Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Security für KMU – ein Widerspruch?

Ähnliche Präsentationen


Präsentation zum Thema: "IT-Security für KMU – ein Widerspruch?"—  Präsentation transkript:

1 IT-Security für KMU – ein Widerspruch?
Rüdiger Linhart - Florian Brunner - IT-Security für KMU – ein Widerspruch? Grundlagen – Begriffe – Status Quo – Problemstellungen - Lösungsansätze SECURITY-FH wird viel für große Strukturen und Optimallösungen gelehrt trifft das auch auf KMU zu? Vortrag im Rahmen des E-Day 2014– Wien

2 Rüdiger Linhart Geboren 1975 in Melk, NÖ HBLVA EDV & Organisation
Studium Wirtschaftsinformatik 1992 – 1994: Internationale IT-Projektleitung im Automobilumfeld 1994 – 1998: GF/Eigentümer eines Lebensmittelproduktionsbetriebs seit 1999: IT-Projektmanagement und Beratung ALLDATA EDV-Systeme GmbH & Co KG Besonderes Augenmerk: Betriebswirtschaftliche Software, Cloud & Security, Lösungen für KMU Erreichbarkeit: E-Day 2014 Rüdiger LINHART / Florian Brunner 2 2

3 Florian Brunner HTBLA EDV & Organisation
Studium Sichere Informationssysteme Software Engineer und Consultant Seit 2011 HolisticSec Penetration Testing und Sicherheitsberatung Schwerpunkt: Überprüfung von Systemen, Anwendungen und Konzepten, Sicherheitsberatung, KMU-Lösungen Erreichbarkeit: E-Day 2014 Rüdiger LINHART / Florian Brunner 3 3

4 „I think, there will be a market for maybe five computers“ Thomas J
„I think, there will be a market for maybe five computers“ Thomas J. Watson (CEO IBM, 1943) Wichtigster Einsatzzweck: Abwicklung von kaufmännischen Geschäftsfällen Milliarden an Computern sind weltweit im Einsatz Größtenteils gesetzlich vorgeschrieben Entsprechendes Know-How notwendig Mittlerweile auch für KMU E-Day 2014 Rüdiger LINHART / Florian Brunner 4 4

5 IT- und Datensicherheit bei KMU?
90% verfügen über Internetanbindung 68% verfügen über Datensicherung 63% bestellen im Internet 66% machen Internet-Banking 26% versenden Rechnungen elektronisch 37% nutzen soziale Netzwerke Und nahezu 100% nutzen Computer !!! Quelle: KMU sind von IT betroffen Es gibt fast kein „ohne“ mehr Verbreitung kaum ein Unterschied zu großen Unternehmen ABER: weniger Struktur und weniger Möglichkeiten KEIN WOLLEN - MÜSSEN E-Day 2014 Rüdiger LINHART / Florian Brunner 5 5

6 Haben KMU ein Problem? 6 KMU sind von IT betroffen
Es gibt fast kein „ohne“ mehr Verbreitung kaum ein Unterschied zu großen Unternehmen ABER: weniger Struktur und weniger Möglichkeiten Quelle: Betrand Guay - AFP E-Day 2014 Rüdiger LINHART / Florian Brunner 6 6

7 Haben KMU ein Problem? Viren Trojaner Backdoors Scareware Spyware
Adware Hacker Ex-Mitarbeiter Physische Zerstörung NSA & Co Phishing Fehlbedienung KMU sind von IT betroffen Es gibt fast kein „ohne“ mehr Verbreitung kaum ein Unterschied zu großen Unternehmen ABER: weniger Struktur und weniger Möglichkeiten E-Day 2014 Rüdiger LINHART / Florian Brunner 7 7

