Post on 05-Jan-2017
transcript
Hinterher ist man immer schlauer …wie Sie späte Einsicht vermeiden.
Prof. Dr. Thomas Jäschke
Veranstaltung Cybercrime27.08.2015
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 2
Vorstellung
DATATREE AG
Beratung von Unternehmen und öffentlichen Stellen
– bei der Einführung von Datenschutzkonzepten und IT-Sicherheitsleitlinien
– bei der Umsetzung konkreter Maßnahmen und Dienstvereinbarungen im Bereich Datenschutz und IT-Sicherheit
– bei der Sicherstellung durch entsprechende Kontrollmechanismen
Prof. Dr. Thomas Jäschke
– Vorstand der DATATREE AG und externer Datenschutzbeauftragter für Unternehmen
– Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management GmbH
– mehr als 20 Jahren Expertise in Datenschutz und Datensicherheit
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 3
Überblick – Themen des heutigen Vortrages
InformationssicherheitsmanagementGrundlagen & Definitionen
Informationssicherheitsmanagement in der Praxis
Organisation des Informationssicherheitsmanagements
Quellen und weiterführende Links
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 4
Datenschutz
� schützt natürliche Personen vor Verletzungen ihrer Persönlichkeitsrechte
� Personenbezogene Daten, NICHT Firmeninterna, Patente …
� Basis ist das Grundgesetz,aus dem sich das Bundesdatenschutzgesetz ableitet
InformationssicherheitsmanagementGrundlagen und Definitionen
Datensicherheit
� ist der Schutz der Hardware, Software, IT-Infrastruktur vor Missbrauch, unberechtigten Zugriffen, Diebstahl, Verlust, höherer Gewalt.
� ALLE Daten eines Unternehmens
� Neben Maßnahmen der IT-Sicherheit auch Maßnahmen wie z.B. Sicherung der Gebäude, Notstromversorgung
GemeinsamkeitenInteressenskonflikte
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 5
InformationssicherheitsmanagementGrundlagen und Definitionen
Informationen … sind interpretierte Daten, nicht nur in digitaler oder
elektronischer Form.
Informationssicherheit ist…
Aufrechterhaltung der Vertraulichkeit,Integrität und Verfügbarkeit von Informationen¹
• Sie beinhaltet IT-Sicherheit als Leistungsdomäne
• Berücksichtigt zusätzlich weitere Themen, z.B.:
– Strategie, Compliance, Prozesse
– Techn. und org. Maßnahmen
• Fokus auf Schutzbedarf
¹(ISO/IEC 27001)
IT- Sicherheit
Informationssicherheit
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 6
InformationssicherheitsmanagementGrundlagen und Definitionen
Rechtliche Vorgaben durch (Auszug)
• Bundesdatenschutzgesetz (BDSG)
• Telekommunikationsgesetz (TKG)
• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
• Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme(IT-Sicherheitsgesetz)
• Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
• ggf. Gesetze anderer Länder … bspw. US-GesetzeSarbanes-Oxley Act (u.a. IT-Compliance), US Patriot Act
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 7
InformationssicherheitsmanagementGrundlagen und Definitionen
Technische Vorgaben durch
• IT-Grundschutz-Kataloge und BSI-Standards 100-1 bis 100-4 vom Bundesamt für Informationstechnik (BSI)
• ISO/IEC 27001
– beschreibt Anforderungen an ein ISMS-Managementsystem
– ermöglicht Zertifizierung
– zu 100% kompatibel mit IT-Grundschutzkatalog, erweitert diesen
– für international tätige und börsennotierte Unternehmen geeignet
• IT Infrastructure Library (ITIL)
– Sammlung dokumentierter IT Best Practice
– Meist verwendete Dokumentation bei Absicherung von informationsverarbeitenden Einrichtungen
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 8
InformationssicherheitsmanagementGrundlagen und Definitionen
IT-Grundschutzkataloge – Empfehlungen von Methoden, Prozessen und
Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen
Bausteine
Übergeordnete Aspekte
Infrastruktur
IT-Systeme
Netze
Anwendungen
Maßnahmen
Infrastruktur
Organisation
Hard-/Software
Personal
