Ceyoniq Consulting @ SAP Forum
SAP Forum Versorgungswirtschaft
Marco Haas
Ceyoniq Consulting GmbH
04-05.11.2014
Die Ceyoniq Consulting GmbH
Umfassende, kompetente und lösungsorientierte
IT-Strategie- und Prozessberatung für komplexe Kundenanforderungen.
Die Ceyoniq Unternehmensgruppe
Die Ceyoniq Unternehmensgruppe bietet neben qualitativ hochwertigen
Softwareentwicklungen ganzheitliche Beratungsdienstleistungen sowie Services
im Bereich Werbung, Marketing und Tele-Akquise.
3 Ceyoniq Consulting GmbH
Standorte der Ceyoniq
Die Gesellschaften der Ceyoniq Unternehmensgruppe
sind mit Standorten in
Deutschland, Österreich und
der Türkei vertreten.
4 Ceyoniq Consulting GmbH
Die Ceyoniq Consulting GmbH
Die Ceyoniq Consulting GmbH ist ein IT-Beratungsunternehmen mit Sitz in Bielefeld und Geschäftsstellen
in Leipzig und Oldenburg.
• Mit der Gründung im Jahr 2007 wurde der Grundstein für ein erfolgreiches, marktgestaltendes
Beratungshaus gelegt.
• Das Unternehmen beschäftigt
derzeit über 30 Mitarbeiter.
5 Ceyoniq Consulting GmbH
Themen- und Branchenausrichtung
Auf Basis stringenter Themen- und Branchenausrichtung
ist die Ceyoniq Consulting mit der Konzeptionierung, Realisation und Betreuung komplexer
Kundenprojekte befasst.
Dabei liegt der Fokus auf den Leistungsspektren:
6 Ceyoniq Consulting GmbH
Informationssicherheit ECM
Energie Versicherungen
Kundenreferenzen (Auszug)
7 Ceyoniq Consulting GmbH
„Vertrauen ist die Summe der eingehaltenen Versprechungen.“
Kompetenzen Ceyoniq Consulting
• Langjährige Erfahrung der Berater in der
– Einführung von Informationssicherheitsmanagementsystemen (ISMS), insbesondere in
der Versorgungswirtschaft
– Erstellung von Sicherheitskonzepten in der Versorgungswirtschaft, z.B. SCADA-Systeme,
Smart Meter Umgebungen
– Implementierung von Business Continuity Managementsystemen (BCMS)
– Durchführung von Risikoanalysen und Schutzbedarfs-feststellungen
– Prüfung und Auditierung von ISMS, SCADA-Systemen und Netzleitstellen
• Umfassende Branchen-Kenntnisse in der Versorgungs-wirtschaft
Ceyoniq Consulting GmbH 8 Informationssicherheit
Vielen Dank!
Ceyoniq Consulting GmbH 9
IT-Sicherheitsanforderungen in der
deutschen Versorgungsindustrie
ISO 27001 Zertifizierung
Dr. Joachim Müller
Freiheitstraße 124 / 126
15745 Wildau bei Berlin
+49 3375 2174590
www.deuzert.de
aus der Sicht des
Auditors
Vorstellung
Dr. Joachim Müller
akkr. ISO27001 Auditor (DeuZert u.a.)
Certified Information Systems Auditor (ISACA)
Risk Manager (TÜV)
Datenschutzbeauftragter (TÜV)
Certified Information Security Manager (ISACA)
Formularhandbuch Datenschutzrecht (Mitautor , C.H.BECK)
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 11
Inhalte
• ISO 27001, DIN 27009; ISO 27019, BSI-GS
• Betroffene Aufgabenfelder aus der Sicht ISO 27001 Zertifizierung
• IT-Sicherheitsgesetz
• IT-Sicherheitskatalog BNetzA
• SmartMeter Gateway Administrator
12 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Der Industrialisierungsprozess der Informationstechnik:
Prozesse
Begriffe
Fakten
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 13
Die wichtigsten Ergebnisse: • Webanwendungen stellen weiterhin einen beliebten und vielversprechenden Angriffspunkt
dar, was zum großen Teil darauf zurückzuführen ist, dass seit langer Zeit bestehende
Schwachstellen weder durch Unternehmen noch durch Entwickler behoben werden.
• Alte und neue Technologien sind gleichermaßen für die Entstehung neuer Sicherheitslücken
verantwortlich. In den vergangenen fünf Jahren hat das Ausmaß der Schwachstellen sowohl
bei mobilen Anwendungen als auch bei SCADA-Lösungen dramatisch zugenommen.
• Obwohl der Umfang kritischer Sicherheitslücken abgenommen hat, ausgedrückt als
Prozentsatz der insgesamt aufgedeckten Schwachstellen, hat dies nicht dazu geführt, dass
Unternehmen sicherer geworden sind. Faktisch ist ihr Schutz schwerer geworden.
