Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
DATENSICHERHEIT IM UNTERNEHMENReferat im Rahmen von VDWF-„voll wild“ am 27.09.2016
Jürgen ReinhardBetrieblicher Datenschutzbeauftragter
der BIKAR-METALLE GmbH
DATENSCHUTZ - DATENSICHERHEITGrundlagen und Definitionen
Quelle: ecommerce magazin
VIEL AUFREGUNG RUNDUM DEN YAHOO-HACK!Mindestens 500 Millionen Yahoo-Nutzer sind Opfer des Hackerangriffs geworden
1Daten sind unser privates Eigentum
Daten sind meist vertraulich und für Unternehmen ein entscheidender
Erfolgsfaktor.
2Datenschutz / Datensicherheit
Ihr Schutz steht deshalb ganz oben auf der Liste der Verantwortlichen und doch
gelangen immer wieder gewaltige Datensätze ins Dark Web.
3Daten bringen bares Geld
Das gilt auch für Benutzerdaten,
die sich jemand illegal verschafft.
4
Hohes Sicherheitsrisiko
Betroffen sind Namen, Geburtsdaten, E-Mail-Adressen, Telefonnummern aber
auch persönliche Angaben der User, etwa Sicherheitsfragen und Antworten, mit
denen normalerweise die Nutzer, aber nun eben auch die Hacker ganz einfach ein
Passwort zurücksetzen und ändern können.
52012: Datenpanne bei LinkedIn
Es konnten über 80 Prozent der Passwörter aus den LinkedIn-Konten geknackt
werden. So unglaublich es klingt: Mehr als 1,1 Millionen Nutzer verwendeten als
Passwort „123456“, fast 190.000 entschieden sich für „password“.
6Mitarbeitersensibilisierung – „Awareness“ (Bewusstsein / Aufmerksamkeit)
Wenn die Nutzer solche Passwörter wählen, ist die Wahrscheinlichkeit hoch, dass
sie die gleichen auch für verschiedene Benutzerkonten verwenden – vom Social-
Media-Portal bis hin zum Onlinebanking.
Datenschutz & Datensicherheit
[ ]
Quelle: Bitkom
COMPUTER-KRIMINALITÄTZahlen und Fakten zu e-Crime in Deutschland
68% 66% 60% 58% 58%
Automobilbau Chemie und
Pharma
Finanzen und
Versicherung
Gesundheit Medien und
Kultur
Computer-Kriminalität
Die am stärksten betroffenen Branchen in
Deutschland 2013-2014
28%
ITK-Geräte
17%
Sensible Daten
14%
Physische
Dokumente
Diebstahl
8%
Besprechungen,
Telefonate
8%
Elektronische
Kommunikation
Abhören
16%
Sabotage 19%
Social Engineering
Sonstige
Computer-Kriminalität
Die häufigsten e-Crime-Delikte
in Deutschland 2013-2014
Jedes zweite Unternehmen wurde in
den letzten zwei Jahren Opfer von
digitaler Wirtschaftsspionage.
21%nicht betroffen
28%vermutlich betroffen
51%betroffen
Anteile der betroffenen
deutschen Firmen bei
Datendiebstahl, Spionage
und Sabotage
Quelle: Computerwoche, BSI
PASSWORTSICHERHEITSicherer Schutz gegen Diebstahl im Internet
Passwort-Regeln
1 Passwort alle fünf Wochen wechseln
2 Passwort muss acht Zeichen
oder mehr enthalten
3Passwort muss Groß- und
Kleinbuchstaben, Zahlen und
Satzzeichen enthalten
4Jahreszahlen, Vornamen und
Buchstabenfolgen wie abc, 123, 111
oder qwertz sind unsicher
5Typische einfache Ausdrücke wie
"password" oder Login-Namen dürfen
nicht Bestandteil eines Kennworts sein
6 Passwörter dürfen nicht auf Zetteln in
Computernähe notiert werden
3% 3%
13%
40%
41%
■ Ich habe für jeden Dienst ein eigenes Passwort
■Ich habe mehrere Passwörter, aber ich benutze schon mal eines für mehrere Dienste
■ Ich benutze dasselbe Passwort für alle Dienste
■ Ich habe kein Passwort, ich nutze keinen Online-Dienst
■ Keine Angabe
Statistik: PasswortvergabeWeniger als die Hälfte der befragten Nutzer haben
für jeden Online-Dienst ein eigenes Passwort.
