43
Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik Tag der Logistik 2014

Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Der Mythos der unverwundbaren Technik –IT-Systeme als Risikofaktor in der Logistik

Tag der Logistik 2014

Page 2: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik2

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 3: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik3

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 4: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Wer ist A‘PARI Consulting?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik4

Ursprung

Teamstärke

Kernkompetenz

Erfahrungen

Unsere Kunden

(Auszug)

Sonstiges

Internet

Gründung durch erfahrene Projekt-, Logistik-und IT-Manager im Jahr 2001

10 Mitarbeiter (8 festangestellte, 2 freie MA)

Logistik- und IT-Beratung

ca. 170 Projekte für ca. 60 Kunden aus den Branchen Logistik, IT, Industrie und Handel

Mitautor des LORENZ 2, Leitfaden für Spediteure und Logistiker, Kapitel „Informationstechnologie“

Neutral, produktunabhängig

http://www.apari.de http://blog.apari.de

Page 5: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

apsec – Historie und Milestones

Seit 2007: diverse Awards

Firmensitz: Großwallstadt

Mitarbeiteranzahl: 55

apsec gehört zu den Top 15 der deutschen Security-Unternehmen (Quelle: BMWi)

Services: Security Consulting, Softwareentwicklung, Projektmanagement, QS

Data Security-Produkte: Verschlüsselung, Authentisierung, digitale Signatur

Träger des TeleTrusT-Qualitätssiegels

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik5

Page 6: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

apsec Kunden (Auszug)

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik6

Page 7: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Welche Bedeutung hat die IT für die Logistik?

Welche Anfälligkeiten gibt es durch die IT und wie kann man diese minimieren?

Was ist der erste Schritt für den Umgang mit Risiken?

Wie kann ein ganzheitlicher Prozess für die IT-Sicherheit aussehen?

Welche Lösungsansätze gibt es, um mit bekannten IT-Risiken umzugehen?

Welche Fragen werden wir in diesem Vortrag beantworten?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik7

Page 8: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik8

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 9: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Die Logistik im Wandel der Zeit

Daten, Daten, Daten

Zu jedem Auftrag gibt es einen elektronischen Datensatz. Ohne diese Daten können Dienstleistungen nicht erbracht werden.

Papiere, Listen, usw.

Die meisten Datensätze exsitieren nur in Papierform. Elektronische Datensätze dienen maximal zur Unterstützung.

Apps, Portale & Co

Kunden verlangen permanente, zu jeder Zeit zugängliche Informationen über ihre Güter (Ort, Temperatur,…)

Fokus auf Transport

Zusätzliche Informationsservices bilden die Ausnahme �Konzentration auf das Kerngeschäft

gestern heute morgen

Verschiebung zum IT-

Provider

Logistikdienstleister werden zum “IT-Provider”. Die IT-Unterstützung macht einen wesentlichen Unterschied zwischen den Dienstleistern aus.

Die Abhängigkeit von IT-Systemen nimmt deutlich zu

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik9

Page 10: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

VerkaufDisposition

DokuTransport

Buchhaltung

ControllingAbrechnung

Kunden-

service

Auftrags-

erfassung

Für was braucht man die IT?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik10

TMS

CRM CRM

Track & Trace

Lademittelverwaltung

Compliance Zoll

Telematik

Kreditlimit

Buchhaltung

/Controlling

Nebensysteme & Schatten-IT

Interne Schnittstelle externe Schnittstelle

Page 11: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Die Abhängigkeit von der ITBeispiel: Sammelladungsspedition

ProzesseAusfall der IT-Unterstützung…

…erhöht Aufwand …erhöht Risiko

DFÜ-Daten von Kunden (Aufträge)

Abholung

Sammelgut-Ausgang

Umschlagslager /Abfertigung

DFÜ-Daten von Partnern

Sammelgut-Eingang

Zustellung

Abrechnung

Jeder Komplettausfall der IT kostet pro Tag min. 50.000€!*

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik11

*Annahme: 100 Mitarbeiter und eine Mehrbelastung von ca. 2 Tagen

Page 12: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Was passiert, wenn die IT ausfällt?

