20.03.2009

1

Bad Neustadt, 19.03.2009

Warum ist das Thema Sicherheitgerade für die Geschäftsführungvon entscheidender Bedeutung?

Andreas GabrielMECK c/o Universität WürzburgBegleitprojekt Sicherheit des NEG

http://www.meck-online.de und http://www.ec-net.de/sicherheit

Ein aktuelles Beispiel für „gelebte Sicherheit“

1 Sie starten die S chmaschine Ihres Vertra ens1. Sie starten die Suchmaschine Ihres Vertrauens

intitle:"Live View / - AXIS 205"

2. Sie suchen nach dem folgenden Text

20.03.2009

2

Über was reden wir hier überhaupt?

Quelle: http://www.axis.com, http://www.mediacoms.de, http://www.computerhome.nl, http://pro.corbis.com

Die Ergebnisliste auf unsere Suchanfrage

237 Trefferin 0,12 Sek.

20.03.2009

3

Ein Beispiel: Live am Oxford City Centre

Quelle: http://webcam.oii.ox.ac.uk

Sie können einfach nicht genug bekommen?

Quelle: http://212.59.162.17:82

20.03.2009

4

Wo verbringen denn Sie so Ihren Urlaub?

Ortschaft:HaarlemLand:

Quelle: http://mozart.amadeus-hotel.com:81

Land:Niederlande

Bekommen Sie jetzt auch Angst?

Live view / - AXIS 205 Network Camera version 4.05- [ Diese Seite übersetzen ]

St. Martin - Deggendorf Note: webcam images and any other contents are thewebcam images and any other contents are the property and responsibility of their owners!

Quelle: http://webcam03.deg.net

20.03.2009

5

Sammlung von Kameras

Quelle: http://www.opentopia.com

621 Kameras116 Zuschauer

Wo gibt es „Free Live Webcams“?

Afghanistan (1)Argentina (2)Australia (2)Austria (7)Brazil (1)Bulgaria (10)Canada (24)CZECH REPUBLIC (11)

Hong Kong (1)Hungary (2)Iceland (1)India (1)Israel (1)Italy (24) Japan (7)Korea South (1)

Slovakia (1) Slovenia (1)Spain (8)Sweden (42)Switzerland (14)Taiwan (7)Turkey (3)Ukraine (8)CZECH REPUBLIC (11)

Denmark (5)Egypt (1)Estonia (5) Finland (5)France (7)Germany (21)

Korea, South (1)Luxembourg (1)Mexico (6)Netherlands (41)Norway (13)Poland (9)Russia (23)

Ukraine (8)United Kingdom (26)United States (250)

Quelle: http://www.opentopia.com

20.03.2009

6

Einige Beispiele aus Deutschland

„Stadtverwaltung Amberg“ „Marktplatz Osnabrück“

„Universität Duisburg-Essen“ „ ACR Autocentrum Rahlstedt, Hamburg“

Die Presse über Google

Quellen: http://www.heise.de, http://www.wiwo.de, http://www.tz-online.de

Das sog. „Googlemobil“

20.03.2009

7

Die wichtigsten Informationenüber uns• Netzwerk Elektronsicher Geschäftsverkehr• MECK Würzburg/Mainfranken• IHK Würzburg-Schweinfurt• IHK Würzburg-Schweinfurt• Universität Würzburg• Handwerkskammer für Unterfranken

Netzwerk Elektronischer Geschäftsverkehr28 regionale Zentren in ganz

Unser Netzwerk

-28 regionale Zentren in ganzDeutschland

-1 Branchenzentrum „Handel“mit Sitz in Köln

-Projektträger: Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)

14

Luft und Raumfahrt (DLR)-Förderung durch das BMWi

(Bundesministerium fürWirtschaft und Technologie)

http://www.ec-net.de

20.03.2009

8

Vertreter des NEG in der Region: Mainfränkisches Electronic Commerce Kompetenzzentrum

