Weitere ähnliche Inhalte
Ähnlich wie Datensicherheit: Diebstahl und Prävention (20)
Datensicherheit: Diebstahl und Prävention
- 1. Payment Card Industry Data Security Standard
Case Study: Datendiebstahl und Prävention
Fachveranstaltung Datensicherheit
Bern
7. September 2011
© 2011 Acertigo AG
- 2. INHALT
1. FIRMENPROFIL
2. DATENDIEBSTAHL UND PRÄVENTION
3. KONTAKT
© 2011 Acertigo AG
- 3. FIRMENPROFIL
Für unsere Kunden langjähriger erfahrener
Partner und Dienstleister im PCI-Bereich.
Seit 2004 zugelassener Zertifizierer für die
unterschiedlichen PCI Standards, wie PCI DSS,
PA-DSS, PCI PIN Security.
Akkreditierung als Zertifizierer für die Regionen
Zentraleuropa, Naher Osten und Afrika.
Standorte: Stuttgart, Zurich
Sales-Offices: Budapest, Stockholm, Riyadh,
Wien, Zagreb
Mehr als 100 Level 1 Audit-Kunden
Mehrere tausend Händler auf den
Zertifizierungsportalen
© 2011 Acertigo AG
- 4. FIRMENPROFIL
Services im Überblick
Wir beraten, prüfen und zertifizieren Unternehmen im Bereich IT-Sicherheit und Datenschutz.
Unser Schwerpunkt liegt dabei im Bereich der Compliance Services für die Payment Card Industry (PCI).
Acquirer Compliance
Dienstleister für alle Unternehmen
Services die eine PCI-Zertifizierung
durchführen (Banken, Prozessoren,
PCI Onsite Reviews Payment Gateway, Service und
PCI Vulnerability Scans Hostingprovider, Händler)
Training & Awareness
Wir unterstützen und beraten
unsere Kunden in allen Phasen der
PCI-Zertifizierung.
Remediation
Support
Expertise in PCI DSS, PA DSS, PIN
Security sowie dem Compliance-
PCI Gap Analyse /
Pre-Compliance Management beim Acquirer
Review
Compliance
Advisory
© 2011 Acertigo AG
- 5. INHALT
1. FIRMENPROFIL
2. DATENDIEBSTAHL UND PRÄVENTION
3. KONTAKT
© 2011 Acertigo AG
- 8. DATENDIEBSTAHL UND PRÄVENTION
WER MUSS SICH DARUM KÜMMERN?
Verantwortlichkeiten
Geschäftsführung
IT-Leiter
Datenschutzbeauftragter
CSO (Chief Security Officer)
Regulatorische Anforderungen
PCI DSS
Datenschutzgesetze (EU, landesspezifische Umsetzung, kantonale Gesetze)
© 2011 Acertigo AG
- 9. DATENDIEBSTAHL UND PRÄVENTION
HABE ICH SCHÜTZENSWERTE DATEN?
Was ist gefährdet?
Unternehmensdaten
Kosten- und Preiskalkulationen
Finanzdaten
Vertragsdaten
Personaldaten
usw.
Kundendaten
Kundenstamm
Konditionen
Bankverbindungsdaten, Kartennummern
usw.
Rechte und Entwicklungs-Knowhow
© 2011 Acertigo AG
- 10. DATENDIEBSTAHL UND PRÄVENTION
Wie erfolgt die Gefährdung?
Externe Angriffe
Trojaner, Schadsoftware,
Key Logger, etc.
Manipulierte Programme
Social Engineering
Durch eigene Mitarbeiter Quelle: Studie von Ernst&Young, 2011
Verlust von mobilen Geräten wie Laptops, SmartPhones
Verlust von Medien (print, DVD, CD, USB-Sticks, etc.)
Unerlaubte elektronische Weitergabe (email, Web, etc.)
Missbrauch durch priviligierte User (admins, etc.)
Weitere Einflüsse
Löschung, Brand, Vandalismus, technische Ausfälle, etc.
-> Disaster Recovery / Backup
© 2011 Acertigo AG
- 11. DATENDIEBSTAHL UND PRÄVENTION
WIE SCHÜTZE ICH MICH?
Schutz auf unterschiedlichen Ebenen notwendig
auf der Netzwerk-Ebene
durch Firewalls
durch Detektionssysteme wie IDS/IPS
auf der System- und Applikationsebene
durch Antivirus-Systeme
durch File Integrity Monitoring
durch Zugriffskontrolle auf Systeme und Applikationen
durch „Device Control“ (nur zugelassen Geräte)
aber insbesondere auf der Datenebene
durch Verschlüsselung
durch Zugriffsauthentifizierung
durch Data Loss Prevention Technologien
© 2011 Acertigo AG
- 12. DATENDIEBSTAHL UND PRÄVENTION
WIE SCHÜTZE ICH MICH?
Um Schutzmassnahmen zu adressieren müssen Daten
identifiziert werden (wo)
klassifiziert werden (welche)
und Regeln (wer, was, wofür) für die Schutzklassen festgelegt werden
Daten müssen geschützt werden, egal wo diese sich befinden
Schutz bei Verlust von mobilen Geräten (z.B. Festplattenverschlüsselung)
Nutzung durch Speichermedien (protected USB-Stick, Blockierung der Nutzung
solcher Medienanschlüsse wie USB, Firewire, Bluetooth, Wireless,
Brennerlaufwerke)
Überwachung und Kontrolle der Zugriffe auf Daten im Netzwerk
Datenexportkontrolle (Data Loss Prevention Technologien)
Mitarbeiter müssen informiert und geschult werden im Umgang mit sensiblen Daten
© 2011 Acertigo AG
- 13. DATENDIEBSTAHL UND PRÄVENTION
Technische Massnahmen müssen
die organisatorischen Vorgaben
wo notwendig unterstützen und
durchsetzen
Richtlinien und Weisungen sollen die
sachgerechte Nutzung der Daten
vorgeben
Verringerung der Datenhaltung reduziert Risiken
Datenschutz erfordert zu wissen, was schützenwerte
Daten sind, wo diese gespeichert sind, durch welche
Prozesse diese verarbeitet werden und von wem
© 2011 Acertigo AG
- 14. DATENDIEBSTAHL UND PRÄVENTION
Fazit
Identifikation (Was sind schützenwerte Daten, Wo befinden sich diese Daten)
Nutzung (Wer benötigt Zugriff auf diese Daten, Warum werden diese Daten
benötigt)
Dokumentation (Sicherheitsrichtlinien, Weisungen)
Welche technischen und organisatorischen Massnahmen können zum Schutz
ergriffen werden
Schulung/Awareness
Welche rechtlichen Anforderungen sind zu erfüllen
der PCI DSS Standard trifft Regelungen zu diesen Punkten
© 2011 Acertigo AG
- 15. Danke für Ihre Aufmerksamkeit !
Ralph Wörn
Vorstand
Acertigo AG
Wilhelmsplatz 8, 70182 Stuttgart, Germany
phone + 49 711 620 30 232
fax + 49 711 620 30 200
email ralph.woern@acertigo.com
© 2011 Acertigo AG
- 16. COPYRIGHT
Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of
the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice.
This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special,
incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss
or interruption of business, profits, use or data.
All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or
distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the
translation.
Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are
either registered trademarks or should be considered as such. All information contained on this document has been
published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All
rights are reserved.
Acertigo is a registered Trademark in Germany and other countries.
© 2011 Acertigo AG