IT auf Grossbaustellen - Security und Compliance

IT auf Großbaustellen

XING Event 3:

Security und Compliance

Montag 07.04.2014, 10:30 – 11:15

Manfred Meise – Geschäftsführer ([email protected])

© mmi consult GmbH 2005 - 2014

Über uns und über mich …


mmi consult GmbH

IBM Business Partner der ersten Stunde

Anwendungslösungen für den Mittelstand

Beratung, Schulung, Lösungsbausteine

Branchenschwerpunkt: Großbaustellen (ARGEn)

http://www.baustellen-it.de

Manfred Meise, Dipl. Ing (FH)

Geschäftsführender Gesellschafter

IT Berater / Trainer seit mehr als 25 Jahren

zertifizierter IBM Produktspezialist

Betreuung internationaler Baustellenprojekte


Agenda

1. Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung

2. Technische Maßnahmen zum Schutz von Systemen und Daten

3. Rechtlicher Rahmen für den Betrieb der Baustellen-IT4. Organisatorische Maßnahmen:

Was müssen Bauleitung und Mitarbeiter beachten?5. Die tägliche Gradwanderung:

Vorgaben einhalten - Handlungsfähigkeit behalten


Security und Compliance der Baustellen-IT: Risikoabschätzung und -bewertung


Datenschutz wird leider zu gering bewertet …


© mmi consult GmbH 2005 - 2014 IT auf Großbaustellen

Begriffsdefinitionen: Worum geht es eigentlich?

Vertraulichkeit

Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden

gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung

Integrität

Daten dürfen nicht unbemerkt verändert werden

bzw. es müssen alle Änderungen nachvollziehbar sein

Verfügbarkeit

Verhinderung von Systemausfällen

der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden

Compliance

Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien

Einhaltung vertraglicher Vereinbarungen mit dem Bauherrn


Bedrohungen der IT Sicherheit


Bedrohung

Effekte und Ziele

Systemausfall

Missbrauch

Sabotage

Spionage

Betrug

Diebstahl

Ursache oder Mittel

Höhere Gewalt

Fehlbedienung

Malware

Vortäuschung falscher Identität

DoS

Man in the middle

Social Engineering

Gegenmaßnahmen

Management

Firewalls

Authentifizierung

Autorisierung

Verschlüsselung

Signaturen

…


Bedrohung + Schwachstelle = Gefährdung

Eine Bedrohung allein ist wirkungslos

Eine Bedrohung bei Ausnutzung

vorhandener Schwachstellen richtet

Schaden am Schutzobjekt an

Durch gezielte Gegenmaßnahmen

werden Schachstellen „gestopft“. Das

Risiko für Schaden wird reduziert oder

„auf Null“ gesetzt


Risikomanagement

Risikoidentifikation:

Bestimmung relevanter Assets (Prozesse, IT-Systeme, Personen, Daten)

Bestimmung der Bedrohungen

Bestimmung der Verwundbarkeiten

Risikoanalyse:

Ermittlung Eintrittswahrscheinlichkeiten

Ermittlung potenzieller Schadensauswirkungen

Risikobewertung:

Priorisierung zu festgestellten Risiken

Risikobehandlung

Wie gehen wir mit den einzelnen Risiken um?

Umgang mit dem Restrisiko


Technische Maßnahmen zum Schutz von Systemen und Daten


Existierende Empfehlungen und Best Practices


Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT Grundschutz Kataloge:

http://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/inhalt_node.html

ITIL®

Risk Management

http://wiki.de.it-processmaps.com/index.php/Risikomanagement

Availability Management

http://wiki.de.it-processmaps.com/index.php/Availability_Management

Information Security Management

http://wiki.de.it-processmaps.com/index.php/IT_Security_Management

Compliance Management

http://wiki.de.it-processmaps.com/index.php/Compliance_Management

Incident Management

http://wiki.de.it-processmaps.com/index.php/Incident_Management

Erfahrungen aus eigenen Projekten

Architekturentwürfe und Checklisten


Ausgewählte Maßnahmen für Baustellen


Infrastruktur

Zugangskontrolle, Einbruchsschutz

Blitz- und Brandschutz

fachgerechte und redundante Primärverkabelung

Hardware und Software

Spiegelung / Clustering

Datenschutzprogramme

Virenschutzprogramme

Zugriffskontrolle und –protokollierung

Verwendung von Einmalpasswörtern

Kommunikation

Firewalls (Portfreigaben)

