COMPLIANCE UND IT-SECURITY Kommt die Bedrohung immer von außen?
Jens Borchers Beratung für Informationsmanagement / cat out gmbh
ECC 2019 Hamburg, 4. April 2019
ECC2019
DiesesWerkeinschließlichallerseinerTeileauchvonDrittenisturheberrechtlichgeschützt.
JedeVerwertung,dienichtausdrücklichvomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenschriftlichenZustimmung.
DasgiltinsbesonderefürVervielfältigungen,Bearbeitungen,ÜbersetzungenunddieEinspeicherungundVerarbeitunginelektronischerForm.
Version:1.0/04.04.2019
JensBorchersBeratungfürInformationsmanagement
Lönsstr.41D-21077Hamburg
KommtdieBedrohungimmervonaußen?
COMPLIANCE UND IT-SECURITY
04.04.2019ComplianceundIT-Security2
ECC2019
AGENDA
1|ComplianceundIT-Security–WoistderZusammenhang?DieBedrohungslageistbekannt,oder?EinpaarDefinitionenExterneundinterneRegelwerke
2|AufbaueinesInformationSecurityManagementSystemsVorgabendesGesetzgebersundandererGremienGartnerSecurityArchitectureStandardszumVorgehen
3|DieverkannteGefahr–der„Innentäter“DieGrenzenvon„Innen“und„Außen“verschwimmenTechnikalleinistnichtdieLösungzurAbwehr
4|FazitundEmpfehlungen04.04.2019ComplianceundIT-Security3
ECC2019
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE BEDROHUNGSLAGE IST BEKANNT, ODER?
04.04.2019ComplianceundIT-Security4
ECC2019
§ Schon2016inKraftgetreten,abererst2017/18–kurzvorEndederÜbergangsfrist–indenFokusgeraten� EU-Verordnung2016/679:Daten-Schutz-Grund-Verordnung(EU-DSGVO)
- EndederÜbergangsfrist25.05.2018- DasgroßeThemainvielenUnternehmenin2017undnochAnfang2018
§ Etwas“untergegangen”,abergenausowichtig� EU-Richtlinie2016/943:SchutzvonKnow-howundGeschäftsgeheimnissen
- EndederÜbergangsfristam08.06.2018- „GesetzzurUmsetzungderRichtlinie(EU)2016/943zumSchutzvonGeschäftsgeheimnissenvorrechtswidrigemErwerbsowierechtswidrigerNutzungundOffenlegung“
- DeutscheUmsetzungbisheutenichtfertig(ReferentenentwurfJuli2018)
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE GESETZLICHE „BEDROHUNGSLAGE“ IST AUCH BEKANNT
04.04.2019ComplianceundIT-Security5
ECC2019
§ IT-Sicherheitsgesetzvon2015� GiltfürmehrUnternehmenalslangläufigangenommen
§ FürFinanzdienstleister:BAIT(11/2017)alsUmsetzungderMaRisk
§ FürvieleIndustrienspezifischeNormenundStandards� z.B.VDE/IEC62443-xfürProduktionsbetriebe
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY DIE GESETZLICHE „BEDROHUNGSLAGE“ IST AUCH BEKANNT
04.04.2019ComplianceundIT-Security6
ECC2019
§ “(IT-)Governance”� AlleVorgabenundImplementierungenvonOrganisationsstrukturen,
ProzessenundAbhängigkeiten,diefürdie(IT-)OrganisationseinheitendesUnternehmenszurDurchführungdervonihnenverantwortetenAufgabenerforderlichsind.“[Goecken2016]- PrimäraufLinienstrukturenundGremienfokussiert
§ „(IT-)Compliance“� DieBefolgungoderEinhaltungvonRegeln,GesetzenundVorschriften
- IT-ComplianceisteinTeilbereichderComplianceaufderGesamtunternehmensebene,dersämtlichegesetzlicheundandereregulatorischeVorgabenhinsichtlichdesbetrieblichenEinsatzesvonITadressiert.[Strasser2012]
- PrimäraufProzesseundderenAbsicherungsmaßnahmenfokussiert
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY EIN PAAR DEFINITIONEN
04.04.2019ComplianceundIT-Security7
ECC2019
§ GovernanceundCompliancewerdendurcheineReihevonRegelwerkenumgesetzt,diesichi.d.R.anexternenVorgabenorientieren� DieEinhaltungistgegenüberexternenGremiennachzuweisen� Diesekönnensein:Finanzverwaltung(GoBD,HGB),Wirtschaftsprüfer(PSxxx),
Aufsichtsbehörden(prominentestesicherBaFinimFinanzdienstleistungs-bereich->MaRisk,BAIT),weiterebranchenspezifische
§ AlleMaßnahmendienenletztlicheinemHauptziel:MinimierungvonRisikenfürdasUnternehmen,u.a.� FinanzielleRisiken(wiez.B.Eigenkapital,LiquiditätbeiBanken)� Sicherheitsrisiken(wiez.B.UmweltsicherheitbeiProduktionsbetrieben)� UmgangmitGeschäftsgeheimnissen
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY EXTERNE UND INTERNE REGELWERKE
04.04.2019ComplianceundIT-Security8
ECC2019
§ IT-Securityistein(zunehmendwichtigerer)BestandteilderGovernance-undCompliance� NichtnurinBezugaufdieklassischenIT-Themenwiez.B.
