Hinterher ist man immer schlauer

Veranstaltung Cybercrime
27.08.2015
Hinterher ist man immer schlauer …
wie Sie späte Einsicht vermeiden.
Prof. Dr. Thomas Jäschke
Vorstellung
DATATREE AG
Beratung von Unternehmen und öffentlichen Stellen
– bei der Einführung von Datenschutzkonzepten und IT-Sicherheitsleitlinien
– bei der Umsetzung konkreter Maßnahmen und Dienstvereinbarungen im
Bereich Datenschutz und IT-Sicherheit
– bei der Sicherstellung durch entsprechende Kontrollmechanismen
Prof. Dr. Thomas Jäschke
– Vorstand der DATATREE AG und externer Datenschutzbeauftragter für
Unternehmen
– Professor für Wirtschaftsinformatik an der FOM Hochschule für
Oekonomie & Management GmbH
– mehr als 20 Jahren Expertise in Datenschutz und Datensicherheit
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 2
Überblick – Themen des heutigen Vortrages
Informationssicherheitsmanagement
Grundlagen & Definitionen
Informationssicherheitsmanagement in der Praxis
Organisation des Informationssicherheitsmanagements
Quellen und weiterführende Links
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 3
Informationssicherheitsmanagement
Grundlagen und Definitionen
Datenschutz
Datensicherheit
schützt natürliche Personen vor
Verletzungen ihrer
Persönlichkeitsrechte
Personenbezogene Daten, NICHT
Firmeninterna, Patente …
Basis ist das Grundgesetz,
aus dem sich das
Bundesdatenschutzgesetz
ableitet
ist der Schutz der Hardware,
Software, IT-Infrastruktur vor
Missbrauch, unberechtigten
Zugriffen, Diebstahl, Verlust,
höherer Gewalt.
ALLE Daten eines Unternehmens
Neben Maßnahmen der ITSicherheit auch Maßnahmen wie
z.B. Sicherung der Gebäude,
Notstromversorgung
Gemeinsamkeiten
Interessenskonflikte
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 4
Informationssicherheitsmanagement
Grundlagen und Definitionen
Informationen … sind interpretierte Daten, nicht nur in digitaler oder
elektronischer Form.
Informationssicherheit ist…
Aufrechterhaltung der Vertraulichkeit,
Integrität und Verfügbarkeit von Informationen¹
• Sie beinhaltet IT-Sicherheit als
Leistungsdomäne
• Berücksichtigt zusätzlich weitere
Themen, z.B.:
– Strategie, Compliance, Prozesse
– Techn. und org. Maßnahmen
• Fokus auf Schutzbedarf
Informationssicherheit
IT- Sicherheit
¹(ISO/IEC 27001)
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 5
Informationssicherheitsmanagement
Grundlagen und Definitionen
Rechtliche Vorgaben durch (Auszug)
• Bundesdatenschutzgesetz (BDSG)
• Telekommunikationsgesetz (TKG)
• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU)
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
• Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
(IT-Sicherheitsgesetz)
• Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
(BSIG)
• ggf. Gesetze anderer Länder … bspw. US-Gesetze
Sarbanes-Oxley Act (u.a. IT-Compliance), US Patriot Act
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 6
Informationssicherheitsmanagement
Grundlagen und Definitionen
Technische Vorgaben durch
• IT-Grundschutz-Kataloge und BSI-Standards 100-1 bis 100-4 vom
Bundesamt für Informationstechnik (BSI)
• ISO/IEC 27001
– beschreibt Anforderungen an ein ISMS-Managementsystem
– ermöglicht Zertifizierung
– zu 100% kompatibel mit IT-Grundschutzkatalog, erweitert diesen
– für international tätige und börsennotierte Unternehmen geeignet
• IT Infrastructure Library (ITIL)
– Sammlung dokumentierter IT Best Practice
– Meist verwendete Dokumentation bei Absicherung von
informationsverarbeitenden Einrichtungen
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 7
Informationssicherheitsmanagement
Grundlagen und Definitionen
IT-Grundschutzkataloge – Empfehlungen von Methoden, Prozessen und
Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen
Bausteine
Gefährdung
Maßnahmen
Übergeordnete
Aspekte
Elementare
Gefahren
Infrastruktur
Infrastruktur
Höhere Gewalt
Organisation