HP veröffentlicht Cyber Security Risk Report für 2012 und 2013
14 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
• Ein weiteres äußerst wichtiges Ergebnis ist, dass fast 80 Prozent der Softwareapplikationen
in Unternehmen eine Angriffsfläche für Cyberkriminelle bieten. Ursache sind fehlerhafte
Server-Konfigurationen, fehlerhafte konfigurierte Dateisysteme oder zur Anwendung gehörige
Beispiel-Dateien, also liegt die Ursache nicht im jeweiligen Quellcodes.
• 46 Prozent aller untersuchten Programme im Bereich Mobil-Anwendungen nutzen HP zufolge
Verschlüsselungs-Technologien auf falsche Art und Weise. So verzichten viele Entwickler
komplett auf die Verschlüsselung beim Speichern von Daten auf mobilen Geräten, oder nutzten
nur schwache Algorithmen. Andere implementieren zwar starke Algorithmen, tun dies aber
so fehlerhaft, dass diese nichts nützen.
HP veröffentlicht Cyber Security Risk Report für 2012 und 2013
15 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Prozessorientierung
16 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Zusätzliche Hard- und Software löst keine organisatorischen Versäumnisse.
Das Querschnittsthema Informationssicherheit
IT Sicher-heits-
Mgmt.
Leitung
Daten-schutz
Fachbereich Prozesse
Software-
Entwicklung IT Betrieb
Risiko-mana-
gement
Compliance
beispielhaft
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 17
Gesetzliche Anforderungen geplant
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 18
IT-Sicherheitsgesetz
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 19
IT-Sicherheitskatalog BNetzA
• Ziel dieses Sicherheitskataloges ist die Einführung und Zertifizierung eines Informationssicherheits-Management-Systems (ISMS) gemäß der nationalen und internationalen Normen ISO/IEC 27001, DIN SPEC 27009 und ISO/IEC TR 27019. Die Umsetzung dieser Vorgaben gewährleistet einen sicheren und ordnungsgemäßen Betrieb aller Telekommunikations- und Datenverarbeitungssysteme innerhalb der gesamten Organisation.
20 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Forderungen der BNetzA
In der vorliegenden Version des IT-Sicherheitskataloges werden die Sicherheitsanforderungen aufgeführt; u.a.:
• Netzstrukturplan
• Schutzbedarfsermittlung
• IT-Sicherheitsbeauftragter
• Verweis auf die Maßnahmenempfehlungen der ISO/IEC 27002 und der DIN SPEC 27009
• angedachte Umsetzungsfrist nach Veröffentlichung des IT-Sicherheits- kataloges ist 12 Monate
21 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
ISO 27001:
International anerkannter prozessorientierter Standard
und DIN 27009 / ISO IEC TR 27019
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 22
Entwicklung über die Jahre
IS-Management
IT Prozesse
1950 1960 1970 1980 1990 2000 2005 2010 2013
Qualitätskontrolle
Qualitätssicherung
Qualitätsmanagement
Prozessmanagement
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 23
ISO 27001:2013
Informationssicherheit
Informationssicherheit ist die
Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Information (Asset) – alles was für das Unternehmen von Wert ist.
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 24
ISO 27001:2013 · kurz skizziert
• ISO 27001:2013 beschreibt analog zur ISO 9001 / TS 16949 das Managementsystem der Informationssicherheit und umfasst 114 Controls
• Im Kontext Risikomanagement fordert die neue ISO 27001 die Festlegung von Verantwortlichen für Werte (Asset Owner) und die Definition von Risiko-Verantwortlichen (Risk Owner). Das Thema Risiko widmet sich in der Norm nur den IT-Risiken und verweist ansonsten auf die ISO 31000 (Risikomanagement).
• Maßnahmenempfehlungen dazu finden sich in der ISO 27002 als Leitfaden zur Informationssicherheit.
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 25
ISO 27001:2013 · kurz skizziert
• Insgesamt wird ein kontinuierlicher Verbesserungsprozess aufgebaut, auch wenn die neue Norm den PDCA-Zyklus nicht mehr explizit beschreibt
• Der Umfang wurde reduziert, hingegen der fachliche Anspruch und die Anzahl der Themenbereiche erhöht.
• Anspruch: Die Informationssicherheit wird praxisgerecht, ausgewogen und angemessen in die Geschäftsprozesse des Unternehmens integriert.
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 26
Unternehmenssicht • Entscheidend ist was für Ihr Unternehmen passt, es voranbringt und dabei die
betriebswirtschaftliche Grundmotivation nicht aus dem Auge verliert. Diesem Anspruch wird die neue Norm deutlich gerecht.