279.193
270.454
149.775
85.816
78.838
25.501
18.872
198.922
Webmailkonten
Handelsplattformen
Soziale Netzwerke
Banking
Internetshops
Internetanbieter
Reiseportale
Sonstige
Gestohlene Identitäten
und Passwörter Am häufigsten von Identitäts- und Passwortdiebstahl
betroffene Plattformen in Deutschland 2010
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
IT-SICHERHEIT IN DEUTSCHLANDZahlen und Fakten zu digitalen Bedrohungen
Bedrohung 2011 2013 Prognose
DDoS ► ▲ ▲
Botnetze ▲ ► ►
Drive-by-Exploits ▲ ▲ ►
Schadprogramme ▲ ▲ ▲
Identitätsdiebstahl ▲ ► ►
Spam ► ▼ ►
▲ steigend ▼ sinkend ► gleichbleibend
GefährdungsbarometerEntwicklung von digitalen Bedrohungen nach
Einschätzung des Bundesamts für Sicherheit in der
Informationstechnik (BSI). 1DDoS-Angriffe mit Botnetzen
Stört die Erreichbarkeit von Webservern oder die Netzanbindung des
Unternehmens.
2Gezieltes Hacking von Webservern
Zur Platzierung von Schadsoftware oder für Spionageangriffe auf angeschlossene
Netze bzw. Datenbanken.
3Drive-by-Exploits
Schadsoftware-Infiltration über Werbebanner, um Kontrolle über die betroffenen
Computer zu übernehmen.
4Schadsoftware-Infiltration per Social Engineering
Phishing- und Spam-E-Mails mit dem Ziel der Übernahme des betroffenen
Rechners und anschließender Spionage.
5Spam oder Drive-by-Exploits
Verbreitung von Schadsoftware per E-Mail oder Webseiten mit Ziel des
Identitätsdiebstahls beim Opfer.
6Mehrstufige Angriffe
Datenmanipulation bei Sicherheitsdienstleistern oder zentralen
Zertifizierungsstellen, um dann die eigentlichen Ziele anzugreifen.
TOP 6 der Cyber-Gefährdungen
Quelle: Dell
CHECKLISTEfür den Einsatz von Firmen-Notebooks
□ Nur sichere Passwörter technisch erlaubt
□ BIOS-Setup-Passwort gesetzt
□ Authentifizierung vor dem Start von Windows
□ Login-Daten per „Trusted Platform Modul“ (TPM) geschützt
□ Zentrale Identity-Access-Management-Software (IAM) zur Verwaltung
□ Fingerabdruck- oder Smart-Card-Login implementiert
1Authentifizierung
□ Zugang zum Firmennetzwerk nur per VPN
□ SSL-Zertifikate aktuell und gültig
□ Backup aller Daten (ebenfalls verschlüsselt)
2Kommunikationsschutz
□ Backups aller Daten verschlüsselt durchführen
□ Verschlüsselung nach militärischen Sicherheitskriterien
□ Cloud-Datenaustausch über transparente Verschlüsselung
□ Festplatten-Verschlüsselung (Self-Encrypting Drive, SED) aktiviert
□ Datenverschlüsselung bei externen Medien (USB-Sticks)
3Datenverschlüsselung
□ Kapselung von Anwenderprogrammen
□ Automatische Software-Aktualisierungen aktivieren
□ Firewall eingerichtet und aktiv
□ Zentral verwaltete, aktuelle Antiviren-, Anti-Malware-Software aktiv
□ Firewall und Antivirus-Programm mit heuristische Erkennung verwenden
□ User-Rechte passend beschränkt
□ USB-Anschlüsse deaktiviert
4Malware-Schutz
Quelle: KPMG/e-Crime 2015
Durchschnittliche Schadenshöhepro E-Crime-Fall bei Unternehmen in Deutschland
128000.0 €
199000.0 €
241000.0 €
253000.0 €
337000.0 €
348000.0 €
584000.0 €
609000.0 €
Manipulation von Konto- und Finanzdaten
Computerbetrug
Systembeschädigung und Computer-Sabotage
Ausspähen oder Abfangen von Daten
Erpressung
Datendiebstahl
Verletzung von Urheberrechten
Verletzung von Geschäfts- und Betriebsgeheimnissen
Cybercrime teuer für
deutsche UnternehmenNach der Studie „e-Crime 2015“waren in
den letzten zwei Jahren 40 Prozent der
Unternehmen in Deutschland von
Computer-Kriminalität betroffen.
Gesundheit Aktien Malware Dating Betrug Produkte Erziehung Porno andere
Quelle: Trustwave Global Security Report
Zahlen und Fakten zu SpamVerteilung der Spam-Kategorien 2014 weltweit in Prozent
2008
92,6 %
2011 2014
Entwicklung: Spam-Anteil
an allen eingehenden
E-Mails von 2008 bis 2014
77,0 % 59,7 %Das Thema Gesundheit
nimmt bei Spam-Mails den
ersten Platz ein.
