Ceyoniq Consulting @ SAP Forum · 11.04.2014 · Die Ceyoniq Consulting GmbH Umfassende, kompetente und lösungsorientierte IT-Strategie- und Prozessberatung für komplexe Kundenanforderungen

Ceyoniq Consulting @ SAP Forum

SAP Forum Versorgungswirtschaft

Marco Haas

Ceyoniq Consulting GmbH

04-05.11.2014

Die Ceyoniq Consulting GmbH

Umfassende, kompetente und lösungsorientierte

IT-Strategie- und Prozessberatung für komplexe Kundenanforderungen.

Die Ceyoniq Unternehmensgruppe

Die Ceyoniq Unternehmensgruppe bietet neben qualitativ hochwertigen

Softwareentwicklungen ganzheitliche Beratungsdienstleistungen sowie Services

im Bereich Werbung, Marketing und Tele-Akquise.

3 Ceyoniq Consulting GmbH

Standorte der Ceyoniq

Die Gesellschaften der Ceyoniq Unternehmensgruppe

sind mit Standorten in

Deutschland, Österreich und

der Türkei vertreten.


Die Ceyoniq Consulting GmbH

Die Ceyoniq Consulting GmbH ist ein IT-Beratungsunternehmen mit Sitz in Bielefeld und Geschäftsstellen

in Leipzig und Oldenburg.

• Mit der Gründung im Jahr 2007 wurde der Grundstein für ein erfolgreiches, marktgestaltendes

Beratungshaus gelegt.

• Das Unternehmen beschäftigt

derzeit über 30 Mitarbeiter.


Themen- und Branchenausrichtung

Auf Basis stringenter Themen- und Branchenausrichtung

ist die Ceyoniq Consulting mit der Konzeptionierung, Realisation und Betreuung komplexer

Kundenprojekte befasst.

Dabei liegt der Fokus auf den Leistungsspektren:


Informationssicherheit ECM

Energie Versicherungen

Kundenreferenzen (Auszug)


„Vertrauen ist die Summe der eingehaltenen Versprechungen.“

Kompetenzen Ceyoniq Consulting

• Langjährige Erfahrung der Berater in der

– Einführung von Informationssicherheitsmanagementsystemen (ISMS), insbesondere in

der Versorgungswirtschaft

– Erstellung von Sicherheitskonzepten in der Versorgungswirtschaft, z.B. SCADA-Systeme,

Smart Meter Umgebungen

– Implementierung von Business Continuity Managementsystemen (BCMS)

– Durchführung von Risikoanalysen und Schutzbedarfs-feststellungen

– Prüfung und Auditierung von ISMS, SCADA-Systemen und Netzleitstellen

• Umfassende Branchen-Kenntnisse in der Versorgungs-wirtschaft

Ceyoniq Consulting GmbH 8 Informationssicherheit

Vielen Dank!

Ceyoniq Consulting GmbH 9

IT-Sicherheitsanforderungen in der

deutschen Versorgungsindustrie

ISO 27001 Zertifizierung

Dr. Joachim Müller

Freiheitstraße 124 / 126

15745 Wildau bei Berlin

+49 3375 2174590

www.deuzert.de

aus der Sicht des

Auditors

Vorstellung

Dr. Joachim Müller

akkr. ISO27001 Auditor (DeuZert u.a.)

Certified Information Systems Auditor (ISACA)

Risk Manager (TÜV)

Datenschutzbeauftragter (TÜV)

Certified Information Security Manager (ISACA)

Formularhandbuch Datenschutzrecht (Mitautor , C.H.BECK)

SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 11

Inhalte

• ISO 27001, DIN 27009; ISO 27019, BSI-GS

• Betroffene Aufgabenfelder aus der Sicht ISO 27001 Zertifizierung

• IT-Sicherheitsgesetz

• IT-Sicherheitskatalog BNetzA

• SmartMeter Gateway Administrator

12 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation

Der Industrialisierungsprozess der Informationstechnik:

Prozesse

Begriffe

Fakten


Die wichtigsten Ergebnisse: • Webanwendungen stellen weiterhin einen beliebten und vielversprechenden Angriffspunkt

dar, was zum großen Teil darauf zurückzuführen ist, dass seit langer Zeit bestehende

Schwachstellen weder durch Unternehmen noch durch Entwickler behoben werden.

• Alte und neue Technologien sind gleichermaßen für die Entstehung neuer Sicherheitslücken

verantwortlich. In den vergangenen fünf Jahren hat das Ausmaß der Schwachstellen sowohl

bei mobilen Anwendungen als auch bei SCADA-Lösungen dramatisch zugenommen.