Kommunikation
Notfallvorsorge
Gefährdung
Elementare Gefahren
Höhere Gewalt
Menschliches Verhalten
Organs. Mängel
Technisches Versagen
Vorsätzliche Handlungen
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 9
Informationssicherheitsmanagementin der Praxis
Problemstellungen in vielen Unternehmen
• Historische Aufteilung von Verantwortlichkeiten
• Fehlendes Budget & personelle Ressourcen
• Informationssicherheit oft ein Lippenbekenntnis
• Rudimentäre Ausrichtung an Unternehmenszielen und -strategie
• Keine gemeinsame, unternehmensübergreifende Strategie –Zielsetzung
• Reduktion von Informationssicherheit auf IT-Sicherheit, Faktor Mensch bleibt unbeachtet
• Stetig steigende Anforderungen durch Gesetze und Compliance setzen andere Prioritäten als Unternehmen selbst
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 10
Informationssicherheitsmanagementin der Praxis
Erste Schritte - Situationsanalyse
� Gebäudesituation (Sicherung des Gebäudes, Räumlichkeiten, Umgang mit Besuchern, …)
� Organigramm, Hierarchie (Aufgaben, Zuständigkeiten, Rollenverteilung, externe Dienstleister, …)
� Vorhandene Berechtigungen (Admins, Mitarbeiter, leitende Angestellte, Geschäftsführung)
� Vorhandene Infrastruktur (Server, Netzwerke, Cloud/Hosting, Clients, Mobilgeräte, Anwendungen, Software …)
� Vorhandene Sicherheitsmaßnahmen (Firewall, Back-Ups, Brandschutz…)
� Richtlinien (Umgang mit Privatnutzung, E-Mails, Social Media, …)
TIPP: Strukturierung der Bestandsaufnahme im Unternehmen nachAnlage zu § 9 BDSG (technisch-organisatorische Maßnahmen)
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 11
Informationssicherheitsmanagementin der Praxis
Erste Schritte - Schutzbedarfsanalyse Welche Daten und Informationen liegen im Unternehmen vor und welchen Schutzbedarf haben sie im Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit:
1. Einstufung von Informationen und Daten in die Schutzbedarfskategorien normal– hoch – sehr hoch (Bsp. nach: Negative Außenwirkung, finanzielle Schäden, Verstoß gegen Gesetze …)
2. Formulierung von Schadensszenarien (maximale Schäden, Folgeschäden)
3. Feststellung des Schutzbedarfs der Anwendungen
4. Feststellung des Schutzbedarfs der IT-Systeme (Bsp. Verteilung, Abhängigkeiten …)
5. Feststellung des Schutzbedarfs der Kommunikation (Außenverbindung, Weitergabe vertraulicher Daten …)
6. Schutzbedarf der IT-Räume
7. Identifikation eines besonders hohen Schutzbedarfes
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 12
Informationssicherheitsmanagementin der Praxis
Die nächsten Schritte – Modellierung
Erstellung eines Maßnahmen-Kataloges anhand der IT-Grundschutz-Kataloge, z.B. einem Schichtenmodell („Layer“):
• Übergreifende Aspekte (Personal, Organisation, Informationssicherheitsmanagement, Outsourcing …)
• Infrastruktur (Gebäude, Verkabelung, Home Office-Modelle, Schutzschränke …
• IT-Systeme (Server, Client, Hosts …)
• Netze (Kommunikationsnetze, WLAN, Internet, …)
• Anwendungen (Office-Programme, E-Mail, Datenbanken …)
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 13
Informationssicherheitsmanagementin der Praxis
Die nächsten Schritte – SicherheitscheckPrüfung der im Modell festgelegten Maßnahmen, inwieweit diese im Unternehmen
• umgesetzt
• teilweise umgesetzt
• nicht umgesetzt
• entbehrlich
sind.
Zu ergreifende Maßnahmen:
• Auswahl der verantwortlichen Ansprechpartner (u.a. auch Hausdienste ...)
• Durchführung eines Soll-Ist-Vergleichs ggf. anhand von Stichproben
• Dokumentation der Ergebnisse
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 14
Informationssicherheitsmanagementin der Praxis
Die nächsten Schritte – Realisierung der Maßnahmen
• Sichtung des Basischecks – welche Maßnahmen sind bereits umgesetzt, welche nicht?
• ggf. Anpassung der Sicherheitsmaßnahmen an neu festgestellten Sicherheitsbedarf, Umsetzbarkeit etc.