Durch einen Netzwerkausfall kann vom Außenlager nicht auf das zentrale WMS zugegriffen werden. Der Ausfall dauert schon mehrere Stunden. Die Auslieferung verzögert sich.

Durch eine Änderung an der Schnittstelle durch den Softwaredienstleister funktioniert die Zollanbindung nicht mehr. Die Import-Verzollung kann deshalb nicht erfolgen. Die Ware erhält keine Zollfreigabe.

Der Datenbankserver des TMS fällt durch einen Virus aus. Es existiert keine Notfalldokumentation, wie in so einem Fall umgegangen werden muss. Da die Halle „überläuft“, müssen die Sendungen „blind“ verladen werden.

Wie lange ist Ihr Unternehmen ohne IT handlungsfähig?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik12

Page 13: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik13

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 14: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Warum ist die Sicherheit von IT-Systemen nicht trivial?

IT-Systeme in Unternehmen…

sind hoch komplex

eng miteinander

verzahnt

werden mitunter in rauen Umgebungen

eingesetzt

werden mit unterschiedlicher Sorgfalt

benutzt und gewartet

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik14

Page 15: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Wogegen gilt es sich zu schützen

Durch Ihre Nutzung sind IT-Systeme einer breiten Palette von Gefahren ausgesetzt

Höhere Gewalt

• Feuer• Wasser• Blitz• Verschmutzung

Organisatorische Mängel

• Fehlende Regelungen• Fehlende Überwachung /

Monitoring• Unklare Zuständigkeiten

Menschliche

Fehlhandlungen

• Fehlbedienung• Versehentliche Datenlöschung• Schaffung von Schatten-

Infrastrukturen

Technisches Versagen

• Systemausfälle / defekte Komponenten

Vorsätzliche Handlungen

• Manipulation/Diebstahl von Daten

• Vandalismus

Elementare Gefährdungen

• Katastrophen / Großereignisse im Umfeld

• Spionage• Software-Fehler

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik15

Die vorgenannten (nicht vollständigen) Gefährdungs- bzw. Bedrohungskategorien können bei einer � Risikoanalyse als Grundlage oder Basis der Überlegungen dienen.

Page 16: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik16

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 17: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Risikoanalyse – der erste Schritt zur Sicherheit in Ihrer IT

Maßnahmen zur Minimierung von Risiken

Einschätzung über die monetären Auswirkungen

von Risiken

Kontinuierliche Erfassung aller möglichen Bedrohungen

Vorgaben zum Umgang mit Bedrohungen und Risiken

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik17

Page 18: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Gefahren, Bedrohungen, Risiken?

Gefahr

Alles, was zu einem Schaden

führen kann

Bedrohung

Ergibt sich aus der Gefahr

und einer Schwachstelle

Risiko

Ergibt sich aus einem

potenziellen Schaden und der

Eintrittswahrscheinlichkeit

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik18

Schwachstelle

Angriffspunkt, über den

eine Gefahr einen Schaden

verursachen kann

Page 19: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Immer komplexere Rahmenbedingungen

Telekomunikationsgesetz

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik19

Compliance

Page 20: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Vorgehen beim Risikomanagement

• Gefahren und Risiken erkennen

• Analyse und Auswertung von Risiken mit einer Bewertungsmatrix

Phase 1

• Steuerung der Risiken (Risikoreduzierung und –akzeptanz)

• Definition der Maßnahmen für den weiteren Umgang

Phase 2

• Implementieren und Dokumentieren der definierten Maßnahmen

Phase 3

• Überprüfung der Wirksamkeit aller Maßnahmen

• Ggf. Anpassung des Risikomanagement-Prozesses für die nächsten Durchläufe

Phase 4

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik20

Risiken

Bedrohungen

Gefahren

Schwachstellen

Risikomanagement ist ein permanenter Prozess

Page 21: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Wie kann eine Bewertungsmatrix aussehen?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik21