Sie erreichen uns unter: http://www meck-online de

Unsere Intension Hier finden Sie unsDas MECK-Team

Sie erreichen uns unter: http://www.meck-online.de

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 15

Veran-staltungen

BeiIhnen

Bildquellen: www.hausnummer-online.de; www.fahnenversand.de

… und zahlreiche Partner

Über meine Person: Andreas Gabriel

h // i b d

http://www.wiinf.uni-wuerzburg.de

http://www.uni-wuerzburg.de

http://www.meck-online.de

http://www.ec-net.de

Seit 2006: Seit 2000:Mein Schwerpunkt:Certified Lead Auditor

ISO 27001

Seit 2000:Kampfsport-Trainer (Judo)

Seit 2008:Selbstverteidigungs- und Selbstbehauptungslehrer

Seit 2008:Übungsleiter GewaltpräventionAb 07/2009:

Betrieblicher Datenschutzbeauftragter

pDer „kreative Umgang“ mit

dem Thema Sicherheit

http://www.ec-net.de/sicherheit ISO 27001Grundschutz

20.03.2009

9

Begleitprojekt „Informationssicherheit“

Sie erreichen uns unter:http://www.ec-net.de/sicherheit

Dr. Kai HudetzAndreas Duscha

Dagmar Lange(Projektleiterin)

Prof. Dr. Günther Markus Wirth Neef

Andreas Gabriel

Branchenbeispiel Handwerk 1

17 branchenspezifische Best-Practice-Anleitungen aus dem Jahr 2007

pBranchenbeispiel Handwerk 2

Branchenbeispiel EinzelhandelBranchenbeispiel Produktion/Großhandel

Branchenbeispiel Maschinenbau 1Branchenbeispiel Maschinenbau 2Branchenbeispiel Maschinenbau 3

Branchenbeispiel SondermaschinenbauBranchenbeispiel TextilindustrieB h b i i l L i tik

Quelle: http://www.ec-net.de/EC-Net/Navigation/netz-informationssicherheit,did=236904.html

Branchenbeispiel LogistikBranchenbeispiel Öffentliche Verwaltung

Branchenbeispiel Finanzwesen/VersicherungBranchenbeispiel Gesundheitswesen

Branchenbeispiel Automatisierungs-/WartungstechnikBranchenbeispiel Informationstechnik

Branchenbeispiel AnlagenbauBranchenbeispiel Umwelt-/Geotechnik

20.03.2009

10

Zwei Wege, um einen Kooperationspartner zu finden

Bildquellen: www.clipart-gallery.de; www.radfahren-auf-ruegen.de

Geschäftsführung EDV-Verantwortliche

Netzwerk Elektronischer Geschäftsverkehr

Warum ist dieses Thema für Sie interessant?

Gesellschaftsrecht § 91 II AktG § 43 GmbHG § 116 AktG KonTraG §§ 823, 1004, 280 BGB Handelsrecht§ 377 HGB § 239 Abs. 4 HGB G t l t

Telekommunikationsrecht§ 88 TKG § 206 II Nr. 2 StGB §§ 1, 88, 89, 91ff. TKG Telemediengesetz§§ 1f. TMGZivilrecht§ 280 I BGB § 634 BGB

Steuerrecht§ 146 Abs. 5 AO Urheberrecht§§ 97 ff. i.V.m. § 100 UrhG Datenschutzrecht§ 4f, § 43, I und II BDSG § 9 BDSG und Anlage zu § 9§ 823 BGB § 7 BDSGGesetz gegen unlauteren

Wettbewerb §§ 3, 4 Nr. 11 UWG § 10 UWG Strafrecht§ 85 II TKG i.V.m. § 206 II Nr. 2 StGB oder § 303 a StGB

§ 634 BGB § 437 / 634 BGB Vorvertraglich ggf. § 311, Abs. 2 BGB § 823, Abs. 2 BGB § 1004 BGB i.V.m. § 40 TKG§§ 611, 242 BGB

§ 7 BDSG § 44 BDSG §§ 4g, 38, Abs. 5 BDSG §§ 1 II; 27 I BDSG GG Art.2 i.V.m. Art.1Sicherheitsüberprüfungsgesetz§§ 2, 7-10 SüG

20.03.2009

11

Ein Beispiel:§43 GmbHG

(1) Di G häf f h h b i d A l h i d G ll h f di S f l(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

(3) 1 Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des § 30 zuwider Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft gemacht oder den Bestimmungen des § 33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind.