8 KMU und EPU Kategorie Angestellte Umsatz oder Bilanzsumme Micro
< 10 <= € 2.0 mio Small < 50 <= € 10.0 mio Medium-Sized < 250 <= € 50.0 mio <= € 43.0 mio Kennzahlen durch Europäische Kommission zur Klassifizierung festgelegt Unterschiedliche Fördermaßnahmen für KMU/SMB Fehlende Ressourcen und Know-How im Vergleich zu größeren Unternehmen Daraus folgend  unterschiedliche Problemstellungen E-Day 2014 Rüdiger LINHART / Florian Brunner 8 8

9 KMU und EPU - Statistikwerte
E-Day 2014 Rüdiger LINHART / Florian Brunner 9 9

10 KMU und EPU - Statistikwerte
E-Day 2014 Rüdiger LINHART / Florian Brunner 10 10

11 Problemstellungen bei KMU?
E-Day 2014 Rüdiger LINHART / Florian Brunner 11 11

12 Fachpersonal Mitarbeiterbindung Ausbildungsbudget Aufgabenverteilung
Mangel an IT-Know-How Fachpersonal Mitarbeiterbindung Ausbildungsbudget Aufgabenverteilung Intern/extern Schnelllebigkeit E-Day 2014 Rüdiger LINHART / Florian Brunner 12 12

13 unberechtigter Zugriff Manipulationen Datenverlust Risikominimierung
Datensicherheit unberechtigter Zugriff Manipulationen Datenverlust Risikominimierung Hier aber auch: Verfügbarkeit der Mitarbeiter, was passiert bspw. Bei einem Auto-Unfall, wenn nichts dokumentiert ist. Das Dokumentieren minimiert somit das Risiko eines Ausfalls – auch Menschen können „defekt“ werden oder „ausfallen“. Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Manipulationsfreiheit von Systemen, die Informationen verarbeiten oder speichern! Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit, Authentifizierung, Verfügbarkeit E-Day 2014 Rüdiger LINHART / Florian Brunner 13 13

14 Andrea & Bernd (alias Alice & Bob)
Vertraulichkeit Integration Authentizität Nichtabsteitbarkeit Authentifizierung Verfügbarkeit Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit, Authentifizierung, Verfügbarkeit E-Day 2014 Rüdiger LINHART / Florian Brunner 14 14

15 Verfügbarkeit Denken Sie doch einmal an die ganzen SLAs: Zivilrechtliche Probleme bei der Bereitstellung von Diensten und der Nicht-Erfüllung von vertraglichen Bestandteilen (Pönalen) Datenaustausch notwendig Gesetzliche Aufbewahrungsfristen Prozessabhängigkeit Verwendung möglicherweise nicht möglich Abhängigkeit von Anbietern und deren Entscheidung über die weitere Entwicklung Hochwasser 2002/Schwertberg © GWB Linz, Flussdialog Oberösterreich E-Day 2014 Rüdiger LINHART / Florian Brunner 15 15

16 Datenschutz Datenschutz bezeichnet die notwendigen Maßnahmen, um den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht verletzt wird. Vor allem in Hinblick auf die Novelierung des DSG: https://wirtschaftsblatt.at/archiv/printimport/ /DatenschutzSuender-sollen-viel-hoehere-Strafen-zahlen?from=suche.intern.portal Verfahren wegen Verletzung Vertrauensverlust bei Kunden, Lieferanten und Partnern Missbrauch von Daten und Regressansprüche E-Day 2014 Rüdiger LINHART / Florian Brunner 16 16

17 Datenschutz Vor allem in Hinblick auf die Novelierung des DSG: https://wirtschaftsblatt.at/archiv/printimport/ /DatenschutzSuender-sollen-viel-hoehere-Strafen-zahlen?from=suche.intern.portal E-Day 2014 Rüdiger LINHART / Florian Brunner 17 17