Auswirkung

selten1%

Ein

trit

tsw

ahrs

che

inlic

hke

it

1% 1% 1% 0%

25% 20% 16% 6%

62% 50% 38% 16%

80% 64% 50% 20%

100% 80% 62% 25%

unwahrschein-lich25%

möglich62%

wahrscheinlich80%

sicher100%

drastisch100%

bedeutend80%

mäßig62%

gering25%

0%

0%

1%

1%

1%

unwesentlich1%

Page 22: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Risikomanagement – Ein Beispiel

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik22

RisikoVerant-

wortlich

Wahrschein

-lichkeit

Auswirk-

ungenAuswirkungen (monetär) Gegenmaßnahmen

Ausfall der Stromversorgung (kompletter Serverraum)

Facility Manager

62% 100% ~15.000 € pro StundeImplementierung USV~ 5000 €

Feuer im ServerraumFacility Manager

25% 100%Ersatzbeschaffung und Neuinstallation aus Backups ~750.000 €

Co-Rechenzentrum bei Cloud-Anbieter~15.000 € pro Monat

SpionageGeschäfts-führung

1% 80%Verlust von kritischen Daten undggf. Kunden~ 1.000.000 €

Keine ganzheitliche Maßnahme möglich. Risiko wird durch GF getragen

Diebstahl von Endgeräten (Vertrieb)

IT-Leiter 25% 62%Ersatzbeschaffung und erforderliche Maßnahmen~ 7.500 €

Versicherung der Hardware (keine Daten und Aufwände)~ 250 €

Manipulation von Daten (Abrechnung /Fibu)

Datenschutzbe-auftragter

25% 62%Aufdeckung der Quelle und Auswirkungen sowie Beseitigung~ 500.000 €

Einführung eines Rechtesystems zum Verhindern von illegalen Zugriffen ~ 25.000 €

Ausfall einer Netzwerkverbindung (WAN)

IT-Leiter 80% 62%Schaden und Nacharbeit~ 10.000 € pro Stunde

Einsatz einer zweiten WAN-Verbindung (anderer Provider)~ 300 € pro Monat

Schadprogramme (produktive Server)

IT-Leiter 62% 62%Wiederherstellung aus Backups und Nachpflege von Daten~ 20.000 € pro System

Virenschutz und regelmäßige Backups einführen �reduziert die Eintrittswahrscheinlichkeit~ 250 € pro System

Page 23: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik23

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 24: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Die Risikoanalyse ist erfolgt – und dann?

Der erste Schritt ist getan (Risikoanalyse).

Erste Schwachstellen wurden identifiziert und ggf. geschlossen.

Und jetzt – fertig?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik24

Page 25: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Die nächsten Schritte …

Gültigkeit definieren / auf das Gesamtunternehmen ausweiten

Schaffung einheitlicher Grundlagen

Schulung, Awareness

NachvollziehbarkeitKontinuierlicher Prozess, Überwachung ?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik25

Page 26: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Das Ziel

ISMS

(Information

Security

Management

System)

Page 27: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

ISMS - Definition

Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.“

Quelle: http://de.wikipedia.org/wiki/ISMS

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik27

Page 28: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

ISMS Inhalte

„… eine Aufstellung von Verfahren und Regeln …“� Dokumentierte Regelwerke, Vorgaben, Strukturen und Prozesse

„… innerhalb eines Unternehmens …“� implementiert im gesamten Unternehmen (oder sinnvoll abgegrenzt)� von der Geschäftsleitung initiiert und getragen� Unternehmensweit gültige Grundlagen und Definitionen

„… die Informationssicherheit dauerhaft zu definieren, zu steuern, zu

kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern …“� kontinuierlicher Prozess� keine Einmal-Aktionen