Verschlüsselung (SSL)

Perimeternetze / VLAN (z.B. für Wohncontainer)

Notfallvorsorge

Notfallplan / -konzept

Alternative Stromversorgung

Prüfung der Wiederherstellbarkeit von Beriebsumgebungen nach Sicherheitsvorfällen

Erfassen und Dokumentieren von Sicherheitsvorfällen

u.v.m.

Rechtlicher Rahmen für den Betrieb der Baustellen-IT


Was müssen wir alle berücksichtigen?

Internationales und nationales Datenschutzrecht

regelt die informationelle Selbstbestimmungen und geschützte Geheimnisse

bindent für alle IT Systeme sofern sie nicht ausschließlich privat genutzt werden

Schutz vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung

Schutz personenbezogener oder persönlicher Daten

Fernmeldegeheimnis (Telekommunikationsgeheimnis), Brief- und Postgeheimnis

Strafrechtliche Verfolgung bei Verletzung

Nachweis- und Auskunftspflichten (Compliance)

GDPdU-konforme Aufbewahrung von Buchhaltungsrelevanten Informationen (Abgabenordnung)

Einhaltung von Handelsgesetzen (z.B. EHUG)

Bautagebuch nach Honorarordnung für Architekten und Ingenieure (HOAI)

Geldbußen bis Mißachtung

Vermeidung von Computerkriminalität

Betrug

Sabotage

Software Piraterie

Fälschung

Ausspähen von Daten

Strafrechtliche Verfolgung bei Verletzung

....


Wer ist für die Einhaltung verantwortlich?


Geschäftsführer

haftbar

Datenschutzbeauftrager

Aufsicht

Weisungsbefugnis

Systemadministratoren

Einhaltung von Datenschutzverpflichtung

Gewährleistung der Vertraulichkeit (Zugangsmöglichkeit zu allen Informationen)

Mitarbeiter

Informationspflicht

Zustimmungsregelung

Einhaltung von Compliance-Regeln

Organisatorische Maßnahmen: Was müssen Bauleitung und Mitarbeiter beachten?


Datenschutz organisatorisch umsetzen

Datenschutzbeauftragte bestellen

intern / extern

Fachliche Eignung und Aufgaben sind gesetzlich geregelt

http://www.gesetze-im-internet.de/bdsg_1990/__4f.html

http://www.gesetze-im-internet.de/bdsg_1990/__4g.html

Verstöße unverzüglich melden

Geschäftsführer/Projektleiter

Datenschutzbeauftragter

Daten nur in gesicherten Umgebungen speichern

Keine public Cloud Plattformen

Keine USB Sticks mit nach Hause nehmen

Keine Datensicherung auf Medien, die frei zugänglich sind

Zugänglichkeit von Daten einschränken und festlegen

klare Prozesse zur Festlegung von Berechtigungen

auswertbare Dokumentation über Veränderungen an Berechtigungen

Vertretungsregelungen vorsehen

Wichtige Funktionen im Rahmen des Datenschutzes müssen mehrfach belegt sein


Datenschutz organisatorisch umsetzen … (2)

Datenschutzvereinbarung erstellen und mit jedem Mitarbeiter abschliessen

Rechte / Pflichten darlegen

Zustimmungen für Zustimmungsregelungen einholen (z.B. Entbinden von Telekommunikationsgeheimnis)

Compliance Regeln festschreiben

Stichproben und Protokolle sind erforderlich

Gewohnheitsrecht vermeiden

Regelung zur Verwendung von Email für private Zwecke

Urheberrechte gewährleisten und rechtlich nicht unbedenkliche Inhalte verhindern

Nutzung von Internet

Passwortverwendung

Individuell und Personenbezogen

Regelmäßige Änderung

Zuwiderhandlungen / Verletzungen ahnden

Ignoranz der Verletzung „kann teuer werden“

3rd Party Trust

Externe Administration zur Wahrung des Vertrauenschutzes innerhalb der ARGE

….