- AuthentifizierungundAutorisierung- ZugangsschutzzukritischenDaten- Datensicherungen- Notfallmanagement
� OrganisatorischeAbsicherungvonIT-unterstütztenProzessen- Sicherheits-ChecksfürMitarbeitermitkritischenPrivilegien(Administratoren)- On-boardingneuerMitarbeiter(internundextern)- Off-boardingvonMitarbeitern(geradeexterner!),dienichtmehrtätigsind- VertraglicheRegelungenfürdieZeitwährendundnachderBeschäftigung
1 – ZUSAMMENHANG COMPLIANCE/IT-SECURITY IT-SECURITY UND GOVERNANCE/COMPLIANCE
04.04.2019ComplianceundIT-Security9
ECC2019
§ EU-DSGVO� Artikel25:DatenschutzdurchtechnischeundorganisatorischeMaßnahmen� Artikel32:SicherheitderVerarbeitung
- Vertraulichkeit,Integrität,VerfügbarkeitundBelastbarkeit- NotwendigkeitzurEinführungeinesDatenschutz-Managementsystem(DSMS)
� Artikel42:ZertifizierungderimplementiertenMaßnahmen- Nachweiszwar„freiwillig“,aberimDatenschutzverletzungsfallsicherlichhilfreich- IneinigenBranchenmittlerweileein„Muss“
§ IT-Sicherheitsgesetz� 2015FortschreibungdesBSI-Gesetzesvon2009� AusweitungdesBegriffs„BetreiberkritischerInfrastrukturen“
- SchließtjetztauchBetreibervonWeb-Angebotenmitein!
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS VORGABEN DES GESETZGEBERS ZUR IT-SICHERHEIT
04.04.2019ComplianceundIT-Security10
ECC2019
§ ISO/IEC2700x–internationalanerkannterStandardzurImplementierungeinesISMS� ZertifizierungnachISO/IEC27001invielenBereichenheuteStandard� ISO/IEC27001:2017–AufbauundWartungeinesISMS
- Plan-Do-Check-Act-Ansatz:Konzept,Implementierung,Überprüfung,Optimierung
§ BSI-Grundschutz-Handbücher� UmsetzungdesIT-SicherheitsgesetzesdurchentsprechendeHandbücher(200-1
bis200-4)unddiverseHandlungsempfehlungen- wiez.B.geradezumMindestabstandgeoredundanterRechenzentrenvon5auf200km
� EnthältwiederumReferenzaufISO/IEC27000
§ WeitereStandardsderWirtschaftsprüfer(insb.PS330)
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS INTERNATIONALE UND NATIONALE GREMIEN ZUR STANDARDISIERUNG
04.04.2019ComplianceundIT-Security11
ECC2019
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS
04.04.2019ComplianceundIT-Security12
Quelle:Gartner-MarketGuideforEndpointDetectionandResponseSolutions,November2018
BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)
ECC2019
§ Predict/Analyse-Phase� Definierender„Außengrenzen“
- „Perimeter“- DurchmultipleCloudsnichteinfachergeworden
� FestlegungderkritischenAssets- ZusammenspielmitDataGovernance
� ErmittelnderGesamt-Bedrohungslage- Schutzbedarfsanalyse
� AufstellungeinesSicherheitsplansmitorganisatorischenundtechnischenAnsätzen
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)
04.04.2019ComplianceundIT-Security13
ECC2019
§ Prevent/AufbauaktiverAbwehrmaßnahmen� IsolierungeinzelnerNetz-Zonen� Firewall-Topologie
- Backland-Firewalls� Angriffsabwehr
- DDoS- IntrusionDetection- Virenscanner/Malware-Abwehr
� Zugangssysteme- “IAM”–IdentityandAccessManagement- Multi-Faktor-Authentifizierung
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)
04.04.2019ComplianceundIT-Security14
ECC2019
§ Detect/ÜberwachungderProzesse� Logging–„Nichtabstreitbarkeit“� Datenfluss-Überwachung
- „DLP“–DataLossPrevention- Insbesonderedort,woDatendieUnternehmenssphäreverlassenkönnen
