Quelle: fotolia IT-Sicherheit für KMUs€¦ · • Gezielte Angriffe in sozialen Netzwerken...
Transcript of Quelle: fotolia IT-Sicherheit für KMUs€¦ · • Gezielte Angriffe in sozialen Netzwerken...
IT-Sicherheit für KMUsSchutzschilde aufbauen und aufrechterhalten
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 1
Quelle: fotolia
Ihr Referent
Dipl.-Ing. Uwe Freikamp
• Inhaber Ing.-Büro DaTeCom
• IT-Sicherheitsbeauftragter • Cyber-Security-Consultant• Datenschutzbeauftragter• EDV-Gutachter
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 2
Agenda
• Einführung• Aktuelle Bedrohungen• Wer sind die Täter – Was ist ihre Motivation?• IT-Sicherheit – Was ist das überhaupt?• Schäden durch mangelhafte IT-Sicherheit• IT-Sicherheit in der Cloud• Wie erreicht man IT-Sicherheit?• Praktische Umsetzung• Zusammenfassung
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 3
Aktuelle Bedrohungen
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 4
Aktuelle Bedrohungen
• Verschlüsselungs-Trojaner (Ransomware)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 5
Quelle: fotolia
Aktuelle Bedrohungen
• Angriffe auf Web-Seiten
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 6
Aktuelle Bedrohungen
• Industrie-Spionage
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 7
Quelle: Hans-Jörg Walter
Aktuelle Bedrohungen
• Verlust / Diebstahl von IT-Geräten
„In 28 Prozent der befragten Unternehmen sind in den letzten zwei Jahren zum Beispiel Computer, Smartphones oder Tablets gestohlen worden"
Quelle: Studie des bitkom aus 2015
… und was ist mit den Geräten, die im Zug, Taxi etc liegen gelassen wurden?
„Rund 20.000 Handys bleiben jährlich in Zügen und an Bahnhöfen liegen“ Quelle: Zeitschrift Impulse 07/2015
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 8
Aktuelle Bedrohungen
• Ausspähen von Zugangsdaten (Phishing)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 9
Quelle: Uwe Freikamp
Aktuelle Bedrohungen
• Diebstahl von Kundendaten
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 10
Quelle: datenschutzticker.de
Aktuelle Bedrohungen
• Gezielte Angriffe in sozialen Netzwerken (facebook & co)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 11
Quelle: fotolia
„Ich habe 1.000 Kontakte! …und alle sind meine Freunde …“
Wer sind die Täter?
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 12
… und was ist ihre Motivation?
• Rache
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 13
Quelle: fotolia
… und was ist ihre Motivation?
• schnöder Mammon
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 14
Quelle: fotolia
… und was ist ihre Motivation?
• die dunkle Seite der Macht
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 15
Quelle: fotolia
Was ist überhaupt IT-Sicherheit?
• „IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informations-technik durch angemessene Maßnahmen geschützt sind.“
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 16
Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik):
Schäden durch mangelhafte IT-Sicherheit
• direkter finanzieller Schaden• Umsatz-/Gewinneinbruch • Produktionsausfall • Schadenersatzforderungen von Geschäftspartnern • Imageverlust • Existenzbedrohung• Ausfall kritischer Infrastrukturen
=> KRITIS => IT-Sicherheitsgesetz (2016)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 17
Was gehört zur IT-Sicherheit?
• Hardware: Firewall, USV, Redundanz (Speicher, Cluster, Internet…)
• Software: Virenschutz, Backup, Verschlüsselung, VPN, SSL, https aktuelle Progr.- / OS-Versionen (XP!), Updates/Patches
Reicht das?NEIN!
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 18
Was gehört noch zur IT-Sicherheit?
• Organisatorische Maßnahmen (Auszug!):
Zugriffsrechte, Passwort-Wechsel Fernwartung, Fremdfirmen Datenträger-Handling (USB-Sticks!), Datenvernichtung! Schulung und Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Dokumentationen – Überblick
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 19
Was gehört zur IT-Sicherheit?