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 21

eigene Geschäftsanteile der Gesellschaft erworben worden sind. 2 Auf den Ersatzanspruch finden die Bestimmungen in § 9b Abs. 1 entsprechende Anwendung.3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.

(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in 5 Jahren.Quelle: http://www.gesetze-im-internet.de/gmbhg/__43.html

Begrifflichkeiten im Bereich EDV und SicherheitDefinition IT“:

Definition „IT-Sicherheit“:„Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene M ß h f i b M ß b h ä k i d “

„IT umfasst im Sinne des BSI-Errichtungsgesetzes alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen.“

Definition „IT :

Quelle: BSI Schulung IT-Grundschutz – Glossar

Definition „Datenschutz“:

Maßnahmen auf ein tragbares Maß beschränkt sind.“ Quelle: BSI Schulung IT-Grundschutz – Glossar

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbe-zogener Daten (…) Quelle: § 1 Bundesdatenschutzgesetz

20.03.2009

12

Definition „Informationssicherheit“

I f ti i h h it h t Zi l di V b it S i h d„Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit,

Verfügbarkeit und Integrität (Vollständigkeit) der Informationen und Systeme in ausreichendem Maß sichergestellt wird. (…) Dabei umfasst die Informations-

sicherheit, neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten, auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.“

Quelle: http://de.wikipedia.org

DatenschutzIT-Sicherheit

Informationssicherheit

Quelle: In Anlehnung an C. Simon; Bildquelle: www.clipart-gallery.de

Bewertung anhand„Vertraulichkeit“ / „Vollständigkeit“ / „Verfügbarkeit“

Unter Vertraulichkeit versteht man dass eine Information nur für Befugte zugänglich„Unter Vertraulichkeit versteht man, dass eine Information nur für Befugte zugänglich ist, Unbefugte dagegen keinen Zugang zu der Information haben. So kann beispiels-weise nur der Sender und Empfänger eine Nachricht im Klartext lesen. Kurzformel: Information nur für Berechtigte“

„Die Integrität von Daten ist also gewährleistet, wenn die Daten vom angegebenen Absender stammen und vollständig sowie unverändert an den Empfänger übertragen worden sind.“Kurzformel: Daten müssen unverändert den richtigen Empfänger erreichen

Quelle: http://de.wikipedia.org

Kurzformel: Daten müssen unverändert den richtigen Empfänger erreichen

Kurzformel: Uneingeschränkte Nutzungsmöglichkeit der EDV

20.03.2009

13

Bewertung der Kriterien:Vertraulichkeit – Vollständigkeit – VerfügbarkeitV3

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 25

Länge der Aufrechterhaltung des Betriebes ohne folgende Dienste

Telefon

Eigener File-Server

E-Mail

Internetrecherche

1 2 3 4 5

Eigener Internetauftritt

Buchhaltung

Eigener Internethandel

n ≥ 156

weniger als eine Stunde

bis zu vier Stunden bis zu einem Tag bis zu einer Woche mehr als eine Woche

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/Sicherheit

20.03.2009

14

Mögliche Bedrohungen aus den letzten 18 Monaten

1

2

3

Quelle: http://silicon.de

3

Wo befindet sich der „Gegner“?

50

30

15

5

1

Ang

reife

r Fremde RegierungenKonkurrentenHackerfrustrierte Mitarbeiter

Quelle: Computer Security Institute Survey

0 10 20 30 40 50 60

prozentualer Anteil

Mindestens jeder zweite Fehler kommt von innen!

20.03.2009

15

Es gibt immer zwei Seiten einer Geschichte …

Geschäftsführung

Bildquelle: www.clipart-gallery.de

Mitarbeiter/Mitarbeiterinnen

Bei Angestellten gibt es drei Phasen zu berücksichtigen

NeueinstellungNeueinstellung

Während der

SicherheitsrichtlinieArbeitsordnungDatenschutzerklärung etc.