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik28

Page 29: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

British Standards

InstituteISO 27001

Bundesamt für

Sicherheit in der

Informations-

technologie

IT-Grundschutz

ISMS – Implementierungshilfen

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik29

Page 30: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Angemessenheit• Internat. Normen vorhanden, definieren

nur den Rahmen des Systems• Freie Gestaltungsmöglichkeiten

Anpassbarkeit• Ein ISMS muss sich dem Unternehmen

anpassen, nicht das Unternehmen dem ISMS

ISMS – die Fakten

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik30

Modular• Initiale Grundlagen nötig• Schrittweiser Aus- und Aufbau möglich

Page 31: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik31

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 32: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Lösung für den Umgang mit Risiken

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik32

groß

Wahrscheinlichkeit

gering

niedrig hoch

Sch

ad

en

swe

rt

Akzeptieren Vermindern

Transferieren Vermeiden

Page 33: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Beispiel: Betrieb - Welche Lösungsszenarien gibt es?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik33

Intern

Vollständiger eigener

Betrieb der Infrastruktur

Infrastruktur und Prozesse auf aktuellem Stand halten

Anforderungen und Maßnahmen müssen bekannt sein

Eigenverantwortung für die komplette IT

Cloud

Cloud-Dienste als

strategische Grundlage

Nutzung von standardisierten Diensten

Individuallösungen sind schwer umsetzbar

Verschlüsselung der Daten vor und während dem Transport notwendig

Vollständige Abgabe der Betriebsverantwortung für die

Systeme

Hybrid

Teilweise Nutzung von

Cloud-Diensten

Integration von Cloud-Diensten in die bestehenden Systeme

Prozess-Integration für den Betrieb (Schnittstellen)

Abgabe von Betriebsverantwortlichkeiten für

definierte Bereiche

Verantwortung für die Sicherheit bleibt immer bei der eigenen Unternehmensleitung

Page 34: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

VerkaufDisposition

DokuTransport

Buchhaltung

ControllingAbrechnung

Kunden-

service

Auftrags-

erfassung

Welche Systeme bieten sich für die Cloud an

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik34

TMS

CRM CRM

Track & Trace

Lademittelverwaltung

Compliance Zoll

Telematik

Kreditlimit

Buchhaltung

/Controlling

Page 35: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

1 Wo liegen die Daten physikalisch?

2 Wird ein Ansprechpartner für das Thema IT-Sicherheit genannt?

3 Welche Kunden sind bereits bei diesem Dienstleister?

4 Ist der Dienstleister zertifiziert (IT-Grundschutz, ISO27001, ISO9000, …)?

5 Ist die Verbindung zum ext. Dienstleister verschlüsselt?

Die Cloud ist sicher – sicher?

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik35

Folgende Aspekte können bei der Entscheidung für eine Auslagerung in die „Cloud“ relevant sein:

Page 36: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Agenda

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik36

2 Die IT in der Logistik

3 Gegen was müssen IT-Systeme geschützt werden?

4 Risikoanalyse – Der erste Schritt

5 Wie trägt ein ISMS zur IT-Sicherheit bei?

1 Wer sind wir? Was erwartet Sie?

6 Welche Lösungsansätze gibt es?

7 Unser Vorgehen bei der Umsetzung

Page 37: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Unser Vorgehen

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik37

Risiken und Potenziale erkennen

Maßnahmen planen

Umsetzung

� Durchführung eines Workshops mit den relevanten Mitarbeitern*

� Analyse der IT Prozesse (nach Kriterien von ITIL und ISO 27001)