• Obwohl der Umfang kritischer Sicherheitslücken abgenommen hat, ausgedrückt als

Prozentsatz der insgesamt aufgedeckten Schwachstellen, hat dies nicht dazu geführt, dass

Unternehmen sicherer geworden sind. Faktisch ist ihr Schutz schwerer geworden.

HP veröffentlicht Cyber Security Risk Report für 2012 und 2013


• Ein weiteres äußerst wichtiges Ergebnis ist, dass fast 80 Prozent der Softwareapplikationen

in Unternehmen eine Angriffsfläche für Cyberkriminelle bieten. Ursache sind fehlerhafte

Server-Konfigurationen, fehlerhafte konfigurierte Dateisysteme oder zur Anwendung gehörige

Beispiel-Dateien, also liegt die Ursache nicht im jeweiligen Quellcodes.

• 46 Prozent aller untersuchten Programme im Bereich Mobil-Anwendungen nutzen HP zufolge

Verschlüsselungs-Technologien auf falsche Art und Weise. So verzichten viele Entwickler

komplett auf die Verschlüsselung beim Speichern von Daten auf mobilen Geräten, oder nutzten

nur schwache Algorithmen. Andere implementieren zwar starke Algorithmen, tun dies aber

so fehlerhaft, dass diese nichts nützen.

HP veröffentlicht Cyber Security Risk Report für 2012 und 2013


Prozessorientierung


Zusätzliche Hard- und Software löst keine organisatorischen Versäumnisse.

Das Querschnittsthema Informationssicherheit

IT Sicher-heits-

Mgmt.

Leitung

Daten-schutz

Fachbereich Prozesse

Software-

Entwicklung IT Betrieb

Risiko-mana-

gement

Compliance

beispielhaft


Gesetzliche Anforderungen geplant


IT-Sicherheitsgesetz


IT-Sicherheitskatalog BNetzA

• Ziel dieses Sicherheitskataloges ist die Einführung und Zertifizierung eines Informationssicherheits-Management-Systems (ISMS) gemäß der nationalen und internationalen Normen ISO/IEC 27001, DIN SPEC 27009 und ISO/IEC TR 27019. Die Umsetzung dieser Vorgaben gewährleistet einen sicheren und ordnungsgemäßen Betrieb aller Telekommunikations- und Datenverarbeitungssysteme innerhalb der gesamten Organisation.


Forderungen der BNetzA

In der vorliegenden Version des IT-Sicherheitskataloges werden die Sicherheitsanforderungen aufgeführt; u.a.:

• Netzstrukturplan

• Schutzbedarfsermittlung

• IT-Sicherheitsbeauftragter

• Verweis auf die Maßnahmenempfehlungen der ISO/IEC 27002 und der DIN SPEC 27009

• angedachte Umsetzungsfrist nach Veröffentlichung des IT-Sicherheits- kataloges ist 12 Monate


ISO 27001:

International anerkannter prozessorientierter Standard

und DIN 27009 / ISO IEC TR 27019


Entwicklung über die Jahre

IS-Management

IT Prozesse

1950 1960 1970 1980 1990 2000 2005 2010 2013

Qualitätskontrolle

Qualitätssicherung

Qualitätsmanagement

Prozessmanagement


ISO 27001:2013

Informationssicherheit

Informationssicherheit ist die

Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Information (Asset) – alles was für das Unternehmen von Wert ist.


ISO 27001:2013 · kurz skizziert

• ISO 27001:2013 beschreibt analog zur ISO 9001 / TS 16949 das Managementsystem der Informationssicherheit und umfasst 114 Controls

• Im Kontext Risikomanagement fordert die neue ISO 27001 die Festlegung von Verantwortlichen für Werte (Asset Owner) und die Definition von Risiko-Verantwortlichen (Risk Owner). Das Thema Risiko widmet sich in der Norm nur den IT-Risiken und verweist ansonsten auf die ISO 31000 (Risikomanagement).

• Maßnahmenempfehlungen dazu finden sich in der ISO 27002 als Leitfaden zur Informationssicherheit.


ISO 27001:2013 · kurz skizziert

• Insgesamt wird ein kontinuierlicher Verbesserungsprozess aufgebaut, auch wenn die neue Norm den PDCA-Zyklus nicht mehr explizit beschreibt

• Der Umfang wurde reduziert, hingegen der fachliche Anspruch und die Anzahl der Themenbereiche erhöht.

• Anspruch: Die Informationssicherheit wird praxisgerecht, ausgewogen und angemessen in die Geschäftsprozesse des Unternehmens integriert.


Unternehmenssicht • Entscheidend ist was für Ihr Unternehmen passt, es voranbringt und dabei die

betriebswirtschaftliche Grundmotivation nicht aus dem Auge verliert. Diesem Anspruch wird die neue Norm deutlich gerecht.