Kompetenzenregeln

Einhaltung derRegeln sicher-

Bildquellen: www.radfahren-auf-ruegen.deTrennung

derBeschäftigung

Accounts sperrenFreigaben löschenVerantwortlichkeiten neu regeln etc.

regeln gstellen

20.03.2009

16

Aufbau einer Sicherheits-Richtlinie•Allgemeine RegelungenAllgemeine Regelungen

•Speichern der eigenen Daten (Ort, Umfang, Name …)•Einhaltung der Bestimmungen des BDSG•Umsetzung anderer Gesetzte im Unternehmen (Bsp.: Jugendschutz)

•Persönliche Regelungen•Private Nutzung von Firmenressourcen, besonders WWW und eMail•Regelmäßiger Besuch von Schulungsveranstaltungen

•EDV orientierte Regelungen•EDV-orientierte Regelungen•Umgang mit eMail („Was“ darf „Wer“ „Wann“ per eMail senden?)•Verschlüsselung•Umgang mit Viren/Würmern/Trojanern•Installation/Konfiguration von Hard- und Software•Umgang mit dem eigenen Laptop•Sicherstellung, dass alle Programme jederzeit aktuell gehalten werden

Klassifikation der betriebseigenen Dokumente

ge Dokumentenklassen

Erla

ubte

Kom

mun

ikat

ions

weg Dokumentenklassen

1 2 3Brief

Einschreiben

eMail

…KEr

laub

teSp

eich

eror

te ServerPCLaptopPDA…

1 = Werbematerial; 2 = „normale“ Unternehmenskorrespondenz; 3 = geschäftskritische Unterlagen

20.03.2009

17

Lesebestätigungenbei MS-Outlook

Verlaufskontrolle

Standard

Empfehlenswert

Extras – Optionen – E-Mail-Optionen – Verlaufsoptionen

20.03.2009

18

Ein weiteres Beispiel, das Sie bestimmt kennenDer NewsletterDer -Newsletter

„Meine“ AnsichtDie „normale“ Ansicht

Bilder-Download bei MS-Outlook

Potentielle Bedrohung durch „Clear GIFs (sog. Web Beacons)“

Extras – Optionen – Sicherheit –Einstellungen für den automatischen Download ändern …

20.03.2009

19

Wie viel Geld geben Sie geradefür das Thema Sicherheit aus?

Investitionen trotz Wirtschaftskrise?!

Die aktuelle Wirtschaftskrise in ausgewählten Zahlen

Arbeitslosenzahlen 02/2009 Wirtschaftswachstum 2009

Quelle: http://www.spiegel.de/wirtschaft/0,1518,610004,00.html

Arbeitslosenzahlen 02/2009

absolut: 3.551.926Quote: 8,5 %Offene Stellen: 505.536

- 1,8- 0,1

- 10,6

Wirtschaftswachstum 2009

Quelle: http://www.mittelbayerische.de

Stand: 16.10.2008

Wachstum von 0,2 % (Michael Glos)

Wachstum von 0,5 %(DIHK)

Z hl d I l 2009 G l t S b ti 2009

Entwicklung des DAXHoch: 8.105,69

Zwischenzeitliches Tief: 3.843,74Zahl der Insolvenzen 2009 Geplante Subventionen 2009

Quelle: http://www.creditreform.de

Firmen: 35.000Delta zu 2008: + 17 %

Verbraucher: + 50 %Anzahl: 145.000

Deutschland: 50 Milliarden €USA: 787 Milliarden $Japan: 9 Milliarden Yen

Quelle: http://wissen.spiegel.de

Aktueller Stand: 3.710,67(03.03.2009, 12:30 Uhr)

20.03.2009

20

Sicherheit in unserem Alltag?!