� ErmittlungungewöhnlichenVerhaltens- „SIEM“–SecurityInformationandEventManagement
- „UEBA“–UserandEntityBehavioralAnalytics
� ZunehmendEinsatzvonKI-Methoden
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)
04.04.2019ComplianceundIT-Security15
ECC2019
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL: DATA PROTECTION PLATFORM (DIGITAL GUARDIAN)
04.04.2019ComplianceundIT-Security16Quelle:DigitualGuardianDataProtectionPlatform
Analytics/UEBAAnalyse-,Workflow-undReporting-Cloud-ServiceWorkspaces
SaaSfürEchtzeitberichte,Ereignis-AnalysenbenutzerdefinierteDashboardsu.Berichte
ManagementConsoleKonfigurationu.BereitstellungvonAgenten,
VerwaltungRichtlinienu.VerteilunganAppliancesundAgenten
ApplicationsDataDiscovery,DataClassification,DLP,EDR,
UEBA,CloudDataProtectionAgent
ÜberwachungSystem-,Benutzer-,Daten-AktivitätAppliance
ÜberwachungNetzwerkKommunikation,Datenbanken,StorageRepositories,Cloud
ECC2019
§ Respond/MaßnahmenbeiSicherheitsvorfällen� ImRahmenvonSIEMundITIL-Incident
ManagementdasDurchlaufendefinierterProzesse- VermeidungweitererSchäden- WiederherstellungeinesgesichertenZustands
� ErmittlungderSicherheitslückenundBeteiligter- „Forensik“
� KontinuierlicheOptimierung
2 – AUFBAU EINES INFORMATION SECURITY MANAGEMENT SYSTEMS BEISPIEL FÜR EINE SICHERHEITSARCHITEKTUR (GARTNER NOV 2018)
04.04.2019ComplianceundIT-Security17
ECC2019
§ TypenundMotivevonAngreifern:� EigeneUnterhaltung� TesteigenerFähigkeiten� Ruhm� Rache� Sicherheitsproblemeaufdecken� TestlauffürgrößerenAngriff� ErpressungvonGeld� Spionage
- Wirtschaftsspionage- PolitischeSpionage
� Sabotage
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ ANGREIFER UND IHRE MOTIVE
04.04.2019ComplianceundIT-Security18
Quelle:SchulungIT-Sicherheit-mitunsdigital,März2019
ECC2019
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ BITKOM-STUDIE 2017 (BETRACHTUNGSZEITRAUM 2 JAHRE)
04.04.2019ComplianceundIT-Security19
Quelle:https://www.bitkom.org/sites/default/files/pdf/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf
ECC2019
§ „[…]Menschen[…],dieinUnternehmenundOrganisationengezieltundmitVorsatzdoloseHandlungendurchführen.InnentäterkönnendurchAngreifergezieltinOrganisationenpositioniertwordenseinoderMenschenwerdendurchverschiedeneUmständezuInnentätern.“[Grützner/Jakob2015inBKA-Innentäter-Studie]
§ AbgrenzungzuMitarbeitern,dieunfreiwilligHandlangervonAngreifernwerden:� SchwachePasswörter� Phishing� KorrumpierteWebsites� UngeprüfteexterneDatenträger� VermischungPrivat/Firma
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ DEFINITION
04.04.2019ComplianceundIT-Security20
ECC2019
§ AlleAbwehr-Technik(„Prevent“)versagtbeiSocialEngineering� „SocialEngineeringistderVersuch,unterAusnutzungmenschlicher
EigenschaftenZugangzuKnow-howzuerhalten.DerAngreifernutztdabeiDankbarkeit,Hilfsbereitschaft,Stolz,Karrierestreben,Geltungssucht,BequemlichkeitoderKonfliktvermeidungaus.DabeibietenhäufigsozialeNetzwerkeoderauchFirmenwebseitenMöglichkeiten,umsichaufseinOpfergründlichvorzubereiten.“(DefinitiondesVerfassungsschutzesBrandenburg)
� SEfunktioniert,weilnormalemenschlicheEigenschaftenausgenutztwerden.