18 Recht haben oder nicht? 18 Recht an der Software Recht an den Daten
Steuerliche Betrachtungen Branchenregelungen Gesetze Lizenzrechte Vertragsgestaltung Grundlagen: DSG 2000, EU-DSRL, Insolvenzrecht, Steuerrecht, Urheberrecht, Unternehmensrecht, DVR, ABGB, Safe Harbor, Sarbanes Oxley Act, etc E-Day 2014 Rüdiger LINHART / Florian Brunner 18 18

19 19 „Chef bestimmt“ was gebraucht wird
Direktes „Mitreden“ der Mitarbeiter „Aber das brauche ich unbedingt“ Ressourcen nur begrenzt vorhanden Konsequenzen sind nicht bewusst IT ist ein Randthema E-Day 2014 Rüdiger LINHART / Florian Brunner 19 19

20 Problembeispiele Virenschutz veraltet WLAN – Geräte
Router vom Provider offen Software wird einfach installiert Überall das gleiche Passwort Surfverhalten Datensicherung nur auf USB-Stick Phishing – „Glaube an das Gute“ Handies/Tablets sind auch Computer Adminrechte „Firewall stört“ Konfigurations-fehler Oder aber: „ich habe doch eine Firewall und einen Virenscanner! Wozu brauch ich da ....bspw. Dokumentation?“ Nur mit Dokumentation und dokumentierten Prozessen kann ich meine Qualität gleich halten. Das heißt noch nicht, dass diese besser wird. Gleich schlecht ist noch immer gleich. Wichtig ist aber, dass IT-Security und die Qualität des Produkts, der Dienstleistung also des Kerngeschäfts, dadurch auch besser wird. Das wiederum kann zu besserem Feedback bei den Kunden führen und man führe das Gedankenspiel fort.... E-Day 2014 Rüdiger LINHART / Florian Brunner 20 20

21 Lösungsansatz - Awareness - Bildung
Öffentliche und private Aufgabe !!! Unterschiedliche Organisationen Bundeskanzleramt (Sicherheitshandbuch) Cyber Security Austria Wirtschaftskammern Expertengruppen Schulen Fachhochschulen Universitäten Unternehmen Hersteller Organisatorische Maßnahmen Technische Maßnahmen COBIT, ISO2700x, ITIL etc. sind eher für Große geeignet Es müssen die „einfachen Bereiche“ übernommen werden und an die „Kleinen“ angepasst werden Das ist die Aufgabe der Berater. Kaufen Sie lieber ein Steuerbuch oder buchen Sie einen Steuerberater? E-Day 2014 Rüdiger LINHART / Florian Brunner 21 21

22 Lösungsansatz - Awareness - Bildung
IT-Kosten haben Versicherungscharakter IT ist geschäftskritisch Schaden kann sehr hoch sein 80/20-Regel Organisatorische Maßnahmen Technische Maßnahmen COBIT, ISO2700x, ITIL etc. sind eher für Große geeignet Es müssen die „einfachen Bereiche“ übernommen werden und an die „Kleinen“ angepasst werden E-Day 2014 Rüdiger LINHART / Florian Brunner 22 22

23 Lösungsansatz - Beratung
Problemstellung muss BEWUSST sein!!! Spezielle Kompetenzen notwendig Umfassendere Beratung „Eigene Sprache“ notwendig Langjährige Beziehung von Vorteil Gesamtheitliche Sicht nötig Unternehmenswerte erheben Pragmatischer Ansatz von Vorteil Viele KMU sind auch eine Chance! Nische besetzen und ausfüllen! WISSEN DURCH-FÜHREN Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 23 23

24 Lösungsansatz – Loslegen und Tun!
Awareness schaffen Loslegen mit ersten Schritten 80% sind besser als Nichts (80/20 Regel) Steigern und Bedürfnisse prüfen Regelmäßige Beratung - Regelkreis E-Day 2014 Rüdiger LINHART / Florian Brunner 24 24