Quelle: http://www.wahlrecht.de, http://www.bbc.co.uk, http://www.techfieber.de

Der britische Flugzeugträger „Royal Ark“

Beispiel für einen Wahlcomputer

Auszüge aus„Die Lage der IT-Sicherheit in Deutschland 2009“

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Schwachstellen in Webseiten

1/2

Cross-Site-ScriptingOffenlegung von InformationenFälschen von InhaltenAusspähen von AltdatenSQL-InjectionU i h d A th ti i

Quelle: http://www.bsi.de

Unzureichende AuthentisierungUnzureichende AutorisierungFunktionsmissbrauchHTTP Response SplittingIndizierung von Verzeichnissen

20.03.2009

21

Zu allem Überfluss:Die Forderungen der Kunden wachsen …

Ö

Quelle: http://www.e-health-com.de

Österreich: IT-Sicherheit für Patientendaten(…) „Einen Ausweg aus der Haftung bietet eine Zertifizierung nach dem Standard für Informationssicherheit ISO 27001. Das Zertifikat attestiert einer Organisation, alle der Sorgfaltspflicht entsprechenden Sicherheitsmaßnahmen nach anerkannten Methoden eingeführt zu haben.“ (…) Zitat von: CIS-Chef, Herrn Scheiber

ITK Si h h it t t t i h h„Die Bedrohung der Informations- und Kommunikationstechnologie (ITK) nimmt unvermindert zu. Die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz dient als Nachweis für ein erfolgreiches Sicherheitsmanagement im Unternehmen und schafft Wettbewerbsvorteile.“

ITK-Sicherheitsmanagement strategisch angehen

Quelle: http://www.funkschau.de

Was passiert in diesem Zusammenhang in Deutschland?

Ulla SchmidtUlla SchmidtBundesministerin für Gesundheit

Die Gesundheitskarte

Quellen: http://www.bmg.bund.de; http://www.gematik.de

Umsetzung durch die

Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH

20.03.2009

22

Was die „gematik“ von ihren Geschäftspartnern fordert!

Die Aktivitäten im Rahmen des Sicherheitsmanagements„Die Aktivitäten im Rahmen des Sicherheitsmanagements MÜSSEN in Anlehnung an ISO 27001/27002:2005 gestaltet

werden. Sowohl Dienstbetreiber, die Teile der Telematikinfrastruktur betreiben, als auch die gematik MUSS ein

Informationssicherheitsmanagementsystem (ISMS) implementieren.

Quelle: http://www.gematik.de/upload/gematik_DS_Sicherheitskonzept_V2_3_0_3802.pdf

Auf dieser Basis soll die Verzahnung der Prozesse und die Optimierung der Schnittstellen kontinuierlich verbessert werden.“

(S.184)Entnommen aus:„Gematik: Einführung der Gesundheitskarte – Übergreifendes Sicherheitskonzept derTelematikinfrastruktur. Version 2.3.0 vom 17.07.2008 “

Was versteht man unter einem Informations-Sicherheits-Management-System (ISMS)?

„Der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die

Entwicklung, Implementierung, Durchführung, Überwachung,

Überprüfung, Instandhaltung und Verbesserung

der Informationssicherheit abdeckt.“„ANMERKUNG Das Managementsystem enthält die Struktur, Grundsätze,Planungsaktivitäten, Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.“ Quelle: ISO 27001, S. 8

und Verbesserung

20.03.2009

23

Vorgehensweise:

Das „Plan – Do – Check – Act – Modell“ (PDCA)

Inter-essenten

Festlegen des ISMS

Umsetzen und Durchführen

des ISMS

Instandhalten und Verbessern des ISMS

Planench

führ

en

ande

ln

Inter-essenten

verwalteteInformations-

sicherheit

Anforderungen und

Erwartungen an

Informations-sicherheit

des ISMS

Überwachen undÜberprüfen des ISMS

des ISMS

Dur

c

Prüfen

Ha

Quelle: ISO 27001

Die ISO 27001 besteht aus …

Obj i

11 Elementen Clauses

Fachbegriff der ISO

Komponentender ISO

Beschreibung/Charakterisierung

Rahmenbedingungen des ISO 27001

Ziele, die durch den37

Controls

ObjectivesZiele, die durch denISO 27001 vorgegeben werden

DetaillierteUmsetzungsanforderungen

133 detaillierteMaßnahmen

37 Maßnahmenzielen

20.03.2009

24

Kleiner Rückblick:Wortwahl in der ISO 17799:2005

Quelle: M. Hauß, SRC Security Research & Consulting GmbH

Informationen aus den BSI-Grundschutzkatalogen

Gefährdungen

(Gegen )