� SWOT-Analyse

� Benchmarking der IT Prozessreife

� Erstellung einer Gesamt-bewertung der IT Prozessreife

� Erkennung von Risiken

� Definition der Handlungsfelder

* IT Verantwortliche, Process Owner füroperative und administrative Prozesse,

Key-User

� Priorisierung der Handlungsfelder

� „ad-hoc-Maßnahmen“

� Erstellen eines Aktivitätenplans

� Handlungsfelder

� Definition der Aktivitäten

� Gewünschtes Ergebnis

� Verantwortlichkeiten

� Termine

� Unterstützung bei der Durchführung

� Begleitung bei offenen Fragen

� Projektmanagement

� Abschlussbewertung der Umsetzung

Page 38: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Ablauf der Analyse

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik38

StandortbestimmungIm Vorfeld erhalten Sie einen Fragebogen zur aktuellen Situation im Bereich IT Organisation, IT Prozesse und IT Sicherheit. Dieser dient uns für eine erste Einschätzung der Ausgangslage.

Fragebogen Workshop

DetailanalyseAnhand von detaillierten Checklisten (ITSM durch ITIL und IT Sicherheit durch ISO27001) bewerten wir zusammen mit Ihnen und Ihren Mitarbeitern die aktuelle Situation Ihrer IT Prozesse und der Risikenen in der IT.

Auswertung

MaßnahmenplanZusammen mit Ihnen erstellen wir anhand unserer Detailanalyse einen Maßnahmenplan für die weitere Umsetzung. Zudem erhalten Sie einen Überblick über die Stärken und Schwächen Ihrer IT.

Page 39: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Haben Sie Handlungsbedarf in Ihrem Unternehmen? Testen Sie es jetzt!

Checkliste – Bestandsaufnahme

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik39

Ist bei Ihnen ein Risikomanagment (-prozess) für die IT vorhanden?

Ja Nein

Sind alle kritischen Systeme bekannt und gesondert dokumentiert?

Sind Ihre Daten klassifiziert nach Wichtigkeit für Ihr Unternehmen sowie dem Schutzbedarf?

Sind die verantwortlichen Personen für die IT-Sicherheit bekannt?

Werden die Mitarbeiter regelmäßig gemäß ihrer Tätigkeiten geschult?

Page 40: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Checkliste – Ziele

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik40

Sind alle Vorgaben (rechtlich und durch Kunden) bekannt und dokumentiert?

Ja Nein

Sind die Unternehmensziele für die IT-Sicherheit definiert?

Sind die Ziele den Mitarbeitern und Dienstleistern bekannt?

Werden die Ziele regelmäßig überprüft und aktualisiert?

Page 41: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Checkliste – Prozesse

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik41

Wird die IT-Sicherheit als permanenter Prozess gelebt?

Ja Nein

Werden die IT-Sicherheitsprozesse regelmäßig auf ihre Wirksamkeit überprüft? (interne/externe Audits)

Werden die Mitarbeiter in das Thema IT-Sicherheit eingebunden?

Ist das Commitment für IT-Sicherheit bei Führungskräften und Mitarbeitern vorhanden?

Konnten Sie alle Fragen mit „Ja“ beantworten? Wenn nicht, kontaktieren Sie uns. Wir unterstützen Sie gerne.

Page 42: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

5 abschließende Fakten

Ausfälle der IT sind äußerst kostspielig und können die Existenz des Unternehmens gefährden

Ein ganzheitliches Risikomanagement ist dringend angeraten

IT-Sicherheit ist ein kontinuierlicher Prozess

Logistikunternehmen sind abhängig von der IT

Handlungsfelder und Lösungen sind individuell zu definieren

10.04.2014Der Mythos der unverwundbaren Technik –

IT-Systeme als Risikofaktor in der Logistik42

Page 43: Tag der Logistik 2014 online · • Spionage • Software-Fehler 10.04.2014 Der Mythos der unverwundbaren Technik – IT-Systeme als Risikofaktor in der Logistik 15 Die vorgenannten

Sprechen Sie uns an!

Claus MöhlerDirector Consulting & IT

[email protected]

Alexander HoppeSenior Consultant IT

[email protected]