close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

(K)einer weiß so viel wie Sie? - Schutzwerk GmbH

EinbettenHerunterladen
(K)einer weiß so viel wie Sie?
Informationssicherheit ist Chefsache
Vortrag vom 29. März 2012 | Business-Breakfast-Bodensee | Holger Gerlach
“If you think technology can solve your security problems, then you don't understand the problems
and you don't understand the technology” - Bruce Schneier
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
2 /29
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
3 /29
Einleitung
►
©
Informationstechnologien durchdringen zunehmend unsere Unternehmen. Die Insel- und Nischenlösungen der 80iger und 90iger Jahre...
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
4 /29
Einleitung
►
Informationstechnologien durchdringen kontinuierlich stärker unsere
Unternehmen – Die Insel- und Nischenlösungen der 80iger und 90iger
Jahre...
….haben sich zu komplexen Netzwerken entwickelt, in welchen „Alles“
und „Jeder“ mit einander in Verbindung steht.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
5 /29
Einleitung
►
Informationen, die früher Aktenschränke über Aktenschränke füllten...
►
…können heute auf winzigen Speichermedien
untergebracht werden.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
6 /29
Einleitung
►
Kaum ein Geschäftsprozess ist ohne die Unterstützung von
Informationstechnologien mehr denkbar.
►
Die IT-Abhängigkeit der Unternehmen steigt unaufhörlich und ein
Ende ist nicht in Sicht.
►
Informationssicherheit (= die Gewährleistung der IT-Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit - für IT-Systeme und
Daten) wird dadurch zum unternehmenskritischen Erfolgsfaktor.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
7 /29
Einleitung
►
Die Unternehmensgröße spielt dabei keine Rolle.
> Der Verlust von Buchhaltungsdaten und der Vertriebsdatenbank aufgrund
einer Vireninfektion kann für das kleine Handwerksunternehmen genauso
gravierende Konsequenzen haben, wie der mehrtägige Ausfall der SAPUmgebung für einen Konzern.
> Der Unterschied liegt lediglich in der Art und dem Umfang der zu
ergreifenden Sicherheitsmaßnahmen.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
8 /29
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
9 /29
Sicherheitsvorfälle in der Praxis
Steuerberater und Rechtsanwälte als Erpressungsopfer
►
Durch gezielte Hacker-Angriffe verschaffen sich Kriminelle Zugriff auf die
Mandantenlisten und -daten von Steuerberatern und Rechtsanwälten.
►
Kurz darauf erhalten die Opfer Erpressungsschreiben mit einem Auszug der
erbeuteten Daten und der Aufforderung Geld zu bezahlen.
►
Die Kriminellen drohen damit, die Mandanten über den Verlust der Daten zu
informieren.
►
Besonders perfide: Die Schreiben enthalten
häufig „Referenzlisten“ mit den Namen
anderer Opfer, bei welchen sich die
Betroffenen erkundigen können, ob sich
mit der einmaligen Zahlung der Fall
tatsächlich erledigt.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
10 /29
Sicherheitsvorfälle in der Praxis
Unternehmen verliert Daten durch Verwechslung von Systemen
►
Innerhalb der SAP-Umgebung eines Industrieunternehmens werden zahlreiche
Aktualisierungen (zunächst innerhalb eines Test-Systems) durchgeführt.
►
Beim „Transport“ der Aktualisierungen auf das Produktivsystem unterläuft ein
Fehler – das Test-System übernimmt fälschlicherweise und unbemerkt die
Funktion des Produktivsystems.
►
Nach mehreren Wochen problemlosen Betrieb löscht ein Administrator die Daten
des mutmaßlichen Testsystems und zerstört so die Produktivdaten.
►
Alle Datensicherungsprozesse bezogen sich auf das tatsächliche Produktivsystem;
da die gesicherten Daten nicht regelmäßig auf Integrität und Rückspielbarkeit
geprüft wurden, viel der Fehler nicht auf.
►
Mittels großem Aufwand und spezieller Technik
konnten die gelöschten Daten weitgehend
wiederhergestellt werden; das SAP-System fiel
jedoch für mehrere Tage aus.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
11 /29
Sicherheitsvorfälle in der Praxis
„Hacker“ greifen Emissionshändler an
►
2010 erfolgte ein Spear Phishing Angriff via E-Mail auf am Emissionshandel
beteiligte Unternehmen.
►
Inhalt der E-Mail: „Zur Abwehr drohender Hackerangriffe müssen sich die
Unternehmen beim Handelsportal der Deutschen Emissionshandelsstelle neu
registrieren“.
►
Über das Portal wurden durch die Angreifer Emissionszertifikate auf andere
Depots transferiert und dann weiter verkauft.
►
Die Angriffe wurden zeitgleich in
mehreren Ländern durchgeführt.
►
Die Emissionshandelsbörsen
stellen daraufhin den Handel für
mehrere Tage ein.
