Sicherheit als Geschäftsmodell

Michael HochenriederSenior Security ConsultantHvS-Consulting GmbHhochenrieder@hvs-consulting.de

Unser heutiges Ziel

Neue Geschäftspotentiale durch innovative Security-Produkte & -

lösungen

Einführung in aktuelle Sicherheitsstandards Überblick Security-Markt in Deutschland Status quo: Sicherheitsmanagement

in deutschen Unternehmen Ansätze für Dienstleistungen & Produkte in den

Bereichen IT- & organisatorische Sicherheit

Agenda Teil I

Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben

Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends

Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines

Sicherheitsverantwortlichen

Informations-sicherheit

IT-Sicherheit

Secure CodingSecure Coding

Sicherheitsmanagement

Sicherheitsmanagement

Security-AuditsSecurity-Audits

Security-AwarenessSecurity-Awareness

IS-RisikomanagementIS-Risikomanagement

SicherheitspolitikSicherheitspolitik

Sicherheitsrichtlinien & -standards

Sicherheitsrichtlinien & -standards

Firewalls / VirenschutzFirewalls / Virenschutz

SicherheitsprozesseSicherheitsprozesse

Was ist Informationssicherheit?

……

Rahmenwerke & Standards im Bereich Informationssicherheit

ISO 17799 / ISO 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS

BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen

COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT

ITIL / ISO 20000 – Sicherheitsmanagement Sammlung von „Best Practices“ Betrieb von IT-Infrastrukturen

Informationssicherheits-Management-systeme (ISMS) nach ISO Teil 1: ISO 17799:2005

Leitfaden zum Management von Informationssicherheit Best Practices

Teil 2: ISO 27001:2005 Spezifikation für ISMS für Unternehmen (Anforderungen) Grundlage für die Zertifizierung von ISMS Anwendbar für alle Industriezweige und alle Arten sowie

Ausprägungen von Unternehmen 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmen

im verbindlichen Anhang A Ständige Überwachung und Weiterentwicklung des ISMS

ist explizit gefordert (PDCA-Zyklus)

ISO 27001: Controls im Anhang A

A.5 - Security Policy

A.6 – Organization of Information Security

A.7 – Asset Management

A.14 - Business Continuity Management

A.13 – Information Security Incident Management

A.12 – Information Systems acquisition,

development and maintenance

A.10 – Communication and Operations Management

A.9 – Physical and Environment

Security

A.8 – HumanRessources

Security

A.15 - Compliance

A.11 – Access Control

Neugliederung des IT-Grundschutzes

BSI IT-Grundschutz

BSI Standard 100-2IT-Grundschutz Vorgehensweise

BSI Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz

Zertifizierung nach ISO 27001 auf der Basis von IT-GrundschutzPrüfschema für ISO 27001 Audits

BSI Standard 100-1ISMS: Managementsysteme für Informationssicherheit

BSI-Standardszur IT-Sicherheit

- Bereich IT-Sicherheitsmanagement

IT-Grundschutz Kataloge

Kapitel 1: EinleitungKapitel 2: Schichtenmodell

und ModellierungKapitel 3: GlossarKapitel 4: Rollen

-Baustein-Kataloge-Kap.B1 „Übergreifende Aspekte“

-Kap. B1.0 IT-Sicherheitsmgnt.

-Kap. B2 „Infrastruktur“-Kap. B3 „IT-Systeme“-Kap. B4 „Netze“-Kap. B5 „IT-Anwendungen

-Gefährdungs-Kataloge-Maßnahmen-Kataloge

Aufbau der IT-Grundschutz-Kataloge

Bis 2004 Neu ab 2005

BSI-Standards & Loseblattsammlung

Neue organisatorische Anforderungen: Global regulatory compliance

Electronic Ledger Storage Law (Japan)

11MEDIS-DC (Japan)

CanadianElectronicEvidence

Act

SEC 17a-4 (USA)

HIPAA (USA)

FDA 21 CRF Part 11

ISO 18501/1850

9

Sarbanes-Oxley Act (USA)

AIPA (Italy)

GDPdU & GoBS (Germany)

BSI PD0008 (UK)

PublicRecords

Office (UK)

NF Z 42-013 (France)Financial

ServicesAuthority (UK)

Basel IICapitalAccord

Risikoabsicherung, Versicherungen, Eigenkapital(Basel II)

Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...)

Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG)

Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz)

Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG)

Compliance-Vorgaben

Compliance-Vorgaben in Deutschland

Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance

§ 276 BGB – Organisationsverschulden / Schadensersatzansprüche

§ 202a StGB – Ausspähen von Daten § 303b StGB – Computersabotage § 3 TKG – Definition Diensteanbieter § 4 TDDSG – Pflichten des Diensteanbieters § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet u.v.m.

Praxisbeispiel: Gesetzliche/rechtliche Anforderungen

Private Mails: Was darf der Arbeitgeber?

MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die privateNutzung von Internet und E-Mail am Arbeitsplatz gestattet, wirdRechtlich mit „normalen“ Anbietern von telekommunikationsdiensten(TK-Diensten) nach dem Telekommunikationsgesetz (TKG)Gleichgesetzt – mit unvorhergesehenen Konsequenzen.

Die Rechtslage …

Agenda Teil I

Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben

Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends

Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines

Sicherheitsverantwortlichen

Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme

Quelle: siliconDEStudie_IT_Sicherheit2005

Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget

Quelle: siliconDEStudie_IT_Sicherheit2005

Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006

Quelle: InformationWeek, IT-Security 2005

Agenda Teil I

Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben

Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends

Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines

Sicherheitsverantwortlichen

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen

Theorie: Security hat oberste Priorität Praxis: Wellenbewegung,

wenn oben, dann stark IT-technisch orientiert

Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

Organisatorische SicherheitRisiko-Management, Sicherheits-

Richtlinien,

Security Awareness

IT-SicherheitState-of-the-Art

Produkte & Technologien

Physische Sicherheit

Gebäude- und

Zugangsschutz

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen

Theorie: Security hat oberste Priorität Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert

Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen

(z.B. CSO, CISO etc.)

Vorstand

ChiefSecurity Officer

PhysicalSecurity IT-Security OrganisationalSecurity

…

Vorstand

Chief SecurityOfficer

Datenschutzbeauftragter

PhysischeSicherheit IT-Sicherheit

OrganisatorischeSicherheit

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Sicherheitsmanagement

Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)

Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …)

Achtung!

SicherheitsmanagementHerr XXX

Gebäude

Herr XXX

Güter

Herr XXX

IT

Herr XXX

Organisation

Herr XXX

Arbeitskreis SicherheitLeitung: Herr XXX

Abteilungen

DatenschutzEntwicklungInformationstechnikLogistikPersonalwesenProduktionQualitätswesenProduktionVerwaltungVertriebMarketing

Gruppenfirmen

XXX

Virtuelles Team Sicherheit

Rollenkonflikte!

IT-AbteilungSecurity

Datenschutz

?Zusammenfassung des Status Quo

Stellenwert des Themas Sicherheit schwankt

Ganzheitliche Sicherheit rückt immer mehr inden Vordergrund

Häufig Rollenkonflikte im Sicherheitsmanagement

Bei wem platziere ich

welches Thema?

Die Top „Bauchschmerzen“ eines CSO

Sensibilisierung Geschäftsleitung / Vorstand

Security Governance

Mitarbeiter Awareness

Komplexität IT-Sicherheit

Die Top „Bauchschmerzen“ eines CSO

Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI)

Wie rechtfertigen Sie Sicherheitsinvestitionen?

DeutschlandUSA

Die Top „Bauchschmerzen“ eines CSO

Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)

Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen

HaftungSicherheitsstandards BSI ISO 27001 ITSEC / CC

Gesetze BDSG, TDDSG, TDG HGB, AktG, GmbHG,

KontraG UrhG BGB, StGB

Richtlinien Basel II PS330 ITIL

Die Top „Bauchschmerzen“ eines CSO

Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)

Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen

Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu

sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

Gratwanderung der Sicherheit

Secure

Usable

Cheap

Choose any Choose any two!two!

Die Top „Bauchschmerzen“ eines CSO

Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)

Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu

sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

IT-Sicherheit Patchmanagement, System-Hardening, Application-Security Incident-Handling & Notfall-Management

Pause