Summe:370

(Gegen-)Maßnahmen

Summe:857

Quelle: A. PörnigWeitere Informationen finden Sie unter: http://www.bsi.de

20.03.2009

25

Bedeutung der ISO für unsere Zukunft

„Aus marktstrategischer Sicht dient einem in Konkurrenz stehenden Unternehmen ein Zertifikat, um die Qualität seiner Produkte oder Dienstleistungen nachweisen zu

können Für Hersteller Zulieferer und große internationale

Wikipedia über die ISO 9001(Qualitätsmanagementnorm)

können. Für Hersteller, Zulieferer und große internationale Unternehmen kann das Zertifikat als „zwingend“ betrachtet

werden, um überhaupt Aufträge einer gewissen Größenordnung zu bekommen.“

Quelle: http://de.wikipedia.org/wiki/ISO_9001

Entwicklung der ISO 9001 Zertifizierungen im Laufe der Zeit

Anzahl der d

773.867

951.4862007

2005

Anzahl der ISO 9001-Zertifizierungen

(weltweit)

Vergleich mit ausgewählten Ländern

in Deutschlandin Europaim Rest der Welt

davon45.195

386.284520.007

Quelle: ISO; Stand: 31.12.2008

127.349

408.6312000

1995

ausgewählten Ländern

ChinaItalienUSAEngland Frankreich

210.773115.35936.19235.51722.981

20.03.2009

26

Zertifizierungen nach ISO 27001 – Aktueller Status-QuoTitelTitelNumber of Certificatesper Counutry

Hervorzuheben sindChina 182Deutschland 108F k i h 10

Quelle: http://www.iso27001certificates.comAbfragedatum: 03.02.2009

Frankreich 10Italien 55Spanien 27UK 374USA 85Summe 5.190

Zertifizierungen nach ISO 27001 –Entwicklung im Laufe der letzten Jahre

Anzahl der zertifizierten Unternehmen

LandAnzahl der zertifizierten Unternehmen

05.12.

2006

23.10.

2007

24.04.

2008

17.09.

2008

15.12.

2008

19.01.

2009

China 28 74 102 161 174 182

Deutschland 60 87 89 108 108 108

Frankreich 3 5 10 12 9 10

Italien 42 45 46 54 54 55

Delta12/06-01/09

+ 550%+ 80%+ 233%+ 31%

Japan 1.715 2.317 2.554 2.645 2.863 2.994

Österreich 9 17 20 20 26 26

Spanien 8 12 13 25 26 27

UK 251 363 365 268 368 374

USA 42 54 60 71 82 85

Weltweit 2.814 4.036 4.457 4.802 4.987 5.190Quelle: http://www.iso27001certificates.com

+ 75%+ 189%+ 238%+ 49%+ 102%+ 84%

20.03.2009

27

Wie steht der deutsche Mittelstand zum Thema „Zertifizierung der eigenen Informationssicherheit“?

Z ifi i i B i h d I f i i h h iZertifizierung im Bereich der Informationssicherheit

Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk –Ihre Erfahrungen und Wünsche 2008, Oktober 2008.

Welche Schritte müssen Sie nundurchlaufen?Der steinige Weg zu einem Zertifikat

20.03.2009

28

1

… allenUnternehmenswerten

Bedrohungen2erneuten

zusätzlicheZeitintervalle

Der Sicherheitskreislauf in Ihrem Unternehmen?!