►
Es entstand zweistelliger
Millionenschaden!
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
12 /29
Sicherheitsvorfälle in der Praxis
Marder legt Rechenzentrum eines Flughafens lahm
►
Ein Marder dringt in einen Stromverteiler auf dem Gelände eines Flughafens ein
und löst einen Stromüberschlag aus, welcher eine massive Spannungsspitze zur
Folge hat.
►
An diesen Stromverteiler ist das Rechenzentrum (RZ) des Flughafens angebunden.
►
Die USV-Anlage des RZ filtert die Spitze zwar aus, jedoch ist die Klimatechnik
nicht über die USV-Anlage abgesichert.
►
In Folge kommt es zu einem Ausfall der
Klimatechnik, worauf die Temperatur
im RZ rapide ansteigt und auf Notbetrieb
umgestellt werden muss.
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
13 /29
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
14 /29
Zahlen, Fakten, Herausforderungen
►
Organisierte Internet-Kriminalität hat sich zu einem hoch profitablen
Geschäftsmodell entwickelt.
Russland 29,6 %
USA 10,5 %
Großbritannien 3,5 %
Rumänien 4,1 %
Ursprung der Angriffe
Vietnam 3,2 %
(Aktivste Länder)
Quelle: Trustwave 2012 Global Security Report
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
Ursprung nicht
nachvollziehbar 32,5 %
15 /29
Zahlen, Fakten, Herausforderungen
►
Angriffe im Bereich Internet-Kriminalität zielen vor allem auf
Kreditkartendaten, Bankverbindungen und Kundendatenbanken
ab.
►
Im Bereich der Industrie und Wirtschaftsspionage wird gezielt
auf das Know-How von Unternehmen jagt gemacht.
►
Laut Bundesamt für Verfassungsschutz gelten hierbei Russland
und China als besonders aktiv.
Russland
China
* Quelle: Verfassungsschutzbericht 2010 (und Vorjahre)
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
16 /29
Zahlen, Fakten, Herausforderungen
►
Meist ist kein besonderes Know-how erforderlich, um erfolgreich
Angriffe durchführen zu können.
►
Die Opfer werden häufig nach dem Zufallsprinzip ausgewählt,
wobei schwache Sicherheitsmaßnahmen die Wahrscheinlichkeit
Opfer zu werden, deutlich erhöht.
96 %
96 % der erfolgreichen Angriffe benötigten
kein besonderes Know-How
79 %
79 % der Opfer wurden zufällig ausgewählt
* Quelle: Verizon 2012 Data Breach Investigations Report
©
SCHUTZWERK GmbH
|
(4 %
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
Der Anteil der Innentäter
ist mit 4 % rückläufig
)
17 /29
Zahlen, Fakten, Herausforderungen
►
Schadprogramme (Computerviren) stellen bzgl. Datenklau und
Systemausfällen eine große Gefahr dar.
69 %
83 %
17 %
In 69 % der Fälle von Datenklau
wurde Schadsoftware verwendet*
Virenscanner erkennen derzeit nur
Maximal 83 % der Schadprogramme**
* Quelle: Verizon 2012 Data Breach Investigations Report
** Quelle: Trustwave 2012 Global Security Report
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
18 /29
Zahlen, Fakten, Herausforderungen
►
Die Gefahr als Unternehmen Opfer von Internet-Kriminalität oder
Spionage zu werden, wird immer größer.
►
Die Konsequenzen von Betriebsstörungen (Systemausfälle,
Datenverlust) im IT-Umfeld werden immer drastischer und können
innerhalb der (kritischen) Geschäftsprozesse erheblichen Schaden
verursachen.
►
Das Angreifer Sicherheitsbarrieren überwinden oder unternehmenskritische IT-Systeme aufgrund technischer Störungen beeinträchtigt
werden, kann nicht ausgeschlossen werden.
►
Der Mensch ist dabei häufig das schwächste Glied in der Kette der
Sicherheitsmaßnahmen.
►
Lösungen müssen daher umfassend, nachhaltig und
dauerhaft wirken!
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
19 /29
Zahlen, Fakten, Herausforderungen
Umfassende, nachhaltige und dauerhafte Informationssicherheit im Unternehmen bedingt...
©
►
...eine Mehrstufigkeit der Sicherheitskonzepte...
►
...ausgehend von den kritischen Geschäftsprozessen und den Werten
(Daten) des Unternehmens...
►
...unter Berücksichtigung aller IT-Anwendungen und -Systeme...
►
…mit Einbeziehung des Menschen...
►
...in Verbindung mit Prozessen.
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
20 /29
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
21 /29
Lösungen
►
©
Noch mehr Soft- und Hardware!?