§ Aber:UEBA/SIEM-Werkzeuge(„Detect“)könnenHinweisegeben,z.B.� AuffälligesVerhaltenwieRemote-LoginzuungewöhnlichenZeiten� ZugriffaufsonstniebenutzteDaten,dienichtzumeigenenArbeitsbereich
gehören(aberfürdenMitarbeiter–ggf.fälschlich–erreichbarsind)
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ SOCIAL ENGINEERING ALS ANGRIFFS-STRATEGIE
04.04.2019ComplianceundIT-Security21
ECC2019
Echtzeit-ThreatIntelligencezurIdentifizierungvonBedrohungeninnerhalbundaußerhalbdeseigenenNetzwerks.
§ DatenausMillionenvonQuellenimInternetsowieimDeepundDarkWebwerdenerfasst,verarbeitetunddiefürUnternehmenrelevantenInformationenextrahiert.
§ AlsService,z.B.Blueliv.
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ BEOBACHTUNG NICHT NUR DER EIGENEN SPHÄRE (BLUELIV)
04.04.2019ComplianceundIT-Security22
Blueliv:VerwaltenvonCyberrisikenfürRisikomanager
ECC2019
§ IT-SicherheitdurchGovernance/Compliance� SchonBewertungbeimBewerbermanagement
- BKA-RichtlinienfürkritischePositionen(Administratoren)einsetzen
� KlareArbeitsvertragsregelnfürneueMitarbeiter,dieauchSicherheitsthemenregeln- vorallemindenletztenWochenvorundnachdemAusscheiden- HoheAbschreckungs-VertragsstrafenauchnachBeschäftigungsende
� KlareRegelwerkeauchfürdasManagement- Abwehrvonz.B.„CEOFraud“funktioniertnurso!- „GanzdringendeundgeheimeAngelegenheit“und„malebenGefallentun“sindauchfürManagertabu!
- MindestensVier-Augen-PrinzipundvereinbarteBestätigungskanäle
3 – DIE VERKANNTE GEFAHR - DER SOG. „INNENTÄTER“ NUR KOMBINATION GOVERNANCE/COMPLIANCE MIT TECHNIK HILFT
04.04.2019ComplianceundIT-Security23
ECC2019
§ DieBedrohung–auchvonInnen–nimmttendenziellzu!� JüngereManagerweltweitnehmenunethischesVerhaltenfürErfolginKauf
- Wefoundthatrespondentsunder35yearsofagearemorelikelytojustifyfraudorcorruptiontomeetfinancialtargetsorhelpabusinesssurviveaneconomicdownturn,with1in5youngerrespondentsjustifyingcashpaymentscomparedto1in8respondentsover35.[EY-Studie2018]
§ Fazit:NureinganzheitlicherAnsatzvonTechnikundOrganisationimZusammenspielkanndieSicherheitsrisikenderGegenwartundZukunftzumindestmindern!
§ WichtigsterAnsatz:Sensibilisierung,SchulungenundSchaffungeines“gesundesMisstrauens”–undimmerwiedereigene„Angriffe“
§ “Compliancehasaroleinthefirstlineofdefense.”[EY-Studie2018]
4 – FAZIT UND EMPFEHLUNGEN TECHNIK UND ORGANISATION IM ZUSAMMENSPIEL
04.04.2019ComplianceundIT-Security24
Quelle:Ernst&Young-15thGlobalFraudSurvey2018-https://fraudsurveys.ey.com/ey-global-fraud-survey-2018/
©2019BorchersBfIHamburg
FRAGEN UND KOMMENTARE WILLKOMMEN!
04.04.2019ComplianceundIT-Security25
Quelle:https://pixabay.com/de/vectors/mikrofon-audio-musik-h%C3%B6ren-159768/
ECC2019
KONTAKT
04.04.2019ComplianceundIT-Security26
MarinaDöhling [email protected]@cat-out.comwww.cat-out.com
MARKETINGUNDVERTRIEB
Dipl.-Math.JensBorchersSr.ExecutiveConsultant