25 0. Berater auswählen Zum Steuerberater geht man auch, bevor das Finanzamt anklopft ... WKO ExpertsGroup IT-Security Know-How ehrlich bewerten Habe ich das Know-How im Haus Wieviel Unterstützung brauche ich? Rahmen festlegen Was wollen wir gemeinsam erreichen? Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 25 25

26 1. Awareness schaffen Sicherheitsaspekte berücksichtigen
Alternative Ansätze bedenken Mangelnde Ressourcen Umständliche Vorhaben Mangelnde Akzeptanz Widerspruch zur Unternehmenskultur Pragmatischer Ansatz von Vorteil Ziele festlegen Maßnahmen definieren und prüfen Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 26 26

27 2. Loslegen mit ersten Schritten
Handlungsplan mit klaren Prioritäten Chaos vermeiden Klare Zuständigkeiten und Verantwortlichkeiten festlegen Bestehende Richtlinien bekannt machen Informationssicherheit regelmäßig überprüfen Zweckmäßigkeit und Effizienz Nicht nur Sicherheitsaspekte prüfen Einsparungspotential Reduzierte Komplexität erhöht die Sicherheit Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 27 27

28 3. Mehr Sicherheit mit wenig Aufwand
80 % Erfolg durch 20 % Aufwand Sicherheitsniveau erhöhen Bestehende Richtlinien dokumentieren Vorhandene Schutzmaßnahmen nutzen Minimale Privilegien Administratorrechte sinnvoll einschränken Nicht benötigte Funktionalität entfernen Verschlüsselung aktivieren, ... Sicher machen was sicher gehört Handbücher, Dokumentation und Empfehlungen lesen Florian – Assets feststellen – Unternehmenswerte Organisatorische vs technische Maßnahme z.B. Fenstermelder beim Gehen vs. Manuelle Kontrolle über Prozess Empfang mit Video und Besucherkarte etc. vs. Persönliches Abholen und Begleiten … E-Day 2014 Rüdiger LINHART / Florian Brunner 28 28

29 4. Steigern und Bedürfnisse prüfen
Security als Business-Enabler Anforderungen erheben Kundenbedürfnisse an Sicherheit Verschlüsselte Kommunikation Verfügbarkeiten und Ausfallszeiten SLAs, Verträge, Gesetze und Mitbewerb als Anhaltspunkt Regelmäßigkeit vorbereiten Sicherheitsmanagement betreiben Sicherheit ist kein Produkt, sondern ein Prozess! Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 29 29

30 5. Regelmäßige Beratung - Regelkreis
Security wird gelebt PDCA – Sicherheit wird zum Prozess Plan Anforderungen, Maßnahmen und Ziele Do Implementierung und Richtlinien Check Regelmäßige Prüfung (Zweck, Sicherheit, Effizienz) Act Reagieren und Adaptieren Ehrliche Selbsteinschätzung notwendig Expertenrat hinzuziehen Sicherheit muss messbar gemacht werden Sicherheitsentwicklung aufzeigen Florian – Assets feststellen - Unternehmenswerte E-Day 2014 Rüdiger LINHART / Florian Brunner 30 30

31  ES IST MÖGLICH! Zusammenfassung Besondere Bedürfnisse
Awareness beim Kunden Awareness beim Berater Öffentliche und private Aufgabe Spezielle Lösungen nötig Von Herstellern bereits tlw. erkannt und umgesetzt!  ES IST MÖGLICH! E-Day 2014 Rüdiger LINHART / Florian Brunner 31 31

32 IT-Security für KMU – ein Widerspruch?
Fragen / Anregungen? Rüdiger Linhart - Florian Brunner - IT-Security für KMU – ein Widerspruch? Grundlagen – Begriffe – Status Quo – Problemstellungen - Lösungsansätze Vortrag im Rahmen des E-Day 2014 – Wien, 6. März 2014


Herunterladen ppt "IT-Security für KMU – ein Widerspruch?"

Ähnliche Präsentationen


Google-Anzeigen