Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH hochenrieder@hvs-consulting.de
Unser heutiges Ziel Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards Überblick Security-Markt in Deutschland Status quo: Sicherheitsmanagement in deutschen Unternehmen Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit
Agenda Teil I Einführung Der Security-Markt in Deutschland Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
Was ist Informationssicherheit? <Vortragstitel> Was ist Informationssicherheit? Sicherheitspolitik Sicherheitsprozesse Sicherheitsmanagement IT- Sicherheit Informations- sicherheit Firewalls / Virenschutz IS-Risikomanagement Secure Coding Sicherheitsrichtlinien & -standards … Security-Awareness Security-Audits TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Rahmenwerke & Standards im Bereich Informationssicherheit <Vortragstitel> Rahmenwerke & Standards im Bereich Informationssicherheit ISO 17799 / ISO 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO 20000 – Sicherheitsmanagement Sammlung von „Best Practices“ Betrieb von IT-Infrastrukturen TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Informationssicherheits-Management-systeme (ISMS) nach ISO <Vortragstitel> Informationssicherheits-Management-systeme (ISMS) nach ISO Teil 1: ISO 17799:2005 Leitfaden zum Management von Informationssicherheit Best Practices Teil 2: ISO 27001:2005 Spezifikation für ISMS für Unternehmen (Anforderungen) Grundlage für die Zertifizierung von ISMS Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmen im verbindlichen Anhang A Ständige Überwachung und Weiterentwicklung des ISMS ist explizit gefordert (PDCA-Zyklus) Beispiel TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
ISO 27001: Controls im Anhang A A.5 - Security Policy A.6 – Organization of Information Security A.7 – Asset Management A.8 – Human Ressources Security A.9 – Physical and Environment Security A.10 – Communication and Operations Management A.12 – Information Systems acquisition, development and maintenance A.11 – Access Control A.13 – Information Security Incident Management A.14 - Business Continuity Management A.15 - Compliance
<Vortragstitel> BSI IT-Grundschutz Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen BSI Standard 100-1 ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2 IT-Grundschutz Vorgehensweise Baustein-Kataloge Kap.B1 „Übergreifende Aspekte“ Kap. B1.0 IT-Sicherheitsmgnt. Kap. B2 „Infrastruktur“ Kap. B3 „IT-Systeme“ Kap. B4 „Netze“ Kap. B5 „IT-Anwendungen Gefährdungs-Kataloge Maßnahmen-Kataloge BSI Standard 100-3 Risikoanalyse auf Basis von IT-Grundschutz Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001 Audits TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Aufbau der IT-Grundschutz-Kataloge Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung Beispiel
Neue organisatorische Anforderungen: Global regulatory compliance <Vortragstitel> Neue organisatorische Anforderungen: Global regulatory compliance Canadian Electronic Evidence Act Basel II Capital Accord SEC 17a-4 (USA) Electronic Ledger Storage Law (Japan) HIPAA (USA) 11MEDIS-DC (Japan) ISO 18501/18509 AIPA (Italy) FDA 21 CRF Part 11 GDPdU & GoBS (Germany) NF Z 42-013 (France) Sarbanes-Oxley Act (USA) Public Records Office (UK) Financial Services Authority (UK) BSI PD0008 (UK) TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Compliance-Vorgaben in Deutschland <Vortragstitel> Compliance-Vorgaben in Deutschland Compliance-Vorgaben Risikoabsicherung, Versicherungen, Eigenkapital (Basel II) Auskunft- und Nachweispflichten (GoBS/BMF, HGB, Steuerrecht, ...) Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG) Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz) Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG) Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Praxisbeispiel: Gesetzliche/rechtliche Anforderungen <Vortragstitel> Praxisbeispiel: Gesetzliche/rechtliche Anforderungen Private Mails: Was darf der Arbeitgeber? MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private Nutzung von Internet und E-Mail am Arbeitsplatz gestattet, wird Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten (TK-Diensten) nach dem Telekommunikationsgesetz (TKG) Gleichgesetzt – mit unvorhergesehenen Konsequenzen. § 276 BGB – Organisationsverschulden / Schadensersatzansprüche § 202a StGB – Ausspähen von Daten § 303b StGB – Computersabotage § 3 TKG – Definition Diensteanbieter § 4 TDDSG – Pflichten des Diensteanbieters § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet u.v.m. Beispiel TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Die Rechtslage …
Agenda Teil I Einführung Der Security-Markt in Deutschland Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
Der Security-Markt (D) – Zahlen & Daten Typische Sicherheitsprobleme Quelle: siliconDEStudie_IT_Sicherheit2005
Der Security-Markt (D) – Zahlen & Daten Eingesetzte Sicherheits-Technologien Quelle: siliconDEStudie_IT_Sicherheit2005
Der Security-Markt (D) – Zahlen & Daten Security-Ausgaben in % des IT-Budget Quelle: siliconDEStudie_IT_Sicherheit2005
Der Security-Markt – Zahlen & Daten Planungen für das Jahr 2006 Quelle: InformationWeek, IT-Security 2005
Agenda Teil I Einführung Der Security-Markt in Deutschland Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen <Vortragstitel> Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Physische Sicherheit Gebäude- und Zugangsschutz IT-Sicherheit State-of-the-Art Produkte & Technologien Organisatorische Sicherheit Risiko-Management, Sicherheits-Richtlinien, Security Awareness TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen <Vortragstitel> Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Vorstand Chief Security Officer Physical IT - Organisational … Chief Security Officer Datenschutz beauftragter Physische Sicherheit IT-Sicherheit Organisatorische Sicherheit Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …) Achtung! Rollenkonflikte! IT-Abteilung Security Datenschutz
Zusammenfassung des Status Quo <Vortragstitel> Zusammenfassung des Status Quo ? Stellenwert des Themas Sicherheit schwankt Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Häufig Rollenkonflikte im Sicherheitsmanagement Bei wem platziere ich welches Thema? TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Security Governance Mitarbeiter Awareness Komplexität IT-Sicherheit
Die Top „Bauchschmerzen“ eines CSO <Vortragstitel> Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Wie rechtfertigen Sie Sicherheitsinvestitionen? Deutschland USA TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit
Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Gesetze BDSG, TDDSG, TDG HGB, AktG, GmbHG, KontraG UrhG BGB, StGB Richtlinien Basel II PS330 ITIL Sicherheitsstandards BSI ISO 27001 ITSEC / CC
Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance
Gratwanderung der Sicherheit Secure Choose any two! Usable Cheap
Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance IT-Sicherheit Patchmanagement, System-Hardening, Application-Security Incident-Handling & Notfall-Management
Pause