2

Schwachstellen3

Bewertung 7

55

Risiken4

Bewertung

5(Gegen-)Maßnahmen

6

Ermittlung und Sammlung von …

Durchführung einer …

Auswahl geeigneter …

zusätzlicheZeitintervalle

Ein Umsetzungsbeispiel fürErmittlung der Werte + Risikoanalyse

Unternehmenswert

IhrWeb-Shop

BewertungC – Vertraulichkeit: 4 (max.)

I – Vollständigkeit: 4 (max.)

A – Verfügbarkeit: 4 (max.)

Maximaler Schaden: 5.000 €Wiederherstellungskosten: 15.000 €

Bedrohungen Schwachstellen MaßnahmenHackingStromausfallFalsche Preiseetc.

„Schlechter“ ServerraumUngeschulte MitarbeiterFalsche Regelungenetc.

Bauliche VeränderungenSchulungen (Nachweis!)Regelwerk anpassenetc.

20.03.2009

29

Schätzung der Schadenshöhe bei einem IT-Totalausfall

Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2008.

Wer soll das Thema Sicherheit DAUERHAFT verantworten?

Die Geschäftsführung?Die Geschäftsführung?Der IT-Verantwortliche?

Der Mitarbeiter Ei Di tl i t ?Der Mitarbeiter der „EDA“ ist?

Ein Dienstleister?

20.03.2009

30

Die Antwort lautet: der CISO!

C h i ti h h ti hCIS

charismatisch chaotischcharmant computerisierend

integrativ intensiv idealistischinformativ intellektuell improvisieren

lb t i h lb th li hSO ordentlich orientierungslos objektiv

Technikorientiert Obsession „Sicherheit“

selbstsicher selbstherrlichsicherheitsbewusst schulungssicher

Oder „auf deutsch“: der (IT-) Sicherheitsbeauftragte

100%

Bereitstellung zeitlicher und finanzieller Ressourcen für den „IT-Sicherheitsbeauftragten“

23,3%

61,2%

15,5%

0%

20%

40%

60%

80%

weiß nichtneinja

Ergebnis der Umfrage aus dem Jahr 2008

60

Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2007 und 2008.

Ergebnis der Umfrage aus dem Jahr 2007

Ja - 5,6 %Nein - 1,8 %Weiß nicht + 7,5 %

20.03.2009

31

Weiterbildung des „IT-Sicherheitsbeauftragten“

Fachseminare + 16 1 %

Sonstige10,0%

weiß nicht

regelmäßige Fachseminare

34,4%

Ergebnis der Umfrage aus dem Jahr 2008

Fachseminare + 16,1 %Learning by doing - 15 %Sonstige - 3,2 %Weiß nicht + 2,2 %

61

learning by doing42,2%

weiß nicht13,3%

Ergebnis der Umfrage aus dem Jahr 2007

Quelle: ECC Handel: Elektronischer Geschäftsverkehr in Mittelstand und Handwerk. 2007 und 2008.

BSI Gefährdungen

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 62

Quelle: BSI

20.03.2009

32

Was tun, wenn der Ernstfall eingetreten ist?

Notfall-management

L b kl d IT N tf ll tLebenszyklus des IT-Notfallmanagements

1. Entwicklung der Vorgehensweise (Leitlinie etc.)2. Durchführung einer Business Impact Analyse3. Definition präventiver Maßnahmen Notfallvorsorge4. Auswahl und Umsetzung von Wiederherstellungsstrategieng g g

Notfallbehebung5. IT-Notfallplanentwicklung Eskalationsstufen festlegen6. Schulen, Üben und Testen7. Aktualisierung und Überarbeitung

Quelle: BSI

Vielen Dank für Ihre Aufmerksamkeit

Warum das Thema Sicherheit gerade für dieGeschäftsführung von entscheidender

Bedeutung istBad Neustadt, 19.03.2009

Andreas GabrielMainfränkisches Electronic Commerce Kompetenzzentrum

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr 64

pNeubaustraße 6697070 WürzburgTel.: 0931 / 3501-231Fax: 0931 / 31-2599

gabriel@meck-online.dewww.meck-online.dewww.ec-net.de/sicherheitwww.wiinf.uni-wuerzburg.de