IT-Systeme
Organs. Mängel
Netze
Anwendungen
DATATREE AG | 27.08.2015
Menschliches
Verhalten
Technisches
Versagen
Vorsätzliche
Handlungen
Personal
Hard-/Software
Kommunikation
Notfallvorsorge
Roadshow Cybercrime - Informationssicherheitsmanagement | 8
Informationssicherheitsmanagement
in der Praxis
Problemstellungen in vielen Unternehmen
Historische Aufteilung von Verantwortlichkeiten
Fehlendes Budget & personelle Ressourcen
Informationssicherheit oft ein Lippenbekenntnis
Rudimentäre Ausrichtung an Unternehmenszielen und -strategie
Keine gemeinsame, unternehmensübergreifende Strategie –
Zielsetzung
• Reduktion von Informationssicherheit auf IT-Sicherheit, Faktor
Mensch bleibt unbeachtet
• Stetig steigende Anforderungen durch Gesetze und Compliance
setzen andere Prioritäten als Unternehmen selbst
•
•
•
•
•
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 9
Informationssicherheitsmanagement
in der Praxis
Erste Schritte - Situationsanalyse
Gebäudesituation (Sicherung des Gebäudes, Räumlichkeiten, Umgang mit
Besuchern, …)
Organigramm, Hierarchie (Aufgaben, Zuständigkeiten, Rollenverteilung,
externe Dienstleister, …)
Vorhandene Berechtigungen (Admins, Mitarbeiter, leitende Angestellte,
Geschäftsführung)
Vorhandene Infrastruktur (Server, Netzwerke, Cloud/Hosting, Clients,
Mobilgeräte, Anwendungen, Software …)
Vorhandene Sicherheitsmaßnahmen (Firewall, Back-Ups, Brandschutz…)
Richtlinien (Umgang mit Privatnutzung, E-Mails, Social Media, …)
TIPP:
Strukturierung der Bestandsaufnahme im Unternehmen nach
Anlage zu § 9 BDSG (technisch-organisatorische Maßnahmen)
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 10
Informationssicherheitsmanagement
in der Praxis
Erste Schritte - Schutzbedarfsanalyse
Welche Daten und Informationen liegen im Unternehmen vor und welchen
Schutzbedarf haben sie im Bezug auf Vertraulichkeit, Integrität und
Verfügbarkeit:
1. Einstufung von Informationen und Daten in die Schutzbedarfskategorien
normal– hoch – sehr hoch (Bsp. nach: Negative Außenwirkung,
finanzielle Schäden, Verstoß gegen Gesetze …)
2. Formulierung von Schadensszenarien (maximale Schäden, Folgeschäden)
3. Feststellung des Schutzbedarfs der Anwendungen
4. Feststellung des Schutzbedarfs der IT-Systeme (Bsp. Verteilung,
Abhängigkeiten …)
5. Feststellung des Schutzbedarfs der Kommunikation (Außenverbindung,
Weitergabe vertraulicher Daten …)
6. Schutzbedarf der IT-Räume
7. Identifikation eines besonders hohen Schutzbedarfes
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 11
Informationssicherheitsmanagement
in der Praxis
Die nächsten Schritte – Modellierung
Erstellung eines Maßnahmen-Kataloges anhand der IT-Grundschutz-Kataloge,
z.B. einem Schichtenmodell („Layer“):
• Übergreifende Aspekte (Personal, Organisation,
Informationssicherheitsmanagement, Outsourcing …)
• Infrastruktur (Gebäude, Verkabelung, Home Office-Modelle,
Schutzschränke …
• IT-Systeme (Server, Client, Hosts …)
• Netze (Kommunikationsnetze, WLAN, Internet, …)
• Anwendungen (Office-Programme, E-Mail, Datenbanken …)
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 12
Informationssicherheitsmanagement
in der Praxis
Die nächsten Schritte – Sicherheitscheck
Prüfung der im Modell festgelegten Maßnahmen, inwieweit diese im
Unternehmen
• umgesetzt
• teilweise umgesetzt
• nicht umgesetzt
• entbehrlich
sind.
Zu ergreifende Maßnahmen:
• Auswahl der verantwortlichen Ansprechpartner (u.a. auch Hausdienste ...)
• Durchführung eines Soll-Ist-Vergleichs ggf. anhand von Stichproben
• Dokumentation der Ergebnisse
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 13
Informationssicherheitsmanagement
in der Praxis
Die nächsten Schritte – Realisierung der Maßnahmen
• Sichtung des Basischecks – welche Maßnahmen sind bereits umgesetzt,
welche nicht?
• ggf. Anpassung der Sicherheitsmaßnahmen an neu festgestellten
Sicherheitsbedarf, Umsetzbarkeit etc.