• Kosten- und Aufwandschätzung
• Festlegung der Umsetzungsreihenfolge der Maßnahmen, Priorisierung
• Festlegung der Verantwortlichkeiten
• Begleitung der Umsetzung durch Maßnahmen wie Information an die Mitarbeiter, Schulungen, Sensibilisierung der Mitarbeiter
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 15
Informationssicherheitsmanagementin der Praxis
… und im Anschluss …
• Aufrechterhaltung des Sicherheitsprozesses
• Prüfung des Prozesses auf Effektivität und Effizienz
• Kontinuierlicher Verbesserungsprozess
• Schaffung eines dauerhaften Sicherheitsbewusstseins bei den Mitarbeitern durch wiederholte Schulungen
• Ansprechpartner für die Probleme der Mitarbeiter im Alltag sein
• Aufnahme von Sicherheitsvorfällen in Prozess
• Zertifizierung (wer möchte …) nach BSI, ISO 27001 …
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 16
Organisation des Informationssicherheitsmanagement
Strategische Ausrichtung
• Integration Top-Level Management
• Ausrichtung an Unternehmenszielen und -strategie
• Anpassung von Firmenkultur und -philosophie
Organisatorische und betriebliche Maßnahmen
• Verfahrens- und Arbeitsanweisungen
• Sicherheitsbewusstsein schaffen – Awareness
• Betriebsprozesse standardisieren, dokumentieren
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 17
Organisation des Informationssicherheitsmanagement
Der Informationssicherheitsbeauftragte oder Chief Information Security Officer (CISO) ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Unternehmung.
Aufgaben: (Auszug)
• Schutzbedarfsanalyse
• Steuerung und Dokumentation des Informationssicherheitsprozesses
• Formulierung einer IS-Richtlinie
• Regelungen zur Informationssicherheit zu erlassen(Notfallplan, Sicherheitskonzept, usw.)
• sicherheitsrelevante Projekte zu koordinieren
• Kontrollinstanz der IT-Sicherheit
• Prüfung der getroffenen Maßnahmen bezüglich gesetzlicher Anforderungen bes. in Bezug auf Datenschutz
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 18
Organisation des Informationssicherheitsmanagement
Aufbauorganisation
• der Berichtsweg findet direkt zurGeschäftsführung/Chief Executive Officer (CEO) statt
• CISO kann als Stabsstelleeingerichtet werden
• der CISO ist nicht dem CIO unterstellt
• Sicherung und Risikomanagementaller Informationswerte (Assets)eines Unternehmens sind die Aufgabendes CISO
• IT-Security ist eine Untermenge der Aufgaben eines CISO
CEO
CISO CIO
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 19
Organisation des Informationssicherheitsmanagement
Gemeinsame Kompetenzen für Datenschutz und Informationssicherheit
• beide Rollen schließen sich nicht aus
• Aspekte der Personalunion:
– Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden
– konfliktträchtige Themen ggf. noch nachrichtlich an die Revision weiterleiten
– ausreichend Ressourcen für die Wahrnehmung beider Rollen
• Erfüllungsgehilfen
• qualifizierter Vertreter
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 20
Zusammenfassung
• Sicherheitsbewusstsein muss gestärkt werden
– Firmenkultur und –philosophie
– Einbindung der Mitarbeiter
• Klare Verantwortlichkeiten bei Geschäftsführung, CISO und Mitarbeitern
• Kontinuierlicher Prozess erforderlich
Wie Sie späte Einsicht vermeiden
• Informationssicherheitsmanagement wird zunehmend zu einem der wichtigsten Erfolgsfaktoren von Unternehmen
• Schaffung entsprechender Strukturen unabdingbar – und möglich
DATATREE AG | 27.08.2015 Roadshow Cybercrime - Informationssicherheitsmanagement | 21
Quellen und weiterführende Links
• Leitfaden Informationssicherheit
IT-Grundschutz-Profile „Anwendungsbeispiel für den Mittelstand“
IT-Grundschutz-Profile „Anwendungsbeispiel für eine kleine Institution“
u.v.m.: www.bsi.bund.de
• Leitfaden zur Informationssicherheit in kleinen und mittlerenUnternehmen, hrsg. IT-Beauftragter der Bayrischen Staatsregierung
www.bihk.de
• Informationssicherheit für KMUhrsg. Bayrischer IT-Sicherheitscluster e.V.
www.muenchen.ihk.de („Einstiegsmodell“)
• Anlage zu § 9 BDSG technisch-organisatorische Maßnahmen(Auftragsdatenverarbeitung), Muster erhältlich z.B. unterwww.gdd.de oder www.bitkom.org
Bei Rückfragen stehen wir Ihnen gerne zur Verfügung:
DATATREE AGHeubesstraße 1040597 Düsseldorf
Tel. (0211) 931 907 10| Fax (0211) 931 907 99 office@datatree.eu | www.datatree.eu
Vielen Dank für Ihre
Aufmerksamkeit!