• Der Fokus liegt stärker auf dem Geschäftszweck und den Aktivitäten der Organisation und nutzt dem ganzen Unternehmen.

• Das Augenmerk richtet sich stärker auf die Verpflichtung des Managements im Unternehmen.

• Bei einer ISO 27001-Zertifizierung müssen Sie nicht vor lauter technischer Detailvielfalt den Kopf in den Sand stecken.

• Die Projektlaufzeiten sind realistisch kalkulierbar.



Quelle: ISO Survey of Certifications - 2013

davon Germany 581

DIN 27009: freiwilliges Prüfzeichen


DeuZert bietet speziell für den EVU-Sektor eine auf der DIN 27009 basierende freiwillige Zertifizierung.

ISO/IEC TR 27019


Die ISO/IEC TR 27019 ist eine Adaptierung der DIN 27009 als inter- nationale ISO-Norm.

BSI TR-03109-1 und der Smart Meter Gateway Administrator


BSI TR-03109-1


Schreibt eine Zertifizierung vor und verweist auf ISO 27001, ISO 27005 ohne genaue Spezifizierung der Ausgabe und auf den

BSI-Grundschutz in Verbindung mit ISO 27001.

Zertifizierte Penetrationstests


• Forderung der TR-03109-1

DeuZert bietet auch Penetrationstests mit Zertifizierung an. Grundlage sind dabei die

international anerkannten Verfahren des BSI und des EC-Council. Die Durchführung erfolgt durch

zertifizierte Hacker und akkreditierte Auditoren.

Smart Meter Gateway Administrator

Die Kombination aus ISO 27001 und DIN 27009 (ISO 27019) ist eine geeignete Vorgehensweise um die kommenden Anforderungen an eine

verpflichtende Zertifizierung vorzubereiten. Die gesetzlichen Anforderungen werden sich nur granular unterscheiden.


BSI TR-03109-1

BSI TR-03109-1 erst 2015 fertig


Schreibt eine Zertifizierung vor und verweist auf ISO 27001, ISO 27005 ohne genaue Spezifizierung der Ausgabe und auf den BSI-

Grundschutz in Verbindung mit ISO 27001.

Smart Meter ade?


Ablauf einer Zertifizierung und die Sicht des Auditor (auszugsweise)


Prüfungsordnung

• Prüfungsordnung Zertifizierung von Managementsystemen

• Verfahrensanweisung Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001:2005 und ISO/IEC 27001:2013

Inhalt

• Einführung

• Erstzertifizierungs-Audit

• Zertifizierung

• Aufrechterhaltung und Verlängerung der Gültigkeit

• Weitere Regelungen


Dokumentenprüfung (Auszug)

• Anwendungsbereich des ISMS

• Anwendbarkeitserklärung (SoA)

• Informationssicherheitsleitlinie

• Prozess zur Risikoermittlung und Behandlung zur Informationssicherheit

• Kompetenznachweis des ISMS-Beauftragten

• dokumentierte Informationen als Nachweis für die Effektivität des ISMS


Das Audit vor Ort

• Der Auditor prüft die Wirksamkeit des Managementsystems.

• Im Fokus die Kerngeschäftsprozesse – Passen Dokumentation von Prozessen, Verfahren und Regelungen zum tatsächlichen täglichen Praxis.

• Wird die kontinuierliche Verbesserung und die Ausrichtung auf die Kunden gelebt?


Das Audit vor Ort

• Ist das Sicherheitsbewusstsein bei den Mitarbeitern vorhanden?

• Ist das Management in seiner Vorbildfunktion sichtbar?

• Sind von der Führungsspitze bis zum Mitarbeiter alle von der Sinnhaftigkeit zur Umsetzung eines Informationssicherheits-Managementsystems überzeugt?


Was will der Auditor erreichen

Durch die richtige Zertifizierung die Marktposition des Unternehmens stärken, mit • stabilen Betriebsprozessen.

• Standardisierung und Transparenz.

• Kundenneugewinnung und Kundenvertrauen.

• Umsatzsteigerung durch „Strategical Alignment“.

• einem stetig wachsenden Bewusstsein der Mitarbeiter für Informationssicherheit, IT-Sicherheit und Datenschutz (Awareness).

Und: Nach dem Audit ist vor dem Audit


Weiterführende Informationen


Vielen Dank für Ihre Aufmerksamkeit!

DeuZert® Deutsche Zertifizierung in Bildung und Wirtschaft GmbH

Freiheitstraße 124-126

15745 Wildau bei Berlin


Documents

Ceyoniq Consulting @ SAP Forum · 11.04.2014 · Die Ceyoniq Consulting GmbH Umfassende, kompetente und lösungsorientierte IT-Strategie- und Prozessberatung für komplexe Kundenanforderungen