Die tägliche Gradwanderung: Vorgaben einhalten - Handlungsfähigkeit behalten


Beispiele: IT Sicherheit erhöhen


Behandlung von Kennwörtern

Benutzerkennwörter

Individuell – nicht zu einfach

Nicht weitergeben / nicht aufschreiben

Regelmäßig ändern

Administrative Kennwörter

dokumentieren (verschlossen aufbewahren)

herausgabe dokumentieren

Regelmäßig ändern

BYOD SmartPhones und Tablets

Fernmeldegeheimnis und Schutz privater Daten

MDM Lösung mit getrennten Bereichen für geschäftliche / private Daten

Remote Wipe bei Diebstahl oder Ausscheiden von Mitarbeitern

Helpdesk

Hilfestellung für Benutzer

Verletzung des Datenschutzes

Datensicherungen

Automatisierte Backups

Speicherung der Daten in der privaten Cloud

Physikalische Sicherheit erhöhen, Umwelteinflüsse ausschliessen

Verwendung von Cloudbasierten Sytemen

Nutzung zertifizierter kommerzieller Rechenzentren

Virenschutz

Flächendeckend einsetzen


Beispiele: Compliance gewährleisten


Datenschutzvereinbarung

Mit jedem Mitarbeiter abschließen

„Spielregeln“ festlegen

Mailsignaturen

Müssen rechtlich bindende Angaben enthalten

Lizenzverwaltung für Software

Nur legal erworbene Software einsetzen

Regelmäßige Erhebungen

Vollzugriffsberechtigung auf Daten

nur für Mitarbeiter ausserhalb der ARGE Gesellschafter

Datenschutzbeauftragten bestellen

Intern/extern


Offene Fragen

Audit

Wie ist eine Baustelle aufgestellt?

Kurzfristiger Maßnahmenkatalog

Schulung

Alle Baustellenmitarbeiter sensibilisieren/informieren

Datenschutzvereinbarung

Inhalt

Nachträglich abzuschließen

Wer kümmert sich darum?

Expertise im eigenen Haus vorhanden?

Externe Unterstützung

Aktivitäten sind Teil des ITSM Konzeptes

Siehe Webcast vom 24.03.2014

http://www.baustellen-it.de/cms/web.nsf/id/pa_xing02_de.html



Unsere nächsten Webcast-Themen

XING Event 1: Die besondere Herausforderung

Besonderheiten von Großbaustellen

Modelle für ITK Infrastrukturen

Erfahrungen

Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-32029533

XING Event 2: IT Betrieb für Baustellen

Zuständigkeiten

Prozesse für Einrichtung und Support

Best practices Ansätze

Slides: http://de.slideshare.net/mmi-consult/it-auf-grobaustellen-2

XING Event 4: Welche Anwendungslösungen benötigt jede Großbaustelle

Email, Kalender, Kontakte

Dateiablagen, Planverwaltungen

Vertragsmanagement



weitere Informationen und Kontakte …


mmi consult gmbh

Manfred Meise

Hartriegelweg 24

D-85551 Kirchheim b. München

Telefon: +49 89 904 801-50

Telefax: +49 89 904 801-51

Mobil: +49 172 810 7732

http://www.baustellen-it.de

http://www.site-office-it.com

eMail: [email protected]

Technology

IT auf Grossbaustellen - Security und Compliance