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 20
Quelle: Uwe Freikamp
IT-Sicherheit in der Cloud
Bereich
Zutrittskontrolle Stromversorgung Redundanz
Virenschutz Backup aktuelle Software Verschlüsselung
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 21
Cloud = (teilweises) Auslagern von Zuständigkeiten
Zuständigkeit
Cloud Cloud Cloud (+ Kunde)
Cloud + Kunde Cloud Cloud + Kunde Cloud + Kunde
IT-Sicherheit in der Cloud
Zugriffsrechte, Passwort-Wechsel Fernwartung, Zugriff durch Fremdfirmen Datenträger-Handling (USB-Sticks!) Datenvernichtung! Schulung/Sensibilisierung der Mitarbeiter Desaster-Recovery (Notfall-Plan) Schutz vor Elementarschäden Datenschutz! Strukturen - Doku – Überblick
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 22
Kunde Cloud + Kunde Kunde Kunde Kunde Cloud + Kunde Cloud + Kunde Kunde Kunde
Bereich Zuständigkeit
Verantwortung für die IT-Sicherheit
• Die Verantwortung liegt immer bei Ihnen!
• Wer haftet, wenn etwas schief geht?Der Vorstand bzw. die Geschäftsführung!
• Daher gilt:
IT-Sicherheit ist Chef-Sache!
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 23
Merksätze der IT-Sicherheit
IT-Sicherheit entsteht nicht von allein!
IT-Sicherheit kostet Geld!
… aber man kann sie nicht kaufen!
100%-ige Sicherheit gibt es nicht!
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 24
Ist IT-Sicherheit statisch?
• Die Bedrohungen verändern sich!
• Das Unternehmen verändern sich!Neue Mitarbeiter, Kunden, Lieferanten, Technologien
• Ihre Geschäftsprozesse verändern sich!Neue Produkte, Verfahren, Vertriebswege
• Maßnahmen müssen daher regelmäßig angepasst werden
• IT-Sicherheit ist kein Zustand sondern ein Prozess!
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 25
Schritte im Prozess der IT-Sicherheit
Initiierung Analyse Dokumentation Planung Umsetzung Überwachung Anpassung
Was benötigt man dafür?
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 26
Informations-Sicherheits-Management-System (ISMS)
• Management-System:Systematische, geplante Herangehensweise an das Erreichen von Unternehmenszielen und die Umsetzung der Unternehmenspolitik.
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 27
Quelle: fotolia
PDCA
PlanDoCheckAct
Überblick über ISM-Systeme (Auszug)
• BSI Grundschutzursprünglich entwickelt vom BSI für deutsche Behörden
• ISO/IEC 27001International anerkannte Norm für Organisationen aller Größen
• ISIS12InformationsSIcherheitsmanagementSystem in 12 Schrittenentwickelt in Bayern für KMUs
• VdS 3473Entwickelt vom VdS (Verband deutscher Sachversicherer) Fokus auf KMUs
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 28
Aufwand für die Implementierung
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 29
Gemeinsamkeiten aller ISM-Systeme
• Audits (intern oder extern)
• Zertifizierung(nur durch externe Auditoren)
• Fortlaufende Überwachung (intern oder extern)
• Re-Zertifizierung alle 2-5 Jahre (nur durch externe Auditoren)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 30
Ziel der IT-Sicherheit
Ein angemessenes Sicherheitsniveau
Was ist denn angemessen?Kommt d´rauf an ….
kleiner Web-Shop (Nebenerwerb)
Rechtsanwaltskanzlei mit E-Akte
Steuerberater mit ständiger Internet-Anbindung
Medizinisches Labor als Dienstleister für 500 Arztpraxen
Handelsplattform amazon
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 31
Vorgehensweise (am Beispiel VdS 3473)
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 32
Quelle: VdS Schadensverhütung GmbH
Umsetzung der VdS 3473 (6-Phasen-Modell)
Phase 1 - Start
Phase 2 - Vorbereitungen
Phase 3 - Grundanforderungen
Phase 4 - Basisschutz
Phase 5 - Kritische Teile der IT-Infrastruktur
Phase 6 - Überführung in den Betrieb
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 33
Zusammenfassung
Die Bedrohungen im IT-Bereich sind vielfältig
Alle Unternehmensgrößen sind betroffen
Es gibt unterschiedliche Tätergruppen und Motivationen
Schäden können existenzbedrohend sein
IT-Sicherheit ist primär eine organisatorische Aufgabe
IT-Sicherheit ist Chefsache!
Cloud-Nutzung löst keine Sicherheits-Probleme
IT-Sicherheit ist kein Zustand sondern ein Prozess!
ISM-Systeme helfen bei der Umsetzung
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 34
IT-Sicherheit für KMUs
Vielen Dank für Ihre Aufmerksamkeit!
Noch Fragen?
Kontaktdaten: [email protected] 02151 / 523 84 61
IT-Sicherheit für KMUs IHK Duisburg 30.11.2016
Dipl.-Ing. Uwe Freikamp EDV-Sachverstand.nrw 35