72,4%
7,5%6,0%
3,1% 2,3% 2,2% 1,9% 1,1%3,6%
Quelle: KPMG
Risiko Informations-Technologie:Private Internet-Nutzung in der Firma Umfrage zum Schadenspotential von Informationstechnologien 2012
64%
62%
52%
46%
39%
30%
16%
10%
Mobile Telekommunikation, z. B. auch E-Mail- bzw. Internet Nutzung auf mobilen Endgeräten
Mobile Datenträger, z. B. USB-Sticks, externe Festplatten
Soziale Netzwerke
Dienstliche E-Mail-Nutzung
Private Internet- und E-Mail-Nutzung, Online Banking, Online Shopping
„Bring Your Own Device“ (BYOD)
Internettelefonie, z. B. Skype
Nichts davon
Umfrage:Bei einer Umfrage von KPMG wurden 500 Führungskräfte in
deutschen Unternehmen gefragt:
„Welche der folgenden Anwendungen von
Informationstechnologie schätzen Sie als besonders
risikobehaftet für Ihr Unternehmen ein?“
74%
86%
Quelle: BT Global Services /Cisco 2013
Nutzung privater Geräte in FirmenNutzungsszenarien für „Bring Your own Device“-Anwendungen
Lesen dienstlicher E-Mails
67%
81% 52% 59%
22%
51%
37%
48%
Internetzugang für geschäftliche
Zwecke
Zugriff auf Unterlagen, die auf Firmen-
Servern liegen
Einsatz von frei verfügbaren Apps für
dienstliche Zwecke (Twitter, Facebook)
Nutzung von Unternehmens-Apps
(Termine, Meetings, Reisebuchungen)
International Deutschland
Quelle: Check Point Security 2013
Private Geräte in UnternehmenInformationen zu „Bring Your own Device“ am Arbeitsplatz
89%2012
93%2013
Vergleich: Anzahl der Mitarbeiter,
die persönliche mobile Geräte in
Firmennetzwerken nutzten
Sicherung von Firmeninformation
Kontrolle der Zugriffe auf Firmen- und
Privatnetzwerke
Geräte-Managment mit Firmen- und Privatdaten
Aktuelle Version von Betriebssystem und
Programmen
Sicherheitslösungen für alle verwendeten
Betriebssysteme
keine Herausforderungen
Herausforderung für Unternehmen beim Einsatz
von privaten Geräten im Firmennetzwerk
7%
14%
38%
59%
63%
67%
Quelle: Bitkom
IT-SICHERHEIT IN UNTERNEHMENInformationen zu Security-Maßnahmen in deutschen Firmen
50%21%
AuthentifizierungEin Umfrage der Bitkom zeigt: Große Unternehmen ab 500 Mitarbeiter
verwenden im hohen Maße Authentifizierungsverfahren. Nur 21 Prozent
der kleinen Firmen mit 10 bis 99 Beschäftigten setzen auf solche Technik.
VerschlüsselungDer Einsatz von Kryptoverfahren bei der
Kommunikation in deutschen Unternehmen
80% Netzwerkverbindungen
45% Daten auf Datenträger
40% E-Mail
29%
23%Absicherung gegen Datenabfluss
Angriffserkennungssysteme
Test auf AngriffeNur wenige Unternehmen setzen Technik
gegen den Datenabfluss und zum Erkennen
von Angriffen von außen ein.
Quelle: Check Point Security
MOBILE SICHERHEITFakten und Zahlen zum Einsatz mobiler Geräte
2%
3%
31%
43%
61%
82%
keine Bedenken
andere
Kosten für Ersatz des gestohlenen oder verlorenen Geräts
Verstoß gegen Vorschriften und damit verbundene Strafen
Informationen über Sicherheitslücken für zukünftige Angriffe
Verlust oder Diebstahl von InformationenSicherheitsbedenken
bei IT-ProfisEine Studie von Check Point Security
ermittelte, dass 98 Prozent aller
professionellen Anwender
Sicherheitsbedenken nach Verlust
oder Diebstahl mobiler Geräte
haben.
64%
30%
6%
ansteigend gleichbleibend sinken
Kosten für Security
bei Verlust mobiler GeräteBei den meisten Firmen steigen die
Kosten für die Sicherheit nach
Verlust von mobilen Geräten.
