konfiguration von Hard- und Software•Umgang mit dem eigenen Laptop•Sicherstellung, dass alle Programme jederzeit aktuell gehalten werden
Klassifikation der betriebseigenen Dokumente
ge Dokumentenklassen
Erla
ubte
Kom
mun
ikat
ions
weg Dokumentenklassen
1 2 3Brief
Einschreiben
…KEr
laub
teSp
eich
eror
te ServerPCLaptopPDA…
1 = Werbematerial; 2 = „normale“ Unternehmenskorrespondenz; 3 = geschäftskritische Unterlagen
20.03.2009
17
Lesebestätigungenbei MS-Outlook
Verlaufskontrolle
Standard
Empfehlenswert
Extras – Optionen – E-Mail-Optionen – Verlaufsoptionen
20.03.2009
18
Ein weiteres Beispiel, das Sie bestimmt kennenDer NewsletterDer -Newsletter
„Meine“ AnsichtDie „normale“ Ansicht
Bilder-Download bei MS-Outlook
Potentielle Bedrohung durch „Clear GIFs (sog. Web Beacons)“
Extras – Optionen – Sicherheit –Einstellungen für den automatischen Download ändern …
20.03.2009
19
Wie viel Geld geben Sie geradefür das Thema Sicherheit aus?
Investitionen trotz Wirtschaftskrise?!
Die aktuelle Wirtschaftskrise in ausgewählten Zahlen
Arbeitslosenzahlen 02/2009 Wirtschaftswachstum 2009
Quelle: http://www.spiegel.de/wirtschaft/0,1518,610004,00.html
Arbeitslosenzahlen 02/2009
absolut: 3.551.926Quote: 8,5 %Offene Stellen: 505.536
- 1,8- 0,1
- 10,6
Wirtschaftswachstum 2009
Quelle: http://www.mittelbayerische.de
Stand: 16.10.2008
Wachstum von 0,2 % (Michael Glos)
Wachstum von 0,5 %(DIHK)
Z hl d I l 2009 G l t S b ti 2009
Entwicklung des DAXHoch: 8.105,69
Zwischenzeitliches Tief: 3.843,74Zahl der Insolvenzen 2009 Geplante Subventionen 2009
Quelle: http://www.creditreform.de
Firmen: 35.000Delta zu 2008: + 17 %
Verbraucher: + 50 %Anzahl: 145.000
Deutschland: 50 Milliarden €USA: 787 Milliarden $Japan: 9 Milliarden Yen
Quelle: http://wissen.spiegel.de
Aktueller Stand: 3.710,67(03.03.2009, 12:30 Uhr)
20.03.2009
20
Sicherheit in unserem Alltag?!
Quelle: http://www.wahlrecht.de, http://www.bbc.co.uk, http://www.techfieber.de
Der britische Flugzeugträger „Royal Ark“
Beispiel für einen Wahlcomputer
Auszüge aus„Die Lage der IT-Sicherheit in Deutschland 2009“
Quelle: Bundesamt für Sicherheit in der Informationstechnik
Schwachstellen in Webseiten
1/2
Cross-Site-ScriptingOffenlegung von InformationenFälschen von InhaltenAusspähen von AltdatenSQL-InjectionU i h d A th ti i
Quelle: http://www.bsi.de
Unzureichende AuthentisierungUnzureichende AutorisierungFunktionsmissbrauchHTTP Response SplittingIndizierung von Verzeichnissen
20.03.2009
21
Zu allem Überfluss:Die Forderungen der Kunden wachsen …
Ö
Quelle: http://www.e-health-com.de
Österreich: IT-Sicherheit für Patientendaten(…) „Einen Ausweg aus der Haftung bietet eine Zertifizierung nach dem Standard für Informationssicherheit ISO 27001. Das Zertifikat attestiert einer Organisation, alle der Sorgfaltspflicht entsprechenden Sicherheitsmaßnahmen nach anerkannten Methoden eingeführt zu haben.“ (…) Zitat von: CIS-Chef, Herrn Scheiber
ITK Si h h it t t t i h h„Die Bedrohung der Informations- und Kommunikationstechnologie (ITK) nimmt unvermindert zu. Die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz dient als Nachweis für ein erfolgreiches Sicherheitsmanagement im Unternehmen und schafft Wettbewerbsvorteile.“
ITK-Sicherheitsmanagement strategisch angehen
Quelle: http://www.funkschau.de
Was passiert in diesem Zusammenhang in Deutschland?
Ulla SchmidtUlla SchmidtBundesministerin für Gesundheit
Die Gesundheitskarte
Quellen: http://www.bmg.bund.de; http://www.gematik.de
Umsetzung durch die
Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
20.03.2009
22
Was die „gematik“ von ihren Geschäftspartnern fordert!