• Kosten- und Aufwandschätzung
• Festlegung der Umsetzungsreihenfolge der Maßnahmen, Priorisierung
• Festlegung der Verantwortlichkeiten
• Begleitung der Umsetzung durch Maßnahmen wie Information an die
Mitarbeiter, Schulungen, Sensibilisierung der Mitarbeiter
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 14
Informationssicherheitsmanagement
in der Praxis
… und im Anschluss …
• Aufrechterhaltung des Sicherheitsprozesses
• Prüfung des Prozesses auf Effektivität und Effizienz
• Kontinuierlicher Verbesserungsprozess
• Schaffung eines dauerhaften Sicherheitsbewusstseins bei den
Mitarbeitern durch wiederholte Schulungen
• Ansprechpartner für die Probleme der Mitarbeiter im Alltag sein
• Aufnahme von Sicherheitsvorfällen in Prozess
• Zertifizierung (wer möchte …) nach BSI, ISO 27001 …
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 15
Organisation des
Informationssicherheitsmanagement
Strategische Ausrichtung
• Integration Top-Level Management
• Ausrichtung an Unternehmenszielen und -strategie
• Anpassung von Firmenkultur und -philosophie
Organisatorische und betriebliche Maßnahmen
• Verfahrens- und Arbeitsanweisungen
• Sicherheitsbewusstsein schaffen – Awareness
• Betriebsprozesse standardisieren, dokumentieren
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 16
Organisation des
Informationssicherheitsmanagement
Der Informationssicherheitsbeauftragte oder Chief Information
Security Officer (CISO) ist zuständig für die Wahrnehmung aller
Belange der Informationssicherheit innerhalb der Unternehmung.
Aufgaben: (Auszug)
• Schutzbedarfsanalyse
• Steuerung und Dokumentation des Informationssicherheitsprozesses
• Formulierung einer IS-Richtlinie
• Regelungen zur Informationssicherheit zu erlassen
(Notfallplan, Sicherheitskonzept, usw.)
• sicherheitsrelevante Projekte zu koordinieren
• Kontrollinstanz der IT-Sicherheit
• Prüfung der getroffenen Maßnahmen bezüglich gesetzlicher
Anforderungen bes. in Bezug auf Datenschutz
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 17
Organisation des
Informationssicherheitsmanagement
Aufbauorganisation
• der Berichtsweg findet direkt zur
Geschäftsführung/
Chief Executive Officer (CEO) statt
• CISO kann als Stabsstelle
eingerichtet werden
• der CISO ist nicht dem CIO unterstellt
• Sicherung und Risikomanagement
aller Informationswerte (Assets)
eines Unternehmens sind die Aufgaben
des CISO
• IT-Security ist eine Untermenge der
Aufgaben eines CISO
DATATREE AG | 27.08.2015
CEO
CISO
CIO
Roadshow Cybercrime - Informationssicherheitsmanagement | 18
Organisation des
Informationssicherheitsmanagement
Gemeinsame Kompetenzen für Datenschutz und
Informationssicherheit
• beide Rollen schließen sich nicht aus
• Aspekte der Personalunion:
– Schnittstellen zwischen den beiden Rollen sollten klar definiert
und dokumentiert werden
– konfliktträchtige Themen ggf. noch nachrichtlich an die Revision
weiterleiten
– ausreichend Ressourcen für die Wahrnehmung beider Rollen
• Erfüllungsgehilfen
• qualifizierter Vertreter
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 19
Zusammenfassung
Wie Sie späte Einsicht vermeiden
• Informationssicherheitsmanagement wird zunehmend zu einem der
wichtigsten Erfolgsfaktoren von Unternehmen
• Schaffung entsprechender Strukturen unabdingbar – und möglich
• Sicherheitsbewusstsein muss gestärkt werden
– Firmenkultur und –philosophie
– Einbindung der Mitarbeiter
• Klare Verantwortlichkeiten bei Geschäftsführung, CISO und
Mitarbeitern
• Kontinuierlicher Prozess erforderlich
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 20
Quellen und weiterführende Links
•
Leitfaden Informationssicherheit
IT-Grundschutz-Profile „Anwendungsbeispiel für den Mittelstand“
IT-Grundschutz-Profile „Anwendungsbeispiel für eine kleine Institution“
u.v.m.: www.bsi.bund.de
•
Leitfaden zur Informationssicherheit in kleinen und mittleren
Unternehmen, hrsg. IT-Beauftragter der Bayrischen Staatsregierung
www.bihk.de
•
Informationssicherheit für KMU
hrsg. Bayrischer IT-Sicherheitscluster e.V.
www.muenchen.ihk.de („Einstiegsmodell“)
•
Anlage zu § 9 BDSG technisch-organisatorische Maßnahmen
(Auftragsdatenverarbeitung), Muster erhältlich z.B. unter
www.gdd.de oder www.bitkom.org
DATATREE AG | 27.08.2015
Roadshow Cybercrime - Informationssicherheitsmanagement | 21
Vielen Dank für
Ihre
Aufmerksamkeit!
Bei Rückfragen stehen wir Ihnen gerne zur Verfügung:
DATATREE AG
Heubesstraße 10
40597 Düsseldorf
Tel. (0211) 931 907 10| Fax (0211) 931 907 99
[email protected] | www.datatree.eu

Download Report