Jahr Android Blackberry iOS Windows Phone
2014 64% 4% 16% 16%
2013 49% 9% 25% 17%
2012 34% 16% 25% 29%
Sicherheitsrisiken nach mobilem BetriebssystemEntwicklung der letzten drei Jahre mit Anstieg des Risikos bei Android
Quelle: BKA
INTERNET-KRIMINALITÄTEntwicklungen und Zahlen in Deutschland
50.254
59.839 59.494
63.959 64.426
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
2009 2010 2011 2012 2013
Anstieg der Fälle von Cyber-CrimeDie vom Bundeskriminalamt erfassten Fälle von
Internet-Kriminalität in den Jahren 2009 bis 2013
2.276 2.524 4.544 10.857 12.766
2009 2010 2011 2012 2013
Datenveränderung und
Computer-Sabotage
11.491 15.190 15.726 16.794 15.909
2009 2010 2011 2012 2013
Ausspähen und Abfangen
von Daten
Quelle: Varonis
Menschlicher Faktor beim Einsatzprivater Geräte in Firmennetzwerken
Wie schützen sich
Unternehmen vor dem
Einsatz privater Geräte
im Unternehmen?
16%BYOD-Verbot
24%Verschlüsselung
57%Passwortschutz
35%Remote-Löschung
50%der befragten IT-Professionals sagen: Ein Mitarbeiter des
Unternehmens hat schon einmal ein Gerät mit wichtigen
Daten verloren.
22%der befragten IT-Professionals sagen: Ein verlorenes Gerät
mit wichtigen Daten verursachte eine Sicherheitsproblem
für das Unternehmen.
Quelle: Allianz Barometer 2015
Rang Risiko 2015 Rang 2014 Trend
1 Betriebs- und Lieferkettenunterbrechung 44% 1 (39%) -
2 Naturkatastrophen 28% 2 (29%) -
3 Feuer, Explosion 27% 3 (24%) -
4 Rechtliche Veränderungen 20% 5 (22%) ▲
5 Cyber-Kriminalität, IT-Ausfälle, Spionage, Datenmissbrauch 17% 9 (11%) ▲
6 Marktstagnation oder -rückgang 17% 4 (22%) ▼
7 Reputationsrisiken 15% 7 (14%) -
8 Politische/soziale Unruhen, Krieg 13% Neu ▲
9 Verschärfter Wettbewerb 13% 6 (16%) ▼
10 Diebstahl, Betrug und Korruption 11% 8 (12%) ▼
Risiken im Bereich IT-
Technologie machen den
befragten Unternehmen einer
Allianz-Umfrage die größten
Sorgen. Das Risiko stieg im
Vergleich zu 2014 um vier
Tabellenplätze.
TOP10
Unternehmens-Risiken
2015Europa, Afrika, Naher Osten (EMEA)
Quelle: Allianz Barometer 2015
Unternehmens-Risiken 2015-2020Europa, Afrika, Naher Osten (EMEA)
11%
15%
19%
21%
37%
Betriebs- und Lieferkettenunterbrechnung
Terrorismus, Krieg
Naturkatastrophen
Politische Riskien (Unruhen, Kriege)
Cyber-Risiken
Was sind die größten Unternehmens-Risiken in den nächsten fünf Jahren?Bei der Befragung durch die Allianz nahmen 516 Risikomanager und Experten im Bereich
Unternehmensversicherung aus 47 Länder teil. IT-Sicherheit führt dabei das Feld der erwarteten Risiken in den
nächsten fünf Jahren bei der Befragung an.
Die Prozentwerte geben den Anteil aller relevanten Antworten wieder (zwischen 225 und 280 Nennungen insgesamt). Mehrfachnennungen berücksichtigt.
SITUATIONSANALYSEInformationssicherheitsmanagement in der Praxis
SCHUTZBEDARFANALYSEInformationssicherheitsmanagement in der Praxis
MODELLIERUNGInformationssicherheitsmanagement in der Praxis
ZUSAMMENFASSUNGHinterher ist man immer schlauer … wie Sie späte Einsicht vermeiden.
Wie Sie späte Einsicht
vermeiden
• Informationssicherheitsmanagement wird
zunehmend zu einem der wichtigsten
Erfolgsfaktoren von Unternehmen
• Schaffung entsprechender Strukturen
unabdingbar – und möglich
Sicherheitsbewusstsein
muss gestärkt werden
– Firmenkultur und -philosophie
– Einbindung der Mitarbeiter
• Klare Verantwortlichkeiten bei Geschäftsführung,
CISO und Mitarbeitern
• Kontinuierlicher Prozess erforderlich
Ein Chief Information Security Officer (CISO) bezeichnet die
Rolle des Verantwortlichen für Informationssicherheit in einer
Organisation.
ENDE
Herzlichen Dank für Ihre
Aufmerksamkeit.