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
22 /29
Lösungen
Zum Ziel in 5 Schritten
1
„Spielregeln“ festlegen (Sicherheitsstrategie)
und Verantwortlichkeiten definieren
2
5
Übersicht zu allen IT-Anwendungen
und -Systemen erlangen
Maßnahmen optimieren bzw.
umsetzen
Informationssicherheitsmanagement in der Praxis
©
4
3
Bestehende Sicherheitsmaßnahmen
auf die Erfüllung der Soll-Anforderungen
prüfen (Sicherheitsaudit) und ggf.
Handlungsbedarf ableiten
Sicherheitsanforderungen für die
IT-Anwendungen und -Systeme
festlegen (Soll)
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
23 /29
Lösungen
Zum Ziel in 5 Schritten - Fragestellungen
1
Welche Rolle spielt die IT für mein Unternehmen?
Welchen Stellenwert hat die Informationssicherheit?
Wer trägt die Verantwortung dafür?
5
Welche Maßnahmen sind
mit welcher Priorität
umzusetzen?
©
2
Wie gestaltet sich meine IT-Umgebung?
Wo befinden sich Schnittstellen zu
anderen Netzwerken?
Welche externen Partner
Informationssicherheitssind involviert?
management in der Praxis
4
3
Werden die bestehenden Sicherheitsmaßnahmen den Anforderungen gerecht?
Wo besteht Optimierungsbedarf?
Welche Anforderungen stellen meine
Geschäftsprozesse an die IT-Anwendungen
und -Systeme (Vertraulichkeit, Integrität,
Verfügbarkeit)?
Welche Bedrohungen sind relevant?
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
24 /29
Lösungen
Zum Ziel in 5 Schritten – konkrete Aktivitäten
1
Ausarbeitung einer Sicherheitsleitlinie durch die
Geschäftsführung (Strategiepapier) und
Veröffentlichung im Unternehmen / Erstellung
einer „Verantwortungsmatrix“
5
Beschreibung und Planung
der Maßnahmen auf Basis
einer Roadmap und
Umsetzung
©
2
Konsolidierung aller Informationen
zu IT-Anwendungen und -Systemen
in einer zentralen Datenbank
Informationssicherheits- (z.B. verinice) / Schaffung eines
management in der Praxis grafischen Gesamtüberblicks
(Netzwerkplan)
4
3
Durchführung technischer und konzeptbezogener Audits (Vorgaben u.a.
laut ISO/IEC 27001 und
IT-Grundschutz)
Ableitung der Anforderungen an die
IT-Grundwerte für alle IT-Anwendungen
und -Systeme, ausgehend von den
Geschäftsprozessen und Dokumentation in
der zentralen Datenbank
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
25 /29
Lösungen
Mit diesem Managementprozess in 5 Schritten stellen Sie sicher...
►
...dass allen Mitarbeitern der Stellenwert der Informationssicherheit im
Unternehmen bewusst wird
►
...dass Sicherheitsprozesse und -maßnahmen durch eindeutige
Verantwortlichkeiten tatsächlich vorangetrieben werden (der
„natürliche Feind“ der Informationssicherheit ist das Tagesgeschäft)
►
...dass die IT-Umgebung dabei umfassend berücksichtigt wird
►
...dass Sicherheitsmaßnahmen gezielt umgesetzt werden und sich an den
Anforderungen der Geschäftsprozesse orientieren (Gewährleistung von
Angemessenheit und Wirtschaftlichkeit, Vermeidung des
„Gießkannenprinzips“)
►
...dass Sicherheitsschwachstellen zeitnah erkannt und behoben werden
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
26 /29
Inhalt
©
1
Einleitung
2
Sicherheitsvorfälle in der Praxis
3
Zahlen, Fakten, Herausforderungen
4
Lösungen
5
Fazit
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
27 /29
Fazit
►
Unsere Unternehmen werden durch die steigende IT-Abhängigkeit bzgl.
Datenklau und Betriebsstörungen immer verwundbarer.
►
Internet-Kriminalität und Spionage haben sich zu eigenen Wirtschaftszweigen entwickelt.
►
Viele deutsche Unternehmen sind für diese Situation bisher nur
unzureichend gerüstet.
►
Technische Sicherheitsmaßnahmen sind alleine nicht ausreichend.
►
Grundlage der umfassenden, nachhaltigen und dauerhaften
Informationssicherheit im Unternehmen ist ein übergeordneter
Managementprozess (5 Schritte).
►
Die Initiierung dieses Managementprozesses ist Chefsache!
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
28 /29
Für Fragen stehen wir Ihnen
gerne zur Verfügung
SCHUTZWERK GmbH
Pfarrer-Weiß-Weg 12
89077 Ulm
Phone
+49 731 977 191 0
Fax
+49 731 977 191 99
www.schutzwerk.com
info@schutzwerk.com
©
SCHUTZWERK GmbH
|
(K)einer weiß so viel wie Sie? Informationssicherheit ist Chefsache
29 /29
Document
Kategorie
Bildung
Seitenansichten
8
Dateigröße
3 976 KB
Tags
1/--Seiten
melden