Die Aktivitäten im Rahmen des Sicherheitsmanagements„Die Aktivitäten im Rahmen des Sicherheitsmanagements MÜSSEN in Anlehnung an ISO 27001/27002:2005 gestaltet
werden. Sowohl Dienstbetreiber, die Teile der Telematikinfrastruktur betreiben, als auch die gematik MUSS ein
Informationssicherheitsmanagementsystem (ISMS) implementieren.
Quelle: http://www.gematik.de/upload/gematik_DS_Sicherheitskonzept_V2_3_0_3802.pdf
Auf dieser Basis soll die Verzahnung der Prozesse und die Optimierung der Schnittstellen kontinuierlich verbessert werden.“
(S.184)Entnommen aus:„Gematik: Einführung der Gesundheitskarte – Übergreifendes Sicherheitskonzept derTelematikinfrastruktur. Version 2.3.0 vom 17.07.2008 “
Was versteht man unter einem Informations-Sicherheits-Management-System (ISMS)?
„Der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die
Entwicklung, Implementierung, Durchführung, Überwachung,
Überprüfung, Instandhaltung und Verbesserung
der Informationssicherheit abdeckt.“„ANMERKUNG Das Managementsystem enthält die Struktur, Grundsätze,Planungsaktivitäten, Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.“ Quelle: ISO 27001, S. 8
und Verbesserung
20.03.2009
23
Vorgehensweise:
Das „Plan – Do – Check – Act – Modell“ (PDCA)
Inter-essenten
Festlegen des ISMS
Umsetzen und Durchführen
des ISMS
Instandhalten und Verbessern des ISMS
Planench
führ
en
ande
ln
Inter-essenten
verwalteteInformations-
sicherheit
Anforderungen und
Erwartungen an
Informations-sicherheit
des ISMS
Überwachen undÜberprüfen des ISMS
des ISMS
Dur
c
Prüfen
Ha
Quelle: ISO 27001
Die ISO 27001 besteht aus …
Obj i
11 Elementen Clauses
Fachbegriff der ISO
Komponentender ISO
Beschreibung/Charakterisierung
Rahmenbedingungen des ISO 27001
Ziele, die durch den37
Controls
ObjectivesZiele, die durch denISO 27001 vorgegeben werden
DetaillierteUmsetzungsanforderungen
133 detaillierteMaßnahmen
37 Maßnahmenzielen
20.03.2009
24
Kleiner Rückblick:Wortwahl in der ISO 17799:2005
Quelle: M. Hauß, SRC Security Research & Consulting GmbH
Informationen aus den BSI-Grundschutzkatalogen
Gefährdungen
(Gegen )
Summe:370
(Gegen-)Maßnahmen
Summe:857
Quelle: A. PörnigWeitere Informationen finden Sie unter: http://www.bsi.de
20.03.2009
25
Bedeutung der ISO für unsere Zukunft
„Aus marktstrategischer Sicht dient einem in Konkurrenz stehenden Unternehmen ein Zertifikat, um die Qualität seiner Produkte oder Dienstleistungen nachweisen zu
können Für Hersteller Zulieferer und große internationale
Wikipedia über die ISO 9001(Qualitätsmanagementnorm)
können. Für Hersteller, Zulieferer und große internationale Unternehmen kann das Zertifikat als „zwingend“ betrachtet
werden, um überhaupt Aufträge einer gewissen Größenordnung zu bekommen.“
Quelle: http://de.wikipedia.org/wiki/ISO_9001
Entwicklung der ISO 9001 Zertifizierungen im Laufe der Zeit
Anzahl der d
773.867
951.4862007
2005
Anzahl der ISO 9001-Zertifizierungen
(weltweit)
Vergleich mit ausgewählten Ländern
in Deutschlandin Europaim Rest der Welt
davon45.195
386.284520.007
Quelle: ISO; Stand: 31.12.2008
127.349
408.6312000
1995
ausgewählten Ländern
ChinaItalienUSAEngland Frankreich
210.773115.35936.19235.51722.981
20.03.2009
26
Zertifizierungen nach ISO 27001 – Aktueller Status-QuoTitelTitelNumber of Certificatesper Counutry
Hervorzuheben sindChina 182Deutschland 108F k i h 10
Quelle: http://www.iso27001certificates.comAbfragedatum: 03.02.2009
Frankreich 10Italien 55Spanien 27UK 374USA 85Summe 5.190
Zertifizierungen nach ISO 27001 –Entwicklung im Laufe der letzten Jahre
Anzahl der zertifizierten Unternehmen
LandAnzahl der zertifizierten Unternehmen
05.12.
2006
23.10.
2007
24.04.
2008
17.09.
2008
15.12.
2008
19.01.
2009
China 28 74 102 161 174 182
Deutschland 60 87 89 108 108 108
Frankreich 3 5 10 12 9 10
Italien 42 45 46 54 54 55
Delta12/06-01/09
+ 550%+ 80%+ 233%+ 31%
Japan 1.715 2.317 2.554 2.645 2.863 2.994
Österreich 9 17 20 20 26 26
Spanien 8 12 13 25 26 27
UK 251 363 365 268 368 374
USA 42 54 60 71 82 85
Weltweit 2.814 4.036 4.457 4.802 4.987 5.190Quelle: http://www.iso27001certificates.com
+ 75%+ 189%+ 238%+ 49%+ 102%+ 84%
20.03.2009
27
Wie steht der deutsche Mittelstand zum Thema „Zertifizierung der eigenen Informationssicherheit“?