• Der Fokus liegt stärker auf dem Geschäftszweck und den Aktivitäten der Organisation und nutzt dem ganzen Unternehmen.
• Das Augenmerk richtet sich stärker auf die Verpflichtung des Managements im Unternehmen.
• Bei einer ISO 27001-Zertifizierung müssen Sie nicht vor lauter technischer Detailvielfalt den Kopf in den Sand stecken.
• Die Projektlaufzeiten sind realistisch kalkulierbar.
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 27
28 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Quelle: ISO Survey of Certifications - 2013
davon Germany 581
DIN 27009: freiwilliges Prüfzeichen
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 29
DeuZert bietet speziell für den EVU-Sektor eine auf der DIN 27009 basierende freiwillige Zertifizierung.
ISO/IEC TR 27019
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 30
Die ISO/IEC TR 27019 ist eine Adaptierung der DIN 27009 als inter- nationale ISO-Norm.
BSI TR-03109-1 und der Smart Meter Gateway Administrator
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 31
BSI TR-03109-1
32 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Schreibt eine Zertifizierung vor und verweist auf ISO 27001, ISO 27005 ohne genaue Spezifizierung der Ausgabe und auf den
BSI-Grundschutz in Verbindung mit ISO 27001.
Zertifizierte Penetrationstests
33 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
• Forderung der TR-03109-1
DeuZert bietet auch Penetrationstests mit Zertifizierung an. Grundlage sind dabei die
international anerkannten Verfahren des BSI und des EC-Council. Die Durchführung erfolgt durch
zertifizierte Hacker und akkreditierte Auditoren.
Smart Meter Gateway Administrator
Die Kombination aus ISO 27001 und DIN 27009 (ISO 27019) ist eine geeignete Vorgehensweise um die kommenden Anforderungen an eine
verpflichtende Zertifizierung vorzubereiten. Die gesetzlichen Anforderungen werden sich nur granular unterscheiden.
34 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
BSI TR-03109-1
BSI TR-03109-1 erst 2015 fertig
35 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Schreibt eine Zertifizierung vor und verweist auf ISO 27001, ISO 27005 ohne genaue Spezifizierung der Ausgabe und auf den BSI-
Grundschutz in Verbindung mit ISO 27001.
Smart Meter ade?
36 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Ablauf einer Zertifizierung und die Sicht des Auditor (auszugsweise)
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 37
Prüfungsordnung
• Prüfungsordnung Zertifizierung von Managementsystemen
• Verfahrensanweisung Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001:2005 und ISO/IEC 27001:2013
Inhalt
• Einführung
• Erstzertifizierungs-Audit
• Zertifizierung
• Aufrechterhaltung und Verlängerung der Gültigkeit
• Weitere Regelungen
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 38
Dokumentenprüfung (Auszug)
• Anwendungsbereich des ISMS
• Anwendbarkeitserklärung (SoA)
• Informationssicherheitsleitlinie
• Prozess zur Risikoermittlung und Behandlung zur Informationssicherheit
• Kompetenznachweis des ISMS-Beauftragten
• dokumentierte Informationen als Nachweis für die Effektivität des ISMS
39 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Das Audit vor Ort
• Der Auditor prüft die Wirksamkeit des Managementsystems.
• Im Fokus die Kerngeschäftsprozesse – Passen Dokumentation von Prozessen, Verfahren und Regelungen zum tatsächlichen täglichen Praxis.
• Wird die kontinuierliche Verbesserung und die Ausrichtung auf die Kunden gelebt?
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 40
Das Audit vor Ort
• Ist das Sicherheitsbewusstsein bei den Mitarbeitern vorhanden?
• Ist das Management in seiner Vorbildfunktion sichtbar?
• Sind von der Führungsspitze bis zum Mitarbeiter alle von der Sinnhaftigkeit zur Umsetzung eines Informationssicherheits-Managementsystems überzeugt?
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 41
Was will der Auditor erreichen
Durch die richtige Zertifizierung die Marktposition des Unternehmens stärken, mit • stabilen Betriebsprozessen.
• Standardisierung und Transparenz.
• Kundenneugewinnung und Kundenvertrauen.
• Umsatzsteigerung durch „Strategical Alignment“.
• einem stetig wachsenden Bewusstsein der Mitarbeiter für Informationssicherheit, IT-Sicherheit und Datenschutz (Awareness).
Und: Nach dem Audit ist vor dem Audit
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 42
Weiterführende Informationen
43 SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation
Vielen Dank für Ihre Aufmerksamkeit!
DeuZert® Deutsche Zertifizierung in Bildung und Wirtschaft GmbH
Freiheitstraße 124-126
15745 Wildau bei Berlin
SAP-Forum für die Versorgungswirtschaft · 04.11.2014 · Kundeninformation 44
Top Related