Z ifi i i B i h d I f i i h h iZertifizierung im Bereich der Informationssicherheit
Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk –Ihre Erfahrungen und Wünsche 2008, Oktober 2008.
Welche Schritte müssen Sie nundurchlaufen?Der steinige Weg zu einem Zertifikat
20.03.2009
28
1
… allenUnternehmenswerten
Bedrohungen2erneuten
zusätzlicheZeitintervalle
Der Sicherheitskreislauf in Ihrem Unternehmen?!
2
Schwachstellen3
Bewertung 7
55
Risiken4
Bewertung
5(Gegen-)Maßnahmen
6
Ermittlung und Sammlung von …
Durchführung einer …
Auswahl geeigneter …
zusätzlicheZeitintervalle
Ein Umsetzungsbeispiel fürErmittlung der Werte + Risikoanalyse
Unternehmenswert
IhrWeb-Shop
BewertungC – Vertraulichkeit: 4 (max.)
I – Vollständigkeit: 4 (max.)
A – Verfügbarkeit: 4 (max.)
Maximaler Schaden: 5.000 €Wiederherstellungskosten: 15.000 €
Bedrohungen Schwachstellen MaßnahmenHackingStromausfallFalsche Preiseetc.
„Schlechter“ ServerraumUngeschulte MitarbeiterFalsche Regelungenetc.
Bauliche VeränderungenSchulungen (Nachweis!)Regelwerk anpassenetc.
20.03.2009
29
Schätzung der Schadenshöhe bei einem IT-Totalausfall
Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2008.
Wer soll das Thema Sicherheit DAUERHAFT verantworten?
Die Geschäftsführung?Die Geschäftsführung?Der IT-Verantwortliche?
Der Mitarbeiter Ei Di tl i t ?Der Mitarbeiter der „EDA“ ist?
Ein Dienstleister?
20.03.2009
30
Die Antwort lautet: der CISO!
C h i ti h h ti hCIS
charismatisch chaotischcharmant computerisierend
integrativ intensiv idealistischinformativ intellektuell improvisieren
lb t i h lb th li hSO ordentlich orientierungslos objektiv
Technikorientiert Obsession „Sicherheit“
selbstsicher selbstherrlichsicherheitsbewusst schulungssicher
Oder „auf deutsch“: der (IT-) Sicherheitsbeauftragte
100%
Bereitstellung zeitlicher und finanzieller Ressourcen für den „IT-Sicherheitsbeauftragten“
23,3%
61,2%
15,5%
0%
20%
40%
60%
80%
weiß nichtneinja
Ergebnis der Umfrage aus dem Jahr 2008
60
Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2007 und 2008.
Ergebnis der Umfrage aus dem Jahr 2007
Ja - 5,6 %Nein - 1,8 %Weiß nicht + 7,5 %
20.03.2009
31
Weiterbildung des „IT-Sicherheitsbeauftragten“
Fachseminare + 16 1 %
Sonstige10,0%
weiß nicht
regelmäßige Fachseminare
34,4%
Ergebnis der Umfrage aus dem Jahr 2008
Fachseminare + 16,1 %Learning by doing - 15 %Sonstige - 3,2 %Weiß nicht + 2,2 %
61
learning by doing42,2%
weiß nicht13,3%
Ergebnis der Umfrage aus dem Jahr 2007
Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2007 und 2008.
BSI Gefährdungen
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 62
Quelle: BSI
20.03.2009
32
Was tun, wenn der Ernstfall eingetreten ist?
Notfall-management
L b kl d IT N tf ll tLebenszyklus des IT-Notfallmanagements
1. Entwicklung der Vorgehensweise (Leitlinie etc.)2. Durchführung einer Business Impact Analyse3. Definition präventiver Maßnahmen Notfallvorsorge4. Auswahl und Umsetzung von Wiederherstellungsstrategieng g g
Notfallbehebung5. IT-Notfallplanentwicklung Eskalationsstufen festlegen6. Schulen, Üben und Testen7. Aktualisierung und Überarbeitung
Quelle: BSI
Vielen Dank für Ihre Aufmerksamkeit
Warum das Thema Sicherheit gerade für dieGeschäftsführung von entscheidender
Bedeutung istBad Neustadt, 19.03.2009
Andreas GabrielMainfränkisches Electronic Commerce Kompetenzzentrum
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 64
pNeubaustraße 6697070 WürzburgTel.: 0931 / 3501-231Fax: 0931 / 31-2599
[email protected]/sicherheitwww.wiinf.uni-wuerzburg.de
Top Related